Аутентификация на основе одноразовых паролей

Процедуры аутентификации на основе одноразовых паролей ОТР (One Time Password) являются более надежными по сравнению с многоразовыми паролями.

Суть схемы одноразовых паролей – использование различных паролей при каждом новом запросе на предоставление доступа. Одноразовый динамический пароль действителен только для одного входа в систему, и затем его действие истекает. Даже если кто-то перехватил его, пароль окажется бесполезным. Динамический механизм задания пароля является одним из лучших способов защитить процесс аутентификации от угроз извне.

Одноразовые пароли генерируются с помощью ОТР-токена. Для этого используется секретный ключ пользователя, размещенный как внутри ОТР-токена, так и на сервере аутентификации.

Для того чтобы получить доступ к необходимым ресурсам, пользователь должен ввести пароль, созданный с помощью ОТР-токена. Этот пароль сравнивается со значением, сгенерированным на сервере аутентификации, после чего выносится решение о предоставлении доступа. Преимуществом такого подхода является то, что пользователю не требуется соединять токен с компьютером.

Однако количество приложений ИТ-безопасности, которые поддерживают возможность работы с ОТР-токенами, намного меньше, чем для смарт-карт и USB-токенов. Недостатком ОТР-токенов является ограниченное время жизни этих устройств (три-четыре года), так как автономность работы предполагает использование батарейки.

Обычно системы аутентификации с одноразовыми паролями используются для проверки удаленных пользователей.

Строгая аутентификация

Идея строгой аутентификации заключается в том, что проверяемая сторона доказывает свою подлинность проверяющей стороне, демонстрируя знание некоторого секрета. Этот секрет может быть предварительно распределен безопасным способом между сторонами аутентификационного обмена.

Основные понятия

В соответствии с рекомендациями стандарта Х.509 различают процедуры строгой аутентификации следующих типов:

· односторонняя аутентификация;

· двусторонняя аутентификация;

· трехсторонняя аутентификация.

Односторонняя аутентификация предусматривает обмен информацией только в одном направлении. Данный тип аутентификации позволяет:

· подтвердить подлинность только одной стороны информационного обмена;

· обнаружить нарушение целостности передаваемой информации;

· обнаружить проведение атаки типа «повтор передачи»;

· гарантировать, что передаваемыми аутентификационными данными может воспользоваться только проверяющая сторона.

Двусторонняя аутентификация по сравнению с односторонней содержит дополнительный ответ проверяющей стороны доказывающей стороне, который должен убедить ее, что связь устанавливается именно с той стороной, которой были предназначены аутентификационные данные.

Трехсторонняя аутентификация содержит дополнительную передачу данных от доказывающей стороны проверяющей.

Процессы строгой аутентификации могут быть реализованы на основе многофакторных проверок и использования криптографических методов.

Строгая аутентификация может быть реализована на основе двух- или трехфакторного процесса проверки, по результатам которого пользователю может быть предоставлен доступ к запрашиваемым ресурсам.

В первом случае пользователь должен доказать, что он знает пароль или PIN-код и имеет определенный персональный идентификатор (смарт-карту или USB-ключ). Во втором случае пользователь предъявляет еще один тип идентификационных данных, например биометрические данные. На практике более широкое применение находит двухфакторная аутентификация.

Применение средств многофакторной аутентификации снижает роль паролей, и в этом проявляется еще одно преимущество строгой аппаратной аутентификации, так как, по некоторым оценкам, пользователям приходится помнить до 15 различных паролей для доступа к учетным записям. Из-за информационной перегруженности сотрудники, чтобы не забыть пароли, записывают их на бумаге, что снижает уровень безопасности из-за риска компрометации пароля.

Современные системы идентификации и аутентификации по виду используемых идентификационных признаков разделяются на электронные, биометрические и комбинированные (рис. 5.3).

Рис 5.3. Классификация СИА по виду идентификационных признаков

В электронных системах идентификационные признаки представляются в виде цифрового кода, хранящегося в памяти идентификатора. Такие СИА разрабатываются на базе следующих идентификаторов:

· идентификаторы iButton (information button – информационная «таблетка»);

· контактные смарт-карты (smart card – интеллектуальная карта);

· бесконтактные радиочастотные идентификаторы (RFID-системы);

· бесконтактные смарт-карты;

· USB-ключи и USB-токены.

В биометрических системах идентификационными признаками являются индивидуальные особенности человека. В основе идентификации и аутентификации этого типа лежит процедура считывания предъявляемого биометрического признака пользователя и его сравнение с предварительно полученным.

В комбинированных системах для идентификации используются одновременно несколько идентификационных признаков.