RSS Лента
Последние обновления
May
26
Решение задачи двухфакторной аутентификации
Автор Михаил Елычев на 26 May 2017 01:14 PM

В современной модели угроз очевидно, что однофакторная парольная аутентификация не способна обеспечить адекватный уровень защиты. Главная задача, стоящая перед предприятиями при переходе к надежной двухфакторной аутентификации (2FA), — выбор и адаптация конкретных технологий аутентификации к IT-инфраструктуре компании. К сожалению, универсальной технологии не существует, любой выбор будет иметь преимущества и недостатки. Решение проблемы заключается в применении нескольких (как правило, двух-трех) технологий аутентификации в зависимости от контекста работы сотрудников.

Технологии аутентификации

Выбор технологий аутентификации состоит из оценки безопасности технологии, удобства использования, технической возможности применения, а также стоимости. Указанные показатели зависят от условий работы пользователей, целевых приложений, защищаемых двухфакторной аутентификацией и конечного устройства, на котором работает сотрудник.

Выбор технологии аутентификации

Сформулируем следующие критерии выбора системы двухфакторной аутентификации:

  • Безопасность — на сколько технология аутентификация отвечает потребностями организации в области ИБ. Например, одноразовые пароли обеспечивают адекватный уровень защиты для большинства сценариев, с другой стороны, организация может быть вынуждена применять иные технологии для соответствия внешним требованиям, таким как требования регуляторов или отраслевые стандарты.
  • Удобство использования — на сколько конечным пользователям будет комфортно применять ту или иную технологию в условиях их работы. Например, доступ к рабочему столу с использованием одноразовых паролей может быть не удобен, т.к. потребует генерировать и вводить пароль много раз в течение рабочего дня.
  • Стоимость использования технологии аутентификации складывается из нескольких составляющих:
    • Стоимость внедрения определяет первоначальный затраты на приобретение необходимого программного и аппаратного обеспечения, а также на работы по развертыванию системы;
    • Возможность использования имеющегося парка устройств может существенно сэкономить стоимость внедрения, устранив необходимость приобретения аппаратной составляющей.
    • Стоимость владения определяет затраты на ежедневное использование технологии аутентификации: техническая поддержка, замена вышедших из строя устройств, стоимость SMS сообщений и др.
    • Сложность интеграции технологии аутентификации с целевыми информационными системами может существенно повлиять на стоимость внедрения технологии аутентификации, например, если целевые системы не поддерживают стандартные механизмы интеграции.

Сценарии использования 2FA

Ниже приведены распространенные примеры сценариев использования двухфакторной аутентификации.

Работа в офисе

Офисный режим работы за персональным компьютером или ноутбуком остается основным при работе с информационными системами и, как следствие, для него доступен широкоий спектр технологий строгой аутентификации. Одним из наиболее доступных и развитых методов двухфакторной аутентификации при работе на ПК является использование цифровых сертификатов и индивидуальных ключевых носителей — смарт-карт или USB-токенов. Технология основана на инфраструктуре открытых ключей (PKI) и обладает следующими преимуществами:

  • Для аутентификации используется два фактора: устройство пользователя, где в защищенной памяти хранится закрытый ключ и PIN-код пользователя — сочетаются факторы “что пользователь имеет” и “что пользователь знает”.
  • Применение цифровых сертификатов  — технология строгой аутентификации, в процессе аутентификации доменный пароль не используется и не передается по сети. PIN-код проверяется локально на борту смарт-карты.
  • Технология аутентификации по сертификатам встроена в ОС Windows, что гарантирует совместимость со всеми версиями ОС и возможность работы “из коробки”.
  • PIN-код может быть заменен на отпечаток пальца с помощью технологии match-on-card.
  • Смарт-карты и сертификаты, кроме аутентификации, поддерживают операции электронной подписи документов и шифрования данных.
  • Низкая стоимость владения — так как индустрия производства смарт-карт хорошо развита, стоимость устройств одна из самых низких среди технологий строгой аутентификации.

Смарт-карты и USB-токены с сертификатами используются для доступа в ОС и целевые приложения на ПК, в терминальном доступе, VDI или VPN. Для работы на мобильных устройствах доступны USB-токены в micro-исполнении.

Удаленный доступ через VPN, VDI

При удаленной работе сотрудники получают доступ к локальным ресурсом организации по средствам технологии VPN, виртуальных рабочих столов или удаленной доставки приложений. Когда пользователь работает на ПК, то использование цифровых сертификатов может являться по-прежнему удобной и поддерживаемой целевыми сервисами технологией двухфакторной аутентификации. Однако, применение цифровых сертификатов может быть ограничено когда целевой сервис не поддерживает работу с сертификатами или пользователь работает не на ПК, а на мобильном устройстве: планшете или смартфоне.

В таких сценариях универсальным способом аутентификации становятся технологии одноразовых паролей (One-Time Password, OTP). Одноразовый пароль может быть доставлен пользователю следующими способами: по SMS или email; сгенерирован на смартфоне или брелоке по стандартизованным алгоритмам OATH; или доставлен на смартфон с помощью push-сообщения. Одноразовые пароли работают как в двухфакторном режиме, когда пользователь сначала указывать статичный пароль, а потом ОТР, так и в однофакторном режиме, когда для успешной аутентификации достаточно предоставить только одноразовый пароль. Широкий выбор вариантов исполнения ОТР-технологии позволяет легко адаптировать ее к потребностям организации.

Еще одним удобным Out Of Band (OOB) способом аутентификации является применение специализированного приложения для смартфона. Такое приложение принимает от сервера аутентификации push-уведомления и запрашивает у пользователя подтверждение операции входа в целевую систему. Пользовательский сценарий при таком подходе может быть следующим: пользователь вводит логин и пароль в форму входа в целевое приложение и наживает “войти”; после этого на смартфон приходит запрос (push-уведомление) на подтверждение операции входа (в запросе, например, могут указываться дополнительные данные: название приложения, куда выполняется вход, IP-адреса и др.); пользователь нажимает на смартфоне “подтвердить” и получает доступ в систему. Такой подход удобнее для пользователя, т.к. не требует генерации и ввода одноразовых паролей, однако для его реализации необходим доступ в Интернет на смартфоне.

Доступ к опубликованным в Интернет ресурсам

Частно организации публикуют в Интернет отдельные сервисы для возможности доступа к ним пользователей из-за пределов сети предприятия с помощью ПК, планшета или смартфона. Как правило, такие сервисы предоставляют собой web- или мобильные приложения, что накладывает серьезные ограничения на использование двухфакторной аутентификации.

Аналогично предыдущему сценарию, оптимальным решением проблемы строгой аутентификации здесь будет являться применение технологий одноразовых паролей, либо специализированного приложения для смартфона.

Отдельно следует отметить, что для мобильного режима работы актуально применение системы аутентификации, включающей в себя традиционные факторы аутентификации и дополнительные данные: IP-адрес пользователя; устройство, с которого осуществляется доступ; день недели и текущее время; частота получения доступа и др. Такой подход учитывает контекст работы пользователя (т.н. context-based authentication), что позволяет усилить защищенность опубликованных ресурсов и вовремя блокировать в случае аномальной активности пользователя.

Продукты Indeed Identity

Ниже приведен перечень продуктов Indeed Identity, которые реализуют технологии двухфакторной аутентификации, описанные выше.

Indeed Card Management

Централизованная система управления жизненным циклом ключевых носителей (смарт-карт и USB-ключей) и цифровых сертификатов. Indeed Card Management снижает расходы на использование PKI-инфраструктуры и повышает эффективность ее использования за счет применения централизованных политики использования смарт-карт и сертификатов, автоматизации рутинных операций и предоставления пользователям сервиса самообслуживания.

Indeed Enterprise Authentication

Универсальная система аутентификации, предназначенная для организации строгой и двухфакторной аутентификации в информационных системах, используемых на предприятиях: ОС, web- и мобильные приложения, VPN, VDI, SAML-совместимые приложения и др. Поддерживается также технология Enterprise Single Sign-On.

Indeed AirKey Enterprise

Виртуальная смарт-карта представляет собой программную реализацию классической смарт-карты, что позволяет использовать Indeed AirKey Enterprise в любых сценариях, доступных классическим картам. При этом организация не несет дополнительных затрат на аппаратные носители. Инфраструктура виртуальных смарт-карт управляется централизованно администратором системы, включая удаленную доставку карты на ПК пользователя и уничтожение карты.


Подробнее »



May
22
Indeed Card Management 4.2
Автор Алексей Дмитриев на 22 May 2017 03:22 PM

indeed-cm-4.2Работая над очередным релизом Indeed Card Managеment 4.2, мы акцентировали свое внимание на совершенствовании механизмов взаимодействия с удостоверяющими центрами, ключевыми носителями и сертификатами. Наша система способна стать не только инструментом управления жизненным циклом смарт-карт и USB-токенов на предприятии, но и своего рода интерфейсом взаимодействия со всеми элементами инфраструктуры открытых ключей.

В новой версии Indeed CM была существенно расширена интеграция с каталогом пользователей Центра регистрации КриптоПро УЦ 2.0:

  • Создание новых учетных записей и поиск существующих для автоматической привязки может осуществляться в указанной папке с пользователями Центра регистрации.

CM4.2_01

  • Шаблон выпуска сертификата может быть связан с определенным пользователем Центра регистрации, что требуется когда сертификат выпускается на учетную запись ответственного сотрудника. Данная возможность реализована и для КриптоПро УЦ 1.5.

CM4.2_02

  • Учетные данные пользователя Центра регистрации автоматически обновляются перед выпуском и обновлением смарт-карт. Например, каталогом пользователей системы является Active Directory, а сертификаты выпускаются на КриптоПро УЦ 2.0. Когда в учетной записи пользователя из Active Directory будет изменен один из атрибутов это изменение будет отражено в учетной записи на УЦ.
  • Поддерживается сценарий взаимодействия с КриптоПро УЦ в условиях ограниченного доступа к каталогу пользователей Центра регистрации. Подобная ситуация может возникнуть, когда услуги удостоверяющего центра оказывает сторонняя компания, например, КриптоПро.

Устройства JaCarta PKI/ГОСТ поддерживаются теперь в полном объеме, включая аппаратную криптографию, реализуемую ГОСТ-апплетом. При добавлении новых токенов JaCarta управление PIN-кодами пользователя и администратора обеих областей переходит в сферу действия нашей системы. Поддержка аппаратной криптографии реализована и для токенов Рутокен ЭЦП всех модификаций, включая новый Рутокен ЭЦП 2.0.

Появилась возможность выпуска любых типов устройств в Indeed CM с указанием PIN-кода пользователя, что позволит брать под контроль те устройства, которые уже находятся в эксплуатации на предприятии (пользовательские PIN-коды были изменены в соответствии с регламентом информационной безопасности на предприятии).

CM4.2_03

Для сертификатов, выпущенных сторонними по отношению к Indeed CM удостоверяющими центрами (без возможности интеграции с системой) и записанных на ключевые носители, была добавлена функция отслеживания. Такие сертификаты будут отображаться в профиле пользователя, а на электронный адрес будет отправлено уведомление об истечении срока действия.

CM4.2_04

Вместе с тем нами был реализован механизм импорта из pfx формата сертификатов с ключами, общих для всех пользователей в рамках политики выпуска. Эта ключевая информация может быть записана  как при операции выпуска, так и при обновлении содержимого на устройстве.

В свойствах шаблона сертификата Удостоверяющих центров КриптоПро 1.5 и 2.0 добавлена опция установки сертификата, выпускаемого через сервис самообслуживания Indeed CM, в хранилище пользователя на компьютере. Данная опция применима в случае, когда программное обеспечение от производителя устройств не предоставляет данную функциональность через службу распространения сертификатов Windows. Также все выпускаемые на удостоверяющих центрах КриптоПро сертификаты могут автоматически сохраняться в файловом хранилище.

В заключении хотелось бы отметить, что Indeed Card Management является удобным в использовании и гибким в плане конфигурации инструментом централизованного управления инфраструктурой открытых ключей на предприятии. Если в вашей компании уже внедрена система SafeNet Authentication Manager (SAM), то в составе дистрибутива имеется утилита миграции и  вся информация: о сертификатах, устройствах и пользователях будет полностью перенесена в Indeed CM. Это позволит произвести быструю миграцию на нашу систему без потери данных и простоев в работе сотрудников.


Подробнее »



Mar
4
Интеграция КриптоПро DSS и Indeed Card Management
Автор Алексей Баранов на 04 March 2017 11:00 AM

В рамках прошедшей на прошлой неделе конференции РуссКрипто 2017 мы с коллегами из компании КриптоПро анонсировали интеграцию систем КриптоПро DSS и Indeed Card Management. В ближайшее время мы планируем провести вебинар, посвященный новым возможностям наших продуктов. Будем рады видеть вас в числе слушателей. О дате проведения вебинара обязательно сообщим дополнительно.

Пресс-релиз на C-News


Подробнее »



Oct
24
Indeed Card Management 4.0 поддерживает виртуальные смарт-карты
Автор Юлия Шлыкова на 24 October 2016 12:58 PM

indeed-cm-4.0В новой версии Indeed Card Management 4.0 реализована поддержка виртуальной смарт-карты Indeed AirKey Enterprise, которая программно реализует все функции, предоставляемые физическими смарт-картами, но не требует затрат на приобретение и обслуживание смарт-карт и соответствующих считывающих устройств (кард-ридеров), обеспечивая при этом более высокий уровень безопасности по сравнению с обычными ключевыми носителями.

При использовании виртуальной смарт-карты Indeed AirKey Enterprise все криптографические операции, выполняются на сервере системы или в аппаратном модуле HSM, а ключи шифрования не передаются на компьютер пользователя, что физически исключает возможность получения доступа к процессам шифрования и дешифрования злоумышленником или вредоносным ПО. Каналы связи между всеми элементами системы (сервером, ПК и/или смартфоном пользователя) шифруются с применением асимметричных алгоритмов шифрования по протоколу TLS. На ПК пользователя доставляется уже готовый результат криптооперации.

Благодаря поддержке виртуальной смарт-карты Indeed AirKey Enterprise, новая версия системы Indeed Card Management позволяет компаниям с развернутой PKI-инфраструктурой не только сократить расходы на ее обслуживание, но также более эффективно организовать работу сотрудников за счет исключения физической составляющей и возможности удаленной доставки виртуальных смарт-карт на ПК пользователей.


Подробнее »



Sep
20
Indeed ID поддерживает аутентификацию по 3D-модели лица
Автор Юлия Шлыкова на 20 September 2016 11:30 AM

Биометрическая аутентификация по лицуБиометрические технологии аутентификации сегодня становятся все более популярными. Они эффективно заменяют парольную аутентификацию, предоставляя пользователям надежный, простой и удобный механизм получения доступа.


В последнее время стали активно развиваться технологии бесконтактной биометрической аутентификации, которые обладают рядом преимуществ перед традиционными контактными решениями (такими как отпечатки пальцев). Бесконтактную биометрию отличают абсолютная гигиеничность, а также простота и удобство использования.

Мы дополнили список биометрических технологий аутентификации, поддерживаемых продуктами Indeed ID, возможностью бесконтактной аутентификации по 3D-модели лица. Для реализации данной возможности мы использовали Artec Welcome SDK от компании Artec ID, специализирующейся на разработке биометрических технологий и технологий 3D-сканирования, в том числе для решения задач контроля доступа и обеспечения физической и логической безопасности. Совместная работа с Artec Welcome SDK реализована в системе Indeed Enterprise Authentication, предназначенной для управления доступом пользователей к IT-ресурсам компании, и системе Indeed Enterprise Single Sign-On, реализующей единый доступ пользователей к данным в масштабах предприятия.

В основе добавленной технологии аутентификации лежит построение трехмерного изображения лица человека с использованием 3D-сенсоров Intel Realsense™, которые устанавливаются на различные типы ПК. Изображение лица является уникальным биометрическим ключом. При этом технология различает объекты лучше людей, поскольку определяет нюансы геометрии лица с точностью до долей миллиметров и способна идентифицировать близнецов, неразличимых «невооруженным» взглядом.

Процесс распознавания пользователя занимает менее секунды, что обеспечивает комфортную работу и высокую пропускную способность системы. Пользователю достаточно взглянуть на устройство для того, чтобы получить доступ к ресурсам.

В отличие от других технологий биометрической аутентификации, трехмерная модель лица не требует физического контакта с устройством аутентификации, что исключает необходимость регулярной очистки сенсоров и продолжительного позиционирования перед считывателем.

Аутентификация по 3D-модели лица может быть использована для повышения надежности систем контроля и управления доступом (СКУД), а также в банкоматах, платежных терминалах и других устройствах для обеспечения авторизованного доступа. Возможность интеграции технологии в существующую систему аутентификации и/или СКУД предприятия, а также ее сочетание с другими технологиями позволяет реализовать широкий спектр сценариев и режимов работы.

В завершение отметим, что группа компаний Artec является мировым лидером в области производства оборудования и программного обеспечения для 3D-сканирования. Решения Artec создают точные трехмерные модели физических объектов с самой сложной геометрией поверхности и применяются в более чем 190 странах мира в таких областях, как реверс-инжиниринг, метрология, контроль качества, компьютерная графика, ортопедия, протезирование, палеонтология, сохранение объектов культурного наследия и многих других. Более подробная информация о Группе Компаний Artec доступна на сайтах www.artecid.com и www.artec3d.com.

Компания Найстек является эксклюзивным представителем компании Artec ID в Российской Федерации, Казахстане и Беларуси. Подробная информация о компании доступна на сайте www.nicetec.ru


Подробнее »