Nous créons une clé de sécurité USB à l'aide de Windows. Authentification multifacteur basée sur le matériel

U2F - un protocole ouvert qui permet une authentification universelle à 2 facteurs, est pris en charge Navigateur Chrome 38 et après. U2F a été développé par FIDO Alliance - une alliance de Microsoft, Google, Lenovo, MasterCard, Visa, PayPal, etc. Le protocole fonctionne sans installation supplémentaire chauffeurs dans systèmes d'exploitation Ah Windows/Linux/MacOS. Prestations Wordpress, Google, LastPass prennent en charge le protocole. Considérez tous les avantages et les inconvénients de travailler avec .

Avec la popularité croissante de l'authentification à deux facteurs, réalisée en appelant ou en envoyant un SMS, il est question légitime- est-ce pratique et cette méthode d'authentification présente-t-elle des pièges ?

En tant que méthode de vérification supplémentaire, l'authentification en appelant ou en envoyant un message est bien sûr très pratique. De plus, cette méthode s'est avérée efficace dans de nombreux cas - elle convient donc également comme mesure de protection contre le phishing, les attaques automatisées, la devinette de mot de passe, les attaques de virus, etc. Cependant, il y a un danger derrière la commodité - si les escrocs se mettent au travail, la liaison à un numéro de téléphone peut jouer contre vous. Le plus souvent, le compte est lié au numéro de contact spécifié de l'utilisateur, dont le premier ou le dernier chiffre peut être reconnu par n'importe qui s'il tente de restaurer l'accès au compte. De cette façon, les escrocs peuvent découvrir votre numéro de téléphone, puis établir à qui il est délivré. Après avoir reçu des informations sur le propriétaire, les fraudeurs se retrouvent avec de faux documents dans le salon de l'opérateur communications cellulaires demander une réémission de carte SIM. Tout employé de la succursale a le pouvoir de réémettre des cartes, ce qui permet aux fraudeurs, ayant reçu une carte SIM avec le numéro souhaité, d'entrer dans votre compte et d'effectuer d'éventuelles manipulations avec celui-ci.

Certaines entreprises, par exemple les grandes banques, enregistrent non seulement le numéro de téléphone du propriétaire, mais également un identifiant de carte SIM unique - IMSI, est enregistré avec lui, s'il change, la liaison du numéro de téléphone est annulée et doit être refaite personnellement par le client de la banque. Cependant, ces services ne sont pas assez répandus. Afin de connaître l'IMSI pour n'importe quel numéro de téléphone, vous pouvez envoyer une demande HLR spéciale sur le site smsc.ru/testhlr.

Moderne avec prise en charge de l'authentification en deux étapes dans le navigateur, ce qui garantit une sécurité supplémentaire pour votre compte, vous pouvez acheter dans notre boutique en ligne.

Cela augmente la probabilité de vol d'informations confidentielles ou crée les conditions d'une violation de l'accès à des données importantes.
Les gens vont à leur travail, et personne ne veut s'embêter avec toutes sortes d'absurdités comme "mot de passe pour Windows". Dans ce cas, la fuite et la faiblesse des mots de passe deviennent un problème sérieux pour les administrateurs réseau et les responsables de la sécurité des informations.

"D'ici 2008, le nombre de clés USB utilisées se rapprochera du nombre d'autres moyens d'authentification"
IDC 2004

Introduction

De nos jours, en raison de l'utilisation généralisée des ordinateurs, il est de plus en plus nécessaire de penser à la sécurité des informations traitées. La première étape de la sécurité consiste à authentifier l'utilisateur légitime.
Le moyen d'authentification le plus courant est un mot de passe. De plus, plus de 60% des utilisateurs, comme le montre la pratique, utilisent le plus souvent les mêmes mots de passe pour différents systèmes. Inutile de dire que cela réduit considérablement le niveau de sécurité. Que faire?
À mon avis, l'une des solutions au problème serait d'utiliser des clés d'authentification matérielles. Examinons plus en détail leur application sur l'exemple des clés USB d'Aladdin.

Qu'est-ce qu'eToken ?

eToken (Fig. 1) est un dispositif personnel d'authentification et de stockage de données, pris en charge par le matériel pour fonctionner avec des certificats numériques et une signature numérique électronique (EDS). eToken est émis sous la forme de :

• eToken PRO est un dongle USB qui permet une authentification à deux facteurs. Disponible en versions 32K et 64K.
• eToken NG-OTP est un hybride d'un dongle USB et d'un dispositif qui génère des mots de passe à usage unique (One Time Password, OTP). Disponible en versions 32K et 64K.
• La carte à puce eToken PRO est un dispositif qui remplit les mêmes fonctions qu'une clé USB, mais sous la forme d'une carte de crédit ordinaire. Disponible en versions 32K et 64K.

Dans le futur, on parlera plus précisément des clés USB qui se branchent directement sur le port USB d'un ordinateur et qui, contrairement à une carte à puce, ne nécessitent pas de lecteur particulier.
eToken dispose d'une mémoire non volatile sécurisée et est utilisé pour stocker des mots de passe, des certificats et d'autres données secrètes.

Figure 1 eToken Pro 64k

Dispositif eToken

Composants de la technologie eToken PRO :

• Puce de carte à puce Infineon SLE66CX322P ou SLE66CX642P (EEPROM d'une capacité de 32 ou 64 Ko, respectivement);
• Système d'exploitation de carte à puce Siemens CardOS V4.2 ;
• Algorithmes implémentés sur le matériel : RSA 1024 bits, DES, Triple-DES 168 bits, SHA-1, MAC, Retail-MAC, HMAC-SHA1 ;
• Générateur de nombres aléatoires matériel ;
• Contrôleur d'interface USB ;
• Source de pouvoir;
• Boîtier en plastique dur, ne se prête pas à une ouverture indétectable.

Les composants suivants sont également inclus dans l'appareil eToken NG-OTP :

• Générateur de mot de passe à usage unique ;
• Bouton pour leur génération ;
• Affichage LCD;

Prise en charge des interfaces :

• API Microsoft Crypto
• PKCS#11.

Code PIN

Pour accéder aux données stockées dans la mémoire de l'eToken, vous devez saisir un code PIN (numéro d'identification personnel). Il n'est pas recommandé d'utiliser des espaces et des lettres russes dans le code PIN. Cependant, le code PIN doit répondre aux critères de qualité spécifiés dans le fichier %systemroot%\system32\etcpass.ini.
Ce fichier contenant les critères de qualité du PIN est édité à l'aide de l'utilitaire eToken Properties.

Droits d'accès à eToken

Selon le modèle d'eToken et les options sélectionnées lors du formatage, il existe quatre types de droits d'accès à l'eToken :

• invité– la possibilité de visualiser des objets dans une zone mémoire ouverte ; la possibilité d'obtenir des informations générales concernant l'eToken à partir de la zone de mémoire système, y compris le nom de l'eToken, les identifiants et certains autres paramètres. Avec l'accès invité, il n'est pas nécessaire de connaître le code PIN ;
• Douane– le droit de visualiser, de modifier et de supprimer des objets dans les zones de mémoire fermée, ouverte et libre ; la possibilité d'obtenir des informations générales sur l'eToken ; le droit de modifier le code PIN et de renommer l'eToken ; le droit de configurer les paramètres de mise en cache du contenu de la zone de mémoire privée et la protection supplémentaire des clés privées avec un mot de passe (en l'absence de mot de passe administrateur ou avec l'autorisation de l'administrateur), le droit de visualiser et de supprimer les certificats dans l'eToken stockage et conteneurs de clés RSA ;
• administratif– le droit de modifier le PIN de l'utilisateur sans le savoir ; le droit de modifier le mot de passe administrateur ; le droit de configurer les paramètres de mise en cache du contenu d'une zone de mémoire privée et la protection supplémentaire des clés privées avec un mot de passe, ainsi que la possibilité de rendre ces paramètres disponibles en mode utilisateur ;
• initialisation– le droit de formater eToken PRO.

Seuls les deux premiers types de droits s'appliquent à eToken R2, les quatre à eToken PRO et eToken NG-OTP.
L'accès administrateur à eToken PRO ne peut être effectué qu'après la saisie du mot de passe administrateur correct. Si le mot de passe administrateur n'est pas défini pendant le processus de formatage, vous ne pouvez pas postuler avec des droits d'administrateur.

Logiciel pour eToken

informations générales

Environnement d'exécution eToken 3.65
eToken Run Time Environment (eToken RTE) est un ensemble de pilotes eToken. Ce progiciel inclut l'utilitaire eToken Properties.
Avec cet utilitaire, vous pouvez :

• configurer les paramètres d'eToken et de ses pilotes ;
• afficher les informations générales concernant eToken ;
• importer, afficher et supprimer des certificats (à l'exception des certificats du magasin eTokenEx) et des conteneurs de clés RSA ;
• formater eToken PRO et eToken NG-OTP ;
• configurer les critères de qualité du code PIN.

Des droits d'administrateur local sont requis pour installer ce logiciel. Il convient de rappeler qu'avant d'installer l'eToken RTE, vous ne pouvez pas connecter la clé eToken.
Le logiciel doit être installé dans l'ordre suivant :

• eToken RTE 3.65 ;
• eToken RTE 3.65 RUI (russification de l'interface) ;
• eToken RTX.

Installation et désinstallation sur le poste local eToken RTE 3.65

Installation

Figure 2 Configuration de l'environnement d'exécution eToken 3.65

Dans la fenêtre (Fig. 3), vous devez lire le contrat de licence et l'accepter.

Figure 3 Contrat de licence utilisateur final

Si vous n'êtes pas d'accord avec les termes du contrat de licence, cliquez sur le bouton "Annuler" et interrompez ainsi le processus d'installation.
Si vous êtes d'accord avec le contrat de licence, sélectionnez "J'accepte le contrat de licence" et cliquez sur le bouton "Suivant". Sur l'écran, vous verrez la fenêtre suivante (Fig. 4):

Figure 4 Prêt à installer l'application

L'installation prendra un certain temps.
À la fin du processus d'installation (Fig. 5), cliquez sur le bouton "Terminer".

Figure 5 eToken Run Time Environment 3.65 a été installé avec succès
Vous devrez peut-être redémarrer votre ordinateur à la fin de l'installation.

eToken RTE 3.65 RUI

Installation
Pour installer eToken RTE 3.65 RUI, vous devez exécuter le programme d'installation.

Figure 6 Installation d'eToken 3.65 RUI
Dans la fenêtre qui apparaît (Fig. 6), cliquez sur le bouton "Suivant".

Figure 7 Fin de l'installation de l'interface utilisateur russe

Utilisation de la ligne de commande

Vous pouvez utiliser la ligne de commande pour installer et désinstaller eToken RTE 3.65, eToken RTE 3.65 RUI et eToken RTX.
Exemples de commandes :

• msiexec /qn /i
• msiexec /qb /i
• /q– installation d'eToken RTE 3.65 (eToken RTE 3.65 RUI, eToken RTX) en mode automatique sans boîtes de dialogue avec les paramètres par défaut ;
• /qb– installation d'eToken RTE 3.65 (eToken RTE 3.65 RUI, eToken RTX) en mode automatique avec paramètres par défaut et affichage du processus d'installation à l'écran ;
• msiexec /qn /x– suppression de eToken RTE 3.65 (eToken RTE 3.65 RUI, eToken RTX) en mode automatique sans boîtes de dialogue ;
• msiexec /qb /x– suppression de eToken RTE 3.65 (eToken RTE 3.65 RUI, eToken RTX) en mode automatique avec affichage du processus de suppression à l'écran.

Connexion de la clé USB eToken à votre ordinateur pour la première fois

Si eToken RTE 3.65 est installé sur votre ordinateur, connectez l'eToken à un port USB ou à un câble d'extension. Après cela, le processus de traitement du nouvel équipement commencera, ce qui peut prendre un certain temps. Lorsque le processus de traitement du nouvel équipement est terminé, le voyant lumineux de l'eToken s'allume.

Utilitaire de propriétés eToken

Figure 8 Fenêtre du programme "Propriétés de eToken"

L'utilitaire eToken Properties vous permet d'effectuer des opérations de gestion de jeton de base, telles que la modification des mots de passe, l'affichage des informations et des certificats stockés dans la mémoire eToken. De plus, à l'aide de l'utilitaire eToken Properties, vous pouvez rapidement et facilement transférer des certificats entre votre ordinateur et l'eToken, ainsi qu'importer des clés dans la mémoire de l'eToken.
Le bouton "Débloquer" est nécessaire si l'utilisateur a oublié son code PIN et ne peut pas se rendre chez l'administrateur eToken (par exemple, l'utilisateur est en voyage d'affaires). En contactant l'administrateur par e-mail, l'utilisateur pourra recevoir une demande hexadécimale de cet eToken de la part de l'administrateur, générée sur la base des données stockées dans la base de données TMS, en saisissant dans le champ "réponse" laquelle l'utilisateur aura accès pour modifier le code PIN.

Figure 9 Onglet Ordinateur

La modification du code PIN s'effectue conformément à la fig. Dix:

Figure 10 Modifier le code PIN
Lors de la modification du code PIN, il est nécessaire que le nouveau code PIN réponde aux exigences de qualité du mot de passe saisi. La qualité du mot de passe est vérifiée en fonction des critères saisis.
Pour vérifier si le mot de passe correspond aux critères sélectionnés, entrez le mot de passe dans la ligne. Sous cette ligne, des informations sont affichées sur les raisons pour lesquelles le mot de passe saisi ne répond pas aux critères sélectionnés en termes de pourcentage, et la qualité du mot de passe saisi est conditionnellement affichée graphiquement et en pourcentage selon les critères sélectionnés.

Liste des critères

Le tableau répertorie les critères de qualité du PIN et leurs valeurs configurables. Une valeur négative, exprimée en pourcentage, peut être utilisée comme valeur de critère. Cette valeur s'appelle une pénalité.

Dictionnaire

Pour définir une liste de mots de passe invalides ou indésirables, créez fichier texte. Ou vous pouvez utiliser les soi-disant dictionnaires de fréquence, qui sont utilisés pour deviner les mots de passe. Les fichiers de ces dictionnaires peuvent être trouvés sur le site www.passwords.ru.
Un exemple d'un tel dictionnaire :
Anne
Annette
facture
le mot de passe
William
Attribuez au critère "Dictionnaire" le chemin d'accès au fichier créé. Dans ce cas, le chemin d'accès au fichier dictionnaire sur chaque poste doit correspondre à la valeur du critère "Dictionnaire".

Connectez-vous à Windows avec eToken

informations générales

eToken SecurLogon combine une sécurité réseau efficace avec commodité et mobilité. L'authentification Windows utilise le nom d'utilisateur et le mot de passe stockés dans la mémoire de l'eToken. Cela permet d'appliquer une authentification forte basée sur des jetons.
Parallèlement, je voudrais ajouter que dans les grandes entreprises utilisant une structure de domaine, il est nécessaire de réfléchir à la mise en place de PKI et à l'utilisation centralisée de SmartCardLogon.
Lors de l'utilisation d'eToken SecurLogon, des mots de passe complexes aléatoires inconnus peuvent être utilisés. De plus, vous pouvez utiliser les certificats stockés dans la mémoire eToken pour l'inscription de la carte à puce, ce qui augmente la sécurité de la connexion à Windows.
Cela est possible car Windows 2000/XP autorise divers mécanismes d'accès qui remplacent la méthode d'authentification par défaut. Les mécanismes d'identification et d'authentification pour le service de connexion Windows (winlogon), qui fournit une connexion interactive, sont intégrés dans une bibliothèque de liens dynamiques (DLL) remplaçable appelée GINA (Graphical Identification and Authentication, Authentication Desktop). Lorsque le système a besoin d'une méthode d'authentification différente qui remplacerait le mécanisme nom d'utilisateur/mot de passe (utilisé par défaut), le msgina.dll standard est remplacé nouvelle bibliothèque.
L'installation d'eToken SecurLogon remplace la bibliothèque de bureau d'authentification et crée de nouveaux paramètres de registre. GINA est responsable de la politique de connexion interactive et procède à l'identification et au dialogue avec l'utilisateur. Le remplacement de la bibliothèque d'authentification de bureau fait d'eToken le principal mécanisme d'authentification qui étend l'authentification standard de Windows 2000/XP basée sur le nom d'utilisateur et le mot de passe.
Les utilisateurs peuvent écrire dans la mémoire de l'eToken les informations nécessaires pour se connecter à Windows (profils), si cela est autorisé par la politique de sécurité de l'entreprise.
Les profils peuvent être créés à l'aide de l'assistant de création de profil de connexion Windows eToken.

Commencer

eToken SecurLogon authentifie un utilisateur Windows 2000/XP/2003 avec un eToken en utilisant soit le certificat de carte à puce de l'utilisateur, soit un nom d'utilisateur et un mot de passe stockés dans la mémoire de l'eToken. eToken RTE comprend tout fichiers nécessaires et des pilotes prenant en charge eToken dans eToken Windows Logon.

Exigences minimales

Conditions d'installation d'eToken Windows Logon :

• eToken Runtime Environment (version 3.65 ou 3.65) doit être installé sur tous les postes de travail ;
• eToken SecurLogon est installé sur un ordinateur exécutant Windows 2000 (SP4), Windows XP (SP2) ou Windows 2003 (SP1). eToken SecurLogon prend en charge la boîte de dialogue d'accueil classique de Windows (mais pas le nouvel écran d'accueil de Windows XP) et ne prend pas en charge le mode de changement rapide d'utilisateur sous Windows XP.

Jetons pris en charge

eToken SecurLogon prend en charge les appareils eToken suivants :

• eToken PRO est un dongle USB qui permet une authentification à deux facteurs. Disponible en versions 32K et 64K ;
• eToken NG-OTP est un hybride d'une clé USB et d'un appareil qui génère des mots de passe à usage unique. Disponible en versions 32K et 64K ;
• La carte à puce eToken PRO est un dispositif qui remplit les mêmes fonctions qu'une clé USB, mais qui a la forme d'une carte de crédit ordinaire. Disponible en versions 32K et 64K.

Environnement d'exécution eToken (RTE)

L'environnement d'exécution eToken (RTE) contient tous les fichiers et pilotes qui prennent en charge eToken dans eToken Windows Logon. Cet ensemble comprend également un utilitaire eToken Properties qui permet à l'utilisateur de gérer facilement le code PIN et le nom eToken.
Tous les nouveaux eTokens ont le même code PIN défini par défaut lors de la production. Ce code PIN est 1234567890. Pour garantir une authentification forte à deux facteurs et une fonctionnalité complète, l'utilisateur doit obligatoirement remplacer le code PIN par défaut par son propre code PIN immédiatement après avoir reçu un nouveau eToken.
Important:Le code PIN ne doit pas être confondu avec le mot de passe de l'utilisateur les fenêtres .

Installation

Afin d'installerjeton électroniqueles fenêtresSe connecter:

• connectez-vous en tant qu'utilisateur avec des droits d'administrateur ;
• double-cliquez sur SecurLogon - 2.0.0.55.msi ;
• La fenêtre de l'assistant d'installation d'eToken SecurLogon apparaîtra (Fig. 11) ;
• Cliquez sur " Suivant", Le contrat de licence eToken Enterprise apparaîtra ;
• lire l'accord, cliquez sur le " jeJ'accepte"(j'accepte), puis le bouton " Suivant";
• redémarrage à la fin de l'installation.

Figure 11 Installation de SecurLogon

Installation à l'aide ligne de commande:
eToken SecurLogon peut être installé à l'aide de la ligne de commande :
msiexec /Option [facultatif]
Possibilités d'installation :

• – installation ou configuration du produit ;
• /un- installation administrative– installation du produit dans le réseau ;
• /j

Annonce du produit :

• "m" – tous les utilisateurs ;
• "u" – utilisateur actuel ;
• – Annuler l'installation du produit.

Option d'affichage:

• /quiet - mode silencieux, aucune interaction de l'utilisateur ;
• /passif - mode automatique - barre de progression uniquement ;
• /q - sélection du niveau d'interface utilisateur ;
• n - pas d'interface ;
• b – interface principale ;
• r – interface abrégée ;
• F- interface complète(défaut);
• /help - affiche l'aide à l'utilisation.

Options de redémarrage

• /norestart - ne redémarre pas une fois l'installation terminée ;
• /promptrestart - demande de réinstallation si nécessaire ;
• /forcerestart - redémarrez toujours l'ordinateur une fois l'installation terminée.

Options de journalisation
/ l ;

• i – messages d'état ;
• w - messages sur les erreurs récupérables ;
• e - tous les messages d'erreur ;
• a – lancements d'actions ;
• r - enregistrements spécifiques à l'action ;
• u – demandes des utilisateurs ;
• c – paramètres initiaux de l'interface utilisateur ;
• m - informations sur la sortie en raison d'un manque de mémoire ou d'une erreur fatale ;
• o – messages concernant l'espace disque insuffisant ;
• p – propriétés terminales ;
• v- sortie détaillée;
• x – informations de débogage supplémentaires ;
• + - ajouter à un fichier journal existant ;
• ! - vider chaque ligne dans le journal ;
• * - enregistre toutes les informations à l'exception des options "v" et "x" /log est équivalent à /l* .

Options de mise à jour :

• /update [;Update2.msp] – applique les mises à jour ;
• /uninstall [;Update2.msp] /package - Désinstalle les mises à jour du produit.

Options de récupération :
/F
Récupération de produit :

• p - uniquement s'il n'y a pas de fichier ;
• o - si le fichier est manquant ou une ancienne version est installée (par défaut) ;
• e - si le fichier est manquant ou si une version identique ou antérieure est installée ;
• d - si le fichier est manquant ou une autre version est installée ;;
• c - si le fichier est manquant ou somme de contrôle ne correspond pas à la valeur calculée ;
• a - entraîne la réinstallation de tous les fichiers ;
• u - toutes les entrées de registre spécifiques à l'utilisateur requises (par défaut);
• m - toutes les entrées de registre nécessaires spécifiques à l'ordinateur (par défaut);
• s - tous les raccourcis existants (par défaut) ;
• v - exécuté à partir de la source avec remise en cache des packages locaux ;

Définition des propriétés générales :
Reportez-vous au Guide du développeur du programme d'installation Windows(R) pour Informations Complémentaires en utilisant la ligne de commande.

Génération automatique de mot de passe.

Lors de l'écriture d'un profil utilisateur dans la mémoire eToken, un mot de passe peut être généré automatiquement ou saisi manuellement. Lors de la génération automatique, un mot de passe aléatoire, d'une longueur maximale de 128 caractères, est généré. Dans ce cas, l'utilisateur ne connaîtra pas son mot de passe et ne pourra pas accéder au réseau sans la clé eToken. L'obligation d'utiliser uniquement des mots de passe générés automatiquement peut être configurée comme obligatoire.

Utiliser eToken SecurLogon

eToken SecurLogon permet aux utilisateurs de se connecter à Windows 2000/XP/2003 en utilisant un eToken avec un mot de passe stocké.

Enregistrement sous Windows

Vous pouvez vous connecter à Windows à l'aide d'un eToken ou en saisissant un nom d'utilisateur et un mot de passe Windows.

Pour vous inscrire auprès de Windows à l'aide d'un eToken :

1. Redémarrez votre ordinateur;
2. Un message de bienvenue de Windows apparaîtra ;
3. Si l'eToken est déjà connecté, cliquez sur le lien hypertexte Connexion avec eToken. Si l'eToken n'a pas été connecté, connectez-le au port ou au câble USB. L'une ou l'autre des méthodes de connexion affichera la fenêtre "Connexion à Windows" ;
4. Sélectionnez un utilisateur et saisissez le code PIN eToken ;
5. Cliquez sur le bouton "OK". Vous avez ouvert une session utilisateur à l'aide des informations d'identification stockées dans la mémoire eToken.
6. Si vous utilisez un eToken avec un certificat d'utilisateur de carte à puce, il vous suffit de saisir le code PIN eToken pour vous connecter à l'ordinateur.

Inscription enFenêtres sansjeton :

1. redémarrez votre ordinateur, appuyez sur la combinaison de touches CTRL + ALT + SUPPR, la fenêtre "Se connecter à Windows / Se connecter à Windows" apparaîtra ;
2. cliquez sur le bouton "OK" - vous êtes connecté avec votre nom d'utilisateur et votre mot de passe.

changement de mot de passe

Vous pouvez modifier votre mot de passe Windows après vous être connecté avec eToken.
Pour modifier votre mot de passe après vous être connecté avec eToken :

1. connectez-vous avec eToken ;
2. Cliquez sur " CTRL+ALT+DEL", une fenêtre apparaîtra" Sécuritéles fenêtres/ les fenêtresSécurité";
3. Clique le " changement de mot de passe/ monnaieMot de passe", si le mot de passe actuel a été créé manuellement, une fenêtre apparaîtra " changement de mot de passe/ monnaieMot de passe", mais si le mot de passe actuel a été généré de manière aléatoire, passez à l'étape 5 ;
4. Entrez un nouveau mot de passe dans les champs " nouveau mot de passe/ NouveauMot de passe"et " Confirmation/ ConfirmerNouveauMot de passe"et appuyez sur le bouton" D'ACCORD";
5. Si le mot de passe actuel a été généré de manière aléatoire, un nouveau mot de passe sera généré automatiquement ;
6. dans la boîte de dialogue qui apparaît, entrez le code PIN eToken et cliquez sur le " D'ACCORD"
7. une boîte de message de confirmation apparaîtra.

Protection des sessions utilisateur

Vous pouvez utiliser eToken pour sécuriser votre session de travail.

Verrouillage de votre poste de travail

Vous pouvez protéger votre ordinateur sans vous déconnecter en verrouillant votre ordinateur. Lorsque eToken est déconnecté du port ou du câble USB (après un enregistrement réussi), le système d'exploitation verrouille automatiquement votre ordinateur.

Pour déverrouiller votre ordinateur :

Lorsque votre ordinateur est verrouillé, le " Verrouillage de l'ordinateur l'ordinateurFermé à clé". Connectez l'eToken au port ou au câble USB. Dans la fenêtre qui apparaît, saisissez le code PIN dans le " jeton électroniqueMot de passe"et appuyez sur le bouton" D'ACCORD"L'ordinateur est déverrouillé.
Noter: en cas d'appui sur " CTRL+ALT+DEL"et en saisissant un mot de passe, l'ordinateur sera déverrouillé sans utiliser d'eToken.

Suppression manuelle

Dans les rares cas où vous auriez besoin de supprimer manuellement l'eToken SecurLogon, procédez comme suit :

• redémarrez votre ordinateur et démarrez dans mode sans échec;
• enregistrez-vous en tant qu'utilisateur avec des droits d'administrateur ;
• à l'aide de l'éditeur de registre, ouvrez la section HKEY_LOCAL_MADEHINE\LOGICIEL\Microsoft\les fenêtresNT\Courantversion\Winlogon et supprimer le " GinaDLL";
• redémarrez votre ordinateur, la prochaine fois que vous vous connecterez à Windows, une fenêtre apparaîtra Microsoft Windows se connecter.

Dépannage général

Vous devrez peut-être suivre les étapes suivantes pour résoudre les problèmes courants :

Si vous souhaitez lire la suite de cette série d'articles, veuillez cliquer ici.

Jusqu'à présent, les mots de passe étaient souvent le mécanisme d'authentification préféré/requis pour accéder à des systèmes et des données non sécurisés. Mais les demandes croissantes pour plus de sécurité et de commodité, sans complexité inutile, stimulent le développement des technologies d'authentification. Dans cette série d'articles, nous examinerons les différentes technologies d'authentification multifacteur pouvant être utilisées sous Windows. Dans la première partie, nous commencerons par examiner l'authentification par puce.

Lorsque le mot de passe ne fonctionne tout simplement pas

En 1956, George A. Miller a écrit un excellent article intitulé « The Magical Number Seven, Plus or Minus Two : Some Limits on Our Capacity for Processing Information ». Cet article parle des limitations que nous, en tant qu'êtres humains, rencontrons lorsque nous voulons nous souvenir de certaines informations. L'une des conclusions de ce travail est que la personne moyenne est capable de se souvenir de sept (7) informations à la fois, plus/moins deux (2). D'autres scientifiques ont ensuite tenté de prouver que une personne ordinaire n'est capable de retenir que cinq (5) éléments d'information à la fois, plus/moins deux (2) encore. Quoi qu'il en soit, si cette théorie est considérée comme correcte, alors elle contredit les conseils sur la longueur et la complexité des mots de passe, qui peuvent être lus dans diverses sources, ou qui peuvent être entendus de diverses personnes avec une sensibilité de sécurité accrue.

On dit souvent que la complexité est l'une des plus grandes menaces pour la sécurité. Un domaine où vous pouvez voir ce modèle est lorsque les utilisateurs et les administrateurs sont tenus d'appliquer des politiques de mot de passe complexes. La créativité et les diverses solutions de contournement que je vois parfois des utilisateurs et des administrateurs ayant du mal à se souvenir de leurs mots de passe ne cessent de m'étonner. Mais en même temps, ce problème figure presque toujours dans le top cinq du tableau d'aide. Et maintenant que Gartner et Forrester ont calculé que chaque appel de mot de passe perdu au service d'assistance coûte environ 10 USD, il est facile d'analyser la rentabilité de la politique de mot de passe actuelle d'une organisation.

Les mots de passe, en tant que seul mécanisme d'authentification, conviennent tant que le mot de passe comporte plus de 15 caractères et comprend au moins un caractère non anglais. Les phrases secrètes sont des exemples de mots de passe longs plus faciles à retenir pour les utilisateurs. Cela garantira que la plupart des attaques arc-en-ciel, y compris les attaques 8 bits, échoueront précisément en raison de la complexité supplémentaire fournie par les caractères "étrangers".

La note: Depuis l'époque de Windows 2000, le mot de passe peut comporter jusqu'à 127 caractères.

Cependant, la raison pour laquelle les mots de passe ne sont pas efficaces en tant que seul mécanisme d'authentification est que les utilisateurs ont du mal à deviner et à se souvenir de bons mots de passe forts. De plus, les mots de passe ne sont souvent pas correctement protégés. Heureusement, il existe des solutions de sécurité qui améliorent la sécurité et la commodité en utilisant des mots de passe courts et faciles à retenir.

Authentification par puce

L'une de ces solutions de sécurité est l'authentification par puce, souvent appelée authentification à deux facteurs. L'authentification à deux facteurs utilise une combinaison des éléments suivants :

1. Quelque chose que vous possédez, comme une carte à puce ou une clé USB.
2. Quelque chose que vous connaissez, comme un numéro d'identification personnel (NIP). Le code PIN permet à l'utilisateur d'accéder au certificat numérique stocké sur la carte à puce.

La figure 1 montre deux solutions différentes qui sont essentiellement représentatives de la même technologie. Franchement, la principale différence réside dans le prix et la forme, bien que chaque solution puisse contenir des options supplémentaires, comme nous le verrons bientôt.

Un exemple de carte à puce utilisée pour l'authentification à distance, l'authentification Windows,

accès physique et paiement Exemple de clé USB avec authentification par puce et mémoire flash pour stocker des informations. Figure 1 : Deux exemples d'appareils avec authentification par puce

Les cartes à puce, comme les clés USB, ont une puce intégrée. La puce est un microprocesseur 32 bits et contient généralement une puce mémoire de 32 Ko ou 64 Ko (EEPROM - Mémoire morte programmable effaçable électriquement) (RAM - RAM) intégrée dans une carte à puce ou une clé USB. Aujourd'hui, il existe des cartes à puce et des clés USB contenant jusqu'à 256 Ko mémoire vive pour le stockage sécurisé des données.

La note: Lorsque nous parlons de stockage dans cet article, nous parlons de stockage sur une puce sécurisée intégrée, et non sur l'appareil lui-même.

Cette puce a un petit système d'exploitation et peu de mémoire pour stocker les certificats utilisés pour l'authentification. Ce système d'exploitation de puce est différent pour chaque fabricant, vous devez donc utiliser le service CSP (Cryptographic Service Provider) de Windows qui prend en charge le système d'exploitation de la puce. Nous aborderons le service CSP dans le prochain article. La solution basée sur puce présente certains avantages par rapport aux autres solutions d'authentification multi-facteurs, car elle peut être utilisée pour stocker des certificats d'authentification, d'identification et de signature. Comme déjà mentionné, tout est protégé par un code PIN, qui donne à l'utilisateur un accès aux données stockées sur la puce. Étant donné que les organisations maintiennent et publient souvent leurs propres cartes à puce et lecteurs flash, elles peuvent également déterminer quelle stratégie sera associée à cette solution. Par exemple, si la carte sera bloquée ou si les données en seront effacées après X nombre de tentatives infructueuses. Étant donné que ces politiques peuvent être utilisées conjointement avec un code PIN, le code PIN peut être beaucoup plus court et plus facile à mémoriser, sans aucun risque de sécurité. Tous ces paramètres sont stockés sur la carte à puce dès son émission. La solution basée sur la puce est également insensible aux manipulations extérieures. Ainsi, sans le code PIN requis, les informations (certificats et informations personnelles) stockées sur la puce ne sont pas accessibles et ne peuvent donc pas être utilisées à quelque fin que ce soit.

Cartes à puce ou clés USB ?

Comme nous l'avons dit, l'une des différences entre les cartes à puce et les clés USB est le facteur de forme. Les deux solutions répondent au défi général de l'authentification à deux facteurs, mais chaque solution a ses avantages et ses inconvénients. La carte à puce peut être utilisée pour l'identification avec photo car vous pouvez y imprimer votre photo et votre nom. Un lecteur flash USB peut inclure une mémoire flash pour stocker des documents et des fichiers. Les deux appareils peuvent être utilisés pour contrôler l'accès physique d'une manière ou d'une autre. Une carte à puce peut inclure une puce, une bande magnétique, des codes à barres et des capacités sans contact, tandis qu'un lecteur flash peut avoir une capacité sans contact supplémentaire ou un support biométrique.

La note: Il existe d'autres facteurs de forme, tels que les téléphones portables, où la carte SIM (Subscriber Identity Module) peut avoir le même objectif qu'une carte à puce ou une clé USB.

Une carte à puce nécessite un lecteur de carte à puce, tandis qu'une clé USB peut être utilisée avec une clé existante sur un ordinateur. port USB et utilisez-le pour émuler un lecteur de carte à puce. Les lecteurs de cartes à puce doivent aujourd'hui utiliser des interfaces telles que PC Card, ExpressCard, USB ou être intégrés, certains fabricants d'ordinateurs portables et de claviers ont créé de tels lecteurs de cartes sur leurs modèles. Les lecteurs de cartes à puce sont considérés comme des appareils Windows standard, quel que soit le système d'exploitation de la puce, et ils ont un descripteur de sécurité et un identifiant PnP. Les lecteurs de cartes et les clés USB nécessitent un pilote Appareils Windows avant de pouvoir les utiliser, assurez-vous donc d'utiliser les derniers pilotes pour des raisons de performances lors de l'authentification à deux facteurs.

Le prix initial de chaque appareil peut avoir son mot à dire dans le choix d'une solution, mais d'autres différences doivent également être prises en compte, comme le facteur psychologique associé à de telles solutions d'authentification. Une carte à puce et une carte de crédit sont presque identiques, de nos jours, de nombreuses cartes de crédit ont également des puces intégrées. De nombreuses entreprises utilisent aujourd'hui des cartes à puce pour l'accès physique et le paiement des repas et autres. Cela signifie que la carte est pratique et a également une valeur monétaire, et, par conséquent, les gens sont obligés de protéger une telle carte et de se rappeler de l'avoir avec eux à tout moment. Il s'intègre également parfaitement dans un portefeuille, ce qui peut également avoir un effet de sécurité supplémentaire, selon la façon dont vous le regardez.

Quelques questions à considérer

Lors du choix d'une solution d'authentification basée sur une puce, certaines questions et considérations doivent être prises en compte.

1. Compatibilité» Assurez-vous que le système d'exploitation de la puce est compatible avec le CSP que vous avez l'intention d'utiliser. Comme vous l'apprendrez dans le prochain article, le CSP est le middleware entre le système d'exploitation de la puce et Windows et est également responsable de la politique de sécurité appliquée à la puce.
2. Contrôler» Si vous avez besoin d'utiliser une carte à puce ou un lecteur flash pour un grand nombre de personnes, assurez-vous de sélectionner le système d'exploitation de puce compatible avec le système de gestion de carte (CMS) de votre choix.
3. Extensibilité» Assurez-vous que le système d'exploitation de la puce peut être utilisé par toutes les applications nécessaires et les besoins d'authentification dont vous avez besoin. À l'avenir, vous aurez peut-être besoin de certificats supplémentaires sur une carte à puce ou un lecteur flash, tels que des signatures d'e-mail ou même des données biométriques. Consultez la carte d'accès commun du DoD (CAC) pour plus de détails techniques, qui est utilisée pour stocker de grandes quantités d'informations sur les utilisateurs (voir lien ci-dessous). Assurez-vous simplement de prendre en compte les problèmes de confidentialité lorsque vous utilisez des informations telles que la biométrie. Nous aborderons ce problème plus loin dans cette série d'articles.
4. Facilité d'utilisation» Assurez-vous de choisir une solution à base de puces conviviale et pratique. Un problème majeur avec les solutions d'authentification multifactorielle est que les utilisateurs ont tendance à oublier ou à perdre leurs cartes à puce ou leurs clés USB, ou à oublier leur code PIN si l'appareil n'est pas utilisé souvent.

Conclusion

Dans le prochain article, nous verrons le processus Préparation Windows pour prendre en charge les dispositifs d'authentification multifacteur, ainsi que quelques conseils pour préparer et utiliser vos cartes à puce et vos lecteurs flash sous Windows XP et Serveur Windows environnement 2003.

Source www.windowsecurity.com

Commentaires des lecteurs (Aucun commentaire)

Échange 2007

Les problèmes de sécurité la sécurité des informations doivent être traités de manière systématique et globale. Un rôle important à cet égard est joué par des mécanismes fiables d'accès sécurisé,y compris l'authentification de l'utilisateuret la protection des données transmises.

La sécurité de l'information est impossible sans authentification, et la pénétration dans environnement d'entreprise appareils mobiles et les technologies cloud ne peuvent qu'influencer les principes de la sécurité de l'information. Authentification - la procédure de confirmation de l'identité du sujet dans le système d'information par un identifiant (voir Figure 1). Un système d'authentification des utilisateurs fiable et adéquat est un élément essentiel d'un système de sécurité des informations d'entreprise. Bien sûr, différents canaux de communication peuvent et doivent utiliser différents mécanismes d'authentification, chacun ayant ses propres avantages et inconvénients, se différenciant par la fiabilité et le coût des solutions, la facilité d'utilisation et l'administration. Par conséquent, lors de leur choix, il est nécessaire d'analyser les risques et d'évaluer la faisabilité économique de la mise en œuvre.

Utilisé pour authentifier les utilisateurs différentes technologies- des mots de passe, des cartes à puce, des jetons à la biométrie (voir l'encadré "Méthodes d'authentification biométrique") basées sur des propriétés personnelles d'une personne telles qu'une empreinte digitale, une structure rétinienne, etc. Les systèmes d'authentification forts vérifient deux facteurs ou plus.

Méthodes d'authentification biométrique

Les systèmes d'authentification à deux facteurs sont utilisés dans des domaines tels que le commerce électronique, y compris les services bancaires par Internet, et l'authentification d'accès à distance à partir d'un lieu de travail non fiable. Les méthodes biométriques fournissent une authentification plus forte. De tels systèmes mettent en œuvre un accès par empreinte digitale, géométrie faciale, empreinte ou motif de veine palmaire, structure rétinienne, motif et voix de l'iris, etc. Les méthodes biométriques sont constamment améliorées - le coût des solutions appropriées est réduit et leur fiabilité est augmentée. Les technologies les plus populaires et les plus fiables sont l'authentification biométrique à l'aide d'une empreinte digitale et de l'iris. Les systèmes de lecture d'empreintes digitales et de reconnaissance de la géométrie du visage sont utilisés même dans les appareils grand public - smartphones et ordinateurs portables.

L'authentification par biométrie vous permet d'augmenter le niveau de sécurité des opérations importantes. Accorder l'accès à une personne qui n'en a pas le droit est presque impossible, mais refuser l'accès par erreur est assez courant. Pour éviter de tels malentendus Il est possible d'utiliser des systèmes d'authentification multifacteurs lorsqu'une personne est identifiée, par exemple, à la fois par une empreinte digitale et par la géométrie du visage. Le degré global de fiabilité du système augmente proportionnellement au nombre de facteurs utilisés.

De plus, lors de l'utilisation de la biométrie pour accéder aux clés et certificats sur une carte à puce, le travail avec cette dernière et le processus d'authentification sont simplifiés : au lieu de saisir un mot de passe complexe, il suffit de toucher le scanner avec le doigt.

La meilleure pratique est considérée comme une authentification forte bidirectionnelle basée sur la technologie de signature numérique électronique (EDS). Lorsqu'il est impossible ou peu pratique d'utiliser cette technologie, il est recommandé d'utiliser des mots de passe à usage unique et, avec un minimum de risques, des mots de passe réutilisables.

« Sans authentification, il est impossible de parler de sécurité dans un système d'information », explique Aleksey Alexandrov, responsable des partenaires technologiques chez Aladdin R.D. - Il existe différentes manières de le faire - par exemple, en utilisant des mots de passe réutilisables ou à usage unique. Cependant, l'authentification multifactorielle est plus fiable, lorsque la sécurité repose non seulement sur la connaissance d'un certain secret (mot de passe), mais également sur la possession d'un appareil spécial, et d'un ou plusieurs caractéristiques biométriques utilisateur. Le mot de passe peut être volé ou deviné, mais sans dispositif d'authentification - un jeton USB, une carte à puce ou une carte SIM - un attaquant ne pourra pas accéder au système. L'utilisation d'appareils pris en charge non seulement sur les postes de travail, mais également sur les plates-formes mobiles, vous permet d'appliquer une authentification multifacteur aux propriétaires de téléphones mobiles ou de tablettes. Cela s'applique également au modèle Bring Your Own Device (BYOD).

"Aujourd'hui, nous constatons une augmentation de l'intérêt pour les jetons - les générateurs de mots de passe à usage unique (One Time Password, OTP) divers fabricants. L'introduction de tels systèmes est déjà devenue la norme de facto pour les services bancaires par Internet et est de plus en plus demandée lors de l'organisation accès à distanceà partir d'appareils mobiles, - Yury Sergeev, le chef du groupe de conception du centre de la sécurité de l'information de la société Jet Infosystems dit. - Ils sont pratiques et faciles à utiliser, ce qui leur permet d'être utilisés partout. Les spécialistes s'intéressent aux technologies qui ne nécessitent pas l'installation et la gestion de logiciels "supplémentaires" côté client. Une solution comme CryptoPro DSS s'intègre à divers services Web, n'a pas besoin d'un côté client et prend en charge les algorithmes de chiffrement russes.

Ce système logiciel et matériel est conçu pour le stockage sécurisé centralisé des clés privées des utilisateurs, ainsi que pour l'exécution à distance des opérations de création signature électronique. Il prend en charge différentes méthodes d'authentification : un facteur - par identifiant et mot de passe ; à deux facteurs - à l'aide de certificats numériques et de jetons USB ou de cartes à puce ; à deux facteurs - avec saisie supplémentaire d'un mot de passe à usage unique envoyé par SMS.

L'une des principales tendances dans le domaine de la sécurité de l'information est liée à la croissance du nombre d'appareils mobiles que les employés de bureau ou à distance utilisent pour travailler avec des informations confidentielles. information d'entreprise: e-mail, stockage de documents, diverses applications professionnelles, etc. Dans le même temps, tant en Russie qu'à l'étranger, le modèle BYOD devient de plus en plus populaire, lorsqu'il est permis d'utiliser des appareils personnels au travail. La lutte contre les menaces qui surgissent en même temps - l'un des problèmes les plus actuels et les plus difficiles de la cybersécurité qui devrait être résolu dans les cinq à sept prochaines années, souligne la société Avanpost.

Compréhension par les acteurs du marché de la nécessité d'introduire des systèmes fiables d'authentification et de signature numérique (EDS), de modifier la législation dans le domaine de la protection des données personnelles, d'adopter des exigences de certification (FSB et FSTEC de Russie), de mettre en œuvre des projets tels que "Electronic Government" et " Portail des services publics », le développement de la banque à distance et de la banque par Internet, la recherche d'opportunités pour déterminer la responsabilité dans le cyberespace, tout cela contribue à un intérêt accru pour les solutions logicielles et matérielles qui allient facilité d'utilisation et protection renforcée.

SIGNATURE NUMÉRIQUE

Figure 2. Le dispositif d'authentification peut être réalisé sous différents facteurs de forme : jeton USB, carte à puce, pratique pour une utilisation sur des appareils mobiles carte Micro SD(Secure MicroSD token) et même une carte SIM supportée par presque tous téléphones portables et smartphones. Il peut également être doté de fonctionnalités supplémentaires - par exemple, une carte à puce peut servir de carte de paiement bancaire, de laissez-passer électronique pour les locaux, de moyen d'authentification biométrique.

Appliquées aux cartes à puce et aux jetons (voir Figure 2), les technologies d'authentification de l'expéditeur deviennent plus matures, pratiques et pratiques. Par exemple, ils peuvent être utilisés comme mécanisme d'authentification pour les ressources Web, les services électroniques et les applications de paiement par signature numérique. Une signature numérique associe un utilisateur particulier à une clé de chiffrement asymétrique privée. Attaché à un message électronique, il permet au destinataire de vérifier que l'expéditeur est bien celui qu'il prétend être. Les formes de cryptage peuvent être différentes.

La clé privée, qui n'a qu'un seul propriétaire, est utilisée pour signer numériquement et chiffrer la transmission des données. Le message lui-même peut être lu par toute personne disposant de la clé publique. Une signature numérique électronique peut être générée par un jeton USB, un dispositif matériel qui génère une paire de clés. Parfois, différentes méthodes d'authentification sont combinées - par exemple, une carte à puce est complétée par un jeton avec une clé cryptographique, et pour accéder au dernier avertissement La saisie du code PIN (authentification à deux facteurs) est en cours de visualisation. Lors de l'utilisation de jetons et de cartes à puce, la clé de signature privée ne quitte pas le jeton. Ainsi, la possibilité d'un compromis clé est exclue.

L'utilisation d'EDS est assurée par des outils et des technologies spécifiques qui constituent l'infrastructure à clé publique (Public Key Infrastructure, PKI). Le composant principal de la PKI est l'AC, qui est responsable de l'émission des clés et garantit l'authenticité des certificats qui confirment la correspondance entre la clé publique et les informations qui identifient le propriétaire de la clé.

Les développeurs proposent divers composants pour intégrer des fonctions cryptographiques dans les applications Web, tels que des SDK et des plug-ins pour navigateurs avec des API pour accéder aux fonctions cryptographiques. Avec leur aide, vous pouvez implémenter les fonctions de cryptage, d'authentification et de signature numérique avec un haut niveau de sécurité. Les outils de signature numérique sont également fournis sous forme de services en ligne (voir l'encadré « EDS en tant que service »).

EDS en tant que service

Pour automatiser la signature, l'échange et le stockage de documents électroniques, vous pouvez utiliser le service en ligne eSign-PRO (www.esign-pro.ru). Tous inscrits dedans documents électroniques sont protégés par une signature numérique, et la formation et la vérification de la signature numérique sont effectuées côté client à l'aide du module cryptographique eSign Plugins de chiffrement pour le navigateur installé la première fois que vous accédez au portail. Les postes de travail interagissent avec le serveur Web du portail à l'aide du protocole TLS en mode d'authentification serveur unidirectionnelle. L'authentification des utilisateurs est basée sur des identifiants personnels et des mots de passe transmis au serveur après l'établissement d'une connexion sécurisée.

Le service eSign-PRO est soutenu par une infrastructure à clé publique basée sur le centre de certification e-Notary accrédité par le Service fédéral des impôts de Russie et détenu par Signal-COM, mais les certificats émis par un autre centre de certification peuvent également être acceptés.

Comme le soulignent les développeurs, ce service est conforme aux exigences de la loi fédérale n° 63-FZ "Sur la signature électronique" et utilise des outils certifiés par le FSB de Russie protection cryptographique"Crypto-COM 3.2". Les informations clés peuvent être stockées sur divers supports, y compris des jetons USB.

"L'infrastructure PKI est le meilleur système pour authentification sécurisée utilisateurs, - Kirill Meshcheryakov, le chef de la direction sur le travail avec les partenaires technologiques de la société Aktiv considère. - Rien de plus fiable que les certificats numériques n'a encore été inventé dans ce domaine. Il peut s'agir de certificats émis par le gouvernement pour personnes pour une utilisation dans un service cloud ou des certificats numériques d'entreprise pour mettre en œuvre le modèle BYOD. De plus, les premiers pourraient être utilisés pour accéder aux ressources intra-entreprise si les entreprises commerciales avaient la possibilité de se connecter aux centres de certification de l'État. Lorsque des certificats numériques sont utilisés partout où l'authentification de l'utilisateur est requise, la vie des citoyens ordinaires sera sensiblement simplifiée. Le stockage fiable et sécurisé des certificats numériques n'est actuellement assuré que d'une seule manière - à l'aide de cartes à puce et de jetons.

Compte tenu de l'attention accrue portée par l'État à des domaines tels que la signature numérique et les cartes à puce, ainsi que de l'importance de disposer d'une authentification multifactorielle fiable et pratique dans divers systèmes d'information et du développement de systèmes de paiement électronique et de gestion de documents électroniques juridiquement significatifs, les les développeurs continuent d'améliorer leurs solutions et d'élargir leurs gammes de produits.

JETONS USB ET CARTES À PUCE

figure 3 L'utilisation de cartes à puce comme moyen d'authentification lorsque vous travaillez avec des systèmes d'information, des portails Web et des services cloud est possible lorsque vous y accédez non seulement à partir de postes de travail personnels, mais également à partir d'appareils mobiles, cependant, cela nécessite un lecteur spécial, donc parfois cela tourne être un jeton plus pratique dans le facteur de forme MicroSD.

Les cartes à puce et les jetons USB peuvent servir de moyen personnel d'authentification et de signature électronique pour organiser un document sécurisé et juridiquement significatif. chiffre d'affaires (voir figure 3). De plus, leur utilisation permet d'unifier les moyens d'authentification - des systèmes d'exploitation aux systèmes de contrôle d'accès aux locaux.

Les développeurs russes de logiciels et de matériel de sécurité de l'information ont accumulé une solide expérience dans la création de clés électroniques (jetons) et d'identifiants. Par exemple, la société Aktiv (www.rutoken.ru) émet une gamme de jetons USB Rutoken, qui comprend déjà plus d'une douzaine de produits de ce type (voir figure 4). Depuis 1995, Aladdin R.D. opère sur le même marché.

Figure 4 Rutoken EDS de la société Aktiv est un identifiant électronique avec implémentation matérielle de la norme russe de signature électronique, de cryptage et de hachage, qui assure le stockage sécurisé des clés de signature électronique dans la mémoire sécurisée intégrée. Le produit dispose d'un certificat FSB de conformité aux exigences de protection des informations cryptographiques selon la classe KS2 et pour les outils de signature électronique conformément à la loi fédérale n ° 63-FZ «Sur la signature électronique», ainsi qu'un certificat FSTEC de conformité avec les exigences du quatrième niveau de contrôle de l'absence de capacités non déclarées.

Les produits Rutoken avec authentification à deux facteurs (dispositif et code PIN) utilisent des microprocesseurs ARM 32 bits pour générer des paires de clés, générer et vérifier une signature électronique (algorithme GOST R 34.10-2001), ainsi que des microcontrôleurs sécurisés avec mémoire non volatile pour stocker les données de l'utilisateur. Contrairement aux solutions développées en Java, le firmware de Rutoken est implémenté dans un langage compilé. Selon les développeurs, cela donne plus de possibilités d'optimisation logicielle. Rutoken ne nécessite pas d'installation de pilote et est défini comme un périphérique HID.

La cryptographie à courbe elliptique est utilisée dans la formation de l'EDS. Le plug-in proposé pour les navigateurs (il ne nécessite pas de droits d'administrateur pour l'installation) peut fonctionner avec un jeton USB et dispose d'une interface de programmation pour accéder aux fonctions cryptographiques. Le plugin vous permet d'intégrer Rutoken à des systèmes bancaires à distance et de gestion électronique de documents.

Le dispositif Rutoken PINPad (Rutoken EDS avec écran) permet de visualiser le document en cours de signature avant d'apposer une signature électronique et ainsi de se protéger des attaques effectuées à l'aide d'outils de contrôle à distance pour remplacer le contenu du document lors du transfert pour signature.

La société russe Aladdin R.D. lance une large gamme de cartes à puce, de jetons JaCarta USB et Secure MicroSD pour l'authentification forte, la signature électronique et le stockage sécurisé des clés et des certificats numériques (voir Figure 5). Il comprend des produits de la série JaCarta PKI, conçus pour être utilisés dans les systèmes d'entreprise et gouvernementaux, et JaCarta GOST - pour garantir la signification juridique des actions des utilisateurs lorsqu'ils travaillent dans divers services électroniques. Dans JaCarta pris en charge sur toutes les plates-formes mobiles modernes ( AppleiOS, Android, Linux, Mac OS et Windows) utilisent une authentification forte à deux et trois facteurs, une signature électronique qualifiée améliorée et une protection contre les menaces provenant d'un environnement non fiable.

Les appareils de la famille JaCarta GOST implémentent des algorithmes cryptographiques russes dans le matériel et sont certifiés par le Service fédéral de sécurité de la Fédération de Russie en tant qu'outils de signature électronique personnelle pour KC1 et KS2, explique Alexey Alexandrov. Ainsi, ils peuvent être utilisés pour l'authentification à l'aide de mécanismes de signature électronique, pour générer une signature électronique sur des documents ou pour confirmer diverses opérations dans les systèmes d'information, ainsi que lors de l'utilisation de services cloud.

Dans les appareils de la famille JaCarta GOST, des crypto-algorithmes sont implémentés au niveau du microprocesseur et, en outre, un schéma permettant de travailler avec une clé de signature privée non récupérable est utilisé. Cette approche élimine la possibilité de voler la clé privée de la signature, et la formation d'un EDS l'utilisant est effectuée à l'intérieur de l'appareil. Les clés et certificats contenus dans JaCarta GOST peuvent être utilisés pour une authentification forte à deux facteurs et la formation d'une signature électronique qualifiée renforcée dans plusieurs systèmes d'information fonctionnant au sein d'une ou plusieurs infrastructures PKI à la fois.

Les dispositifs d'authentification JaCarta sont disponibles dans différents facteurs de forme, mais ont la même fonctionnalité, ce qui vous permet d'utiliser les mêmes mécanismes d'authentification dans de nombreux systèmes d'information, portails Web, services cloud et applications mobiles.

Figure 6 L'implémentation matérielle de crypto-algorithmes russes certifiés par le Service fédéral de sécurité de la Fédération de Russie dans JaCarta GOST permet l'utilisation de l'identité électronique d'un employé comme outil EDS pour une authentification stricte dans les systèmes d'information et garantissant la signification juridique de ses actions.

L'approche, dans laquelle les mêmes dispositifs sont utilisés pour résoudre un certain nombre de problèmes (voir Figure 6), est récemment devenue de plus en plus populaire. Grâce à la présence d'une ou deux étiquettes RFID dans la carte à puce et à l'intégration avec ACS, elle peut être utilisée pour contrôler l'accès aux locaux. Et la prise en charge des algorithmes cryptographiques étrangers (RSA) et l'intégration avec la plupart des produits des fournisseurs mondiaux (Microsoft, Citrix, VMware, Wyse, etc.) permettent d'utiliser une carte à puce comme moyen d'authentification forte dans les solutions d'entreprise d'infrastructure, y compris les utilisateurs. connectez-vous à Microsoft Windows, travaillez avec VDI ​​et d'autres scénarios populaires. Logiciel aucune modification requise - le support est activé en appliquant certains paramètres et homme politique.

SYSTÈMES DE GESTION POUR L'IDENTIFICATION ET L'ACCÈS AUX RESSOURCES D'INFORMATION

Automatisez le travail de l'administrateur de sécurité et répondez rapidement aux changements de politique sans Les systèmes de gestion centralisée du cycle de vie des outils d'authentification et des signatures numériques contribuent à la sécurité. Par exemple, le système JaСarta Management System (JMS) d'Aladdin R.D. conçu pour enregistrer et enregistrer tout le matériel et outils logiciels authentification et stockage information clé utilisé par les employés de toute l'entreprise.

Ses missions sont de gérer le cycle de vie de ces outils, d'auditer leur utilisation, d'établir des rapports, de mettre à jour les données d'authentification, d'accorder ou de révoquer l'accès aux applications lors d'un changement de poste ou d'un licenciement d'un salarié, de remplacer un appareil en cas de perte ou de détérioration, de démanteler un équipement . Aux fins d'audit des outils d'authentification, tous les faits d'utilisation de l'appareil sur l'ordinateur de l'entreprise et la modification des données stockées dans sa mémoire sont enregistrés.

A l'aide de JMS, un support technique et un support utilisateur sont également mis en place : remplacement d'un code PIN oublié, synchronisation du générateur de mot de passe à usage unique, gestion des situations typiques de perte ou de casse d'un token. Et grâce à un jeton virtuel logiciel, un utilisateur qui n'est pas au bureau, même si l'eToken est perdu, peut continuer à travailler avec l'ordinateur ou obtenir un accès sécurisé aux ressources sans compromettre le niveau de sécurité.

Selon la société Aladdin R.D., JMS (voir Figure 7), qui est certifié par le FSTEC de Russie, améliore la sécurité de l'entreprise en utilisant des certificats de clé publique X.509 et en stockant les clés privées dans la mémoire sécurisée des cartes à puce et des jetons USB. Il simplifie la mise en œuvre et le fonctionnement des solutions PKI utilisant des jetons USB et des cartes à puce en automatisant les procédures courantes d'administration et d'audit.

Figure 7 Système JMS d'Aladdin R.D. prend en charge tous les types et modèles d'eToken, s'intègre à Microsoft Active Directory et l'architecture ouverte vous permet d'ajouter la prise en charge de nouvelles applications et de nouveaux périphériques matériels (via le mécanisme de connecteur).

Aujourd'hui, les systèmes d'identification et la gestion des accès aux ressources d'information d'entreprise (IDM) prennent de plus en plus d'importance. Avanpost a récemment lancé la quatrième version de son produit, le progiciel Avanpost (voir Figure 8). Selon les développeurs, contrairement aux solutions étrangères, la mise en place d'IDM Avanpost 4.0 se fait en un temps court et nécessite moins de coût, et son intégration avec d'autres éléments des systèmes d'information est la plus complète. Conçu Entreprise russe, le produit est conforme au cadre réglementaire national dans le domaine de la sécurité de l'information, prend en charge les centres de certification nationaux, les cartes à puce et les jetons, offre une indépendance technologique dans un domaine aussi important que le contrôle d'accès complet aux informations confidentielles.

Figure 8 Le logiciel Avanpost comprend trois modules principaux - IDM, PKI et SSO, qui peuvent être mis en œuvre séparément ou dans n'importe quelle combinaison. Le produit est complété par des outils qui vous permettent de créer et de maintenir des modèles de rôle, d'organiser le flux de travail lié au contrôle d'accès, de développer des connecteurs vers divers systèmes et de personnaliser les rapports.

Avanpost 4.0 résout le problème du contrôle d'accès complexe : l'IDM est utilisé comme élément central du système de sécurité de l'information de l'entreprise, avec lequel les infrastructures PKI et Single Sign On (SSO) sont intégrées. Le logiciel prend en charge les technologies d'authentification à deux et trois facteurs et d'identification biométrique, la mise en œuvre de SSO pour les plates-formes mobiles Android et iOS, ainsi que les connecteurs (modules d'interface) avec applications diverses(Voir Figure 9).

Figure 9 L'architecture d'Avanpost 4.0 simplifie la création de connecteurs, permet d'ajouter de nouveaux mécanismes d'authentification et de mettre en œuvre diverses options d'authentification au facteur N (par exemple, par l'interaction avec la biométrie, les systèmes de contrôle d'accès, etc.).

Comme l'a souligné la société Avanpost, la popularité des systèmes intégrés, y compris l'IDM, l'ACS et le matériel d'authentification biométrique, augmentera progressivement sur le marché russe, mais les technologies logicielles et les solutions qui impliquent des appareils mobiles : smartphones et tablettes deviendront encore plus demandées. Par conséquent, un certain nombre de mises à jour du logiciel Avanpost 4.0 sont prévues pour 2014.

Basé sur Avanpost 4.0, vous pouvez créer des contrôles d'accès complets pour les systèmes qui combinent des applications traditionnelles et des clouds privés qui fonctionnent sur les modèles IaaS, PaaS et SaaS (ce dernier nécessite une API d'application cloud). Avanpost affirme que sa solution pour les clouds privés et les systèmes hybrides a déjà été entièrement développée et que sa promotion commerciale commencera dès qu'il y aura une demande stable pour de tels produits sur le marché russe.

Le module SSO inclut la fonctionnalité Avanpost Mobile qui prend en charge les plateformes mobiles Android et iOS. Ce module offre un accès sécurisé via un navigateur depuis les appareils mobiles aux portails internes de l'entreprise et aux applications intranet (portail, messagerie d'entreprise Microsoft Outlook Web App, etc.). La version pour Android OS contient un système SSO complet intégré qui prend en charge la téléphonie VoIP, la vidéo et la visioconférence (Skype, SIP), ainsi que toutes les applications Android (par exemple, les clients systèmes d'entreprise: comptabilité, CRM, ERP, RH, etc.) et les services Web cloud.

Cela élimine le besoin pour les utilisateurs de se souvenir de plusieurs paires d'identités (identifiant/mot de passe) et permet aux organisations d'appliquer des politiques de sécurité qui nécessitent des mots de passe forts et fréquemment modifiés qui varient selon les applications.

Le renforcement continu de la réglementation étatique de la sphère de la sécurité de l'information en Russie contribue à la croissance du marché intérieur des outils de sécurité de l'information. Ainsi, selon IDC, en 2013, le volume total des ventes de solutions logicielles de sécurité s'est élevé à plus de 412 millions de dollars, dépassant la même période de la période précédente de plus de 9%. Et maintenant, après la baisse attendue, les prévisions sont optimistes : dans les trois prochaines années, le taux de croissance annuel moyen pourrait dépasser 6 %. Les volumes de vente les plus importants concernent les solutions logicielles de protection des terminaux (plus de 50 % du marché de la sécurité de l'information), de surveillance des vulnérabilités et de contrôle de la sécurité dans réseaux d'entreprise, ainsi que sur les moyens d'identification et de contrôle d'accès.

"Les crypto-algorithmes nationaux ne sont pas inférieurs aux normes occidentales et même, selon beaucoup, ils sont supérieurs", déclare Yuri Sergeev. - Quant à l'intégration des développements russes dans le domaine de l'authentification et de l'EDS avec des produits étrangers, il serait utile de créer des bibliothèques open source et des fournisseurs de cryptographie pour diverses solutions avec leur contrôle qualité par le FSB de Russie et la certification des individus versions stables. Dans ce cas, les fabricants pourraient les intégrer dans les produits proposés, qui, à leur tour, seraient certifiés en tant qu'outils de protection des informations cryptographiques, en tenant compte de l'utilisation correcte d'une bibliothèque déjà vérifiée. Il convient de noter que certains succès ont déjà été obtenus : bon exemple développe des correctifs pour prendre en charge GOST dans openssl. Cependant, il vaut la peine de penser à organiser ce processus au niveau de l'État.

"L'industrie informatique russe suit la voie de l'intégration de composants certifiés nationaux dans des composants étrangers. Systèmes d'information. Cette voie est actuellement optimale, car le développement de systèmes d'information et d'exploitation entièrement russes à partir de zéro sera déraisonnablement complexe et coûteux, - note Kirill Meshcheryakov. - Parallèlement aux problèmes organisationnels et financiers, ainsi qu'à des lois insuffisamment développées, le faible niveau d'éducation de la population dans le domaine de la sécurité de l'information et le manque de soutien de l'État en matière d'information aux fournisseurs de solutions de sécurité nationales entravent l'utilisation généralisée des outils d'authentification et du numérique. signatures. Les moteurs du marché, bien sûr, sont les plateformes de négociation, les systèmes de déclaration fiscale, les entreprises et systèmes gouvernementaux flux de travail. Au cours des cinq dernières années, les progrès dans le développement de l'industrie sont énormes.

Sergueï Orlov- Rédacteur en chef du Journal of Network Solutions / LAN. Il peut être contacté au :