Vi skapar en usb-säkerhetsnyckel med Windows. Hårdvarubaserad multifaktorautentisering

U2F - ett öppet protokoll som möjliggör universell 2-faktors autentisering, stöds Chrome webbläsare 38 och senare. U2F utvecklades av FIDO Alliance - en allians av Microsoft, Google, Lenovo, MasterCard, Visa, PayPal, etc. Protokollet fungerar utan ytterligare installation förare in operativsystem ah Windows/Linux/MacOS. Wordpress tjänster, Google, LastPass stöder protokollet. Tänk på alla fördelar och nackdelar med att arbeta med .


Med den växande populariteten för tvåfaktorsautentisering, utförd genom att ringa eller skicka ett SMS, finns det berättigad fråga- Hur bekvämt är det och har denna autentiseringsmetod fallgropar?

Som en ytterligare verifieringsmetod är autentisering genom att ringa eller skicka ett meddelande, naturligtvis, mycket bekvämt. Dessutom har denna metod visat sig vara effektiv i många fall - så den är lika väl lämpad som en skyddsåtgärd mot nätfiske, automatiserade attacker, lösenordsgissning, virusattacker, etc. Det finns dock en fara bakom bekvämlighet - om bedragare ger sig i kast kan länkning till ett telefonnummer spela mot dig. Oftast är kontot kopplat till användarens angivna kontaktnummer, vars första eller sista siffra kan kännas igen av vem som helst om de försöker återställa åtkomsten till kontot. På så sätt kan bedragare ta reda på din telefonnummer, och sedan fastställa till vem den utfärdas. Efter att ha fått information om ägaren lämnas bedragare med falska dokument i operatörens salong cellulär kommunikation begära ett nytt SIM-kort. Varje filialanställd har befogenhet att återutge kort, vilket gör det möjligt för bedragare, som har fått ett SIM-kort med önskat nummer, att komma in på ditt konto och utföra eventuella manipulationer med det.


Vissa företag, till exempel stora banker, sparar inte bara ägarens telefonnummer, utan även en unik SIM-kortidentifierare, IMSI, sparas med den, om den ändras avbryts telefonnummerbindningen och det måste göras igen personligen pr. bankklienten. Dessa tjänster är dock inte tillräckligt utbredda. För att ta reda på IMSI för alla telefonnummer kan du skicka en speciell HLR-förfrågan på webbplatsen smsc.ru/testhlr.


Modernt med stöd för tvåstegsautentisering i webbläsaren, vilket garanterar extra säkerhet för ditt konto, kan du köpa i vår webbutik.

Lösenordsproblem på stora kontor.
Datorer har penetrerat och fortsätter att penetrera många branscher. Många fabriker och stora företag introducerar datorutrustning och skapar en informationsinfrastruktur. Mycket pengar läggs på personalutbildning och på övergångsprocessen från pappershantering till elektronisk dokumenthantering. Tillträdeskontroll till informationsresurser blir en svår uppgift.
Det händer ofta att anställda skriver ner lösenord på papperslappar som ligger på stationära datorer eller är tejpade på bildskärmar.

Detta ökar sannolikheten för stöld av konfidentiell information, eller skapar förutsättningar för kränkning av tillgång till viktig data.
Folk går på sitt arbete, och ingen vill störa deras huvuden med alla möjliga trams som "lösenord till Windows". I det här fallet blir lösenordsläckage och svaghet ett allvarligt problem för nätverksadministratörer och de ansvariga för informationssäkerhet.


Företag försöker lösa detta problem med hjälp av elektroniska nycklar - USB-nyckelbrickor, smarta kort och andra hårdvaruautentiseringsanordningar. Under vissa förutsättningar motiverar denna lösning sig själv. Nämligen:
  • När processen att byta från en vanlig autentiseringsmetod (med lösenord) till en tvåfaktorsmetod (med via USB nycklar) är tydligt planerad;
  • Företaget har kvalificerad personal för att underhålla ett sådant system,
  • Tillverkaren av sådana lösningar tillhandahåller omfattande support.

    Autentisering med usb blixt kör.
    Problem med lösenord och säkerhet, om än i mindre utsträckning, är fortfarande relevanta för vanliga användare. Använda ett USB-minne eller smartkort för att logga in på Windows hemdatorär mer av en personlig preferens än en nödvändighet.

    Autentisering med en USB-nyckelbricka eller smartkort är mest lämplig för små och medelstora kontor, såväl som för privata företag, på chefers datorer. Att ha en sådan nyckel till din dator förenklar avsevärt autentisering (användaråtkomst till Windows), även om lösenordsskydd finns.


    För autentisering i Windows är bättre total användning vanlig USB enhet (flashenhet).
    Med hjälp av programmet kan du se hur bekvämt det är att använda USB-enhet som en Windows-inloggningsnyckel eller för att komma åt .

    Med ett USB-minne?

    • "Senast 2008 kommer antalet USB-nycklar som används närma sig antalet andra autentiseringsmetoder"
    IDC 2004

    Introduktion

    Nuförtiden, på grund av den utbredda användningen av datorer, är det alltmer nödvändigt att tänka på säkerheten för bearbetad information. Det första steget i säkerhet är att autentisera den legitima användaren.
    Det vanligaste sättet för autentisering är ett lösenord. Dessutom använder mer än 60% av användarna, som praxis visar, oftast samma lösenord för olika system. Det behöver inte sägas att detta minskar säkerhetsnivån avsevärt. Vad ska man göra?
    Enligt min åsikt skulle en av lösningarna på problemet vara att använda nycklar för hårdvaruautentisering. Låt oss överväga deras tillämpning mer i detalj på exemplet med USB-nycklar från Aladdin.

    Vad är eToken?

    eToken (Fig. 1) är en personlig enhet för autentisering och datalagring, hårdvarustödd för att fungera med digitala certifikat och elektronisk digital signatur (EDS). eToken utfärdas i form av:

    • eToken PRO är en USB-dongel som tillåter tvåfaktorsautentisering. Finns i 32K och 64K versioner.
    • eToken NG-OTP är en hybrid av en USB-dongel och en enhet som genererar engångslösenord (One Time Password, OTP). Finns i 32K och 64K versioner.
    • eToken PRO smartkort är en enhet som utför samma funktioner som en USB-nyckel, men i form av ett vanligt kreditkort. Finns i 32K och 64K versioner.

    I framtiden kommer vi att prata specifikt om USB-nycklar som är anslutna direkt till USB-porten på en dator och, till skillnad från ett smartkort, inte kräver en speciell läsare.
    eToken har ett säkert icke-flyktigt minne och används för att lagra lösenord, certifikat och annan hemlig data.

    Bild 1 eToken Pro 64k

    eToken-enhet

    eToken PRO-teknikkomponenter:

    • Smartkortchip Infineon SLE66CX322P eller SLE66CX642P (EEPROM med en kapacitet på 32 respektive 64 KB);
    • Smartkort OS Siemens CardOS V4.2;
    • Hårdvaruimplementerade algoritmer: RSA 1024bit, DES, Triple-DES 168bit, SHA-1, MAC, Retail-MAC, HMAC-SHA1;
    • Slumptalsgenerator för hårdvara;
    • USB-gränssnittskontroller;
    • Energikälla;
    • Hus tillverkat av hårdplast, inte mottagligt för oupptäckbar öppning.

    Följande komponenter ingår dessutom i eToken NG-OTP-enheten:

    • Engångslösenordsgenerator;
    • Knapp för deras generation;
    • LCD skärm;

    Gränssnittsstöd:

    • Microsoft Crypto API
    • PKCS#11.

    Pinkod

    För att få tillgång till data som lagras i minnet på eToken måste du ange en PIN-kod (Personal Identification Number). Det rekommenderas inte att använda mellanslag och ryska bokstäver i PIN-koden. PIN-koden måste dock uppfylla kvalitetskriterierna som anges i filen %systemroot%\system32\etcpass.ini.
    Den här filen som innehåller PIN-kvalitetskriterierna redigeras med hjälp av verktyget eToken Properties.

    Åtkomsträttigheter till eToken

    Beroende på eToken-modellen och de alternativ som valts under formateringen, finns det fyra typer av åtkomsträttigheter till eToken:

    • gäst– förmågan att se objekt i ett öppet minnesområde; möjligheten att få allmän information om eToken från systemminnesområdet, inklusive namnet på eToken, identifierare och några andra parametrar. Med gäståtkomst krävs inte att känna till PIN-koden;
    • beställnings-– rätten att se, ändra och ta bort objekt i de stängda, öppna och lediga minnesområdena; möjligheten att få allmän information om eToken; rätten att ändra PIN-koden och byta namn på eToken; rätten att konfigurera inställningar för cachelagring av innehållet i det privata minnesområdet och ytterligare skydd av privata nycklar med ett lösenord (i avsaknad av ett administratörslösenord eller med administratörens tillstånd), rätten att se och ta bort certifikat i eToken lagra och RSA-nyckelbehållare;
    • administrativ– rätten att ändra användarens PIN-kod utan att känna till det; rätten att ändra administratörslösenordet; rätten att konfigurera inställningar för cachelagring av innehållet i ett privat minnesområde och ytterligare skydd av privata nycklar med ett lösenord, samt möjligheten att göra dessa inställningar tillgängliga i användarläge;
    • initiering– rätten att formatera eToken PRO.

    Endast de två första typerna av rättigheter gäller för eToken R2, alla fyra för eToken PRO och eToken NG-OTP.
    Administratörsåtkomst till eToken PRO kan endast göras efter att rätt administratörslösenord har angetts. Om administratörslösenordet inte ställs in under formateringsprocessen kan du inte ansöka med administratörsrättigheter.

    Programvara för eToken

    Allmän information

    eToken Run Time Environment 3.65
    eToken Run Time Environment (eToken RTE) är en uppsättning eToken-drivrutiner. Detta programpaket innehåller verktyget eToken Properties.
    Med det här verktyget kan du:

    • konfigurera parametrarna för eToken och dess drivrutiner;
    • se allmän information om eToken;
    • importera, visa och ta bort certifikat (exklusive certifikat från eTokenEx-butiken) och RSA-nyckelbehållare;
    • formatera eToken PRO och eToken NG-OTP;
    • konfigurera kvalitetskriterier för PIN-kod.

    Lokala administratörsrättigheter krävs för att installera denna programvara. Man bör komma ihåg att innan du installerar eToken RTE kan du inte ansluta eToken-nyckeln.
    Programvaran måste installeras i följande ordning:

    • eToken RTE 3.65;
    • eToken RTE 3.65 RUI (Ryssifiering av gränssnittet);
    • eToken RTX.

    Installation och borttagning på den lokala datorn eToken RTE 3.65

    Installation


    Figur 2 eToken Run Time Environment 3.65 Setup

    I fönstret (fig. 3) måste du läsa licensavtalet och godkänna det.


    Figur 3 Licensavtal för slutanvändare

    Om du inte godkänner villkoren i licensavtalet klickar du på knappen "Avbryt" och avbryter därmed installationsprocessen.
    Om du godkänner licensavtalet, välj sedan "Jag accepterar licensavtalet" och klicka på knappen "Nästa". På skärmen kommer du att se följande fönster (fig. 4):


    Figur 4 Redo att installera programmet

    Installationen kommer att ta lite tid.
    I slutet av installationsprocessen (fig. 5), klicka på knappen "Slutför".


    Figur 5 eToken Run Time Environment 3.65 har installerats
    Du kan behöva starta om datorn i slutet av installationen.

    eToken RTE 3.65 RUI

    Installation
    För att installera eToken RTE 3.65 RUI måste du köra installationsprogrammet.


    Figur 6 Installera eToken 3.65 RUI
    I fönstret som visas (fig. 6), klicka på knappen "Nästa".


    Figur 7 Slutför installationen av det ryska användargränssnittet

    Använder kommandoraden

    Du kan använda kommandoraden för att installera och avinstallera eToken RTE 3.65, eToken RTE 3.65 RUI och eToken RTX.
    Exempel på kommandon:

    • msiexec /qn /i
    • msiexec /qb /i
    • /q– installation av eToken RTE 3.65 (eToken RTE 3.65 RUI, eToken RTX) i automatiskt läge utan dialogrutor med standardparametrar;
    • /qb– installation av eToken RTE 3.65 (eToken RTE 3.65 RUI, eToken RTX) i automatiskt läge med standardparametrar och visning av installationsprocessen på skärmen;
    • msiexec /qn /x– borttagning av eToken RTE 3.65 (eToken RTE 3.65 RUI, eToken RTX) i automatiskt läge utan dialogrutor;
    • msiexec /qb /x– borttagning av eToken RTE 3.65 (eToken RTE 3.65 RUI, eToken RTX) i automatiskt läge med visning av borttagningsprocessen på skärmen.

    Ansluta eToken USB-nyckeln till din dator för första gången

    Om du har eToken RTE 3.65 installerat på din dator, anslut eToken till en USB-port eller förlängningskabel. Därefter börjar processen med att bearbeta ny utrustning, vilket kan ta lite tid. När processen med att bearbeta ny utrustning är klar kommer indikatorlampan på eToken att tändas.

    eToken Properties Utility


    Figur 8 Programfönster "Egenskaper för eToken"

    Verktyget eToken Properties låter dig utföra grundläggande tokenhanteringsoperationer, såsom att ändra lösenord, visa information och certifikat som finns i eToken-minnet. Med hjälp av verktyget eToken Properties kan du dessutom snabbt och enkelt överföra certifikat mellan din dator och eToken, samt importera nycklar till eTokens minne.
    Knappen "Avblockera" är nödvändig om användaren har glömt sin PIN-kod och inte kan komma till eToken-administratören (till exempel om användaren är på affärsresa). Genom att kontakta administratören via e-post kommer användaren att kunna ta emot en hexadecimal begäran om detta eToken från administratören, genererad på basis av data lagrad i TMS-databasen, genom att ange vilket i "svar"-fältet användaren kommer att ha tillgång till att ändra PIN-koden.


    Figur 9 Datorfliken

    Ändring av PIN-kod görs enligt fig. tio:


    Figur 10 Ändra PIN-kod
    Vid ändring av PIN-koden är det nödvändigt att den nya PIN-koden uppfyller kvalitetskraven för det angivna lösenordet. Lösenordskvaliteten kontrolleras enligt de angivna kriterierna.
    För att kontrollera om lösenordet matchar de valda kriterierna, skriv in lösenordet på raden. Under denna rad visas information om orsakerna till att det angivna lösenordet inte uppfyller de valda kriterierna i procentuella termer, och kvaliteten på det angivna lösenordet visas villkorligt grafiskt och i procent enligt de valda kriterierna.

    Lista över kriterier

    Tabellen listar PIN-kvalitetskriterierna och deras konfigurerbara värden. Ett negativt värde, uttryckt i procent, kan användas som ett kriteriumvärde. Detta värde kallas straff.

    Kriterium

    Beskrivning

    Möjliga värden

    Standardvärde

    PIN-koden innehåller en sekvens av tecken i alfabetisk ordning

    teckensekvenslängd för ABCOrder-kriteriet

    det nya lösenordet är lika med det nuvarande

    ordbok lösenord

    det nya lösenordet är lika med ett av de tidigare

    DefaultPassChange

    ändra standardlösenordet

    Ingen (lösenordsändring krävs inte);
    Varning (ett varningsmeddelande visas);
    Verkställ (standardlösenordet är inte tillgängligt)

    ordboksfil

    absolut sökväg till ordboksfilen

    inte inställd

    endast lösenordsnummer

    med två identiska tecken

    giltighetstid innan ändringsvarningen visas (i dagar)

    maximal giltighet i dagar

    0
    (inte installerad)

    Tangentbord närhet

    har flera tecken i samma ordning som på tangentbordet

    KeyboardProximityBase

    teckensekvenslängd för KeyboardProximity-kriteriet

    lösenordet är som ett ordbokslösenord

    minsta utgångsdatum i dagar

    0
    (inte installerad)

    minsta längd i tecken

    minsta motstånd i procent

    brist på siffror

    brist på små bokstäver

    användningen av bokstäver i det ryska alfabetet, icke-utskrivbara och vissa servicetecken

    brist på skiljetecken och specialtecken

    brist på versaler

    Telefoner Och Serienummer

    användning av telefonnummer i lösenordet, serie nummer, etc.

    förekomsten av upprepade tecken

    antalet tidigare använda lösenord lagrade i eToken-minnet för verifiering av CheckOld-Passes-kriteriet

    lösenordslängden är mindre än WarningLength

    om lösenordslängden är mindre än WarningLength, visas en varning när du kontrollerar lösenordets kvalitet

    lösenordet innehåller mellanslag

    Lexikon

    Skapa en lista över ogiltiga eller oönskade lösenord textfil. Eller så kan du använda de så kallade frekvensordböckerna, som används för att gissa lösenord. Filer med sådana ordböcker finns på webbplatsen www.passwords.ru.
    Ett exempel på en sådan ordbok:
    Anna
    annette
    räkningen
    Lösenord
    william
    Tilldela "Ordbok"-kriteriet sökvägen till den skapade filen. I det här fallet måste sökvägen till ordboksfilen på varje dator matcha värdet för "Ordbok"-kriteriet.

    Logga in på Windows med eToken

    Allmän information

    eToken SecurLogon kombinerar effektiv nätverkssäkerhet med bekvämlighet och mobilitet. Windows-autentisering använder användarnamnet och lösenordet som lagras i eTokens minne. Detta gör det möjligt att tillämpa stark autentisering baserad på tokens.
    Samtidigt vill jag tillägga att i stora företag som använder en domänstruktur är det nödvändigt att tänka på implementeringen av PKI och den centraliserade användningen av SmartCardLogon.
    När du använder eToken SecurLogon kan okända slumpmässiga komplexa lösenord användas. Dessutom kan du använda certifikaten lagrade i eToken-minnet för registrering av smartkort, vilket ökar säkerheten för att logga in i Windows.
    Detta är möjligt eftersom Windows 2000/XP tillåter olika åtkomstmekanismer som ersätter standardautentiseringsmetoden. Identifierings- och autentiseringsmekanismerna för Windows-inloggningstjänsten (winlogon), som tillhandahåller interaktiv inloggning, är inbyggda i ett utbytbart dynamiskt länkbibliotek (DLL) som kallas GINA (Graphical Identification and Authentication, Authentication Desktop). När systemet behöver en annan autentiseringsmetod som skulle ersätta användarnamn/lösenordsmekanismen (används som standard), ersätts standarden msgina.dll nytt bibliotek.
    Installation av eToken SecurLogon ersätter autoch skapar nya registerinställningar. GINA ansvarar för den interaktiva anslutningspolicyn och utför identifiering och dialog med användaren. Ersättningen av skrgör eToken till den primära autentiseringsmekanismen som utökar standard Windows 2000/XP-autentisering baserat på användarnamn och lösenord.
    Användare kan skriva till minnet av eToken den information som krävs för att logga in på Windows (profiler), om detta tillåts av företagets säkerhetspolicy.
    Profiler kan skapas med hjälp av eToken Windows Logon Profile Creation Wizard.

    Komma igång

    eToken SecurLogon autentiserar en Windows 2000/XP/2003-användare med ett eToken med antingen användarens smartkortcertifikat eller ett användarnamn och lösenord lagrade i eTokens minne. eToken RTE inkluderar allt nödvändiga filer och drivrutiner som ger stöd för eToken i eToken Windows Logon.

    Minimikrav

    Villkor för att installera eToken Windows Logon:

    • eToken Runtime Environment (version 3.65 eller 3.65) måste installeras på alla arbetsstationer;
    • eToken SecurLogon är installerat på en dator som kör Windows 2000 (SP4), Windows XP (SP2) eller Windows 2003 (SP1). eToken SecurLogon stöder den klassiska välkomstdialogrutan i Windows (men inte den nya välkomstskärmen i Windows XP) och stöder inte läge för snabb användarbyte i Windows XP.

    Tokens som stöds

    eToken SecurLogon stöder följande eToken-enheter:

    • eToken PRO är en USB-dongel som tillåter tvåfaktorsautentisering. Finns i 32K och 64K versioner;
    • eToken NG-OTP är en hybrid av en USB-nyckel och en enhet som genererar engångslösenord. Finns i 32K och 64K versioner;
    • eToken PRO smartkort är en enhet som utför samma funktioner som en USB-nyckel, men har formen av ett vanligt kreditkort. Finns i 32K och 64K versioner.

    eToken Runtime Environment (RTE)

    eToken Runtime Environment (RTE) innehåller alla filer och drivrutiner som ger stöd för eToken i eToken Windows Logon. Denna uppsättning innehåller också ett verktyg för eToken Properties som låter användaren enkelt hantera eToken PIN och namn.
    Alla nya eTokens har samma PIN inställd som standard under produktionen. Denna PIN-kod är 1234567890. För att säkerställa stark tvåfaktorsautentisering och full funktionalitet är det obligatoriskt för användaren att ersätta standard-PIN-koden med sin egen PIN-kod omedelbart efter att ha mottagit en ny eToken.
    Viktig:PIN-koden ska inte förväxlas med användarens lösenord Windows .

    Installation

    För att installeraeTokenWindowsLogga in:

    • logga in som användare med administratörsrättigheter;
    • dubbelklicka på SecurLogon - 2.0.0.55.msi;
    • Installationsguiden för eToken SecurLogon visas (Fig. 11);
    • klick " Nästa", eToken Enterprise licensavtal kommer att visas;
    • läs avtalet, klicka på " jagacceptera"(Jag accepterar), och sedan knappen " Nästa";
    • starta om i slutet av installationen.


    Figur 11 Installera SecurLogon


    Installation med hjälp av kommandorad:
    eToken SecurLogon kan installeras med hjälp av kommandoraden:
    msiexec /Option [valfritt]
    Installationsalternativ:

    Produktmeddelande:

        • "m" – alla användare;
        • "u" – nuvarande användare;
    • – Avbryt produktinstallationen.

    Skärmalternativ:

    • /quiet - tyst läge, ingen användarinteraktion;
    • /passiv - automatiskt läge - endast förloppsindikator;
    • /q – val av användargränssnittsnivå;
        • n - inget gränssnitt;
        • b – huvudgränssnitt;
        • r – förkortat gränssnitt;
        • f- fullt gränssnitt(standard);
    • /help - visa användningshjälp.

    Alternativ för omstart

    • /norestart - starta inte om efter att installationen är klar;
    • /promptrestart - fråga efter ominstallation vid behov;
    • /forcerestart - starta alltid om datorn efter att installationen är klar.

    Loggningsalternativ
    / l ;

    • i – statusmeddelanden;
    • w - meddelanden om återställningsbara fel;
    • e - alla felmeddelanden;
    • a – åtgärdsstarter.
    • r - poster specifika för åtgärden;
    • u – användarförfrågningar;
    • c – initiala parametrar för användargränssnittet;
    • m - information om utgången på grund av brist på minne eller ett fatalt fel;
    • o – meddelanden om otillräckligt diskutrymme;
    • p – terminalegenskaper;
    • v- utförlig utgång;
    • x – ytterligare felsökningsinformation;
    • + - lägg till en befintlig loggfil;
    • ! - dumpa varje rad i loggen;
    • * - logga all information förutom alternativen "v" och "x" /log motsvarar /l* .

    Uppdateringsalternativ:

    • /update [;Update2.msp] – tillämpa uppdateringar;
    • /avinstallera [;Update2.msp] /paket - Avinstallera produktuppdateringar.

    Återställningsalternativ:
    /f
    Produktåtervinning:

      • p - endast om det inte finns någon fil;
      • o - om filen saknas eller en gammal version är installerad (som standard);
      • e - om filen saknas eller samma eller äldre version är installerad;
      • d - om filen saknas eller en annan version är installerad;;
      • c - om filen saknas eller kontrollsumma matchar inte det beräknade värdet;
      • a – gör att alla filer installeras om;
      • u – alla nödvändiga användarspecifika registerposter (standard);
      • m - alla nödvändiga registerposter specifika för datorn (standard);
      • s - alla befintliga genvägar (standard);
      • v - köra från källan med omcache av lokala paket;

    Ställa in allmänna egenskaper:
    Se Windows(R) Installer Developers Guide för ytterligare information genom att använda kommandoraden.

    Automatisk lösenordsgenerering.

    När du skriver en användarprofil till eToken-minnet kan ett lösenord genereras automatiskt eller matas in manuellt. Under automatisk generering genereras ett slumpmässigt lösenord, upp till 128 tecken långt. I det här fallet kommer användaren inte att känna till sitt lösenord och kommer inte att kunna komma in i nätverket utan eToken-nyckeln. Kravet på att endast använda automatiskt genererade lösenord kan konfigureras som obligatoriskt.

    Använder eToken SecurLogon

    eToken SecurLogon tillåter användare att logga in på Windows 2000/XP/2003 med ett eToken med ett lagrat lösenord.

    Registrering i Windows

    Du kan logga in på Windows med ett eToken eller genom att ange ett Windows-användarnamn och lösenord.

    För att registrera dig med Windows med ett eToken:

    1. Starta om din dator;
    2. Ett välkomstmeddelande från Windows visas;
    3. Om eToken redan är ansluten, klicka på hyperlänken Logga in med eToken. Om eToken inte har anslutits, anslut den till USB-porten eller kabeln. Båda metoderna för att logga in kommer att visa fönstret "Logga in på Windows";
    4. Välj en användare och ange PIN-koden för eToken;
    5. Klicka på knappen "OK". Du har öppnat en användarsession med hjälp av inloggningsuppgifter lagrade i eToken-minnet.
    6. Om du använder ett eToken med ett användarcertifikat för smartkort behöver du bara ange eToken-PIN för att ansluta till datorn.

    Registrering iWindows utaneToken:

    1. starta om din dator, tryck på tangentkombinationen CTRL + ALT + DEL, fönstret "Logga in på Windows / Logga in på Windows" visas;
    2. klicka på knappen "OK" - du är inloggad med ditt användarnamn och lösenord.

    lösenordsändring

    Du kan ändra ditt Windows-lösenord efter att ha loggat in med eToken.
    För att ändra ditt lösenord efter att ha loggat in med eToken:

    1. logga in med eToken;
    2. klick " CTRL+ALT+DEL", ett fönster kommer att visas" SäkerhetWindows/ Windowssäkerhet";
    3. Klicka på " lösenordsändring/ förändraLösenord", om det aktuella lösenordet skapades manuellt, kommer ett fönster att visas " lösenordsändring/ förändraLösenord", men om det aktuella lösenordet genererades slumpmässigt, gå sedan till steg 5;
    4. Ange ett nytt lösenord i fälten " nytt lösenord/ NyLösenord"och" Bekräftelse/ BekräftaNyLösenord"och tryck på knappen" OK";
    5. Om det aktuella lösenordet genererades slumpmässigt, kommer ett nytt lösenord att genereras automatiskt;
    6. i dialogrutan som visas anger du PIN-koden för eToken och klickar på " OK"
    7. ett bekräftelsemeddelande visas.

    Användarsessionsskydd

    Du kan använda eToken för att säkra din arbetssession.

    Låser ut din arbetsstation

    Du kan hålla din dator säker utan att logga ut genom att låsa din dator. När eToken kopplas bort från USB-porten eller kabeln (efter lyckad registrering), låser operativsystemet automatiskt din dator.

    Så här låser du upp din dator:

    När din dator är låst visas " Datorlås datorLåst". Anslut eToken till USB-porten eller -kabeln. I fönstret som visas anger du PIN-koden i " eTokenLösenord"och tryck på knappen" OK"Datorn är upplåst.
    Notera: om du trycker på " CTRL+ALT+DEL"och anger ett lösenord, kommer datorn att låsas upp utan att använda en eToken.

    Manuell borttagning

    I det sällsynta fall du behöver ta bort eToken SecurLogon manuellt, vidta följande steg:

    • starta om datorn och starta om säkert läge;
    • registrera dig som användare med administratörsrättigheter;
    • öppna avsnittet med hjälp av registerredigeraren HKEY_LOKAL_MAFRÅNHINE\PROGRAMVARA\Microsoft\WindowsNT\Nuvarandeversion\Winlogon och ta bort " GinaDLL";
    • starta om din dator, nästa gång du loggar in på Windows kommer ett fönster upp Microsoft Windows logga in.

    Allmän felsökning

    Du kan behöva vidta följande steg för att felsöka vanliga problem:

    Problem

    Lösning

    Du anslöt eToken under registreringsprocessen (när " Operativ systemWindows/ VälkommentillWindows") eller när datorn är låst (den " Datorlås/ datorLåst"). Fönstret för eToken SecurLogon visas inte.

    1. Koppla bort alla anslutna smartkort (inte bara eToken) från datorn och anslut eToken igen.
    2. eToken kanske inte känns igen av systemet efter installation av eToken RTE. Försök i så fall att registrera manuellt genom att klicka på " CTRL+ALT+DEL". Anslut din eToken och vänta tills indikatorlampan tänds.

    Du anslöt eToken direkt efter att du väckt datorn från vilo- eller vänteläge. eToken SecurLogon-fönstret visas inte .

    1. Vänta tills indikatorlampan tänds. Fönstret " Lås upp din dator/ Låsa uppdator".
    2. Vidta de åtgärder som beskrivs ovan.

    Du kopplade bort eToken efter att ha väckt datorn från viloläge eller vänteläge, och datorn låser sig inte direkt.

    Vänta inte mer än 30 sekunder tills datorn är låst.

    I Windows 2000 tar det lång tid att logga ut eller stänga av datorn.

    Installera det senaste servicepaketet.

    Du har anslutit en smartkortläsare eller eToken efter att ha slagit på datorn och enheten känns inte igen.

    Starta om datorn efter att du har anslutit läsaren.
    Publicerad den 3 februari 2009 av Inga kommentarer

    Om du vill läsa nästa del av denna artikelserie, klicka här.

    Hittills har lösenord ofta varit den föredragna/krävda autentiseringsmekanismen för att få tillgång till osäkra system och data. Men växande krav på större säkerhet och bekvämlighet, utan onödig komplexitet, driver utvecklingen av autentiseringstekniker. I den här artikelserien tar vi en titt på de olika msom kan användas på Windows. I den första delen kommer vi att börja med att titta på chipbaserad autentisering.

    När lösenordet bara inte fungerar

    År 1956 skrev George A. Miller en utmärkt artikel med titeln "The Magical Number Seven, Plus or Minus Two: Some Limits on Our Capacity for Processing Information". Den här artikeln talar om de begränsningar som vi som människor upplever när vi vill komma ihåg viss information. En av slutsatserna i detta arbete är att den genomsnittliga personen kan komma ihåg sju (7) informationsbitar åt gången, plus/minus två (2). Andra forskare försökte senare bevisa det en vanlig person kan bara komma ihåg fem (5) informationsbitar åt gången, plus/minus två (2) igen. Hur som helst, om denna teori anses vara korrekt, så strider den mot råden om lösenordens längd och komplexitet, som kan läsas i olika källor, eller som kan höras från olika människor med ökad säkerhetskänslighet.

    Det sägs ofta att komplexitet är ett av de största hoten mot säkerheten. Ett område där du kan se detta mönster är när användare och administratörer måste tillämpa komplexa lösenordspolicyer. Kreativiteten och olika lösningar som jag ibland ser användare och administratörer som har problem med att komma ihåg sina lösenord slutar aldrig att förvåna mig. Men samtidigt är detta problem nästan alltid i topp fem i hjälptabellen. Och nu när Gartner och Forrester har räknat ut att varje förlorat lösenordssamtal till helpdesk kostar cirka 10 USD, är det lätt att analysera kostnadseffektiviteten i en organisations nuvarande lösenordspolicy.

    Lösenord, som den enda autentiseringsmekanismen, är bra så länge lösenordet är mer än 15 tecken långt och innehåller minst ett icke-engelsk tecken. Lösenfraser är exempel på långa lösenord som är lättare för användare att komma ihåg. Detta kommer att säkerställa att de flesta regnbågesattacker, inklusive 8-bitarsattacker, kommer att misslyckas just på grund av den extra komplexitet som "främmande" tecken ger.

    Anteckningen: Sedan Windows 2000s dagar kan lösenordet vara upp till 127 tecken långt.

    Men anledningen till att lösenord inte är effektiva som den enda autentiseringsmekanismen är att användare är dåliga på att gissa och komma ihåg bra, starka lösenord. Dessutom är lösenord ofta inte ordentligt skyddade. Lyckligtvis finns det säkerhetslösningar som förbättrar säkerheten och bekvämligheten genom att använda korta lösenord som är lätta att komma ihåg.

    Chipbaserad autentisering

    En sådan säkerhetslösning är chipbaserad autentisering, ofta kallad tvåfaktorsautentisering. Tvåfaktorsautentisering använder en kombination av följande element:

    1. Något du har, till exempel ett smartkort eller USB-minne.
    2. Något du känner till, till exempel ett personligt identifieringsnummer (PIN). PIN-koden ger användaren tillgång till det digitala certifikatet som finns lagrat på smartkortet.

    Figur 1 visar två olika lösningar som i huvudsak representerar samma teknik. Ärligt talat är den största skillnaden i pris och form, även om varje lösning kan innehålla ytterligare alternativ, som vi kommer att se inom kort.

    Ett exempel på ett smartkort som används för fjärrautentisering, Windows-autentisering,

    fysisk åtkomst och betalning Ett exempel på ett USB-minne med chipbaserad autentisering och flashminne för lagring av information. Figur 1: Två exempel på enheter med chipbaserad autentisering

    Smartkort, som USB-minnen, har ett inbyggt chip. Chipet är en 32-bitars mikroprocessor och innehåller vanligtvis ett 32KB eller 64kb (EEPROM - Electrically Erasable Programmable Read Only Memory) (RAM - RAM) minneschip inbäddat i ett smartkort eller USB-minne. Idag finns det smarta kort och USB-minnen som innehåller upp till 256KB random access minne för säker datalagring.

    Anteckningen: När vi pratar om lagring i den här artikeln talar vi om lagring på ett inbäddat säkert chip, inte på själva enheten.

    Detta chip har ett litet operativsystem och lite minne för att lagra de certifikat som används för autentisering. Detta chip-OS är olika för varje tillverkare, så du måste använda CSP-tjänsten (Cryptographic Service Provider) i Windows som stöder chip-OS. Vi kommer att täcka CSP-tjänsten i nästa artikel. Den chipbaserade lösningen har vissa fördelar jämfört med andra flerfaktorsautentiseringslösningar, eftersom den kan användas för att lagra autentiserings-, identifierings- och signaturcertifikat. Som redan nämnts skyddas allt av en PIN-kod, som ger användaren tillgång till data som lagras på chippet. Eftersom organisationer ofta underhåller och släpper sina egna smarta kort och flashenheter, kan de också bestämma vilken policy som kommer att kopplas till denna lösning. Till exempel om kortet kommer att spärras eller data kommer att raderas från det efter x antal misslyckade försök. Eftersom dessa policyer kan användas tillsammans med en PIN-kod kan PIN-koden vara mycket kortare och lättare att komma ihåg, utan någon säkerhetsrisk. Alla dessa parametrar lagras på smartkortet från det att det utfärdas. Den chipbaserade lösningen är också immun mot manipulering utifrån, så utan den erforderliga PIN-koden kan informationen (certifikat och personlig information) som finns lagrad på chipet inte nås och kan därför inte användas i något syfte.

    Smartkort eller USB-minnen?

    Som vi sa är en av skillnaderna mellan smartkort och USB-minnen formfaktorn. Båda lösningarna möter den allmänna utmaningen med tvåfaktorsautentisering, men varje lösning har sina för- och nackdelar. Smartkortet kan användas för fotoidentifiering eftersom du kan skriva ut ditt foto och namn på det. Ett USB-minne kan innehålla ett flashminne för lagring av dokument och filer. Båda enheterna kan användas för att styra fysisk åtkomst på ett eller annat sätt. Ett smartkort kan innehålla ett chip, magnetremsa, streckkoder och beröringsfria funktioner, medan en flashenhet kan ha lagt till beröringsfri kapacitet eller biometriskt stöd.

    Anteckningen: Det finns andra formfaktorer, till exempel mobiltelefoner, där SIM-kortet (Subscriber Identity Module) kan tjäna samma syfte som ett smartkort eller USB-minne.

    Ett smartkort kräver en smartkortläsare, medan ett USB-minne kan användas med ett befintligt på en dator. USB uttag och använd den för att emulera en smartkortläsare. Smartkortsläsare idag måste antingen använda gränssnitt som PC Card, ExpressCard, USB eller vara inbyggda, vissa laptop- och tangentbordstillverkare har skapat sådana kortläsare på sina modeller. Smartkortläsare anses vara standard Windows-enheter, oavsett chip-OS, och de har en säkerhetsbeskrivning och en PnP-identifierare. Både kortläsare och USB-minnen kräver en drivrutin Windows-enheter innan de kan användas, så se till att använda de senaste drivrutinerna av prestandaskäl under tvåfaktorsautentisering.

    Det initiala priset för varje enhet kan ha att säga till om i valet av lösning, men andra skillnader bör också beaktas, såsom den psykologiska faktorn som är förknippad med sådana autentiseringslösningar. Ett smartkort och ett kreditkort är nästan detsamma, många kreditkort har idag också inbäddade marker. Många företag använder idag smarta kort för både fysisk åtkomst och betalning för måltider och liknande. Detta betyder att kortet är bekvämt och även har ett monetärt värde, och därför tvingas människor att skydda ett sådant kort och komma ihåg att ha det med sig hela tiden. Den passar även perfekt i en plånbok, vilket också kan ha en extra säkerhetseffekt, beroende på hur man ser på den.

    Några frågor att fundera över

    När du väljer en chipbaserad autentiseringslösning finns det några frågor och överväganden som bör beaktas.

    1. Kompatibilitet» Se till att kretsens operativsystem är kompatibelt med den CSP du tänker använda. Som du kommer att lära dig i nästa artikel är CSP mellanvaran mellan chipets OS och Windows och är också ansvarig för säkerhetspolicyn som tillämpas på chippet.
    2. Kontrollera» Om du behöver använda ett smartkort eller en flash-enhet för användning av ett stort antal personer, se till att du väljer ett chip-OS som är kompatibelt med det Card Management System (CMS) du väljer.
    3. Expanderbarhet» Se till att chipets OS kan användas av alla nödvändiga applikationer och autentiseringsbehov som du behöver. I framtiden kan du behöva ytterligare certifikat på ett smartkort eller flash-enhet, som e-postsignaturer eller till och med biometri. Kolla in DoD Common Access Card (CAC) för tekniska detaljer, som används för att lagra stora mängder användarinformation (se länk nedan). Se bara till att du tar hänsyn till integritetsfrågor när du använder information som biometri. Vi kommer att ta upp det här problemet senare i den här artikelserien.
    4. Enkel användning» Se till att välja en chipbaserad lösning som är användarvänlig och praktisk. Ett stort problem med multifaktorautentiseringslösningar är att användare tenderar att glömma eller tappa sina smartkort eller flash-enheter, eller glömma sin PIN-kod om enheten inte används ofta.

    Slutsats

    I nästa artikel kommer vi att titta på processen Fönsterförberedelser till stöd för, samt några tips för att förbereda och använda dina smartkort och flashenheter i Windows XP och Windows Server 2003 omringad.

    Källa www.windowsecurity.com


    Se även:

    Läsarens kommentarer (inga kommentarer)

    Ja, jag är en man! =)

    Exchange 2007

    Om du vill läsa tidigare delar av den här artikelserien, följ länkarna: Övervaka Exchange 2007 med System Manager ...

    Inledning I den här artikeln i flera delar vill jag visa dig processen jag nyligen använde för att migrera från en befintlig Exchange 2003-miljö...

    Om du missade den första delen av den här serien, läs länken Använda Exchange Server Remote Connectivity Analyzer Tool (del...

    Säkerhetsproblem informationssäkerhet bör behandlas systematiskt och övergripande. En viktig roll i detta spelas av pålitliga mekanismer för säker åtkomst,inklusive användarautentiseringoch skydd av överförda data.

    Informationssäkerhet är omöjlig utan autentisering och penetration företagsmiljö Mobil enheter och molnteknik kan inte annat än påverka principerna för informationssäkerhet. Autentisering - proceduren för att bekräfta personens identitet i informationssystemet med någon identifierare (se figur 1). Ett tillförlitligt och adekvat användarautentiseringssystem är en viktig komponent i ett företags informationssäkerhetssystem. Naturligtvis kan och bör olika kommunikationskanaler använda olika autentiseringsmekanismer, som var och en har sina egna fördelar och nackdelar, skiljer sig åt i tillförlitlighet och kostnad för lösningar, användarvänlighet och administration. Därför, när du väljer dem, är det nödvändigt att analysera riskerna och utvärdera den ekonomiska genomförbarheten av genomförandet.

    Används för att autentisera användare olika tekniker- från lösenord, smarta kort, tokens till biometri (se sidofältet "Biometriska autentiseringsmetoder") baserat på sådana personliga egenskaper hos en person som ett fingeravtryck, näthinnestruktur etc. Starka autentiseringssystem kontrollerar två eller flera faktorer.

    Biometriska autentiseringsmetoder

    Tvåfaktorsautentiseringssystem används inom områden som e-handel, inklusive internetbank, och fjärråtkomstautentisering från en opålitlig arbetsplats. Biometriska metoder ger starkare autentisering. Sådana system implementerar åtkomst genom fingeravtryck, ansiktsgeometri, palmvensavtryck eller mönster, näthinnestruktur, irismönster och röst, etc. Biometriska metoder förbättras ständigt - kostnaden för lämpliga lösningar minskar och deras tillförlitlighet ökar. De mest populära och pålitliga teknikerna är biometrisk autentisering med fingeravtryck och iris. Fingeravtrycksskanning och ansiktsgeometriigenkänningssystem används även i konsumentenheter - smartphones och bärbara datorer.

    Autentisering med biometri gör att du kan öka säkerhetsnivån för kritiska viktiga operationer. Att ge tillgång till en person som inte har rätt att göra det är nästan omöjligt, men felaktigt nekad tillträde är ganska vanligt. För att undvika sådana missförstånd Det är möjligt att använda multi-factor autentiseringssystem när en person identifieras, till exempel, både genom ett fingeravtryck och genom ansiktsgeometri. Den totala graden av systemtillförlitlighet växer i proportion till antalet faktorer som används.

    Dessutom, när du använder biometri för att komma åt nycklar och certifikat på ett smartkort, förenklas arbetet med det senare och autentiseringsprocessen: istället för att ange ett komplext lösenord, rör bara vid skannern med fingret.

    Den bästa praxisen anses vara stark tvåvägsautentisering baserad på elektronisk digital signatur (EDS)-teknik. När det är omöjligt eller opraktiskt att använda den här tekniken, rekommenderas det att använda engångslösenord, och med en minimal risknivå, återanvändbara.

    "Utan autentisering är det omöjligt att prata om säkerhet i ett informationssystem", förklarar Aleksey Alexandrov, Head of Technology Partners på Aladdin R.D. – Det finns olika sätt att göra det på – till exempel att använda återanvändbara eller engångslösenord. Flerfaktorsautentisering är dock mer tillförlitlig när säkerheten inte bara baseras på kunskapen om en viss hemlighet (lösenord), utan också på innehavet av en speciell enhet och en eller flera biometriska egenskaper användare. Lösenordet kan stjälas eller gissas, men utan en autentiseringsenhet - en USB-token, smartkort eller SIM-kort - kommer en angripare inte att kunna komma åt systemet. Genom att använda enheter som stöds inte bara på arbetsstationer, utan också på mobila plattformar, kan du tillämpa multifaktorautentisering för ägare av mobiltelefoner eller surfplattor. Detta gäller även Bring Your Own Device (BYOD)-modellen.”

    "Idag ser vi ett ökat intresse för tokens - engångslösenordsgeneratorer (One Time Password, OTP) olika tillverkare. Införandet av sådana system har redan blivit de facto-standarden för internetbanker och efterfrågas alltmer när man organiserar fjärråtkomst från mobila enheter, - Yury Sergeev, chef för gruppen av design av centrum för informationssäkerhet Jet Infosystems företaget säger. – De är bekväma och lätta att använda, vilket gör att de kan användas överallt. Specialister visar intresse för teknologier som inte kräver installation och hantering av "extra" programvara på klientsidan. En lösning som CryptoPro DSS integreras med olika webbtjänster, behöver ingen klientsida och stöder ryska kryptoalgoritmer.”

    Detta mjukvaru- och hårdvarukomplex är designat för centraliserad säker lagring av användarnas privata nycklar, såväl som för fjärrexekvering av operationer för att skapa elektronisk signatur. Den stöder olika autentiseringsmetoder: enfaktor - med inloggning och lösenord; tvåfaktor - användning av digitala certifikat och USB-tokens eller smartkort; tvåfaktor - med extra inmatning av ett engångslösenord levererat via SMS.

    En av de viktigaste trenderna inom informationssäkerhetsområdet är relaterad till ökningen av antalet mobila enheter som kontors- eller distansarbetare använder för att arbeta med konfidentiell information. företagsinformation: e-post, dokumentlagring, olika affärsapplikationer etc. Samtidigt, både i Ryssland och utomlands, blir BYOD-modellen mer och mer populär när det är tillåtet att använda personliga enheter på jobbet. Motverkan mot de hot som uppstår samtidigt - ett av de mest aktuella och svåra problemen med cybersäkerhet som bör lösas under de kommande fem - sju åren, betonar företaget Avanpost.

    Marknadsdeltagares förståelse för behovet av att införa tillförlitliga autentiserings- och digitala signatursystem (EDS), ändra lagstiftningen inom området för skydd av personuppgifter, anta certifieringskrav (FSB och FSTEC i Ryssland), genomföra projekt som "Electronic Government" och " Public Services Portal", utvecklingen av fjärrbank och internetbank, sökandet efter möjligheter att fastställa ansvar i cyberrymden - allt detta bidrar till ett ökat intresse för mjukvaru- och hårdvarulösningar som kombinerar användarvänlighet och förbättrat skydd.

    DIGITAL SIGNATUR

    Figur 2. Autentiseringsenheten kan tillverkas i olika formfaktorer: USB-token, smartkort, bekvämt att använda på mobila enheter microSD-kort(Secure MicroSD-token) och till och med ett SIM-kort som stöds av nästan alla mobiltelefoner och smartphones. Det kan också utrustas med ytterligare funktionalitet - till exempel kan ett smartkort fungera som ett bankbetalningskort, ett elektroniskt pass till lokalerna, ett sätt för biometrisk autentisering.

    Tillämpad på smarta kort och tokens (se figur 2) blir avsändarautentiseringstekniker mer mogna, praktiska och bekväma. De kan till exempel användas som en autentiseringsmekanism för webbresurser, elektroniska tjänster och betalningsapplikationer för digitala signaturer. En digital signatur associerar en viss användare med en privat asymmetrisk krypteringsnyckel. Bifogat till ett elektroniskt meddelande gör det att mottagaren kan verifiera att avsändaren är den han utger sig för att vara. Krypteringsformer kan vara olika.

    Den privata nyckeln, som bara har en ägare, används för att digitalt signera och kryptera dataöverföring. Själva meddelandet kan läsas av vem som helst med den publika nyckeln. En elektronisk digital signatur kan genereras av en USB-token, en hårdvaruenhet som genererar ett par nycklar. Ibland kombineras olika autentiseringsmetoder - till exempel kompletteras ett smartkort med en token med en kryptografisk nyckel, och för att komma åt den sista varningen PIN-kodsinmatning (tvåfaktorsautentisering) visas. När du använder tokens och smartkort lämnar inte den privata signeringsnyckeln gränserna för token. Därmed är möjligheten till nyckelkompromiss utesluten.

    Användningen av EDS tillhandahålls av speciella verktyg och teknologier som utgör den offentliga nyckelinfrastrukturen (Public Key Infrastructure, PKI). Huvudkomponenten i PKI är CA, som ansvarar för att utfärda nycklar och garanterar äktheten av certifikat som bekräftar överensstämmelsen mellan den publika nyckeln och informationen som identifierar nyckelns ägare.

    Utvecklare tillhandahåller olika komponenter för att bädda in kryptografiska funktioner i webbapplikationer, såsom SDK:er och plug-ins för webbläsare med ett kryptografiskt API. Med deras hjälp kan du implementera funktionerna kryptering, autentisering och digital signatur med en hög säkerhetsnivå. Digitala signaturverktyg tillhandahålls också i form av onlinetjänster (se sidofältet "EDS som en tjänst").

    EDS som en tjänst

    För att automatisera signaturen, utbytet och lagringen av elektroniska dokument kan du använda eSign-PRO onlinetjänsten (www.esign-pro.ru). Alla registrerade i den elektroniska dokumentär skyddade av en digital signatur, och bildandet och verifieringen av den digitala signaturen utförs på klientsidan med hjälp av eSigns kryptografiska modul Krypto-plugins för webbläsaren som installerades första gången du öppnade portalen. Arbetsstationer interagerar med portalwebbservern med hjälp av TLS-protokollet i envägsserverautentiseringsläget. Användarautentisering baseras på personliga identifierare och lösenord som överförs till servern efter att en säker anslutning upprättats.

    eSign-PRO-tjänsten stöds av en offentlig nyckelinfrastruktur baserad på e-Notary-certifieringscentret ackrediterat av Federal Tax Service i Ryssland och som ägs av Signal-COM, men certifikat utfärdade av ett annat certifieringscenter kan också accepteras.

    Som utvecklarna betonar, uppfyller denna tjänst kraven i federal lag nr 63-FZ "On Electronic Signature" och använder verktyg som är certifierade av FSB i Ryssland kryptografiskt skydd"Crypto-COM 3.2". Nyckelinformation kan lagras på olika medier, inklusive USB-tokens.

    "PKI-infrastruktur är det bästa systemet för säker autentisering användare, - Kirill Meshcheryakov, chef för riktningen på arbete med teknikpartners i Aktiv företaget anser. – Inget mer tillförlitligt än digitala certifikat har ännu uppfunnits på det här området. Dessa kan vara statligt utfärdade certifikat för individer för användning i en molntjänst eller företags digitala certifikat för att implementera BYOD-modellen. Dessutom skulle det förstnämnda kunna användas för att få tillgång till företagsinterna resurser om kommersiella företag hade möjlighet att ansluta till statliga certifieringscenter. När digitala certifikat används där användarautentisering krävs, kommer livet för vanliga medborgare att förenklas märkbart. Tillförlitlig och säker lagring av digitala certifikat tillhandahålls för närvarande endast på ett sätt - med hjälp av smarta kort och tokens.

    Med tanke på statens ökade uppmärksamhet på sådana områden som digital signatur och smarta kort, samt vikten av att ha tillförlitlig och bekväm multifaktorautentisering i olika informationssystem och utvecklingen av elektroniska betalningssystem och juridiskt betydelsefull elektronisk dokumenthantering, inhemsk utvecklare fortsätter att förbättra sina lösningar och utöka produktlinjerna.

    USB-TOKEN OCH SMARTKORT

    Figur 3 Användningen av smarta kort som ett sätt för autentisering när man arbetar med informationssystem, webbportaler och molntjänster är möjlig när man kommer åt dem inte bara från personliga arbetsstationer utan även från mobila enheter, men detta kräver en speciell läsare, så ibland vänder det ut för att vara mer bekväm token i MicroSD-formfaktor.

    Smartkort och USB-tokens kan fungera som ett personligt sätt för autentisering och elektronisk signatur för att organisera ett säkert och juridiskt betydelsefullt dokument. omsättning (se figur 3). Dessutom gör deras användning det möjligt att förena autentiseringsmedel - från operativsystem till åtkomstkontrollsystem till lokaler.

    Ryska utvecklare av mjukvara och hårdvara för informationssäkerhet har samlat på sig gedigen erfarenhet av att skapa elektroniska nycklar (tokens) och identifierare. Till exempel utfärdar företaget Aktiv (www.rutoken.ru) en rad Rutoken USB-tokens, som redan innehåller mer än ett dussin sådana produkter (se figur 4). Sedan 1995 har Aladdin R.D. verkat på samma marknad.

    Figur 4 Rutoken EDS från Aktiv-företaget är en elektronisk identifierare med hårdvaruimplementering av den ryska standarden för elektronisk signatur, kryptering och hash, vilket säkerställer säker lagring av elektroniska signaturnycklar i det inbyggda säkra minnet. Produkten har ett FSB-certifikat för överensstämmelse med kraven för kryptografiskt informationsskydd i klass KS2 och ES-verktyg i enlighet med federal lag nr 63-FZ "On Electronic Signature", samt ett FSTEC-certifikat för överensstämmelse med kraven för fjärde nivån av kontroll av frånvaron av odeklarerad kapacitet.

    Rutoken-produkter med tvåfaktorsautentisering (enhet och PIN-kod) använder 32-bitars ARM-mikroprocessorer för att generera nyckelpar, generera och verifiera en elektronisk signatur (GOST R 34.10-2001-algoritm), samt säkra mikrokontroller med icke-flyktigt minne för lagra användardata. Till skillnad från lösningar utvecklade i Java är den fasta programvaran i Rutoken implementerad i ett kompilerat språk. Enligt utvecklarna ger detta fler möjligheter till mjukvaruoptimering. Rutoken kräver ingen drivrutinsinstallation och definieras som en HID-enhet.

    Elliptisk kurvkryptografi används vid bildandet av EDS. Det föreslagna plugin-programmet för webbläsare (det kräver inga administratörsrättigheter för att installera) kan fungera med en USB-token och har ett programmeringsgränssnitt för åtkomst till kryptografiska funktioner. Insticksprogrammet låter dig integrera Rutoken med fjärrbanker och elektroniska dokumenthanteringssystem.

    Rutoken PINPad-enheten (Rutoken EDS med en skärm) låter dig visualisera dokumentet som signeras innan du applicerar en elektronisk signatur och därmed skydda dig från attacker som görs med hjälp av fjärrkontrollverktyg för att ersätta innehållet i dokumentet vid överföring för signatur.

    Ryska företaget Aladdin R.D. släpper ett brett utbud av smartkort, JaCarta USB och Secure MicroSD-tokens för stark autentisering, elektronisk signatur och säker lagring av nycklar och digitala certifikat (se figur 5). Den inkluderar produkter från JaCarta PKI-serien, designade för användning i företags- och statliga system, och JaCarta GOST - för att säkerställa den juridiska betydelsen av användaråtgärder när de arbetar i olika elektroniska tjänster. I JaCarta stöds på alla moderna mobila plattformar ( Apple iOS, Android, Linux, Mac OS och Windows) använder stark två- och trefaktorsautentisering, förbättrad kvalificerad elektronisk signatur och skydd mot hot från en opålitlig miljö.

    Enheter från JaCarta GOST-familjen implementerar ryska kryptografiska algoritmer i hårdvara och är certifierade av Ryska federationens federala säkerhetstjänst som personliga elektroniska signaturverktyg för KC1 och KS2, säger Alexey Alexandrov. De kan alltså användas för autentisering med hjälp av elektroniska signaturmekanismer, för att generera en elektronisk signatur på dokument eller bekräfta olika operationer i informationssystem, samt vid arbete med molntjänster.

    I enheter i JaCarta GOST-familjen implementeras kryptoalgoritmer på mikroprocessornivå, och dessutom används ett schema för att arbeta med en icke-återtagbar privat signaturnyckel. Detta tillvägagångssätt eliminerar möjligheten att stjäla signaturens privata nyckel, och bildandet av en EDS som använder den utförs inuti enheten. Nycklarna och certifikaten som finns i JaCarta GOST kan användas för stark tvåfaktorsautentisering och bildandet av en förbättrad kvalificerad elektronisk signatur i flera informationssystem som arbetar inom en eller flera PKI-infrastrukturer samtidigt.

    JaCarta-autentiseringsenheter finns i olika formfaktorer, men har samma funktionalitet, vilket gör att du kan använda samma autentiseringsmekanismer i många informationssystem, på webbportaler, i molntjänster och mobilapplikationer.

    Bild 6 Hårdvaruimplementeringen av ryska kryptoalgoritmer certifierade av Ryska federationens federala säkerhetstjänst i JaCarta GOST tillåter användning av en anställds elektroniska identitet som ett EDS-verktyg för strikt autentisering i informationssystem och för att säkerställa den juridiska betydelsen av hans handlingar.

    Tillvägagångssättet, där samma enheter används för att lösa ett antal problem (se figur 6), har nyligen blivit allt mer populärt. På grund av närvaron av en eller två RFID-taggar i smartkortet och integration med ACS, kan det användas för att kontrollera åtkomst till lokaler. Och stöd för utländska kryptografiska algoritmer (RSA) och integration med de flesta produkter från världsleverantörer (Microsoft, Citrix, VMware, Wyse, etc.) gör det möjligt att använda ett smartkort som ett sätt för stark autentisering i infrastrukturföretagslösningar, inklusive användare logga in på Microsoft Windows, arbeta med VDI och andra populära scenarier. programvara ingen ändring krävs - support aktiveras genom att ansöka vissa inställningar och politiker.

    LEDNINGSSYSTEM FÖR IDENTIFIERING OCH TILLGÅNG TILL INFORMATIONSRESURSER

    Automatisera säkerhetsadministratörens arbete och svara snabbt på policyändringar utan Systemen för centraliserad hantering av livscykeln för autentiseringsverktyg och digitala signaturer hjälper säkerheten. Till exempel, JaСarta Management System (JMS)-systemet från Aladdin R.D. designad för att spela in och registrera all hårdvara och mjukvaruverktyg autentisering och lagring nyckelinformation används av anställda i hela företaget.

    Dess uppgifter är att hantera livscykeln för dessa verktyg, granska deras användning, förbereda rapporter, uppdatera autentiseringsdata, bevilja eller återkalla åtkomst till ansökningar vid byte av jobb eller uppsägning av en anställd, ersätta en enhet om den försvinner eller skadas, avvecklingsutrustning . I syfte att granska autentiseringsverktyg, registreras alla fakta om att använda enheten på företagsdatorn och ändra data som lagras i dess minne.

    Med hjälp av JMS implementeras även teknisk support och användarsupport: byte av en bortglömd PIN-kod, synkronisering av engångslösenordsgeneratorn, hantering av typiska situationer med förlust eller brott på en token. Och tack vare en virtuell mjukvarutoken kan en användare som är borta från kontoret, även om eToken går förlorad, fortsätta arbeta med datorn eller få säker åtkomst till resurser utan att kompromissa med säkerhetsnivån.

    Enligt Aladdin R.D. förbättrar JMS (se figur 7), som är certifierat av FSTEC i Ryssland, företagssäkerheten genom att använda X.509-certifikat för offentliga nyckel och lagra privata nycklar i det säkra minnet av smartkort och USB-tokens. Det förenklar implementeringen och driften av PKI-lösningar med USB-tokens och smarta kort genom att automatisera vanliga administrativa och revisionsprocedurer.
    Bild 7 JMS-system av Aladdin R.D. stöder alla typer och modeller av eToken, integreras med Microsoft Active Directory, och den öppna arkitekturen låter dig lägga till stöd för nya applikationer och hårdvaruenheter (genom anslutningsmekanismen).

    Idag blir identifieringssystem och åtkomsthantering till företagsinformationsresurser (IDM) allt viktigare. Avanpost släppte nyligen den fjärde versionen av sin produkt, mjukvarupaketet Avanpost (se figur 8). Enligt utvecklarna, till skillnad från utländska lösningar, sker implementeringen av IDM Avanpost 4.0 på kort tid och kräver mindre kostnad, och dess integration med andra delar av informationssystem är den mest kompletta. Designad ryskt företag, produkten uppfyller det inhemska regelverket inom området informationssäkerhet, stöder inhemska certifieringscenter, smarta kort och tokens, ger tekniskt oberoende inom ett så viktigt område som omfattande åtkomstkontroll till konfidentiell information.

    Figur 8 Avanposts programvara innehåller tre huvudmoduler - IDM, PKI och SSO, som kan implementeras separat eller i valfri kombination. Produkten kompletteras med verktyg som låter dig bygga och underhålla förebilder, organisera arbetsflöden relaterat till åtkomstkontroll, utveckla kopplingar till olika system och anpassa rapporter.

    Avanpost 4.0 löser problemet med integrerad åtkomstkontroll: IDM används som det centrala elementet i företagets informationssäkerhetssystem, med vilket PKI och Single Sign On (SSO) infrastrukturer är integrerade. Mjukvaran ger stöd för två- och trefaktorsautentisering och biometrisk identifieringsteknik, SSO-implementering för Android- och iOS-mobilplattformar, samt kontakter (gränssnittsmoduler) med olika applikationer(Se figur 9).
    Figur 9 Arkitekturen i Avanpost 4.0 förenklar skapandet av kontakter, låter dig lägga till nya autentiseringsmekanismer och implementera olika alternativ för N-faktorautentisering (till exempel genom interaktion med biometri, passersystem, etc.).

    Som Avanpost betonar kommer populariteten för integrerade system på den ryska marknaden, inklusive IDM, ACS och biometrisk autentiseringshårdvara, gradvis att växa, men mjukvaruteknologier och lösningar som involverar mobila enheter: smartphones och surfplattor kommer att bli ännu mer efterfrågade. Därför är ett antal programuppdateringar av Avanpost 4.0 planerade att släppas under 2014.

    Baserat på Avanpost 4.0 kan du skapa omfattande åtkomstkontroller för system som kombinerar traditionella applikationer och privata moln som arbetar på IaaS-, PaaS- och SaaS-modellerna (den senare kräver ett molnapplikations-API). Avanpost säger att dess lösning för privata moln och hybridsystem redan är färdigutvecklad, och dess kommersiella marknadsföring kommer att påbörjas så snart det finns en stadig efterfrågan på sådana produkter på den ryska marknaden.

    SSO-modulen innehåller Avanpost Mobile-funktionalitet som stöder popular mobila plattformar Android och iOS. Denna modul ger säker åtkomst via en webbläsare från mobila enheter till interna företagsportaler och intranätapplikationer (portal, Microsoft Outlook Web App företagspost, etc.). Versionen för Android OS innehåller ett inbyggt SSO-system med alla funktioner som stöder VoIP-telefoni, video- och videokonferenser (Skype, SIP), såväl som alla Android-applikationer (till exempel klienter) företagssystem: redovisning, CRM, ERP, HR, etc.) och molnwebbtjänster.

    Detta eliminerar behovet för användare att komma ihåg flera identitetspar (inloggningslösenord) och gör det möjligt för en organisation att upprätthålla säkerhetspolicyer som kräver starka, ofta ändrade lösenord som varierar mellan olika applikationer.

    Den pågående förstärkningen av statlig reglering av informationssäkerhetssfären i Ryssland bidrar till tillväxten av den inhemska marknaden för informationssäkerhetsverktyg. Enligt IDC uppgick således den totala försäljningen av säkerhetslösningar till mer än 412 miljoner USD under 2013, vilket översteg samma period föregående period med mer än 9 %. Och nu, efter den förväntade nedgången, är prognoserna optimistiska: under de kommande tre åren kan den genomsnittliga årliga tillväxttakten överstiga 6%. De största försäljningsvolymerna faller på mjukvarulösningar för att skydda slutenheter (mer än 50 % av informationssäkerhetsmarknaden), övervakning av sårbarheter och kontroll av säkerhet i företagsnätverk, samt om medel för identifiering och åtkomstkontroll.

    "Inhemska kryptoalgoritmer är inte sämre än västerländska standarder och till och med, enligt många, är de överlägsna", säger Yuri Sergeev. - När det gäller integrationen av rysk utveckling inom området för autentisering och EDS med utländska produkter, skulle det vara användbart att skapa bibliotek med öppen källkod och kryptoleverantörer för olika lösningar med deras kvalitetskontroll av Rysslands FSB och certifiering av individuella stabila versioner. I det här fallet kan tillverkare bädda in dem i de föreslagna produkterna, som i sin tur skulle certifieras som verktyg för kryptografiskt informationsskydd, med hänsyn till korrekt användning av ett redan verifierat bibliotek. Det är värt att notera att viss framgång redan har uppnåtts: bra exempel utvecklar patchar för att stödja GOST i openssl. Det är dock värt att tänka på att organisera denna process på statlig nivå.”

    "Den ryska IT-industrin följer vägen att bädda in inhemska certifierade komponenter i utländska Informationssystem. Denna väg är för närvarande optimal, eftersom utvecklingen av helt ryska informations- och operativsystem från grunden kommer att bli orimligt komplex och dyr, - konstaterar Kirill Meshcheryakov. – Tillsammans med organisatoriska och ekonomiska problem, såväl som otillräckligt utvecklade lagar, hindrar befolkningens låga utbildningsnivå inom informationssäkerhetsområdet och bristen på statligt informationsstöd för leverantörer av inhemska säkerhetslösningar den utbredda användningen av autentiseringsverktyg och digitala signaturer. Marknadens drivkrafter är naturligtvis handelsplattformar, skatterapporteringssystem, företag och statliga system arbetsflöde. Under de senaste fem åren har framstegen i utvecklingen av branschen varit enorma.”

    Sergey Orlov- Ledande redaktör för Journal of Network Solutions / LAN. Han kan kontaktas på: