Телефон лучше токена
SecurAccess
Основной проблемой современного Интернета является аутентификация. Именно обман процедуры аутентификации лежит в основе большинства хакерских атак, в которых злоумышленники выдают себя за легальных пользователей. При этом не всегда помогают даже такие средства аутентификации, как специальные устройства (токены), которые генерируют одноразовые пароли. Они не слишком удобны в использовании, поскольку их всегда нужно иметь под рукой для прохождения процедуры аутентификации. Однако, как показывает практика, и на них тоже могут быть организованы атаки. Примером может служить атака на систему дистанционного банковского обслуживания нескольких банков, которая началась со взлома производителя токенов RSA.
В то же время практически все пользователи современных технологий удаленного доступа обладают устройством, которое жестко привязано к пользователю, — это его мобильный телефон. Сегодня он постепенно превращается и в средство аутентификации пользователей. В России все контракты мобильных операторов являются именными и привязаны к паспортам, что в случае необходимости позволяет по номеру мобильного телефона определить его владельца. Именно эту особенность мобильного телефона и использует компания SecurEnvoy, разработавшая продукт SecurAccess для аутентификации пользователей в различных вебсистемах с помощью мобильного телефона.
Телефон как имя
Компания предлагает систему, которая позволяет аутентифицировать пользователя по номеру телефона. Продукт состоит из сервера, который рассылает одноразовые пароли на мобильные телефоны предварительно зарегистрированных пользователей. При этом у пользователя проверяется знание постоянного пароля для входа в систему аутентификации Windows. С этой целью продукт интегрируется с такими службами каталогов, как Microsoft Active Directory, Novell E-Directory, Sun Directory Server и OpenLDAP, а сама процедура аутентификации выполняется по протоколу Kerberos. Дополнительным фактором защиты может служить PIN-код для снятия блокировки самого телефона, который вообще не передается по сетям и его знает только владелец телефона. Одноразовый пароль служит для подтверждения регистрации данного телефона в системе. Таким образом, систему можно отнести к классу двухфакторных с привязкой к телефону.
SecurAccess интегрируется с большинством серверов удаленного доступа и вебслужбами, включая Microsoft OWA, Citrix, Juniper, Cisco и многие другие. Устанавливается он на любой сервер Microsoft Windows 2003 или 2008, поддерживающий виртуальные среды, такие как VMware и Microsoft Hyper-V. Причем система может работать и в условиях нестабильной сотовой связи: в одном SMS может передаваться до трех кодовпаролей. При последовательном их применении пользователь может получать в три раза меньше сообщений. Кроме того, есть режим получения временных ключей со сроком действия в один или несколько дней — они подходят для временного персонала. Причем у пользователя есть возможность получить временный пароль с помощью вебинтерфейса или по электронной почте.
Технология, реализованная в SecurAccess, предназначена для построения систем удаленного доступа и решает наиболее сложную для них проблему двухфакторной аутентификации. При этом она проще в использовании, чем традиционные аппаратные устройства, — для ее применения пользователям достаточно стандартных мобильных телефонов. Кроме того, данная технология может оказаться дешевле. Токены стоят определенных денег, к тому же ими нужно управлять, для чего приходится разворачивать специальные приложения. В то же время потеря токена может обнаружиться не сразу, а для его замены необходимо приобретать новый токен, обращаться к системному администратору и прописывать его в системе.
При этом стоимость решения с использованием мобильных телефонов зависит от лицензии на само ПО и цены SMS, которая постоянно снижается. Аппаратная же часть системы, то есть мобильные телефоны, вообще находится в собственности пользователя, и он сам отвечает за нее. Кроме того, пользователь следит за тем, чтобы мобильный телефон был постоянно доступен и в случае его потери легко может восстановить номер. При утрате телефона пользователь может восстановить номер самостоятельно, обращаясь не к системному администратору, а к оператору сотовой связи, или зарегистрировать новый номер — в любом случае при регистрации устройства нет необходимости физического присутствия пользователя.
Поскольку для генерации одноразовых паролей применяется не хеширующая функция, а действительно случайные числа, то не существует начального вектора инициализации, как в аппаратных устройствах. Поэтому от надежности защиты производителя, как это произошло с RSA, работа механизма не зависит. При этом регистрация в системе может быть дистанционной и легко контролируется компанией по спискам контактных телефонов сотрудников, клиентов или партнеров. Безопасность системы зависит от защиты сервера, которую можно сделать очень надежной. Для взлома механизма аутентификации хакеры должны перехватить канал между корпоративной сетью и мобильным оператором, что довольно трудно сделать, или же получить контроль над мобильным телефоном жертвы.
Аутентификация по мобильному телефону может пригодиться для систем дистанционного банковского обслуживания, различных платежных приложений и любых систем удаленного доступа к наиболее ценным корпоративным ресурсам. В частности, подобная процедура защищает от действия троянских программ, которые работают на компьютере и не в состоянии синхронно контролировать еще и мобильный телефон сотрудника. Защититься же от троянцев на мобильном телефоне очень просто — нужно использовать простые телефоны, которые только и умеют, что получать SMS-сообщения.
Кроме того, аутентификация с помощью мобильных телефонов хорошо подходит для защиты «облачных» приложений. Продукт SecurEnvoy работает в виртуальных средах VMware и Microsoft Hyper-V, что облегчает его применение в «облачных» приложениях. Поэтому он может служить для усиления безопасности «облачных» вычислений — сегодня это основная проблема при внедрении «облаков». Надежная аутентификация в «облаке» является ключевой задачей при построении системы защиты распределенных приложений.
Кроме того, на основе данного сервера безопасности работают несколько продуктов SecurEnvoy, каждый из которых найдет свое место в инфраструктуре компании. Так, надежная аутентификация во время чрезвычайных ситуаций может быть выполнена с помощью продукта SecurICE, восстановление паролей через мобильный телефон возможно организовать с помощью продукта SecurPassword, а для передачи защищенных сообщений предлагается воспользоваться продуктом SecurMail.
Рассмотрим эти приложения более подробно.
SecurePassword
Данный продукт позволяет пользователям обновить пароль. Для этого достаточно, чтобы пользователь системы ввел на момент регистрации не только свои регистрационные данные, но и номер мобильного телефона. В случае если старый пароль забыт пользователем либо скомпрометирован, он запускает на сайте специальную процедуру восстановления пароля, которая инициирует пересылку SMS-сообщения на заранее зарегистрированный мобильный телефон. В сообщении содержится временный пароль, который гарантирует, что процедуру проходит зарегистрированный пользователь с указанным номером телефона. При этом пользователь может сменить временный пароль на любой другой.
Пересылку временного пароля можно инициировать и в том случае, если пользователь несколько раз неправильно ввел пароль. Если это был легальный пользователь, то он в результате может успешно пройти процедуру аутентификации. Если же это была попытка подбора пароля, то легальный пользователь очень быстро получит предупреждающее сообщение и должен будет сообщить об этом факте администратору системы. Таким образом, продукт можно использовать не только для восстановления пароля, но и как средство защиты от подбора.
Следует отметить, что стоит применять подобную систему не для собственных сотрудников, а для регистрации сторонних пользователей. Пароли являются не наиболее надежным, но самым дешевым средством аутентификации, поэтому когда предполагается, что пользователей будет несколько тысяч, то лучше использовать обычные пароли с возможностью их обнуления по мобильному телефону — именно для этого и предназначен продукт SecurPassword.
SecurICE
В некоторых случаях всетаки стоит применять аппаратные устройства аутентификации — это может быть указано в требованиях безопасности или в том случае, когда система с токенами уже была развернута. Для надежной аутентификации также могут использоваться сертификаты. Однако эти системы довольно сложны и могут выходить из строя. Например, что делать, если аппаратный идентификатор потерян или корневой сертификат дискредитирован. В этом случае система становится беззащитной, чем могут воспользоваться нападающие. Они же могут спровоцировать подобную ситуацию для проникновения внутрь системы.
Чтобы защититься от подобных активных методов нападения, компании стоит предусмотреть надежный метод аутентификации на время восстановления штатной работы системы защиты. В этом случае также может помочь аутентификация по мобильному телефону. В частности, именно для этих целей компания SecurEnvoy предлагает продукт SecurICE. Системный администратор активирует его в случае аварийной ситуации со штатной системой надежной аутентификации. Сервер безопасности рассылает всем пользователям, затронутым аварией, одноразовые пароли для временного доступа. В результате система не совсем теряет защиту, но переходит в другой режим безопасности, исследовать который заранее злоумышленники не могут.
Данный продукт пригодится компаниям, которые обладают внедренной системой надежной аутентификации. Поскольку она очень дорогая, то пользуются ею обычно наиболее ответственные сотрудники, такие как системные администраторы и руководство. Именно для них и стоит предусмотреть надежную аутентификацию на случай аварийной ситуации, чтобы нападающие, которые ее спровоцировали, не могли ею воспользоваться.
SecurMail
Безопасные системы передачи сообщений существуют довольно давно, однако в них всегда есть проблема передачи ключа дешифрования новому пользователю. Для этого приходится применять схемы распределения ключей через сертификаты или общие секреты. Однако существует более надежный способ — доставлять ключи дешифрования на мобильный телефон. Также можно использовать платформу безопасной аутентификации, разработанную компанией SecurEnvoy. Именно это и выполняет продукт SecurMail, который обеспечивает шифрование сообщений и рассылку паролей для их дешифрования на мобильный телефон. Правда, для шифрования и дешифрования сообщений требуется установка специального программного компонента. Подобное программное решение может пригодиться практически любой компании для защиты внутренней переписки, а также общения с наиболее важными контрагентами.
Заключение
Фирма SecuiEnvoy разработала удобную технологическую платформу для более надежной аутентификации с помощью мобильного телефона. Компаниям пригодятся практически все продукты на базе этой платформы. Так, SecurPassword можно применять для смены и восстановления пароля посетителей сайта, SecurAcces — для организации доступа собственных сотрудников, а SecurICE — для поддержки системы надежной аутентификации, которая должна быть развернута для защиты наиболее важных пользователей, таких как руководство или системные администраторы. Ну а безопасный обмен шифрованными сообщениями с помощью SecurMail нужен любой компании для защиты наиболее важной почтовой переписки. Скачать бесплатную пробную 30-дневную версию продуктов можно на сайте официального дистрибьютора в России — компании TopSecurity: www.tsecure.ru.