Телефон лучше токена

Виталий Иванов
менеджер по развитию продуктов компании TopSecurity

SecurAccess: телефон как средство аутентификации

Токены не очень удобны в использовании, поскольку их нужно иметь под рукой для прохождения процедуры аутентификации. Однако, как показывает практика, и на них также могут быть организованы атаки. Примером может служить атака на систему ДБО нескольких банков, которая началась со взлома производителя токенов RSA.

В то же время практически у всех пользователей современных технологий удаленного доступа есть устройство, которое к ним жестко привязано, – это мобильный телефон. Сейчас он постепенно превращается и в средство аутентификации пользователей. В России все контракты мобильных операторов именные и привязаны к паспортам, что позволяет по номеру мобильного телефона в случае необходимости определить его владельца. Именно эту особенность мобильного телефона и использует компания SecurEnvoy, разработавшая продукт SecurAccess для аутентификации пользователей в различных Web-системах с помощью мобильного телефона.

Телефон как имя

Компания предлагает систему, которая позволяет аутентифицировать пользователя по номеру телефона. Продукт состоит из сервера, который рассылает одноразовые пароли на мобильные телефоны предварительно зарегистрированных пользователей. При этом у пользователя проверяется знание постоянного пароля для входа в систему аутентификации Windows. Для этого продукт интегрируется с такими службами каталогов, как Microsoft Active Directory, Novell E-Directory, Sun Directory Server и OpenLDAP, а сама процедура аутентификации выполняется по протоколу Kerberos. Дополнительным фактором защиты может служить PIN-код для снятия блокировки самого телефона, который вообще не передается по сетям и его знает только владелец телефона. Одноразовый пароль служит для подтверждения регистрации данного телефона в системе. Таким образом, систему аутентификации можно отнести к классу двухфакторных с привязкой к телефону.

Удобство и надежность

Технология, реализованная в SecurAccess, предназначена для построения систем удаленного доступа и решает наиболее сложную для них проблему двухфакторной аутентификации. Причем она проще в использовании, чем традиционные аппаратные устройства, – для ее применения пользователям достаточно стандартных мобильных телефонов. Кроме того, она может оказаться дешевле. Токены стоят определенных денег, да к тому же ими нужно управлять, для чего приходится разворачивать специальные приложения. В то же время при потере токена этот факт может обнаружиться не сразу, а для его замены нужно приобрести новый токен, прийти к системному администратору и прописать его в системе.

В то же время стоимость решения с использованием мобильных телефонов зависит от лицензии на само ПО и цены SMS, которая постоянно снижается. Аппаратная же часть системы – мобильный телефон – находится вообще в собственности пользователя, и он отвечает за него самостоятельно. Кроме того, сам пользователь следит за тем, чтобы мобильный телефон был постоянно доступен. При потере телефона пользователь может восстановить его номер самостоятельно, нет необходимости физического присутствия при регистрации устройства.

Поскольку для генерации одноразовых паролей используется не хеширующая функция, а действительно случайные числа, то и не существует начального вектора инициализации, как в аппаратных устройствах. Поэтому от надежности защиты производителя, как это произошло с RSA, работа механизма не зависит. При этом регистрация в системе может быть дистанционной и легко контролироваться компанией по спискам контактных телефонов сотрудников, клиентов или партнеров. Безопасность системы зависит от защиты сервера, которую можно сделать достаточно надежной. Для взлома механизма аутентификации хакеры должны перехватывать канал между корпоративной сетью и мобильным оператором, что сделать достаточно трудно, или же получить контроль над мобильным телефоном жертвы.

Аутентификация по мобильному телефону может пригодиться для систем ДБО, различных платежных приложений и любых систем удаленного доступа к наиболее ценным корпоративным ресурсам. В частности, подобная процедура защищает от действия троянских программ, которые работают на компьютере и не в состоянии синхронно контролировать еще и мобильный телефон сотрудника. Защититься же от троянцев на мобильном телефоне достаточно просто – использовать простые телефоны, которые только и умеют, что получать SMS-сообщения.

Защита облачных приложений

Аутентификация с помощью мобильных телефонов хорошо подходит для защиты облачных приложений. Продукт SecurEnvoy работает в виртуальных средах VMware и Microsoft Hyper-V, что облегчает его использование в облачных приложениях. Поэтому его можно использовать для усиления безопасности облачных вычислений – именно это и является сейчас основной проблемой для внедрения облаков. Надежная аутентификация в облаке является ключевой задачей при построении системы защиты распределенных приложений.

Также на основе данного сервера безопасности работает несколько продуктов SecurEnvoy, каждый из которых может найти свое место в инфраструктуре компании. Так, надежная аутентификация во время чрезвычайных ситуаций может быть выполнена с помощью продукта SecurICE, восстановление паролей через мобильный телефон можно организовать с помощью продукта SecurPassword, а для передачи защищенных сообщений можно воспользоваться продуктом SecurMail.

Итак, рассмотрим их более подробно.

SecurePassword

Этот продукт позволяет пользователям обновить пароль. Для этого достаточно, чтобы пользователь системы ввел на момент регистрации не только свои регистрационные данные, но и номер мобильного телефона. В случае если свой старый пароль пользователь забыл или он был скомпрометирован, пользователь запускает на сайте специальную процедуру восстановления пароля, которая инициирует пересылку SMS-сообщения на заранее зарегистрированный мобильный телефон. В сообщении содержится временный пароль, который просто гарантирует, что процедуру проходит зарегистрированный пользователь с указанным номером телефона. При этом пользователь может сменить временный пароль на любой другой.

Пересылку временного пароля можно инициировать и в том случае, если пользователь неправильно ввел пароль несколько раз. Если это был легальный пользователь, то он в результате может успешно пройти процедуру аутентификации. Если же это была попытка подбора пароля, то легальный пользователь очень быстро получит предупреждающее сообщение и должен будет сообщить об этом факте администратору системы. Таким образом, продукт можно использовать не только для восстановления пароля, но и как средство защиты от подбора.

Следует отметить, что использовать подобную систему стоит не для собственных сотрудников, а для регистрации сторонних пользователей. Пароли являются не самым надежным, но самым дешевым средством аутентификации, поэтому когда пользователей предполагается иметь тысячи, то лучше использовать обычные пароли с возможностью их обнуления по мобильному телефону – именно для этого предназначен продукт SecurPassword.

SecurICE

В некоторых случаях все-таки стоит использовать аппаратные устройства аутентификации – это может быть указано в требованиях безопасности или в том случае, когда система с токенами уже была развернута. Для надежной аутентификации также могут использоваться сертификаты. Однако эти системы достаточно сложны и могут выходить из строя. Например, что делать, если аппаратный идентификатор потерян или корневой сертификат дискредитирован. В этом случае система становится беззащитной, что могут использовать злоумышленники. Они же могут и спровоцировать подобную ситуацию для проникновения внутрь системы.

Чтобы защититься от подобных активных методов нападения, компании стоит предусмотреть надежный метод аутентификации на время восстановления штатной работы системы защиты. В этом случае также может помочь аутентификация по мобильному телефону. В частности, именно для этих целей компания SecurEnvoy предлагает продукт SecurICE. Его активирует системный администратор в случае аварийной ситуации со штатной системой надежной аутентификации. Сервер безопасности рассылает всем пользователям, затронутым аварией, одноразовые пароли для временного доступа. В результате система не совсем теряет защиту, но переходит в другой режим безопасности, исследовать который заранее злоумышленники не могут.

Этот продукт пригодится тем компаниям, у которых есть внедренная система надежной аутентификации. Поскольку она достаточно дорогая, то пользуются ею обычно наиболее ответственные сотрудники, такие как системные администраторы и руководство. Именно для них и стоит предусмотреть надежную аутентификацию на случай аварийной ситуации, чтобы нападающие, которые ее спровоцировали, не могли ею воспользоваться.

SecurMail

Безопасные системы передачи сообщений существуют достаточно давно, однако в них всегда есть проблема передачи ключа дешифрования новому пользователю. Для этого приходится использовать схемы распределения ключей через сертификаты или общие секреты. Однако есть способ лучше – доставлять ключи дешифрования на мобильный телефон. При этом также можно использовать платформу безопасной аутентификации, разработанную компанией SecurEnvoy. Именно этим и занимается продукт SecurMail, который обеспечивает шифрование сообщений и рассылку паролей для их дешифрования на мобильный телефон. Правда, для шифрования и дешифрования сообщений нужно установить специальный программный компонент. Подобное программное решение может пригодиться практически любой компании для защиты своей внутренней переписки, а также общения с наиболее важными контрагентами.

Компания SecurEnvoy разработала удобную технологическую платформу для более надежной аутентификации с использованием мобильного телефона. При этом в компании могут пригодиться практически все продукты на базе этой платформы. Скачать бесплатную пробную 30-дневную версию продуктов можно на сайте официального дистрибьютора в России – компании TopSecurity: www.tsecure.ru.