Следовательно, данный вид аутентификации является более удобным по сравнению с парольным. Уровень компрометации здесь зависит от внимательности и рассеянности пользователя, а также от степени защищённости самого токена. Защитить токен можно путём превращения аутентификации в двухфакторную. Например, разместив на токене клавиатуру для ввода пин-кода или биометрического сканера отпечатка пальцев, которые будут использоваться для организации доступа непосредственно к самому токену.
3Сравнительный анализ средств и технологий аутентификации и авторизации доступа3.
1 Строгая аутентификация.
Строгая (иногда говорят — жесткая) аутентификация — это надежное и достоверное определение источника информации. Среди разнообразия различных методов и технологий проведения аутентификации по уровню жесткости выделяются следующие классы, построенные на количестве факторов/параметров процесса:-одиночный фактор, типовой пароль — слабая схема;-два и более факторов, например, токен код + PIN-код — строгая схема. Обычно реализация строгой схемы подразумевает предъявление следующих атрибутов:-пользователь что-то имеет в качестве доказательства при проведении аутентификации, например, токен-брелок, смарт-карту, мобильный телефон, PDA etc.;-пользователь что-то знает, что ведомо только ему и проверяющему, например, пароль или PIN. Дополнительными или альтернативными факторами могут быть элементы биометрики, т. е., подтверждение того, кто он есть на самом деле, например, отпечаток пальца, голосовой спектр, сканирование ирисовой оболочки глаза и пр. Управляемый сервис — большая гибкость и снижение рисков. Гибкость сервиса означает универсальное разнообразие в подходе управления полномочиями пользователей, т. е., учитывающего особенности и потребности конкретного пользователя. Например, для универсализации контроля доступа удаленных пользователей лучше подходят:-SeсurID токены;- для штатных сотрудников офиса, где нужен повседневный доступ на основе single-sign-on (SSO) — смарт-карты, USB токены; - для однократного или редкого доступа удобнее использовать доставку одноразового пароля One-Time-Password (OTP) через SMS сервис на мобильный телефон. В случае если меняется матрица прав пользователей, то единый сервис позволяет при таком подходе просто и быстро изменить схему полномочий доступа пользователя, что, собственно, и составляет гибкость и скорость в обслуживании средств обеспечения безопасного доступа в контролируемые ресурсы. Ниже приведено краткое описание особенностей технологий строгой аутентификации, имеющихся на рынке средств, с некоторым анализом уровня жесткости, а также их проекцией на специфику использования в соответствующих приложениях и/или ресурсах. Технология RSA SecurIDЭта технология построена на процедуре генерации одноразового пароля (OTP) c привязкой по синхронизации к серверной компоненте. Система отсылает сформированный passcode серверу аутентификации, который проверяет его валидность путем симметричной генерации части passcode. Результат посылается обратно в систему, которая соответственно даёт доступ или отказывает в нём. Основные преимущества:-уникальное устройство, которое нельзя скопировать; вместе с секретным PIN кодом обеспечивает безопасную двухфакторную аутентификацию;
пользователь хранит свой токен в безопасности, а в случае утери может отменить его действие;
устройство не требует никаких дополнительных считывающих устройств;
пользователь может вводить passcode с любого терминала, под управлением любой ОС;идеален для удалённого доступа в Интернет;
широкая поддержка в распространённых сетевых устройствах, межсетевых экранах, веб-серверах и операционных системах;
простота настройки на практически любой архитектуре;
выбор устройства для SecurID: брелки, Palm PDA или новые мобильные телефоны;RSA Security — надежный в технологическом и устойчивый в финансовом смысле производитель. Издержки или слабости:
пользователь обычно должен раздельно проходить аутентификацию при входе в каждую систему, защищённую SecurID;цепочная схема авторизации требует от пользователя получения следующего значения кода на токене;
может потребоваться запрос повторной аутентификации при очень продолжительной сессии, когда пользователи работают целый день;
обеспечивает лишь аутентификацию объекта, но не предназначен для реализации других услуг по защите информации, например, подписи передаваемых данных;
зависимость от батареи — токен необходимо менять каждые 2−5 лет;чтение с дисплея может быть затруднительно при ослабленном зрении. Идеальные условия применения.
Идеальная среда:
компании и сервис-провайдеры с контролируемым уровнем безопасности и строгой формой учета доступа пользователей;
обеспечение целевого, безопасного доступа к ресурсам компании, мобильным и удалённым сотрудникам;
для доступа с любого компьютера с любого места (из дома, из интернет-кафе) без дополнительных устройств чтения. Идеальное применение:
безопасный корпоративный RAS и VPN доступ;
приложения, которые требуют авторизации либо через web-browser, либо через своего т.н. «тонкого клиента», например, Citrix/TerminalServer;администрирование удалёнными серверами и/или сетевыми устройствами;
поддержка системными администраторами офисных систем в нерабочее время из дома. Цифровой сертификат с хранением на смарт-карте или USB токене.
Индивидуальный ключ пользователя и связанный цифровой сертификат сохраняются на смарт-карте (формата кредитной карты) или на ключе, который имеет USB-интерфейс.Для входа в систему пользователь помещает смарт-карту в устройство для чтения или подключает ключ в USB-порт, играющий роль считывателя. Основные преимущества:
уникальное устройство, которое нельзя скопировать;
пользователь хранит смарт-карту в безопасности, а в случае утери может запросить отзыв сертификата находящегося на ней;вместе с PIN-кодом обеспечивает двухфакторную аутентификацию: что-то, что ты знаешь и что-то, что имеешь;
с помощью индивидуального ключа, не покидающего смарт-карту, возможно безопасно подписывать и шифровать файлы, электронную почту и документы;
обеспечивается защита от перехвата частных данных пользователя;
обеспечивается быстрый и безопасный вход в корпоративную сеть, VPN и веб-порталы;
упрощённый процесс входа в систему, для чего пользователю необходимо ввести только PIN-код, при этом имя пользователя автоматически читается с карты;
может обеспечивать простую идентификацию во многих приложениях: сохранить несколько имён пользователей и паролей;
безопасный выход из системы или блокировка рабочей станции при удалении карты;USBключ не требует дополнительного устройства чтения.
3.2 Сравнительный анализ методов аутентификации.
Результаты анализа методов аутентификации (на основе многоразовых паролей, одноразовых паролей; графического пароля; на основе PIN кода, биометрической аутентификации) представленына рисунке 1. Рисунок 1-Сравнительный анализ методов аутентификации.
В результате анализа методов простой аутентификации можно отметить, что у них имеется ряд существенных недостатков, негативно влияющих на обеспечение безопасности информации. Во избежание предоставления злоумышленнику потенциальной возможности для нарушения конфиденциальности, доступности и целостности в нашей системе, необходимо выполнять рекомендации по созданию и хранению пароля и пользоваться схемой строгой аутентификации.
ЗАКЛЮЧЕНИЕ
К наиболее надежным способам защиты относится многофакторная аутентификация, с помощью которого организации могут однозначно идентифицировать человека, находящегося на другой стороне электронной операции. Основываясь на проведенных исследованиях в данной работе можно сделать вывод, что многофакторные биометрические системы аутентификации на данный момент относятся к наиболее перспективными для организации доступа к информационным системам, как с точки зрения удобства, так и с точки зрения безопасности. Но стоимость таких систем всё ещё является довольно высокой, поэтому решая вопрос о применении того или иного вида аутентификации необходимо руководствоваться не только соображениями безопасности, но и вопросом стоимости конечного решения. К тому же, если информационная система используется для обработки персональных данных, то на неё налагается действие федерального закона РФ «О персональных данных» и связанных с ним нормативно-правовых актов и методических указаний ФСТЭК и ФСБ России, в которых классифицируются виды информационных систем и уславливаются требования к обработке и защите персональных данных. К другим, наиболее надежным средствам защиты данных относится строгаяаутентификация — это надежное и достоверное определение источника информации. Среди разнообразия различных методов и технологий проведения аутентификации по уровню жесткости выделяются следующие классы, построенные на количестве факторов/параметров процесса:-одиночный фактор, типовой пароль — слабая схема;-два и более факторов, например, токен код + PIN-код — строгая схема. Основные преимущества:
уникальное устройство, которое нельзя скопировать;
пользователь хранит смарт-карту в безопасности, а в случае утери может запросить отзыв сертификата находящегося на ней;вместе с PIN-кодом обеспечивает двухфакторную аутентификацию: что-то, что ты знаешь и что-то, что имеешь;
с помощью индивидуального ключа, не покидающего смарт-карту, возможно безопасно подписывать и шифровать файлы, электронную почту и документы;
обеспечивается защита от перехвата частных данных пользователя;
обеспечивается быстрый и безопасный вход в корпоративную сеть, VPN и веб-порталы;
упрощённый процесс входа в систему, для чего пользователю необходимо ввести только PIN-код, при этом имя пользователя автоматически читается с карты;
может обеспечивать простую идентификацию во многих приложениях: сохранить несколько имён пользователей и паролей;
безопасный выход из системы или блокировка рабочей станции при удалении карты;USBключ не требует дополнительного устройства чтения. Таким образом, может обеспечиваться наиболее устойчивая и надежная работа системы защиты информации.
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ
1 Бабаш, А. В. Информационная безопасность. Лабораторный практикум: Учебное пособие / А. В. Бабаш, Е. К. Баранова, Ю. Н. Мельников. — М.: Кно.
Рус, 2013. — 136 c. 2. Гафнер, В. В. Информационная безопасность: Учебное пособие2 В. В. Гафнер.
— Рн/Д: Феникс, 2010. — 324 c.3 Громов, Ю. Ю. Информационная безопасность и защита информации: Учебное пособие / Ю. Ю. Громов, В. О. Драчев, О. Г. Иванова. — Ст.
Оскол: ТНТ, 2010. — 384 c. 4. Ефимова, Л. Л. Информационная безопасность детей. Российский и зарубежный опыт: Монография / Л. Л. Ефимова, С.А. Кочерга… — М.: ЮНИТИ-ДАНА, 2013. —.
239 c. 5. Ефимова, Л. Л. Информационная безопасность детей. Российский и зарубежный опыт. Монография. Гриф УМЦ «Профессиональный учебник». Гриф НИИ образования и науки.
/ Л. Л. Ефимова, С. А. Кочерга. — М.: ЮНИТИ, 2013.
— 239 c. 6. Запечников, С. В. Информационная безопасность открытых систем. В 2-х т. Т.1 — Угрозы, уязвимости, атаки и подходы к защите / С. В. Запечников, Н. Г Милославская.
— М.: ГЛТ, 2006. — 536 c. 7. Запечников, С. В. Информационная безопасность открытых систем. В 2-х т. Т.2 — Средства защиты в сетях / С. В. Запечников, Н. Г. Милославская, А. И. Толстой, Д. В. Ушаков.
— М.: ГЛТ, 2008. — 558 c.
8. Малюк, А. А. Информационная безопасность: концептуальные и методологические основы защиты информации / А. А. Малюк. — М.: ГЛТ, 2004. — 280 c. 9.
Партыка, Т. Л. Информационная безопасность: Учебное пособие / Т. Л. Партыка, И. И. Попов. — М.: Форум, 2012. — 432 c. 10. Петров, С. В. Информационная безопасность: Учебное пособие / С. В. Петров, И. П. Слинькова, В. В. Гафнер.
— М.: АРТА, 2012. — 296 c. 11.
Семененко, В. А. Информационная безопасность: Учебное пособие / В. А. Семененко. — М.: МГИУ, 2010. — 277 c. 12. Чипига, А. Ф. Информационная безопасность автоматизированных систем / А. Ф. Чипига.
— М.: Гелиос АРВ, 2010. — 336 c.
13. Шаньгин, В. Ф. Информационная безопасность компьютерных систем и сетей: Учебное пособие / В. Ф. Шаньгин. — М.: ИД ФОРУМ, НИЦ ИНФРА-М, 2013. — 416 c.
14. Шаньгин, В. Ф. Информационная безопасность и защита информации / В. Ф. Шаньгин. — М.: ДМК, 2014. — 702 c.
15. Ярочкин, В. И. Информационная безопасность: Учебник для вузов / В. И. Ярочкин. — М.: Акад. Проект, 2008. — 544 c. Интернет-источники16.Идентификация и аутентификация, управление доступом URL:
http://citforum.ru/security/articles/galatenko/ 17. Шибанов С. В., Карпушин Д.А.СРАВНИТЕЛЬНЫЙ АНАЛИЗ СОВРЕМЕННЫХ МЕТОДОВ АУТЕНТИФИКАЦИИ ПОЛЬЗОВАТЕЛЯ.
http://ssi.magtu.ru/doc/2015;1/%D0%9C%D0%B8%D0%9F%D0%9E1_2015;33−37.pdf18. Стандарты в схемах аутентификации на основе одноразовых паролей.
http://www.keon.ru/index2.php?news&page=14&nav=resh&redir=.
http://www.keon.ru/index2.php?news&page=14&nav=resh&redir=19.Тимощенко А. В. Исследование особенностей аутентификации пользователей корпоративных сетей с использованием USB-ключей URL.
https://moluch.ru/conf/tech/archive/165/10 107/20.Сравнительный анализ средств и технологий аутентификации и авторизации доступа URL:
http://www.keon.ru/index2.php?texts&page=18&nav=resh.
http://www.keon.ru/index2.php?texts&page=18&nav=resh.
