Анализ способов повышения надежности аутентификации пользователя в операционной системе Windows

Описывается ряд недостатков стандартного способа аутентификации операционной системы Windows, представленной в виде пары логин-пароль. Проводится анализ аппаратных и программных средств способных повысить безопасность процесса аутентификации пользователя в операционной системе Windows и защитить систему от несанкционированного доступа.

Ключевые слова: аутентификация пользователей, двухфакторная аутентификация, операционная система Windows, смарт-карта, OTP-токен Операционная система Windows является самой популярной в настоящее время. По данным исследования компании Net Applications [1] под управлением ОС Windows работает более чем 91% всех персональных компьютеров. Возникает логичный вопрос защиты информационной системы, основанной на ОС Windows.

Первая линия обороны или «проходная» — это идентификация и аутентификация пользователей в системе. В ОС Windows она представлена в виде пары «логин-пароль». Пароль, при не соблюдении парольных политик, является самым слабым средством проверки подлинности субъекта. Это связано с тем, что парольная аутентификация основана на запоминании субъектом секретной информации. В качестве такой секретной информации в большинстве случаев пользователь системы выбирает короткую последовательность легко запоминаемых и подбираемых данных, так как хранить множество длинных паролей, состоящих из произвольного набора символов, в голове тяжело. В тех случаях, когда пароль все-таки удовлетворяет парольным политикам, то зачастую он записывается на бумагу и хранится где-то рядом с компьютером. Отсюда возникает трудность в сохранении баланса между удобством пароля для пользователя и его надежностью. Однако, парольная аутентификация является самой простой для реализации, дешевой и популярной в настоящее время, не смотря на все ее недостатки. Помимо халатного отношения пользователей, недостатками парольной аутентификации являются: возможность кражи пароля, возможность подсмотреть, подобрать и угадать пароль, возможность заставить пользователя открыть пароль, используя физическое принуждение. Все эти недостатки паролей позволяют осуществить несанкционированный доступ к информации различного уровня конфиденциальности. Поэтому стандартная процедура аутентификации ОС Windows по паре «логин-пароль» должна быть заменена многофакторной аутентификацией или системой защиты информации от несанкционированного доступа, которые существенно повышают безопасность системы, но не делают ее защищенной на 100%.

Перед тем как предложить варианты замены пароля многофакторной аутентификацией, нужно упомянуть о некоторой особенности архитектуры Windows. Это функция залипания клавиш (sethc.exe), созданная для пользователей, которым тяжело нажимать несколько клавиш одновременно. Вызывается пятикратным нажатием клавиши Shift и позволяет открывать командную строку с правами администратора. Заметим, что это работает до входа пользователя в систему. Однако предварительно требуется подменить файл sethc. exe на файл командной строки. После чего при многократном нажатии клавиши Shift перед входом в ОС Windows запускается командная строка, в которой можно легко выполнять любые команды. Данный метод может использоваться злоумышленником, который получил доступ к чужому компьютеру, не зависимо от версии операционной системы: XP, 7, 8, Server 2003, Server 2008. Поэтому нужно отключить эту функцию в настройках Windows, чтобы средства на усиление аутентификации пользователей в Windows не были потрачены впустую, так как многофакторная аутентификация не закрывает эту брешь в архитектуре Windows. Настроить залипание клавиш в ОС Windows можно несколькими способами: используя «Панель управления» и внесением изменений в реестр:

1. С помощью «Панели управления» (для ОС Windows 7): открываем «Пуск», далее «Панель управления», выбираем просмотр категорий «Мелкие значки», находим и открываем пункт «Центр специальных возможностей», выбираем «Облегчение работы с клавиатурой», в разделе «Упростить набор текста» снимаем флажок «Включить залипание клавиш». После чего нажимаем ОК и выходим из «Панели управления».

Однако, когда пользователь вносит изменения в «Панели управления», эти изменения применяются только для текущего пользователя и самое важное это то, что эти изменения работают только после того, как пользователь уже вошел в систему. При регистрации в системе используются настройки по умолчанию. Поэтому более надежный вариант решения этой проблемы — внесение изменений в реестр.

2. Изменение реестра системы: необходимо открыть реестр и выбрать раздел HKEY_USERS и далее перейти. DEFAULTControl PanelAccessibilityStickyKeys. По умолчанию у параметра Flags стоит значение 2, которое нужно заменить на 506. После чего необходимо перезагрузить систему и настройки вступят в силу.

После того, как проблема с залипанием клавиш в ОС Windows решена, можно переходить к построению многофакторной системы аутентификации пользователей.

Аутентификация пользователей в ОС Windows может быть реализована с помощью следующих факторов:

на основе знания чего-либо: пароль, PIN-код;

на основе обладания чем-либо: USB-ключ, смарт-карта;

биометрические характеристики человека: отпечаток пальца, голос, сетчатка глаза.

Компанией по обеспечению информационной безопасности и защиты конфиденциальных данных «Аладдин Р. Д» предлагается большое количество аппаратных и программных решений [2].

Варианты двухфакторной аутентификации для ОС Windows на основе аппаратных решений компании «Аладдин Р.Д.»:

1. Смарт-карта (чем обладает пользователь) + отпечаток пальца (часть самого пользователя) В качестве аппаратного решения, компания «Аладдин Р.Д.» предлагает биометрический смарт-карт ридер ASEDrive llle Bio Keyboard [3] (рис.1).

Рис. 1. Смарт-карт ридер ASEDrive llle Bio Keyboard

Данный продукт, по словам разработчика, позволит создать систему с многофакторной аутентификацией, при этом, не загромождая рабочее пространство. Реализованная в данном смарт-карт ридере технология биометрического контроля позволяет использовать до десяти отпечатков, что дает возможность не задумываться какой палец нужно приложить к сканеру для входа. Большим плюсом является тот факт, что биометрический контроль может быть использован совместно с PIN-кодом, соответственно делая систему аутентификации трехфакторной и более надежной. Шаблоны отпечатков пальцев хранятся и сравниваются непосредственно внутри чипа смарт-карты, а не на компьютере, что существенно повышает уровень безопасности при входе в систему. Данное решение освобождает пользователя от запоминания длинных, сложных паролей и делает вход в систему для него более удобным и надежным, а так же снижает риск несанкционированного доступа в систему.

2. OTP-токен (чем обладает пользователь) + PIN-код (что знает пользователь) eToken PASS — генератор одноразовых паролей от «Аладдин Р.Д.» [4] (рис.2).

Рис. 2. eToken PASS

Чтобы рассчитать значение одноразового пароля на вход токена подаются два параметра: какой-то секретный ключ (в нашем случае это может быть PIN-код) и текущее значение счетчика (количественный учет прохождения аутентификации текущим пользователем). Само начальное значение хранится в токене, а так же на сервере в системе eToken TMS. Увеличение счетчика токена происходит при каждой генерации одноразового пароля, увеличение счетчика сервера происходит при удачной попытке аутентификации по одноразовому паролю. При рассинхронизации значений на токене и сервере, администратор вручную может легко это исправить.

Для того чтобы увеличить безопасность система eToken TMS предоставляет возможность использования дополнительного значения — OTP PIN. В таком случае для успешной аутентификации пользователю помимо имени пользователя и одноразового пароля, необходимо ввести дополнительное секретное значение OTP PIN. Оно задается при назначении устройства пользователю.

Этот метод имеет ряд преимуществ:

от пользователя не требуют запоминать сложные и длинные пароли, необходимо лишь сгенерировать одноразовый пароль OTP-токеном, при необходимости активировав его с помощью PIN-кода;

метод является более безопасным в отличие от стандартной аутентификации ОС Windows, так как при краже или потере генератора одноразовых паролей, злоумышленник должен будет подобрать PIN-код, при этом стоит сказать, что после нескольких неправильных вводов PIN-кода OTP-токен блокируется и на время прекращает свою работу;

нет необходимости покупать дополнительно считыватели, как в случае со смарт-картами, соответственно это более бюджетный вариант;

соблюдение требований безопасности, в случае если пользователю запрещено использовать порты USB.

Предложенные методы многофакторной аутентификации для ОС Windows помогут в значительной степени защитить систему от несанкционированного доступа. Однако не стоит забывать об особенностях архитектуры самой системы, в частности упомянутой выше функции «Залипание клавиш», а так же о влиянии человеческого фактора, который играет важную роль в процессе аутентификации.

• 1. Market Share Statistics for Internet Technologies [Электронный ресурс]. URL: https://www.netmarketshare.com/ (дата обращения: 17.04.2015)
• 2. Каталог продуктов компании «Аладдин Р.Д.» [Электронный ресурс]. URL: http://www.aladdin-rd.ru/solutions/(дата обращения: 14.04.2015)
• 3. Биометрический смарт-карт ридер ASEDrive IIIe Bio Keyboard [Электронный ресурс]. URL: http://www.aladdin-rd.ru/catalog/card_readers/ASEDrive_Keyboard_Bio (дата обращения: 14.04.2015)
• 4. eToken PASS [Электронный ресурс]. URL: http://www.aladdin-rd.ru/catalog/etoken/pass/ (дата обращения: 14.04.2015).