Аутентификация на основе одноразовых паролей
Процедуры аутентификации на основе одноразовых паролей ОТР (One Time Password) являются более надежными по сравнению с многоразовыми паролями.
Суть схемы одноразовых паролей – использование различных паролей при каждом новом запросе на предоставление доступа. Одноразовый динамический пароль действителен только для одного входа в систему, и затем его действие истекает. Даже если кто-то перехватил его, пароль окажется бесполезным. Динамический механизм задания пароля является одним из лучших способов защитить процесс аутентификации от угроз извне.
Одноразовые пароли генерируются с помощью ОТР-токена. Для этого используется секретный ключ пользователя, размещенный как внутри ОТР-токена, так и на сервере аутентификации.
Для того чтобы получить доступ к необходимым ресурсам, пользователь должен ввести пароль, созданный с помощью ОТР-токена. Этот пароль сравнивается со значением, сгенерированным на сервере аутентификации, после чего выносится решение о предоставлении доступа. Преимуществом такого подхода является то, что пользователю не требуется соединять токен с компьютером.
Однако количество приложений ИТ-безопасности, которые поддерживают возможность работы с ОТР-токенами, намного меньше, чем для смарт-карт и USB-токенов. Недостатком ОТР-токенов является ограниченное время жизни этих устройств (три-четыре года), так как автономность работы предполагает использование батарейки.
Обычно системы аутентификации с одноразовыми паролями используются для проверки удаленных пользователей.
Строгая аутентификация
Идея строгой аутентификации заключается в том, что проверяемая сторона доказывает свою подлинность проверяющей стороне, демонстрируя знание некоторого секрета. Этот секрет может быть предварительно распределен безопасным способом между сторонами аутентификационного обмена.
Основные понятия
В соответствии с рекомендациями стандарта Х.509 различают процедуры строгой аутентификации следующих типов:
· односторонняя аутентификация;
· двусторонняя аутентификация;
· трехсторонняя аутентификация.
Односторонняя аутентификация предусматривает обмен информацией только в одном направлении. Данный тип аутентификации позволяет:
· подтвердить подлинность только одной стороны информационного обмена;
· обнаружить нарушение целостности передаваемой информации;
· обнаружить проведение атаки типа «повтор передачи»;
· гарантировать, что передаваемыми аутентификационными данными может воспользоваться только проверяющая сторона.
Двусторонняя аутентификация по сравнению с односторонней содержит дополнительный ответ проверяющей стороны доказывающей стороне, который должен убедить ее, что связь устанавливается именно с той стороной, которой были предназначены аутентификационные данные.
Трехсторонняя аутентификация содержит дополнительную передачу данных от доказывающей стороны проверяющей.
Процессы строгой аутентификации могут быть реализованы на основе многофакторных проверок и использования криптографических методов.
Строгая аутентификация может быть реализована на основе двух- или трехфакторного процесса проверки, по результатам которого пользователю может быть предоставлен доступ к запрашиваемым ресурсам.
В первом случае пользователь должен доказать, что он знает пароль или PIN-код и имеет определенный персональный идентификатор (смарт-карту или USB-ключ). Во втором случае пользователь предъявляет еще один тип идентификационных данных, например биометрические данные. На практике более широкое применение находит двухфакторная аутентификация.
Применение средств многофакторной аутентификации снижает роль паролей, и в этом проявляется еще одно преимущество строгой аппаратной аутентификации, так как, по некоторым оценкам, пользователям приходится помнить до 15 различных паролей для доступа к учетным записям. Из-за информационной перегруженности сотрудники, чтобы не забыть пароли, записывают их на бумаге, что снижает уровень безопасности из-за риска компрометации пароля.
Современные системы идентификации и аутентификации по виду используемых идентификационных признаков разделяются на электронные, биометрические и комбинированные (рис. 5.3).
Рис 5.3. Классификация СИА по виду идентификационных признаков
В электронных системах идентификационные признаки представляются в виде цифрового кода, хранящегося в памяти идентификатора. Такие СИА разрабатываются на базе следующих идентификаторов:
· идентификаторы iButton (information button – информационная «таблетка»);
· контактные смарт-карты (smart card – интеллектуальная карта);
· бесконтактные радиочастотные идентификаторы (RFID-системы);
· бесконтактные смарт-карты;
· USB-ключи и USB-токены.
В биометрических системах идентификационными признаками являются индивидуальные особенности человека. В основе идентификации и аутентификации этого типа лежит процедура считывания предъявляемого биометрического признака пользователя и его сравнение с предварительно полученным.
В комбинированных системах для идентификации используются одновременно несколько идентификационных признаков.