Tuesday, July 17th, 2018

Многофакторная аутентификация в Windows – часть 1: Смарт-карты и USB флэш накопители

Published on Февраль 3, 2009 by   ·   Комментариев нет

Если вы хотите прочесть следующую часть этой серии статей, перейдите по ссылке Многофакторная аутентификация в Windows — часть 2: Подготовка устройств в XP и Windows 2003

До настоящего момента пароли зачастую были предпочитаемым/требуемым механизмом аутентификации при получении доступа к незащищенным системам и данным. Но растущие запросы на более надежную защиту и удобство, без лишней сложности, способствуют развитию технологий аутентификации. В этой серии статей мы рассмотрим различные технологии многофакторной аутентификации, которые можно использовать в Windows. В первой части мы начнем с рассмотрения аутентификации, основанной на чипах.

Когда пароль просто не подходит

В 1956, Джорж A. Миллер написал отличную статью под названием «The Magical Number Seven, Plus or Minus Two: Some Limits on Our Capacity for Processing Information» – (Магическая цифра семь, плюс или минус два: Некоторые границы нашей возможности обработки информации). В этой статье рассказывается о тех ограничениях, которые мы, будучи людьми, испытываем, когда хотим запомнить определенную информацию. Один из выводов в этой работе гласит: среднестатистический человек способен запомнить семь (7) порций информации за раз, плюс/минус два (2). Другие ученые позже пытались доказать, что обычный человек способен запомнить лишь пять (5) порций информации за раз, и опять плюс/минус два (2). Как бы там ни было, если считать данную теорию верной, то она противоречит советам по длине и сложности паролей, которые можно прочесть в различных источниках, или которые можно услышать от различных людей с повышенной чувствительностью к безопасности.

Часто говорится, что сложность – это одна из самых больших угроз для безопасности. Одна из областей, в которой можно наблюдать такую закономерность, это когда от пользователей и администраторов требуется соблюдение сложной политики паролей. Творческий подход и различные обходные методы, которые я иногда встречаю у пользователей и администраторов, когда они испытывают трудности с запоминанием своих паролей, не перестает меня удивлять. Но в то же время эта проблема практически всегда находится в пятерке первых в столе помощи. И теперь, когда Гартнер и Форрестер просчитали, что цена каждого звонка об утрате пароля в стол помощи стоит примерно $10 USD, легко провести анализ ценовой эффективности текущей политики паролей организации.

Пароли, как единственный механизм аутентификации, вполне нормальны, если длина пароля составляет более 15 символов и включает хотя бы один символ не из английского алфавита. Ключевые фразы являются примерами длинных паролей, которые пользователям проще запоминать. Это позволит быть уверенным в том, что большинство атак (rainbow), включая 8-bit атаки, не увенчается успехом именно благодаря добавленной сложности, которую придают «иностранные» символы.

Заметка: Начиная со времен Windows 2000, пароль может состоять из 127 символов.

Однако причина, по которой пароли, как единственный механизм аутентификации, не эффективны, кроется в том, что пользователи плохо умеют подбирать и запоминать хорошие, надежные пароли. К тому же пароли зачастую не защищаются должным образом. К счастью, существуют решения безопасности, которые повышают безопасность и способствуют удобству, используя короткие, легкие для запоминания пароли.

Аутентификация на основе чипов (Chip based authentication)

Одним из таких решений безопасности является аутентификация на основе чипов, которую часто называют двухфакторной аутентификацией. Двухфакторная аутентификация использует комбинацию следующих элементов:

  1. То, что у вас есть, например смарт-карта или флэшка USB.
  2. То, что вы знаете, например личный идентификационный номер (PIN). PIN-код дает пользователю доступ к цифровому сертификату, хранящемуся на смарт-карте.

На рисунке 1 показаны два разных решения, которые по сути являются представителями одной технологии. Откровенно говоря, основная разница заключается в цене и форме, хотя каждое решение может содержать дополнительные параметры, как мы скоро увидим.

Usb flash с web аутентификацией

Пример смарт-карты, которая используется для удаленной аутентификации, аутентификации Windows,

Чипы для аутентификации

физического доступа и оплаты Пример флешки USB с аутентификацией, основанной на чипе, и флеш-памятью для хранения информации.. Рисунок 1: Два примера устройств с аутентификацией, основанной на чипе

Смарт-карты, равно как и флэшки USB, имеют встроенный чип. Чип представляет собой 32-битный микропроцессор и обычно содержит 32KB или 64kb (EEPROM — электрически стираемая программируемая постоянная память) (RAM — ОЗУ) чип памяти, встроенный в смарт-карту или флэшку USB. На сегодняшний день существуют смарт-карты и флэшки USB, содержащие до 256KB оперативной памяти для надежного хранения данных.

Заметка: Когда мы говорим о хранении в этой статье, мы имеем в виду хранение на встроенном защищенном чипе, а не на самом устройстве.

Этот чип имеет маленькую ОС и немного памяти для хранения сертификатов, используемых для аутентификации. Эта ОС чипа у каждого производителя разная, поэтому вам необходимо использовать службу CSP (Cryptographic Service Provider) в Windows, которая поддерживает ОС чипа. Мы рассмотрим службу CSP в следующей статье. Решение на основе чипа имеет определенные преимущества по сравнению с другими решениями многофакторной аутентификации, так как его можно использовать для хранения сертификатов аутентификации, идентификации и подписи. Как уже было упомянуто, все защищено PIN-кодом, который дает пользователю доступ к данным, хранящимся на чипе. Поскольку организации часто поддерживают и выпускают свои собственные смарт-карты и флэшки, они также могут определять, какая политика будет ассоциироваться с этим решением. Например, будет ли карта заблокирована или с нее будут стеры данные после x количества неудачных попыток. Поскольку эти политики можно использовать в совокупности с PIN-кодом, PIN-код может быть значительно короче и проще для запоминания, безо всякого риска для безопасности. Все эти параметры хранятся на смарт-карте с момента ее выпуска. Решение на основе чипа также не восприимчиво к внешнему вмешательству, поэтому без необходимого PIN-кода, к информации (сертификаты и личная информация), хранящейся на чипе, невозможно получить доступ, а, следовательно, ее нельзя использовать в каких бы то ни было целях.

Смарт-карты или USB флэшки?

Как мы уже говорили, одно из отличий между смарт-картами и USB флэшками, это форм-фактор. Оба решения соответствуют общей задаче, касающейся двухфакторной аутентификации, но каждое решение имеет свои плюсы и минусы. Смарт-карта может использоваться для фото идентификации, так как вы можете напечатать на ней фото и имя. А USB флэшка может включать флэш-память для хранения документов и файлов. Оба устройства можно использовать для контроля физического доступа тем или иным способом. Смарт-карта может включать микросхему, магнитную полосу, штрих-коды и бесконтактные возможности, в то время как флэшка может иметь добавленную бесконтактную возможность или поддержку биометрических данных.

Заметка: Существуют другие форм-факторы, например мобильные телефоны, в которых (Subscriber Identity Module) SIM – карта может служить той же цели, что и смарт–карта или флэшка USB.

Для смарт-карты требуется смарт карт-ридер, в то время как USB флэшка может использоваться с существующим на компьютере USB портом и использовать его для эмуляции смарт карт-ридера. Смарт карт-ридеры сегодня должны использовать либо такие интерфейсы, как PC Card, ExpressCard, USB или быть встроенными, некоторые производители ноутбуков и клавиатур создали такие карт-ридеры на своих моделях. Смарт карт-ридеры считаются стандартными устройствами Windows, независимо от OС чипа, и у них есть дескриптор безопасности и PnP идентификатор. Как карт-ридеры так и USB флэшки требуют драйвера устройства Windows, прежде чем их можно будет использовать, поэтому убедитесь, что используете самые свежие драйверы, по соображениям производительности, во время двухфакторной аутентификации.

При выборе решения свое слово может сказать и начальная цена каждого устройства, однако прочие различия тоже следует принимать во внимание, например психологический фактор, сопряженный с такими решениями аутентификации. Смарт-карта и кредитная карта практически одинаковые, многие кредитные карты сегодня тоже имеют встроенные чипы. Многие компании сегодня используют смарт-карты как для физического доступа, так и для оплаты обедов и т.п. Это означает, что карта удобна и к тому же обладает денежной ценностью, а, следовательно, люди вынуждены оберегать такую карту и не забывать иметь ее при себе постоянно. Она также отлично размещается в бумажнике, что также может иметь дополнительный эффект безопасности, в зависимости от того, как на это посмотреть.

Некоторые вопросы к рассмотрению

При выборе решения аутентификации на основе чипа есть некоторые вопросы и рекомендации, которые следует принять к сведению.

  1. Совместимость » Убедитесь, что ОС чипа совместима с CSP, которую вы собираетесь использовать. Как вы узнаете в следующей статье, CSP является связующим ПО между ОС чипа и Windows, а также отвечает за политику безопасности, применяемую к чипу.
  2. Управление » Если вам нужно применить смарт-карту или флэшку для использования большим количеством людей, убедитесь, что вы выбрали ОС чипа, совместимую с Card Management System (CMS) вашего выбора.
  3. Расширяемость » Убедитесь, что ОС чипа может использоваться всеми необходимыми приложениями и для всех нужд аутентификации, которые вам требуются. В будущем вам могут понадобиться дополнительные сертификаты на смарт-карте или флешке, например подписи электронной почты или даже биометрические данные. Проверьте DoD Common Access Card (CAC) техническую детализацию, которая используется для хранения большого объема информации о пользователе (смотреть ссылку ниже). Просто убедитесь в том, что вы приняли во внимание вопросы неприкосновенности, при применении такой информации, как биометрические данные. Мы рассмотрим этот вопрос позже в этой серии статей.
  4. Простота использования » Убедитесь, что вы выбрали решение на основе чипа, которое удобно для пользователя и практично. Основной проблемой для решений многофакторной аутентификации является то, что пользователи имеют склонность забывать или терять свои смарт-карты или флэшки, либо забывать PIN-код, если устройство используется не часто.

Заключение

В следующей статье мы рассмотрим процесс подготовки Windows к поддержке устройств многофакторной аутентификации, а также дадим несколько советов по подготовке и использованию ваших смарт-карт и флэшек в Windows XP и Windows Server 2003 окружении.

Источник www.windowsecurity.com


Смотрите также:

Tags:

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]