9 октября 2009 г.
Сегодня мы уже не мыслим нашу жизнь без высоких технологий, в том числе и без глобальной сети – Интернет. Интернет - это эффективный инструмент исследований, развития торговли и бизнеса, воздействия на аудиторию без территориальных и национальных границ.
С ростом вовлеченности важных бизнес ресурсов растет и риск работы с ними в сети. Все больше компаний прибегают к технологии удаленного доступа или общему доступу нескольких компаний к одному ресурсу через сетевые протоколы. Риск подключения удаленных пользователей к корпоративным ресурсам упирается в проблему парольной защиты. 90% компаний используют статический пароль в качестве единственной границы, отделяющей конфиденциальную информацию от «внешнего мира». Причем, с бОльшим использованием парольной защиты растет и бОльшая изобретательность методов воровства паролей. Дело уже не в количестве запоминаемых паролей и дифференциации символов самого пароля, который может быть с легкостью скомпрометирован из-за халатности пользователей; различные вредоносные программы и атаки социальной инженерии позволяют заполучить пароль вне зависимости от сложности пароля.
Рациональным решением является применение двухфакторной аутентификации. В этом случае аутентификация пользователя осуществляется при помощи комбинации различных подходов: пользователь предоставляет системе «то, что знает» (“something you know”) – например, пароль, PIN код, а также какой либо аппаратный идентификатор «то, что имеет» (“something you have”) или биометрические параметры самого человека - «то, кем является» (“something you are”).
В вопросе соотношения цены/надежности наилучшей комбинацией является реализация парольной защиты при наличии некоего идентификатора, который строго закреплен за определенным пользователем и позволяет его аутентифицировать.
Такое решение давно нашло отражение в токенах двухфакторной аутентификации. На сегодняшний день решения большой популярностью пользуются USB-токены, смарт-карты и OTP-токены. Каждый из данных вариантов обладает, как преимуществами, так и недостатками. Рассмотрим их подробнее.
USB-токены обладают высокой мобильность среди компьютеров со свободным USB-портом. На базе PKI инфраструктуры существует поддержка большого числа приложений IT-безопасности, что довольно широко используется в финансовых и юридических структурах. Использование USB-токена не всегда удобно мобильным пользователям, которые пользуются услугами сети в Интернет-кафе, где не всегда есть в наличии USB-порт. С проблемой программного обеспечения сталкивается пользователь при использовании чужого компьютера: отсутствие драйвера для устройства, нет доверия к установленному программному обеспечению на машине.
Высоким уровнем безопасности обладает смарт-карта: данные со смарт-карты не подвергаются никаким изменениям, а также секретный ключ не может быть считан вредоносным ПО; физические размеры самой карты не отличаются от кредитной карты, ее легко можно поместить в бумажник; аутентификация, реализованная на основе смарт-карты, используется в большом числе приложений. Для чтения смарт-карты требуется считывающее устройство – карт-ридер, что резко снижает мобильность пользователя для аутентификации.
Высоким уровнем мобильности обладает токен на технологии ОТР (one time password). Для аутентификации с этим устройством не требуются драйвера на клиенте, или свободный USB-порт, существует возможность использования защищенного пароля в различного рода мобильных устройствах, типа Blackberry, PDA и т.д., а также удобство и простота использования для пользователя – вот основные факторы, за счет которых этот тип токенов заслужил большую популярность! Причем технология аутентификации работает как в WEB-приложениях, так и для аутентификации удаленных пользователей. В свою очередь стоит отметить, что такое бесконтактное решение влияет на срок использования таких устройств: работоспособность зависит только от времени жизни батареи, которое на сегодня исчисляется как минимум 5 годами работы.
Генерация выполняется на базе различных подходов: по времени или по событию. Пароль на основе генерации по времени является более защищенным по сравнению с паролем, сгенерированным по событию – нажатии кнопки генерации. Если вероятность подверженности атаки в сети или социальной инженерии остается эквивалентной вероятности компрометации для статичного пароля, то возможность воспользоваться OTP-паролем уже различается в данных двух случаях. Пароль, сгенерированный по событию будет действительным в течение всего периода времени до следующей генерации пароля и аутентификации на сервере, в отличие от пароля, привязанному ко времени. Через определенный промежуток времени пароль, позволяющим получить доступ к ресурсам, становится другим.
Дизайн и функциональность самого решения являются далеко не последними пунктами, на которые опирается пользователь в выборе устройства. Успешно справляется со всеми задачами аутентификации и подхода к клиенту американская компания VASCO Data Security International. Получив известность во всем мире, компания VASCO поставляет всеобъемлющие решения двухфакторной аутентификации как в WEB-приложениях, так и для удаленных пользователей, в бизнес секторе и на финансовый рынок.
Сегодня VASCO представляет различные типы токенов разных моделей, функционал серверной части может быть интегрирован с решениями около 50 известных поставщиков сетевого оборудования. Гибкость и открытость запросам клиента является основными критериями работы этой компании. Все решения могут быть запрограммированы под определенные запросы заказчика, а цвет и логотип внешнего вида устройства изменен под корпоративные требования компании.
Завоевав популярность в Европе и США своими решениями, VASCO выходит и на рынок Росси и стран СНГ. В июне 2009 года компания headtechnology и VASCO подписали дистрибьюторский договор, согласно условиям которого, headtechnology будет распространять решения компании VASCO в Польше, Болгарии, Эстонии, Латвии, Литве, России, Беларуси, Украине, Казахстана, Киргизстане и Азербайджане.
Елена Гобункова, sales manager, headtechnology RU
Ссылки:
Вендор: Vasco
Продуктовая категория:
На правах рекламы.