Что такое логический доступ?
Под логическим контролем доступа понимается комплекс мер, обеспечивающих защиту от несанкционированного доступа к персональным компьютерам, компьютерным сетям и информации, хранящейся в них.
Многие используют имя пользователя и пароль для доступа компьютеру, веб-порталам, сетевым ресурсам, но является ли это достаточно безопасным? Во все времена информация оставалась и будет оставаться наиболее ценным ресурсом. Сегодня все возрастающие объемы конфиденциальных данных становятся все более доступными и поэтому предприятия подыскивают замену традиционным паролям для обеспечения более высокого уровня безопасности. К сожалению, более высокий уровень безопасности традиционно был связан с возникающей сложностью и снижением удобства работы для пользователй. Но, это не всегда так.
Имя пользователя и пароль в сравнении с обычным металлическим ключом
С момента свого создания металлический ключ стал самым распространненым способом доступа к зданиям и автомобилям. Изготовление ключа и его дубликата практически ничего не стоят. Ключ удобно носить и он обеспечивает относительно надежный способ защиты доступа к тому, что находится по другую сторону замка. Однако, уже на протяжении последних 15 лет во многих компаниях металлический ключ успешно вытесняется оборудованием систем контроля доступа с использованием карт. Замена происходит главным образом благодаря простоте копирования ключа, отсутствию гибкости и трудностям с заменой. Поэтому был разработан новый, более удобный, эффективный и безопасный способ доступа.
Можно провести параллель между металлическим ключом и именем пользователя с паролем. Связка имени пользователя и пароля также является первым способом доступа (аутентификации), широко используемый для доступа к компьютерам или сетевым ресурасам. Но уже сегодня происходит постепенная смена на другие способы проверки подлинности, которые являются более безопасными и удобными.
Давайте рассмотрим имя пользователя и пароль более детально.
Имя пользователя (логин) - обычно используется простой формат представления, использующий имя и фамилию человека. Например, Александр Иванов может иметь следующее имя пользователя aivanov. Хотя IT администраторы могут задавать совершенно любые имена для пользователей, как правило их делают легкими для запоминания. К сожалению, это делает их легко угадываемыми. Информация о человеке на визитной карточке или полученная в интернете позволяет злоумышленнику легко угадать имя пользователя. Имена пользователей не являются тайной, они обладают только уникальностью. Поэтому единственной мерой защиты конфиденциальных данных остается пароль пользователя.
Пароль пользователя. Аналогично ключу, пароль является своеобразной формой аутентификации, но вместо открытия двери он используется для доступа к компьютеру. Так же как отмычки, созданные для простого способа открытия замков с целью кражи ценностей, появились и специальные инструменты для подбора паролей, клавиатурные шпионы и много много другого, в конечном счете обеспечивающих возможность кражи закрытой информации. Кроме того, следует отметить и человеческий фактор. Часто администраторы позволяют пользователю самому задавать имя пользователя и пароль. Пользователи часто используют очень простые пароли, и также часто один и тотже пароль используется для множества целей. Это само собой не может не отразиться на безопасности.
В связи с этим, многие организации вводят специальные требования, накладывающие определенные условия на пароль - большая длина, комбинация символов с верхним и нижним регистром, наличие цифр и спецсимволов, а также обязательная смена пароля каждые 60-90 дней. Хотя эти меры и поднимают уровень безопасности, это сильно сказывается на удобстве пользователей. Сложность пароля заставляет пользователей записывать их на листках бумаги и хранить в ящиках стола или размещать их прямо на мониторах своих компьютеров! Стремление увеличить безопасность таким способом может породить плачевные последствия...
Новый способ доступа, который может прийти на смену имени пользователя и пароля, должен иметь высокий уровень безопасности и при этом быть не сложнее в использовании.
"Не остается сомнений, что с течением времени люди будут все меньше и меньше полагаться на пароли. Люди используют один и тот же пароль в разных системах, они записывают их .... Мы не собираемся рассчитывать на их надежность. Мы движемся по направлению к биометрии и смарт-картам. Мы наконец видим, что наши ведущие клиенты начинают предпринимать шаги в этом направлении."
— Билл Гейтс, 2004 г.
Что может быть лучше, чем имя пользователя и пароль?
Выше мы рассмотрели недостатки при использовании имени пользователя и пароля, снижающие безопасность. Безопасноть является первостепенным условием для сохранности информации и минимизации риска ее утери. Но это не единственное, что нужно учитывать при выборе способа доступа. Безопасность, удобство для пользователей, масштабируемость и общая стоимость владения - все это должно рассматриваться вместе при оценке альтернативы имени пользователя и паролю.
Безопасный доступ с помощью двухфакторной аутентификации
Двухфакторная аутентификация заменяет имя пользователя и пароль как надежная и безотказная модель для контроля доступа. Двухфакторная аутентификация, которую часто называют "строгой аутентификацией", заменяет один "секрет" - пароль - на комбинацию из двух или более факторов:
• то, что у вас есть (например, карта доступа);
• то, что вы знаете (например, ПИН-код);
• то, кем вы есть (например, биометрические данные, как отпечаток пальца).
Когда один "секрет" объединяется с дополнительным фактором общая модель безопасности становится сложнее, что существенно затрудняет возможности ее обхода. В то же время некоторые методы строгой аутентификации могут повысить и удобство пользования. Вместо того, чтобы вспоминать 10 символов буквенно-цифровой последовательности (пароля), пользователь может использовать смарт-карту и ПИН-код, как если бы он пользовался банкоматом. Конечно, чем больше факторов комбинируется, тем выше безопасность системы вцелом. Существует целый ряд решений аутентификации, каждое со своими плюсами и минусами. Они указаны ниже в таблице.
Способ аутентификации |
Риски |
Плюсы и минусы |
Имя пользователя и пароль |
Уровень риска: ВЫСОКИЙ При ненадлежащем использовании и защите имя и пароль могут быть легко украдены и использованы для доступа в сеть или систему. |
Плюсы: Минусы: |
Цифровые сертификаты |
Уровень риска: СРЕДНИЙ Цифровые сертификаты, хранящиеся на компьюетере пользователя, могут быть украдены или подделаны. |
Плюсы: Минусы: |
Биометрия |
Уровень риска: СРЕДНИЙ В зависимости от используемого сканера отпечатка пальца может быть возможность скопировать данные пользователя. А также возможность воспроизведения сохраненных данных иммитируя настоящее считывание. |
Плюсы: Минусы: |
Аппаратные генераторы одноразовых паролей (One Time Password) |
Уровень риска: НИЗКИЙ Возможность атаки под названием «человек посередине» (англ. Man in the middle), когда атакующий способен читать и видоизменять по своей воле передаваемые данные. |
Плюсы: Минусы: |
Бесконтактные смарт-карты |
Уровень риска: НИЗКИЙ Теоретическая возможность взлома чипа карты и кражи данных для аутентификации |
Плюсы: Минусы: |
Контактные смарт-карты |
Уровень риска: НИЗКИЙ Если карта и ПИН украдены, то возможны случаи незаметного получения доступа неавторизованным пользователем. |
Плюсы: Минусы: |
Двухфакторная аутентификация |
Уровень риска: НИЗКИЙ Низкая вероятность того, что оба метода аутентификации будут "взломаны". |
Плюсы: Минусы: |
Удобство это ключ к успеху
Безопасность является необходимым для любого решения доступа, но безопасность может обеспечиваться только тогда, когда конечные пользователи строго следуют правилам принятой политики безопасности. Вспомним упомянутый ранее пример, когда пользователи следуя требованиям использовать сложные пароли записывали их на бумажки, для того, чтобы не забыть. От системы двухфакторной аутентификации обязательно должно требоваться удобство пользования, чтобы исключить подобное поведение пользователей. Решение должно быть легко в установке, развертывании и поддержке для администратора, и оно должно быть простым и удобным для конечного пользователя. Способ аутентификации с помощью генераторов одноразовых паролей (OTP), как казалось бы хорошее решение, все таки доставляет неудобства, т.к. пользователи не хотят носить какое-то дополнительное устройство и при этом каждый раз вводить случайные пароли за ограниченное время для того, чтобы просто получить доступ к своему компьютеру. Они хотят что-то действительно простое в использовании. Для конечных пользователей, доступ к своей системе должен быть таким же простым, как открытие двери.
Масштабируемость
Тогда как многие организации покупают оборудование опираясь на текущие потребности масштабируемость является важным фактором, который следует учитывать при оценке систем двухфакторной аутентификации. Преимущество паролей, как и металлических ключей, состоит в том, что они практически не требуют каких либо затрат и не имеют ограничений по количеству. Некоторые двухфакторные системы аутентификации, с другой стороны, требуют значительных ресурсов при работе с большим числом пользователей: генераторы одноразовых паролей (OTP) требуют замены через несколько лет, а биометрическая система все еще остается неудобной для использования при большем числе пользователей.
Общая стоимость владения
В зависимости от выбора модели безопасности, общая стоимость владения является ключевым фактором в оценке целесообразности выбранного решения. Стоимость владения включает в себя гораздо больше, чем просто стоимость приобретения. Сначала надо понять и оценить стоимость использования и обслуживания классической системы с использованием имени пользователя и пароля для входа в систему. Далее, при оценке двухфакторного решения в качестве альтернативы следует оценить затраты на аппаратные средства, программное обеспечение, интеграцию с системой, инсталляцию, развертывание и обучение конечных пользователей, техническое обслуживание и замену устройств.
На первый взгляд кажется, что использование имен пользователей и паролей бесплатно и несет никаких затрат. Однако, если рассмотреть вопрос глубже, то становится очевидным, что, например, такая часто случаемая процедура как сброс пароля пользователя (если он его забыл) приводит к потере времени (звонок в техподдержку и т.д.) и, следовательно, к снижению производительности. Кроме того, в некоторых компаниях, которые пользуются услугами службы техподдержки (Helpdesk), оплачивается каждая стоимость обращения к ним. При этом нужно учитывать общий уровень безопасности при использовании имени пользователя и пароля. Низкий уровень безопасности может привести к неизмеримым прямым и косвенным расходам, связанным с утечкой конфиденциальной информации злоумышленникам. Напротив, повышенная безопасность может дать дополнительные возможности для бизнеса, в результате которых доход предприятия может даже увеличиться.
Следующие вопросы должны рассматриваться при оценке двухфакторной системы аутентификации:
• Оборудование (серверы, смарт-карты, считыватели, биометрические считыватели и т.д.);
• Программное обеспечение (клиентское программное обеспечение, серверное программное обеспечение);
• Системная интеграция, необходимая для правильного функционирования в рамках существующей IT инфраструктуры;
• Монтаж - время на установку и изменения, если таковые должны быть сделаны (изменения в Active Directory и т.д.);
• Удобство для конечного пользователя - обучение конечных пользователей и т.д.;
• Обслуживание - требования к подготовке и знаниям администратора;
• Замена устройств - расходы, связанные с заменой карт, считывателей и т.д. при утере или поломке.
Есть ли решение двухфакторной аутентификации, которое может стать реальной альтернативой имени пользователя и паролю?
Задача обеспечения надлежащего уровня безопасности не должна идти на компромисс удобству пользования. Представьте себе, что вы можете использовать карту, которой вы каждый день открываете двери, для доступа к вашему компьютеру. HID on the Desktop ("HID на рабочем столе") - комбинация карт доступа HID, считывателей и программного обеспечения - является полноценным решением двухфакторной аутентификации пользователя для объектов любых размеров! От домашнего ноутбука, до крупной корпоративной сети предприятия.
• Безопасность - использование строгой, двухфакторной аутентификации, которая требует предъявления карты (контактную или бесконтактную), а также ввод PIN-кода для доступа;
• Удобство - использование такого же принципа, как при работе с банкоматом;
• Доступность - использование тех же карт, которые используются для доступа в ваше здание, при этом никакой платы за текущее обслуживание и поддержку.
При этом не имеет значения какие используются карты - новые смарт-карты iCLASS 13.56 МГц, контактные смарт-карты Crescendo или устаревшие HID Prox или EM 125 кГц. Теперь появилась возможность использовать единый пропуск сотрудника как для физического доступа в помещение, так и для надежного логического доступа - к компьютеру или сети. Такой подход очень эффективен, ведь чтобы получить доступ к компьютеру потребуется еще пройти в здание, используя одну и ту же карту доступа и подтверждая сначала свою аутентичность в СКУД компании! Простой переход от пароля к двухфакторной аутентификации HID on the Desktop обеспечивает значительное улучшение модели безопасности, не связанное с усложнением работы пользователей. Подобно тому, как металлический ключ был заменен картой доступа для открывания двери, двухфакторная аутентификация с помощью той же карты сегодня заменяет имя пользователя и пароль для доступа к компьютеру и сети. На нашем сайте вы сможете подробно ознакомиться с простым, надежным и доступным решением HID on the Desktop.
Документация:
» Брошюра "СИСТЕМЫ БЕЗОПАСНОГО ДОСТУПА" 
» HID on the Desktop - удобство и безопасность на рабочем столе
» HID on the Desktop - бесконтактные решения