ما یک کلید امنیتی usb با استفاده از ویندوز ایجاد می کنیم. احراز هویت چند عاملی مبتنی بر سخت افزار

U2F - یک پروتکل باز که امکان احراز هویت جهانی 2 عاملی را فراهم می کند، پشتیبانی می شود مرورگر کروم 38 به بعد. U2F توسط FIDO Alliance توسعه داده شد - اتحادی از Microsoft، Google، Lenovo، MasterCard، Visa، PayPal و غیره. این پروتکل بدون کار می کند. نصب اضافیرانندگان در سیستم های عاملآه ویندوز / لینوکس / MacOS. خدمات وردپرس، گوگل، LastPass از پروتکل پشتیبانی می کنند. تمام جوانب مثبت و منفی کار با را در نظر بگیرید.

با محبوبیت فزاینده احراز هویت دو مرحله ای، که از طریق تماس یا ارسال پیام کوتاه انجام می شود، سوال مشروع- چقدر راحت است و آیا این روش احراز هویت مشکلاتی دارد؟

به عنوان یک روش تأیید اضافی، احراز هویت با تماس یا ارسال پیام، البته، بسیار راحت است. علاوه بر این، این روش ثابت کرده است که در بسیاری از موارد موثر است - بنابراین، به همان اندازه به عنوان یک اقدام محافظتی در برابر فیشینگ، حملات خودکار، حدس زدن رمز عبور، حملات ویروس و غیره مناسب است. با این حال، خطری پشت راحتی وجود دارد - اگر کلاهبرداران دست به کار شوند، پیوند دادن به یک شماره تلفن می تواند علیه شما بازی کند. بیشتر اوقات، حساب به شماره تماس مشخص شده کاربر پیوند داده می شود که در صورت تلاش برای بازگرداندن دسترسی به حساب، اولین یا آخرین رقم آن توسط هر کسی قابل شناسایی است. به این ترتیب کلاهبرداران می توانند شما را دریابند شماره تلفن، و سپس مشخص کنید که برای چه کسی صادر شده است. پس از دریافت اطلاعات در مورد مالک، کلاهبرداران با اسناد جعلی در سالن اپراتور باقی می مانند ارتباط سلولیدرخواست صدور مجدد سیم کارت هر کارمند شعبه صلاحیت صدور مجدد کارت را دارد که به کلاهبرداران امکان می دهد با دریافت سیم کارت با شماره مورد نظر وارد حساب شما شده و هرگونه دستکاری با آن انجام دهند.

برخی از شرکت ها، به عنوان مثال، بانک های بزرگ، نه تنها شماره تلفن مالک را ذخیره می کنند، بلکه یک شناسه سیم کارت منحصر به فرد به نام IMSI نیز با آن ذخیره می شود، در صورت تغییر، اتصال شماره تلفن لغو می شود و باید دوباره شخصاً توسط آن انجام شود. مشتری بانک با این حال، این خدمات به اندازه کافی گسترده نیستند. برای پیدا کردن IMSI برای هر شماره تلفن، می توانید یک درخواست HLR ویژه در سایت smsc.ru/testhlr ارسال کنید.

مدرن با پشتیبانی از احراز هویت دو مرحله ای در مرورگر، که امنیت بیشتری را برای حساب شما تضمین می کند، می توانید در فروشگاه آنلاین ما خرید کنید.

این امر احتمال سرقت اطلاعات محرمانه را افزایش می دهد یا شرایطی را برای نقض دسترسی به داده های مهم ایجاد می کند.
مردم دنبال کار خود می‌روند و هیچ‌کس نمی‌خواهد سرشان را با انواع مزخرفات مانند "رمز عبور به ویندوز" آزار دهد. در این صورت نشت و ضعف رمزهای عبور به مشکلی جدی برای مدیران شبکه و مسئولین امنیت اطلاعات تبدیل می شود.

"تا سال 2008، تعداد کلیدهای USB در حال استفاده به تعداد سایر ابزارهای احراز هویت نزدیک خواهد شد."
IDC 2004

مقدمه

امروزه با توجه به استفاده گسترده از رایانه، فکر کردن به امنیت اطلاعات پردازش شده بیش از پیش ضروری است. اولین قدم در امنیت، احراز هویت کاربر قانونی است.
رایج ترین روش احراز هویت رمز عبور است. علاوه بر این، بیش از 60٪ از کاربران، همانطور که تمرین نشان می دهد، اغلب از رمزهای عبور یکسان برای سیستم های مختلف استفاده می کنند. نیازی به گفتن نیست که این امر به میزان قابل توجهی سطح امنیت را کاهش می دهد. چه باید کرد؟
به نظر من یکی از راه حل های مشکل استفاده از کلیدهای احراز هویت سخت افزاری است. بیایید کاربرد آنها را با جزئیات بیشتری در مورد مثال کلیدهای USB علاءالدین در نظر بگیریم.

eToken چیست؟

eToken (شکل 1) یک دستگاه شخصی برای احراز هویت و ذخیره سازی داده است که برای کار با گواهی های دیجیتال و امضای دیجیتال الکترونیکی (EDS) از سخت افزار پشتیبانی می کند. eToken به شکل زیر صادر می شود:

• eToken PRO یک دانگل USB است که امکان احراز هویت دو مرحله ای را فراهم می کند. در نسخه های 32K و 64K موجود است.
• eToken NG-OTP ترکیبی از یک دانگل USB و دستگاهی است که رمزهای عبور یک بار مصرف (One Time Password، OTP) تولید می کند. در نسخه های 32K و 64K موجود است.
• کارت هوشمند eToken PRO دستگاهی است که عملکردهای مشابه کلید USB را انجام می دهد، اما در قالب یک کارت اعتباری معمولی. در نسخه های 32K و 64K موجود است.

در آینده به طور خاص در مورد کلیدهای USB صحبت خواهیم کرد که مستقیماً به درگاه USB رایانه متصل می شوند و بر خلاف کارت هوشمند به خواننده خاصی نیاز ندارند.
eToken دارای یک حافظه امن غیر فرار است و برای ذخیره رمزهای عبور، گواهی ها و سایر داده های مخفی استفاده می شود.

شکل 1 eToken Pro 64k

دستگاه eToken

اجزای فناوری eToken PRO:

• تراشه کارت هوشمند Infineon SLE66CX322P یا SLE66CX642P (EEPROM به ترتیب با ظرفیت 32 یا 64 کیلوبایت).
• سیستم عامل کارت هوشمند Siemens CardOS V4.2;
• الگوریتم های سخت افزاری پیاده سازی شده: RSA 1024bit، DES، Triple-DES 168bit، SHA-1، MAC، Retail-MAC، HMAC-SHA1.
• مولد اعداد تصادفی سخت افزاری.
• کنترلر رابط USB؛
• منبع قدرت؛
• محفظه ساخته شده از پلاستیک سخت، قابل باز شدن غیر قابل تشخیص نیست.

اجزای زیر علاوه بر این در دستگاه eToken NG-OTP گنجانده شده است:

• تولید کننده رمز یکبار مصرف؛
• دکمه برای نسل خود.
• صفحه نمایش ال سی دی؛

پشتیبانی از رابط:

• Microsoft Crypto API
• PKCS#11.

کد پین

برای دسترسی به داده های ذخیره شده در حافظه eToken، باید یک پین (شماره شناسایی شخصی) وارد کنید. استفاده از فاصله و حروف روسی در پین کد توصیه نمی شود. با این حال، پین باید معیارهای کیفیت مشخص شده در فایل %systemroot%\system32\etcpass.ini را داشته باشد.
این فایل حاوی معیارهای کیفیت پین با استفاده از ابزار eToken Properties ویرایش شده است.

حقوق دسترسی به eToken

بسته به مدل eToken و گزینه های انتخاب شده در طول قالب بندی، چهار نوع حق دسترسی به eToken وجود دارد:

• مهمان- امکان مشاهده اشیاء در یک منطقه حافظه باز. امکان به دست آوردن اطلاعات کلی در مورد eToken از ناحیه حافظه سیستم، از جمله نام eToken، شناسه ها و برخی پارامترهای دیگر. با دسترسی مهمان، دانستن پین مورد نیاز نیست.
• سفارشی- حق مشاهده، تغییر و حذف اشیاء در مناطق بسته، باز و آزاد حافظه؛ امکان به دست آوردن اطلاعات کلی در مورد eToken؛ حق تغییر کد پین و تغییر نام eToken؛ حق پیکربندی تنظیمات برای کش کردن محتوای ناحیه حافظه خصوصی و حفاظت اضافی از کلیدهای خصوصی با رمز عبور (در صورت عدم وجود رمز عبور سرپرست یا با اجازه مدیر)، حق مشاهده و حذف گواهی ها در eToken ذخیره و ظروف کلید RSA.
• اداری– حق تغییر پین کاربر بدون اطلاع از آن؛ حق تغییر رمز عبور مدیر؛ حق پیکربندی تنظیمات برای کش کردن محتویات یک منطقه حافظه خصوصی و حفاظت اضافی از کلیدهای خصوصی با رمز عبور و همچنین امکان در دسترس قرار دادن این تنظیمات در حالت کاربر.
• مقداردهی اولیه- حق قالب بندی eToken PRO.

فقط دو نوع اول حقوق برای eToken R2 اعمال می شود، هر چهار مورد برای eToken PRO و eToken NG-OTP.
دسترسی مدیر به eToken PRO فقط پس از وارد کردن رمز عبور صحیح مدیر امکان پذیر است. اگر رمز عبور سرپرست در طول فرآیند قالب‌بندی تنظیم نشده باشد، نمی‌توانید با حقوق سرپرست درخواست دهید.

نرم افزار برای eToken

اطلاعات کلی

eToken Run Time Environment 3.65
eToken Run Time Environment (eToken RTE) مجموعه ای از درایورهای eToken است. این بسته نرم افزاری شامل ابزار eToken Properties است.
با این ابزار می توانید:

• پیکربندی پارامترهای eToken و درایورهای آن؛
• مشاهده اطلاعات کلی در مورد eToken.
• واردات، مشاهده و حذف گواهی ها (به استثنای گواهی های فروشگاه eTokenEx) و ظروف کلید RSA؛
• فرمت eToken PRO و eToken NG-OTP.
• معیارهای کیفیت کد پین را پیکربندی کنید.

برای نصب این نرم افزار به حقوق مدیر محلی نیاز است. لازم به یادآوری است که قبل از نصب eToken RTE، نمی توانید کلید eToken را وصل کنید.
نرم افزار باید به ترتیب زیر نصب شود:

• eToken RTE 3.65;
• eToken RTE 3.65 RUI (روسی سازی رابط).
• eToken RTX.

نصب و حذف در رایانه محلی eToken RTE 3.65

نصب و راه اندازی

شکل 2 eToken Run Time Environment 3.65 Setup

در پنجره (شکل 3) باید قرارداد مجوز را بخوانید و با آن موافقت کنید.

شکل 3 قرارداد مجوز کاربر نهایی

اگر با شرایط قرارداد مجوز موافق نیستید، روی دکمه "لغو" کلیک کنید و در نتیجه فرآیند نصب را متوقف کنید.
اگر با توافقنامه مجوز موافق هستید، سپس "من موافقت نامه مجوز را می پذیرم" را انتخاب کنید و روی دکمه "بعدی" کلیک کنید. در صفحه، پنجره زیر را مشاهده خواهید کرد (شکل 4):

شکل 4 آماده نصب برنامه

نصب کمی زمان می برد.
در پایان مراحل نصب (شکل 5)، روی دکمه "پایان" کلیک کنید.

شکل 5 eToken Run Time Environment 3.65 با موفقیت نصب شده است
ممکن است در پایان نصب نیاز به راه اندازی مجدد رایانه داشته باشید.

eToken RTE 3.65 RUI

نصب و راه اندازی
برای نصب eToken RTE 3.65 RUI، باید نصب کننده را اجرا کنید.

شکل 6 نصب eToken 3.65 RUI
در پنجره ظاهر شده (شکل 6) روی دکمه «بعدی» کلیک کنید.

شکل 7 تکمیل نصب رابط کاربری روسی

با استفاده از خط فرمان

می توانید از خط فرمان برای نصب و حذف eToken RTE 3.65، eToken RTE 3.65 RUI و eToken RTX استفاده کنید.
مثال های دستوری:

• msiexec /qn /i
• msiexec /qb /i
• /q- نصب eToken RTE 3.65 (eToken RTE 3.65 RUI، eToken RTX) در حالت خودکار بدون کادر محاوره ای با پارامترهای پیش فرض؛
• /qb– نصب eToken RTE 3.65 (eToken RTE 3.65 RUI, eToken RTX) در حالت خودکار با پارامترهای پیش فرض و نمایش مراحل نصب روی صفحه؛
• msiexec /qn /x- حذف eToken RTE 3.65 (eToken RTE 3.65 RUI، eToken RTX) در حالت خودکار بدون کادر محاوره ای؛
• msiexec /qb /x– حذف eToken RTE 3.65 (eToken RTE 3.65 RUI, eToken RTX) در حالت خودکار با نمایش روند حذف روی صفحه.

اتصال کلید USB eToken به رایانه برای اولین بار

اگر eToken RTE 3.65 را روی رایانه خود نصب کرده اید، eToken را به یک درگاه USB یا کابل داخلی وصل کنید. پس از آن، فرآیند پردازش تجهیزات جدید آغاز می شود که ممکن است مدتی طول بکشد. هنگامی که فرآیند پردازش تجهیزات جدید به پایان رسید، چراغ نشانگر روی eToken روشن می شود.

ابزار eToken Properties

شکل 8 پنجره برنامه "Properties of eToken"

ابزار eToken Properties به شما این امکان را می دهد که عملیات مدیریت رمز اولیه مانند تغییر رمز عبور، مشاهده اطلاعات و گواهی های موجود در حافظه eToken را انجام دهید. علاوه بر این، با استفاده از ابزار eToken Properties، می توانید به سرعت و به راحتی گواهی ها را بین رایانه خود و eToken انتقال دهید و همچنین کلیدها را به حافظه eToken وارد کنید.
در صورتی که کاربر پین کد خود را فراموش کرده باشد و نتواند به مدیر eToken مراجعه کند (مثلاً کاربر در سفر کاری است) دکمه "Unblock" ضروری است. با تماس با مدیر از طریق ایمیل، کاربر می تواند یک درخواست هگزادسیمال برای این eToken را از مدیر دریافت کند که بر اساس داده های ذخیره شده در پایگاه داده TMS ایجاد شده است، با وارد کردن آن در قسمت "پاسخ" کاربر. به تغییر کد پین دسترسی خواهد داشت.

شکل 9 تب کامپیوتر

تغییر پین کد مطابق شکل انجام می شود. ده:

شکل 10 پین را تغییر دهید
هنگام تغییر پین کد، لازم است که پین ​​کد جدید با شرایط کیفی رمز وارد شده مطابقت داشته باشد. کیفیت رمز عبور با توجه به معیارهای وارد شده بررسی می شود.
برای بررسی اینکه آیا رمز عبور با معیارهای انتخاب شده مطابقت دارد، رمز عبور را در خط وارد کنید. در این خط اطلاعاتی در مورد دلایل عدم رعایت معیارهای انتخابی رمز وارد شده به صورت درصدی نمایش داده می شود و کیفیت رمز وارد شده به صورت گرافیکی و بر اساس معیارهای انتخابی به صورت درصدی نمایش داده می شود.

فهرست معیارها

جدول معیارهای کیفیت پین و مقادیر قابل تنظیم آنها را فهرست می کند. یک مقدار منفی که به صورت درصد بیان می شود، می تواند به عنوان مقدار معیار استفاده شود. به این مقدار جریمه می گویند.

فرهنگ لغت

برای تنظیم لیستی از رمزهای عبور نامعتبر یا ناخواسته، ایجاد کنید فایل متنی. یا می توانید از دیکشنری های به اصطلاح فرکانس استفاده کنید که برای حدس زدن رمزهای عبور استفاده می شود. فایل های چنین لغت نامه ها را می توان در سایت www.passwords.ru یافت.
نمونه ای از این فرهنگ لغت:
آنا
آنت
صورت حساب
کلمه عبور
ویلیام
مسیر فایل ایجاد شده را به معیار «Dictionary» اختصاص دهید. در این حالت، مسیر فایل دیکشنری در هر رایانه باید با معیار «Dictionary» مطابقت داشته باشد.

با eToken وارد ویندوز شوید

اطلاعات کلی

eToken SecurLogon امنیت شبکه موثر را با راحتی و تحرک ترکیب می کند. احراز هویت ویندوز از نام کاربری و رمز عبور ذخیره شده در حافظه eToken استفاده می کند. این امکان اعمال احراز هویت قوی بر اساس توکن ها را فراهم می کند.
در عین حال اضافه کنم که در شرکت های بزرگی که از ساختار دامنه استفاده می کنند، باید به فکر پیاده سازی PKI و استفاده متمرکز از SmartCardLogon بود.
هنگام استفاده از eToken SecurLogon، ممکن است از رمزهای عبور پیچیده تصادفی ناشناخته استفاده شود. علاوه بر این، می توانید از گواهی های ذخیره شده در حافظه eToken برای ثبت نام کارت هوشمند استفاده کنید که امنیت ورود به ویندوز را افزایش می دهد.
این امکان پذیر است زیرا ویندوز 2000/XP مکانیسم های دسترسی مختلفی را امکان پذیر می کند که جایگزین روش احراز هویت پیش فرض می شود. مکانیسم های شناسایی و احراز هویت برای سرویس ورود به سیستم ویندوز (winlogon)، که ورود تعاملی را فراهم می کند، در یک کتابخانه پیوند پویا قابل تعویض (DLL) به نام GINA (شناسایی و احراز هویت گرافیکی، دسکتاپ احراز هویت) ساخته شده است. هنگامی که سیستم به روش دیگری برای احراز هویت نیاز دارد که جایگزین مکانیسم نام کاربری/رمز عبور (به‌طور پیش‌فرض استفاده می‌شود)، msgina.dll استاندارد جایگزین می‌شود. کتابخانه جدید.
نصب eToken SecurLogon جایگزین کتابخانه دسکتاپ احراز هویت می شود و تنظیمات رجیستری جدید ایجاد می کند. جینا مسئول خط مشی اتصال تعاملی است و شناسایی و گفتگو با کاربر را انجام می دهد. جایگزینی کتابخانه احراز هویت دسکتاپ، eToken را به مکانیزم احراز هویت اولیه تبدیل می‌کند که احراز هویت استاندارد Windows 2000/XP را بر اساس نام کاربری و رمز عبور گسترش می‌دهد.
کاربران می توانند اطلاعات مورد نیاز برای ورود به ویندوز (پروفایل ها) را در حافظه eToken بنویسند، در صورتی که این امر توسط خط مشی امنیتی سازمانی مجاز باشد.
نمایه ها را می توان با استفاده از eToken Windows Logon Profile Creation Wizard ایجاد کرد.

شروع شدن

eToken SecurLogon یک کاربر ویندوز 2000/XP/2003 را با یک eToken با استفاده از گواهی کارت هوشمند کاربر یا نام کاربری و رمز عبور ذخیره شده در حافظه eToken احراز هویت می کند. eToken RTE شامل همه چیز است فایل های لازمو درایورهایی که از eToken در eToken Windows Logon پشتیبانی می کنند.

حداقل الزامات

شرایط نصب eToken Windows Logon:

• eToken Runtime Environment (نسخه 3.65 یا 3.65) باید در تمام ایستگاه های کاری نصب شود.
• eToken SecurLogon بر روی رایانه‌ای با ویندوز 2000 (SP4)، ویندوز XP (SP2) یا ویندوز 2003 (SP1) نصب شده است. eToken SecurLogon از گفتگوی کلاسیک خوش‌آمدگویی ویندوز (اما نه صفحه خوش‌آمدگویی جدید ویندوز XP) و از حالت تغییر سریع کاربر پشتیبانی نمی کنددر ویندوز XP

توکن های پشتیبانی شده

eToken SecurLogon از دستگاه های eToken زیر پشتیبانی می کند:

• eToken PRO یک دانگل USB است که امکان احراز هویت دو مرحله ای را فراهم می کند. موجود در نسخه های 32K و 64K؛
• eToken NG-OTP ترکیبی از یک کلید USB و دستگاهی است که رمزهای عبور یک بار مصرف را تولید می کند. موجود در نسخه های 32K و 64K؛
• کارت هوشمند eToken PRO دستگاهی است که عملکردهای مشابه کلید USB را انجام می دهد، اما شکل یک کارت اعتباری معمولی را دارد. در نسخه های 32K و 64K موجود است.

eToken Runtime Environment (RTE)

eToken Runtime Environment (RTE) شامل تمام فایل‌ها و درایورهایی است که از eToken در eToken Windows Logon پشتیبانی می‌کنند. این مجموعه همچنین شامل یک ابزار eToken Properties است که به کاربر اجازه می دهد به راحتی پین و نام eToken را مدیریت کند.
همه eToken های جدید دارای پین یکسانی هستند که به طور پیش فرض در طول تولید تنظیم شده است. این پین 1234567890 است. برای اطمینان از احراز هویت قوی، دو مرحله ای و عملکرد کامل، لازم است کاربر بلافاصله پس از دریافت eToken جدید، پین پیش فرض را با پین خود جایگزین کند.
مهم:پین نباید با رمز عبور کاربر اشتباه گرفته شود پنجره ها .

نصب و راه اندازی

به منظور نصبeTokenپنجره هاورود:

• به عنوان یک کاربر با حقوق مدیر وارد شوید.
• دوبار کلیک کنید SecurLogon - 2.0.0.55.msi.
• پنجره جادوگر نصب eToken SecurLogon ظاهر می شود (شکل 11).
• کلیک " بعد"،قرارداد مجوز شرکت eToken ظاهر می شود.
• توافقنامه را بخوانید، روی "کلیک کنید" منتایید کنید"(می پذیرم) و سپس دکمه " بعد"؛
• در پایان نصب مجدد راه اندازی شود.

شکل 11 نصب SecurLogon

نصب با استفاده از خط فرمان:
eToken SecurLogon را می توان با استفاده از خط فرمان نصب کرد:
msiexec /گزینه [اختیاری]
گزینه های نصب:

• - نصب یا پیکربندی محصول؛
• /آ- نصب اداری- نصب محصول در شبکه؛
• /j

اعلام محصول:

• "m" - همه کاربران؛
• "u" - کاربر فعلی؛
• – لغو نصب محصول

گزینه های نمایش:

• / ساکت - حالت آرام، بدون تعامل کاربر.
• / منفعل - حالت خودکار - فقط نوار پیشرفت.
• /q – انتخاب سطح رابط کاربری؛
• n - بدون رابط؛
• ب - رابط اصلی؛
• r - رابط اختصاری؛
• f- رابط کامل(پیش فرض)؛
• /help - نمایش راهنمای استفاده.

راه اندازی مجدد گزینه ها

• /norestart - پس از اتمام نصب، راه اندازی مجدد نکنید.
• /promptrestart - درخواست نصب مجدد در صورت لزوم.
• /forcerestart - همیشه پس از اتمام نصب، کامپیوتر را ریستارت کنید.

گزینه های ورود به سیستم
/ l ;

• i - پیام های وضعیت؛
• w - پیام هایی در مورد خطاهای قابل بازیابی؛
• e - همه پیام های خطا.
• الف – راه اندازی اقدام؛
• r - سوابق خاص عمل؛
• u – درخواست های کاربر؛
• ج - پارامترهای اولیه رابط کاربری؛
• m - اطلاعات مربوط به خروج به دلیل کمبود حافظه یا خطای کشنده.
• o - پیام هایی در مورد فضای ناکافی دیسک؛
• p – خواص ترمینال؛
• v- خروجی پرمخاطب;
• x - اطلاعات رفع اشکال اضافی؛
• + - به یک فایل گزارش موجود اضافه شود.
• ! - ریختن هر خط در لاگ.
• * - ثبت تمام اطلاعات به جز گزینه های "v" و "x" /log معادل /l* است.

گزینه های به روز رسانی:

• /update [;Update2.msp] – اعمال به روز رسانی.
• /uninstall [;Update2.msp] /package - به‌روزرسانی‌های محصول را حذف نصب کنید.

گزینه های بازیابی:
/f
بازیابی محصول:

• p - فقط در صورتی که فایلی وجود نداشته باشد.
• o - اگر فایل موجود نیست یا نسخه قدیمی نصب شده است (به طور پیش فرض).
• ه - در صورت مفقود شدن فایل یا نصب نسخه مشابه یا قدیمی.
• د - اگر فایل موجود نباشد یا نسخه دیگری نصب شده باشد؛
• ج - در صورت مفقود بودن فایل یا چک جمعبا مقدار محاسبه شده مطابقت ندارد.
• الف - باعث می شود همه فایل ها دوباره نصب شوند.
• u – تمام ورودی های رجیستری مورد نیاز کاربر (پیش فرض)؛
• m - تمام ورودی های رجیستری لازم مخصوص رایانه (پیش فرض)؛
• s - تمام میانبرهای موجود (پیش فرض)؛
• v - اجرا از منبع با ذخیره مجدد بسته های محلی.

تنظیم خصوصیات عمومی:
به راهنمای توسعه دهندگان Windows(R) Installer مراجعه کنید اطلاعات اضافیبا استفاده از خط فرمان

تولید رمز عبور خودکار

هنگام نوشتن یک نمایه کاربر در حافظه eToken، یک رمز عبور می تواند به طور خودکار ایجاد شود یا به صورت دستی وارد شود. در طی تولید خودکار، یک رمز عبور تصادفی با حداکثر 128 کاراکتر تولید می شود. در این صورت کاربر رمز عبور خود را نمی داند و بدون کلید eToken نمی تواند وارد شبکه شود. الزام به استفاده از رمزهای عبور تولید شده به صورت خودکار می تواند به عنوان اجباری پیکربندی شود.

با استفاده از eToken SecurLogon

eToken SecurLogon به کاربران اجازه می دهد تا با استفاده از eToken با رمز عبور ذخیره شده وارد ویندوز 2000/XP/2003 شوند.

ثبت نام در ویندوز

می توانید با استفاده از eToken یا با وارد کردن نام کاربری و رمز عبور ویندوز وارد ویندوز شوید.

برای ثبت نام در ویندوز با استفاده از eToken:

1. کامپیوتر خود را مجددا راه اندازی کنید؛
2. پیام خوش آمدگویی ویندوز ظاهر می شود.
3. اگر eToken قبلاً متصل است، روی لینک Logon Using eToken کلیک کنید. اگر eToken وصل نشده است، آن را به پورت یا کابل USB وصل کنید. هر یک از روش های ورود به سیستم، پنجره "Log On to Windows" را نمایش می دهد.
4. یک کاربر را انتخاب کنید و پین eToken را وارد کنید.
5. روی دکمه "OK" کلیک کنید. شما یک جلسه کاربر را با استفاده از اعتبارنامه های ذخیره شده در حافظه eToken باز کرده اید.
6. اگر از eToken با گواهی کاربر کارت هوشمند استفاده می کنید، برای اتصال به رایانه فقط باید پین eToken را وارد کنید.

ثبت نام درویندوز بدونتوکن الکترونیکی:

1. کامپیوتر خود را مجددا راه اندازی کنید، کلیدهای ترکیبی CTRL + ALT + DEL را فشار دهید، پنجره "Log On to Windows / Log On to Windows" ظاهر می شود.
2. روی دکمه "OK" کلیک کنید - شما با نام کاربری و رمز عبور خود وارد شده اید.

تغییر رمز عبور

پس از ورود با eToken می توانید رمز ویندوز خود را تغییر دهید.
برای تغییر رمز عبور پس از ورود با eToken:

1. با استفاده از eToken وارد شوید.
2. کلیک " CTRL+ALT+DEL"، یک پنجره ظاهر می شود" ایمنیپنجره ها/ پنجره هاامنیت";
3. کلیک کنید بر روی " تغییر رمز عبور/ تغییر دادنکلمه عبور"، اگر رمز عبور فعلی به صورت دستی ایجاد شده باشد، یک پنجره ظاهر می شود " تغییر رمز عبور/ تغییر دادنکلمه عبور"، اما اگر رمز عبور فعلی به طور تصادفی ایجاد شده است، به مرحله 5 بروید.
4. رمز عبور جدید را در فیلدها وارد کنید " رمز عبور جدید/ جدیدکلمه عبور"و" تائیدیه/ تاییدجدیدکلمه عبور"و دکمه را فشار دهید" خوب";
5. اگر رمز عبور فعلی به طور تصادفی ایجاد شده باشد، رمز عبور جدید به طور خودکار ایجاد می شود.
6. در کادر محاوره ای که ظاهر می شود، کد پین eToken را وارد کرده و روی " کلیک کنید خوب"
7. یک جعبه پیام تایید ظاهر می شود.

امنیت جلسه کاربر

می توانید از eToken برای ایمن سازی جلسه کاری خود استفاده کنید.

قفل کردن ایستگاه کاری شما

با قفل کردن رایانه خود می توانید بدون خروج از سیستم، رایانه خود را ایمن نگه دارید. هنگامی که eToken از پورت یا کابل USB جدا می شود (پس از ثبت نام موفقیت آمیز)، سیستم عامل به طور خودکار رایانه شما را قفل می کند.

برای باز کردن قفل کامپیوتر:

وقتی کامپیوتر شما قفل است، " قفل کامپیوتر کامپیوترقفل شده است". eToken را به پورت یا کابل USB وصل کنید. در پنجره ظاهر شده، کد پین را در " وارد کنید. eTokenکلمه عبور"و دکمه را فشار دهید" خوب"کامپیوتر آنلاک است.
توجه داشته باشید:در صورت فشار دادن " CTRL+ALT+DELو با وارد کردن رمز عبور، قفل رایانه بدون استفاده از eToken باز می شود.

حذف دستی

در موارد نادری که نیاز دارید eToken SecurLogon را به صورت دستی حذف کنید، مراحل زیر را انجام دهید:

• کامپیوتر خود را مجددا راه اندازی کنید و بوت کنید حالت امن;
• به عنوان یک کاربر با حقوق مدیر ثبت نام کنید.
• با استفاده از ویرایشگر رجیستری، بخش را باز کنید HKEY_محلی_MAاز جانبHINE\نرم افزار\مایکروسافت\پنجره هاNT\جارینسخه\Winlogonو " GinaDLL";
• کامپیوتر خود را مجددا راه اندازی کنید، دفعه بعد که وارد ویندوز می شوید، یک پنجره ظاهر می شود ویندوز مایکروسافتورود.

عیب یابی عمومی

ممکن است لازم باشد مراحل زیر را برای عیب یابی مشکلات رایج انجام دهید:

اگر مایلید قسمت بعدی این مجموعه مقالات را بخوانید، لطفا اینجا کلیک کنید.

تا به حال، رمزهای عبور اغلب مکانیسم احراز هویت ارجح/الزامی برای دسترسی به سیستم‌ها و داده‌های ناامن بوده‌اند. اما تقاضاهای رو به رشد برای امنیت و راحتی بیشتر، بدون پیچیدگی غیر ضروری، باعث توسعه فناوری های احراز هویت می شود. در این سری از مقالات، به فناوری های مختلف احراز هویت چند عاملی که می توان در ویندوز استفاده کرد، خواهیم پرداخت. در بخش اول، با بررسی احراز هویت مبتنی بر تراشه شروع خواهیم کرد.

وقتی رمز عبور کار نمی کند

در سال 1956، جورج ای. میلر مقاله ای عالی با عنوان "عدد جادویی هفت، به علاوه یا منهای دو: برخی محدودیت ها در ظرفیت ما برای پردازش اطلاعات" نوشت. این مقاله در مورد محدودیت‌هایی صحبت می‌کند که ما انسان‌ها وقتی می‌خواهیم اطلاعات خاصی را به خاطر بسپاریم، تجربه می‌کنیم. یکی از نتیجه‌گیری‌های این کار این است که یک فرد متوسط ​​می‌تواند هفت (7) اطلاعات را در یک زمان به اضافه/منهای دو (2) به خاطر بسپارد. بعدها دانشمندان دیگر سعی کردند این را ثابت کنند یک فرد معمولیتنها قادر به یادآوری پنج (5) قطعه اطلاعات در یک زمان، به علاوه/منهای دو (2) است. به هر حال، اگر این نظریه درست تلقی شود، با توصیه هایی در مورد طول و پیچیدگی رمزهای عبور، که در منابع مختلف خوانده می شود، یا می توان از آنها شنید، در تضاد است. افراد مختلفبا افزایش حساسیت امنیتی

اغلب گفته می شود که پیچیدگی یکی از بزرگترین تهدیدها برای امنیت است. یکی از زمینه‌هایی که می‌توانید این الگو را ببینید، زمانی است که کاربران و مدیران باید سیاست‌های پیچیده رمز عبور را اعمال کنند. خلاقیت و راه‌حل‌های مختلفی که گاهی اوقات می‌بینم کاربران و مدیران در به خاطر سپردن گذرواژه‌های خود دچار مشکل می‌شوند، هرگز مرا شگفت‌زده نمی‌کنند. اما در عین حال، این مشکل تقریبا همیشه در پنج جدول راهنما قرار دارد. و اکنون که گارتنر و فورستر محاسبه کرده‌اند که هر تماس از دست دادن رمز عبور با میز کمک حدود 10 دلار آمریکا هزینه دارد، تحلیل مقرون به صرفه بودن سیاست رمز عبور فعلی سازمان آسان است.

پسوردها به عنوان تنها مکانیزم احراز هویت، تا زمانی که رمز عبور بیش از 15 کاراکتر داشته باشد و حداقل یک کاراکتر غیر انگلیسی را شامل شود، خوب هستند. عبارت‌های عبور نمونه‌هایی از رمزهای عبور طولانی هستند که به خاطر سپردن آن‌ها برای کاربران آسان‌تر است. این تضمین می کند که بیشتر حملات رنگین کمانی، از جمله حملات 8 بیتی، دقیقاً به دلیل پیچیدگی اضافه ای که شخصیت های "خارجی" ارائه می دهند، شکست خواهند خورد.

یادداشت:از زمان ویندوز 2000، رمز عبور می تواند تا 127 کاراکتر باشد.

با این حال، دلیل موثر نبودن رمزهای عبور به عنوان تنها مکانیزم احراز هویت این است که کاربران در حدس زدن و به خاطر سپردن رمزهای عبور خوب و قوی بد هستند. علاوه بر این، رمزهای عبور اغلب به درستی محافظت نمی شوند. خوشبختانه راه حل های امنیتی وجود دارد که با استفاده از رمزهای عبور کوتاه و آسان برای به خاطر سپردن امنیت و راحتی را افزایش می دهد.

احراز هویت مبتنی بر تراشه

یکی از این راه حل های امنیتی، احراز هویت مبتنی بر تراشه است که اغلب به عنوان احراز هویت دو مرحله ای شناخته می شود. احراز هویت دو مرحله ای از ترکیبی از عناصر زیر استفاده می کند:

1. چیزی که دارید، مانند کارت هوشمند یا درایو فلش USB.
2. چیزی که می دانید، مانند شماره شناسایی شخصی (PIN). پین به کاربر امکان دسترسی به گواهی دیجیتال ذخیره شده در کارت هوشمند را می دهد.

شکل 1 دو راه حل متفاوت را نشان می دهد که اساساً نماینده یک فناوری هستند. صادقانه بگویم، تفاوت اصلی در قیمت و شکل است، اگرچه هر راه حل ممکن است دارای گزینه های اضافی باشد، همانطور که به زودی خواهیم دید.

نمونه ای از کارت هوشمند که برای احراز هویت از راه دور استفاده می شود، احراز هویت ویندوز،

دسترسی فیزیکی و پرداخت نمونه ای از درایو فلش USB با احراز هویت مبتنی بر تراشه و حافظه فلش برای ذخیره اطلاعات.

کارت های هوشمند مانند درایوهای فلش USB دارای یک تراشه داخلی هستند. این تراشه یک ریزپردازنده 32 بیتی است و معمولاً شامل یک تراشه حافظه 32 کیلوبایت یا 64 کیلوبایت (EEPROM - حافظه فقط خواندنی قابل برنامه ریزی با قابلیت پاک کردن الکتریکی) (RAM - RAM) است که در یک کارت هوشمند یا درایو فلش USB تعبیه شده است. امروزه کارت های هوشمند و کارت های USB تا 256 کیلوبایت وجود دارد حافظه دسترسی تصادفیبرای ذخیره سازی امن داده ها

یادداشت:وقتی در این مقاله از فضای ذخیره سازی صحبت می کنیم، در مورد ذخیره سازی روی یک تراشه امن جاسازی شده صحبت می کنیم، نه بر روی خود دستگاه.

این تراشه دارای سیستم عامل کوچک و حافظه کمی برای ذخیره گواهی های مورد استفاده برای احراز هویت است. این سیستم عامل چیپ برای هر سازنده متفاوت است، بنابراین باید از سرویس CSP (ارائه دهنده خدمات رمزنگاری) در ویندوز استفاده کنید که از سیستم عامل چیپ پشتیبانی می کند. در مقاله بعدی به سرویس CSP خواهیم پرداخت. راه حل مبتنی بر تراشه دارای مزایای خاصی نسبت به سایر راه حل های احراز هویت چند عاملی است، زیرا می توان از آن برای ذخیره تأیید هویت، شناسایی و گواهی امضا استفاده کرد. همانطور که قبلا ذکر شد، همه چیز توسط یک کد پین محافظت می شود که به کاربر امکان دسترسی به داده های ذخیره شده روی تراشه را می دهد. از آنجایی که سازمان ها اغلب کارت های هوشمند و درایوهای فلش خود را نگهداری و منتشر می کنند، می توانند تعیین کنند که کدام خط مشی با این راه حل مرتبط خواهد بود. به عنوان مثال، اینکه آیا کارت مسدود می شود یا پس از آن داده ها از آن پاک می شوند ایکستعداد تلاش های ناموفق از آنجایی که این خط‌مشی‌ها را می‌توان همراه با یک پین استفاده کرد، پین می‌تواند بسیار کوتاه‌تر و راحت‌تر به خاطر سپرده شود، بدون هیچ خطر امنیتی. تمامی این پارامترها از لحظه صدور روی کارت هوشمند ذخیره می شوند. راه حل مبتنی بر تراشه همچنین در برابر دستکاری های خارجی مصون است، بنابراین بدون کد پین مورد نیاز، به اطلاعات (گواهی ها و اطلاعات شخصی) ذخیره شده در تراشه نمی توان دسترسی داشت و بنابراین نمی توان برای هر هدفی از آنها استفاده کرد.

کارت هوشمند یا فلش USB؟

همانطور که گفتیم یکی از تفاوت های کارت های هوشمند با فلش USB در فرم فاکتور است. هر دو راه حل با چالش کلی احراز هویت دو مرحله ای مواجه می شوند، اما هر راه حلی مزایا و معایب خود را دارد. کارت هوشمند می تواند برای شناسایی عکس استفاده شود زیرا می توانید عکس و نام خود را روی آن چاپ کنید. درایو فلش USB ممکن است دارای حافظه فلش برای ذخیره اسناد و فایل ها باشد. هر دو دستگاه را می توان برای کنترل دسترسی فیزیکی به یک روش یا روش دیگر استفاده کرد. کارت هوشمند ممکن است شامل یک تراشه، نوار مغناطیسی، بارکد و قابلیت‌های بدون تماس باشد، در حالی که فلش مموری ممکن است قابلیت بدون تماس یا پشتیبانی بیومتریک را اضافه کرده باشد.

یادداشت:عوامل شکل دیگری مانند تلفن های همراه وجود دارد که سیم کارت (ماژول هویت مشترک) می تواند همان هدفی را که کارت هوشمند یا درایو فلش USB انجام می دهد، انجام دهد.

یک کارت هوشمند به یک کارت خوان هوشمند نیاز دارد، در حالی که یک درایو فلش USB را می توان با فلش موجود در رایانه استفاده کرد. پورت USBو از آن برای شبیه سازی کارتخوان هوشمند استفاده کنید. کارت‌خوان‌های هوشمند امروزه یا باید از رابط‌هایی مانند PC Card، ExpressCard، USB استفاده کنند یا داخلی باشند، برخی از تولیدکنندگان لپ‌تاپ و کیبورد چنین کارت‌خوان‌هایی را بر روی مدل‌های خود ساخته‌اند. کارت‌خوان‌های هوشمند، بدون در نظر گرفتن سیستم‌عامل چیپ، دستگاه‌های استاندارد ویندوز در نظر گرفته می‌شوند و دارای یک توصیفگر امنیتی و یک شناسه PnP هستند. هر دو کارت خوان و درایوهای فلش USB به درایور نیاز دارند دستگاه های ویندوزیقبل از اینکه بتوانید از آنها استفاده کنید، بنابراین مطمئن شوید که از جدیدترین درایورها به دلایل عملکرد در هنگام احراز هویت دو مرحله ای استفاده می کنید.

قیمت اولیه هر دستگاه می تواند در انتخاب راه حل حرفی برای گفتن داشته باشد، اما تفاوت های دیگری مانند عامل روانی مرتبط با چنین راه حل های احراز هویت را نیز باید در نظر گرفت. کارت هوشمند و کارت اعتباری تقریباً یکسان هستند، امروزه بسیاری از کارت‌های اعتباری دارای تراشه‌های تعبیه‌شده هستند. امروزه بسیاری از شرکت ها از کارت های هوشمند هم برای دسترسی فیزیکی و هم برای پرداخت وعده های غذایی و موارد مشابه استفاده می کنند. این به این معنی است که کارت راحت است و همچنین دارای ارزش پولی است و بنابراین، مردم مجبور هستند از چنین کارتی محافظت کنند و به یاد داشته باشند که همیشه آن را همراه خود داشته باشند. همچنین کاملاً در یک کیف پول جا می شود که بسته به نوع نگاه شما به آن، می تواند تأثیر امنیتی بیشتری نیز داشته باشد.

چند سوال برای بررسی

هنگام انتخاب راه حل احراز هویت مبتنی بر تراشه، سؤالات و ملاحظاتی وجود دارد که باید در نظر گرفته شود.

1. سازگاری» مطمئن شوید که سیستم عامل تراشه با CSP که قصد استفاده از آن را دارید، سازگار است. همانطور که در مقاله بعدی خواهید آموخت، CSP میان افزار بین سیستم عامل تراشه و ویندوز است و همچنین مسئول سیاست امنیتی اعمال شده بر روی تراشه است.
2. کنترل» اگر نیاز به استفاده از کارت هوشمند یا فلش درایو برای استفاده تعداد زیادی از افراد دارید، مطمئن شوید که سیستم عامل چیپ سازگار با سیستم مدیریت کارت (CMS) مورد نظر خود را انتخاب کنید.
3. قابلیت گسترش» مطمئن شوید که سیستم عامل تراشه می تواند توسط همه برنامه های کاربردی لازم و نیازهای احراز هویت مورد نیاز شما استفاده شود. در آینده، ممکن است به گواهی‌های اضافی روی کارت هوشمند یا فلش مموری نیاز داشته باشید، مانند امضای ایمیل یا حتی بیومتریک. برای جزئیات فنی، کارت دسترسی مشترک وزارت دفاع آمریکا (CAC) را بررسی کنید، که برای ذخیره مقادیر زیادی از اطلاعات کاربر استفاده می شود (لینک زیر را ببینید). فقط مطمئن شوید که هنگام استفاده از اطلاعاتی مانند بیومتریک، مسائل مربوط به حریم خصوصی را در نظر بگیرید. در ادامه این مجموعه مقالات به این موضوع خواهیم پرداخت.
4. سهولت استفاده» مطمئن شوید که یک راه حل مبتنی بر تراشه را انتخاب کرده اید که کاربر پسند و کاربردی باشد. مشکل اصلی راه‌حل‌های احراز هویت چند عاملی این است که کاربران تمایل دارند کارت‌های هوشمند یا فلش درایوهای خود را فراموش کنند یا گم کنند، یا در صورت عدم استفاده مکرر از دستگاه، پین خود را فراموش کنند.

نتیجه

در مقاله بعدی به بررسی این روند خواهیم پرداخت آماده سازی ویندوزبرای پشتیبانی از دستگاه های احراز هویت چند عاملی و همچنین نکاتی برای تهیه و استفاده از کارت های هوشمند و فلش درایوهای خود در ویندوز XP و ویندوز سرورمحیط زیست 2003.

منبع www.windowsecurity.com

نظرات خوانندگان (بدون نظر)

صرافی 2007

مسائل امنیتی امنیت اطلاعاتباید به طور سیستماتیک و جامع مورد توجه قرار گیرد. نقش مهمی در این امر توسط مکانیسم های قابل اعتماد برای دسترسی ایمن ایفا می شود.از جمله احراز هویت کاربرو حفاظت از داده های ارسالی

امنیت اطلاعات بدون احراز هویت و نفوذ به داخل غیرممکن است محیط شرکتی دستگاه های تلفن همراهو فناوری های ابری نمی توانند بر اصول امنیت اطلاعات تأثیر بگذارند. احراز هویت - روشی برای تأیید هویت موضوع در سیستم اطلاعاتی توسط برخی از شناسه ها (به شکل 1 مراجعه کنید). یک سیستم احراز هویت کاربر قابل اعتماد و کافی جزء ضروری یک سیستم امنیت اطلاعات شرکت است. البته کانال های ارتباطی مختلف می توانند و باید از مکانیسم های احراز هویت مختلفی استفاده کنند که هر کدام مزایا و معایب خاص خود را دارند، در قابلیت اطمینان و هزینه راه حل ها، سهولت استفاده و مدیریت متفاوت هستند. بنابراین هنگام انتخاب آنها لازم است ریسک ها را تحلیل کرد و امکان سنجی اقتصادی اجرا را ارزیابی کرد.

برای احراز هویت کاربران استفاده می شود فن آوری های مختلف- از گذرواژه‌ها، کارت‌های هوشمند، نشانه‌ها تا بیومتریک (به نوار کناری "روش‌های احراز هویت بیومتریک" مراجعه کنید) بر اساس ویژگی‌های شخصی یک فرد مانند اثر انگشت، ساختار شبکیه، و غیره. سیستم‌های احراز هویت قوی دو یا چند عامل را بررسی می‌کنند.

روش های احراز هویت بیومتریک

سیستم‌های احراز هویت دو مرحله‌ای در زمینه‌هایی مانند تجارت الکترونیک، از جمله بانکداری اینترنتی، و احراز هویت دسترسی از راه دور از محل کار غیرقابل اعتماد استفاده می‌شوند. روش های بیومتریک احراز هویت قوی تری را ارائه می کنند. چنین سیستم هایی دسترسی را با اثر انگشت، هندسه صورت، اثر یا الگوی رگ کف دست، ساختار شبکیه، الگوی عنبیه و صدا و غیره اجرا می کنند. روش های بیومتریک به طور مداوم در حال بهبود هستند - هزینه راه حل های مناسب کاهش می یابد و قابلیت اطمینان آنها افزایش می یابد. محبوب ترین و قابل اعتمادترین فناوری ها، احراز هویت بیومتریک با استفاده از اثر انگشت و عنبیه است. سیستم‌های اسکن اثر انگشت و تشخیص هندسه چهره حتی در دستگاه‌های مصرف‌کننده - گوشی‌های هوشمند و لپ‌تاپ‌ها نیز استفاده می‌شوند.

احراز هویت با استفاده از بیومتریک به شما امکان می دهد سطح امنیت را برای موارد حیاتی افزایش دهید عملیات مهم. اعطای دسترسی به شخصی که حق این کار را ندارد تقریباً غیرممکن است، اما به اشتباه رد شدن از دسترسی بسیار رایج است. برای جلوگیری از چنین سوء تفاهمی استفاده از سیستم‌های احراز هویت چند عاملی زمانی امکان‌پذیر است که فرد شناسایی شود، برای مثال، هم با اثر انگشت و هم از طریق هندسه صورت. درجه کلی قابلیت اطمینان سیستم متناسب با تعداد عوامل استفاده شده رشد می کند.

علاوه بر این، هنگام استفاده از بیومتریک برای دسترسی به کلیدها و گواهی‌های کارت هوشمند، کار با دومی و فرآیند احراز هویت ساده می‌شود: به جای وارد کردن رمز عبور پیچیده، فقط با انگشت خود اسکنر را لمس کنید.

بهترین روش احراز هویت قوی دو طرفه بر اساس فناوری امضای دیجیتال الکترونیکی (EDS) در نظر گرفته می‌شود. در مواقعی که استفاده از این فناوری غیرممکن یا غیرعملی است، توصیه می شود از رمزهای عبور یکبار مصرف و با حداقل خطرات، از رمزهای قابل استفاده مجدد استفاده کنید.

الکسی الکساندروف، رئیس شرکای فناوری در علاءالدین R.D توضیح می دهد: "بدون احراز هویت، صحبت در مورد امنیت در یک سیستم اطلاعاتی غیرممکن است." - راه های مختلفی برای آن وجود دارد - به عنوان مثال، استفاده از رمزهای عبور قابل استفاده مجدد یا یک بار مصرف. با این حال، احراز هویت چند عاملی زمانی قابل اعتمادتر است که امنیت نه تنها بر اساس آگاهی از یک راز خاص (رمز عبور)، بلکه بر اساس داشتن یک دستگاه خاص و یک یا چند دستگاه باشد. ویژگی های بیومتریککاربر. رمز عبور را می توان دزدید یا حدس زد، اما بدون دستگاه احراز هویت - رمز USB، کارت هوشمند یا سیم کارت - مهاجم نمی تواند به سیستم دسترسی پیدا کند. استفاده از دستگاه هایی که نه تنها در ایستگاه های کاری، بلکه در سیستم عامل های تلفن همراه نیز پشتیبانی می شوند، به شما امکان می دهد تا احراز هویت چند عاملی را برای دارندگان تلفن های همراه یا تبلت ها اعمال کنید. این همچنین در مورد مدل Bring Your Own Device (BYOD) صدق می کند."

"امروز ما شاهد افزایش علاقه به توکن ها هستیم - تولید کننده های رمز یک بار مصرف (One Time Password، OTP) تولید کنندگان مختلف. معرفی چنین سیستم هایی در حال حاضر به استاندارد واقعی برای بانکداری اینترنتی تبدیل شده است و هنگام سازماندهی به طور فزاینده ای مورد تقاضا است. دسترسی از راه دوراز دستگاه های تلفن همراه، - یوری سرگیف، رئیس گروه طراحی مرکز امنیت اطلاعات شرکت جت اینفوسیستمز می گوید. - استفاده از آنها راحت و آسان است که به آنها امکان استفاده در همه جا را می دهد. متخصصان به فناوری‌هایی که نیازی به نصب و مدیریت نرم‌افزار «اضافی» در سمت مشتری ندارند، علاقه نشان می‌دهند. راه حلی مانند CryptoPro DSS با سرویس های مختلف وب ادغام می شود، نیازی به سمت کلاینت ندارد و از الگوریتم های رمزنگاری روسی پشتیبانی می کند.

این نرم افزار و سیستم سخت افزاری برای ذخیره سازی ایمن متمرکز کلیدهای خصوصی کاربر و همچنین برای اجرای عملیات از راه دور برای ایجاد طراحی شده است. امضای الکترونیک. از روش های مختلف احراز هویت پشتیبانی می کند: یک عاملی - با ورود و رمز عبور. دو عاملی - استفاده از گواهی های دیجیتال و توکن های USB یا کارت های هوشمند. دو عاملی - با ورودی اضافی رمز عبور یک بار مصرف که از طریق پیامک تحویل داده می شود.

یکی از روندهای کلیدی در زمینه امنیت اطلاعات مربوط به رشد تعداد دستگاه های تلفن همراه است که کارمندان اداری یا راه دور برای کار با اطلاعات محرمانه از آنها استفاده می کنند. اطلاعات شرکت ها: پست الکترونیک، ذخیره سازی اسناد، برنامه های تجاری مختلف و غیره. در عین حال، چه در روسیه و چه در خارج از کشور، مدل BYOD زمانی که مجاز به استفاده از دستگاه های شخصی در محل کار است، روز به روز محبوب تر می شود. مقابله با تهدیدات همزمان یکی از واقعی ترین و سخت ترین مشکلات امنیت سایبری است که باید در پنج تا هفت سال آینده حل شود، تاکید شرکت آوان پست.

درک توسط فعالان بازار از نیاز به معرفی سیستم های احراز هویت و امضای دیجیتال (EDS)، تغییر قوانین در زمینه حفاظت از داده های شخصی، اتخاذ الزامات صدور گواهینامه (FSB و FSTEC روسیه)، اجرای پروژه هایی مانند "دولت الکترونیک" و " پورتال خدمات عمومی"، توسعه بانکداری از راه دور و بانکداری اینترنتی، جستجوی فرصت هایی برای تعیین مسئولیت در فضای مجازی - همه اینها به افزایش علاقه به راه حل های نرم افزاری و سخت افزاری کمک می کند که سهولت استفاده و حفاظت پیشرفته را ترکیب می کند.

امضای دیجیتالی

شکل 2.دستگاه احراز هویت را می توان به شکل فاکتورهای مختلفی ساخت: توکن USB، کارت هوشمند، مناسب برای استفاده در دستگاه های تلفن همراه کارت microSD(توکن MicroSD ایمن) و حتی یک سیم کارت که تقریباً توسط همه پشتیبانی می شود تلفن های همراهو گوشی های هوشمند همچنین می تواند دارای عملکردهای اضافی باشد - به عنوان مثال، یک کارت هوشمند می تواند به عنوان کارت پرداخت بانکی، گذرنامه الکترونیکی به محل، ابزاری برای احراز هویت بیومتریک باشد.

فناوری‌های احراز هویت فرستنده که برای کارت‌ها و توکن‌های هوشمند اعمال می‌شوند (شکل 2 را ببینید)، بالغ‌تر، کاربردی‌تر و راحت‌تر می‌شوند. به عنوان مثال، آنها می توانند به عنوان مکانیزم احراز هویت برای منابع وب، خدمات الکترونیکی و برنامه های پرداخت امضای دیجیتال استفاده شوند. امضای دیجیتال یک کاربر خاص را با یک کلید رمزگذاری نامتقارن خصوصی مرتبط می کند. پیوست به یک پیام الکترونیکی، به گیرنده اجازه می دهد تا تأیید کند که فرستنده همان چیزی است که ادعا می کند. فرم های رمزگذاری می تواند متفاوت باشد.

کلید خصوصی که تنها یک مالک دارد، برای امضای دیجیتال و رمزگذاری انتقال داده ها استفاده می شود. خود پیام می تواند توسط هر کسی با کلید عمومی خوانده شود. امضای دیجیتال الکترونیکی را می توان توسط یک توکن USB، یک دستگاه سخت افزاری که یک جفت کلید تولید می کند، تولید کرد. گاهی اوقات روش‌های احراز هویت مختلف با هم ترکیب می‌شوند - به عنوان مثال، یک کارت هوشمند با یک رمز با یک کلید رمزنگاری تکمیل می‌شود و برای دسترسی به آخرین هشدار وارد کردن کد پین (احراز هویت دو مرحله ای) مشاهده می شود. هنگام استفاده از توکن ها و کارت های هوشمند، کلید امضای خصوصی از توکن خارج نمی شود. بنابراین، امکان سازش کلید منتفی است.

استفاده از EDS توسط ابزارها و فناوری های ویژه ای که زیرساخت کلید عمومی را تشکیل می دهند (زیرساخت کلید عمومی، PKI) ارائه می شود. مؤلفه اصلی PKI CA است که مسئولیت صدور کلیدها را بر عهده دارد و اصالت گواهینامه هایی را که مطابقت بین کلید عمومی و اطلاعاتی را که صاحب کلید را شناسایی می کند تأیید می کند، تضمین می کند.

توسعه دهندگان اجزای مختلفی را برای جاسازی توابع رمزنگاری در برنامه های کاربردی وب ارائه می دهند، مانند SDK ها و افزونه ها برای مرورگرهای دارای API برای دسترسی به توابع رمزنگاری. با کمک آنها می توانید عملکردهای رمزگذاری، احراز هویت و امضای دیجیتال را با سطح امنیتی بالا پیاده سازی کنید. ابزارهای امضای دیجیتال نیز در قالب خدمات آنلاین ارائه می شوند (به نوار کناری "EDS به عنوان یک سرویس" مراجعه کنید).

EDS به عنوان یک سرویس

برای خودکار کردن امضا، تبادل و ذخیره اسناد الکترونیکی، می توانید از سرویس آنلاین eSign-PRO (www.esign-pro.ru) استفاده کنید. همه در آن ثبت شده است اسناد الکترونیکیتوسط یک امضای دیجیتال محافظت می شود و تشکیل و تأیید امضای دیجیتال در سمت مشتری با استفاده از ماژول رمزنگاری eSign انجام می شود. پلاگین های رمزنگاریبرای اولین باری که به پورتال دسترسی پیدا می کنید، مرورگر نصب شده است. ایستگاه های کاری با سرور وب پورتال با استفاده از پروتکل TLS در حالت احراز هویت یک طرفه سرور تعامل دارند. احراز هویت کاربر بر اساس شناسه های شخصی و رمزهای عبوری است که پس از برقراری ارتباط ایمن به سرور منتقل می شود.

سرویس eSign-PRO توسط یک زیرساخت کلید عمومی مبتنی بر مرکز صدور گواهینامه e-Notary معتبر توسط سرویس مالیات فدرال روسیه و متعلق به Signal-COM پشتیبانی می‌شود، اما گواهی‌های صادر شده توسط مرکز صدور گواهی دیگر نیز قابل پذیرش است.

همانطور که توسعه دهندگان تاکید می کنند، این سرویس با الزامات قانون فدرال شماره 63-FZ "در مورد امضای الکترونیکی" مطابقت دارد و از ابزارهای تایید شده توسط FSB روسیه استفاده می کند. حفاظت رمزنگاری"Crypto-COM 3.2". اطلاعات کلیدی را می توان در رسانه های مختلف از جمله توکن های USB ذخیره کرد.

زیرساخت PKI بهترین طرح است احراز هویت امنکاربران، - کریل مشچریاکوف، رئیس بخش کار با شرکای فناوری شرکت اکتیو در نظر گرفته است. - هنوز چیزی قابل اعتمادتر از گواهی های دیجیتال در این زمینه اختراع نشده است. اینها ممکن است گواهینامه های صادر شده توسط دولت باشند اشخاص حقیقیبرای استفاده در یک سرویس ابری یا گواهی های دیجیتال شرکتی برای پیاده سازی مدل BYOD. علاوه بر این، اگر شرکت‌های تجاری فرصت اتصال به مراکز صدور گواهینامه دولتی را داشتند، می‌توان از اولی برای دسترسی به منابع درون شرکتی استفاده کرد. هنگامی که گواهی های دیجیتال در هر جایی که نیاز به احراز هویت کاربر باشد استفاده می شود، زندگی شهروندان عادی به طرز محسوسی ساده می شود. ذخیره‌سازی مطمئن و مطمئن گواهی‌های دیجیتال در حال حاضر تنها به یک روش - با کمک کارت‌ها و توکن‌های هوشمند - ارائه می‌شود.

با توجه به توجه روزافزون دولت به حوزه هایی مانند امضای دیجیتال و کارت های هوشمند و همچنین اهمیت داشتن احراز هویت چندعاملی قابل اعتماد و راحت در سیستم های اطلاعاتی مختلف و توسعه سیستم های پرداخت الکترونیکی و مدیریت اسناد الکترونیکی از نظر قانونی مهم، داخلی توسعه دهندگان به بهبود راه حل های خود و گسترش خطوط تولید ادامه می دهند.

توکن های USB و کارت های هوشمند

شکل 3استفاده از کارت های هوشمند به عنوان وسیله ای برای احراز هویت در هنگام کار با سیستم های اطلاعاتی، پورتال های وب و سرویس های ابری در هنگام دسترسی به آنها نه تنها از ایستگاه های کاری شخصی، بلکه از دستگاه های تلفن همراه امکان پذیر است، با این حال، این نیاز به یک خواننده خاص دارد، بنابراین گاهی اوقات این کار می شود. توکن راحت تری در فرم فاکتور MicroSD باشد.

کارت‌های هوشمند و توکن‌های USB می‌توانند به‌عنوان وسیله‌ای شخصی برای احراز هویت و امضای الکترونیکی برای سازمان‌دهی یک سند امن و دارای اهمیت قانونی عمل کنند. گردش مالی (شکل 3 را ببینید). علاوه بر این، استفاده از آنها این امکان را فراهم می کند تا ابزارهای احراز هویت - از سیستم عامل ها تا دسترسی به سیستم های کنترل به محل ها را یکپارچه کنیم.

توسعه دهندگان روسی نرم افزار و سخت افزار امنیت اطلاعات تجربه خوبی در ایجاد کلیدهای الکترونیکی (توکن ها) و شناسه ها انباشته اند. به عنوان مثال، شرکت Aktiv (www.rutoken.ru) خطی از توکن های USB Rutoken را صادر می کند که در حال حاضر شامل بیش از دوجین محصول از این دست است (شکل 4 را ببینید). از سال 1995 علاءالدین R.D در همین بازار فعالیت می کند.

شکل 4 Rutoken EDS شرکت Aktiv یک شناسه الکترونیکی با پیاده سازی سخت افزاری استاندارد روسی برای امضای الکترونیکی، رمزگذاری و هش است که ذخیره ایمن کلیدهای امضای الکترونیکی را در حافظه امن داخلی فراهم می کند. این محصول دارای گواهی FSB برای انطباق با الزامات حفاظت از اطلاعات رمزنگاری مطابق با کلاس KS2 و ابزارهای امضای الکترونیکی مطابق با قانون فدرال شماره 63-FZ "در مورد امضای الکترونیکی" و همچنین گواهی FSTEC برای انطباق با الزامات سطح چهارم کنترل عدم وجود قابلیت های اعلام نشده.

محصولات روتوکن با احراز هویت دو عاملی (دستگاه و کد پین) از ریزپردازنده های 32 بیتی ARM برای تولید جفت کلید، تولید و تأیید امضای الکترونیکی (الگوریتم GOST R 34.10-2001) و همچنین میکروکنترلرهای ایمن با حافظه غیر فرار برای ذخیره سازی داده های کاربر بر خلاف راه حل های توسعه یافته در جاوا، سیستم عامل در Rutoken در یک زبان کامپایل شده پیاده سازی می شود. به گفته توسعه دهندگان، این فرصت های بیشتری برای بهینه سازی نرم افزار می دهد. روتوکن نیازی به نصب درایور ندارد و به عنوان یک دستگاه HID تعریف شده است.

رمزنگاری منحنی بیضی در تشکیل EDS استفاده می شود. افزونه پیشنهادی برای مرورگرها (برای نصب نیازی به حقوق مدیر نیست) می‌تواند با یک توکن USB کار کند و یک رابط برنامه‌نویسی برای دسترسی به عملکردهای رمزنگاری دارد. این افزونه به شما اجازه می دهد تا Rutoken را با بانکداری از راه دور و سیستم های مدیریت اسناد الکترونیکی ادغام کنید.

دستگاه Rutoken PINPad (Rutoken EDS با صفحه نمایش) به شما این امکان را می دهد که سند امضا شده را قبل از اعمال امضای الکترونیکی تجسم کنید و در نتیجه از خود در برابر حملاتی که با استفاده از ابزارهای کنترل از راه دور برای جایگزینی محتویات سند هنگام انتقال برای امضا انجام می شود محافظت کنید.

شرکت روسی علاءالدین R.D. طیف گسترده ای از کارت های هوشمند، JaCarta USB و توکن های Secure MicroSD را برای احراز هویت قوی، امضای الکترونیکی و ذخیره ایمن کلیدها و گواهی های دیجیتال منتشر می کند (شکل 5 را ببینید). این شامل محصولات سری JaCarta PKI است که برای استفاده در سیستم های شرکتی و دولتی طراحی شده است و JaCarta GOST - برای اطمینان از اهمیت قانونی اقدامات کاربر هنگام کار در خدمات مختلف الکترونیکی. در JaCarta در تمام سیستم عامل های تلفن همراه مدرن ( اپل iOS، اندروید، لینوکس، سیستم عامل مک و ویندوز) از احراز هویت قوی دو و سه عاملی، امضای الکترونیکی واجد شرایط پیشرفته و محافظت در برابر تهدیدات ناشی از یک محیط غیرقابل اعتماد استفاده می کنند.

الکسی الکساندروف می‌گوید دستگاه‌های خانواده JaCarta GOST الگوریتم‌های رمزنگاری روسی را در سخت‌افزار پیاده‌سازی می‌کنند و توسط سرویس امنیت فدرال فدراسیون روسیه به عنوان ابزار امضای الکترونیکی شخصی برای KC1 و KS2 تأیید شده‌اند. بنابراین، آنها می توانند برای احراز هویت با استفاده از مکانیسم های امضای الکترونیکی، برای تولید امضای الکترونیکی روی اسناد یا تأیید عملیات مختلف در سیستم های اطلاعاتی و همچنین هنگام کار با خدمات ابری استفاده شوند.

در دستگاه های خانواده JaCarta GOST، الگوریتم های رمزنگاری در سطح ریزپردازنده پیاده سازی می شوند و علاوه بر این، از طرحی برای کار با یک کلید امضای خصوصی غیر قابل بازیابی استفاده می شود. این رویکرد امکان سرقت کلید خصوصی امضا را از بین می برد و تشکیل EDS با استفاده از آن در داخل دستگاه انجام می شود. کلیدها و گواهی های موجود در JaCarta GOST را می توان برای احراز هویت دو مرحله ای قوی و تشکیل یک امضای الکترونیکی واجد شرایط پیشرفته در چندین سیستم اطلاعاتی که در یک یا چند زیرساخت PKI به طور همزمان کار می کنند استفاده کرد.

دستگاه‌های احراز هویت JaCarta به شکل‌های مختلفی در دسترس هستند، اما عملکرد یکسانی دارند، که به شما امکان می‌دهد از مکانیزم‌های احراز هویت یکسان در بسیاری از سیستم‌های اطلاعاتی، پورتال‌های وب، سرویس‌های ابری و برنامه‌های تلفن همراه استفاده کنید.

شکل 6اجرای سخت افزاری الگوریتم های رمزنگاری روسی تأیید شده توسط سرویس امنیت فدرال فدراسیون روسیه در JaCarta GOST امکان استفاده از هویت الکترونیکی کارمند را به عنوان ابزار EDS برای احراز هویت دقیق در سیستم های اطلاعاتی و اطمینان از اهمیت قانونی اقدامات وی می دهد.

رویکردی که در آن از دستگاه های مشابه برای حل تعدادی از مشکلات استفاده می شود (نگاه کنید به شکل 6) اخیراً به طور فزاینده ای محبوب شده است. به دلیل وجود یک یا دو تگ RFID در کارت هوشمند و ادغام با ACS، می توان از آن برای کنترل دسترسی به اماکن استفاده کرد. و پشتیبانی از الگوریتم‌های رمزنگاری خارجی (RSA) و ادغام با اکثر محصولات فروشندگان جهانی (مایکروسافت، سیتریکس، VMware، Wyse و غیره) امکان استفاده از کارت هوشمند را به عنوان ابزاری برای احراز هویت قوی در راه‌حل‌های زیرساخت شرکتی، از جمله کاربر، فراهم می‌کند. به مایکروسافت ویندوز وارد شوید، با VDI و سایر سناریوهای محبوب کار کنید. نرم افزاربدون نیاز به تغییر - پشتیبانی با اعمال فعال می شود تنظیمات خاصو سیاستمدار

سیستم های مدیریت برای شناسایی و دسترسی به منابع اطلاعاتی

کار مدیر امنیتی را به صورت خودکار انجام دهید و به سرعت به تغییرات خط مشی پاسخ دهید سیستم های مدیریت متمرکز چرخه عمر ابزارهای احراز هویت و EDS به صرفه جویی کمک می کند. به عنوان مثال، سیستم سیستم مدیریت JaСarta (JMS) علاءالدین R.D. طراحی شده برای ثبت و ثبت کلیه سخت افزارها و ابزارهای نرم افزاریاحراز هویت و ذخیره سازی اطلاعات کلیدیتوسط کارکنان در سراسر شرکت استفاده می شود.

وظایف آن مدیریت چرخه عمر این ابزارها، ممیزی استفاده از آنها، تهیه گزارش ها، به روز رسانی داده های احراز هویت، اعطای یا لغو دسترسی به برنامه ها در هنگام تغییر شغل یا اخراج یک کارمند، جایگزینی دستگاه در صورت از دست دادن یا آسیب، از کار انداختن تجهیزات است. . به منظور ممیزی ابزارهای احراز هویت، تمام حقایق استفاده از دستگاه در رایانه سازمانی و تغییر داده های ذخیره شده در حافظه آن ثبت می شود.

با کمک JMS، پشتیبانی فنی و پشتیبانی کاربر نیز اجرا می شود: جایگزینی یک کد پین فراموش شده، همگام سازی تولید کننده رمز یک بار مصرف، مدیریت شرایط معمولی از دست دادن یا شکستن یک توکن. و به لطف یک رمز مجازی نرم افزاری، کاربری که خارج از دفتر است، حتی اگر eToken گم شود، می تواند به کار با رایانه ادامه دهد یا بدون به خطر انداختن سطح امنیت، به منابع دسترسی امن داشته باشد.

به گفته شرکت علاءالدین R.D، JMS (نگاه کنید به شکل 7)، که توسط FSTEC روسیه تایید شده است، امنیت شرکت را با استفاده از گواهینامه های کلید عمومی X.509 و ذخیره کلیدهای خصوصی در حافظه امن کارت های هوشمند و توکن های USB بهبود می بخشد. این پیاده سازی و عملکرد راه حل های PKI را با استفاده از توکن های USB و کارت های هوشمند با خودکارسازی رویه های اداری و حسابرسی رایج ساده می کند.

شکل 7سیستم JMS علاءالدین R.D. از همه انواع و مدل‌های eToken پشتیبانی می‌کند، با Microsoft Active Directory ادغام می‌شود، و معماری باز به شما امکان می‌دهد برای برنامه‌های کاربردی و دستگاه‌های سخت‌افزار جدید (از طریق مکانیسم اتصال) پشتیبانی اضافه کنید.

امروزه سیستم های شناسایی و مدیریت دسترسی به منابع اطلاعاتی سازمانی (IDM) اهمیت فزاینده ای پیدا می کنند. Avanpost به تازگی نسخه چهارم محصول خود، مجموعه نرم افزار Avanpost را منتشر کرده است (شکل 8 را ببینید). به گفته سازندگان، بر خلاف راه حل های خارجی، پیاده سازی IDM Avanpost 4.0 در زمان کوتاهی انجام می شود و نیاز به هزینه کمتری دارد و ادغام آن با سایر عناصر سیستم های اطلاعاتی کامل ترین است. طراحی شده شرکت روسی، این محصول با چارچوب قانونی داخلی در زمینه امنیت اطلاعات مطابقت دارد، از مراکز صدور گواهینامه داخلی، کارت های هوشمند و توکن ها پشتیبانی می کند، استقلال فن آوری را در زمینه مهمی مانند کنترل دسترسی جامع به اطلاعات محرمانه فراهم می کند.

شکل 8نرم افزار آوان پست شامل سه ماژول اصلی IDM، PKI و SSO می باشد که به صورت مجزا یا هر ترکیبی قابل پیاده سازی هستند. این محصول با ابزارهایی تکمیل می شود که به شما امکان می دهد الگوهای نقش بسازید و نگهداری کنید، گردش کار مربوط به کنترل دسترسی را سازماندهی کنید، اتصال دهنده ها را به سیستم های مختلف توسعه دهید و گزارش ها را سفارشی کنید.

Avanpost 4.0 مشکل کنترل دسترسی پیچیده را حل می کند: IDM به عنوان عنصر مرکزی سیستم امنیت اطلاعات شرکت استفاده می شود که زیرساخت های PKI و Single Sign On (SSO) با آن یکپارچه شده اند. این نرم‌افزار از فناوری‌های احراز هویت دو و سه مرحله‌ای و شناسایی بیومتریک، پیاده‌سازی SSO برای پلتفرم‌های موبایل اندروید و iOS و همچنین کانکتورها (ماژول‌های رابط) با برنامه های کاربردی مختلف(شکل 9 را ببینید).

شکل 9معماری Avanpost 4.0 ایجاد کانکتورها را ساده می کند، به شما امکان می دهد مکانیسم های احراز هویت جدید اضافه کنید و گزینه های مختلفی را برای احراز هویت فاکتور N (به عنوان مثال از طریق تعامل با بیومتریک، سیستم های کنترل دسترسی و غیره) پیاده سازی کنید.

همانطور که توسط شرکت Avanpost تاکید شده است، محبوبیت سیستم های یکپارچه، از جمله IDM، ACS و سخت افزار احراز هویت بیومتریک، به تدریج در بازار روسیه رشد خواهد کرد، اما فناوری ها و راه حل های نرم افزاری که شامل دستگاه های تلفن همراه است: تلفن های هوشمند و تبلت ها حتی بیشتر مورد تقاضا خواهند بود. بنابراین، تعدادی به روز رسانی نرم افزار Avanpost 4.0 برای انتشار در سال 2014 برنامه ریزی شده است.

بر اساس Avanpost 4.0، می‌توانید کنترل‌های دسترسی جامعی را برای سیستم‌هایی ایجاد کنید که برنامه‌های سنتی و ابرهای خصوصی را ترکیب می‌کنند که روی مدل‌های IaaS، PaaS و SaaS کار می‌کنند (مدل دوم به یک API برنامه کاربردی ابری نیاز دارد). آوان پست می گوید که راه حل آن برای ابرهای خصوصی و سیستم های هیبریدی در حال حاضر به طور کامل توسعه داده شده است و تبلیغات تجاری آن به محض وجود تقاضای ثابت برای چنین محصولاتی در بازار روسیه آغاز خواهد شد.

ماژول SSO شامل قابلیت Avanpost Mobile است که از محبوبیت پشتیبانی می کند پلتفرم های موبایلاندروید و iOS. این ماژول دسترسی ایمن را از طریق یک مرورگر از دستگاه های تلفن همراه به درگاه های داخلی شرکت و برنامه های کاربردی اینترانت (پورتال، ایمیل شرکتی Microsoft Outlook Web App و غیره) فراهم می کند. نسخه برای سیستم عامل اندروید شامل یک سیستم SSO داخلی با امکانات کامل است که از تلفن VoIP، ویدئو و کنفرانس ویدیویی (اسکایپ، SIP) و همچنین هر برنامه اندروید (به عنوان مثال، کلاینت) پشتیبانی می کند. سیستم های شرکتی: حسابداری، CRM، ERP، HR، و غیره) و خدمات وب ابری.

این امر نیاز کاربران به به خاطر سپردن چندین جفت هویت (ورود به سیستم/رمز عبور) را از بین می‌برد و به سازمان‌ها اجازه می‌دهد تا سیاست‌های امنیتی را اعمال کنند که به گذرواژه‌های قوی و اغلب تغییر یافته نیاز دارند که در برنامه‌های کاربردی متفاوت است.

تقویت مداوم مقررات دولتی حوزه امنیت اطلاعات در روسیه به رشد بازار داخلی ابزارهای امنیت اطلاعات کمک می کند. بنابراین، بر اساس IDC، در سال 2013 حجم کل فروش نرم افزارهای امنیتی به بیش از 412 میلیون دلار رسیده است که بیش از 9 درصد از مدت مشابه دوره قبل بیشتر است. و اکنون، پس از کاهش مورد انتظار، پیش بینی ها خوش بینانه است: در سه سال آینده، متوسط ​​نرخ رشد سالانه ممکن است از 6٪ فراتر رود. بیشترین حجم فروش مربوط به راه حل های نرم افزاری برای محافظت از دستگاه های نهایی (بیش از 50 درصد از بازار امنیت اطلاعات)، نظارت بر آسیب پذیری ها و کنترل امنیت در شبکه های شرکتیو همچنین در مورد ابزارهای شناسایی و کنترل دسترسی.

یوری سرگیف می‌گوید: «الگوریتم‌های رمزنگاری داخلی کمتر از استانداردهای غربی نیستند و حتی به عقیده بسیاری از آنها برتر هستند. - در مورد ادغام پیشرفت های روسیه در زمینه احراز هویت و EDS با محصولات خارجی، ایجاد کتابخانه های منبع باز و ارائه دهندگان رمزنگاری برای راه حل های مختلف با کنترل کیفیت آنها توسط FSB روسیه و صدور گواهینامه افراد مفید خواهد بود. نسخه های پایدار. در این مورد، تولیدکنندگان می توانند آنها را در محصولات پیشنهادی جاسازی کنند، که به نوبه خود، با در نظر گرفتن صحت استفاده از کتابخانه ای که قبلاً تأیید شده است، به عنوان ابزار حفاظت از اطلاعات رمزنگاری تأیید شده است. شایان ذکر است که قبلاً موفقیت هایی حاصل شده است: مثال خوبدر حال توسعه وصله ها برای پشتیبانی از GOST در openssl است. با این حال، شایسته است به سازماندهی این روند در سطح ایالتی فکر کنیم.»

"صنعت فناوری اطلاعات روسیه مسیر تعبیه قطعات تایید شده داخلی را در کشورهای خارجی دنبال می کند سیستم های اطلاعاتی. این مسیر در حال حاضر بهینه است، زیرا توسعه اطلاعات و سیستم عامل های کاملاً روسی از ابتدا به طور غیر منطقی پیچیده و گران خواهد بود، - یادداشت کریل مشچریاکوف. - در کنار مشکلات سازمانی و مالی و قوانین ناکافی تدوین شده، سطح پایین آموزش مردم در زمینه امنیت اطلاعات و عدم حمایت اطلاعاتی دولتی از ارائه دهندگان راهکارهای امنیتی داخلی مانع استفاده گسترده از ابزارهای احراز هویت و دیجیتال می شود. امضاها محرک های بازار، البته، پلتفرم های معاملاتی، سیستم های گزارش مالیاتی، شرکت ها و سیستم های دولتیجریان کار. طی پنج سال گذشته، پیشرفت در توسعه صنعت بسیار زیاد است.

سرگئی اورلوف- سردبیر پیشرو مجله راه حل های شبکه / LAN. می توان با او تماس گرفت: