Расскажу еще об одном механизме аутентификации на web-ресурсах. Механизм прост, в его основе лежит использование ЭЦП, для хранения ключей при этом используется USB-токен.

Основной задачей алгоритмов, описанных в предыдущих статьях, была защита пароля от перехвата и безопасное хранения секрета (например, хеша пароля) в БД сервера. Однако существует еще одна серьезная угроза. Это небезопасная среда в которой мы используем пароли. Программные и аппаратные кейлогеры, шпионское ПО контролирующее формы ввода браузеров, атака MitM, контролирующая не только протокол аутентификации, но и саму структуру html-страницы, на которой вводится пароль, да и просто сосед подсмотревший за вами представляют угрозу, которой никакая схема парольной аутентификации ничего не сможет противопоставить. Эту проблему решили в свое время придумав многофакторную аутентификацию. Суть ее заключается в том, что для успешной аутентификации надо знать секрет и владеть каким-либо предметом (в нашем случае usb-токен и его пин-код).

Вот что предлагают разработчики средств защиты информации.

USB-токен - аппаратное устройство, умеющее формировать ключевую пару и осуществляющее электронную цифровую подпись, для выполнения операций требует ввод пин-кода. При формировании ЭЦП используется криптография на эллиптических кривых. Не требует установки драйверов, определяется как HID-устройство.

Кроссбраузерный плагин - умеет работать с usb-токеном, имеет программный интерфейс доступа к криптографическим функциям. Не требует административных прав для установки.

Предлагаемые компоненты являются своего рода конструктором для встраивания различных криптографических функций в web-приложения. С их помощью можно реализовывать функции шифрования, аутентификации и ЭЦП с высоким уровнем безопасности.

Например, схема аутентификации может выглядеть так.

Регистрация:

1. Клиент генерирует в токене ключевую пару e,d ;
2. Публичный ключ e клиент отсылает на сервер;

Аутентификация:

1. Клиент отсылает серверу логин;
2. Сервер генерирует RND и отсылает клиенту;
3. Клиент генерирует RND и отсылает серверу подписанное сообщение (RND-server||RND-client||Server-name );
4. Сервер проверяет подлинность ЭЦП использую публичный ключ клиента;

Для тех кто с недоверием относится к «велосипедам» - погуглить «ISO public-Key Two-pass Unilateral Authentication Protocol».

Published on Февраль 3, 2009 by · Комментариев нет

Если вы хотите прочесть следующую часть этой серии статей, перейдите по ссылке

До настоящего момента пароли зачастую были предпочитаемым/требуемым механизмом аутентификации при получении доступа к незащищенным системам и данным. Но растущие запросы на более надежную защиту и удобство, без лишней сложности, способствуют развитию технологий аутентификации. В этой серии статей мы рассмотрим различные технологии многофакторной аутентификации, которые можно использовать в Windows. В первой части мы начнем с рассмотрения аутентификации, основанной на чипах.

Когда пароль просто не подходит

В 1956, Джорж A. Миллер написал отличную статью под названием «The Magical Number Seven, Plus or Minus Two: Some Limits on Our Capacity for Processing Information» – (Магическая цифра семь, плюс или минус два: Некоторые границы нашей возможности обработки информации). В этой статье рассказывается о тех ограничениях, которые мы, будучи людьми, испытываем, когда хотим запомнить определенную информацию. Один из выводов в этой работе гласит: среднестатистический человек способен запомнить семь (7) порций информации за раз, плюс/минус два (2). Другие ученые позже пытались доказать, что обычный человек способен запомнить лишь пять (5) порций информации за раз, и опять плюс/минус два (2). Как бы там ни было, если считать данную теорию верной, то она противоречит советам по длине и сложности паролей, которые можно прочесть в различных источниках, или которые можно услышать от различных людей с повышенной чувствительностью к безопасности.

Часто говорится, что сложность – это одна из самых больших угроз для безопасности. Одна из областей, в которой можно наблюдать такую закономерность, это когда от пользователей и администраторов требуется соблюдение сложной политики паролей. Творческий подход и различные обходные методы, которые я иногда встречаю у пользователей и администраторов, когда они испытывают трудности с запоминанием своих паролей, не перестает меня удивлять. Но в то же время эта проблема практически всегда находится в пятерке первых в столе помощи. И теперь, когда Гартнер и Форрестер просчитали, что цена каждого звонка об утрате пароля в стол помощи стоит примерно $10 USD, легко провести анализ ценовой эффективности текущей политики паролей организации.

Пароли, как единственный механизм аутентификации, вполне нормальны, если длина пароля составляет более 15 символов и включает хотя бы один символ не из английского алфавита. Ключевые фразы являются примерами длинных паролей, которые пользователям проще запоминать. Это позволит быть уверенным в том, что большинство атак (rainbow), включая 8-bit атаки, не увенчается успехом именно благодаря добавленной сложности, которую придают «иностранные» символы.

Заметка: Начиная со времен Windows 2000, пароль может состоять из 127 символов.

Однако причина, по которой пароли, как единственный механизм аутентификации, не эффективны, кроется в том, что пользователи плохо умеют подбирать и запоминать хорошие, надежные пароли. К тому же пароли зачастую не защищаются должным образом. К счастью, существуют решения безопасности, которые повышают безопасность и способствуют удобству, используя короткие, легкие для запоминания пароли.

Аутентификация на основе чипов (Chip based authentication)

Одним из таких решений безопасности является аутентификация на основе чипов, которую часто называют двухфакторной аутентификацией. Двухфакторная аутентификация использует комбинацию следующих элементов:

1. То, что у вас есть, например смарт-карта или флэшка USB.
2. То, что вы знаете, например личный идентификационный номер (PIN). PIN-код дает пользователю доступ к цифровому сертификату, хранящемуся на смарт-карте.

На рисунке 1 показаны два разных решения, которые по сути являются представителями одной технологии. Откровенно говоря, основная разница заключается в цене и форме, хотя каждое решение может содержать дополнительные параметры, как мы скоро увидим.

Пример смарт-карты, которая используется для удаленной аутентификации, аутентификации Windows,

физического доступа и оплаты Пример флешки USB с аутентификацией, основанной на чипе, и флеш-памятью для хранения информации.. Рисунок 1: Два примера устройств с аутентификацией, основанной на чипе

Смарт-карты, равно как и флэшки USB, имеют встроенный чип. Чип представляет собой 32-битный микропроцессор и обычно содержит 32KB или 64kb (EEPROM — электрически стираемая программируемая постоянная память) (RAM — ОЗУ) чип памяти, встроенный в смарт-карту или флэшку USB. На сегодняшний день существуют смарт-карты и флэшки USB, содержащие до 256KB оперативной памяти для надежного хранения данных.

Заметка: Когда мы говорим о хранении в этой статье, мы имеем в виду хранение на встроенном защищенном чипе, а не на самом устройстве.

Этот чип имеет маленькую ОС и немного памяти для хранения сертификатов, используемых для аутентификации. Эта ОС чипа у каждого производителя разная, поэтому вам необходимо использовать службу CSP (Cryptographic Service Provider) в Windows, которая поддерживает ОС чипа. Мы рассмотрим службу CSP в следующей статье. Решение на основе чипа имеет определенные преимущества по сравнению с другими решениями многофакторной аутентификации, так как его можно использовать для хранения сертификатов аутентификации, идентификации и подписи. Как уже было упомянуто, все защищено PIN-кодом, который дает пользователю доступ к данным, хранящимся на чипе. Поскольку организации часто поддерживают и выпускают свои собственные смарт-карты и флэшки, они также могут определять, какая политика будет ассоциироваться с этим решением. Например, будет ли карта заблокирована или с нее будут стеры данные после x количества неудачных попыток. Поскольку эти политики можно использовать в совокупности с PIN-кодом, PIN-код может быть значительно короче и проще для запоминания, безо всякого риска для безопасности. Все эти параметры хранятся на смарт-карте с момента ее выпуска. Решение на основе чипа также не восприимчиво к внешнему вмешательству, поэтому без необходимого PIN-кода, к информации (сертификаты и личная информация), хранящейся на чипе, невозможно получить доступ, а, следовательно, ее нельзя использовать в каких бы то ни было целях.

Смарт-карты или USB флэшки?

Как мы уже говорили, одно из отличий между смарт-картами и USB флэшками, это форм-фактор. Оба решения соответствуют общей задаче, касающейся двухфакторной аутентификации, но каждое решение имеет свои плюсы и минусы. Смарт-карта может использоваться для фото идентификации, так как вы можете напечатать на ней фото и имя. А USB флэшка может включать флэш-память для хранения документов и файлов. Оба устройства можно использовать для контроля физического доступа тем или иным способом. Смарт-карта может включать микросхему, магнитную полосу, штрих-коды и бесконтактные возможности, в то время как флэшка может иметь добавленную бесконтактную возможность или поддержку биометрических данных.

Заметка: Существуют другие форм-факторы, например мобильные телефоны, в которых (Subscriber Identity Module) SIM – карта может служить той же цели, что и смарт–карта или флэшка USB.

Для смарт-карты требуется смарт карт-ридер, в то время как USB флэшка может использоваться с существующим на компьютере USB портом и использовать его для эмуляции смарт карт-ридера. Смарт карт-ридеры сегодня должны использовать либо такие интерфейсы, как PC Card, ExpressCard, USB или быть встроенными, некоторые производители ноутбуков и клавиатур создали такие карт-ридеры на своих моделях. Смарт карт-ридеры считаются стандартными устройствами Windows, независимо от OС чипа, и у них есть дескриптор безопасности и PnP идентификатор. Как карт-ридеры так и USB флэшки требуют драйвера устройства Windows, прежде чем их можно будет использовать, поэтому убедитесь, что используете самые свежие драйверы, по соображениям производительности, во время двухфакторной аутентификации.

При выборе решения свое слово может сказать и начальная цена каждого устройства, однако прочие различия тоже следует принимать во внимание, например психологический фактор, сопряженный с такими решениями аутентификации. Смарт-карта и кредитная карта практически одинаковые, многие кредитные карты сегодня тоже имеют встроенные чипы. Многие компании сегодня используют смарт-карты как для физического доступа, так и для оплаты обедов и т.п. Это означает, что карта удобна и к тому же обладает денежной ценностью, а, следовательно, люди вынуждены оберегать такую карту и не забывать иметь ее при себе постоянно. Она также отлично размещается в бумажнике, что также может иметь дополнительный эффект безопасности, в зависимости от того, как на это посмотреть.

Некоторые вопросы к рассмотрению

При выборе решения аутентификации на основе чипа есть некоторые вопросы и рекомендации, которые следует принять к сведению.

1. Совместимость » Убедитесь, что ОС чипа совместима с CSP, которую вы собираетесь использовать. Как вы узнаете в следующей статье, CSP является связующим ПО между ОС чипа и Windows, а также отвечает за политику безопасности, применяемую к чипу.
2. Управление » Если вам нужно применить смарт-карту или флэшку для использования большим количеством людей, убедитесь, что вы выбрали ОС чипа, совместимую с Card Management System (CMS) вашего выбора.
3. Расширяемость » Убедитесь, что ОС чипа может использоваться всеми необходимыми приложениями и для всех нужд аутентификации, которые вам требуются. В будущем вам могут понадобиться дополнительные сертификаты на смарт-карте или флешке, например подписи электронной почты или даже биометрические данные. Проверьте DoD Common Access Card (CAC) техническую детализацию, которая используется для хранения большого объема информации о пользователе (смотреть ссылку ниже). Просто убедитесь в том, что вы приняли во внимание вопросы неприкосновенности, при применении такой информации, как биометрические данные. Мы рассмотрим этот вопрос позже в этой серии статей.
4. Простота использования » Убедитесь, что вы выбрали решение на основе чипа, которое удобно для пользователя и практично. Основной проблемой для решений многофакторной аутентификации является то, что пользователи имеют склонность забывать или терять свои смарт-карты или флэшки, либо забывать PIN-код, если устройство используется не часто.

Заключение

В следующей статье мы рассмотрим процесс подготовки Windows к поддержке устройств многофакторной аутентификации, а также дадим несколько советов по подготовке и использованию ваших смарт-карт и флэшек в Windows XP и Windows Server 2003 окружении.

Источник www.windowsecurity.com

Смотрите также:

Readers Comments (Комментариев нет)

Да человек я, человек! =)

Exchange 2007

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ...

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ...

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть...

U2F -открытый протокол, позволяющий производить универсальную 2-факторную аутентификацию, поддерживается браузером Chrome 38 и более поздних версий. U2F был разработан FIDO Alliance – альянсом компаний Microsoft, Google, Lenovo, MasterCard, Visa, PayPal и др. Работа протокола осуществляется без дополнительной установки драйверов в операционных системах Windows/Linux/MacOS. Сервисы Wordpress ,Google, LastPass поддерживают работу протокола. Рассмотрим все плюсы и минусы работы с .

На фоне растущей популярности двухэтапной аутентификации, осуществляемой посредством звонка или отправки SMS-сообщения, возникает закономерный вопрос – насколько она удобна и есть ли у подобного способа аутентификации подводные камни?

В качестве дополнительного способа проверки аутентификация с помощью звонка или отправки сообщения, конечно, очень удобна. Более того, такой способ доказал свою эффективность во многих случаях – так, он одинаково хорошо подойдет в качестве защитных мер против фишинга, автоматизированных атак, попыток подбора паролей, вирусных атак и т.д. Однако за удобством кроется опасность – если за дело возьмутся мошенники, привязка к телефонному номеру может сыграть против вас. Чаще всего аккаунт привязывается к указанному контактному номеру пользователя, первые или последние цифры которого может узнать каждый, если попытается выполнить восстановление доступа к аккаунту. Таким образом мошенники могут узнать ваш телефонный номер, после чего установить, на кого он оформлен. После получения информации о владельце мошенникам остается по поддельным документам в салоне оператора сотовой связи запросить перевыпуск SIM-карты. Полномочиями перевыпуска карт обладает любой сотрудник отделения, что позволяет мошенникам, получив SIM-карту с желаемым номером, войти в ваш аккаунт и совершать с ним любые манипуляции.

Некоторые компании, например крупные банки, сохраняют не только номер телефона владельца, с ним сохраняется и уникальный идентификатор SIM-карты – IMSI, в случае изменения которого привязка номера телефона аннулируется и ее необходимо выполнить заново лично клиенту банка. Однако подобные сервисы недостаточно широко распространены. Для того чтобы узнать IMSI для любого номера телефона, можно отправить специальный HLR –запрос на сайте smsc.ru/testhlr.

Современный с поддержкой двухэтапной аутентификации в браузере, который гарантирует дополнительную безопасность вашего аккаунта, вы можете приобрести в нашем интернет-магазине.

Бурный рост секторов рынка систем «3А» (аутентификация, авторизация, безопасное администрирование) и средств строгой аутентификации привел к появлению множества различных типов аппаратных и программных идентификаторов, а также их гибридных модификаций. Заказчик, желающий внедрить систему многофакторной аутентификации, сегодня оказывается перед нелегким выбором. Тенденции объединения физической и логической аутентификации, интеграции решений для создания единой точки входа и системы управления идентификацией лишь усугубляют проблему выбора. В этой статье мы постараемся помочь заказчику разобраться с представленными на рынке решениями и сделать правильный выбор.

Одной из наиболее опасных угроз ИТ-безопасности сегодня является несанкционированный доступ к конфиденциальной информации. Согласно исследованию Института компьютерной безопасности США и ФБР (см. «CSI/FBI Computer Crime and Security Survey 2005»), в прошлом году 55% компаний зарегистрировали инциденты, связанные с неправомочным доступом к данным. Более того, каждая фирма потеряла в 2005 году вследствие неавторизованного доступа в среднем 303 тыс. долл., причем по сравнению с 2004 годом убытки увеличились в 6 раз.

Бизнес сразу же отреагировал на возросшую опасность угроз. По данным IDC (см. «Russia Security Software 2005-2009 Forecast and 2004 Vendor Shares»), российские компании не только увечили инвестиции в ИТ-безопасность на 32,7%, но и в значительной мере направили свои усилия на внедрение систем «3А» (аутентификация, авторизация, безопасное администрирование).

Сегмент рынка систем «3А» за год вырос на 83%. Такая динамика вполне объяснима: средства сильной аутентификации, лежащие в основе всей концепции «3А», позволяют защитить компанию от целого комплекса угроз ИТ-безопасности - это и несанкционированный доступ к информации, и неправомочный доступ к корпоративной сети со стороны служащих, и мошенничество, и утечки данных вследствие кражи мобильных устройств или действий персонала и т.д., а ведь известно, что каждая из этих угроз ежегодно наносит громадный ущерб (рис. 1).

Рис. 1. Потери от различных видов атак, долл.

В основе сильной аутентификации лежит двух- или трехфакторный процесс проверки, по результатам которого пользователю может быть предоставлен доступ к запрашиваемым ресурсам. В первом случае служащий должен доказать, что он знает пароль или PIN и имеет определенный персональный идентификатор (электронный ключ или смарт-карту), а во втором случае пользователь предъявляет еще один тип идентификационных данных, например биометрические данные.

Использование средств многофакторной аутентификации в немалой степени снижает роль паролей, и в этом проявляется еще одно преимущество строгой аппаратной аутентификации, так как, по некоторым оценкам, сегодня пользователям требуется помнить около 15 различных паролей для доступа к учетным записям. Вследствие информационной перегруженности служащие, чтобы не забыть пароли, записывают их на бумаге, что снижает уровень безопасности из-за компрометации пароля. Забывание паролей наносит фирмам серьезный финансовый ущерб. Так, исследование Burton Group (см. «Enterprise Single Sign-On: Access Gateway to Applications») показало, что каждый звонок в компьютерную службу помощи обходится компании в 25-50 долл., а от 35 до 50% всех обращений приходится именно на забывчивых сотрудников. Таким образом, использование усиленной или двухфакторной аутентификации позволяет не только снизить риски ИТ-безопасности, но и оптимизировать внутренние процессы компании вследствие уменьшения прямых финансовых потерь.

Как уже было сказано, высокая эффективность средств многофакторной аутентификации привела к стремительному росту рынка систем «3А». Изобилие представленных решений требует от заказчиков соответствующей компетентности, ведь каждый предлагаемый тип персонального идентификатора характеризуется своими достоинствами и недостатками, а следовательно, и сценариями использования. К тому же бурное развитие данного сегмента рынка уже в ближайшие годы приведет к тому, что часть продвигаемых сегодня аппаратных идентификаторов останется за бортом. Таким образом, отдавая предпочтение тому или иному решению сегодня, заказчик должен учитывать не только текущие потребности организации, но и будущие.

Типы персональных средств аутентификации

В настоящее время на рынке представлено немало персональных идентификаторов, различающихся как по техническим возможностям и функциональности, так и по формфактору. Рассмотрим их подробнее.

USB-токены

Процесс двухфакторной аутентификации с использованием USB-токенов проходит в два этапа: пользователь подключает это небольшое устройство в USB-порт компьютера и вводит PIN-код. Преимуществом данного типа средств аутентификации является высокая мобильность, так как USB-порты имеются на каждой рабочей станции и на любом ноутбуке.

При этом применение отдельного физического устройства, которое способно обеспечить безопасное хранение высокочувствительных данных (ключей шифрования, цифровых сертификатов и т.д.), позволяет реализовать без-опасный локальный или удаленный вход в вычислительную сеть, шифрование файлов на ноутбуках, рабочих станциях и серверах, управление правами пользователя и осуществление безопасных транзакций.

Смарт-карты

Эти устройства, внешне напоминающие кредитную карту, содержат защищенный микропроцессор, позволяющий выполнять криптографические операции. Для успешной аутентификации требуется вставить смарт-карту в считывающее устройство и ввести пароль. В отличие от USB-токенов, смарт-карты обеспечивают значительно большую безопасность хранения ключей и профилей пользователя. Смарт-карты оптимальны для использования в инфраструктуре открытых ключей (PKI), так как осуществляют хранение ключевого материала и сертификатов пользователей в самом устройстве, а секретный ключ пользователя не попадает во враждебную внешнюю среду. Однако смарт-карты обладают серьезным недостатком - низкой мобильностью, поскольку для работы с ними требуется считывающее устройство.

USB-токены со встроенным чипом

От смарт-карт данный тип персонального идентификатора отличается только формфактором. USB-токены со встроенным чипом обладают всеми преимуществами смарт-карт, связанными с безопасным хранением конфиденциальных сведений и осуществлением криптографических операций прямо внутри токена, но лишены их основного недостатка, то есть не требуют специального считывающего устройства. Полифункциональность токенов обеспечивает широкие возможности их применения - от строгой аутентификации и организации безопасного локального или удаленного входа в вычислительную сеть до построения на основе токенов систем юридически важного электронного документооборота, организации защищенных каналов передачи данных, управления правами пользователя, осуществления безопасных транзакций и др.

OTP-токены

Технология OTP (One-Time Password) подразумевает использование одноразовых паролей, которые генерируются с помощью токена. Для этого служит секретный ключ пользователя, размещенный как внутри OTP-токена, так и на сервере аутентификации. Для того чтобы получить доступ к необходимым ресурсам, сотрудник должен ввести пароль, созданный с помощью OTP-токена. Этот пароль сравнивается со значением, сгенерированным на сервере аутентификации, после чего выносится решение о предоставлении доступа. Преимуществом такого подхода является то, что пользователю не требуется соединять токен с компьютером (в отличие от вышеперечисленных типов идентификаторов). Однако количество приложений ИТ-безопасности, которые поддерживают возможность работы с OTP-токенами, сегодня намного меньше, чем для USB-токенов (как с чипом, так и без) и смарт-карт. Недостатком OTP-токенов является ограниченное время жизни этих устройств (три-четыре года), так как автономность работы предполагает использование батарейки.

Гибридные токены

Эти устройства, сочетающие в себе функциональность двух типов устройств - USB-токенов со встроенным чипом и OTP-токенов, - появились на рынке относительно недавно. С их помощью можно организовать процесс как двухфакторной аутентификации с подключением к USB-порту, так и бесконтактной аутентификации в тех случаях, когда USB-порт недоступен (например, в Интернет-кафе). Заметим, что гибридные смарт-карты, обладающие функциональностью USB- и OTP-токенов, а также имеющие встроенный чип, соответствуют наивысшему уровню гибкости и безопасности.

Программные токены

В данном случае роль токена играет программное обеспечение, которое генерирует одноразовые пароли, применяемые наряду с обычными паролями для многофакторной аутентификации. На основании секретного ключа программа-токен генерирует одноразовый пароль, который отображается на экране компьютера или мобильного устройства и должен быть использован для аутентификации. Но поскольку токеном является программа, записанная на рабочей станции, мобильном компьютере или сотовом телефоне, то ни о каком безопасном хранении ключевой информации речи не идет. Таким образом, данный способ безопаснее по сравнению с обычными паролями, но намного слабее применения аппаратных идентификаторов.

Характеристика различных типов персональных идентификаторов

Российский рынок многофакторной аутентификации

Для российского рынка средств сильной аутентификации характерна очень небольшая распространенность OTP-токенов, которые занимают более половины общемирового сегмента персональных идентификаторов. Сегодня поставки этих устройств идут главным образом в российские представительства крупных западных компаний, головные офисы и вся ИТ-инфраструктура которых изначально были построены на OTP-токенах.

Основным фактором, сдерживающим развитие российского рынка OTP-токенов, является высокая стоимость владения (Total Cost of Ownership, TCO) и короткий жизненный цикл. Встроенной батарейки обычно хватает на три-четыре года, после чего заказчик вынужден менять устройство, оплачивая порядка 70% его начальной стоимости. Рассмотрим в качестве примера популярный на Западе OTP-токен RSA SecurID. Стоимость решения для 500 пользователей, куда входят основной сервер и сервер-репликатор, программное обеспечение и сами персональные идентификаторы, составляет 76 тыс. долл. (один токен SecurID стоит 79 долл.). Вдобавок ежегодно на поддержку, по данным дилеров, придется тратить еще 6,6 тыс. долл. Таким образом, в целом решение обойдется в 82,6 тыс. долл., а стоимость одного рабочего места, оборудованного ОТР-токеном, составит не менее 165 долл.

Для сравнения возьмем еще один электронный ключ с генератором одноразовых паролей - eToken NG-OTP от компании Aladdin. В этом случае схема расчета на одно рабочее место несколько иная: серверы аутентификации приобретать не нужно, достаточно иметь серверную версию Windows, которой оснащено сейчас подавляющее число локальных сетей предприятий. Стоимость универсальной системы управления всеми средствами аутентификации (в том числе и разнотипными) в масштабе предприятия (eToken TMS) составит около 4 тыс. долл. (серверная лицензия), а общая цена на 500 токенов (при цене одного устройства 67 долл.) равна 33,5 тыс. долл. Прибавим сюда пользовательскую лицензию для каждого токена: 24 долл. - до 500 пользователей и 19 долл. - свыше 500. Таким образом, стоимость одного рабочего места с интегрированной системой строгой аутентификации по одноразовым паролям составит 99 долл,. а при расчете на 501 пользователя - 94 долл.

Однако, даже несмотря на эту разницу, стоимость защиты одного рабочего места с помощью «стандартного» токена, то есть без ОТР, значительно ниже. Например, для того же eToken PRO, самого популярного в линейке Aladdin USB-токена со встроенным чипом, рассчитанная по той же формуле стоимость одного рабочего места составляет всего 47 долл.

Таким образом, российский рынок персональных идентификаторов значительно отличается от мирового и состоит в основном из USB-токенов со встроенным чипом - на их долю приходится примерно 80-85% рынка. Впрочем, именно USB-токены со встроенным чипом являются сегодня наиболее эффективным средством сильной аутентификации. Так, аналитики ведущих консалтинговых компаний, например IDC и Gartner, считают, что к 2008 году большая часть всего рынка персональных идентификаторов будет приходиться именно на USB-токены со встроенным чипом. Кроме того, компания Gartner назвала USB-токены со встроенным чипом лучшим инвестиционным вложением в обеспечение безопасного доступа к данным в 2005 году.

По внутренним данным Aladdin-Russia, лидером отечественного рынка USB-токенов со встроенным чипом является российская компания Aladdin (70%), за ней с серьезным отставанием следуют Rainbow Technologies (25%) и «Актив» (5%) (рис. 2).

Рис. 2. Структура российского рынка USB-токенов со встроенным чипом (

Проблемы с паролями в больших офисах.
Компьютеры проникли и продолжают проникать во многие отрасли. Многие заводы и большие компании внедряют у себя компьютерную технику и создают информационную инфраструктуру. На обучение персонала и на процесс перехода от бумажного документооборота к электронному тратятся большие средства. Контроль доступа к информационным ресурсам становится сложной задачей.
Часто случается, что работники записывают пароли на бумажках, которые лежат на рабочих столах или приклеены к мониторам.

Это повышает вероятность кражи конфиденциальной информации, или создает условия для нарушения доступа к важным данным.
Люди занимаются своей работой, и никто не хочет забивать себе голову всякой чепухой наподобие "пароля к Windows" . В этом случае утечка и слабость паролей становится серьезной проблемой для сетевых администраторов и ответственных за информационную безопасность.

Компании пытаются решать эту проблему с помощью электронных ключей - USB брелков, смарт-карт и других аппаратных аутентификаторов. При определенных условиях это решение оправдывает себя. А именно:

Когда процесс перехода с обычного метода аутентификации (по паролям) на двух-факторный метод (с помощью USB ключей) четко спланирован;

В компании есть квалифицированный персонал для обслуживания такой системы,

Со стороны производителя таких решений обеспечивается всесторонняя поддержка.

Аутентификация с помощью USB flash drive.
Проблемы с паролями и безопасностью, хотя и в меньшей степени, но все же актуальны и для обычных пользователей. Использование USB брелка или смарт-карты для входа в Windows на домашнем компьютере является скорее личным предпочтением, нежели насущной необходимостью.

Аутентификация с помощью USB брелка или смарт-карты больше всего подходит для малых и средних офисов, а также для частных предприятий, на компьютерах руководящих работников. Наличие такого ключа к своему компьютеру здорово упрощает аутентификацию (доступ пользователя в Windows), хотя защита паролем присутствует.

Для аутентификации в Windows лучше всего использовать обычный USB накопитель (flash drive).
С помощью программы Вы можете убедиться в том, насколько удобно использование USB накопителя в качестве ключа для входа в Windows или для доступа к .

С помощью USB flash drive?