Что будет с аутентификацией и паролями? перевод отчета javelin «состояние строгой аутентификации» с комментариями

Алан-э-Дейл       10.04.2022 г.

Введение

При современном развитии технологий понятие рабочего места настолько размыто, что под ним может подразумеваться любое мобильное устройство, имеющее доступ к интернету. При такой организации работы необходимо обеспечить гарантированную аутентификацию пользователя, что предполагает использование стойкой парольной защиты.

Пароль, созданный сегодня по всем правилам безопасности и являющийся образцом в стойкости к различного рода взломам, уже завтра может считаться совершенно небезопасным. Информационные технологии ежедневно совершенствуются, а вместе с ними совершенствуются и технологии взлома защиты информации. Для сохранения стойкости пароля его необходимо постоянно усложнять и запоминать длинные буквенно-цифровые комбинации. И все равно эти методы не гарантируют стопроцентную защиту. Массовые утечки учетных данных пользователей подтверждают, что использование одного лишь пароля небезопасно, даже если он и соответствует всем требованиям парольной защиты. Эти выводы подтверждает масштабный опрос интернет‑пользователей, который проводила компания ESET. При проведении опроса 60% пользователей ответили, что они как минимум единожды сталкивались с кражей данных от своих учетных записей, а 25% из них ответили, что становились объектами злоумышленников неоднократно.

Сотрудникам, работающим удаленно, необходимо обеспечить стабильный и безопасный доступ к обрабатываемой информации, а работодателю необходимо точно знать, что именно их сотрудник, а не злоумышленник в настоящий момент получил доступ к информационным ресурсам организации. Информация, циркулирующая внутри организации, как правило, значима для компании, и ее конфиденциальность является одной из составляющей успешного бизнеса.

Все эти угрозы позволяет минимизировать использование многофакторной аутентификации, а как частное решение — двухфакторная аутентификация (Two Factor Authentication — 2FA).

Двухфакторная аутентификация обеспечивает эффективную защиту пользовательских аккаунтов от несанкционированного проникновения в различных сервисах, при помощи запроса двух разных аутентификационных данных. Первый — это стандартное использование связки логин/пароль, а второй — ввод одноразового пароля (OTP). На сегодняшний день процесс двухфакторной аутентификации можно считать надежным барьером, который значительно усложняет злоумышленнику доступ к защищаемой информации.

ESET Secure Authentication (далее сокращенно ESA) позволяет внедрить двухфакторную аутентификацию при осуществлении входа в операционную систему компьютера, при обращении к веб‑приложениям Microsoft, при осуществлении доступа к облачным сервисам, а также при обращении к VPN и VDI-системам компании.

Плюс ко всему перечисленному ESA 2.8 позволяет использовать push‑сообщения для подтверждения аутентификации пользователем и позволяет использовать аутентификаторы, соответствующие стандартам FIDO2, что повышает уровень безопасности и удобство для пользователя. В случае применения push‑сообщения для подтверждения аутентификации, пользователю на установленное мобильное приложение или смарт-часы приходит push‑уведомление, и для успешной аутентификации необходимо лишь одним касанием подтвердить его, или же наоборот отклонить, если по каким-либо причинам необходимость в аутентификации пропала.

Далее в обзоре более подробно расскажем о продукте ESET Secure Authentication и рассмотрим, чем же он выгодно выделяется на фоне остальных подобных решений.

Введение

Многофакторная аутентификация в качестве очередной темы онлайн-конференции AM Live вызвала живой интерес у аудитории. Зрители прямого эфира активно задавали вопросы в чате и комментариях на YouTube. На часть из них благодаря искусству Алексея Лукацкого, выступавшего в качестве модератора дебатов, спикеры конференции успели ответить онлайн, но рамки эфира не позволили осветить все темы.

Ощущение некоторой недосказанности вместе с пониманием широты затронутой нами темы подтолкнуло нас к продолжению разговора. Ранее мы уже публиковали результаты опросов, в которых участвовали зрители конференции; теперь настала пора высказаться спикерам. Вопросы из чата и комментариев к прямому эфиру порадовали небанальными формулировками и широтой затронутых тем. Зрители интересовались перспективами криптотехнологий и сетовали на дороговизну биометрии, спрашивали о применимости аутентификации по IP-адресам и поведенческому анализу, хотели узнать, существуют ли токены в формате SIM-карты.

Мы передали вопросы зрителей представителям компаний, чьи эксперты приняли участие в конференции, и предложили ответить на некоторые из них. Специалисты по информационной безопасности не стали обходить «неудобные» темы и совместными усилиями ответили практически на все заданные вопросы. Получилось коллективное интервью, которое с одной стороны отражает спектр интересов специализированной аудитории, а с другой — позволяет познакомиться с мнениями представителей ведущих игроков отечественного рынка многофакторной аутентификации.

Мы благодарны всем зрителям, оставившим свои комментарии с вопросами, и экспертам, потратившим время на развёрнутые ответы.

На вопросы отвечали:

  • Александр Санин, коммерческий директор компании «Аванпост»;
  • Владимир Иванов, директор по развитию компании «Актив»;
  • Илья Осадчий, директор по развитию компании «Тайгер Оптикс»;
  • Михаил Рожнов, технический директор компании TESSIS;
  • Сергей Груздев, генеральный директор компании «Аладдин Р.Д.».

Ошибки аутентификации: причины и пути решения

При подключении к сети Wi-Fi, одного устройства к другому или при входе в любую программу и на сайт могут возникнуть проблемы. Чаще всего они связаны с такими причинами:

Неправильный идентификатор, то есть вы просто забыли или перепутали логин, пароль, ПИН-код, банковскую карту. Тут не возникает особых вопросов, как исправить ошибку

Проверьте данные для входа, возможно, вы не обратили внимание на регистр и написали строчные буквы вместо больших. Также часто при входе на сайт или в программу мы забываем проверить раскладку клавиатуры и пишем не на английском, а на русском языке.
Повреждение физического носителя, например, магнитная лента на банковской карте поцарапалась, карта погнулась, ключ от онлайн-банка или электронная подпись сломались, на глазу появился конъюнктивит, на пальце ранка, что препятствует считыванию биометрических данных, а телефон потерялся или утонул в Волге

Все это приводит к определенным затруднениям, и нужно искать способ убрать ошибку и получить доступ к данным или деньгам в каждом конкретном случае. Можно перевыпустить карту, а тем временем перевести деньги на другой счет и обналичить с него, заказать новую подпись или ключ, обратиться в офис, чтобы подтвердить действие без отпечатка пальцев, а, к примеру, при помощи кодового слова.
Разная система шифрования на телефоне и роутере приводит к их несовместимости. Чтобы подключиться к Wi-Fi в случае такой ошибки, потребуется изменить настройки роутера, применив шифрование, доступное в мобильном устройстве.
Иногда телефон не подключается к сети из-за программного сбоя ОС или ошибки в работе роутера. В таком случае попробуйте обновить программу в мобильном устройстве и перезапустите маршрутизатор.
Разная скорость передачи данных на устройствах, тут придется разбираться и снова лезть в настройки выставлять приемлемый объем данных, передаваемый за определенный промежуток времени.
В настройках роутера или другого прибора могут быть четко прописаны устройства, с которыми он может поддерживать связь. Если нужно добавить новый гаджет, то снова-таки придется поработать с настройками.

Как видим, причины могут быть разными. Чтобы разобраться с ними, нужно иметь запасной план, уметь работать с настройками программ и устройств или знать того, кто умеет это делать.

Биометрическая аутентификация

Методы аутентификации, которые основаны на измерении биометрических параметров человека, обеспечивают практически 100 % идентификацию, разрешая проблемы утраты личных идентификаторов и паролей.

Примеры внедрения данных методов — системы идентификации пользователя по отпечаткам ладони, рисунку радужной оболочки глаза, инфракрасной картине капиллярных сосудов, формам ушей, по запаху, по почерку, по тембру голоса и даже по ДНК!

Новое направление — использование биометрических характеристик в элементах сотовой связи, жетонах-пропусках, интеллектуальных расчетных карточках. К примеру, предъявитель карточки при расчете в магазине кладет палец на сканер в подтверждение, что карточка действительно его.

  • Отпечатки пальцев. Данные сканеры универсальны, имеют небольшой размер, относительно недороги. Биологическая повторяемость отпечатка пальца составляет 10-5 %. В данный момент пропагандируют правоохранительные органы из-за крупных ассигнований в электронные архивы отпечатков пальцев.
  • Геометрия руки. Данные устройства используются, когда из-за травм или грязи трудно использовать сканеры пальцев. Биологическая повторяемость геометрии руки приблизительно 2 %.
  • Радужная оболочка глаза. Эти устройства имеют наивысшую точность. Теоретическая вероятность совпадения двух радужных оболочек — 1 из 1078.
  • Термический образ лица. Системы дают возможность идентифицировать человека на расстоянии до десятков метров. Вместе с поиском данных по базе данных данные системы применяются для опознания авторизованных сотрудников и отсеивания посторонних. Но при изменении освещенности у сканеров лица относительно большой процент ошибок.
  • Распознавание по лицу. Системы на основании этого подхода дают возможность идентифицировать персону в определенных условиях с погрешностью не больше 3%. Зависимо от метода дают возможность идентифицировать человека на расстояниях от полуметра до нескольких десятков метров. Этот метод удобен тем, что он дает возможность реализовать штатные средства (веб-камера и так далее). Более сложные способы требуют более изощренных устройств. Некоторые (не все) методы имеют недостаток подмены: можно произвести идентификацию, подменив лицо реального человека на всего лишь его фотографию.
  • Голос. Проверка голоса удобна для применения в телекоммуникационных приложениях. Нужные для этого конденсаторный микрофон и 16-разрядная звуковая плата стоят меньше 25 $. Вероятность ошибки — 2-5%. Эта технология подходит для верификации по телефонным каналам связи по голосу, она более надежна в сравнении с частотным набором личного номера. В данный момент развиваются направления идентификации личности и состояния по голосу – болен, возбужден, не в себе, говорит правду и так далее.
  • Ввод с клавиатуры. Тут при вводе, к примеру, пароля отслеживают интервалы между нажатиями и скорость.
  • Подпись. Для контроля рукописной подписи применяют дигитайзеры

Мы постарались дать наиболее полное понятие аутентификации, раскрыть его факторы.

Что такое JSON веб-токены?

JSON Web Token (JWT) — это открытый стандарт (RFC 7519), который определяет компактный и автономный способ безопасной передачи информации между сторонами в виде объекта JSON. Эта информация может быть подтверждена благодаря цифровой подписи. JWT может быть подписан с помощью секрета (с помощью алгоритма HMAC) или иным образом, например, по схемам RSA или ECDSA.

В своей компактной форме веб-токены JSON состоят из трех частей, разделенных точками: заголовок, полезная нагрузка, подпись. Поэтому JWT выглядит обычно выглядит следующим образом: «xxxx.yyyy.zzzz».

Заголовок состоит из двух частей: типа токена, которым является JWT, и используемого алгоритма подписи, такого как HMAC SHA256 или RSA.

Вторая часть токена — это полезная нагрузка, содержащая информацию о пользователе и необходимые дополнительные данные. Такая информация бывает зарегистрированной, публичной и частной.

Зарегистрированная — это набор ключей, который не является обязательными, но рекомендуются для обеспечения улучшения безопасности. Например, iss — уникальный идентификатор стороны, генерирующей токен, exp — время в формате Unix Time, определяющее момент, когда токен станет не валидным, и другие.

Публичная информация может быть определена по желанию теми, кто использует JWT. Но они должны быть определены в реестре веб-токенов IANA JSON или определены как URI, который содержит устойчивое к коллизиям пространство имен. Частная — это пользовательская информация, созданная для обмена данными между сторонами, которые согласны их использовать. Получим вторую часть с помощью кодирования Base64Url.

Тоже не понял, что за прикол там происходит.

Подпись же используется для проверки того, что сообщение не было изменено по пути, а в случае токенов, подписанных закрытым ключом, она также может подтвердить, что отправитель JWT тот, за себя выдает.

Выходные данные представляют собой три строки Base64-URL, разделенные точками, которые могут быть легко переданы в средах HTML и HTTP, будучи при этом более компактными по сравнению со стандартами на основе XML, такими как SAML.

Пример:

К плюсам использования JWT можно отнести размер — токены в этом языке кода крошечные и могут быть переданы между двумя пользователями довольно быстро; простоту — токены могут быть сгенерированы практически из любого места, и их не нужно проверять на сервере; контроль — можно указать, к чему пользователь может получить доступ, как долго будет длиться это разрешение и что он может делать во время входа в систему.

К минусам стоит отнести всего один ключ — JWT полагается на один ключ, из-за чего вся система окажется под угрозой в случае, если он будет скомпрометирован; сложность — JWT токены не так просто понять, из-за чего, разработчик, не обладающий глубокими знаниями алгоритмов криптографической подписи, может непреднамеренно поставить систему под угрозу; ограничения — нет возможности отправлять сообщения всем клиентам, и невозможно управлять клиентами со стороны сервера.

Голос

Третья популярная биометрическая система аутентификации — это распознавание голоса. Например, смартфоны Google Nexus 6 и планшеты Nexus 9 постоянно «прислушиваются» к своему хозяину, готовясь исполнить любую голосовую команду. Но для авторизации голосом не нужен Nexus последнего поколения, достаточно иметь любой аппарат под управлением Android 5 Lollipop.

Для задействования голосового входа нужно включить функцию Smart Lock, как описывалось выше, затем переходим в «Настройки — Язык и ввод — Голосовой ввод — нажимаем на «стопочку» настроек — Распознавание OK Google». Включаем распознавание с любого экрана и записываем образцы голоса, трижды произнеся фразу «ОК Google». Возможно, при этом придётся потренироваться и даже добавить US English в список распознаваемых языков. После всего этого в Smart Lock можно будет выбрать «Доверенный голос».

Можно пойти ещё дальше и установить недорогое приложение VoicePass Password Manager (35,27 руб), которое позволит залогиниваться в социальные сети и на разные сайты при помощи голосовых команд.

За и против: Разблокировка смартфона голосом выглядит очень естественно, даже если перед этим нужно сказать «OK Google». Однако даже в самой Google предостерегают, что распознавание голоса — далеко не лучший способ блокировки: при активации этой функции вы получаете сообщение о том, что кто-то с похожим голосом или с записью вашего голоса сможет разблокировать это устройство.

Аутентификация с авторизация OAuth

Это разновидность единой точки входа с упрощением процесса регистрации/входа пользователя в ваше приложение. Используется при регистрации/входе в приложение через социальные сети.

Преимущество: пользователи могут войти в ваше приложение одним кликом, если у них есть аккаунт в одной из соцсетей. Им не нужно помнить логины и пароли. Это сильно улучшает опыт использования вашего приложения. Вам как разработчику не нужно волноваться о безопасности пользовательских данных и думать о проверке адресов почты — они уже проверены соцсетями. Кроме того, в соцсетях уже есть механизмы восстановления пароля.

Большинство соцсетей в качестве механизма аутентификации используют авторизацию через OAuth2.

Соцсеть — это сервер ресурсов, ваше приложение — клиент, а пытающийся войти в ваше приложение пользователь — владелец ресурса. Ресурсом называется пользовательский профиль / информация для аутентификации. Когда пользователь хочет войти в ваше приложение, оно перенаправляет пользователя в соцсеть для аутентификации (обычно это всплывающее окно с URL’ом соцсети). После успешной аутентификации пользователь должен дать вашему приложению разрешение на доступ к своему профилю из соцсети. Затем соцсеть возвращает пользователя обратно в ваше приложение, но уже с токеном доступа. В следующий раз приложение возьмёт этот токен и запросит у соцсети информацию из пользовательского профиля.

Для реализации такого механизма вам может понадобиться зарегистрировать своё приложение в разных соцсетях. Вам дадут app_id и другие ключи для конфигурирования подключения к соцсетям.

Вопросы от наших пользователей

Основные проблемы с аутентификацией пользователей в сети Wi-Fi в целом понятны, но многие юзеры просят подробнее остановиться на некоторых моментах и задают свои вопросы. Не все до конца представляют, что делать при возникновении ошибки на смартфоне.

Что такое аутентификация Wi-Fi на телефоне?

Все современные модели смартфонов оснащены беспроводной связью Wi-Fi. Через нее можно без лишних сложностей подключаться к роутеру при нахождении в зоне досягаемости. Для обеспечения защиты от несанкционированного доступа используются пароли и специальные протоколы шифрования. Наиболее надежными считаются WPA/WPA2.

Каждый пользователь, который подключается к защищенному роутеру Wi-Fi с телефона, должен вводить пароль (проходить процедуру аутентификации). Если он будет введен неправильно, то не удастся получить доступ к Интернету. Проблемы также часто возникают при несовместимости протоколов шифрования.

Телефон не подключается к Wi-Fi (ошибка аутентификации) – что делать?

Если обычная перезагрузка маршрутизатора не помогает, то для исправления ошибки следует сделать следующее:

  • проверить соответствие пароля в настройках роутера тому, что был введен в телефоне;
  • удостовериться, что смартфон или планшет поддерживают технологию шифрования, установленную в конфигурации маршрутизатора;
  • убедиться, что выбран соответствующий режим работы сети по максимальной скорости.

Свист и карман

Владельцы смартфонов на Android могут попробовать и более экзотические способы авторизации, предлагаемые на просторах Google Play. Например, Whistle Screen Unlock Fx обещает разблокировку смартфонов свистом, а Gravity Screen позволяет разблокировать экран всякий раз, когда вы достаёте аппарат из кармана или берёте со стола, и блокировать, когда вы возвращаете его на место.

За и против: Проблема в том, что оба эти приложения срабатывают не всегда и не на всех устройствах — к счастью, они бесплатные, и ничто не мешает попробовать. Но, что самое главное, они не предоставляют даже минимальных гарантий безопасности.

* * *

Самое перспективное направление в поиске альтернативных способов аутентификации, это, конечно, биометрия. И если чтение отпечатков пальцев известно, как минимум, с середины XIX века, то сегодня в качестве «паспорта» пытаются использовать самые разные части тела: Например, в системе Bodyprint для авторизации нужно прижать ухо, кулак или ладонь к сенсорному ёмкостному экрану. Технология Nymi Band предполагает ношение специальных браслетов, которые распознают индивидуальные особенности пульса и сердечного ритма. Наконец, весной 2015 года японская Fujitsu продемонстрировала совершенно футуристический смартфон со встроенным сканером радужной сетчатки глаза. Так что можно только догадываться, какие ещё более фантастические способы авторизации придумает изобретательное человечество в отдалённом будущем.

Что такое Авторизация

И последнее, что необходимо знать о входе на сайт – это авторизация.

Данная процедура подразумевает попадание на страницу в случае успешного прохождения аутентификации и идентификации.

Также авторизация может означать, что человек допускается до выполнения определенной задачи, доступ к которой имеет только он или определенная группа человек.

По итогу можем сказать, что все выше изучаемые процедуры взаимосвязаны между собой и напрямую зависят друг от друга и выполнение операций соблюдается в строгом порядке. Однако путать между собой их не следует.

  1. Идентификация.
  2. Аутентификация.
  3. Авторизация.

Что такое идентификация?

Сначала давайте прочитаем определение:

Идентификация — это процедура распознавания субъекта по его идентификатору (проще говоря, это определение имени, логина или номера).

Идентификация выполняется при попытке войти в какую-либо систему (например, в операционную систему или в сервис электронной почты).

Сложно? Давайте перейдём к примерам, заодно разберемся, что такое идентификатор.

Пример идентификатора в социальной сети ВКонтакте

Когда нам звонят с неизвестного номера, что мы делаем? Правильно, спрашиваем “Кто это”, т.е. узнаём имя. Имя в данном случае и есть идентификатор, а ответ вашего собеседника — это будет идентификация.

Идентификатором может быть:

  • номер телефона
  • номер паспорта
  • e-mail
  • номер страницы в социальной сети и т.д.

Подробнее об идентификаторах и ID рекомендую прочитать здесь.

Настольное приложение

В настольном приложении доступны следующие :

  • парольная;

  • ролевая;

  • доменная;

  • интегрированная доменная.

Дополнительно доступны:

  • двухфакторная аутентификация;

  • встроенная аутентификация.

Доступность базовых методов аутентификации зависит от используемой СУБД:

Тип
СУБД \ Тип аутентификации

Парольная

Ролевая

Доменная

Интегрированная
доменная

Oracle
Microsoft SQL
Server 2008
Microsoft SQL
Server 2012\2014\2016
Microsoft SQL
Server (ODBC)
Teradata
PostgreSQL
SQLite
WEB Service

Условные обозначения:

— тип аутентификации доступен;

— тип аутентификации недоступен.

Парольная аутентификация

Аутентификация производится с использованием логина и пароля. Доступна
настройка парольной
политики.

  1. Пользователь вводит логин и пароль в «Форсайт. Аналитическая платформа».

  2. «Форсайт. Аналитическая платформа»
    обращается к СУБД, используя предоставленные данные.

Ролевая аутентификация

Ролевая аутентификация аналогична парольной, производится с использованием
логина и пароля. Доступ к объектам определяется по присвоенным пользователю
ролям на сервере СУБД, которые совпадают с группами в «Форсайт. Аналитическая платформа».

Примечание.
Ролевая аутентификация доступна только при использовании СУБД Microsoft
SQL Server.

  1. Пользователь вводит логин и пароль в «Форсайт. Аналитическая платформа».

  2. «Форсайт. Аналитическая платформа»
    обращается к СУБД, используя предоставленные данные.

  3. СУБД возвращает список ролей пользователя. Список ролей сопоставляется
    со списком групп платформы. Пользователь получает права, соответствующие
    группам.

Доменная аутентификация

При доменной аутентификации пользователь подключается с использованием
данных указанного доменного пользователя.

Для конечного пользователя доменная аутентификация не отличается от
парольной, но упрощает администрирование пользователей при использовании
доменных контроллеров.

  1. Пользователь вводит доменное имя и пароль в «Форсайт. Аналитическая платформа».

  2. «Форсайт. Аналитическая платформа»
    передаёт указанные учётные данные на сервер СУБД.

  3. СУБД обращается к доменному контроллеру, доменный контроллер
    проверяет правильность указанных данных и делегирует «Форсайт. Аналитическая платформа»
    право на подключение от имени доменного пользователя с использованием
    временного билета.

Интегрированная доменная аутентификация

Интегрированная доменная аутентификация аналогична обычной доменной
аутентификации, но для авторизации будет использован доменный пользователь,
под которым был совершен вход в операционную систему.

Метод аутентификации Kerberos:

При работе с СУБД Teradata интегрированная доменная аутентификация всегда
осуществляется с использованием механизма аутентификации Kerberos. Для
СУБД PostrgreSQL данный механизм может быть включён опционально в соединения с репозиторием.

Для работы по протоколу Kerberos на клиентском компьютере необходимо
установить MIT Kerberos (не входит в комплект поставки «Форсайт. Аналитическая платформа»).

  1. Пользователь вводит доменное имя и пароль при входе в операционную
    систему.

  2. «Форсайт. Аналитическая платформа»
    передаёт указанные учётные данные на сервер СУБД.

  3. СУБД обращается к доменному контроллеру, доменный контроллер
    проверяет правильность указанных данных и делегирует «Форсайт. Аналитическая платформа»
    право на подключение от имени доменного пользователя с использованием
    временного билета.

Двухфакторная аутентификация

Двухфакторная аутентификация — это метод аутентификации пользователя
при помощи запроса аутентификационных данных двух разных типов.

В «Форсайт. Аналитическая платформа»
двухфакторная
аутентификация в качестве первого типа аутентификации
использует любой , в качестве второго  — сертификат пользователя.

  1. Пользователь выполняет базовую аутентификацию в «Форсайт. Аналитическая платформа».

  2. После запроса пользователь предоставляет «Форсайт. Аналитическая платформа»
    сертификат.

  3. При совпадении сертификата «Форсайт. Аналитическая платформа»
    обращается к СУБД, используя предоставленные данные.

Встроенная аутентификация

При встроенной аутентификации доступ к данным СУБД происходит под встроенным
администратором. Проверка прав пользователя осуществляется на уровне платформы.
Учётные данные администратора хранятся в зашифрованном виде. Встроенная
аутентификация настраивается через .

  1. Пользователь вводит логин и пароль в «Форсайт. Аналитическая платформа».

  2. «Форсайт. Аналитическая платформа»
    проверяет разрешения пользователя и обращается к СУБД, используя учётные
    данные встроенного администратора.

Гость форума
От: admin

Эта тема закрыта для публикации ответов.