Аутентификация и идентификация пользователей в сети при помощи паролей
Министерство образования Российской
Федерации
Федеральное Государственное бюджетное
образовательное учреждение высшего профессионального образования
Московский государственный
индустриальный университет
(ФГБОУ ВПО МГИУ)
Кафедра «Информационной безопасности
автоматизированных систем»
КУРСОВОЙ ПРОЕКТ
по дисциплине «Программно-аппаратные
средства защиты информации»
на тему «Аутентификация и идентификация
пользователей в сети при помощи паролей»
Студент Е.П. Бурмистров
Проверил: к.т.н., доцент Н.В.Федоров
МОСКВА 2014
Аннотация
В данном курсовом проекте рассматривается аутентификация и идентификация
пользователей в сети при помощи паролей. В качестве программного средства было
выбрано SecureLogin от компании ActiveIdentity. Хотя парольная идентификация не
считается лучшей, а напротив, её выделяют, как одну из худших, в наше время
компании часто используют её как единственную систему. Дополнительное ПО в этом
случае помогает увеличить безопасность.
Содержание
Введение
. Аналитическая часть
.1 Проблемы использования паролей на предприятии
.2 Сквозная однократная аутентификация
. Теоретическая часть
.1 Общие понятия аутентификации и идентификации
.2 Технологии идентификации и аутентификации
.3 Парольная идентификация
.3.1Политика паролей
.Практическая часть
.1 Работа SecureLogin
.2 Структура SecureLogin
.3 Безопасность SecureLogin
.4 Автоматическая генерация пароля
.5 Фишинг и фарминг
.6 Использование смарт-карт и USB-ключей
Заключение
Список использованных источников
Глоссарий
Приложение (тест)
Введение
Одним из важнейших процессов, создаваемых для соблюдения такого свойства
информации, как конфиденциальность, является ограничение доступа. Наиболее
распространен такой процесс аутентификации как использование пароля.
Практически с момента создания первых многопользовательских операционных систем
для ограничения доступа используются пароли. Главное достоинство парольной
аутентификации - простота и привычность. Пароли давно встроены в ОС, СУБД и
программные продукты. При правильном использовании пароли могут обеспечить
приемлемый для многих организаций уровень безопасности. Тем не менее, по
совокупности характеристик их следует признать самым слабым средством проверки
подлинности.
. Аналитическая часть
.1 Проблемы использования паролей на предприятии
идентификация
аутентификация пароль
Сегодня количество программных продуктов, используемых в любой компании,
довольно велико. И можно с уверенностью сказать, что существует тенденция
увеличения их количества, причем независимо от профиля компании.
Многие из используемых приложений требуют прохождения аутентификации, то
есть указания логина и пароля пользователя.
Какие проблемы возникают при использовании паролей с точки зрения
пользователей:
· Паролей много;
· Пароли сложные;
· Пароли меняются.
Желая оптимизировать процесс пользователь пытается:
· Применять простые пароли;
· Применять одинаковые пароли во множестве приложений;
· Записывать пароли на желтые стикеры и клеить их на монитор.
В результате уровень информационной защищенности компании значительно понижается.
К сожалению, административные меры далеко не всегда приносят желаемые
результаты: максимум на что можно надеяться в результате предпринимаемых усилий
- это перемещение записанного пароля с монитора в ящик стола.
.2 Сквозная однократная аутентификация
В связи с проблемами использования паролей на предприятии рекомендуется
использовать специальное программное решение, которое будет хранить пароли
пользователя от всех приложений, требующих аутентификации и автоматически
вводить их, когда приложение того требует. То есть подобное решение замещает
собой пользователя в процессе аутентификации приложением. Доступ пользователя к
хранимым паролям и настройкам происходит после аутентификации в подобной
системе, которая, как правило, совмещается с аутентификацией в операционной
среде. Таким образом, введя свои персональные данные аутентификации (ПДА) один
раз, например, логин и пароль, пользователь автоматически получает доступ ко
всем системам, требующим аутентификации. Именно отсюда такие системы получили
название Single Sing-On (SSO) - сквозная однократная аутентификация.
Ярким и наиболее функциональным решением в этой области является система
SecureLogin компании ActivIdentity. Именно ее мы и рассмотрим как решение
проблемы «желтого стикера».
Основной задачей SecureLogin является:
· Аутентификация пользователя в приложения, посредством
подстановки ПДА в соответствующие поля ввода данных;
· Хранение данных о приложениях;
· Защищенное хранение всех ПДА пользователей (логина, пароля и
любых дополнительных данных).
2. Теоретическая часть
.1 Общие понятия идентификации и аутентификации
Идентификацией называется процедура распознавания субъекта по его
уникальному идентификатору, присвоенному данному субъекту ранее и занесенному в
базу данных в момент регистрации субъекта в качестве легального пользователя
системы.
История персональной идентификации имеет корни еще из Римской империи.
Более 2 тыс. лет назад в Риме использовались так называемыми тессера (tesserae)
или попросту табличками, которые должны были иметь при себе граждане, солдаты и
рабы. У каждого была своя уникальная табличка, но рабам, чаще выжигали тавро.
Кроме того существовала практика использования карточек в странах, участвующих
в больших войнах, для учета и распределения людских и материальных ресурсов.
В
ретроспективе материальным носителем идентификатора чаще всего являлся бумажный
документ. Сейчас речь идет главным образом об электронных носителях информации,
имеющих тот или иной механизм хранения (и, возможно, обработки) персональных
данных. Этим механизмом могут быть ïëàñòèêîâûå
êàðòû ñ
ìàãíèòíûìè
ïîëîñàìè
<../../Света/Заочник/ТехнологиÑ
магнитных
карт/Ïðîòîêîëû
àóòåíòèôèêàöèè
(èäåíòèôèêàöèè)
- Ó÷åáíàÿ è
íàó÷íàÿ
äåÿòåëüíîñòü
Àíèñèìîâà
Âëàäèìèðà Âèêòîðîâè÷à_files/Ïðîòîêîëû
àóòåíòèôèêàöèè
(èäåíòèôèêàöèè)
- Ó÷åáíàÿ è
íàó÷íàÿ
äåÿòåëüíîñòü
Àíèñèìîâà
Âëàäèìèðà
Âèêòîðîâè÷à.html>, смарт-карты
<https://sites.google.com/site/anisimovkhv/learning/kripto/lecture/tema11>,
USB-ключи <https://sites.google.com/site/anisimovkhv/learning/kripto/lecture/tema11>,
RFID-метки
<https://sites.google.com/site/anisimovkhv/learning/kripto/lecture/tema11>
и т.п. В настоящее время карты (схемы, документы) персональной идентификации в
разных формах применяются в более чем ста странах.
Аутентификацией
называется процедура проверки подлинности входящего в систему объекта,
предъявившего свой идентификатор. В зависимости от степени доверительных
отношений, структуры, особенностей сети и удаленностью объекта проверка может
быть односторонней или взаимной. В большинстве случаев она состоит в процедуре
обмена между входящим в систему объектом и ресурсом, отвечающим за принятие
решения («да» или «нет»). Проверка производится с помощью криптографических
преобразований. Они необходимы для того, чтобы удостовериться в том, что
субъект является тем, за кого себя выдает, а также для защиты трафика обмена
субъекта и системы от злоумышленников.
Таким
образом, рассмотренные процессы идентификация и аутентификация являются
взаимосвязанными процессами распознавания и проверки подлинности пользователей.
Корректность
решения распознавания и проверки подлинности влияет на то, будет ли разрешен
конкретному пользователю доступ к ресурсам системы, т.е. будет ли он
авторизован.
Авторизация
представляет собой процедуру наделения субъекту определенных прав доступа к
ресурсам системы после успешного прохождения им процедуры аутентификации. Для
каждого субъекта в системе определяется набор прав, которые он может
использовать при обращении к её ресурсам.
Процесс
управления доступом субъектов к ресурсам системы называется администрированием
и включает в себя:
- создание идентификатора субъекта (создание учётной записи
пользователя) в системе;
- управление данными субъекта, используемыми для его
аутентификации (смена пароля, издание сертификата и т. п.);
- управление правами доступа субъекта к ресурсам системы.
Среди широко применяемых в последние 3-5 лет терминов описания процесса
идентификации/аутентификации введено понятие индивидуальных характеристик,
доказывающих подлинность субъектов или факторов. К факторам
идентификации/аутентификации относят:
- владение скрытой для посторонних информацией (запоминаемая либо
хранящаяся конфиденциальная информация). Примерами могут служить пароль,
персональный идентификационный код (PIN), секретные ключи и т.п.;
- обладание материальным носителем информации (карта с магнитной
полосой, электронные ключи классов touch memory и eToken, смарт-карта, дискета
и т.д.);
- биометрические характеристики субъекта (отпечатки пальцев,
голос, геометрия лица, особенности сетчатки и радужной оболочки глаз и т.п.).
.2 Технологии идентификации и аутентификации
В последнее десятилетие интенсивно развивается направление электронной
идентификации, в которой сбор информации происходит с минимальным участием
человека. Это объясняется тем, что оператор может допустить ошибку при вводе
данных, например с клавиатуры компьютера, а впоследствии поиск и исправление
ошибок в больших массивах данных может потребовать слишком много времени.
Достоверность является главным требованием, предъявляемым к информации,
используемой в системе автоматизации. Именно поэтому технологии автоматической
идентификации наиболее полно соответствуют требованиям компьютерных систем и
систем управления, где нужно четко распознавать объекты в реальном масштабе
времени.
В настоящее время существуют следующие технологии (методы) автоматической
идентификации, которые на практике часто используются в различных комбинациях:
1. Считывание акустико-магнитной информации. Основано на применении
пластинки с намагниченным элементом (магнитной картой), на которой записаны
данные идентифицируемого объекта.
2. Радиочастотная идентификация (RFID-технология). Основана на
размещении на идентифицируемом объекте маломощного радиопередатчика
(транспондера), который передает записанную в памяти информацию по сигналу
вызова считывающего устройства (карт-ридера).
. Оптическое распознавание специальных знаков, располагающихся на
этикетке в виде штрих-кода.
. Биометрическая идентификация. Основана на измерении уникальных
физических характеристик субъектов системы. Технология отличается высокой
степенью достоверности идентификации, неотделимостью физических характеристик
от субъекта и сложностью их подделки.
Магнитная идентификация. Для идентификации субъекта карта проводится
через считывающее устройство, так называемый ридер, оно считывает
закодированную на магнитной полосе информацию, с помощью которой субъект можно
идентифицировать. Декодирование и передача данных в терминал (кассовый аппарат,
платежный терминал и др..) происходит автоматически через интерфейсный кабель.
Затем терминал, используя канал связи, пересылает считанную информацию о
субъекте, и деталях операции (например, о сумме покупки) в процессинговый центр
системы. В дальнейшем схема обмена данными между терминалом и процессинговый
центром системы зависит от используемой технологии аутентификации, которые
будут рассмотрены ниже.
Пластиковые карты с магнитной полосой могут сочетать в себе и другие
цифровые носители, например, контактные и бесконтактные чипы. В этом случае
пластиковая карта считается комбинированной.
На сегодняшний день существуют следующие программно-технические методы
аутентификации:
Парольная идентификация. Пароль вводится субъектом, затем сравнивается со
значением пароля, хранящимся в системе. В случае их совпадения, субъекту
предоставляется право на использование защищаемых ресурсов. К достоинствам
парольной аутентификации относятся простота и привычность. ОС, СУБД и
программные продукты имеют встроенные пароли. При правильном их использовании
они могут обеспечить приемлемый для многих организаций уровень безопасности.
Тем не менее, по совокупности характеристик их следует признать самым слабым
средством проверки подлинности. Среди недостатков, возможность перехвата пароля
злоумышленниками при передаче, возможность использования злоумышленниками базы
данных паролей, после получения файла с зашифрованными паролями можно
воспользоваться многочисленными программами-взломщиками и т.п.
Аутентификации с использованием хеш-функции. Под хеш-функцией понимается
легко вычислимая функция, которая преобразует исходное сообщения произвольной
длины (прообраз) в сообщение фиксированное длины (хеш-образ), для которой не
существует эффективного алгоритма поиска коллизий.
Достоинством метода является то, что система не хранит паролей,
соответственно, исключается доступ к ним злоумышленников. Недостатком является
возможность перехвата злоумышленниками хеш-образа при передаче по каналам
связи.
Аутентификация по предъявлению цифрового сертификата
Механизмы аутентификации на основе сертификатов обычно основаны на
протоколе с запросом и ответом. Данный протокол предусматривает направление
пользователю запроса (последовательности символов) сервером аутентификации,
программное обеспечение клиента вырабатывает с помощью закрытого ключа,
хранящегося у пользователя, цифровую подпись, которой и подписывается запрос от
сервера аутентификации. Стадии процесса подтверждения подлинности пользователя:
- получение открытого ключа CA (одноразовый процесс);
- получение по некоторому незащищенному каналу от этого
пользователя его сертификата открытого ключа (включающее получение
идентификатора пользователя, проверку даты и времени относительно срока
действия, указанного в сертификате, на основе локальных доверенных часов,
проверку действительности открытого ключа СА, проверку подписи под сертификатом
пользователя с помощью открытого ключа СА, проверку сертификата на предмет
отзыва);
- если все проверки успешны, открытый ключ в сертификате
считается подлинным открытым ключом заявленного пользователя;
- проверка на наличие у пользователя закрытого ключа,
соответствующего данному сертификату, с помощью алгоритма запрос-ответ.
К протоколам, использующий подобный алгоритм проверки подлинности
относятся SSL, Kerberos и RADIUS.
Использование смарт-карт и USB-ключей
Несмотря на то, что аутентификация по предъявлению цифрового сертификата
обеспечивает строгую аутентификацию пользователя, существует опасность
уязвимости к прямым и сетевым атакам закрытого ключа в случае его хранения на
жестком диске компьютера пользователя.
Достаточно подготовленный злоумышленник может похитить персональный ключ
пользователя и с помощью этого ключа представляться этим пользователем. Защита
ключа с помощью пароля помогает, но недостаточно эффективно - пароли уязвимы по
отношению ко многим атакам. Несомненно, требуется более безопасное хранилище.
Для устранения этого недостатка используется аутентификация на основе
смарт-карт и USB-ключей, что является более безопасным методом, поскольку
используется уникальный физический объект, которым должен обладать человек,
чтобы войти в систему. Физический объект тяжелее украсть, в отличие от паролей,
да и владелец быстрее заметит его кражу и предпримет необходимые меры для
защиты от негативных последствий. Кроме того, реализуется двухфакторная
аутентификация.
Микропроцессорные смарт-карты и USB-ключи могут повысить надежность служб
PKI: смарт-карта может использоваться для безопасного хранения закрытых ключей
пользователя, а также для безопасного выполнения криптографических
преобразований. Хотя смарт-карты и USB-ключи не обеспечивают абсолютную
безопасность, но надежность их защиты намного превосходит возможности обычного
настольного компьютера.
Классификация средств идентификации и аутентификации с точки зрения
применяемых технологий приведена на рисунке 1.
Рисунок 1 - Классификация средств идентификации и аутентификации с точки
зрения применяемых технологий
.3 Парольная идентификация
.3.1 Политика паролей
Парольная политика - это набор правил работы с паролями в организации.
Правила включают в себя следующие важные условия:
· требования к сложности пароля;
· требования к длине пароля;
· требования к частоте смены пароля;
· критерии, по которым можно судить о недопустимости пароля;
· способ хранения и замены паролей.
Парольная политика представляет собой средство защиты информации, которое
доступно любой организации, так как реализуется бесплатно. Функ-ция запроса
пароля встроена не только в операционную систему, но и во многие программы, в
том числе в офисные приложения, с которыми сотрудники работают ежедневно.
Аппаратная аутентификация и проверка биометрических данных не исключают
парольную защиту. Вход в операционную систему может выполняться с помощью
электронного ключа, а доступ к данным чаще всего осуществляться по паролю.
Для того чтобы определиться с мерами защиты паролей, необходимо понять,
как может происходить взлом. Угрозы, связанные с паролями, можно условно
разделить на следующие основные виды:
· угроза утери парольной информации;
· кража материального носителя, на котором записан пароль;
· подбор пароля злоумышленником.
Для предотвращения утери и кражи пароля рекомендуется не хранить их на
материальных носителях. С подбором пароля все сложнее, злоумышленники часто
используют специальные программы подбора паролей. Такие приложения могут
работать со словарями слов, часто используемых в качестве пароля, а также
осуществлять полный перебор всех комбинаций символов. Подбирать пароли в
состоянии не только процессор, но и видеокарта. Причем использование
современных видеокарт дает значительный выигрыш в скорости.
Может показаться, что какой-то набор символов или слово достаточно трудно
подобрать, и в словаре его нет. Однако доказано, что человек не может
генерировать абсолютно случайные последовательности символов и вероятность
того, что другой человек сможет придумать такую же последовательность,
существует. Часто люди используют в качестве пароля те слова, которые связаны с
какими-то эмоциями, потому что они легко запоминаются и не нужно ничего
записывать. Очевидное достоинство такого подхода - пароль не хранится в бумажном
виде и не может быть подсмотрен другими сотрудниками или посторонними лицами.
Вместе с тем дата рождения - первое, что будет проверяться злоумышленником при
попытке подбора пароля.
Стандартный набор часто используемых паролей, как правило, включает
девичью фамилию матери, кличку собаки, любимое блюдо, то, что связано с личной
жизнью пользователя. Плохими вариантами пароля являются слова, которые можно
найти в словаре какого-либо из языков, исключительно цифровые
последовательности, даты, географические названия, названия брендов, имена
героев фильмов, последовательности символов, которые расположены на соседних
кнопках клавиатуры: всем известный qwerty или его русский вариант йцукен и
множество подобных. То, что кажется легким для запоминания, также легко подбирается
злоумышленником.
Существуют различные методики создания паролей, простых в запоминании, но
сложных для подбора. Среди них широко известна следующая методика: подбирается
слово, некоторые из букв в этом слове пишутся прописными буквами, другие остаются
строчными. В слово добавляются спецсимволы: «-», «;», «,» и цифры. Для
программы такая последовательность выглядит как случайный набор цифр и
символов, для пользователя это быстро запоминаемое ключевое слово. Также можно
воспользоваться специальными программами в Интернете, которые генерируют
случайные последовательности символов. Однако стоит ли доверять таким
программам? Никто не может сказать, формируют ли они ключевую
последовательность случайно или действуют по заданному злоумышленником алгоритму.
Мы не можем гарантировать, что база паро-лей из этой программы не будет
получена злоумышленником и тогда любой из паролей станет ему известен. Лучше
все-таки не брать готовые пароли из примеров.
Один из методов создания сложного пароля, который часто приводится в
Интернете как надежный, заключается в следующем: пользователь смотрит на
русские буквы на клавиатуре, а набирает пароль латиницей. Например, слово
«пароль» выглядит как «gfhjkm». Для усложнения берут длинную русскую, часто
абсурдную по смыслу фразу и из каждого слова выбирают несколько букв. Для
усложнения пароля необходимо стремиться, чтобы попадались слова с символами: б,
ю, х, ъ, ж, э - так как для латиницы это спецсимволы.
Существуют ресурсы онлайн-проверки сложности пароля, часто у нас популярны
англоязычные. В окошко нужно ввести свой пароль, появится информация о том,
через какое время он будет подобран. Для латиницы это работает очень хорошо,
причем при вводе таких паролей, как password и qwerty, появляется информация о
том, что это пароли из десятки худших паролей. Однако для кириллицы все не так
радужно - словарные слова она, естественно, не распознает и оценивает как
последовательность символов определенной длины. Проверять имеет смысл только
пароли на латинице.
В российском законодательстве термин «пароль» встречается редко и обычно
в контексте аналога собственноручной подписи: «коды, пароли и иные средства,
подтверждающие, что документ исходит от уполномоченного на это лица». Подобное
определение с небольшими поправками присутствует в следующих законах:
· Гражданский кодекс Российской Федерации (часть вторая).
· Федеральный закон «Об организованных торгах» от 21.11.2011 №
325-ФЗ.
· Федеральный закон «Об электронной подписи» от 06.04.2011 №
63-ФЗ.
· Федеральный закон «О противодействии легализации (отмыванию)
доходов, полученных преступным путем, и финансированию терроризма» от
07.08.2001 № 115-ФЗ.
· Федеральный закон «О клиринге и клиринговой деятельности» от
07.02.2011 № 7-ФЗ.
Пароль служит для подтверждения личности, а значит, его необходимо строго
охранять. У каждой организации есть необходимость обезопасить свои
информационные ресурсы от неизвестных третьих лиц, которые могут получить
доступ к ценным сведениям и воспользоваться ими в своих целях. А эти цели могут
быть совершенно противоположны целям предприятия. Скорее всего, нарушители
попытаются использовать информацию компании в своих корыстных интересах. Нельзя
сказать, что если установлены пароли на все, то информационная система
полностью защищена и гарантирована от взломов и атак. Такого быть не может, но
в какой-то мере парольная политика снижает вероятность вторжения. Если
злоумышленник не сможет подобрать пароль для входа в систему, то дальнейшие его
действия будут затруднены. Большой процент нарушителей на этом этапе отсеется.
Защита информации от несанкционированного доступа третьих лиц - это не
единственное достоинство парольной политики. С помощью нее можно
персонифицировать ответственность каждого пользователя в сети за то, что он
делает. Так, если Иванова заходит в систему под ником Ivanova, то системный
администратор знает (благодаря электронному журналу), что она запрашивала
определенные документы, корректировала их, пыталась получить доступ к базе, к
которой у нее доступа нет. В дальнейшем можно будет отслеживать работу пользователя,
особенно в случае определенных подозрений по поводу того, что он увольняется
или сотрудничает с конкурентами. В такой ситуации необходимо обратить внимание
на то, что же сотрудник делает в рабочее время.
Вместе с тем, если Иванова зайдет в систему под чужой учетной записью,
администратор увидит, что заходил, например, пользователь Petrov, значит, это
Петров из отдела кадров работал с базой, а у него были на это полные права.
Соответственно для предотвращения подобной ситуации пароли у сотрудников должны
быть сложными и должны храниться в недоступном месте (или вообще не храниться
на материальных носителях), для того чтобы другие сотрудники не могли
использовать эту информацию и под чужим именем работать в системе. Защищаться
необходимо не только от третьих лиц, но и от внутренних угроз.
3. Практическая часть
.1 Работа SecureLogin
Аутентификация пользователя в приложения выполняется вводом
соответствующих данных, как правило, это связанная пара - логин и пароль.
Каждый параметр впечатывается с клавиатуры в соответствующее поле ввода или
выбирается из представленного списка, после чего нажимается кнопка ввода (ОК,
Ввод, Вход и т.д.)автоматически определяет начало процесса аутентификации, то
есть появление окна ввода ПДА, подставляет в поля ввода соответствующие данные
и нажимает кнопку завершения ввода данных.
Самым сложным для подобных систем является умение взаимодействовать с
окнами аутентификации различных приложений и работать с разными вариантами
ввода данных (ввод текста, выпадающие списки, установка флагов и т.д.). Одним
из параметров оценки качества подобных систем является как раз умение работать
с различными приложениями. То есть, при попытке оценить качество такой системы,
необходимо ответить на вопрос: как много существует приложений или их групп,
сформированных по какому-либо признаку, как то: написанных на определенном
языке, например, Java, с которыми система однократной аутентификации не может
работать. Чем меньше таких приложений, тем лучше система.
Для достижения необходимого качества по этому параметру используется 3
метода интеграции SecureLogin с приложениями.
Первый способ (заранее описанные приложения). Наиболее популярные и
широко используемые приложения, такие как Cisco VPN, Oracle и т.д.
интегрированы разработчиками SecureLogin в эту систему. В процессе описания
приложения были определены параметры, однозначно характеризующие само
приложение, окно аутентификации и типы требуемых данных таким образом, что при
его появлении SecureLogin «узнает» его и вводит соответствующие данные.
Рис.1. Мастер SecureLogin определяющий окна аутентификации (2 способ).
Второй способ (использование Мастера). Так как невозможно заранее описать
все приложения, а в идеале система должна быть универсальной, то есть работать
со всеми приложениями, реализована высококачественная система автоматического
распознавания новых приложений (их окон). Когда пользователь запускает
приложение появляется окно аутентификации, SecureLogin распознает приложение
как «своего клиента» и предлагает сохранить параметры приложения и введенные
ПДА для последующей автоматической аутентификации. В этом случае запускается
Мастер, который позволяет «натренировать» SecureLogin на работу с приложением.
То есть, показать (в буквальном смысле этого слова), какое окно используется
для ввода логина, какое - для пароля, какая кнопка нажимается для завершения
ввода данных и т.д. На этом этапе SecureLogin фиксирует идентификаторы
указанных полей, а также их классы и формирует описание приложения таким
образом, что при последующем запуске приложения оно узнается и отрабатывается
SecureLogin.
Третий способ (написание макроса). Существует масса причин, которые не
позволяют использовать второй способ. Одна из них - непостоянство
идентификаторов полей: при каждом новом запуске приложения идентификаторы полей
изменяются. В этом случаем SecureLogin будет пытаться подставить, например, имя
пользователя в окно ввода с идентификатором 10001, которое было определено во
время настройки, но при текущем сеансе работы это же окно имеет идентификатор,
например, 95262.
Рис.2. Мастер определения параметров приложения и окна аутентификации
Существуют и другие трудности на пути автоматической аутентификации:
использование всплывающих окон (splash screen), перемещающиеся кнопки,
неактивность окна и т.д.
Для решения нетривиальных задач аутентификации используются макросы -
небольшая подпрограмма на внутреннем языке SecureLogin, которая описывает
параметры окна и способы взаимодействия с ним. Стоит отметить, что методы,
описанные выше, так же основаны на макросах: в первом случае макросы сохранены
как описание предопределенных приложений, во втором - SecureLogin автоматически
генерирует макрос.
Рис.3. Учетные записи для приложения mail.ru. Просмотр через
пользовательскую панель управления SecureLogin
Язык создания макросов содержит более 70 команд, которые позволяют
описать работу SecureLogin с любым приложением (его окном), а также
использовать при автоматической аутентификации любые типы данных и
разнообразные способы ввода.
Для упрощения написания макросов может использоваться утилита, которая
определяет все параметры окна аутентификации (исполняемого файла) и выдает в
виде «черновика» в синтаксисе SecureLogin.
Макросы могут использоваться не только в том случае, когда автоматические
методы не могут быть реализованы, но и когда требуется создать «сложную» модель
аутентификации, построенную на множестве зависимостей.
Например, существует определенная программа, которая выполняет
подключение к удаленному серверу. В этом случае пользователю необходимо указать
свой логин, пароль и выбрать из выпадающего меню сервер, к которому он
подключается. Если для каждого сервера используется своя ученая запись
(логин-пароль), то необходимо использовать подпрограмму, которая будет
подставлять пару логин-пароль соответствующую выбранному серверу. Или,
например, существует некоторая периодичность доступности серверов, в этом
случае возможно реализовать автоматическое подключение к доступному серверу в
зависимости от времени суток.
Итак, SecureLogin обнаруживает окна аутентификации и автоматически вводит
требуемые значения. Бывают ситуации, когда в одном и том же приложении у одного
и того же пользователя существует несколько учетных записей. Классический
пример - бесплатные почтовые серверы. Эта ситуация так же предусмотрена:
SecureLogin может содержать для одного и того же пользователя несколько наборов
ПДА для входя в одно и тоже приложение. В этом случае возможно два варианта
поведения системы:может быть настроена на использование выбранной учетной
записи;будет предлагать пользователю выбрать, какую именно учетную запись но
хочет использовать именно сейчас.
Рис.4. Определение основных параметров SecurLogin для контейнера Users
через MMC-консоль
.2 Структура SecureLogin
Современные даже небольшие компании стремятся создать IT-структуру таким
образом, чтобы любые системы, входящие в ее состав, имели возможность
централизованного унифицированного управления. Одна из важных особенностей
SecureLogin - это как раз возможность централизованного управления.
Рис.5. Копирование настроек выполненных для контейнера Users в
Organization Unit.
Если компания использует доменую структуру сети (а это наиболее часто
встречающаяся ситуация), то SecureLogin может быть интегрирован в Active
Directory (AD), как частный случай службы каталогов, совместимых с протоколом
LDAP (Light Data Access Protocol). С этой целью выполняется расширение схемы
AD, внесение дополнительных атрибутов объектам «User». Стоит отметить, что
такие изменения одобрены Microsoft и могут быть применены к таким структурным
элементам как «User», так и к «Organization Unit» любого уровня вложенности.
Так же поддерживается работа на уровне Групповых Политик. Эти особенности
позволяют выполнять однотипные настройки SecureLogin для целых подразделений и
отделов, а, при необходимости, детализировать их для отдельных пользователей.
Управление SecureLogin в этом случае выполняется с помощью стандартных
MMC-консолей. В этом случае каждый пользователь при работе с SecureLogin будет
использовать те настройки, которые были сделаны системным администратором, что
исключает, во-первых: необходимость рядового пользователя вникать в принципы
работы этой системы, а во-вторых: исключает возможность выполнять
несанкционированные действия.
Итак, за счет возможности централизованного управления системный
администратор один раз выполняет настройку SecureLogin для работы с каждым
используемым в компании приложением. Далее администратор может перенести эти и
другие настройки на прочие объекты AD следующими способами:
Методом импорта-экспорта XML-конфигурации (не имеет ограничений для
применения);
Настройки могут быть скопированы с текущего объекта на указанный;
Выполнением автоматического наследования. То есть объект «User» наследует
параметры того контейнера, в который он вложен. При необходимости такое
наследование можно выключить на любом уровне вложенности.
.3 Безопасность SecureLogin
Многие сталкивались с вопросами «сохранить пароль» или «помнить меня»,
которые задают некоторые приложения во время аутентификации. Активация этой
опции сохраняет ваши логин-пароль или в реестре или в пользовательских файлах,
что позволяет приложению не требовать ввода этих данных от пользователя в
следующий раз.
Рис.6. Регистрация контрольного вопроса (выбор и ответ на него)
происходит при первом запуске системы после установки SecureLogin
Использование этой опции небезопасно, так как при входе в систему под
Вашим профилем открывается доступ к Вашим учетным записям приложений. В чем
здесь угроза? Если кто-то, обладая соответствующими полномочиями, сбросит
Windows-пароль и войдет под вашим именем, то он получит доступ к тем
приложениям, которые «вас помнят».
В случае использования SecureLogin такой «фокус» не получится, так как
ПДА хранятся в зашифрованном виде, с использованием логина и «оригинального»
пароля пользователя; новый пароль не может быть использован для получения
доступа к ПДА.
Пропадут ли ПДА в этом случае?
В SecureLogin для решения этой задачи используется система контрольных
вопросов. Доступ к ПДА с использованием нового пароля не может быть выполнен.
SecureLogin контролирует такую ситуацию и предлагает пользователю дать ответ на
контрольный вопрос, который является вторым «ключом» для доступа к ПДА. То
есть, ключ шифрования ПДА сохраняется в зашифрованном виде дважды:
· С использованием хеша имени пользователя и его пароля;
· С использованием хеша ответа на контрольный вопрос.
На этапе настройки SecureLogin администратор может задать перечень
контрольных вопросов или разрешить пользователю сформировать для себя такой
вопрос самому. В любом случае, системный администратор не может задать ответы
(то есть обзавестись вторым ключом), это делает пользователь при первой
загрузке операционной системы после установки SecureLogin.
Стоит отметить, что среди настроек есть опция принудительной регистрации
контрольного вопроса, при активации которой пользователь не может отказаться от
него, так как это окно не может быть закрыто до выбора вопроса и ввода ответа
на него.
Ответ на контрольный вопрос будет использоваться один раз при первом
входе в систему после изменения пароля. После правильного ответа на контрольный
вопрос SecureLogin пересохраняет ключ шифрования ПДА, зашифровав его с
использованием нового пароля (а вернее - его хэша). Таким образом, при
последующем использовании этого нового пароля сквозная однократная
аутентификация восстановится. Администратор может определить требуемую
сложность ответа на контрольный вопрос (минимальную длину, необходимость
использования цифр и т.д.)
За счет описанных выше мер можно с уверенностью гарантировать надежное
хранение ПДА пользователей.
.4 Автоматическая генерация пароля
Приложения могут требовать периодической смены пароля или смены пароля
при первом запуске. Последнее значительно упрощает централизованное создание
новых учетных записей: пользователь получает свой логин и пароль, который
должен быть обязательно изменен при первом входе в систему.
Также SecureLogin автоматизирует и процессы смены паролей. При появлении
окна смены паролей система автоматически подставит текущий пароль (что обычно
требуется), сгенерирует случайным образом новый пароль, который подставит в
окна ввода и подтверждения и сохранит его для последующего использования.
При этом может использоваться политика сложности паролей, которая
описывается 15 правилами, такими как:
· Минимальная длина;
· Максимальная длина;
· Минимальное количество спецсимволов;
· Максимальное количество спецсимволов;
· Максимальное количество символов верхнего регистра;
· Минимальное количество символов верхнего регистра;
· Максимальное количество символов нижнего регистра;
· Минимальное количество символов нижнего регистра;
· Максимальное количество цифр;
· Минимальное количество цифр;
· Использование дублирующихся символов;
· Использование повторяющихся символов;
· Использование последовательности символов;
· Использование первого символа в верхнем регистре;
· Запрет использования указанных символов.
За счет этого можно заставить приложение «подчиняться» корпоративной
политике сложности паролей даже в том случае, если само приложение не оперирует
такими понятиями. Кроме того, возможность использовать отдельную политику
сложности пароля для каждого приложения позволяет учитывать специфику
приложения. Например, может потребоваться ограничить длину пароля или исключить
какие-либо символы, которые не могут быть использованы в данном приложении.
Возможность автоматической перегенерации паролей позволяет не только
автоматизировать процесс смены пароля, но и добиться ситуации, когда
пользователь вообще не знает своего пароля. Если пользователь не знает своего
пароля, то не может передать его или записать «на всякий случай».
.5 Фишинг и фарминг
Продолжая рассматривать вопросы безопасности необходимо затронуть тему
фишинговых и фарминговых атак (от английского слова fishing - ловля рыбы,
pharming). Суть первой атаки заключается в том, что хакер тем или иным способ
«подставляет» пользователю собственное окно ввода ПДА или страницу
аутентификации, которое внешне полностью идентично оригинальному, с помощью
которого происходит аутентификация в приложении или web-ресурсе. В результате
пользователь вводит свои данные, а они, в свою очередь, становятся доступны
атакующему и далее используются в целях мошенничества. Второй тип атак сводится
к тому, что пользователь автоматически перенаправляется на хакерский, внешне
абсолютно идентичный атакуемому сайт, где вводимые данные сохраняются и
используются таким же образом, как и в предыдущем случае. С помощью этих атак
может быть организована утечка важной коммерческой информации, а так же кража
личных данных пользователя, например, использующихся для управления банковскими
счетами через Интернет, номера кредитных карт при бронировании билетов,
совершении покупок и т.д.
Для предотвращения таких атак на уровне приложений выполняется проверка
контрольной суммы перед началом подстановки ПДА. Если контрольная сумма не
совпала, то подстановка ПДА не происходит.
В случае работы с web-приложениями предусмотрена защита от подобных атак.
Для этого выполняется во-первых: проверка URL активного окна, а во-вторых:
перенаправление на указанный (известный нам) URL. Кроме того, может выполняться
и проверка защищенности соединения, то есть, ведется ли работа по
SSL-протоколу.
Стоит отметить, что SecureLogin не только предотвращает ввод данных в
«неправильное» окно, но и может выполнить SNMP-и/или SMTP-уведомление,
например, администратору, что позволит принять оперативные методы для анализа
ситуации и устранения возникшей опасности.
Механизм уведомлений может быть использован и в любой другой произвольной
ситуации, например, при аутентификации для доступа к особо важным корпоративным
данным. Также, с помощью log-файла или журнала событий операционной системы,
при необходимости, можно проанализировать активность пользователя.
.6 Использование смарт-карт и USB-ключей
работает с любыми персональными идентификаторами - смарт-картами и
USB-ключами, которые поддерживают работу по стандарту PKCS#11. Это позволяет
использовать SecureLogin как с картами и ключами ActivIdentity, так и с любыми
другими персональными идентификаторами, которые уже задействованы в компании.
То есть, SecureLogin не рассматривается как некоторое дополнение к
инфраструктуре ключей или смарт-карт определенного производителя, наоборот -
персональный идентификатор всего лишь дополняет функционал SecureLogin в
качестве хранилища ПД
Рис.7. Задание параметров безопасности для Organization Unit.
Использование смарт-карт.
Пользователь проходит двухфакторную аутентификацию (сама карта или ключ
плюс PIN-код) при входе в Windows, а ПДА извлекаются из идентификатора для
подстановки в соответствующие окна. Интересен тот факт, что первичная
аутентификация в систему возможна как на базе цифрового сертификата, хранимого
на карте, а так и с использованием имени пользователя/пароля, которые вместе с
ПДА также хранятся на карте (в том случае, если компания не используется PKI).
При желании SecureLogin может быть настроен так, что доступ к ПДА будет
осуществляться без персонального идентификатора (например, при его потере). В
этом случае будет задействован описанный выше механизм вопросов-ответов.
Кроме того, SecureLogin позволяет успешно бороться с «забывчивостью
пользователей», которые покидают свои рабочие места, не заблокировав компьютер
и оставив, например, карту в считывателе. Практика показывает, что, как
правило, никакие административные меры не могут это предотвратить. Для закрытия
этой бреши в безопасности администратором включается режим повторной
аутентификации: перед постановкой ПДА SecureLogin запрашивает PIN карты.
Аналогичная ситуация возможна и без использования карт, в этом случае
пользователь должен будет ввести свой системный пароль. То есть, для запуска
любого приложения, требующего авторизации, он должен пройти аутентификацию (не
путайте с системами синхронизации паролей).
В заключение хотелось бы сказать, что SecureLogin позволяет работать с
Windows-, Web-, Java-приложениями, а так же поддерживает работу через различные
терминальные серверы. Например, не так давно продукты компании ActivIdentity, в
том числе и SecureLogin, прошли сертификацию на предмет совместимости с Citrix
Presentation Server и получили статус Citrix Ready. Кроме того, по версии
журнала SC Magazine, SecureLogin компании ActibIdentity признан лучшим SSO-решением.
Заключение
В ходе написания курсового проекта были рассмотрены общие понятия теории
идентификации и аутентификации, изучены существующие технологии идентификации и
аутентификации. Была изучена система идентификации паролем, а также программное
средство SecureLogin, которое повышает безопасность на предприятии.
Список использованных источников
1. Анисимов В.В. Лекции
«Криптографические методы защиты информации» [Электронный ресурс]. - Режим
доступа: https://sites.google.com/site/anisimovkhv/learning/kripto/lecture/tema11#p1172
<https://sites.google.com/site/anisimovkhv/learning/kripto/lecture/tema11>
(дата обращения: 19.11.2014).
. Сабанов А. Г. «О
технологиях идентификации и аутентификации» / «Безопасность сетей и средств
связи», 2006 [Электронный ресурс]. - Режим
доступа:<http://www.aladdin-rd.ru/company/pressroom/articles/41272/?sphrase_id=346226>
(дата обращения: 19.11.2014).
. Сабанов А.Г.
«Классификация процессов аутентификации» / «Вопросы защиты информации», 2013
г., № 3 [Электронный ресурс]. - Режим доступа:
<http://www.aladdin-rd.ru/company/pressroom/articles/38848/?sphrase_id=346226>
(дата обращения: 19.11.2014).
. Сабанов А.Г. «Обзор
технологий идентификации и аутентификации» / «Документальная электросвязь»,
2006 г., №17, с.23-27
. http://www.rnbo.ru/
<http://www.scancode.ru/catalog/item/29/53/>
. http://expo-itsecurity.ru/
Глоссарий
ОС- Операционная система
СУБД- Система управления базами данных
PKI - Public Key Infrastructure(Инфраструктура открытых ключей)
USB - Universal Serial Bus(универсальная последовательная шина)
ПДА - персональные данные аутентификации
SSO - single sign-on(сквозная
однократная аутентификация)
ПО - программное обеспечение
SNMP -
Simple Network Management Protocol (простой
протокол сетевого управления)
SMTP -
Simple Mail Transfer Protocol(простой протокол передачи почты)
Приложение
Тест
.Что такое ПДА?
А) Персональные данные аутентификации
Б) Пост-депрессивная адаптация
В) Персональный дилинговый аспект
. Кроме идентификации паролем существуют:
А) идентификация магнитной картой
Б) биометрическая идентификация
В) идентификация RFID-картой
Г) всё выше перечисленное
. Сколько методов интеграции использует программа SecureLogin?
А)Один
Б)Два
В)Три
. Каковы основные недостатки паролей?
А) Паролей много
Б) Пароли длинные(сложны к запоминанию)
В) Пароли всё время меняются
Г) Всё вышеперечисленное
. Одна из основных задач SecureLogin:
А)Хранение данных о приложениях
Б)Защита ОС
В)Интеграция с антивирусом
. Парольный метод идентификации является
А)лучшим
Б)худшим
В)нет правильных ответов
. Возможно ли использование usb-ключей в системе SecureLogin?
А) да
Б) нет
.Аутентификация бывает?
А)односторонней
Б)двухсторонней
В)безсторонней
. Являются ли одноразовые пароли более безопасными, чем обычные?
А)да
Б) нет
. Основные парольные угрозы:
А) прямой подбор пароля через интерфейс
Б) перехват пароля по сети
В) кража пароля с материального носителя
Г) получение пароля с помощью пытки
Д) всё вышеперечисленное