- можно подключить смарт-карту (eToken) с закрытым ключом и сертификатом пользователя, ввести пароль пользователя для eToken и войти в систему.
- можно нажать CTRL+ALT+DELETE, ввести имя пользователя, пароль и (при необходимости) имя домена, нажать OK и войти в систему.
Для каждого из этих двух способов аутентификации в eToken Network Logon предусмотрены усовершенствования: вместо того, чтобы каждый раз вводить имя пользователя и сложный пароль, пользователь один раз сохраняет их в памяти eToken, а впоследствии лишь подключает eToken и вводит для него пароль пользователя. Для того, чтобы войти в систему, предъявив сертификат пользователя со смарт-картой, надо подключить eToken и ввести для него пароль пользователя. Если eToken уже подключен, не нужно вынимать его и повторно подключать, достаточно лишь нажать CTRL+L, а затем ввести пароль пользователя для eToken.
Решена проблемы "слабых" паролей. После установки продукта можно:
- полностью отказаться от использования паролей при входе на компьютер и в сеть, перейдя к использованию цифровых сертификатов, либо использовать хранимые в памяти eToken сложные пароли (заданные вручную с учётом действующих в организации требований к их сложности, либо автоматически сгенерированные). В любом случае, пароль перестаёт быть "слабым" (исключается риск его подбора злоумышленником), при возможной смене пароля пользователем исключается риск задания им нового пароля, являющегося "слабым", пароль не вводится с клавиатуры (исключаются риски подсматривания пароля или его перехвата шпионским ПО), пользователь не должен помнить пароль (исключаются случаи его забывания и записывания на бумаге).
Усиление безопасности при использовании паролей. Даже если для входа на компьютер и в сеть Windows используются пароли, то с помощью eToken Network Logon можно значительно усилить защищённость существующей системы. Имена и пароли пользователей можно сохранить в памяти eToken (что исключит риск их подсматривания злоумышленником). Дополнительно можно использовать встроенный в eToken Network Logon генератор паролей для генерации сложных паролей (это исключит риск их подбора злоумышленником). Сгенерированный пароль записывается в память eToken и сохраняется в ней. Количество наборов "имя пользователя – пароль", хранящихся в памяти eToken, неограниченно. Простой переход к аутентификации с использованием цифровых сертификатов. При развёртывании инфраструктуры PKI появляется возможность использовать цифровые сертификаты для входа в сеть Windows и на локальный компьютер. Если в памяти eToken имеется сертификат пользователя со смарт-картой и соответствующий закрытый ключ, их можно использовать для входа в домен Windows вместо имени пользователя и пароля. Таким образом обеспечивается плавность перехода от парольной аутентификации к строгой аутентификации с использованием цифровых сертификатов.
Автоматическая блокировка рабочей станции. При отсоединении eToken от порта USB происходит автоматическая блокировка компьютера. Для разблокирования компьютера необходимо подсоединить eToken и ввести пароль пользователя для eToken.
Настройка продукта в соответствии с требованиями политики безопасности организации. Администратор может запретить или разрешить пользователю ввод пароля вручную. Администратор может управлять методами аутентификации:
- какие методы разрешены на данном компьютере — использование профилей, применение сертификатов;
- какой метод аутентификации используется по умолчанию и может ли пользователь самостоятельно выбирать метод при наличии в памяти eToken как профилей, так и сертификата.
Преимущества
Отказ от ввода паролей вручную. Какой бы метод регистрации ни применялся, — использование хранимых в памяти eToken сертификатов или паролей, — при входе в систему пользователь никогда не вводит пароль. Это исключает риски подсматривания пароля или его перехвата при вводе с клавиатуры. Возможность применения длинных и сложных паролей. Поскольку пользователь не должен вводить пароль вручную, сам пароль может быть длиннее и сложнее, чем пользователь может запомнить. Использование сгенерированных случайных паролей, неизвестных пользователю. eToken Network Logon позволяет генерировать пароли заданной длины, сохранять их в памяти eToken и подставлять в хранилище учётных данных таким образом, что пользователь даже не знает своего пароля, а потому не может записать и тем самым скомпрометировать его.
Аппаратная аутентификация пользователей. Для входа в систему пользователю надо иметь eToken. Это надёжнее, чем ввод паролей с клавиатуры.
Двухфакторная аутентификация. eToken Network Logon позволяет не просто сохранить реквизиты пользователя в памяти eToken, но и защитить их паролем пользователя eToken. При использовании этой возможности потеря или кража eToken не приведёт к компрометации пароля.
Интеграция в инфраструктуру открытых ключей. eToken Network Logon поддерживает не только системы, в которых для аутентификации пользователей применяются пароли, но и более надёжный и современный метод регистрации с использованием смарт-карт.
Простота и удобство для пользователей. Способы аутентификации, применяемые в eToken Network Logon, удобнее для пользователей, чем стандартные способы. Требования к сложности паролей пользователя eToken не столь высоки, как требования к сложности паролей Windows. Поэтому при двухфакторной аутентификации вводить простой пароль пользователя eToken проще, чем без таковой вводить сложный и длинный пароль.
Улучшенный интерфейс при регистрации с использованием смарт-карт. Если eToken пользователя подключен к компьютеру, необязательно отключать его и подключать вновь. eToken Network Logon позволяет в таком случае нажать CTRL+L, ввести пароль пользователя eToken и войти в систему, не прикасаясь к eToken.
Второй способ аутентификации- автономный.
В современных технологиях аутентификации с помощью OTP применяется динамическая генерация ключевых слов с помощью сильных криптографических алгоритмов. Иначе говоря, аутентификационные данные - это результат шифрования какого-либо начального значения с помощью секретного ключа пользователя. Данная информация есть и у клиента, и у сервера. Она не передается по сети и недоступна для перехвата. В качестве начального значения используется известная обеим сторонам процесса аутентификации информация, а ключ шифрования создается для каждого пользователя при его инициализации в системе. В качестве примера данной технологии рассмотрим eToken PASS- автономный генератор одноразовых паролей.
Особенности:
- Не требует подключения к компьютеру.
- Как генератор одноразовых паролей полностью совместим с eToken NG-OTP.
- Работает под управлением eToken TMS 2.0.
- Гарантируемый срок службы – 7 лет или 14 000 генераций.
Принцип работы
В eToken PASS реализован алгоритм генерации одноразовых паролей (One-Time Password – OTP), разработанный в рамках инициативы OATH. Этот алгоритм основан на алгоритме HMAC и хэш-функции SHA-1. Для расчета значения OTP принимаются два входных параметра – секретный ключ (начальное значение для генератора) и текущее значение счетчика (количество необходимых циклов генерации). Начальное значение хранится как в самом устройстве, так и на сервере в системе eToken TMS. Счетчик в устройстве увеличивается при каждой генерации OTP, на сервере – при каждой удачной аутентификации по OTP.
При запросе на аутентификацию проверка OTP осуществляется сервером RADIUS (Microsoft IAS, FreeRadius и другие), который обращается к системе eToken TMS, осуществляющей генерацию OTP на стороне сервера. Если введенное пользователем значение OTP, совпадает со значением, полученным на сервере, аутентификация считается успешной, и RADIUS сервер отправляет соответствующий ответ.
Партия устройств eToken PASS поставляется с зашифрованным файлом, содержащим начальные значения для всех устройств партии. Этот файл импортируется администратором в систему eToken TMS. После этого для назначения устройства пользователю необходим ввод его серийного номера (печатается на корпусе устройства).
В случае нарушения синхронизации счетчика генерации в устройстве и на сервере, система eToken TMS позволяет легко восстановить синхронизацию – привести значение на сервере в соответствие значению, хранящемуся в устройстве. Для этого администратор системы или сам пользователь (при наличии соответствующих разрешений) должен сгенерировать два последовательных значения OTP и отправить их на сервер через Web-интерфейс eToken TMS.
В целях усиления безопасности система eToken TMS позволяет использовать дополнительное значение OTP PIN – в этом случае для аутентификации пользователь помимо имени пользователя и OTP вводит дополнительное секретное значение OTP PIN. Это значение задается при назначении устройства пользователю.
Итак, концепция одноразовых паролей OTP вкупе с современными криптографическими методами может использоваться для реализации надежных систем удаленной аутентификации. Данная технология обладает рядом серьезных достоинств. Один из них- это надежность. Сегодня известно не так уж много способов действительно "сильной" аутентификации пользователей при передаче информации по открытым каналам связи. Между тем такая задача встречается все чаще и чаще. И одноразовые пароли - одно из самых перспективных ее решений.
Третий способ, который представлен на рассмотрение, для обеспечения защиты от несанкционированного доступа на уровне приложений- это технология на основе Интернет услуги «Альфа-клик». Интернет-банк «Альфа-Клик» — это современный, удобный и практичный комплекс банковских услуг и возможность проведения электронных платежей через интернет с максимальной скоростью и надежностью, бесплатное и быстрое подключение к системе, отсутствие необходимости установки специального программного обеспечения, а также удобный интерфейс. Для обеспечения безопасности проводимых операций в Интернет - банке «Альфа-Клик» используются следующие средства защиты: