Ich erzähle Ihnen von einem anderen Authentifizierungsmechanismus für Webressourcen. Der Mechanismus ist einfach, er basiert auf der Verwendung einer elektronischen digitalen Signatur und zum Speichern von Schlüsseln wird ein USB-Token verwendet.

Die Hauptaufgabe der in früheren Artikeln beschriebenen Algorithmen bestand darin, das Passwort vor Abfangen zu schützen und das Geheimnis (z. B. einen Passwort-Hash) sicher in der Serverdatenbank zu speichern. Es gibt jedoch noch eine weitere ernste Bedrohung. Es ist eine unsichere Umgebung, in der wir Passwörter verwenden. Soft- und Hardware-Keylogger, Spyware, die Browser-Eingabeformulare überwacht, der MitM-Angriff, der nicht nur das Authentifizierungsprotokoll, sondern auch die Struktur der HTML-Seite, auf der das Passwort eingegeben wird, kontrolliert, und selbst das bloße Ausspionieren eines Nachbarn stellen eine Bedrohung dar dass kein Passwort-Authentifizierungsschema mithalten kann. wird nicht widerstehen können. Dieses Problem wurde einst durch die Erfindung der Multi-Faktor-Authentifizierung gelöst. Das Wesentliche ist, dass Sie für eine erfolgreiche Authentifizierung das Geheimnis kennen und ein Objekt besitzen müssen (in unserem Fall ein USB-Token und seinen PIN-Code).

Das bieten Entwickler von Informationssicherheitssoftware an.

USB-Token - Hardwaregerät, in der Lage, ein Schlüsselpaar zu bilden und elektronische auszuführen Digitale Unterschrift, erfordert die Eingabe eines PIN-Codes, um Vorgänge auszuführen. Bei der Generierung digitaler Signaturen kommt die Elliptische-Kurven-Kryptographie zum Einsatz. Erfordert keine Treiberinstallation, wird als HID-Gerät erkannt.

Cross-Browser-Plugin- kann mit einem USB-Token arbeiten, verfügt über eine Softwareschnittstelle für den Zugriff auf kryptografische Funktionen. Für die Installation sind keine Administratorrechte erforderlich.

Bei den vorgeschlagenen Komponenten handelt es sich um eine Art Konstruktor zur Einbettung verschiedener kryptografischer Funktionen in Webanwendungen. Mit ihrer Hilfe können Sie Verschlüsselungs-, Authentifizierungs- und digitale Signaturfunktionen mit einem hohen Maß an Sicherheit implementieren.

Ein Authentifizierungsschema könnte beispielsweise so aussehen.

Anmeldung:

1. Der Client generiert im Token ein Schlüsselpaar e,d;
2. Öffentlicher Schlüssel e der Client sendet an den Server;

Authentifizierung:

1. Der Client sendet ein Login an den Server;
2. Der Server generiert RND und sendet es an den Kunden;
3. Client generiert RND und sendet eine signierte Nachricht an den Server ( RND-Server||RND-Client||Servername);
4. Der Server überprüft die Authentizität der digitalen Signatur anhand des öffentlichen Schlüssels des Clients.

Für diejenigen, die gegenüber „Fahrrädern“ misstrauisch sind – googeln Sie „ISO public-Key Two-pass Unilateral Authentication Protocol“.

Veröffentlicht am 3. Februar 2009 von · Keine Kommentare

Wenn Sie den nächsten Teil dieser Serie lesen möchten, folgen Sie bitte dem Link

Bisher waren Passwörter häufig der bevorzugte/erforderliche Authentifizierungsmechanismus beim Zugriff auf ungesicherte Systeme und Daten. Aber die Nachfrage nach mehr wächst zuverlässiger Schutz und Komfort ohne unnötige Komplexität treiben die Entwicklung von Authentifizierungstechnologien voran. In dieser Artikelserie befassen wir uns mit den verschiedenen Multi-Faktor-Authentifizierungstechnologien, die Sie unter Windows verwenden können. In Teil 1 beschäftigen wir uns zunächst mit der Chip-basierten Authentifizierung.

Wenn das Passwort einfach nicht funktioniert

Im Jahr 1956 schrieb George A. Miller einen hervorragenden Artikel mit dem Titel „Die magische Zahl Sieben, Plus oder Minus Zwei: Einige Grenzen unserer Kapazität zur Informationsverarbeitung.“ In diesem Artikel geht es um die Einschränkungen, denen wir als Menschen ausgesetzt sind, wenn wir uns bestimmte Informationen merken möchten. Eines der Ergebnisse dieser Arbeit ist, dass sich der durchschnittliche Mensch sieben (7) Informationen gleichzeitig merken kann, plus oder minus zwei (2). Andere Wissenschaftler versuchten später zu beweisen, dass sich der durchschnittliche Mensch nur fünf (5) Informationen gleichzeitig merken kann, und wiederum plus/minus zwei (2). Wenn diese Theorie jedoch wahr ist, widerspricht sie Ratschlägen zur Passwortlänge und -komplexität, die in verschiedenen Quellen gelesen oder von verschiedenen sicherheitsrelevanten Personen gehört werden können.

Es wird oft gesagt, dass Komplexität eine der größten Bedrohungen für die Sicherheit darstellt. Ein Bereich, in dem dieses Muster beobachtet werden kann, ist, wenn Benutzer und Administratoren komplexe Passwortrichtlinien einhalten müssen. Die Kreativität und die Problemumgehungen, die ich manchmal von Benutzern und Administratoren sehe, wenn sie Probleme haben, sich ihre Passwörter zu merken, erstaunen mich immer wieder aufs Neue. Gleichzeitig steht dieses Problem jedoch fast immer unter den Top 5 der Hilfetabelle. Und da Gartner und Forrester schätzen, dass jeder Anruf bei einem Helpdesk mit verlorenem Passwort etwa 10 US-Dollar kostet, ist es einfach, eine Kosten-Nutzen-Analyse der aktuellen Passwortrichtlinie eines Unternehmens durchzuführen.

Passwörter als einziger Authentifizierungsmechanismus sind in Ordnung, solange das Passwort mehr als 15 Zeichen lang ist und mindestens ein nicht-englisches Zeichen enthält. Passphrasen sind Beispiele für lange Passwörter, die sich Benutzer leichter merken können. Dadurch wird sichergestellt, dass die meisten Rainbow-Angriffe, einschließlich 8-Bit-Angriffe, aufgrund der zusätzlichen Komplexität, die fremde Zeichen mit sich bringen, fehlschlagen.

Die Notiz: Seit Windows 2000 kann ein Passwort bis zu 127 Zeichen lang sein.

Der Grund dafür, dass Passwörter als einziger Authentifizierungsmechanismus nicht effektiv sind, liegt jedoch darin, dass Benutzer gute, sichere Passwörter schlecht finden und sich daran erinnern können. Zudem sind Passwörter oft nicht richtig geschützt. Glücklicherweise gibt es Sicherheitslösungen, die die Sicherheit und den Komfort erhöhen, indem sie kurze, leicht zu merkende Passwörter verwenden.

Chipbasierte Authentifizierung

Eine solche Sicherheitslösung ist die Chip-basierte Authentifizierung, oft auch als Zwei-Faktor-Authentifizierung bezeichnet. Die Zwei-Faktor-Authentifizierung verwendet eine Kombination der folgenden Elemente:

1. Etwas, das Sie haben, beispielsweise eine Smartcard oder ein USB-Flash-Laufwerk.
2. Etwas, das Sie kennen, beispielsweise eine persönliche Identifikationsnummer (PIN). Mit der PIN erhält der Benutzer Zugriff auf das auf der Smartcard gespeicherte digitale Zertifikat.

Abbildung 1 zeigt zwei verschiedene Lösungen, die im Wesentlichen Vertreter derselben Technologie sind. Ehrlich gesagt liegt der Hauptunterschied im Preis und in der Form, obwohl jede Lösung enthalten kann Zusätzliche Optionen, wie wir gleich sehen werden.

Beispiel einer Smartcard, die zur Remote-Authentifizierung, Windows-Authentifizierung usw. verwendet wird.

physischer Zugang und Zahlung Beispiel eines USB-Sticks mit Chip-basierter Authentifizierung und Flash-Speicher zur Speicherung von Informationen. Abbildung 1: Zwei Beispiele für Geräte mit Chip-basierter Authentifizierung

Sowohl Smartcards als auch USB-Sticks verfügen über einen integrierten Chip. Der Chip ist ein 32-Bit-Mikroprozessor und enthält typischerweise 32 KB oder 64 KB (EEPROM – elektrisch löschbarer programmierbarer Speicher). permanentes Gedächtnis) (RAM – RAM) Speicherchip, der in eine Smartcard oder ein USB-Flash-Laufwerk integriert ist. Heutzutage gibt es Smartcards und USB-Sticks mit bis zu 256 KB Arbeitsspeicher zur sicheren Datenspeicherung.

Die Notiz: Wenn wir in diesem Artikel über Speicher sprechen, sprechen wir von der Speicherung auf dem integrierten sicheren Chip, nicht auf dem Gerät selbst.

Dieser Chip verfügt über ein kleines Betriebssystem und etwas Speicher zum Speichern von Zertifikaten, die zur Authentifizierung verwendet werden. Dieses Chip-Betriebssystem unterscheidet sich von Hersteller zu Hersteller. Daher müssen Sie in Windows einen CSP-Dienst (Cryptographic Service Provider) verwenden, der das Chip-Betriebssystem unterstützt. Wir werden uns im nächsten Artikel mit dem CSP-Dienst befassen. Die chipbasierte Lösung hat gegenüber anderen Multi-Faktor-Authentifizierungslösungen gewisse Vorteile, da sie zur Speicherung von Authentifizierungs-, Identifikations- und Signaturzertifikaten verwendet werden kann. Wie bereits erwähnt, ist alles durch einen PIN-Code geschützt, der dem Benutzer Zugriff auf die auf dem Chip gespeicherten Daten ermöglicht. Da Unternehmen oft ihre eigenen Smartcards und Flash-Laufwerke unterstützen und herausgeben, können sie auch bestimmen, welche Richtlinien mit dieser Lösung verbunden sind. Wird die Karte beispielsweise gesperrt oder werden die Daten danach gelöscht? X Anzahl erfolgloser Versuche. Da diese Richtlinien in Verbindung mit einer PIN verwendet werden können, kann die PIN deutlich kürzer und einfacher zu merken sein, ohne dass ein Sicherheitsrisiko besteht. Alle diese Parameter werden ab dem Zeitpunkt der Ausstellung auf der Chipkarte gespeichert. Die Chip-basierte Lösung ist außerdem nicht anfällig für Manipulationen von außen, sodass ohne den erforderlichen PIN-Code die auf dem Chip gespeicherten Informationen (Zertifikate und persönliche Informationen) nicht zugänglich sind und daher für keinen Zweck verwendet werden können.

Smartcards oder USB-Sticks?

Wie bereits erwähnt, ist einer der Unterschiede zwischen Smartcards und USB-Sticks der Formfaktor. Beide Lösungen adressieren das Gesamtziel der Zwei-Faktor-Authentifizierung, aber jede Lösung hat ihre Vor- und Nachteile. Die Smartcard kann zur Lichtbildidentifikation verwendet werden, da Sie ein Foto und einen Namen darauf drucken können. Ein USB-Flash-Laufwerk kann einen Flash-Speicher zum Speichern von Dokumenten und Dateien enthalten. Mit beiden Geräten lässt sich der physische Zugang auf die eine oder andere Weise steuern. Eine Smartcard kann einen Chip, einen Magnetstreifen, Barcodes und kontaktlose Funktionen enthalten, während ein Flash-Laufwerk möglicherweise über zusätzliche kontaktlose Funktionen oder biometrische Unterstützung verfügt.

Die Notiz: Es gibt andere Formfaktoren, wie z Handys, bei dem die SIM-Karte (Subscriber Identity Module) denselben Zweck wie eine Smartcard oder ein USB-Flash-Laufwerk erfüllen kann.

Für eine Smartcard ist ein Smartcard-Lesegerät erforderlich, während ein USB-Flash-Laufwerk mit einem vorhandenen verwendet werden kann. Computer USB Port und verwenden Sie ihn, um einen Smartcard-Leser zu emulieren. Smartcard-Lesegeräte müssen heutzutage entweder Schnittstellen wie PC Card, ExpressCard, USB verwenden oder eingebaut sein; einige Laptop- und Tastaturhersteller haben solche Kartenleser in ihre Modelle eingebaut. Smartcard-Lesegeräte gelten unabhängig vom Betriebssystemchip als Standard-Windows-Geräte und verfügen über eine Sicherheitsbeschreibung und eine PnP-Kennung. Sowohl Kartenleser als auch USB-Sticks benötigen einen Treiber Windows-Geräte Bevor sie verwendet werden können, achten Sie aus Leistungsgründen bei der Zwei-Faktor-Authentifizierung darauf, die neuesten Treiber zu verwenden.

Der anfängliche Preis jedes Geräts kann bei der Entscheidung, welche Lösung verwendet werden soll, eine Rolle spielen, es sollten jedoch auch andere Unterschiede berücksichtigt werden, beispielsweise der psychologische Faktor, der mit diesen Authentifizierungslösungen verbunden ist. Eine Smartcard und eine Kreditkarte sind fast dasselbe, und viele Kreditkarten verfügen heutzutage auch über eingebaute Chips. Viele Unternehmen nutzen heutzutage Smartcards sowohl für den physischen Zugang als auch zum Bezahlen von Mittagessen usw. Dies bedeutet, dass die Karte praktisch ist und auch einen Geldwert hat. Daher sind die Menschen gezwungen, eine solche Karte zu schützen und daran zu denken, sie immer bei sich zu haben. Es passt auch gut in eine Brieftasche, was je nach Betrachtungsweise auch einen zusätzlichen Sicherheitseffekt haben kann.

Einige Fragen, die es zu berücksichtigen gilt

Bei der Auswahl einer Chip-basierten Authentifizierungslösung müssen einige Probleme und Überlegungen berücksichtigt werden.

1. Kompatibilität» Stellen Sie sicher, dass das Chip-Betriebssystem mit dem CSP kompatibel ist, den Sie verwenden möchten. Wie Sie im nächsten Artikel erfahren werden, ist der CSP die Middleware zwischen dem Betriebssystem des Chips und Windows und außerdem für die auf den Chip angewendeten Sicherheitsrichtlinien verantwortlich.
2. Kontrolle» Wenn Sie eine Smartcard oder ein Flash-Laufwerk für die Nutzung durch eine große Anzahl von Personen benötigen, stellen Sie sicher, dass Sie ein Chip-Betriebssystem auswählen, das mit dem Card Management System (CMS) Ihrer Wahl kompatibel ist.
3. Erweiterbarkeit» Stellen Sie sicher, dass das Chip-Betriebssystem von jedem genutzt werden kann notwendigen Anwendungen und für alle Authentifizierungsanforderungen, die Sie benötigen. In Zukunft benötigen Sie möglicherweise zusätzliche Zertifikate auf der Smartcard oder dem Flash-Laufwerk, beispielsweise Signaturen Email oder sogar biometrische Daten. Sehen Sie sich die technischen Details der DoD Common Access Card (CAC) an, die zum Speichern einer großen Menge an Benutzerinformationen verwendet wird (siehe Link unten). Stellen Sie einfach sicher, dass Sie Datenschutzaspekte berücksichtigen, wenn Sie Informationen wie biometrische Daten verwenden. Wir werden uns später in dieser Artikelserie mit diesem Thema befassen.
4. Benutzerfreundlichkeit» Achten Sie darauf, dass Sie eine benutzerfreundliche und praktische Chiplösung wählen. Eine große Herausforderung bei Multi-Faktor-Authentifizierungslösungen besteht darin, dass Benutzer dazu neigen, ihre Smartcards oder Flash-Laufwerke zu vergessen oder zu verlieren oder die PIN zu vergessen, wenn das Gerät nicht häufig verwendet wird.

Abschluss

Im nächsten Artikel schauen wir uns den Prozess der Vorbereitung von Windows für die Unterstützung von Multi-Faktor-Authentifizierungsgeräten an und geben einige Tipps zur Vorbereitung und Verwendung Ihrer Smartcards und Flash-Laufwerke in Windows XP und Windows Server 2003 umzingelt.

Quelle www.windowsecurity.com

Siehe auch:

Leserkommentare (Keine Kommentare)

Ja, ich bin ein Mann, ein Mann! =)

Austausch 2007

Wenn Sie die vorherigen Teile dieser Artikelserie lesen möchten, folgen Sie bitte den Links: Monitoring Exchange 2007 Using System Manager...

Einleitung In diesem mehrteiligen Artikel möchte ich Ihnen den Prozess zeigen, mit dem ich kürzlich von einer vorhandenen Exchange 2003-Umgebung migriert habe ...

Wenn Sie den ersten Teil dieser Serie verpasst haben, lesen Sie ihn bitte unter Verwenden des Exchange Server Remote Connectivity Analyzer Tools (Teil...)

U2F ist ein offenes Protokoll, das eine universelle 2-Faktor-Authentifizierung ermöglicht Chrome-Browser 38 und später. U2F wurde von der FIDO Alliance entwickelt – einer Allianz aus Microsoft, Google, Lenovo, MasterCard, Visa, PayPal usw. Das Protokoll funktioniert ohne zusätzliche Treiberinstallation Betriebssysteme Windows/Linux/MacOS. Die Dienste Wordpress, Google und LastPass unterstützen das Protokoll. Betrachten wir alle Vor- und Nachteile der Zusammenarbeit mit.

Vor dem Hintergrund der wachsenden Beliebtheit der zweistufigen Authentifizierung, die durch einen Anruf oder das Versenden einer SMS-Nachricht erfolgt, stellt sich die logische Frage: Wie komfortabel ist diese Authentifizierungsmethode und weist diese Authentifizierungsmethode irgendwelche Tücken auf?

Als zusätzliche Verifizierungsmethode ist natürlich die Authentifizierung per Anruf oder Senden einer Nachricht sehr praktisch. Darüber hinaus hat sich diese Methode in vielen Fällen bewährt und ist daher gleichermaßen geeignet Schutzmaßnahmen gegen Phishing, automatisierte Angriffe, Versuche zum Erraten von Passwörtern, Virenangriffe usw. Hinter der Bequemlichkeit steckt jedoch eine Gefahr: Wenn Betrüger zur Sache kommen, kann die Verknüpfung mit einer Telefonnummer für Sie von Nachteil sein. Am häufigsten ist das Konto mit dem angegebenen Konto verknüpft Kontakt Nummer ein Benutzer, dessen erste oder letzte Ziffer von jedem erkannt werden kann, wenn er versucht, den Zugriff auf sein Konto wiederherzustellen. Auf diese Weise können Betrüger Ihre Identität herausfinden Telefonnummer, und stellen Sie dann fest, an wen es ausgegeben wird. Nachdem die Betrüger Informationen über den Eigentümer erhalten haben, verwenden sie gefälschte Dokumente im Salon des Betreibers Mobilfunkkommunikation eine erneute Ausstellung der SIM-Karte beantragen. Jeder Filialmitarbeiter hat die Befugnis, Karten neu auszustellen, was es Betrügern ermöglicht, sich nach Erhalt einer SIM-Karte mit der gewünschten Nummer in Ihr Konto einzuloggen und etwaige Manipulationen daran vorzunehmen.

Einige Unternehmen, zum Beispiel große Banken, speichern nicht nur die Telefonnummer des Besitzers, sondern auch die eindeutige Kennung der SIM-Karte – IMSI. Bei einer Änderung wird die Bindung der Telefonnummer aufgehoben und muss vom Bankkunden persönlich erneut vorgenommen werden. Allerdings sind solche Dienste nicht weit genug verbreitet. Um die IMSI für eine beliebige Telefonnummer herauszufinden, können Sie eine spezielle HLR-Anfrage auf der Website smsc.ru/testhlr senden.

Ein modernes Modell mit Unterstützung der zweistufigen Authentifizierung im Browser, das zusätzliche Sicherheit für Ihr Konto garantiert, können Sie in unserem Online-Shop erwerben.

Das schnelle Wachstum der Marktsegmente „3A“-Systeme (Authentifizierung, Autorisierung, sichere Verwaltung) und starke Authentifizierungstools hat zur Entstehung vieler verschiedener Arten von Hardware- und Software-Identifikatoren sowie deren hybriden Modifikationen geführt. Ein Kunde, der heute ein Multi-Faktor-Authentifizierungssystem implementieren möchte, steht vor einer schwierigen Entscheidung. Trends in der Konvergenz von physischer und logischer Authentifizierung, der Integration von Single-Sign-On-Lösungen und Identitätsmanagementsystemen machen die Auswahl noch schwieriger. In diesem Artikel werden wir versuchen, dem Kunden zu helfen, die auf dem Markt verfügbaren Lösungen zu verstehen und die richtige Wahl zu treffen.

Eine der gefährlichsten Bedrohungen für die IT-Sicherheit ist heute unautorisierter Zugriff Zu vertrauliche Informationen. Laut einer Studie des US-amerikanischen Computer Security Institute und des FBI (siehe „CSI/FBI Computer Crime and Security Survey 2005“) meldeten im vergangenen Jahr 55 % der Unternehmen Vorfälle mit unbefugtem Zugriff auf Daten. Darüber hinaus verlor jedes Unternehmen im Jahr 2005 durch unbefugten Zugriff durchschnittlich 303.000 US-Dollar, und die Verluste stiegen im Vergleich zu 2004 um das Sechsfache.

Unternehmen reagierten sofort auf die erhöhte Bedrohungsgefahr. Laut IDC (siehe „Russia Security Software 2005-2009 Forecast and 2004 Vendor Shares“) steigerten russische Unternehmen nicht nur ihre Investitionen in die IT-Sicherheit um 32,7 %, sondern konzentrierten ihre Bemühungen auch weitgehend auf die Implementierung von „3A“-Systemen“ (Authentifizierung, Autorisierung, sichere Verwaltung).

Das Marktsegment 3A-Systeme wuchs im Jahresverlauf um 83 %. Diese Dynamik ist durchaus verständlich: Die Mittel der starken Authentifizierung, die dem gesamten „3A“-Konzept zugrunde liegen, ermöglichen es, das Unternehmen vor einer ganzen Reihe von IT-Sicherheitsbedrohungen zu schützen – dazu gehören unbefugter Zugriff auf Informationen, unbefugter Zugriff auf das Unternehmensnetzwerk B. durch Mitarbeiter, Betrug, Datenlecks durch Diebstahl mobiler Geräte oder Personaleingriffe etc., und es ist bekannt, dass jede dieser Bedrohungen jedes Jahr enorme Schäden anrichtet (Abb. 1).

Reis. 1. Verluste aus verschiedene Arten Angriffe, Dollar

Die starke Authentifizierung basiert auf einem zwei- oder dreistufigen Verifizierungsprozess, der dem Benutzer Zugriff auf die angeforderten Ressourcen gewähren kann. Im ersten Fall muss der Mitarbeiter nachweisen, dass er das Passwort oder die PIN kennt und über einen bestimmten persönlichen Identifikator (elektronischer Schlüssel oder Smartcard) verfügt, im zweiten Fall muss der Nutzer eine andere Art von Identifikationsdaten angeben, beispielsweise biometrische Daten.

Durch den Einsatz der Multi-Faktor-Authentifizierung wird die Rolle von Passwörtern erheblich reduziert. Dies ist ein weiterer Vorteil der starken Hardware-Authentifizierung, da Benutzer sich heute schätzungsweise etwa 15 verschiedene Passwörter merken müssen, um auf ihre Konten zuzugreifen. Aufgrund der Informationsüberflutung schreiben Mitarbeiter diese auf Papier auf, um Passwörter nicht zu vergessen, was das Sicherheitsniveau aufgrund einer Passwortkompromittierung verringert. Das Vergessen von Passwörtern verursacht für Unternehmen erhebliche finanzielle Schäden. So zeigte eine Studie der Burton Group (siehe „Enterprise Single Sign-On: Access Gateway to Applications“), dass jeder Anruf bei einer Computer-Helpline ein Unternehmen 25–50 US-Dollar kostet und 35–50 % aller Anrufe von vergesslichen Personen stammen Mitarbeiter. Somit ermöglicht der Einsatz einer erweiterten bzw. Zwei-Faktor-Authentifizierung nicht nur die Reduzierung von IT-Sicherheitsrisiken, sondern auch die Optimierung der unternehmensinternen Prozesse durch die Reduzierung direkter finanzieller Verluste.

Wie bereits erwähnt, hat die hohe Effizienz von Multi-Faktor-Authentifizierungstools zu einem rasanten Wachstum des Marktes für „3A“-Systeme geführt. Die Fülle der vorgestellten Lösungen erfordert eine entsprechende Kompetenz der Kunden, denn jeder vorgeschlagene Personenidentifikatortyp zeichnet sich durch eigene Vor- und Nachteile und damit verbundene Einsatzszenarien aus. Darüber hinaus wird die rasante Entwicklung dieses Marktsegments in den kommenden Jahren dazu führen, dass einige der heute geförderten Hardware-Identifikatoren ins Hintertreffen geraten. Wenn der Kunde heute der einen oder anderen Lösung den Vorzug gibt, muss er daher nicht nur die aktuellen, sondern auch zukünftige Bedürfnisse der Organisation berücksichtigen.

Arten persönlicher Authentifizierungstools

Derzeit gibt es viele Personenidentifikatoren auf dem Markt, die sich in beiden Punkten unterscheiden Technische Fähigkeiten sowohl Funktionalität als auch Formfaktor. Schauen wir sie uns genauer an.

USB-Tokens

Der Zwei-Faktor-Authentifizierungsprozess mithilfe von USB-Tokens erfolgt in zwei Schritten: Der Benutzer schließt diesen an kleines Gerät in den USB-Anschluss des Computers ein und gibt den PIN-Code ein. Der Vorteil dieser Art von Authentifizierungsmitteln liegt in der hohen Mobilität, da an jedem Arbeitsplatz und an jedem Laptop USB-Anschlüsse vorhanden sind.

Gleichzeitig ist die Verwendung eines separaten physisches Gerät, das eine sichere Speicherung hochsensibler Daten (Verschlüsselungsschlüssel, digitale Zertifikate usw.) ermöglichen kann, ermöglicht Ihnen die Implementierung einer sicheren lokalen oder Remote-Anmeldung Computernetzwerk, Verschlüsselung von Dateien auf Laptops, Workstations und Servern, Verwaltung von Benutzerrechten und Durchführung sicherer Transaktionen.

Smartcards

Diese Geräte, die im Aussehen einer Kreditkarte ähneln, enthalten einen sicheren Mikroprozessor, der kryptografische Operationen ermöglicht. Für eine erfolgreiche Authentifizierung ist das Einführen einer Smartcard in das Lesegerät und die Eingabe eines Passworts erforderlich. Im Gegensatz zu USB-Tokens bieten Smartcards eine deutlich höhere Sicherheit bei der Speicherung von Schlüsseln und Benutzerprofilen. Smartcards eignen sich optimal für den Einsatz in Public-Key-Infrastrukturen (PKI), da sie Schlüsselmaterial und Benutzerzertifikate im Gerät selbst speichern und der private Schlüssel des Benutzers nicht in feindliche Hände gerät. Außenumgebung. Smartcards haben jedoch einen gravierenden Nachteil – die geringe Mobilität, da sie ein Lesegerät benötigen, um mit ihnen zu arbeiten.

USB-Token mit integriertem Chip

Von Smartcards dieser Typ Die persönliche Kennung unterscheidet sich nur im Formfaktor. USB-Token mit integriertem Chip bieten alle Vorteile von Smartcards, die mit der sicheren Speicherung vertraulicher Informationen und der Implementierung kryptografischer Operationen direkt im Token verbunden sind, haben jedoch nicht deren Hauptnachteil, d. h. sie erfordern keine spezielles Lesegerät. Die Multifunktionalität von Token bietet vielfältige Einsatzmöglichkeiten – von der strengen Authentifizierung und der Organisation einer sicheren lokalen oder Remote-Anmeldung an ein Computernetzwerk bis hin zum Aufbau rechtlich wichtiger elektronischer Dokumentenverwaltungssysteme auf Basis von Token, der Organisation sicherer Datenübertragungskanäle, der Verwaltung von Benutzerrechten und der Durchführung sicherer Transaktionen usw.

OTP-Token

Bei der OTP-Technologie (One-Time Password) werden Einmalpasswörter verwendet, die mithilfe eines Tokens generiert werden. Zu diesem Zweck wird der geheime Schlüssel des Benutzers verwendet, der sich sowohl im OTP-Token als auch auf dem Authentifizierungsserver befindet. Um Zugang zu den notwendigen Ressourcen zu erhalten, muss der Mitarbeiter ein mithilfe eines OTP-Tokens erstelltes Passwort eingeben. Dieses Passwort wird mit dem vom Authentifizierungsserver generierten Wert verglichen, woraufhin über die Gewährung des Zugriffs entschieden wird. Der Vorteil dieses Ansatzes besteht darin, dass der Benutzer den Token nicht mit dem Computer verbinden muss (im Gegensatz zu den oben genannten Arten von Identifikatoren). Allerdings ist die Anzahl der IT-Sicherheitsanwendungen, die die Arbeit mit OTP-Tokens unterstützen, mittlerweile deutlich geringer als die für USB-Token (sowohl Chiplos als auch Chiplos) und Smartcards. Der Nachteil von OTP-Tokens ist die begrenzte Lebensdauer dieser Geräte (drei bis vier Jahre), da für die Autonomie die Verwendung einer Batterie erforderlich ist.

Hybrid-Token

Diese Geräte, die die Funktionalität zweier Gerätetypen vereinen – USB-Token mit integriertem Chip und OTP-Token – sind erst seit relativ kurzer Zeit auf dem Markt. Mit ihrer Hilfe können Sie sowohl den Prozess der Zwei-Faktor-Authentifizierung mit Anschluss an einen USB-Port als auch die kontaktlose Authentifizierung in Fällen organisieren, in denen der USB-Port nicht verfügbar ist (z. B. in einem Internetcafé). Beachten Sie, dass Hybrid-Smartcards, die über die Funktionalität von USB- und OTP-Tokens verfügen und zusätzlich über einen integrierten Chip verfügen, dem höchsten Maß an Flexibilität und Sicherheit entsprechen.

Software-Token

In diesem Fall wird die Rolle des Tokens gespielt Software, das Einmalpasswörter generiert, die zusammen mit regulären Passwörtern für die Multi-Faktor-Authentifizierung verwendet werden. Basierend auf dem geheimen Schlüssel generiert das Token-Programm ein Einmalpasswort, das auf dem Computerbildschirm angezeigt wird bzw Mobilgerät und muss zur Authentifizierung verwendet werden. Da es sich bei dem Token aber um ein auf der Workstation aufgezeichnetes Programm handelt, mobiler Computer oder Handy, sonst nichts sichere Lagerung Wichtige Informationen werden nicht erwähnt. Auf diese Weise, diese Methode sicherer als normale Passwörter, aber viel schwächer als die Verwendung von Hardware-Identifikatoren.

Merkmale verschiedener Arten persönlicher Identifikatoren

Russischer Markt für Multifaktor-Authentifizierung

Der russische Markt für starke Authentifizierung zeichnet sich durch eine sehr geringe Verbreitung von OTP-Tokens aus, die mehr als die Hälfte des globalen Segments persönlicher Identifikatoren ausmachen. Heute gehen die Lieferungen dieser Geräte hauptsächlich an russische Repräsentanzen großer westlicher Unternehmen, deren Hauptsitze und gesamte IT-Infrastruktur ursprünglich auf OTP-Tokens aufgebaut waren.

Der Hauptfaktor, der die Entwicklung des russischen OTP-Token-Marktes behindert, sind die hohen Betriebskosten (Total Cost of Ownership, TCO) und der kurze Lebenszyklus. Der eingebaute Akku hält in der Regel drei bis vier Jahre, danach ist der Kunde gezwungen, das Gerät auszutauschen und etwa 70 % der Anschaffungskosten zu zahlen. Nehmen wir als Beispiel den im Westen beliebten OTP-Token RSA SecurID. Die Kosten der Lösung für 500 Benutzer, die den Hauptserver und den Replikatorserver, die Software und die persönlichen Identifikatoren selbst umfasst, betragen 76.000 US-Dollar (ein SecurID-Token kostet 79 US-Dollar). Darüber hinaus müssen Sie laut Händlern jährlich weitere 6,6 Tausend Dollar für den Support ausgeben. Insgesamt kostet die Lösung also 82,6 Tausend Dollar, und die Kosten für einen mit einem OTP-Token ausgestatteten Arbeitsplatz betragen mindestens 165 Puppe.

Nehmen wir zum Vergleich einen anderen elektronischen Schlüssel mit einem Einmalpasswortgenerator – eToken NG-OTP von Aladdin. In diesem Fall das Berechnungsschema für eins Arbeitsplatz Etwas anders: Sie müssen keine Authentifizierungsserver kaufen, es reicht aus, eine Serverversion von Windows zu haben, mit der die überwiegende Mehrheit der Menschen mittlerweile ausgestattet ist lokale Netzwerke Unternehmen. Preis universelles System Die Verwaltung aller Authentifizierungsmittel (einschließlich verschiedener Typen) auf Unternehmensebene (eToken TMS) kostet etwa 4.000 Dollar (Serverlizenz) und Gesamtpreis für 500 Token (wobei der Preis für ein Gerät 67 Dollar beträgt) entspricht 33,5 Tausend Dollar. Fügen wir hier die Benutzerlizenz für jeden Token hinzu: 24 Dollar – bis zu 500 Benutzer und 19 Dollar – über 500. Somit betragen die Kosten von Ein Arbeitsplatz mit einem integrierten System zur starken Authentifizierung mithilfe von Einmalkennwörtern kostet 99 US-Dollar. und basierend auf 501 Benutzern – 94 $.

Doch trotz dieses Unterschieds sind die Kosten für den Schutz eines Arbeitsplatzes mit einem „Standard“-Token, also ohne OTP, deutlich geringer. Für denselben eToken PRO, den beliebtesten USB-Token mit integriertem Chip in der Aladdin-Reihe, betragen die nach derselben Formel berechneten Kosten für eine Workstation beispielsweise nur 47 US-Dollar.

Somit unterscheidet sich der russische Markt für persönliche Identifikatoren deutlich vom globalen Markt und besteht hauptsächlich aus USB-Tokens mit integriertem Chip – sie machen etwa 80-85 % des Marktes aus. Am beliebtesten sind heute jedoch USB-Tokens mit integriertem Chip wirksame Mittel starke Authentifizierung. Daher gehen Analysten führender Beratungsunternehmen wie IDC und Gartner davon aus, dass bis 2008 der Großteil des gesamten Marktes für persönliche Identifikatoren aus USB-Tokens mit integriertem Chip bestehen wird. Darüber hinaus nannte Gartner chipbasierte USB-Tokens im Jahr 2005 die größte Investition in den sicheren Datenzugriff.

Laut internen Daten von Aladdin-Russia ist das russische Unternehmen Aladdin (70 %) der Marktführer auf dem heimischen Markt für USB-Tokens mit integriertem Chip, gefolgt von Rainbow Technologies (25 %) und Aktiv (5 %) mit a schwere Verzögerung (Abb. 2) .

Reis. 2. Struktur des russischen Marktes für USB-Tokens mit integriertem Chip (

Probleme mit Passwörtern in großen Büros.
Computer sind in viele Branchen vorgedrungen und dringen auch weiterhin vor. Viele Fabriken und große Unternehmen setzen um Computerausrüstung und eine Informationsinfrastruktur schaffen. Für die Schulung des Personals und den Übergang vom Papier- zum elektronischen Dokumentenmanagement wird viel Geld ausgegeben. Zugangskontrolle Informationsressourcen wird zu einer schwierigen Aufgabe.
Es kommt häufig vor, dass Mitarbeiter Passwörter auf Zettel schreiben, die auf ihren Schreibtischen liegen oder an ihren Monitoren kleben.

Dies erhöht die Wahrscheinlichkeit des Diebstahls vertraulicher Informationen oder schafft Bedingungen für die Verletzung des Zugriffs auf wichtige Daten.
Die Leute gehen ihrer Arbeit nach, und niemand möchte sich mit allerlei Unsinn wie dem „Windows-Passwort“ belästigen. In diesem Fall werden durchgesickerte und schwache Passwörter zu einem ernsthaften Problem für Netzwerkadministratoren und Informationssicherheitsbeauftragte.

Unternehmen versuchen, dieses Problem mithilfe elektronischer Schlüssel zu lösen – USB-Schlüsselanhänger, Smartcards und andere Hardware-Authentifikatoren. Unter bestimmten Voraussetzungen ist diese Entscheidung gerechtfertigt. Nämlich:

Wenn der Prozess der Umstellung von einer regulären Authentifizierungsmethode (Passwörter) auf eine Zwei-Faktor-Methode (mit über USB Schlüssel) ist klar geplant;

Das Unternehmen verfügt über qualifiziertes Personal zur Wartung eines solchen Systems.

Der Hersteller solcher Lösungen bietet umfassenden Support.

Authentifizierung mit USB-Flash fahren.
Probleme mit Passwörtern und Sicherheit sind, wenn auch in geringerem Ausmaß, für normale Benutzer immer noch relevant. Verwenden Sie einen USB-Stick oder eine Smartcard, um sich bei Windows anzumelden Heimcomputer ist eher eine persönliche Präferenz als ein dringendes Bedürfnis.

Die Authentifizierung mit einem USB-Schlüsselanhänger oder einer Smartcard eignet sich am besten für kleine und mittlere Büros sowie für Privatunternehmen an Chefcomputern. Wenn Sie über einen solchen Schlüssel für Ihren Computer verfügen, wird die Authentifizierung (Benutzerzugriff unter Windows) erheblich vereinfacht, obwohl es einen Passwortschutz gibt.

Zur Authentifizierung in Windows ist besser Verwenden Sie einfach ein normales USB-Laufwerk (Flash-Laufwerk).
Mit Hilfe des Programms können Sie sehen, wie komfortabel die Bedienung ist USB Speicher als Schlüssel zum Anmelden bei Windows oder zum Zugriff auf .

Verwenden Sie einen USB-Stick?