Създаваме USB ключ за сигурност с помощта на Windows. Хардуерно базирано многофакторно удостоверяване

Поддържа се U2F - отворен протокол, който позволява универсално двуфакторно удостоверяване Браузър Chrome 38 и по-късно. U2F е разработен от FIDO Alliance - алианс на Microsoft, Google, Lenovo, MasterCard, Visa, PayPal и др. Протоколът работи без допълнителна инсталацияшофьори в операционна системаах Windows/Linux/MacOS. Wordpress услуги, Google, LastPass поддържат протокола. Обмислете всички плюсове и минуси на работата с .


С нарастващата популярност на двуфакторното удостоверяване, извършвано чрез обаждане или изпращане на SMS съобщение, има легитимен въпрос- колко удобен е и има ли този метод за удостоверяване клопки?

Като допълнителен метод за проверка, удостоверяването чрез обаждане или изпращане на съобщение, разбира се, е много удобно. Освен това този метод се е доказал като ефективен в много случаи - така че е еднакво подходящ като защитна мярка срещу фишинг, автоматизирани атаки, отгатване на парола, вирусни атаки и т.н. Зад удобството обаче има опасност – ако измамниците се заемат с работата, свързването към телефонен номер може да играе срещу вас. Най-често акаунтът е свързан с посочения номер за контакт на потребителя, чиято първа или последна цифра може да бъде разпозната от всеки, ако се опита да възстанови достъпа до акаунта. По този начин измамниците могат да разберат вашите телефонен номер, а след това установете на кого е издаден. След като получат информация за собственика, измамниците остават с фалшиви документи в салона на оператора клетъчна комуникацияпоискайте повторно издаване на SIM карта. Всеки служител на клон има право да преиздава карти, което позволява на измамниците, след като са получили SIM карта с желания номер, да влязат във вашия акаунт и да извършват всякакви манипулации с него.


Някои компании, например големи банки, запазват не само телефонния номер на собственика, но и уникален идентификатор на SIM картата, IMSI, се записва с него, ако се промени, обвързването на телефонния номер се отменя и трябва да се направи отново лично от клиента на банката. Тези услуги обаче не са достатъчно разпространени. За да разберете IMSI за всеки телефонен номер, можете да изпратите специална HLR заявка на сайта smsc.ru/testhlr.


Модерен с поддръжка на двустепенна автентификация в браузъра, което гарантира допълнителна сигурност за вашия акаунт, можете да закупите в нашия онлайн магазин.

Проблеми с паролата в големи офиси.
Компютрите са навлезли и продължават да навлизат в много индустрии. Много заводи и големи компании въвеждат компютърно оборудване и създават информационна инфраструктура. Много пари се харчат за обучение на персонала и за процеса на преход от хартиен към електронен документооборот. Контрол на достъп до информационни ресурсисе превръща в трудна задача.
Често се случва служителите да записват пароли на листове хартия, които лежат на настолни компютри или са залепени на монитори.

Това увеличава вероятността от кражба на поверителна информация или създава условия за нарушаване на достъпа до важни данни.
Хората си вършат работата и никой не иска да си занимава главите с всякакви глупости като "парола за Windows". В този случай изтичането и слабостта на паролите се превръща в сериозен проблем за мрежовите администратори и отговорните за информационната сигурност.


Компаниите се опитват да разрешат този проблем с помощта на електронни ключове - USB ключодържатели, смарт карти и други хардуерни удостоверители. При определени условия това решение се оправдава. а именно:
  • Когато процесът на преминаване от обикновен метод за удостоверяване (чрез пароли) към двуфакторен метод (с чрез USBключове) е ясно планиран;
  • Фирмата разполага с квалифициран персонал за поддръжка на такава система,
  • Производителят на такива решения осигурява цялостна поддръжка.

    Удостоверяване с usb флашшофиране.
    Проблемите с паролите и сигурността, макар и в по-малка степен, все още са актуални за обикновените потребители. Използване на USB памет или смарт карта за влизане в Windows домашен компютъре по-скоро лично предпочитание, отколкото необходимост.

    Удостоверяването чрез USB ключодържател или смарт карта е най-подходящо за малки и средни офиси, както и за частни предприятия, на компютри на ръководители. Наличието на такъв ключ към вашия компютър значително опростява удостоверяването (достъп на потребителя до Windows), въпреки че защитата с парола е налице.


    За удостоверяване в Windows е по-добърпълно използване нормално USBустройство (флашка).
    С помощта на програмата можете да видите колко удобно е да я използвате USB устройствокато ключ за влизане в Windows или за достъп до .

    С USB флашка?

    • „До 2008 г. броят на използваните USB ключове ще се доближи до броя на другите средства за удостоверяване“
    IDC 2004 г

    Въведение

    В днешно време, поради широкото разпространение на компютрите, все повече се налага да се мисли за сигурността на обработваната информация. Първата стъпка в сигурността е да удостоверите легитимния потребител.
    Най-често срещаното средство за удостоверяване е паролата. В допълнение, повече от 60% от потребителите, както показва практиката, най-често използват едни и същи пароли за различни системи. Излишно е да казвам, че това значително намалява нивото на сигурност. Какво да правя?
    Според мен едно от решенията на проблема би било използването на хардуерни ключове за удостоверяване. Нека разгледаме тяхното приложение по-подробно на примера на USB ключове от Aladdin.

    Какво е eToken?

    eToken (фиг. 1) е персонално устройство за автентификация и съхранение на данни, хардуерно поддържано за работа с цифрови сертификати и електронен цифров подпис (EDS). eToken се издава под формата на:

    • eToken PRO е USB донгъл, който позволява двуфакторно удостоверяване. Предлага се във версии 32K и 64K.
    • eToken NG-OTP е хибрид на USB донгъл и устройство, което генерира еднократни пароли (One Time Password, OTP). Предлага се във версии 32K и 64K.
    • Смарт картата eToken PRO е устройство, което изпълнява същите функции като USB ключ, но под формата на обикновена кредитна карта. Предлага се във версии 32K и 64K.

    По-нататък ще говорим конкретно за USB ключове, които се свързват директно към USB порта на компютъра и за разлика от смарт картата не изискват специален четец.
    eToken има защитена енергонезависима памет и се използва за съхраняване на пароли, сертификати и други секретни данни.

    Фигура 1 eToken Pro 64k

    eToken устройство

    Компоненти на технологията eToken PRO:

    • Чип за смарт карта Infineon SLE66CX322P или SLE66CX642P (EEPROM с капацитет съответно 32 или 64 KB);
    • Смарт карта OS Siemens CardOS V4.2;
    • Хардуерно реализирани алгоритми: RSA 1024bit, DES, Triple-DES 168bit, SHA-1, MAC, Retail-MAC, HMAC-SHA1;
    • Хардуерен генератор на случайни числа;
    • контролер за USB интерфейс;
    • Източник на енергия;
    • Корпус от твърда пластмаса, неподатлив на неоткриваемо отваряне.

    Следните компоненти са допълнително включени в устройството eToken NG-OTP:

    • Генератор на еднократни пароли;
    • Бутон за генерирането им;
    • ЛСД дисплей;

    Поддръжка на интерфейс:

    • Microsoft Crypto API
    • PKCS#11.

    ПИН код

    За да получите достъп до данните, съхранявани в паметта на eToken, трябва да въведете ПИН (Personal Identification Number). Не се препоръчва използването на интервали и руски букви в ПИН кода. ПИН обаче трябва да отговаря на критериите за качество, посочени във файла %systemroot%\system32\etcpass.ini.
    Този файл, съдържащ критериите за качество на ПИН кода, се редактира с помощта на помощната програма eToken Properties.

    Права за достъп до eToken

    В зависимост от модела на eToken и опциите, избрани по време на форматирането, има четири вида права за достъп до eToken:

    • гост– възможност за разглеждане на обекти в отворена област на паметта; възможност за получаване на обща информация относно eToken от областта на системната памет, включително името на eToken, идентификатори и някои други параметри. При достъп като гост не е необходимо да знаете ПИН кода;
    • персонализиран– право на преглед, промяна и изтриване на обекти в затворени, отворени и свободни области на паметта; възможността за получаване на обща информация относно eToken; право на промяна на ПИН кода и преименуване на eToken; право за конфигуриране на настройки за кеширане на съдържанието на личната област на паметта и допълнителна защита на частните ключове с парола (при липса на администраторска парола или с разрешение на администратора), право за преглед и изтриване на сертификати в eToken контейнери за съхранение и RSA ключове;
    • административен– право на промяна на ПИН кода на потребителя, без да го знае; право на промяна на администраторската парола; правото да конфигурирате настройките за кеширане на съдържанието на частна област от паметта и допълнителна защита на частните ключове с парола, както и възможност тези настройки да бъдат достъпни в потребителски режим;
    • инициализация– правото да форматирате eToken PRO.

    Само първите два вида права се прилагат за eToken R2, всичките четири за eToken PRO и eToken NG-OTP.
    Администраторски достъп до eToken PRO може да бъде направен само след въвеждане на правилната администраторска парола. Ако администраторската парола не е зададена по време на процеса на форматиране, тогава не можете да кандидатствате с администраторски права.

    Софтуер за eToken

    Главна информация

    eToken Run Time Environment 3.65
    eToken Run Time Environment (eToken RTE) е набор от драйвери за eToken. Този софтуерен пакет включва помощната програма eToken Properties.
    С тази помощна програма можете:

    • конфигуриране на параметрите на eToken и неговите драйвери;
    • преглед на обща информация относно eToken;
    • импортиране, преглеждане и изтриване на сертификати (с изключение на сертификати от магазина на eTokenEx) и контейнери за RSA ключове;
    • формат eToken PRO и eToken NG-OTP;
    • конфигуриране на критерии за качество на ПИН кода.

    За инсталиране на този софтуер са необходими права на локален администратор. Трябва да се помни, че преди да инсталирате eToken RTE, не можете да свържете eToken ключа.
    Софтуерът трябва да бъде инсталиран в следния ред:

    • eToken RTE 3.65;
    • eToken RTE 3.65 RUI (русификация на интерфейса);
    • eToken RTX.

    Инсталиране и премахване на локалния компютър eToken RTE 3.65

    Инсталация


    Фигура 2 eToken Run Time Environment 3.65 Настройка

    В прозореца (фиг. 3) трябва да прочетете лицензионното споразумение и да се съгласите с него.


    Фигура 3 Лицензионно споразумение с краен потребител

    Ако не сте съгласни с условията на лицензионното споразумение, щракнете върху бутона "Отказ" и по този начин прекъснете инсталационния процес.
    Ако сте съгласни с лицензионното споразумение, изберете „Приемам лицензионното споразумение“ и щракнете върху бутона „Напред“. На екрана ще видите следния прозорец (фиг. 4):


    Фигура 4 Готово за инсталиране на приложението

    Инсталацията ще отнеме известно време.
    В края на инсталационния процес (фиг. 5) щракнете върху бутона "Край".


    Фигура 5 eToken Run Time Environment 3.65 е инсталиран успешно
    Може да се наложи да рестартирате компютъра си в края на инсталацията.

    eToken RTE 3,65 RUI

    Инсталация
    За да инсталирате eToken RTE 3.65 RUI, трябва да стартирате инсталатора.


    Фигура 6 Инсталиране на eToken 3.65 RUI
    В прозореца, който се показва (фиг. 6), щракнете върху бутона "Напред".


    Фигура 7 Завършване на инсталирането на руския потребителски интерфейс

    Използване на командния ред

    Можете да използвате командния ред, за да инсталирате и деинсталирате eToken RTE 3.65, eToken RTE 3.65 RUI и eToken RTX.
    Примери за команди:

    • msiexec /qn /i
    • msiexec /qb /i
    • /q– инсталиране на eToken RTE 3.65 (eToken RTE 3.65 RUI, eToken RTX) в автоматичен режим без диалогови прозорци с параметри по подразбиране;
    • /qb– инсталиране на eToken RTE 3.65 (eToken RTE 3.65 RUI, eToken RTX) в автоматичен режим с параметри по подразбиране и показване на инсталационния процес на екрана;
    • msiexec /qn /x– премахване на eToken RTE 3.65 (eToken RTE 3.65 RUI, eToken RTX) в автоматичен режим без диалогови прозорци;
    • msiexec /qb /x– премахване на eToken RTE 3.65 (eToken RTE 3.65 RUI, eToken RTX) в автоматичен режим с показване на процеса на премахване на екрана.

    Свързване на USB ключа eToken към вашия компютър за първи път

    Ако имате инсталиран eToken RTE 3.65 на вашия компютър, свържете eToken към USB порт или удължителен кабел. След това ще започне процесът на обработка на ново оборудване, което може да отнеме известно време. Когато процесът на обработка на ново оборудване приключи, светлинният индикатор на eToken ще светне.

    Помощна програма eToken Properties


    Фигура 8 Прозорец на програмата „Свойства на eToken“

    Помощната програма eToken Properties ви позволява да извършвате основни операции по управление на токени, като промяна на пароли, преглед на информация и сертификати, намиращи се в паметта на eToken. В допълнение, като използвате помощната програма eToken Properties, можете бързо и лесно да прехвърляте сертификати между вашия компютър и eToken, както и да импортирате ключове в паметта на eToken.
    Бутонът „Отблокиране“ е необходим, ако потребителят е забравил своя ПИН код и не може да дойде при администратора на eToken (например, потребителят е в командировка). Свързвайки се с администратора по електронната поща, потребителят ще може да получи шестнадесетична заявка за този eToken от администратора, генерирана на базата на данните, съхранени в базата данни на TMS, чрез въвеждане на която в полето "отговор" потребителят ще има достъп за промяна на ПИН кода.


    Фигура 9 Раздел Компютър

    Промяната на ПИН-кода се извършва съгласно фиг. десет:


    Фигура 10 Промяна на PIN
    При смяна на ПИН кода е необходимо новият ПИН код да отговаря на изискванията за качество на въведената парола. Качеството на паролата се проверява според въведените критерии.
    За да проверите дали паролата отговаря на избраните критерии, въведете паролата в реда. Под този ред се извежда информация за причините въведената парола да не отговаря на избраните критерии в процентно изражение, а качеството на въведената парола се извежда условно графично и в проценти според избраните критерии.

    Списък с критерии

    Таблицата изброява критериите за качество на PIN кода и техните конфигурируеми стойности. Като критерий може да се използва отрицателна стойност, изразена като процент. Тази стойност се нарича неустойка.

    Критерий

    Описание

    Възможни стойности

    Стойност по подразбиране

    ПИН кодът съдържа поредица от знаци в азбучен ред

    дължина на последователността от символи за критерия ABCOrder

    новата парола е равна на текущата

    речникова парола

    новата парола е равна на една от предишните

    DefaultPassChange

    промяна на паролата по подразбиране

    Няма (не се изисква промяна на паролата);
    Предупреждение (показва се предупредително съобщение);
    Налагане (паролата по подразбиране не е налична)

    речников файл

    абсолютен път към файла с речника

    не е зададено

    парола само цифри

    с два еднакви знака

    период на валидност преди появата на предупреждението за промяна (в дни)

    максимална валидност в дни

    0
    (не е инсталирано)

    KeyboardProximity

    с няколко знака в същия ред като на клавиатурата

    KeyboardProximityBase

    дължина на последователността от знаци за критерия KeyboardProximity

    паролата е като парола от речник

    минимален срок на годност в дни

    0
    (не е инсталирано)

    минимална дължина в символи

    минимално съпротивление в проценти

    липса на числа

    липса на малки букви

    използването на букви от руската азбука, непечатаеми и някои служебни знаци

    липса на препинателни знаци и специални знаци

    липса на главни букви

    PhonesAndSerialNumbers

    използване на телефонни номера в паролата, серийни номераи т.н.

    наличието на повтарящи се знаци

    броя на използваните преди това пароли, съхранени в паметта на eToken за проверка по критерия CheckOld-Passes

    дължината на паролата е по-малка от WarningLength

    ако дължината на паролата е по-малка от WarningLength, се появява предупреждение при проверка на качеството на паролата

    паролата съдържа интервали

    Речник

    За да зададете списък с невалидни или нежелани пароли, създайте текстов файл. Или можете да използвате така наречените честотни речници, които се използват за отгатване на пароли. Файлове с такива речници могат да бъдат намерени на уебсайта www.passwords.ru.
    Пример за такъв речник:
    Анна
    Анет
    законопроект
    парола
    Уилям
    Задайте на критерия "Речник" пътя до създадения файл. В този случай пътят до речниковия файл на всеки компютър трябва да съответства на стойността на критерия "Речник".

    Влезте в Windows с eToken

    Главна информация

    eToken SecurLogon съчетава ефективна мрежова сигурност с удобство и мобилност. Windows удостоверяването използва потребителското име и паролата, съхранени в паметта на eToken. Това прави възможно прилагането на силно удостоверяване на базата на токени.
    В същото време бих искал да добавя, че в големите компании, използващи структура на домейн, е необходимо да се мисли за внедряването на PKI и централизираното използване на SmartCardLogon.
    Когато използвате eToken SecurLogon, може да се използват неизвестни случайни сложни пароли. Освен това можете да използвате сертификатите, съхранени в паметта на eToken, за записване на смарт карта, което повишава сигурността при влизане в Windows.
    Това е възможно, защото Windows 2000/XP позволява различни механизми за достъп, които заместват метода за удостоверяване по подразбиране. Механизмите за идентификация и удостоверяване за услугата за влизане в Windows (winlogon), която осигурява интерактивно влизане, са вградени в заменяема библиотека с динамични връзки (DLL), наречена GINA (графична идентификация и удостоверяване, работен плот за удостоверяване). Когато системата се нуждае от различен метод за удостоверяване, който би заменил механизма потребителско име/парола (използван по подразбиране), стандартният msgina.dll се заменя нова библиотека.
    Инсталирането на eToken SecurLogon замества настолната библиотека за удостоверяване и създава нови настройки на регистъра. GINA отговаря за политиката за интерактивна връзка и извършва идентификация и диалог с потребителя. Замяната на Desktop Authentication Library прави eToken основния механизъм за удостоверяване, който разширява стандартното удостоверяване на Windows 2000/XP въз основа на потребителско име и парола.
    Потребителите могат да записват в паметта на eToken информацията, необходима за влизане в Windows (профили), ако това е разрешено от политиката за сигурност на предприятието.
    Профилите могат да бъдат създадени с помощта на съветника за създаване на профили за влизане в Windows eToken.

    Приготвяме се да започнем

    eToken SecurLogon удостоверява потребител на Windows 2000/XP/2003 с eToken, използвайки сертификата на смарт картата на потребителя или потребителско име и парола, съхранени в паметта на eToken. eToken RTE включва всичко необходими файловеи драйвери, които осигуряват поддръжка за eToken в eToken Windows Logon.

    Минимални изисквания

    Условия за инсталиране на eToken Windows Logon:

    • eToken Runtime Environment (версия 3.65 или 3.65) трябва да бъде инсталиран на всички работни станции;
    • eToken SecurLogon е инсталиран на компютър, работещ под Windows 2000 (SP4), Windows XP (SP2) или Windows 2003 (SP1). eToken SecurLogon поддържа класическия диалогов прозорец за добре дошли на Windows (но не и новия екран за добре дошли на Windows XP) и не поддържа режим за бърза смяна на потребителяв Windows XP.

    Поддържани токени

    eToken SecurLogon поддържа следните eToken устройства:

    • eToken PRO е USB донгъл, който позволява двуфакторно удостоверяване. Предлага се във версии 32K и 64K;
    • eToken NG-OTP е хибрид на USB ключ и устройство, което генерира еднократни пароли. Предлага се във версии 32K и 64K;
    • Смарт картата eToken PRO е устройство, което изпълнява същите функции като USB ключ, но има формата на обикновена кредитна карта. Предлага се във версии 32K и 64K.

    eToken Runtime Environment (RTE)

    eToken Runtime Environment (RTE) съдържа всички файлове и драйвери, които осигуряват поддръжка за eToken в eToken Windows Logon. Този комплект включва също помощна програма за свойства на eToken, която позволява на потребителя лесно да управлява ПИН кода и името на eToken.
    Всички нови eToken имат един и същ PIN, зададен по подразбиране по време на производството. Този ПИН е 1234567890. За да се осигури силно, двуфакторно удостоверяване и пълна функционалност, е задължително потребителят да замени ПИН по подразбиране със свой собствен ПИН веднага след получаване на нов eToken.
    Важно:ПИН кодът не трябва да се бърка с паролата на потребителя Windows .

    Инсталация

    За да инсталиратеeTokenWindowsВписвам се:

    • влезте като потребител с администраторски права;
    • щракнете два пъти върху SecurLogon - 2.0.0.55.msi;
    • Ще се появи прозорецът на съветника за инсталиране на eToken SecurLogon (фиг. 11);
    • щракнете върху " следващия",Ще се появи лицензионно споразумение за eToken Enterprise;
    • прочетете споразумението, щракнете върху " азприемам"(Приемам), а след това бутона " следващия";
    • рестартирайте в края на инсталацията.


    Фигура 11 Инсталиране на SecurLogon


    Инсталация с помощта на командна линия:
    eToken SecurLogon може да се инсталира с помощта на командния ред:
    msiexec /Опция [по избор]
    Опции за инсталиране:

    Съобщение за продукта:

        • "m" – всички потребители;
        • "u" – текущ потребител;
    • – Отменете инсталирането на продукта.

    Опции на дисплея:

    • /quiet - тих режим, без взаимодействие с потребителя;
    • /пасивен - автоматичен режим - само прогрес бар;
    • /q – избор на ниво на потребителския интерфейс;
        • n - няма интерфейс;
        • b – основен интерфейс;
        • r – съкратен интерфейс;
        • е- пълен интерфейс(по подразбиране);
    • /help - помощ за използване на дисплея.

    Опции за рестартиране

    • /norestart - не рестартирайте след приключване на инсталацията;
    • /promptrestart - подкана за преинсталиране, ако е необходимо;
    • /forcerestart - винаги рестартирайте компютъра след приключване на инсталацията.

    Опции за регистриране
    / l ;

    • i – съобщения за статус;
    • w - съобщения за възстановими грешки;
    • e - всички съобщения за грешка;
    • а – изстрелвания на действие;
    • r - записи, специфични за действието;
    • u – потребителски заявки;
    • c – първоначалните параметри на потребителския интерфейс;
    • m - информация за излизане поради липса на памет или фатална грешка;
    • o – съобщения за недостатъчно дисково пространство;
    • p – терминални свойства;
    • v- подробен изход;
    • x – допълнителна информация за отстраняване на грешки;
    • + - добавяне към съществуващ лог файл;
    • ! - изхвърляне на всеки ред в дневника;
    • * - записва цялата информация с изключение на опциите "v" и "x" /log е еквивалентен на /l* .

    Опции за актуализиране:

    • /update [;Update2.msp] – прилагане на актуализации;
    • /uninstall [;Update2.msp] /package - Деинсталиране на актуализации на продукта.

    Опции за възстановяване:
    /f
    Възстановяване на продукта:

      • p - само ако няма файл;
      • o - ако файлът липсва или е инсталирана стара версия (по подразбиране);
      • e - ако файлът липсва или е инсталирана същата или по-стара версия;
      • d - ако файлът липсва или е инсталирана друга версия;;
      • c - ако файлът липсва или чекова сумане съответства на изчислената стойност;
      • a – кара всички файлове да бъдат преинсталирани;
      • u – всички необходими специфични за потребителя записи в регистъра (по подразбиране);
      • m - всички необходими записи в системния регистър, специфични за компютъра (по подразбиране);
      • s - всички съществуващи преки пътища (по подразбиране);
      • v - стартиране от източника с повторно кеширане на локални пакети;

    Задаване на общи свойства:
    Обърнете се към Ръководството за разработчици на Windows(R) Installer за Допълнителна информацияс помощта на командния ред.

    Автоматично генериране на парола.

    Когато записвате потребителски профил в паметта на eToken, паролата може да бъде генерирана автоматично или въведена ръчно. При автоматично генериране се генерира произволна парола с дължина до 128 знака. В този случай потребителят няма да знае паролата си и няма да може да влезе в мрежата без ключа eToken. Изискването за използване само на автоматично генерирани пароли може да бъде конфигурирано като задължително.

    Използване на eToken SecurLogon

    eToken SecurLogon позволява на потребителите да влизат в Windows 2000/XP/2003 с помощта на eToken със съхранена парола.

    Регистрация в Windows

    Можете да влезете в Windows с помощта на eToken или като въведете потребителско име и парола за Windows.

    За да се регистрирате в Windows с помощта на eToken:

    1. Рестартирайте компютъра си;
    2. Ще се появи приветствено съобщение на Windows;
    3. Ако eToken вече е свързан, щракнете върху хипервръзката Влизане с помощта на eToken. Ако eToken не е свързан, свържете го към USB порта или кабела. Всеки метод за влизане ще покаже прозореца „Влизане в Windows“;
    4. Изберете потребител и въведете ПИН кода на eToken;
    5. Кликнете върху бутона "OK". Отворили сте потребителска сесия, използвайки идентификационни данни, съхранени в паметта на eToken.
    6. Ако използвате eToken с потребителски сертификат за смарт карта, трябва само да въведете ПИН кода на eToken, за да се свържете с компютъра.

    Регистрация вWindows безeToken:

    1. рестартирайте компютъра си, натиснете клавишната комбинация CTRL + ALT + DEL, ще се появи прозорецът "Влезте в Windows / Влезте в Windows";
    2. щракнете върху бутона "ОК" - влезли сте с вашето потребителско име и парола.

    промяна на паролата

    Можете да промените паролата си за Windows, след като влезете с eToken.
    За да промените паролата си след влизане с eToken:

    1. влезте с eToken;
    2. щракнете върху " CTRL+ALT+DEL"ще се появи прозорец" БезопасностWindows/ Windowsсигурност";
    3. Щракнете върху " промяна на паролата/ промянаПарола", ако текущата парола е създадена ръчно, ще се появи прозорец " промяна на паролата/ промянаПарола", но ако текущата парола е генерирана на случаен принцип, преминете към стъпка 5;
    4. Въведете нова парола в полетата " нова парола/ НовПарола"и " Потвърждение/ ПотвърдетеНовПарола"и натиснете бутона" Добре";
    5. Ако текущата парола е генерирана на случаен принцип, тогава автоматично ще се генерира нова парола;
    6. в диалоговия прозорец, който се появява, въведете ПИН кода на eToken и щракнете върху „ Добре"
    7. ще се появи поле за съобщение за потвърждение.

    Сигурност на потребителската сесия

    Можете да използвате eToken, за да защитите работната си сесия.

    Заключване на вашата работна станция

    Можете да защитите компютъра си, без да излизате, като го заключите. Когато eToken бъде изключен от USB порта или кабела (след успешна регистрация), операционната система автоматично ще заключи вашия компютър.

    За да отключите компютъра си:

    Когато компютърът ви е заключен, " Заключване на компютъра компютърЗаключено". Свържете eToken към USB порта или кабела. В прозореца, който се показва, въведете ПИН кода в " eTokenПарола"и натиснете бутона" Добре„Компютърът е отключен.
    Забележка:в случай на натискане на " CTRL+ALT+DEL"и въвеждане на парола, компютърът ще бъде отключен без използване на eToken.

    Ръчно премахване

    В редките случаи, когато трябва да премахнете eToken SecurLogon ръчно, направете следните стъпки:

    • рестартирайте компютъра си и стартирайте безопасен режим;
    • регистрирайте се като потребител с администраторски права;
    • с помощта на редактора на системния регистър отворете секцията HKEY_МЕСТЕН_MAОТHINE\СОФТУЕР\Microsoft\WindowsNT\Текущверсия\Winlogonи премахнете " GinaDLL";
    • рестартирайте компютъра си, следващия път, когато влезете в Windows, ще се появи прозорец Microsoft Windowsвписвам се.

    Отстраняване на общи проблеми

    Може да се наложи да предприемете следните стъпки за отстраняване на често срещани проблеми:

    проблем

    Решение

    Свързахте eToken по време на процеса на регистрация (когато " Операционна системаWindows/ Добре дошлида сеWindows") или когато компютърът е заключен (" Заключване на компютъра/ компютърЗаключено"). Прозорецът eToken SecurLogon не се появява.

    1. Изключете всички свързани смарт карти (не само eToken) от компютъра и свържете отново eToken.
    2. eToken може да не бъде разпознат от системата след инсталиране на eToken RTE. В този случай опитайте да се регистрирате ръчно, като щракнете върху " CTRL+ALT+DEL". Свържете вашия eToken и изчакайте светлинният индикатор да светне.

    Свързахте eToken веднага след събуждане на компютъра от режим на заспиване или готовност. Прозорецът на eToken SecurLogon не се появява .

    1. Изчакайте, докато индикаторът светне. Прозореца " Отключете компютъра си/ Отключикомпютър".
    2. Предприемете действията, описани по-горе.

    Прекъснали сте връзката с eToken, след като сте събудили компютъра от хибернация или режим на готовност и компютърът не се заключва веднага.

    Изчакайте не повече от 30 секунди, докато компютърът се заключи.

    В Windows 2000 излизането или изключването на компютъра отнема много време.

    Инсталирайте най-новия сервизен пакет.

    Свързали сте четец на смарт карти или eToken след включване на компютъра и устройството не се разпознава.

    Рестартирайте компютъра, след като свържете четеца.
    Публикувано на 3 февруари 2009 г. от Няма коментари

    Ако искате да прочетете следващата част от тази поредица от статии, моля, щракнете тук.

    Досега паролите често са били предпочитаният/задължителен механизъм за удостоверяване за получаване на достъп до несигурни системи и данни. Но нарастващите изисквания за по-голяма сигурност и удобство, без ненужна сложност, стимулират развитието на технологиите за удостоверяване. В тази поредица от статии ще разгледаме различните технологии за многофакторно удостоверяване, които могат да се използват в Windows. В първата част ще започнем, като разгледаме базираното на чип удостоверяване.

    Когато паролата просто не работи

    През 1956 г. Джордж А. Милър написа отлична статия, озаглавена „Магическото число седем, плюс или минус две: някои ограничения на нашия капацитет за обработка на информация“. Тази статия говори за ограниченията, които ние, като хора, изпитваме, когато искаме да запомним определена информация. Едно от заключенията в тази работа е, че средностатистическият човек е в състояние да запомни седем (7) части информация наведнъж, плюс/минус две (2). По-късно други учени се опитаха да докажат това обикновен човеке в състояние да запомни само пет (5) части информация наведнъж, плюс/минус две (2) отново. Както и да е, ако тази теория се счита за правилна, тогава тя противоречи на съветите за дължината и сложността на паролите, които могат да бъдат прочетени в различни източници или които могат да се чуят от различни хорас повишена чувствителност на сигурността.

    Често се казва, че сложността е една от най-големите заплахи за сигурността. Една област, в която можете да видите този модел, е когато от потребителите и администраторите се изисква да прилагат правила за сложни пароли. Креативността и различните заобикалящи решения, които понякога виждам, че потребителите и администраторите имат проблеми със запомнянето на паролите си, никога не спират да ме учудват. Но в същото време този проблем почти винаги е в първите пет в таблицата за помощ. И сега, след като Gartner и Forrester са изчислили, че всяко обаждане за загубена парола до бюрото за помощ струва около $10 USD, е лесно да се анализира рентабилността на текущата политика за пароли на дадена организация.

    Паролите, като единствен механизъм за удостоверяване, са добри, стига паролата да е дълга повече от 15 знака и да включва поне един неанглийски знак. Фразите за достъп са примери за дълги пароли, които потребителите по-лесно запомнят. Това ще гарантира, че повечето Rainbow атаки, включително 8-битови атаки, ще се провалят точно поради допълнителната сложност, която предоставят "чуждите" знаци.

    Бележката:От дните на Windows 2000 паролата може да бъде с дължина до 127 знака.

    Въпреки това, причината паролите да не са ефективни като единствен механизъм за удостоверяване е, че потребителите са лоши в отгатването и запомнянето на добри, силни пароли. Освен това паролите често не са добре защитени. За щастие има решения за сигурност, които повишават сигурността и удобството чрез използване на кратки, лесни за запомняне пароли.

    Чип базирано удостоверяване

    Едно такова решение за сигурност е базираното на чип удостоверяване, често наричано двуфакторно удостоверяване. Двуфакторното удостоверяване използва комбинация от следните елементи:

    1. Нещо, което имате, като смарт карта или USB флаш устройство.
    2. Нещо, което знаете, като персонален идентификационен номер (ПИН). ПИН кодът дава на потребителя достъп до цифровия сертификат, съхранен на смарт картата.

    Фигура 1 показва две различни решения, които по същество са представители на една и съща технология. Честно казано, основната разлика е в цената и формата, въпреки че всяко решение може да съдържа допълнителни опции, както ще видим скоро.

    Пример за смарт карта, която се използва за дистанционно удостоверяване, Windows удостоверяване,

    физически достъп и плащане Пример за USB флаш устройство с удостоверяване на базата на чип и флаш памет за съхраняване на информация. Фигура 1: Два примера за устройства с удостоверяване на базата на чип

    Смарт картите, подобно на USB флаш устройствата, имат вграден чип. Чипът е 32-битов микропроцесор и обикновено съдържа 32KB или 64kb (EEPROM - Електрически изтриваема програмируема памет само за четене) (RAM - RAM) чип с памет, вграден в смарт карта или USB флаш устройство. Днес има смарт карти и USB памети, съдържащи до 256KB оперативна паметза сигурно съхранение на данни.

    Бележката:Когато говорим за съхранение в тази статия, говорим за съхранение на вграден защитен чип, а не на самото устройство.

    Този чип има малка операционна система и малко памет за съхранение на сертификатите, използвани за удостоверяване. Тази ОС на чипа е различна за всеки производител, така че трябва да използвате услугата CSP (Cryptographic Service Provider) в Windows, която поддържа ОС на чипа. Ще разгледаме услугата CSP в следващата статия. Базираното на чип решение има определени предимства пред други многофакторни решения за удостоверяване, тъй като може да се използва за съхраняване на сертификати за удостоверяване, идентификация и подпис. Както вече споменахме, всичко е защитено с ПИН код, който дава на потребителя достъп до данните, съхранявани на чипа. Тъй като организациите често поддържат и пускат свои собствени смарт карти и флаш устройства, те също могат да определят коя политика ще бъде свързана с това решение. Например дали картата ще бъде блокирана или данните от нея ще бъдат изтрити след това хброй неуспешни опити. Тъй като тези политики могат да се използват заедно с ПИН, ПИН може да бъде много по-кратък и по-лесен за запомняне, без риск за сигурността. Всички тези параметри се съхраняват на смарт картата от момента на нейното издаване. Решението, базирано на чип, също е имунизирано срещу външни манипулации, така че без необходимия ПИН код информацията (сертификати и лична информация), съхранена на чипа, не може да бъде достъпна и следователно не може да се използва за никакви цели.

    Смарт карти или USB флашки?

    Както казахме, една от разликите между смарт карти и USB флаш устройства е форм-факторът. И двете решения отговарят на общото предизвикателство на двуфакторната автентификация, но всяко решение има своите плюсове и минуси. Смарт картата може да се използва за идентификация по снимка, тъй като можете да отпечатате вашата снимка и име върху нея. USB флаш устройство може да включва флаш памет за съхраняване на документи и файлове. И двете устройства могат да се използват за контрол на физическия достъп по един или друг начин. Смарт картата може да включва чип, магнитна лента, баркодове и безконтактни възможности, докато флаш устройството може да има добавена безконтактна възможност или биометрична поддръжка.

    Бележката:Има други форм-фактори, като например мобилни телефони, при които SIM картата (Модул за идентификация на абоната) може да служи за същата цел като смарт карта или USB флаш устройство.

    Смарт картата изисква четец на смарт карти, докато USB флаш устройство може да се използва със съществуващо такова на компютър. USB порти го използвайте за емулиране на четец на смарт карти. Четците на смарт карти днес трябва или да използват интерфейси като PC Card, ExpressCard, USB, или да бъдат вградени, някои производители на лаптопи и клавиатури са създали такива четци на карти на своите модели. Четците на смарт карти се считат за стандартни Windows устройства, независимо от операционната система на чипа, и имат дескриптор за сигурност и PnP идентификатор. Както четците на карти, така и USB флаш устройствата изискват драйвер Windows устройствапреди да могат да бъдат използвани, така че се уверете, че използвате най-новите драйвери от съображения за производителност по време на двуфакторно удостоверяване.

    Първоначалната цена на всяко устройство може да има думата при избора на решение, но трябва да се вземат предвид и други разлики, като например психологическият фактор, свързан с такива решения за удостоверяване. Смарт карта и кредитна карта са почти едно и също, много кредитни карти днес също имат вградени чипове. Много компании днес използват смарт карти както за физически достъп, така и за плащане на храна и други подобни. Това означава, че картата е удобна и също така има парична стойност и следователно хората са принудени да пазят такава карта и да не забравят да я носят винаги със себе си. Освен това пасва идеално в портфейл, което също може да има допълнителен защитен ефект, в зависимост от това как го гледате.

    Някои въпроси за разглеждане

    При избора на решение за удостоверяване, базирано на чип, има някои въпроси и съображения, които трябва да бъдат взети под внимание.

    1. Съвместимост» Уверете се, че операционната система на чипа е съвместима с CSP, който възнамерявате да използвате. Както ще научите в следващата статия, CSP е междинният софтуер между операционната система на чипа и Windows и също така отговаря за политиката за сигурност, прилагана към чипа.
    2. контрол» Ако трябва да използвате смарт карта или флаш устройство за използване от голям брой хора, уверете се, че сте избрали операционна система на чип, която е съвместима със системата за управление на карти (CMS) по ваш избор.
    3. Разширяемост» Уверете се, че операционната система на чипа може да се използва от всички необходими приложения и нужди за удостоверяване, които изисквате. В бъдеще може да имате нужда от допълнителни сертификати на смарт карта или флаш устройство, като имейл подписи или дори биометрични данни. Вижте картата за общ достъп на DoD (CAC) за технически подробности, която се използва за съхраняване на големи количества потребителска информация (вижте връзката по-долу). Просто се уверете, че вземате предвид проблемите с поверителността, когато използвате информация като биометрични данни. Ще разгледаме този проблем по-късно в тази поредица от статии.
    4. Лекота на използване» Уверете се, че сте избрали базирано на чип решение, което е лесно за потребителя и практично. Основен проблем с решенията за многофакторно удостоверяване е, че потребителите са склонни да забравят или загубят своите смарт карти или флаш устройства или да забравят своя ПИН, ако устройството не се използва често.

    Заключение

    В следващата статия ще разгледаме процеса Подготовка на прозорциза поддръжка на устройства за многофакторно удостоверяване, както и някои съвети за подготовка и използване на вашите смарт карти и флаш устройства в Windows XP и Windows сървър 2003 обграден.

    Източник www.windowsecurity.com


    Вижте също:

    Коментари на читателите (без коментари)

    Да, аз съм мъж! =)

    Exchange 2007

    Ако искате да прочетете предишни части от тази поредица от статии, моля, следвайте връзките: Наблюдение на Exchange 2007 със System Manager ...

    Въведение В тази статия от няколко части искам да ви покажа процеса, който наскоро използвах за мигриране от съществуваща среда на Exchange 2003...

    Ако сте пропуснали първата част от тази поредица, моля, прочетете връзката Използване на инструмента за анализатор на отдалечена свързаност на Exchange Server (част...

    Проблеми със сигурността информационна сигурносттрябва да се разглежда систематично и изчерпателно. Важна роля за това играят надеждните механизми за защитен достъп,включително удостоверяване на потребителяи защита на предаваните данни.

    Информационната сигурност е невъзможна без удостоверяване и проникване в корпоративна среда мобилни устройстваи облачните технологии не могат да не повлияят на принципите на информационната сигурност. Удостоверяване - процедурата за потвърждаване на самоличността на субекта в информационната система чрез някакъв идентификатор (виж Фигура 1). Надеждната и адекватна система за удостоверяване на потребителите е основен компонент на корпоративната система за информационна сигурност. Разбира се, различните комуникационни канали могат и трябва да използват различни механизми за удостоверяване, всеки от които има своите предимства и недостатъци, различава се в надеждността и цената на решенията, лекотата на използване и администриране. Ето защо при избора им е необходимо да се анализират рисковете и да се оцени икономическата целесъобразност на изпълнението.

    Използва се за удостоверяване на потребителите различни технологии- от пароли, смарт карти, токени до биометрични данни (вижте страничната лента „Методи за биометрично удостоверяване“) въз основа на такива лични свойства на човек като пръстов отпечатък, структура на ретината и т.н. Силните системи за удостоверяване проверяват два или повече фактора.

    Биометрични методи за удостоверяване

    Системите за двуфакторна автентификация се използват в области като електронна търговия, включително интернет банкиране, и автентификация с отдалечен достъп от ненадеждно работно място. Биометричните методи осигуряват по-силно удостоверяване. Такива системи реализират достъп чрез пръстов отпечатък, лицева геометрия, отпечатък или модел на вена на дланта, структура на ретината, модел на ириса и глас и др. Биометричните методи непрекъснато се усъвършенстват – намалява се цената на подходящи решения и се повишава тяхната надеждност. Най-популярните и надеждни технологии са биометричното удостоверяване чрез пръстов отпечатък и ирис. Системите за сканиране на пръстови отпечатъци и разпознаване на геометрията на лицето се използват дори в потребителски устройства - смартфони и лаптопи.

    Удостоверяването с биометрични данни ви позволява да повишите нивото на сигурност за критични важни операции. Предоставянето на достъп на лице, което няма право на това, е почти невъзможно, но погрешно отказаният достъп е доста често срещано явление. За да се избегнат подобни недоразумения Възможно е да се използват многофакторни системи за удостоверяване, когато човек се идентифицира, например, както чрез пръстов отпечатък, така и чрез геометрията на лицето. Общата степен на надеждност на системата нараства пропорционално на броя на използваните фактори.

    Освен това, когато използвате биометрични данни за достъп до ключове и сертификати на смарт карта, работата с последната и процесът на удостоверяване са опростени: вместо да въвеждате сложна парола, просто докоснете скенера с пръст.

    Най-добрата практика се счита за двустранно силно удостоверяване, базирано на технологията за електронен цифров подпис (EDS). Когато е невъзможно или непрактично да се използва тази технология, се препоръчва да се използват еднократни пароли, а с минимално ниво на риск - повторно използваните.

    „Без автентификация е невъзможно да се говори за сигурност в една информационна система“, обяснява Алексей Александров, ръководител Технологични партньори в Aladdin R.D. - Има различни начини за това - например чрез използване на многократни или еднократни пароли. Въпреки това многофакторното удостоверяване е по-надеждно, когато сигурността се основава не само на познаването на определена тайна (парола), но и на притежаването на специално устройство и едно или повече биометрични характеристикипотребител. Паролата може да бъде открадната или позната, но без устройство за удостоверяване - USB токен, смарт карта или SIM карта - нападателят няма да може да получи достъп до системата. Използването на устройства, които се поддържат не само на работни станции, но и на мобилни платформи, ви позволява да прилагате многофакторно удостоверяване на собствениците на мобилни телефони или таблети. Това важи и за модела Bring Your Own Device (BYOD).“

    „Днес виждаме нарастване на интереса към токените - генератори на еднократни пароли (One Time Password, OTP) различни производители. Въвеждането на подобни системи вече се превърна в де факто стандарт за интернет банкиране и е все по-търсено при организиране отдалечен достъпот мобилни устройства, - казва Юрий Сергеев, ръководител на групата за проектиране на центъра за информационна сигурност на компанията Jet Infosystems. - Удобни и лесни за използване, което позволява да се използват навсякъде. Специалистите проявяват интерес към технологии, които не изискват инсталиране и управление на „допълнителен“ софтуер от страна на клиента. Решение като CryptoPro DSS се интегрира с различни уеб услуги, не се нуждае от клиентска страна и поддържа руски крипто алгоритми.“

    Този софтуерно-хардуерен комплекс е предназначен за централизирано сигурно съхранение на потребителски лични ключове, както и за дистанционно изпълнение на операции за създаване електронен подпис. Поддържа различни методи за удостоверяване: еднофакторно - чрез логин и парола; двуфакторни - чрез цифрови сертификати и USB токени или смарт карти; двуфакторна - с допълнително въвеждане на еднократна парола, изпратена чрез SMS.

    Една от ключовите тенденции в областта на информационната сигурност е свързана с нарастването на броя на мобилните устройства, които офис или дистанционните служители използват за работа с поверителна информация. корпоративна информация: електронна поща, хранилища за документи, различни бизнес приложения и др. В същото време, както в Русия, така и в чужбина, моделът BYOD става все по-популярен, когато е разрешено да се използват лични устройства на работа. Противодействието на заплахите, възникващи в същото време - един от най-актуалните и трудни проблеми на киберсигурността, който трябва да бъде решен през следващите пет-седем години, подчертават в компанията Avanpost.

    Разбиране от участниците на пазара на необходимостта от въвеждане на надеждни системи за удостоверяване и цифров подпис (EDS), промяна на законодателството в областта на защитата на личните данни, приемане на изисквания за сертифициране (FSB и FSTEC на Русия), изпълнение на проекти като "Електронно правителство" и " Портал за публични услуги“, развитието на дистанционното банкиране и интернет банкирането, търсенето на възможности за определяне на отговорност в киберпространството – всичко това допринася за повишен интерес към софтуерни и хардуерни решения, които съчетават лекота на използване и повишена сигурност.

    ЦИФРОВ ПОДПИС

    Фигура 2.Устройството за автентикация може да бъде направено в различни форм-фактори: USB токен, смарт карта, удобно за използване на мобилни устройства microSD карта(Защитен MicroSD токен) и дори SIM карта, поддържана от почти всички мобилни телефонии смартфони. Тя може да бъде надарена и с допълнителна функционалност - например смарт картата може да служи като банкова разплащателна карта, електронен пропуск до помещенията, средство за биометрична идентификация.

    Приложени към смарт карти и токени (вижте Фигура 2), технологиите за удостоверяване на подателя стават все по-зрели, практични и удобни. Например, те могат да се използват като механизъм за удостоверяване на уеб ресурси, електронни услуги и приложения за плащане с цифров подпис. Цифровият подпис свързва определен потребител с частен асиметричен ключ за криптиране. Прикачен към електронно съобщение, той позволява на получателя да провери дали подателят е този, за когото се представя. Формите за криптиране могат да бъдат различни.

    Частният ключ, който има само един собственик, се използва за цифрово подписване и криптиране на предаване на данни. Самото съобщение може да бъде прочетено от всеки с публичния ключ. Електронен цифров подпис може да бъде генериран от USB токен, хардуерно устройство, което генерира чифт ключове. Понякога се комбинират различни методи за удостоверяване - например смарт картата се допълва с токен с криптографски ключ и за достъп до последното предупреждение Преглежда се въвеждането на ПИН код (двуфакторна автентификация). При използване на токени и смарт карти частният ключ за подписване не напуска границите на токена. По този начин се изключва възможността за компромис с ключове.

    Използването на EDS се осигурява от специални инструменти и технологии, които изграждат инфраструктурата на публичния ключ (Public Key Infrastructure, PKI). Основният компонент на PKI е CA, който отговаря за издаването на ключове и гарантира автентичността на сертификатите, които потвърждават съответствието между публичния ключ и информацията, която идентифицира собственика на ключа.

    Разработчиците предоставят различни компоненти за вграждане на криптографски функции в уеб приложения, като SDK и плъгини за браузъри с криптографски API. С тяхна помощ можете да реализирате функциите на криптиране, удостоверяване и цифров подпис с високо ниво на сигурност. Инструментите за цифров подпис също се предоставят под формата на онлайн услуги (вижте страничната лента „EDS като услуга“).

    EDS като услуга

    За да автоматизирате подписването, обмена и съхранението на електронни документи, можете да използвате онлайн услугата eSign-PRO (www.esign-pro.ru). Всички регистрирани в него електронни документиса защитени с цифров подпис, а формирането и проверката на цифровия подпис се извършват от страна на клиента с помощта на криптографския модул eSign Крипто плъгиниза браузъра, инсталиран при първия достъп до портала. Работните станции взаимодействат с уеб сървъра на портала, използвайки протокола TLS в режим на еднопосочно удостоверяване на сървъра. Удостоверяването на потребителя се основава на лични идентификатори и пароли, предадени на сървъра след установяване на защитена връзка.

    Услугата eSign-PRO се поддържа от инфраструктура с публични ключове, базирана на центъра за сертифициране на електронния нотариус, акредитиран от Федералната данъчна служба на Русия и притежаван от Signal-COM, но могат да се приемат и сертификати, издадени от друг сертификационен център.

    Както подчертават разработчиците, тази услуга отговаря на изискванията на Федералния закон № 63-FZ „За електронния подпис“ и използва инструменти, сертифицирани от FSB на Русия криптографска защита„Крипто-COM 3.2“. Ключовата информация може да се съхранява на различни носители, включително USB токени.

    „PKI инфраструктурата е най-добрата схема за сигурно удостоверяванепотребители, - смята Кирил Мещеряков, ръководител на отдела за работа с технологични партньори на компанията Aktiv. - В тази област все още не е измислено нищо по-надеждно от цифровите сертификати. Това може да са издадени от правителството сертификати за лицаза използване в облачна услуга или корпоративни цифрови сертификати за прилагане на модела BYOD. Освен това първото може да се използва за достъп до вътрешнокорпоративни ресурси, ако търговските компании имат възможност да се свържат с държавни центрове за сертифициране. Когато цифровите сертификати се използват навсякъде, където се изисква удостоверяване на потребителя, животът на обикновените граждани ще бъде значително опростен. Надеждното и сигурно съхранение на цифровите сертификати засега се осигурява само по един начин – с помощта на смарт карти и токени.

    Като се има предвид повишеното внимание на държавата към такива области като цифров подпис и смарт карти, както и важността на наличието на надеждна и удобна многофакторна автентификация в различни информационни системи и развитието на системи за електронни плащания и правно значимо управление на електронни документи, местните разработчиците продължават да подобряват своите решения и да разширяват продуктовите линии.

    USB ТОКЕНИ И СМАРТ КАРТИ

    Фигура 3Използването на смарт карти като средство за удостоверяване при работа с информационни системи, уеб портали и облачни услуги е възможно при достъп до тях не само от лични работни станции, но и от мобилни устройства, но това изисква специален четец, така че понякога се оказва да бъде по-удобен токен във форм фактор MicroSD.

    Смарт картите и USB токените могат да служат като лично средство за удостоверяване и електронен подпис за организиране на защитен и правно значим документ. оборот (виж Фигура 3). Освен това използването им дава възможност за унифициране на средствата за удостоверяване – от операционни системи до системи за контрол на достъп до помещения.

    Руските разработчици на софтуер и хардуер за информационна сигурност са натрупали солиден опит в създаването на електронни ключове (токени) и идентификатори. Например, компанията Aktiv (www.rutoken.ru) издава линия Rutoken USB токени, която вече включва повече от дузина такива продукти (виж Фигура 4). От 1995 г. на същия пазар работи Aladdin R.D.

    Фигура 4 Rutoken EDS на компанията Актив е електронен идентификатор с хардуерна реализация на руския стандарт за електронен подпис, криптиране и хеширане, който осигурява сигурно съхранение на ключовете за електронен подпис във вградената защитена памет. Продуктът притежава FSB сертификат за съответствие с изискванията за криптографска защита на информацията в инструменти от клас KS2 и ES в съответствие с Федералния закон № 63-FZ „За електронния подпис“, както и FSTEC сертификат за съответствие с изискванията за четвърто ниво на контрол на липсата на недекларирани способности.

    Продуктите на Rutoken с двуфакторна автентификация (устройство и ПИН код) използват 32-битови ARM микропроцесори за генериране на двойки ключове, генериране и проверка на електронен подпис (алгоритъм GOST R 34.10-2001), както и защитени микроконтролери с енергонезависима памет за съхраняване на потребителски данни. За разлика от решенията, разработени в Java, фърмуерът в Rutoken е реализиран на компилиран език. Според разработчиците това дава повече възможности за оптимизация на софтуера. Rutoken не изисква инсталиране на драйвер и се определя като HID устройство.

    При формирането на EDS се използва криптография с елиптична крива. Предложеният плъгин за браузъри (не изисква администраторски права за инсталиране) може да работи с USB токен и има програмен интерфейс за достъп до криптографски функции. Плъгинът ви позволява да интегрирате Rutoken със системи за дистанционно банкиране и електронно управление на документи.

    Устройството Rutoken PINPad (Rutoken EDS с екран) ви позволява да визуализирате документа, който се подписва, преди да приложите електронен подпис и по този начин да се предпазите от атаки, извършени с помощта на инструменти за дистанционно управление за подмяна на съдържанието на документа при прехвърляне за подпис.

    Руската компания Aladdin R.D. пуска широка гама от смарт карти, JaCarta USB и Secure MicroSD токени за силно удостоверяване, електронен подпис и сигурно съхранение на ключове и цифрови сертификати (вижте Фигура 5). Той включва продукти от серията JaCarta PKI, предназначени за използване в корпоративни и правителствени системи, и JaCarta GOST - за осигуряване на правната значимост на действията на потребителите при работа в различни електронни услуги. В JaCarta се поддържа на всички съвременни мобилни платформи ( Apple iOS, Android, Linux, Mac OS и Windows) използват силно дву- и трифакторно удостоверяване, подобрен квалифициран електронен подпис и защита срещу заплахи от ненадеждна среда.

    Устройствата от семейството JaCarta GOST внедряват хардуерно руски криптографски алгоритми и са сертифицирани от Федералната служба за сигурност на Руската федерация като средства за личен електронен подпис за KC1 и KS2, казва Алексей Александров. Така те могат да се използват за удостоверяване чрез механизми за електронен подпис, за генериране на електронен подпис върху документи или потвърждаване на различни операции в информационни системи, както и при работа с облачни услуги.

    В устройствата от семейството на JaCarta GOST криптоалгоритмите се изпълняват на ниво микропроцесор и в допълнение се използва схема за работа с невъзстановим частен ключ за подпис. Този подход елиминира възможността за кражба на частния ключ на подписа и формирането на EDS с него се извършва вътре в устройството. Ключовете и сертификатите, съдържащи се в JaCarta GOST, могат да се използват за силна двуфакторна автентификация и формиране на подобрен квалифициран електронен подпис в няколко информационни системи, работещи в една или повече PKI инфраструктури едновременно.

    Устройствата за удостоверяване на JaCarta се предлагат в различни форм-фактори, но имат една и съща функционалност, което ви позволява да използвате едни и същи механизми за удостоверяване в много информационни системи, в уеб портали, в облачни услуги и мобилни приложения.

    Фигура 6Хардуерното внедряване на руски криптоалгоритми, сертифицирани от Федералната служба за сигурност на Руската федерация в JaCarta GOST, позволява използването на електронната идентичност на служителя като EDS инструмент за строго удостоверяване в информационните системи и осигуряване на правната значимост на неговите действия.

    Подходът, при който едни и същи устройства се използват за решаване на редица проблеми (виж Фигура 6), напоследък става все по-популярен. Благодарение на наличието на един или два RFID етикета в смарт картата и интеграцията с ACS, тя може да се използва за контрол на достъпа до помещения. А поддръжката на чужди криптографски алгоритми (RSA) и интеграцията с повечето продукти на световни доставчици (Microsoft, Citrix, VMware, Wyse и др.) Дават възможност за използване на смарт карта като средство за силна автентификация в инфраструктурни корпоративни решения, включително потребителски влезте в Microsoft Windows, работете с VDI и други популярни сценарии. Софтуерне се изисква промяна - поддръжката се активира чрез кандидатстване определени настройкии политик.

    СИСТЕМИ ЗА УПРАВЛЕНИЕ НА ИДЕНТИФИКАЦИЯ И ДОСТЪП ДО ИНФОРМАЦИОННИ РЕСУРСИ

    Автоматизирайте работата на администратора по сигурността и бързо реагирайте на промени в правилата без Системите за централизирано управление на жизнения цикъл на инструментите за удостоверяване и цифровите подписи спомагат за сигурността. Например системата за управление JaСarta Management System (JMS) на Aladdin R.D. предназначен да записва и регистрира целия хардуер и софтуерни инструментиудостоверяване и съхранение ключова информацияизползвани от служителите в предприятието.

    Задачите му са да управлява жизнения цикъл на тези инструменти, да проверява използването им, да изготвя доклади, да актуализира данните за удостоверяване, да предоставя или отнема достъп до приложения при смяна на работата или уволнение на служител, да заменя устройство, ако е изгубено или повредено, оборудване за извеждане от експлоатация . За целите на одита на инструментите за удостоверяване се записват всички факти на използване на устройството на корпоративния компютър и промяна на данните, съхранявани в неговата памет.

    С помощта на JMS се осъществява и техническа поддръжка и потребителска поддръжка: подмяна на забравен ПИН код, синхронизиране на генератора на еднократни пароли, справяне с типични ситуации на загуба или счупване на токен. И благодарение на софтуерен виртуален токен, потребител, който е извън офиса, дори ако eToken е изгубен, може да продължи да работи с компютъра или да получи защитен достъп до ресурси, без да компрометира нивото на сигурност.

    Според Aladdin R.D., JMS (виж Фигура 7), който е сертифициран от FSTEC на Русия, подобрява корпоративната сигурност чрез използване на сертификати за публичен ключ X.509 и съхраняване на частни ключове в защитената памет на смарт карти и USB токени. Той опростява внедряването и работата на PKI решения, използващи USB токени и смарт карти чрез автоматизиране на общи административни и одиторски процедури.
    Фигура 7 JMS система на Aladdin R.D. поддържа всички видове и модели eToken, интегрира се с Microsoft Active Directory, а отворената архитектура ви позволява да добавите поддръжка за нови приложения и хардуерни устройства (чрез конекторния механизъм).

    Днес системите за идентификация и управлението на достъпа до корпоративни информационни ресурси (IDM) стават все по-важни. Avanpost наскоро пусна четвъртата версия на своя продукт, софтуерния пакет Avanpost (виж Фигура 8). Според разработчиците, за разлика от чуждестранните решения, внедряването на IDM Avanpost 4.0 става за кратко време и изисква по-малко разходи, а интеграцията му с други елементи на информационните системи е най-пълна. Проектиран Руска компания, продуктът отговаря на националната регулаторна рамка в областта на информационната сигурност, поддържа вътрешни центрове за сертифициране, смарт карти и токени, осигурява технологична независимост в такава важна област като цялостен контрол на достъпа до поверителна информация.

    Фигура 8Софтуерът на Avanpost включва три основни модула - IDM, PKI и SSO, които могат да бъдат внедрени поотделно или във произволна комбинация. Продуктът се допълва от инструменти, които ви позволяват да изграждате и поддържате ролеви модели, да организирате работния процес, свързан с контрола на достъпа, да разработвате конектори към различни системи и да персонализирате отчети.

    Avanpost 4.0 решава проблема с интегрирания контрол на достъпа: IDM се използва като централен елемент на корпоративната система за информационна сигурност, с която са интегрирани PKI и Single Sign On (SSO) инфраструктури. Софтуерът осигурява поддръжка на технологии за дву- и трифакторна автентификация и биометрична идентификация, внедряване на SSO за мобилни платформи Android и iOS, както и конектори (интерфейсни модули) с различни приложения(Вижте Фигура 9).
    Фигура 9Архитектурата на Avanpost 4.0 опростява създаването на конектори, позволява ви да добавяте нови механизми за удостоверяване и да прилагате различни опции за N-факторно удостоверяване (например чрез взаимодействие с биометрични данни, системи за контрол на достъпа и др.).

    Както подчертава Avanpost, популярността на интегрираните системи на руския пазар, включително IDM, ACS и хардуер за биометрична идентификация, постепенно ще нараства, но софтуерните технологии и решения, които включват мобилни устройства: смартфони и таблети, ще станат още по-търсени. Следователно редица софтуерни актуализации на Avanpost 4.0 са планирани за пускане през 2014 г.

    Въз основа на Avanpost 4.0 можете да създадете изчерпателни контроли за достъп за системи, които комбинират традиционни приложения и частни облаци, работещи по моделите IaaS, PaaS и SaaS (последният изисква API за облачно приложение). Avanpost казва, че решението му за частни облаци и хибридни системи вече е напълно разработено и търговската му реклама ще започне веднага щом има стабилно търсене на такива продукти на руския пазар.

    SSO модулът включва функционалност на Avanpost Mobile, която поддържа популярни мобилни платформи Android и iOS. Този модул осигурява защитен достъп през браузър от мобилни устройства до вътрешни корпоративни портали и интранет приложения (портал, корпоративна поща на Microsoft Outlook Web App и др.). Версията за Android OS съдържа вградена пълнофункционална SSO система, която поддържа VoIP телефония, видео и видеоконференции (Skype, SIP), както и всякакви Android приложения (например клиенти корпоративни системи: счетоводство, CRM, ERP, HR и др.) и облачни уеб услуги.

    Това елиминира необходимостта потребителите да запомнят множество двойки идентичности (вход-парола) и позволява на организацията да прилага политики за сигурност, които изискват силни, често променяни пароли, които варират в различните приложения.

    Продължаващото укрепване на държавното регулиране на сферата на информационната сигурност в Русия допринася за растежа на вътрешния пазар на средства за информационна сигурност. По този начин, според IDC, през 2013 г. общите продажби на софтуерни решения за сигурност възлизат на повече от $412 милиона, надвишавайки същия период на предходния период с повече от 9%. И сега, след очаквания спад, прогнозите са оптимистични: през следващите три години средният годишен темп на растеж може да надхвърли 6%. Най-големият обем продажби се пада на софтуерни решения за защита на крайни устройства (повече от 50% от пазара на информационна сигурност), наблюдение на уязвимости и контрол на сигурността в корпоративни мрежи, както и върху средствата за идентификация и контрол на достъпа.

    „Вътрешните криптоалгоритми не са по-ниски от западните стандарти и дори, според мнозина, те превъзхождат“, казва Юрий Сергеев. - Що се отнася до интегрирането на руските разработки в областта на автентификацията и EDS с чуждестранни продукти, би било полезно да се създадат библиотеки с отворен код и доставчици на крипто за различни решения с техния контрол на качеството от FSB на Русия и сертифициране на отделни стабилни версии. В този случай производителите биха могли да ги вградят в предлаганите продукти, които от своя страна ще бъдат сертифицирани като криптографски инструменти за защита на информацията, като се вземе предвид правилното използване на вече проверена библиотека. Струва си да се отбележи, че вече е постигнат известен успех: добър примерразработва пачове за поддръжка на GOST в openssl. Въпреки това си струва да помислим за организирането на този процес на държавно ниво.

    „Руската ИТ индустрия следва пътя на вграждане на местни сертифицирани компоненти в чужди Информационни системи. Този път в момента е оптимален, тъй като разработването на изцяло руски информационни и операционни системи от нулата ще бъде неоправдано сложно и скъпо, - отбелязва Кирил Мещеряков. - Наред с организационните и финансовите проблеми, както и недостатъчно развитите закони, ниското ниво на образование на населението в областта на информационната сигурност и липсата на държавна информационна подкрепа за вътрешните доставчици на решения за сигурност възпрепятстват широкото използване на инструменти за удостоверяване и цифрови подписи. Двигателите на пазара, разбира се, са платформи за търговия, системи за данъчно отчитане, корпоративни и държавни системиработния процес. През последните пет години напредъкът в развитието на индустрията е огромен.“

    Сергей Орлов- Водещ редактор на Journal of Network Solutions / LAN. С него може да се свържете на: