Меню

Vasco генератор одноразовых паролей

Двухфакторная аутентификация при удаленном доступе

Поделитесь в соцсетях:

Стремительное развитие информационных технологий предоставляет бизнесу средства, которые еще вчера казались рискованными и сомнительными. К примеру, сегодня вполне обычное явление, когда сотрудник торговой компании, разъезжая в поисках покупателей и партнеров, имеет возможность зайти в интернет-кафе в любом городке мира и проверить содержимое своего почтового ящика или посмотреть последние изменения цен, которые были сделаны компанией за время его отсутствия.

За кажущейся простотой удаленного подключения к корпоративной сети скрывается целая система организационных и технических мероприятий, проводимых в компании с целью обеспечения требуемого уровня безопасности.

В первую очередь узел подключения к Интернету должен быть надлежащим образом защищен брандмауэром и системой обнаружения/предотвращения вторжений.

Следующей нелегкой задачей, которую нужно решить, прежде чем предоставить возможность доступа своим сотрудникам или партнерам компании к приложениям, работающим на серверах, является надежная аутентификация пользователей.

Существующие системы аутентификации базируются на предъявлении пользователем компьютеру статической пары идентификатор/пароль. Однако в таком случае пары могут быть скомпрометированы из-за халатности пользователей или возможности подбора паролей злоумышленником. Значительные интервалы времени, в течение которых пароль и идентификатор остаются неизменными, позволяют применить различные методы их перехвата и подбора. Для повышения защищенности компьютерной системы администраторы ограничивают срок действия паролей, но в типичном случае этот срок составляет недели и месяцы, что вполне достаточно для злоумышленника.

Радикальным решением является применение двухфакторной аутентификации, когда система просит пользователя предоставить ей «то, что ты знаешь» (имя и, возможно, некий PIN-код), и «то, что у тебя есть» – какой-либо аппаратный идентификатор, ассоциирующийся с этим пользователем.

Сегодня несколько компаний предлагают системы двухфакторной аутентификации, основанной на генерации одноразовых паролей (One-Time Password – OTP), в числе которых RSA Security, VASCO Data Security и ActivIdentity. Им удалось решить проблему обеспечения пользователей одноразовыми паролями для входа в компьютерную систему. Не так давно известный производитель средств безопасности Aladdin усилил свой криптографический USB-маркер eToken, встроив в него генератор OTP.

Генератор OTP представляет собой автономный портативный электронный прибор, способный генерировать и отображать на встроенном ЖК-дисплее цифровые коды. Для семейства устройств Digipass компании VASCO механизм генерации одноразовых паролей основан на криптографическом TripleDES-преобразовании набора данных, состоящего из 40 бит текущего времени и 24-битового вектора данных, уникальных для каждого идентификатора доступа. Полученный результат преобразования виден на дисплее в виде шести или восьми десятичных цифр, визуально считывается пользователем и вручную вводится как пароль в ответ на запрос прикладных программ об аутентификации. Периодичность смены паролей при этом составляет 36 с, таким образом, пользователь получает действительно одноразовый пароль для входа в систему.

На серверной части компьютерной системы этот пароль сравнивается с паролем, сгенерированным самим сервером по такому же алгоритму с использованием показаний текущего времени часов сервера и уникальных данных устройства, которые хранятся в специальной БД. При совпадении паролей разрешается доступ пользователя в систему.

Рис.1. Принцип работы системы двухфакторной аутентификации фирмы VASCO

Рассмотрим механизм интеграции двухфакторной аутентификации с существующими системами на примере решения компании VASCO. Первый способ основан на использовании программного обеспечения VACMAN RADIUS Middleware (VRM), которое представляет собой сервер аутентификации и обеспечивает совместимость с любым межсетевым экраном или маршрутизатором, поддерживающим RADIUS-аутентификацию. VRM функционирует подобно прокси-серверу между брандмауэром и RADIUS-сервером (рис. 1).

VRM представляет собой простой, быстрый в инсталляции и конфигурировании сервер аутентификации, выполненный как продукт «под ключ». Он может работать в любой среде RADIUS и позволяет защитить сеть предприятия путем надежной двухфакторной аутентификации без замены или переконфигурирования уже установленных серверов RADIUS и брандмауэров. Логически VRM размещается между клиентом RADIUS, например NAS (Network Access Server), RAS (Remote Access Server) или брандмауэром, и сервером RADIUS. После установки VRM функционирует прозрачно, обеспечивая надежную двухфакторную аутентификацию и никаким образом не влияя на работу серверов и других компонентов сети.

Второй способ позволяет встроить аутентификацию VASCO в любые пользовательские приложения, работающие с различными операционными системами. VACMAN Controller предлагает полный набор функций аутентификации и дает возможность разработчику легко интегрировать их в собственное приложение. Комплект поставки состоит из файлов библиотек для написания программ на С/C++ и Java, а также файлов с руководством для программистов. Библиотеки позволяют с помощью набора функций, которые включаются в разрабатываемое приложение, управлять данными и режимами аутентификации. Сами библиотеки независимы от платформы и существуют в версиях для Linux, Sun Solaris, HP-UX, AIX, Windows NT/2000, AS/400 и OS/390.

Типичное использование библиотек VACMAN Controller при разработке приложений содержит следующие этапы:

  • интегрирование модели данных Digipass;
  • назначение устройств Digipass пользователям;
  • проверка пароля;
  • расширенное управление Digipass.

В каждое устройство Digipass в процессе производства записывается определенный набор данных. Они содержат уникальный номер устройства и режимы аутентификации (длина генерируемого пароля, информация для разблокирования и др.). Эта же информация в зашифрованном виде хранится в поставляемом вместе с устройством файле DPX. На первом этапе данные об устройстве Digipass извлекаются из файла DPX и переносятся в базу данных разрабатываемого приложения. На втором этапе происходит назначение устройств Digipass конкретным пользователям. В базе данных идентификатор пользователя связывается с определенным устройством Digipass. (Заметим, что продолжительность работы Digipass GO-3 определяется временем жизни батареи питания – к сожалению, ее замена разработчиками не предусмотрена. Согласно «Руководству по эксплуатации», этот срок составляет не менее пяти лет).

Читайте также:  Генератор места для тату
Рис. 3. RSA SecureID SID700

Подобно Digipass фирмы VASCO, устройства RSA SecurID на этапе производства могут быть сконфигурированы для генерации 6- или 8-значных паролей с периодичностью 30 с, 60, 90 и 120 с (рис. 3). Типичный период генерации для большинства идентификаторов доступа 60 с.

В RSA SecurID Key Fob (SD600) компании RSA Security для генерации одноразовых паролей применяется алгоритм Advanced Encryption Standard (AES). Исходными данными при этом являются значения текущего времени и уникального для каждого прибора набора данных, записанных в него на этапе производства.

Рис. 2. Структура сети с использованием продуктов RSA

Сервер RSA Authentication Manager осуществляет двухфакторную аутентификацию пользователей на основе показаний прибора SecurID. В отличие от сервера аутентификации VASCO VRM, пользователи взаимодействуют с сервером RSA ACE/Server посредством программных агентов RSA ACE/Agent. Такие агенты уже встроены в сотни современных серверов удаленного доступа, брандмауэров, маршрутизаторов, точек доступа беспроводных систем, есть также разработанные специально для широко распространенных Web-серверов (Microsoft IIS, Apache, Stronghold и SunONE), локального и удаленного доступа в ОС Windows и UNIX. Пример сети с использованием продуктов RSA приведен на рис. 2.

Кроме взаимодействия посредством агентов, RSA ACE/Server может применять протоколы аутентификации RADIUS и TACACS+. В состав RSA ACE/Server входит собственный сервер RADIUS, что позволяет иметь общую базу данных пользователей как для аутентификации по протоколу RADIUS, так и для аутентификации SecurID. При двухфакторной аутентификации требуется ввести идентификатор (имя) и пароль, состоящий из персонального идентификатора (PIN) и цифрового кода, отображаемого на дисплее SecurID в текущий момент.

Администрирование RSA Authentication Manager выполняется с графической консоли. С ее помощью назначаются идентификаторы доступа SecurID пользователям, устанавливаются правила разграничения доступа с возможностью задавать время, когда он разрешен, а также объединять пользователей в группы. RSA Authentication Manager позволяет импортировать данные из LDAP-директории, в которой централизованно хранятся данные о пользователях. На сервере ведется аудит доступа пользователей и действий администратора. Для увеличения производительности в случае аутентификации большого количества пользователей и обеспечения работоспособности сервера при выходе из строя аппаратного обеспечения RSA Authentication Manager допускает функционирование до 60 дублирующих серверов-реплик.

В состав сервера RSA Authentication Manager входят следующие компоненты:

  • базы данных пользователей, идентификаторов доступа SecurID, агентов RSA ACE/Agent, аудита попыток аутентификации и действий администратора;
  • процессор аутентификации;
  • консоль администрирования;
  • средства репликации базы данных и менеджера блокирования атак типа «replay»;
  • сервер RADIUS;
  • сервер TACACS+;
  • утилита ускоренного администрирования Quick Admin с Web-интерфейсом.

На случай, когда пользователь потерял (или забыл дома) свой генератор одноразовых паролей, сервер аутентификации разрешает временное применение статической пары идентификатор/пароль или набора одноразовых статических паролей.

Для защиты обмена служебной информацией между различными программными модулями сервера аутентификации RSA Authentication Manager, а также между сервером и агентами (RSA Authentication Agents) используется ее шифрование (с применением алгоритмов RC5 и DES).

Информация об устройствах генерации OTP хранится в базе данных на сервере также в зашифрованном виде, и ее открытый просмотр недоступен даже для администратора. При конфигурировании сервера и назначении конкретным пользователям идентификаторов доступа администратору достаточно оперировать только их серийными номерами.

RSA Authentication Manager может работать под управленим таких операционных систем:

  • Microsoft Windows 2000 Server или Advanced Server;
  • Microsoft Windows 2003 Server;
  • HP-UX 11 на PA-RISC 2.x;
  • IBM AIX 5L v.5.1 или 5.2 на PowerPC и RISC/6000;
  • Solaris 8 или выше на UltraSPARC.

Интересным является устройство eToken NG-OTP компании Aladdin, представляющее собой комбинированный идентификатор доступа в формате USB со встроенным генератором OTP и ЖКИ для отображения одноразовых паролей. Помимо стандартных функций криптографического идентификатора доступа, таких как защищенное хранение секретных ключей и цифровых сертификатов пользователей, шифрования/дешифрования данных, цифровой подписи и т. п., он может генерировать одноразовые пароли для защищенного удаленного доступа мобильных пользователей к корпоративным ресурсам.

Как и в VRM компании VASCO, аутентификация в устройствах Aladdin базируется на протоколе RADIUS. Серверная часть решения встроена в систему управления средствами аутентификации TMS (Token Management System), которая служит для управления всем жизненным циклом как eToken, так и eToken NG-OTP.

Преимуществами двухфакторной аутентификации на основе eToken NG-OTP являются поддержка всех совместимых с RADIUS решений, шифрования и цифровой подписи почтовых сообщений, защиты ПК, защищенного доступа к Web и построения VPN с использованием eToken.

Читайте также:  Системы возбуждения генераторов что это такое

В качестве алгоритма криптографического преобразования входных данных для получения одноразового пароля в eToken NG-OTP применяется совместимый с OATH алгоритм, основанный на HMAC/SHA1.

В заключение отметим основные преимущества двухфакторной аутентификации с использованием OTP. К ним относятся:

  • применение одноразовых паролей вместо статических (даже если злоумышленник подсмотрит пароль, он не сможет им воспользоваться, поскольку при следующей аутентификации сервер сгенерирует уже новый пароль);
  • отсутствие необходимости устанавливать какое-либо дополнительное программное обеспечение на клиентской части компьютерной системы, так как пользователь вводит пароль вручную, используя те же программные интерфейсы, что и при применении статических паролей;
  • снижение затрат на администрирование, поскольку администратору не нужно периодически менять статические пароли на сервере;
  • низкая стоимость устройств для генерации одноразовых паролей;
  • применение генераторов OTP возможно в тех случаях, когда пользователю недоступен USB-порт (либо он просто отсутствует – как в PDA, смартфонах, мобильных телефонах).

Отметим, что в Украине уже началось внедрение технологии двухфакторной аутентификации удаленных пользователей, в частности на базе продуктов VASCO.

Источник

ЛР3 Средства двухфакторной аутентификации компании Vasco

Описание файла

Документ из архива «ЛР3 Средства двухфакторной аутентификации компании Vasco», который расположен в категории «лабораторные работы». Всё это находится в предмете «информационная безопасность» из одиннадцатого семестра, которые можно найти в файловом архиве МГТУ им. Баумана. Не смотря на прямую связь этого архива с МГТУ им. Баумана, его также можно найти и в других разделах. Архив можно найти в разделе «лабораторные работы», в предмете «информационная безопасность» в общих файлах.

Онлайн просмотр документа «ЛР3 Средства двухфакторной аутентификации компании Vasco»

Текст из документа «ЛР3 Средства двухфакторной аутентификации компании Vasco»

Методические указания к лабораторной работе по дисциплине «Информационная безопасность в системах обработки информации и управления»

Лабораторная работа №3.
Средства двухфакторной аутентификации компании Vasco. Часть 2.

Цель работы.

Ознакомиться с принципами аутентификации пользователей в системах обработки информации на основе одноразовых паролей с использование OTP-токенов компании Vasco.

2. Порядок выполнения работы.

2.1. Изучить теоретическую часть.

2.2. Последовательно выполнить все задания к лабораторной работе.

2.3. Проверить правильность выполнения заданий.

2.4. Оформить отчет по лабораторной работе.

3. Задания к лабораторной работе

3.1. Ознакомиться с техническими характеристиками ОТР-токенов DigipassGO3 и Digipass 250 .

3.2. Зайдите на демонстрационную часть сайта компании Vasco

3.3. Запустите тест аутентификационных методов «только ответ» и «запрос-ответ с использованием моделей токенов DigipassGO3 и Digipass 250

4. Содержание отчета

4.1. Название и цель работы.

4.3. Краткое описание моделей токенов и задачи аутентификации пользователей.

4.4. Протоколы проведенных тестов.

5. Теоретическая часть

Устройства строгой аутентификации пользователей Digipass компании VASCO Data Security

Одним из наиболее уязвимых мест при подключении пользователя к защищаемым ресурсам является аутентификация пользователей с применением статических паролей. При использовании статических паролей возникают многочисленные угрозы, связанные с возможностью перехвата пароля и несанкционированного входа в систему с его использованием. Проникновение в систему в этом случае крайне сложно обнаружить и распознать, так как в данном случае факт несанкционированного доступа неотличим от подключения легального пользователя, что приводит к невозможности принять эффективные меры по предупреждению таких вариантов взлома системы.

Возможность перехвата пароля имеется в как в частных (локальных) сетях, и в сетях общего пользования. Особенно велика возможность перехвата паролей в системах, использующих Интернет в качестве среды передачи данных. Интернет, как среда передачи данных, создает дополнительные возможности за счет проникновения на компьютер пользователя программ – троянов и такой угрозы, как фишинг.

Так например при банковских операций проводимых с помощью Интернет-банкинга, надежная аутентификация пользователей становится одной из основных проблем при удаленном управлении банковским счетом.

Самой распространенной мерой защиты является периодическая смена паролей, которые либо создаются системным администратором, либо самими пользователями. К сожалению, эта мера далеко не всегда достигает поставленной цели. В том случае, если пароли создаются администратором, необходим защищенный от возможного перехвата канал передачи новых паролей пользователям. Более того, если пароль создается с помощью программных средств и является бессмысленным набором символов, букв и цифр, то, как правило, пользователи записывают пароль и хранят его в удобном для себя месте. В том случае, если создание нового пароля доверяется пользователю, то большинство из них используют свои персональные данные, что не обеспечивает высокой стойкости данных паролей.

Еще одним распространенным методом защиты от перехвата паролей является использование одноразовых паролей, который пользователь получает в виде книжки с готовыми паролями, каждый из которых может быть использован во время одного сеанса работы с системой. Во время следующего сеанса будет использован следующий пароль и так далее. Основным недостатком данного решения является высокая стоимость печати и распространения таких одноразовых паролей.

Читайте также:  Проверка генератора ваз 2121 своими руками

Система DigiPass предназначена для строгой аутентификации* пользователей и находит широкое применение в локальных сетях, системах удаленного доступа, электронной и мобильной коммерции, банковских системах дистанционного обслуживания. Оборудование DigiPass используется конечными пользователями – корпоративными и частными клиентами банков, обеспечивая надежную авторизацию и защиту от таких угроз, как фишинг и троянские программы при использовании удаленного доступа к управлению банковским счетом.

Системы DigiPass можно разделить на две большие группы:

аппаратные средства генерации одноразовых паролей

программные средства, обеспечивающие эмуляцию аппаратных средств для различных операционных систем

Аппаратные средства DigiPass серии DigiPass GO1, GO3, GO5, GO6 предназначены исключительно для генерации одноразовых паролей.

DigipassGO1 DigipassGO3 DigipassGO5 DigipassGO6

Устройства DigiPass 250, 260 и DigiPass Pro 300 обеспечивают как генерацию одноразовых паролей (в двух режимах), так и вычисление Message Authentication Code (MAC), позволяющего проверить отсутствие изменений в передаваемой в ходе транзакции информации.

Digipass 250 Digipass 260 Digipass Pro 300

Устройства DigiPass 550, 560, 580 в функциональном отношении полностью аналогичны вышеуказанному оборудованию DigiPass Pro 300, но имеют более удобный для пользователя интерфейс и обеспечивают поддержку сообщений на любом языке.

DigiPass 550 DigiPass 560 DigiPass 580

Особенностью устройств Digipass 800,810, 820 и 850 является то, что данные устройства предназначены для выполнения всех вышеописанных функций и являются автономными кардридерами для микропроцессорных карт стандарта EMV. Преимущество устройств этой серии в том, что персонализация устройства на этапе производства отсутствует, а для генерации одноразовых паролей используется персональная информация, размещенная в памяти микропроцессорной карты. Тем самым создается возможность для быстрой поставки оборудования заказчику и возможность безболезненной передачи оборудования третьим лицам. Digipass 850 может быть использован как в автономном, так и в подключенном режиме, используя для взаимодействия c компьютером шину USB.

Digipass 800 Digipass 810 Digipass 820 Digipass 850

Для проверки одноразовых паролей и МАС на серверной стороне размещается программная компонента решения, позволяющая проверить их подлинность. Для аутентификации пользователей в локальных сетях компания VASCO предлагает готовые решения на основе продукта Vacman middleware, для продуктов электронной коммерции имеется набор процедур (Vacman Controller), которые интегрируются в соответствующие программные продукты поставщика решения.

Строгая аутентификация пользователей достигается за счет применения одноразовых паролей в двух основных режимах:

Одноразовый пароль, генерируемый по датчику реального времени

В первом случае пользователю, при попытке подключения к ресурсам с ограниченным доступом предлагается ввести некоторое числовое значение в имеющееся у него устройство семейства DigiPass и, получив от устройства ответ, отображаемый на дисплее токена, ввести его в систему аутентификации.

Во втором случае вместо статического пароля для аутентификации пользователя используется одноразовый пароль, который предоставляется в распоряжение пользователя токеном DigiPass.

Принцип действия устройств DigiPass основан на генерации одноразовых паролей с применением симметричного криптографического алгоритма для кодирования уникальной информации, содержащейся в токене, в сочетании с датчиком реального времени, который также входит в состав оборудования токена. В качестве алгоритма шифрования используется 3DES (AES для некоторых моделей). Результат шифрования отображается на дисплее токена и вводится вручную в систему аутентификации.

Программное обеспечение серверной части решения производит на основании имени пользователя генерацию одноразового пароля и сравнивает полученное от пользователя значение с вычисленным сервером одноразовым паролем. Далее, на основании результатов сравнения, программное обеспечение возвращает результат аутентификации в виде «да-нет». Основываясь на результатах аутентификации, следующий по иерархии уровень программного обеспечения позволяет принять решения о допуске или отказе в допуске пользователя к ресурсам вычислительной системы.

Оборудование семейства Digiзass не предусматривает возможности какого-либо изменения функциональности устройств конечными пользователями и имеет встроенные механизмы защиты от любых попыток получения доступа к системе генерации паролей. Любая попытка вскрытия устройства приводит к уничтожению ключа шифрования и невозможности дальнейшего использования данного устройства.

Устройства Digipass серии 800 не содержат каких-либо криптографических ключей и используют для аутентификации ключи, размещенные на карте стандарта EMV в соответствии со спецификацией EMV CAP, являясь по существу интерфейсом между картой и пользователем. Для данного типа устройств предусмотрена конструкция, позволяющая пользователю определить по внешнему виду устройства факт попытки физического вторжения в устройство.

* — под строгой аутентификацией подразумевается использование любых двух из трех следующих признаков пользователя:

Нечто, что имеется у пользователя – карта доступа, ключ

Нечто, что известно только пользователю (пароль, PIN-код)

Нечто, что присуще только пользователю – отпечатки пальцев, радужная оболочка (биометрия)

6. Рекомендуемая литература

1.Б. Шнаер Прикладная криптография. Протоколы, алгоритмы, исходные тексты на языке Си.-М.:ТРИУМФ,2003-816с.

2.Математические и компьютерные основы криптологии: Учеб. пособие/Ю.С.Харин и др.-Минск:Новое Знание,2003-382с.

3.Ю.В. Романец и др. Защита информации в компьютерных системах и сетях Изд. 2-е., М:Радио и связь, 2001-376с

Источник

Adblock
detector