เราสร้างคีย์ป้องกัน USB โดยใช้ Windows การตรวจสอบสิทธิ์แบบหลายปัจจัยที่ใช้ฮาร์ดแวร์

U2F เป็นโปรโตคอลแบบเปิดที่รองรับการตรวจสอบสิทธิ์แบบ 2 ปัจจัยแบบสากล เบราว์เซอร์ Chrome 38 และหลังจากนั้น U2F ได้รับการพัฒนาโดย FIDO Alliance - พันธมิตรของ Microsoft, Google, Lenovo, MasterCard, Visa, PayPal และอื่น ๆ โปรโตคอลทำงานโดยไม่มี การติดตั้งเพิ่มเติมไดรเวอร์ใน ระบบปฏิบัติการโอ้ Windows/Linux/MacOS บริการ Wordpress, Google, LastPass รองรับโปรโตคอล พิจารณาข้อดีข้อเสียของการทำงานร่วมกับ

ท่ามกลางความนิยมที่เพิ่มขึ้นของการรับรองความถูกต้องแบบสองขั้นตอน ซึ่งดำเนินการโดยการโทรหรือส่งข้อความ SMS คำถามเชิงตรรกะ– สะดวกแค่ไหน และวิธีการยืนยันตัวตนนี้มีข้อผิดพลาดหรือไม่?

เช่น วิธีการเพิ่มเติมการตรวจสอบสิทธิ์โดยการโทรหรือส่งข้อความนั้นสะดวกมากแน่นอน นอกจากนี้ วิธีการนี้ได้รับการพิสูจน์แล้วว่ามีประสิทธิภาพในหลายกรณี ตัวอย่างเช่น วิธีนี้เหมาะสมพอๆ กันกับมาตรการป้องกันฟิชชิ่ง การโจมตีอัตโนมัติ การพยายามเดารหัสผ่าน การโจมตีของไวรัส ฯลฯ อย่างไรก็ตาม เบื้องหลังความสะดวกสบายนั้นมีอันตรายอยู่ - หากนักต้มตุ๋นเข้ามาทำธุรกิจ การเชื่อมโยงกับหมายเลขโทรศัพท์อาจส่งผลเสียต่อคุณได้ บ่อยครั้งที่บัญชีเชื่อมโยงกับหมายเลขติดต่อที่ระบุของผู้ใช้ซึ่งใครก็ตามสามารถจดจำตัวเลขตัวแรกหรือตัวสุดท้ายได้หากพวกเขาพยายามกู้คืนการเข้าถึงบัญชี วิธีนี้ผู้หลอกลวงสามารถค้นหาของคุณได้ หมายเลขโทรศัพท์แล้วกำหนดว่าใครเป็นผู้ออกให้ หลังจากได้รับข้อมูลเกี่ยวกับเจ้าของแล้ว พวกมิจฉาชีพก็ใช้เอกสารปลอมในร้านของผู้ปฏิบัติงาน การสื่อสารเคลื่อนที่ขอให้ออกซิมการ์ดใหม่ พนักงานสาขาใดก็ตามมีอำนาจในการออกบัตรใหม่ ซึ่งอนุญาตให้ผู้ฉ้อโกงที่ได้รับซิมการ์ดพร้อมหมายเลขที่ต้องการ เข้าสู่ระบบบัญชีของคุณและดำเนินการใดๆ กับมันได้

บริษัทบางแห่ง เช่น ธนาคารขนาดใหญ่ ไม่เพียงแต่บันทึกหมายเลขโทรศัพท์ของเจ้าของเท่านั้น แต่ยังรวมถึงตัวระบุเฉพาะของซิมการ์ดด้วย - IMSI หากมีการเปลี่ยนแปลง การผูกหมายเลขโทรศัพท์จะถูกยกเลิกและจะต้องดำเนินการอีกครั้งเป็นการส่วนตัวโดยลูกค้าธนาคาร อย่างไรก็ตาม บริการดังกล่าวยังไม่แพร่หลายเพียงพอ หากต้องการค้นหา IMSI สำหรับหมายเลขโทรศัพท์ใด ๆ คุณสามารถส่งคำขอ HLR พิเศษบนเว็บไซต์ smsc.ru/testhlr

ทันสมัยพร้อมรองรับการรับรองความถูกต้องสองขั้นตอนในเบราว์เซอร์ซึ่งรับประกันความปลอดภัยเพิ่มเติมสำหรับบัญชีของคุณ คุณสามารถซื้อได้ในร้านค้าออนไลน์ของเรา

สิ่งนี้จะเพิ่มโอกาสในการขโมยข้อมูลที่เป็นความลับหรือสร้างเงื่อนไขสำหรับการละเมิดการเข้าถึงข้อมูลสำคัญ
ผู้คนต่างทำงานของตน และไม่มีใครอยากยุ่งกับเรื่องไร้สาระทุกประเภท เช่น “รหัสผ่าน Windows” ในกรณีนี้รหัสผ่านที่รั่วไหลและอ่อนแอกลายเป็นปัญหาร้ายแรงสำหรับผู้ดูแลระบบเครือข่ายและเจ้าหน้าที่รักษาความปลอดภัยข้อมูล

"ภายในปี 2551 จำนวนคีย์ USB ที่ใช้งานอยู่จะเข้าใกล้จำนวนวิธีตรวจสอบสิทธิ์อื่นๆ"
ไอดีซี 2004

การแนะนำ

ทุกวันนี้ เนื่องจากมีการใช้คอมพิวเตอร์อย่างแพร่หลาย เราจึงต้องคำนึงถึงความปลอดภัยของข้อมูลที่ประมวลผลมากขึ้น ขั้นตอนแรกในการรับรองความปลอดภัยคือการตรวจสอบผู้ใช้ที่ถูกต้องตามกฎหมาย
วิธีการตรวจสอบสิทธิ์ที่พบบ่อยที่สุดคือรหัสผ่าน นอกจากนี้ ตามแบบฝึกหัดแล้ว ผู้ใช้มากกว่า 60% ส่วนใหญ่มักใช้รหัสผ่านเดียวกันสำหรับระบบที่แตกต่างกัน จำเป็นต้องพูด สิ่งนี้จะลดระดับความปลอดภัยลงอย่างมาก จะทำอย่างไร?
ในความคิดของฉัน หนึ่งในวิธีแก้ไขปัญหาคือการใช้คีย์การรับรองความถูกต้องของฮาร์ดแวร์ มาดูการใช้งานของพวกเขากันดีกว่าโดยใช้ตัวอย่างคีย์ USB จาก Aladdin

อีโทเคนคืออะไร?

eToken (รูปที่ 1) เป็นอุปกรณ์ส่วนบุคคลสำหรับการรับรองความถูกต้องและการจัดเก็บข้อมูล ซึ่งมีการรองรับฮาร์ดแวร์สำหรับการทำงานกับใบรับรองดิจิทัลและลายเซ็นดิจิทัลอิเล็กทรอนิกส์ (EDS) eToken ออกให้ในรูปแบบ:

• eToken PRO คือคีย์ USB ที่อนุญาตการตรวจสอบสิทธิ์แบบสองปัจจัย มีจำหน่ายในเวอร์ชัน 32K และ 64K
• eToken NG-OTP เป็นลูกผสมของคีย์ USB และอุปกรณ์ที่สร้างรหัสผ่านครั้งเดียว (OTP) มีจำหน่ายในเวอร์ชัน 32K และ 64K
• สมาร์ทการ์ด eToken PRO เป็นอุปกรณ์ที่ทำหน้าที่เหมือนกับคีย์ USB แต่มีรูปแบบของบัตรเครดิตทั่วไป มีจำหน่ายในเวอร์ชัน 32K และ 64K

ในอนาคตเราจะพูดถึงคีย์ USB โดยเฉพาะซึ่งเชื่อมต่อโดยตรงกับพอร์ต USB ของคอมพิวเตอร์และไม่เหมือนกับสมาร์ทการ์ดตรงที่ไม่ต้องใช้เครื่องอ่านพิเศษ
eToken มีหน่วยความจำแบบไม่ลบเลือนที่ปลอดภัย และใช้เพื่อจัดเก็บรหัสผ่าน ใบรับรอง และข้อมูลที่ละเอียดอ่อนอื่นๆ

รูปที่ 1 eToken Pro 64k

อุปกรณ์อีโทเค็น

ส่วนประกอบเทคโนโลยี eToken PRO:

• ชิปสมาร์ทการ์ด Infineon SLE66CX322P หรือ SLE66CX642P (EEPROM ที่มีความจุ 32 หรือ 64 KB ตามลำดับ)
• ระบบปฏิบัติการสมาร์ทการ์ด Siemens CardOS V4.2;
• อัลกอริธึมที่ใช้ฮาร์ดแวร์: RSA 1024 บิต, DES, Triple-DES 168 บิต, SHA-1, MAC, Retail-MAC, HMAC-SHA1;
• ฮาร์ดแวร์เซ็นเซอร์ตัวเลขสุ่ม
• ตัวควบคุมอินเทอร์เฟซ USB;
• แหล่งจ่ายไฟ;
• ตัวเรือนทำจากพลาสติกแข็ง ไม่เสี่ยงต่อการเปิดโดยตรวจไม่พบ

อุปกรณ์ eToken NG-OTP มีส่วนประกอบต่อไปนี้เพิ่มเติม:

• เครื่องสร้างรหัสผ่านแบบครั้งเดียว
• ปุ่มเพื่อสร้างมัน
• จอ LCD;

รองรับอินเทอร์เฟซ:

• ไมโครซอฟต์ CryptoAPI;
• พีเคซีเอส#11.

รหัสพิน

หากต้องการเข้าถึงข้อมูลที่จัดเก็บไว้ในหน่วยความจำ eToken คุณต้องป้อน PIN (หมายเลขประจำตัวส่วนบุคคล) ไม่แนะนำให้ใช้ช่องว่างหรือตัวอักษรรัสเซียในรหัส PIN ในกรณีนี้ รหัส PIN ต้องเป็นไปตามเกณฑ์คุณภาพที่ระบุไว้ในไฟล์ %systemroot%\system32\etcpass.ini
ไฟล์นี้ซึ่งมีเกณฑ์คุณภาพรหัส PIN สามารถแก้ไขได้โดยใช้ยูทิลิตี้คุณสมบัติ eToken

สิทธิ์การเข้าถึง eToken

ขึ้นอยู่กับรุ่น eToken และพารามิเตอร์ที่เลือกระหว่างการจัดรูปแบบ สิทธิ์การเข้าถึง eToken สี่ประเภทสามารถแยกแยะได้:

• แขก– ความสามารถในการดูวัตถุในพื้นที่หน่วยความจำแบบเปิด ความสามารถในการรับข้อมูลทั่วไปเกี่ยวกับ eToken จากพื้นที่หน่วยความจำระบบ รวมถึงชื่อ eToken ตัวระบุ และพารามิเตอร์อื่นๆ ด้วยการเข้าถึงของแขก ไม่จำเป็นต้องมีความรู้เกี่ยวกับรหัส PIN
• กำหนดเอง– สิทธิ์ในการดู เปลี่ยนแปลง และลบวัตถุในพื้นที่หน่วยความจำแบบปิด เปิด และว่าง ความสามารถในการรับข้อมูลทั่วไปเกี่ยวกับ eToken สิทธิ์ในการเปลี่ยนรหัส PIN และเปลี่ยนชื่อ eToken สิทธิ์ในการกำหนดค่าพารามิเตอร์แคชสำหรับเนื้อหาของพื้นที่หน่วยความจำส่วนตัวและการป้องกันรหัสผ่านเพิ่มเติมของคีย์ส่วนตัว (ในกรณีที่ไม่มีรหัสผ่านผู้ดูแลระบบหรือได้รับอนุญาตจากผู้ดูแลระบบ) สิทธิ์ในการดูและลบใบรับรองในร้านค้า eToken และคีย์ RSA ตู้คอนเทนเนอร์;
• การบริหาร– สิทธิ์ในการเปลี่ยนแปลงรหัส PIN ของผู้ใช้โดยไม่รู้ตัว สิทธิ์ในการเปลี่ยนรหัสผ่านผู้ดูแลระบบ สิทธิ์ในการกำหนดค่าพารามิเตอร์แคชสำหรับเนื้อหาของพื้นที่หน่วยความจำส่วนตัวและการป้องกันรหัสผ่านเพิ่มเติมของคีย์ส่วนตัวตลอดจนความสามารถในการทำให้การตั้งค่าเหล่านี้พร้อมใช้งานในโหมดผู้ใช้
• การเริ่มต้น– สิทธิ์ในการฟอร์แมต eToken PRO

eToken R2 มีเพียงสองสิทธิ์ประเภทแรกเท่านั้น eToken PRO และ eToken NG-OTP - ทั้งสี่สิทธิ์
การเข้าถึง eToken PRO ของผู้ดูแลระบบสามารถทำได้หลังจากป้อนรหัสผ่านผู้ดูแลระบบถูกต้องเท่านั้น หากไม่ได้ระบุรหัสผ่านผู้ดูแลระบบในระหว่างกระบวนการฟอร์แมต คุณจะไม่สามารถเข้าถึงได้ด้วยสิทธิ์ของผู้ดูแลระบบ

ซอฟต์แวร์สำหรับ eToken

ข้อมูลทั่วไป

สภาพแวดล้อมรันไทม์ eToken 3.65
สภาพแวดล้อมรันไทม์ eToken (eToken RTE) – ชุดไดรเวอร์ eToken ชุดซอฟต์แวร์นี้มียูทิลิตี้ eToken Properties
การใช้ยูทิลิตี้นี้คุณสามารถ:

• กำหนดค่าพารามิเตอร์ของ eToken และไดรเวอร์
• ดูข้อมูลทั่วไปเกี่ยวกับ eToken
• นำเข้า ดู และลบใบรับรอง (ยกเว้นใบรับรองจากร้านค้า eTokenEx) และ ภาชนะที่สำคัญอาร์เอสเอ;
• รูปแบบ eToken PRO และ eToken NG-OTP;
• กำหนดเกณฑ์คุณภาพรหัส PIN

ต้องใช้สิทธิ์ของผู้ดูแลระบบในการติดตั้งซอฟต์แวร์นี้ โปรดจำไว้ว่าคุณไม่สามารถเชื่อมต่อคีย์ eToken ก่อนที่จะติดตั้ง eToken RTE
การติดตั้งซอฟต์แวร์จะต้องดำเนินการตามลำดับต่อไปนี้:

• อีโทเคน RTE 3.65;
• eToken RTE 3.65 RUI (Russification ของอินเทอร์เฟซ);
• อีโทเคน RTX

การติดตั้งและถอนการติดตั้ง eToken RTE 3.65 บนเครื่องคอมพิวเตอร์

การติดตั้ง

รูปที่ 2 การตั้งค่าสภาพแวดล้อมเวลารัน eToken 3.65

ในหน้าต่าง (รูปที่ 3) คุณต้องอ่านข้อตกลงใบอนุญาตและยอมรับ

รูปที่ 3 ข้อตกลงสิทธิ์การใช้งานสำหรับผู้ใช้ปลายทาง

หากคุณไม่เห็นด้วยกับเงื่อนไขของข้อตกลงใบอนุญาตให้คลิกปุ่ม "ยกเลิก" และขัดขวางกระบวนการติดตั้ง
หากคุณเห็นด้วยกับข้อตกลงใบอนุญาต ให้เลือก "ฉันยอมรับข้อตกลงใบอนุญาต" แล้วคลิกปุ่ม "ถัดไป" คุณจะเห็นหน้าต่างต่อไปนี้บนหน้าจอ (รูปที่ 4):

รูปที่ 4 พร้อมติดตั้งแอปพลิเคชัน

การติดตั้งจะใช้เวลาสักครู่
เมื่อสิ้นสุดกระบวนการติดตั้ง (รูปที่ 5) ให้คลิกปุ่ม "เสร็จสิ้น"

รูปที่ 5 eToken Run Time Environment 3.65 ได้รับการติดตั้งเรียบร้อยแล้ว
คุณอาจต้องรีสตาร์ทคอมพิวเตอร์เมื่อสิ้นสุดการติดตั้ง

eToken RTE 3.65 RUI

การติดตั้ง
หากต้องการติดตั้ง eToken RTE 3.65 RUI คุณต้องรันโปรแกรมติดตั้ง

รูปที่ 6 การติดตั้ง eToken 3.65 RUI
ในหน้าต่างที่ปรากฏขึ้น (รูปที่ 6) ให้คลิกปุ่ม "ถัดไป"

รูปที่ 7 การติดตั้งส่วนต่อประสานผู้ใช้ภาษารัสเซียเสร็จสมบูรณ์

การใช้บรรทัดคำสั่ง

คุณสามารถใช้บรรทัดคำสั่งเพื่อติดตั้งและถอนการติดตั้ง eToken RTE 3.65, eToken RTE 3.65 RUI และ eToken RTX
คำสั่งตัวอย่าง:

• msiexec /qn /i
• msiexec /qb /i
• /คิว– การติดตั้ง eToken RTE 3.65 (eToken RTE 3.65 RUI, eToken RTX) ในโหมดอัตโนมัติโดยไม่มีกล่องโต้ตอบพร้อมพารามิเตอร์เริ่มต้น
• /qb– การติดตั้ง eToken RTE 3.65 (eToken RTE 3.65 RUI, eToken RTX) ในโหมดอัตโนมัติพร้อมพารามิเตอร์เริ่มต้นและการแสดงกระบวนการติดตั้งบนหน้าจอ
• msiexec /qn /x– การลบ eToken RTE 3.65 (eToken RTE 3.65 RUI, eToken RTX) โดยอัตโนมัติโดยไม่มีกล่องโต้ตอบ
• msiexec /qb /x– การลบ eToken RTE 3.65 (eToken RTE 3.65 RUI, eToken RTX) ในโหมดอัตโนมัติพร้อมกระบวนการลบที่แสดงบนหน้าจอ

การเชื่อมต่อคีย์ eToken USB เข้ากับคอมพิวเตอร์ของคุณเป็นครั้งแรก

หากติดตั้ง eToken RTE 3.65 บนคอมพิวเตอร์ของคุณ ให้เชื่อมต่อ eToken กับ พอร์ต USBหรือต่อสายต่อ หลังจากนี้ การประมวลผลอุปกรณ์ใหม่จะเริ่มขึ้น ซึ่งอาจใช้เวลาสักระยะหนึ่ง เมื่อกระบวนการประมวลผลฮาร์ดแวร์ใหม่เสร็จสิ้น ไฟแสดงสถานะบน eToken จะเปิดขึ้น

ยูทิลิตี้คุณสมบัติ eToken

รูปที่ 8 หน้าต่าง "คุณสมบัติ eToken"

ยูทิลิตี้คุณสมบัติ eToken ช่วยให้คุณสามารถดำเนินการจัดการโทเค็นขั้นพื้นฐาน เช่น การเปลี่ยนรหัสผ่าน การดูข้อมูล และใบรับรองที่อยู่ในหน่วยความจำ eToken นอกจากนี้ การใช้ยูทิลิตี้คุณสมบัติ eToken ช่วยให้คุณสามารถถ่ายโอนใบรับรองระหว่างคอมพิวเตอร์ของคุณกับ eToken ได้อย่างรวดเร็วและง่ายดาย รวมถึงการนำเข้าคีย์ไปยังหน่วยความจำ eToken
ปุ่ม "เลิกบล็อก" จำเป็นหากผู้ใช้ลืมรหัส PIN และไม่สามารถติดต่อผู้ดูแลระบบ eToken ได้ (เช่น ผู้ใช้อยู่ระหว่างการเดินทางเพื่อธุรกิจ) เมื่อติดต่อผู้ดูแลระบบทางอีเมล ผู้ใช้จะสามารถรับคำขอเลขฐานสิบหกสำหรับ eToken นี้จากผู้ดูแลระบบ ซึ่งสร้างขึ้นบนพื้นฐานของข้อมูลที่จัดเก็บไว้ในฐานข้อมูล TMS โดยการป้อนว่าผู้ใช้จะระบุข้อมูลใดในฟิลด์ "ตอบกลับ" มีสิทธิ์เข้าถึงเพื่อเปลี่ยนรหัส PIN

รูปที่ 9 แท็บคอมพิวเตอร์

รหัส PIN จะเปลี่ยนไปตามรูป 10:

รูปที่ 10 การเปลี่ยนรหัส PIN
เมื่อเปลี่ยนรหัส PIN รหัส PIN ใหม่จำเป็นจะต้องตรงตามข้อกำหนดด้านคุณภาพของรหัสผ่านที่ป้อน คุณภาพรหัสผ่านจะถูกตรวจสอบตามเกณฑ์ที่ป้อน
หากต้องการตรวจสอบว่ารหัสผ่านตรงกับเกณฑ์ที่เลือกหรือไม่ ให้ป้อนรหัสผ่านในบรรทัด ภายใต้บรรทัดนี้ข้อมูลเกี่ยวกับสาเหตุของการไม่ปฏิบัติตามรหัสผ่านที่ป้อนจะปรากฏขึ้นพร้อมกับเกณฑ์ที่เลือกเป็นเปอร์เซ็นต์รวมถึงคุณภาพของรหัสผ่านที่ป้อนในรูปแบบกราฟิกและเป็นเปอร์เซ็นต์ตามเกณฑ์ที่เลือกด้วย

รายการเกณฑ์

ตารางแสดงเกณฑ์คุณภาพรหัส PIN และค่าที่กำหนดค่าได้ ค่าลบที่แสดงเป็นเปอร์เซ็นต์สามารถใช้เป็นค่าเกณฑ์ได้ ค่านี้เรียกว่าการลงโทษ

พจนานุกรม

หากต้องการตั้งค่ารายการรหัสผ่านที่ไม่ถูกต้องหรือไม่ต้องการ ให้สร้าง ไฟล์ข้อความ- หรือคุณสามารถใช้พจนานุกรมความถี่ซึ่งใช้เดารหัสผ่านได้ ไฟล์พจนานุกรมดังกล่าวสามารถรับได้จากเว็บไซต์ www.passwords.ru
ตัวอย่างของพจนานุกรมดังกล่าว:
แอนนา
แอนเน็ตต์
ใบแจ้งหนี้
รหัสผ่าน
วิลเลียม
กำหนดเกณฑ์ "พจนานุกรม" ให้กับเส้นทางไปยังไฟล์ที่สร้างขึ้น ในกรณีนี้ เส้นทางไปยังไฟล์พจนานุกรมในคอมพิวเตอร์แต่ละเครื่องจะต้องตรงกับค่าของเกณฑ์ "พจนานุกรม"

เข้าสู่ระบบ Windows โดยใช้ eToken

ข้อมูลทั่วไป

eToken SecurLogon ผสมผสานการรักษาความปลอดภัยเครือข่ายที่มีประสิทธิภาพเข้ากับความสะดวกสบายและการพกพา การรับรองความถูกต้องของ Windows จะใช้ชื่อผู้ใช้และรหัสผ่านที่จัดเก็บไว้ในหน่วยความจำของ eToken ทำให้สามารถใช้การรับรองความถูกต้องตามโทเค็นที่รัดกุมได้
ในเวลาเดียวกัน ฉันอยากจะเสริมว่าในบริษัทขนาดใหญ่ที่ใช้โครงสร้างโดเมน จำเป็นต้องคำนึงถึงการใช้งาน PKI และการใช้ SmartCardLogon แบบรวมศูนย์
เมื่อใช้ eToken SecurLogon อาจมีการใช้รหัสผ่านแบบสุ่มที่ซับซ้อนซึ่งไม่มีใครไม่รู้จัก นอกจากนี้ คุณยังสามารถใช้ใบรับรองที่จัดเก็บไว้ในหน่วยความจำ eToken สำหรับการลงทะเบียนโดยใช้สมาร์ทการ์ดได้ ทำให้การเข้าสู่ระบบ Windows ปลอดภัยยิ่งขึ้น
สิ่งนี้เกิดขึ้นได้เนื่องจาก Windows 2000/XP อนุญาตให้ใช้กลไกการเข้าถึงต่างๆ ที่แทนที่วิธีการรับรองความถูกต้องเริ่มต้น กลไกการระบุและการรับรองความถูกต้องสำหรับบริการเข้าสู่ระบบ Windows (winlogon) ซึ่งจัดให้มีการเข้าสู่ระบบแบบโต้ตอบนั้นถูกสร้างขึ้นในไลบรารีลิงก์แบบไดนามิก (DLL) ที่เปลี่ยนได้ที่เรียกว่า GINA (การระบุกราฟิกและการรับรองความถูกต้อง) เมื่อระบบต้องการวิธีการรับรองความถูกต้องอื่นที่จะแทนที่กลไกชื่อผู้ใช้/รหัสผ่าน (ใช้เป็นค่าเริ่มต้น) msgina.dll มาตรฐานจะถูกแทนที่ ห้องสมุดใหม่.
การติดตั้ง eToken SecurLogon จะแทนที่ไลบรารีเดสก์ท็อปการตรวจสอบความถูกต้อง และสร้างการตั้งค่ารีจิสทรีใหม่ GINA รับผิดชอบนโยบายการเชื่อมต่อแบบโต้ตอบและดำเนินการระบุตัวตนและพูดคุยกับผู้ใช้ eToken แทนที่ไลบรารีการตรวจสอบสิทธิ์บนเดสก์ท็อป โดยเป็นกลไกการตรวจสอบสิทธิ์หลักที่ขยายการตรวจสอบชื่อผู้ใช้/รหัสผ่านมาตรฐานของ Windows 2000/XP
ผู้ใช้สามารถบันทึกข้อมูลที่จำเป็นสำหรับการเข้าสู่ระบบ Windows (โปรไฟล์) ลงในหน่วยความจำ eToken ได้อย่างอิสระ หากได้รับอนุญาตตามนโยบายความปลอดภัยขององค์กร
สามารถสร้างโปรไฟล์ได้โดยใช้ eToken Windows Logon Profile Wizard

เริ่มต้นใช้งาน

eToken SecurLogon ตรวจสอบสิทธิ์ผู้ใช้ Windows 2000/XP/2003 ด้วย eToken โดยใช้ใบรับรองสมาร์ทการ์ดของผู้ใช้หรือชื่อผู้ใช้และรหัสผ่านที่จัดเก็บไว้ในหน่วยความจำของ eToken eToken RTE มีทุกสิ่ง ไฟล์ที่จำเป็นและไดรเวอร์ที่ให้การสนับสนุน eToken ในการเข้าสู่ระบบ Windows eToken

ข้อกำหนดขั้นต่ำ

เงื่อนไขในการติดตั้ง eToken Windows Logon:

• ต้องติดตั้ง eToken Runtime Environment (เวอร์ชัน 3.65 หรือ 3.65) บนเวิร์กสเตชันทั้งหมด
• eToken SecurLogon ได้รับการติดตั้งบนคอมพิวเตอร์ที่ใช้ Windows 2000 (SP4), Windows XP (SP2) หรือ Windows 2003 (SP1) eToken SecurLogon รองรับกล่องโต้ตอบต้อนรับ Windows แบบคลาสสิก (แต่ไม่ใช่หน้าจอต้อนรับ Windows XP ใหม่) และ ไม่รองรับโหมดการเปลี่ยนผู้ใช้อย่างรวดเร็วใน Windows XP

โทเค็นที่รองรับ

eToken SecurLogon รองรับอุปกรณ์ eToken ต่อไปนี้:

• eToken PRO คือคีย์ USB ที่อนุญาตการตรวจสอบสิทธิ์แบบสองปัจจัย มีจำหน่ายในเวอร์ชัน 32K และ 64K;
• eToken NG-OTP เป็นลูกผสมระหว่างคีย์ USB และอุปกรณ์ที่สร้างรหัสผ่านแบบใช้ครั้งเดียว มีจำหน่ายในเวอร์ชัน 32K และ 64K;
• สมาร์ทการ์ด eToken PRO เป็นอุปกรณ์ที่ทำหน้าที่เหมือนกับคีย์ USB แต่มีรูปแบบของบัตรเครดิตทั่วไป มีจำหน่ายในเวอร์ชัน 32K และ 64K

สภาพแวดล้อมรันไทม์ eToken (RTE)

eToken Runtime Environment (RTE) มีไฟล์และไดรเวอร์ทั้งหมดที่ให้การสนับสนุน eToken ในการเข้าสู่ระบบ Windows ของ eToken ชุดนี้ยังมียูทิลิตี้คุณสมบัติ eToken ที่ช่วยให้ผู้ใช้สามารถจัดการ PIN และชื่อ eToken ได้อย่างง่ายดาย
eToken ใหม่ทั้งหมดมี PIN เดียวกัน ซึ่งกำหนดไว้เป็นค่าเริ่มต้นในการผลิต PIN นี้คือ 1234567890 เพื่อให้มั่นใจถึงการตรวจสอบสิทธิ์แบบสองปัจจัยที่แข็งแกร่งและฟังก์ชันการทำงานเต็มรูปแบบ ผู้ใช้จะต้องแทนที่ PIN เริ่มต้นด้วย PIN ที่กำหนดเองทันทีหลังจากได้รับ eToken ใหม่
สำคัญ:ไม่ควรสับสนระหว่าง PIN กับรหัสผ่านผู้ใช้ หน้าต่าง .

การติดตั้ง

เพื่อที่จะติดตั้งอีโทเค็นหน้าต่างเข้าสู่ระบบ:

• เข้าสู่ระบบในฐานะผู้ใช้ที่มีสิทธิ์ของผู้ดูแลระบบ
• ดับเบิลคลิก SecurLogon - 2.0.0.55.msi;
• หน้าต่างตัวช่วยสร้างการติดตั้ง eToken SecurLogon จะปรากฏขึ้น (รูปที่ 11)
• คลิก " ต่อไป",ข้อตกลงใบอนุญาต eToken Enterprise จะปรากฏขึ้น
• อ่านข้อตกลง คลิกปุ่ม " ฉันยอมรับ"(ฉันยอมรับ) จากนั้น " ต่อไป";
• เมื่อสิ้นสุดการติดตั้ง จะทำการรีบูต

รูปที่ 11 การติดตั้ง SecurLogon

การติดตั้งโดยใช้ บรรทัดคำสั่ง:
eToken SecurLogon สามารถติดตั้งได้โดยใช้บรรทัดคำสั่ง:
msiexec /Option [พารามิเตอร์ทางเลือก]
ตัวเลือกการติดตั้ง:

• – การติดตั้งหรือการกำหนดค่าของผลิตภัณฑ์
• /ก – การติดตั้งระดับผู้ดูแลระบบ– การติดตั้งผลิตภัณฑ์บนเครือข่าย
• /เจ

ประกาศผลิตภัณฑ์:

• "m" – ผู้ใช้ทั้งหมด;
• "u" – ถึงผู้ใช้ปัจจุบัน
• – ยกเลิกการติดตั้งสินค้า

ตัวเลือกการแสดงผล:

• /quiet – โหมดเงียบ โดยที่ผู้ใช้ไม่ต้องโต้ตอบ
• /เฉยๆ – โหมดอัตโนมัติ– แถบความคืบหน้าเท่านั้น
• /q – เลือกระดับส่วนต่อประสานกับผู้ใช้
• n – ไม่มีอินเทอร์เฟซ
• ข – อินเทอร์เฟซหลัก;
• r - อินเทอร์เฟซที่สั้นลง;
• ฉ – อินเทอร์เฟซเต็มรูปแบบ(ค่าเริ่มต้น);
• /help – แสดงวิธีใช้สำหรับการใช้งาน

ตัวเลือกการรีสตาร์ท

• /norestart - อย่ารีสตาร์ทหลังจากการติดตั้งเสร็จสมบูรณ์
• /promptrestart – ร้องขอการติดตั้งใหม่หากจำเป็น
• /forcerestart - เริ่มคอมพิวเตอร์ทุกครั้งหลังการติดตั้งเสร็จสมบูรณ์

ตัวเลือกการบันทึก
/ล ;

• ฉัน – ข้อความสถานะ;
• w – ข้อความเกี่ยวกับข้อผิดพลาดที่สามารถกู้คืนได้
• e – ข้อความแสดงข้อผิดพลาดทั้งหมด
• ก – เปิดตัวการดำเนินการ;
• r – รายการเฉพาะการกระทำ;
• คุณ – คำขอของผู้ใช้;
• c – พารามิเตอร์เริ่มต้นของส่วนต่อประสานผู้ใช้
• m – ข้อมูลเกี่ยวกับทางออกเนื่องจากหน่วยความจำไม่เพียงพอหรือข้อผิดพลาดร้ายแรง
• o – ข้อความเกี่ยวกับพื้นที่ดิสก์ไม่เพียงพอ
• p – คุณสมบัติเทอร์มินัล;
• วี – เอาต์พุตโดยละเอียด;
• x – ข้อมูลการดีบักเพิ่มเติม
• + – เพิ่มลงในไฟล์บันทึกที่มีอยู่
• - – ทิ้งแต่ละบรรทัดลงในบันทึก
• * – บันทึกข้อมูลทั้งหมดยกเว้นพารามิเตอร์ “v” และ “x” /log เทียบเท่ากับ /l*

ตัวเลือกการอัปเดต:

• /update [;Update2.msp] – ใช้การอัปเดต;
• /uninstall [;Update2.msp] /package – ถอนการติดตั้งการอัปเดตผลิตภัณฑ์

ตัวเลือกการกู้คืน:
/ฉ
การกู้คืนผลิตภัณฑ์:

• p – เฉพาะในกรณีที่ไม่มีไฟล์
• o – หากไฟล์หายไปหรือถูกติดตั้ง รุ่นเก่า(ค่าเริ่มต้น);
• e – หากไฟล์หายไปหรือมีการติดตั้งเวอร์ชันเดียวกันหรือเก่ากว่า
• d – หากไฟล์หายไปหรือมีการติดตั้งเวอร์ชันอื่น;;
• c – หากไฟล์หายไปหรือ เช็คซัมไม่ตรงกับค่าที่คำนวณได้
• ก – ทำให้มีการติดตั้งไฟล์ทั้งหมดใหม่
• คุณ – องค์ประกอบรีจิสทรีเฉพาะผู้ใช้ที่จำเป็นทั้งหมด (ค่าเริ่มต้น)
• m – องค์ประกอบรีจิสทรีเฉพาะคอมพิวเตอร์ที่จำเป็นทั้งหมด (ค่าเริ่มต้น)
• s – ทางลัดที่มีอยู่ทั้งหมด (ค่าเริ่มต้น)
• v – เรียกใช้จากซอร์สพร้อมการแคชแพ็กเกจโลคัลใหม่

การตั้งค่าคุณสมบัติทั่วไป:
โปรดดูคู่มือนักพัฒนาตัวติดตั้ง Windows(R) สำหรับ ข้อมูลเพิ่มเติมในการใช้บรรทัดคำสั่ง

การสร้างรหัสผ่านอัตโนมัติ

เมื่อบันทึกโปรไฟล์ผู้ใช้ลงในหน่วยความจำ eToken รหัสผ่านจะถูกสร้างขึ้นโดยอัตโนมัติหรือป้อนด้วยตนเอง เมื่อสร้างโดยอัตโนมัติ รหัสผ่านแบบสุ่มจะมีความยาวสูงสุด 128 อักขระ ในกรณีนี้ ผู้ใช้จะไม่ทราบรหัสผ่านและจะไม่สามารถเข้าสู่ระบบเครือข่ายได้หากไม่มีคีย์ eToken ข้อกำหนดในการใช้เฉพาะรหัสผ่านที่สร้างขึ้นโดยอัตโนมัติสามารถกำหนดค่าได้ตามข้อบังคับ

การใช้ eToken SecurLogon

eToken SecurLogon อนุญาตให้ผู้ใช้เข้าสู่ระบบ Windows 2000/XP/2003 โดยใช้ eToken ด้วยรหัสผ่านที่เก็บไว้

การลงทะเบียนใน Windows

คุณสามารถลงทะเบียนใน ระบบวินโดวส์โดยใช้ eToken หรือโดยการป้อนชื่อผู้ใช้ของคุณและ รหัสผ่านวินโดวส์.

วิธีลงทะเบียนบน Windows โดยใช้ eToken:

1. รีสตาร์ทคอมพิวเตอร์ของคุณ
2. ข้อความต้อนรับของ Windows จะปรากฏขึ้น
3. หาก eToken เชื่อมต่อแล้ว ให้คลิกที่ไฮเปอร์ลิงก์ Logon โดยใช้ eToken หากไม่ได้เชื่อมต่อ eToken ให้เชื่อมต่อกับพอร์ต USB หรือสายเคเบิล สำหรับวิธีการลงทะเบียนใดๆ หน้าต่าง "เข้าสู่ระบบ Windows" จะปรากฏขึ้น
4. เลือกผู้ใช้และป้อน eToken PIN
5. คลิก "ตกลง" คุณได้เปิดเซสชันผู้ใช้โดยใช้รายละเอียดที่เก็บไว้ในหน่วยความจำ eToken
6. หากคุณใช้ eToken กับใบรับรองผู้ใช้สมาร์ทการ์ด คุณต้องป้อนเฉพาะ eToken PIN เพื่อเชื่อมต่อกับคอมพิวเตอร์

ลงทะเบียนในวินโดว์ไม่มีโทเค็นอิเล็กทรอนิกส์:

1. รีสตาร์ทคอมพิวเตอร์กดคีย์ผสม CTRL+ALT+DEL หน้าต่าง "เข้าสู่ระบบ Windows" จะปรากฏขึ้น
2. คลิก "ตกลง" - คุณเข้าสู่ระบบโดยใช้ชื่อผู้ใช้และรหัสผ่านของคุณ

เปลี่ยนรหัสผ่าน

คุณสามารถเปลี่ยนรหัสผ่าน Windows ของคุณได้หลังจากเข้าสู่ระบบโดยใช้ eToken
หากต้องการเปลี่ยนรหัสผ่านหลังจากเข้าสู่ระบบโดยใช้ eToken:

1. เข้าสู่ระบบโดยใช้ eToken;
2. คลิก " CTRL+อัลที+เดล", หน้าต่างจะปรากฏขึ้น" ความปลอดภัยหน้าต่าง/ หน้าต่างความปลอดภัย";
3. คลิกปุ่ม " เปลี่ยนรหัสผ่าน/ เปลี่ยนรหัสผ่าน"หากสร้างรหัสผ่านปัจจุบันด้วยตนเอง หน้าต่างจะปรากฏขึ้น" เปลี่ยนรหัสผ่าน/ เปลี่ยนรหัสผ่าน" แต่ถ้ารหัสผ่านปัจจุบันถูกสร้างขึ้นแบบสุ่ม ให้ไปที่ขั้นตอนที่ 5
4. ป้อนรหัสผ่านใหม่ในช่อง " รหัสผ่านใหม่/ ใหม่รหัสผ่าน"และ " การยืนยัน/ ยืนยันใหม่รหัสผ่าน"และกดปุ่ม" ตกลง";
5. หากรหัสผ่านปัจจุบันถูกสร้างขึ้นแบบสุ่ม รหัสผ่านใหม่จะถูกสร้างขึ้นโดยอัตโนมัติ
6. ในกล่องโต้ตอบที่ปรากฏขึ้น ให้ป้อนรหัส PIN ของ eToken แล้วคลิกปุ่ม ตกลง"
7. หน้าต่างข้อความยืนยันจะปรากฏขึ้น

การป้องกันเซสชันผู้ใช้

คุณสามารถใช้ eToken เพื่อรักษาความปลอดภัยเซสชันการทำงานของคุณได้

การล็อคเวิร์กสเตชันของคุณ

คุณสามารถทำให้คอมพิวเตอร์ของคุณปลอดภัยโดยไม่ต้องออกจากระบบโดยการล็อคคอมพิวเตอร์ของคุณ เมื่อคุณยกเลิกการเชื่อมต่อ eToken ออกจากพอร์ต USB หรือสายเคเบิล (หลังจากการลงทะเบียนสำเร็จ) ระบบปฏิบัติการจะล็อคคอมพิวเตอร์ของคุณโดยอัตโนมัติ

หากต้องการปลดล็อคคอมพิวเตอร์ของคุณ:

เมื่อคอมพิวเตอร์ของคุณถูกล็อค ระบบ " กำลังล็อคคอมพิวเตอร์ของคุณ คอมพิวเตอร์ล็อคแล้ว" เชื่อมต่อ eToken เข้ากับพอร์ต USB หรือสายเคเบิล ในหน้าต่างที่ปรากฏขึ้น ให้ป้อนรหัส PIN ในช่อง " อีโทเค็นรหัสผ่าน"และกดปุ่ม" ตกลง" – คอมพิวเตอร์ถูกปลดล็อค
บันทึก:ถ้าคุณกด " CTRL+อัลที+เดล“และการกรอกรหัสผ่านคอมพิวเตอร์จะถูกปลดล็อคโดยไม่ต้องใช้ eToken

การกำจัดด้วยตนเอง

ในกรณีที่เกิดขึ้นไม่บ่อยนักที่คุณต้องลบ eToken SecurLogon ด้วยตนเอง ให้ทำตามขั้นตอนต่อไปนี้:

• รีสตาร์ทคอมพิวเตอร์และบูตเข้า เซฟโหมด;
• ลงทะเบียนเป็นผู้ใช้ที่มีสิทธิ์ของผู้ดูแลระบบ
• ใช้ตัวแก้ไขรีจิสทรีเปิดส่วนนี้ ฮคีย์_ท้องถิ่น_มกับไฮน์\ซอฟต์แวร์\ไมโครซอฟต์\หน้าต่างนท\ปัจจุบันเวอร์ชัน\วินโลกอนและลบพารามิเตอร์ " GinaDLL";
• รีบูทคอมพิวเตอร์ของคุณ ครั้งถัดไปที่คุณเข้าสู่ระบบ Windows หน้าต่างจะปรากฏขึ้น ไมโครซอฟต์ วินโดวส์เข้าสู่ระบบ

การแก้ไขปัญหาทั่วไป

คุณอาจต้องดำเนินการต่อไปนี้เพื่อแก้ไขปัญหาทั่วไป:

ถ้าใครอยากอ่านตอนต่อไปของซีรีย์นี้ ตามลิงค์เลยครับ

จนถึงขณะนี้ รหัสผ่านมักเป็นกลไกการตรวจสอบสิทธิ์ที่ต้องการ/จำเป็นเมื่อเข้าถึงระบบและข้อมูลที่ไม่ปลอดภัย แต่ความต้องการที่เพิ่มขึ้นด้านความปลอดภัยและความสะดวกสบายที่มากขึ้น โดยไม่ซับซ้อนโดยไม่จำเป็น กำลังผลักดันการพัฒนาเทคโนโลยีการตรวจสอบความถูกต้อง ในบทความชุดนี้ เราจะดูเทคโนโลยีการรับรองความถูกต้องแบบหลายปัจจัยต่างๆ ที่คุณสามารถใช้ได้บน Windows ในส่วนที่ 1 เราจะเริ่มต้นด้วยการดูการตรวจสอบสิทธิ์แบบชิป

เมื่อรหัสผ่านใช้งานไม่ได้

ในปี 1956 George A. Miller เขียนบทความดีๆ เรื่อง "The Magical Number Seven, Plus or Minus Two: Some Limits on Our Capacity for Processing Information" บทความนี้กล่าวถึงข้อจำกัดที่มนุษย์เราประสบเมื่อเราต้องการจดจำข้อมูลบางอย่าง หนึ่งในการค้นพบในงานนี้ก็คือ คนทั่วไปสามารถจดจำข้อมูลได้ครั้งละเจ็ด (7) ชิ้น บวกหรือลบสอง (2) ชิ้น นักวิทยาศาสตร์คนอื่นๆ ได้พยายามพิสูจน์เรื่องนี้ในเวลาต่อมา คนธรรมดาสามารถจดจำข้อมูลได้ครั้งละห้า (5) ชิ้น และบวก/ลบสอง (2) อีกครั้ง แต่อย่างไรก็ตาม หากทฤษฎีนี้ถือว่าถูกต้องก็ขัดแย้งกับคำแนะนำเรื่องความยาวและความซับซ้อนของรหัสผ่านที่สามารถอ่านได้จากแหล่งต่างๆ หรือที่ได้ยินจาก คนละคนพร้อมความไวด้านความปลอดภัยที่เพิ่มขึ้น

มักกล่าวกันว่าความซับซ้อนเป็นหนึ่งในภัยคุกคามด้านความปลอดภัยที่ใหญ่ที่สุด พื้นที่หนึ่งที่สามารถสังเกตรูปแบบนี้คือเมื่อผู้ใช้และผู้ดูแลระบบจำเป็นต้องปฏิบัติตามนโยบายรหัสผ่านที่ซับซ้อน ความคิดสร้างสรรค์และวิธีแก้ปัญหาที่บางครั้งฉันเห็นจากผู้ใช้และผู้ดูแลระบบเมื่อพวกเขามีปัญหาในการจำรหัสผ่านไม่เคยทำให้ฉันประหลาดใจเลย แต่ในขณะเดียวกัน ปัญหานี้มักจะติดอยู่ในห้าอันดับแรกของตารางความช่วยเหลือเสมอ และในขณะนี้ Gartner และ Forrester ประมาณการว่าการโทรรหัสผ่านที่สูญหายไปยังแหล่งช่วยเหลือแต่ละครั้งมีค่าใช้จ่ายประมาณ 10 ดอลลาร์สหรัฐ จึงเป็นเรื่องง่ายที่จะดำเนินการวิเคราะห์ต้นทุนและผลประโยชน์ของนโยบายรหัสผ่านปัจจุบันขององค์กร

รหัสผ่านเป็นกลไกการตรวจสอบสิทธิ์เพียงอย่างเดียว ตราบใดที่รหัสผ่านมีความยาวมากกว่า 15 อักขระและมีอักขระที่ไม่ใช่ภาษาอังกฤษอย่างน้อยหนึ่งตัว ข้อความรหัสผ่านเป็นตัวอย่างของรหัสผ่านขนาดยาวที่ผู้ใช้จดจำได้ง่ายกว่า ซึ่งจะทำให้แน่ใจได้ว่าการโจมตีแบบ Rainbow ส่วนใหญ่ รวมถึงการโจมตีแบบ 8 บิต จะล้มเหลวเนื่องจากความซับซ้อนที่เพิ่มขึ้นจากอักขระภาษาต่างประเทศ

บันทึก:ตั้งแต่ Windows 2000 รหัสผ่านจะมีความยาวได้สูงสุด 127 อักขระ

อย่างไรก็ตาม สาเหตุที่รหัสผ่านไม่มีประสิทธิภาพเนื่องจากกลไกการตรวจสอบสิทธิ์เพียงอย่างเดียวก็เนื่องมาจากผู้ใช้ไม่สามารถค้นหาและจดจำรหัสผ่านที่ดีและคาดเดายากได้ นอกจากนี้ รหัสผ่านมักไม่ได้รับการป้องกันอย่างเหมาะสม โชคดีที่มีโซลูชั่นรักษาความปลอดภัยที่ปรับปรุงความปลอดภัยและความสะดวกสบายโดยใช้รหัสผ่านที่สั้นและง่ายต่อการจดจำ

การรับรองความถูกต้องตามชิป

โซลูชันการรักษาความปลอดภัยอย่างหนึ่งคือการตรวจสอบสิทธิ์โดยใช้ชิป ซึ่งมักเรียกว่าการตรวจสอบสิทธิ์แบบสองปัจจัย การรับรองความถูกต้องด้วยสองปัจจัยใช้การผสมผสานขององค์ประกอบต่อไปนี้:

1. สิ่งที่คุณมี เช่น สมาร์ทการ์ดหรือแฟลชไดรฟ์ USB
2. สิ่งที่คุณรู้ เช่น หมายเลขประจำตัวส่วนบุคคล (PIN) PIN ช่วยให้ผู้ใช้สามารถเข้าถึงใบรับรองดิจิทัลที่จัดเก็บไว้ในสมาร์ทการ์ด

รูปที่ 1 แสดงสอง โซลูชั่นที่แตกต่างกันซึ่งโดยพื้นฐานแล้วเป็นตัวแทนของเทคโนโลยีเดียวกัน ความแตกต่างที่สำคัญคือราคาและรูปร่าง แม้ว่าแต่ละโซลูชันอาจมีตัวเลือกเพิ่มเติม ดังที่เราจะได้เห็นในไม่ช้า

ตัวอย่างสมาร์ทการ์ดที่ใช้สำหรับการรับรองความถูกต้องระยะไกล การรับรองความถูกต้องของ Windows

ตัวอย่างการเข้าถึงทางกายภาพและการชำระเงิน แฟลชไดรฟ์ USBพร้อมการรับรองความถูกต้องด้วยชิปและหน่วยความจำแฟลชสำหรับจัดเก็บข้อมูล รูปที่ 1: สองตัวอย่างอุปกรณ์ที่มีการรับรองความถูกต้องด้วยชิป

สมาร์ทการ์ดและแฟลชไดรฟ์ USB มีชิปในตัว ชิปนี้เป็นไมโครโปรเซสเซอร์ 32 บิต และโดยทั่วไปประกอบด้วยชิปหน่วยความจำ (RAM) ขนาด 32KB หรือ 64kb (EEPROM - หน่วยความจำแบบอ่านอย่างเดียวที่ตั้งโปรแกรมได้ซึ่งสามารถลบได้ด้วยไฟฟ้า) ที่ติดตั้งอยู่ในสมาร์ทการ์ดหรือแฟลชไดรฟ์ USB ปัจจุบันมีสมาร์ทการ์ดและแฟลชไดรฟ์ USB ที่มีความจุสูงสุด 256KB แรมเพื่อการจัดเก็บข้อมูลที่ปลอดภัย

บันทึก:เมื่อเราพูดถึงพื้นที่จัดเก็บข้อมูลในบทความนี้ เรากำลังพูดถึงพื้นที่จัดเก็บข้อมูลบนชิปที่ปลอดภัยในตัว ไม่ใช่ในตัวอุปกรณ์

ชิปนี้มีระบบปฏิบัติการขนาดเล็กและหน่วยความจำบางส่วนสำหรับจัดเก็บใบรับรองที่ใช้สำหรับการตรวจสอบสิทธิ์ ระบบปฏิบัติการชิปนี้จะแตกต่างกันไปสำหรับผู้ผลิตแต่ละราย ดังนั้นคุณจึงต้องใช้บริการ CSP (ผู้ให้บริการเข้ารหัสลับ) ใน Windows ที่รองรับระบบปฏิบัติการชิป เราจะดูบริการ CSP ในบทความถัดไป โซลูชันที่ใช้ชิปมีข้อได้เปรียบเหนือโซลูชันการตรวจสอบสิทธิ์แบบหลายปัจจัยอื่นๆ เนื่องจากสามารถใช้จัดเก็บใบรับรองการตรวจสอบสิทธิ์ การระบุตัวตน และลายเซ็นได้ ดังที่ได้กล่าวไปแล้ว ทุกอย่างได้รับการปกป้องด้วยรหัส PIN ซึ่งให้ผู้ใช้สามารถเข้าถึงข้อมูลที่จัดเก็บไว้ในชิปได้ เนื่องจากองค์กรต่างๆ มักจะสนับสนุนและออกสมาร์ทการ์ดและแฟลชไดรฟ์ของตนเอง พวกเขาจึงสามารถกำหนดนโยบายที่จะเชื่อมโยงกับโซลูชันนี้ได้ ตัวอย่างเช่น การ์ดจะถูกบล็อกหรือข้อมูลจะถูกลบหลังจากนั้น xจำนวนครั้งที่พยายามไม่สำเร็จ เนื่องจากนโยบายเหล่านี้สามารถใช้ร่วมกับ PIN ได้ ดังนั้น PIN จึงสั้นลงอย่างมากและจดจำได้ง่ายกว่า โดยไม่มีความเสี่ยงด้านความปลอดภัย พารามิเตอร์ทั้งหมดเหล่านี้จะถูกจัดเก็บไว้ในสมาร์ทการ์ดทันทีที่ออก โซลูชันที่ใช้ชิปยังไม่เสี่ยงต่อการถูกปลอมแปลงจากภายนอก ดังนั้นหากไม่มีรหัส PIN ที่จำเป็น ข้อมูล (ใบรับรองและข้อมูลส่วนบุคคล) ที่จัดเก็บไว้ในชิปจะไม่สามารถเข้าถึงได้ ดังนั้นจึงไม่สามารถใช้เพื่อวัตถุประสงค์ใดๆ ได้

สมาร์ทการ์ดหรือแฟลชไดรฟ์ USB?

ดังที่เราได้กล่าวไปแล้ว ความแตกต่างอย่างหนึ่งระหว่างสมาร์ทการ์ดและแฟลชไดรฟ์ USB คือฟอร์มแฟคเตอร์ โซลูชันทั้งสองตอบโจทย์เป้าหมายโดยรวมของการรับรองความถูกต้องด้วยสองปัจจัย แต่แต่ละโซลูชันก็มีข้อดีและข้อเสียต่างกันไป สามารถใช้สมาร์ทการ์ดเพื่อระบุตัวตนด้วยภาพถ่าย เนื่องจากคุณสามารถพิมพ์ภาพถ่ายและชื่อลงบนภาพถ่ายได้ แฟลชไดรฟ์ USB สามารถมีหน่วยความจำแฟลชสำหรับจัดเก็บเอกสารและไฟล์ได้ อุปกรณ์ทั้งสองสามารถใช้เพื่อควบคุมการเข้าถึงทางกายภาพไม่ทางใดก็ทางหนึ่ง สมาร์ทการ์ดอาจมีชิป แถบแม่เหล็ก บาร์โค้ด และความสามารถแบบไร้สัมผัส ในขณะที่แฟลชไดรฟ์อาจเพิ่มความสามารถแบบไร้สัมผัสหรือการรองรับไบโอเมตริกซ์

บันทึก:มีปัจจัยรูปแบบอื่นๆ เช่น โทรศัพท์มือถือ ซึ่งซิมการ์ด (Subscriber Identity Module) สามารถใช้งานได้ตามวัตถุประสงค์เดียวกันกับสมาร์ทการ์ดหรือแฟลชไดรฟ์ USB

สมาร์ทการ์ดต้องใช้เครื่องอ่านสมาร์ทการ์ด ในขณะที่แฟลชไดรฟ์ USB สามารถใช้กับอันที่มีอยู่ได้ ยูเอสบีคอมพิวเตอร์พอร์ตและใช้เพื่อจำลองเครื่องอ่านสมาร์ทการ์ด เครื่องอ่านสมาร์ทการ์ดในปัจจุบันต้องใช้อินเทอร์เฟซเช่น PC Card, ExpressCard, USB หรือมีอยู่ในตัว ผู้ผลิตแล็ปท็อปและคีย์บอร์ดบางรายได้สร้างเครื่องอ่านการ์ดดังกล่าวในรุ่นของตน เครื่องอ่านสมาร์ทการ์ดถือเป็นอุปกรณ์ Windows มาตรฐาน โดยไม่คำนึงถึงชิป OS และมีตัวอธิบายความปลอดภัยและตัวระบุ PnP ทั้งตัวอ่านการ์ดและแฟลชไดรฟ์ USB จำเป็นต้องมีไดรเวอร์ อุปกรณ์วินโดวส์ก่อนที่จะสามารถใช้งานได้ ดังนั้นอย่าลืมใช้ไดรเวอร์ล่าสุดเพื่อเหตุผลด้านประสิทธิภาพในระหว่างการตรวจสอบสิทธิ์แบบสองปัจจัย

ราคาเริ่มต้นของอุปกรณ์แต่ละเครื่องอาจมีส่วนช่วยในการตัดสินใจว่าจะใช้โซลูชันใด แต่ควรคำนึงถึงความแตกต่างอื่นๆ ด้วย เช่น ปัจจัยทางจิตวิทยาที่เกี่ยวข้องกับโซลูชันการรับรองความถูกต้องเหล่านี้ สมาร์ทการ์ดและบัตรเครดิตแทบจะเหมือนกันหลายใบ บัตรเครดิตวันนี้พวกเขามีชิปในตัวด้วย ปัจจุบันบริษัทหลายแห่งใช้สมาร์ทการ์ดทั้งสำหรับการเข้าถึงทางกายภาพและชำระค่าอาหารกลางวัน ฯลฯ ซึ่งหมายความว่าบัตรมีความสะดวกและมีมูลค่าเป็นเงินด้วย ดังนั้น ผู้คนจึงถูกบังคับให้ปกป้องบัตรดังกล่าวและอย่าลืมพกติดตัวไว้ตลอดเวลา มันยังเข้ากันได้ดีกับกระเป๋าสตางค์ซึ่งสามารถเพิ่มเอฟเฟกต์ด้านความปลอดภัยได้ ขึ้นอยู่กับว่าคุณมองมันอย่างไร

คำถามบางข้อที่ต้องพิจารณา

เมื่อเลือกโซลูชันการตรวจสอบสิทธิ์ที่ใช้ชิป มีปัญหาและข้อควรพิจารณาบางประการที่ต้องพิจารณา

1. ความเข้ากันได้» ตรวจสอบให้แน่ใจว่าระบบปฏิบัติการชิปเข้ากันได้กับ CSP ที่คุณจะใช้ ดังที่คุณจะได้เรียนรู้ในบทความถัดไป CSP คือมิดเดิลแวร์ระหว่าง OS ของชิปและ Windows และยังรับผิดชอบนโยบายความปลอดภัยที่ใช้กับชิปอีกด้วย
2. ควบคุม» หากคุณต้องการใช้สมาร์ทการ์ดหรือแฟลชไดรฟ์เพื่อใช้งานกับคนจำนวนมาก ตรวจสอบให้แน่ใจว่าคุณเลือกระบบปฏิบัติการชิปที่เข้ากันได้กับ Card Management System (CMS) ที่คุณเลือก
3. ความสามารถในการขยาย» ตรวจสอบให้แน่ใจว่าระบบปฏิบัติการของชิปสามารถใช้งานได้กับแอปพลิเคชันที่จำเป็นทั้งหมด และสำหรับความต้องการการรับรองความถูกต้องทั้งหมดที่คุณต้องการ ในอนาคต คุณอาจจำเป็นต้องมีใบรับรองเพิ่มเติมในสมาร์ทการ์ดหรือแฟลชไดรฟ์ของคุณ เช่น ลายเซ็นอีเมล หรือแม้แต่ข้อมูลชีวมาตร ดูรายละเอียดทางเทคนิคของ DoD Common Access Card (CAC) ซึ่งใช้เพื่อจัดเก็บข้อมูลผู้ใช้จำนวนมาก (ดูลิงก์ด้านล่าง) เพียงตรวจสอบให้แน่ใจว่าคุณคำนึงถึงปัญหาความเป็นส่วนตัวเมื่อใช้ข้อมูล เช่น ข้อมูลชีวภาพ เราจะดูปัญหานี้ในบทความชุดนี้ต่อไป
4. ใช้งานง่าย» ตรวจสอบให้แน่ใจว่าคุณเลือกโซลูชันชิปที่ใช้งานง่ายและใช้งานได้จริง ความท้าทายที่สำคัญสำหรับโซลูชันการตรวจสอบสิทธิ์แบบหลายปัจจัยคือผู้ใช้มักจะลืมหรือทำสมาร์ทการ์ดหรือแฟลชไดรฟ์หาย หรือลืม PIN หากไม่ได้ใช้อุปกรณ์บ่อยๆ

บทสรุป

ในบทความถัดไป เราจะมาดูกระบวนการกัน การเตรียมวินโดวส์เพื่อรองรับอุปกรณ์ตรวจสอบสิทธิ์แบบหลายปัจจัย และยังให้คำแนะนำในการจัดเตรียมและใช้งานสมาร์ทการ์ดและแฟลชไดรฟ์ใน Windows XP และ วินโดวส์เซิร์ฟเวอร์ 2546 ล้อมรอบ.

ที่มา www.windowsecurity.com

ความคิดเห็นของผู้อ่าน (ไม่มีความคิดเห็น)

แลกเปลี่ยน 2550

ปัญหาด้านความปลอดภัย ความปลอดภัยของข้อมูลจะต้องได้รับการแก้ไขอย่างเป็นระบบและครอบคลุม กลไกการเข้าถึงที่ปลอดภัยที่แข็งแกร่งมีบทบาทสำคัญในเรื่องนี้รวมถึงการรับรองความถูกต้องของผู้ใช้และการปกป้องข้อมูลที่ส่ง

ความปลอดภัยของข้อมูลเป็นไปไม่ได้หากไม่มีการรับรองความถูกต้องและการเจาะเข้าไป สภาพแวดล้อมขององค์กร อุปกรณ์เคลื่อนที่และ เทคโนโลยีคลาวด์ไม่สามารถมีอิทธิพลต่อหลักการความปลอดภัยของข้อมูลได้ การรับรองความถูกต้องเป็นขั้นตอนในการยืนยันตัวตนของเรื่องในระบบข้อมูลโดยใช้ตัวระบุบางอย่าง (ดูรูปที่ 1) ระบบการตรวจสอบผู้ใช้ที่เชื่อถือได้และเพียงพอเป็นองค์ประกอบสำคัญของระบบรักษาความปลอดภัยข้อมูลขององค์กร แน่นอนว่าช่องทางการสื่อสารที่แตกต่างกันสามารถใช้และควรใช้กลไกการตรวจสอบสิทธิ์ที่แตกต่างกัน ซึ่งแต่ละช่องทางมีข้อดีและข้อเสียของตัวเอง ความน่าเชื่อถือและต้นทุนของโซลูชัน ความสะดวกในการใช้งานและการดูแลระบบแตกต่างกันออกไป ดังนั้นเมื่อเลือกสิ่งเหล่านั้นจึงจำเป็นต้องวิเคราะห์ความเสี่ยงและประเมินความเป็นไปได้ทางเศรษฐกิจของการดำเนินการ

ใช้สำหรับการตรวจสอบผู้ใช้ เทคโนโลยีที่แตกต่างกัน- ตั้งแต่รหัสผ่าน สมาร์ทการ์ด โทเค็น ไปจนถึงไบโอเมตริกซ์ (ดูแถบด้านข้าง “วิธีการพิสูจน์ตัวตนด้วยไบโอเมตริกซ์”) โดยอิงตามคุณสมบัติส่วนบุคคลของบุคคล เช่น ลายนิ้วมือ โครงสร้างจอประสาทตา ฯลฯ ระบบการตรวจสอบสิทธิ์ที่แข็งแกร่งจะตรวจสอบปัจจัยตั้งแต่สองรายการขึ้นไป

วิธีการรับรองความถูกต้องด้วยไบโอเมตริกซ์

ระบบการตรวจสอบสิทธิ์แบบสองปัจจัยถูกนำมาใช้ในด้านต่างๆ เช่น อีคอมเมิร์ซ รวมถึงธนาคารออนไลน์ และการตรวจสอบสิทธิ์สำหรับการเข้าถึงระยะไกลจากสถานที่ทำงานที่ไม่น่าเชื่อถือ วิธีการไบโอเมตริกซ์ให้การรับรองความถูกต้องที่แข็งแกร่งยิ่งขึ้น ระบบดังกล่าวให้การเข้าถึงด้วยลายนิ้วมือ เรขาคณิตของใบหน้า ลายฝ่ามือหรือลวดลายหลอดเลือดดำ โครงสร้างจอประสาทตา รูปแบบม่านตาและเสียง ฯลฯ วิธีการไบโอเมตริกซ์ได้รับการปรับปรุงอย่างต่อเนื่อง - ต้นทุนของโซลูชันที่เกี่ยวข้องลดลง และความน่าเชื่อถือก็เพิ่มขึ้น เทคโนโลยีที่ได้รับความนิยมและเชื่อถือได้มากที่สุดคือการรับรองความถูกต้องด้วยไบโอเมตริกซ์โดยใช้ลายนิ้วมือและม่านตา การสแกนลายนิ้วมือและระบบจดจำรูปทรงใบหน้ายังใช้ในอุปกรณ์ของผู้บริโภค เช่น สมาร์ทโฟนและแล็ปท็อป

การรับรองความถูกต้องโดยใช้ไบโอเมตริกซ์ช่วยให้คุณเพิ่มระดับความปลอดภัยในส่วนที่สำคัญได้ การดำเนินงานที่สำคัญ- การให้สิทธิ์เข้าถึงแก่บุคคลที่ไม่ได้รับอนุญาตให้ทำเช่นนั้นแทบจะเป็นไปไม่ได้เลย แต่การปฏิเสธการเข้าถึงอย่างไม่ถูกต้องเกิดขึ้นบ่อยครั้ง เพื่อหลีกเลี่ยงข้อบกพร่องดังกล่าว Zumeny คุณสามารถใช้ระบบการตรวจสอบสิทธิ์แบบหลายปัจจัยได้ เมื่อมีการระบุบุคคล เช่น ด้วยลายนิ้วมือและรูปทรงใบหน้า ระดับความน่าเชื่อถือของระบบโดยรวมจะเพิ่มขึ้นตามสัดส่วนจำนวนปัจจัยที่ใช้

นอกจากนี้ เมื่อคุณใช้ไบโอเมตริกซ์เพื่อเข้าถึงคีย์และใบรับรองบนสมาร์ทการ์ด การทำงานร่วมกับสิ่งหลังและกระบวนการตรวจสอบสิทธิ์จะง่ายขึ้น: แทนที่จะป้อนรหัสผ่านที่ซับซ้อน คุณเพียงใช้นิ้วสัมผัสเครื่องสแกนเท่านั้น

แนวทางปฏิบัติที่ดีที่สุดคือการรับรองความถูกต้องแบบสองทางที่ใช้เทคโนโลยีลายเซ็นดิจิทัลอิเล็กทรอนิกส์ (EDS) เมื่อเป็นไปไม่ได้หรือทำไม่ได้ในการใช้เทคโนโลยีนี้ ขอแนะนำให้ใช้รหัสผ่านแบบใช้ครั้งเดียว และเมื่อระดับความเสี่ยงมีน้อยที่สุด ขอแนะนำให้ใช้รหัสผ่านแบบใช้หลายครั้ง

“หากไม่มีการรับรองความถูกต้อง ก็เป็นไปไม่ได้ที่จะพูดถึงความปลอดภัยในระบบข้อมูล” Alexey Alexandrov หัวหน้าฝ่ายพันธมิตรด้านเทคโนโลยีของ Aladdin R.D. อธิบาย - มีหลายวิธีในการทำเช่นนี้ - ตัวอย่างเช่น การใช้รหัสผ่านแบบใช้ซ้ำได้หรือรหัสผ่านแบบครั้งเดียว อย่างไรก็ตาม การตรวจสอบสิทธิ์แบบหลายปัจจัยมีความน่าเชื่อถือมากกว่า เมื่อการรักษาความปลอดภัยไม่เพียงขึ้นอยู่กับความรู้เกี่ยวกับความลับ (รหัสผ่าน) บางอย่างเท่านั้น แต่ยังขึ้นอยู่กับการเป็นเจ้าของอุปกรณ์พิเศษด้วย และปัจจัยที่สามคือหนึ่งหรือมากกว่านั้น ลักษณะไบโอเมตริกซ์ผู้ใช้ รหัสผ่านสามารถถูกขโมยหรือคาดเดาได้ แต่หากไม่มีอุปกรณ์ตรวจสอบความถูกต้อง เช่น โทเค็น USB สมาร์ทการ์ด หรือซิมการ์ด ผู้โจมตีจะไม่สามารถเข้าถึงระบบได้ การใช้อุปกรณ์ที่รองรับไม่เพียงแต่บนเวิร์กสเตชันเท่านั้น แต่ยังรวมถึงแพลตฟอร์มมือถือด้วย ช่วยให้สามารถใช้การรับรองความถูกต้องแบบหลายปัจจัยสำหรับเจ้าของโทรศัพท์มือถือหรือแท็บเล็ตได้ สิ่งนี้ยังใช้กับรุ่น Bring Your Own Device (BYOD) ด้วย”

“วันนี้เราเห็นความสนใจในโทเค็นเพิ่มมากขึ้น - เครื่องมือสร้างรหัสผ่านแบบครั้งเดียว (รหัสผ่านแบบครั้งเดียว, OTP) ผู้ผลิตต่างๆ- การนำระบบดังกล่าวไปใช้ได้กลายเป็นมาตรฐานโดยพฤตินัยสำหรับบริการธนาคารทางอินเทอร์เน็ตและเป็นที่ต้องการมากขึ้นเมื่อจัดระเบียบ การเข้าถึงระยะไกลจากอุปกรณ์พกพา” ยูริ เซอร์เกฟ หัวหน้ากลุ่มการออกแบบสำหรับศูนย์ความปลอดภัยข้อมูลที่ Jet Infosystems กล่าว - สะดวกและใช้งานง่ายซึ่งช่วยให้สามารถใช้งานได้ทุกที่ ผู้เชี่ยวชาญกำลังแสดงความสนใจในเทคโนโลยีที่ไม่จำเป็นต้องติดตั้งและจัดการซอฟต์แวร์ "พิเศษ" ในฝั่งไคลเอ็นต์ โซลูชันเช่น CryptoPro DSS ผสานรวมกับบริการบนเว็บต่างๆ ไม่ต้องการส่วนของไคลเอ็นต์ และรองรับอัลกอริธึมการเข้ารหัสลับของรัสเซีย”

ซอฟต์แวร์และฮาร์ดแวร์ที่ซับซ้อนนี้ได้รับการออกแบบมาเพื่อการจัดเก็บคีย์ส่วนตัวของผู้ใช้ที่ปลอดภัยแบบรวมศูนย์ เช่นเดียวกับการดำเนินการจากระยะไกลเพื่อสร้าง ลายเซ็นอิเล็กทรอนิกส์- เขาสนับสนุน วิธีการที่แตกต่างกันการรับรองความถูกต้อง: ปัจจัยเดียว - โดยการเข้าสู่ระบบและรหัสผ่าน; สองปัจจัย - การใช้ใบรับรองดิจิทัลและโทเค็น USB หรือสมาร์ทการ์ด สองปัจจัย - พร้อมการป้อนรหัสผ่านแบบครั้งเดียวเพิ่มเติมที่ส่งทาง SMS

แนวโน้มสำคัญประการหนึ่งในการรักษาความปลอดภัยข้อมูลเกี่ยวข้องกับจำนวนอุปกรณ์เคลื่อนที่ที่เพิ่มขึ้นซึ่งพนักงานในสำนักงานหรือทางไกลทำงานกับข้อมูลที่เป็นความลับ ข้อมูลองค์กร: ทางอีเมล, ที่เก็บเอกสาร, แอปพลิเคชันทางธุรกิจต่างๆ เป็นต้น ขณะเดียวกัน ทั้งในรัสเซียและต่างประเทศ โมเดล BYOD กำลังได้รับความนิยมมากขึ้นเรื่อยๆ เมื่อได้รับอนุญาตให้ใช้อุปกรณ์ส่วนตัวในที่ทำงาน การตอบโต้ภัยคุกคามที่เกิดขึ้นจากปัญหานี้เป็นหนึ่งในปัญหาด้านความปลอดภัยข้อมูลที่เร่งด่วนและซับซ้อนที่สุดที่จะต้องแก้ไขในอีกห้าถึงเจ็ดปีข้างหน้า บริษัท Avanpost เน้นย้ำ

ผู้เข้าร่วมตลาดเข้าใจถึงความจำเป็นในการใช้การรับรองความถูกต้องและระบบลายเซ็นดิจิทัล (EDS) ที่เชื่อถือได้ การเปลี่ยนแปลงกฎหมายในด้านการคุ้มครองข้อมูลส่วนบุคคล การนำข้อกำหนดการรับรอง (FSB และ FSTEC ของรัสเซีย) การดำเนินโครงการต่างๆ เช่น "รัฐบาลอิเล็กทรอนิกส์" ” และ “พอร์ทัล” บริการสาธารณะ" การพัฒนาธนาคารทางไกลและธนาคารทางอินเทอร์เน็ต การค้นหาโอกาสในการกำหนดความรับผิดชอบในโลกไซเบอร์ - ทั้งหมดนี้มีส่วนช่วยเพิ่มความสนใจในโซลูชันซอฟต์แวร์และฮาร์ดแวร์ที่รวมความสะดวกในการใช้งานและการป้องกันที่ได้รับการปรับปรุง

ลายเซ็นดิจิทัล

รูปที่ 2.อุปกรณ์ตรวจสอบความถูกต้องสามารถทำได้ในหลายรูปแบบ: โทเค็น USB, สมาร์ทการ์ด สะดวกสำหรับการใช้งานบนอุปกรณ์พกพา การ์ดไมโครเอสดี(โทเค็น MicroSD ที่ปลอดภัย) และแม้แต่ซิมการ์ดก็รองรับเกือบทั้งหมด โทรศัพท์มือถือและสมาร์ทโฟน นอกจากนี้ยังสามารถติดตั้งฟังก์ชันเพิ่มเติมได้ เช่น สมาร์ทการ์ดสามารถใช้เป็นบัตรธนาคารได้ บัตรชำระเงิน, การเข้าถึงสถานที่ทางอิเล็กทรอนิกส์, การรับรองความถูกต้องทางชีวภาพหมายถึง

เทคโนโลยีการตรวจสอบความถูกต้องของผู้ส่งที่ใช้ในสมาร์ทการ์ดและโทเค็น (ดูรูปที่ 2) มีความเป็นผู้ใหญ่ ใช้งานได้จริง และสะดวกยิ่งขึ้น ตัวอย่างเช่น สามารถใช้เป็นกลไกการตรวจสอบสิทธิ์บนทรัพยากรบนเว็บ ในบริการอิเล็กทรอนิกส์ และแอปพลิเคชันการชำระเงินด้วยลายเซ็นดิจิทัล ลายเซ็นดิจิทัลเชื่อมโยงผู้ใช้เฉพาะกับคีย์เข้ารหัสส่วนตัวแบบไม่สมมาตร เมื่อแนบไปกับข้อความอีเมล จะช่วยให้ผู้รับสามารถตรวจสอบได้ว่าผู้ส่งคือคนที่ตนบอกว่าตนเป็นใครหรือไม่ รูปแบบของการเข้ารหัสอาจแตกต่างกัน

คีย์ส่วนตัวซึ่งมีเจ้าของเพียงคนเดียว ใช้สำหรับลายเซ็นดิจิทัลและการเข้ารหัสการส่งข้อมูล ใครก็ตามที่มีรหัสสาธารณะสามารถอ่านข้อความนี้ได้ ลายเซ็นดิจิทัลอิเล็กทรอนิกส์สามารถสร้างได้ด้วยโทเค็น USB ซึ่งเป็นอุปกรณ์ฮาร์ดแวร์ที่สร้างคู่คีย์ บางครั้งวิธีการรับรองความถูกต้องที่แตกต่างกันจะรวมกัน - ตัวอย่างเช่น สมาร์ทการ์ดจะเสริมด้วยโทเค็นด้วยคีย์เข้ารหัส และเพื่อเข้าถึงวิธีสุดท้าย ป้อนรหัส PIN แล้ว (การตรวจสอบสิทธิ์แบบสองปัจจัย) เมื่อใช้โทเค็นและสมาร์ทการ์ด คีย์การลงนามส่วนตัวจะไม่ทิ้งโทเค็น วิธีนี้จะช่วยลดโอกาสที่คีย์จะถูกบุกรุก

การใช้ลายเซ็นดิจิทัลได้รับการรับรองด้วยเครื่องมือและเทคโนโลยีพิเศษที่ประกอบเป็นโครงสร้างพื้นฐานของคีย์สาธารณะ (โครงสร้างพื้นฐานคีย์สาธารณะ, PKI) องค์ประกอบหลักของ PKI คือผู้ออกใบรับรอง ซึ่งมีหน้าที่ในการออกคีย์และรับประกันความถูกต้องของใบรับรองที่ยืนยันความสอดคล้องระหว่างคีย์สาธารณะและข้อมูลที่ระบุเจ้าของคีย์

นักพัฒนานำเสนอส่วนประกอบต่างๆ สำหรับการฝังฟังก์ชันการเข้ารหัสลงในเว็บแอปพลิเคชัน ตัวอย่างเช่น SDK และปลั๊กอินของเบราว์เซอร์ที่มีอินเทอร์เฟซการเขียนโปรแกรมสำหรับการเข้าถึงฟังก์ชันการเข้ารหัส ด้วยความช่วยเหลือของพวกเขา คุณสามารถใช้ฟังก์ชันการเข้ารหัส การรับรองความถูกต้อง และลายเซ็นดิจิทัลได้ด้วยการรักษาความปลอดภัยระดับสูง เครื่องมือลายเซ็นดิจิทัลยังมีให้ในรูปแบบของบริการออนไลน์ (ดูแถบด้านข้าง “EDS เป็นบริการ”)

EDS เป็นบริการ

หากต้องการทำให้การลงนาม การแลกเปลี่ยน และการจัดเก็บเอกสารอิเล็กทรอนิกส์เป็นไปโดยอัตโนมัติ คุณสามารถใช้บริการออนไลน์ eSign-PRO (www.esign-pro.ru) ทุกคนลงทะเบียนในนั้น เอกสารอิเล็กทรอนิกส์ได้รับการปกป้องโดยลายเซ็นดิจิทัล และการสร้างและการตรวจสอบลายเซ็นดิจิทัลจะดำเนินการในฝั่งไคลเอ็นต์โดยใช้โมดูลการเข้ารหัส eSign Crypto Plugin สำหรับเบราว์เซอร์ ซึ่งจะถูกติดตั้งเมื่อคุณเข้าถึงพอร์ทัลครั้งแรก เวิร์กสเตชันโต้ตอบกับเว็บเซิร์ฟเวอร์พอร์ทัลผ่านทาง โปรโตคอล TLSในโหมดการรับรองความถูกต้องของเซิร์ฟเวอร์ทางเดียว การตรวจสอบสิทธิ์ผู้ใช้จะดำเนินการตามตัวระบุส่วนบุคคลและรหัสผ่านที่ส่งไปยังเซิร์ฟเวอร์หลังจากสร้างการเชื่อมต่อที่ปลอดภัย

บริการ eSign-PRO ได้รับการสนับสนุนโดยโครงสร้างพื้นฐานคีย์สาธารณะตามศูนย์รับรองเอกสารอิเล็กทรอนิกส์ ซึ่งได้รับการรับรองโดย Federal Tax Service ของรัสเซีย และเป็นเจ้าของโดยบริษัท Signal-KOM แต่ใบรับรองที่ออกโดยศูนย์รับรองอื่นก็สามารถยอมรับได้เช่นกัน

ตามที่นักพัฒนาเน้นย้ำ บริการนี้ตรงตามข้อกำหนดของกฎหมายของรัฐบาลกลางหมายเลข 63-FZ “เกี่ยวกับลายเซ็นอิเล็กทรอนิกส์” และใช้เครื่องมือที่ได้รับการรับรองโดย FSB ของรัสเซีย การป้องกันการเข้ารหัส"คริปโต-คอม 3.2" ข้อมูลสำคัญสามารถจัดเก็บไว้ในสื่อต่างๆ รวมถึงโทเค็น USB

"โครงสร้างพื้นฐาน PKI คือการออกแบบที่ดีที่สุดสำหรับ การรับรองความถูกต้องที่ปลอดภัยผู้ใช้” Kirill Meshcheryakov หัวหน้าฝ่ายพันธมิตรด้านเทคโนโลยีของ Aktiv กล่าว - ไม่มีอะไรน่าเชื่อถือมากไปกว่าการคิดค้นใบรับรองดิจิทัลในพื้นที่นี้ สิ่งเหล่านี้อาจเป็นใบรับรองที่ออกโดยรัฐสำหรับ บุคคลเพื่อใช้ในบริการคลาวด์หรือใบรับรองดิจิทัลขององค์กรเพื่อใช้โมเดล BYOD ยิ่งไปกว่านั้น แบบแรกสามารถใช้เพื่อเข้าถึงทรัพยากรภายในองค์กรได้ หากบริษัทเชิงพาณิชย์มีโอกาสเชื่อมต่อกับหน่วยงานออกใบรับรองของรัฐบาล เมื่อใช้ใบรับรองดิจิทัลทุกที่ที่จำเป็นต้องมีการตรวจสอบสิทธิ์ผู้ใช้ ชีวิตของประชาชนทั่วไปจะง่ายขึ้นมาก ขณะนี้การจัดเก็บใบรับรองดิจิทัลที่เชื่อถือได้และปลอดภัยนั้นมีให้ในวิธีเดียวเท่านั้น - โดยใช้สมาร์ทการ์ดและโทเค็น”

เมื่อพิจารณาถึงความสนใจที่เพิ่มขึ้นของรัฐในด้านต่างๆ เช่น ลายเซ็นดิจิทัลและสมาร์ทการ์ด ตลอดจนความสำคัญของการมีการตรวจสอบสิทธิ์แบบหลายปัจจัยที่เชื่อถือได้และสะดวกสบายในระบบข้อมูลต่างๆ และการพัฒนาระบบการชำระเงินทางอิเล็กทรอนิกส์และการจัดการเอกสารอิเล็กทรอนิกส์ที่มีนัยสำคัญทางกฎหมาย ในประเทศ นักพัฒนายังคงปรับปรุงโซลูชั่นของตนและขยายสายผลิตภัณฑ์อย่างต่อเนื่อง

โทเค็น USB และสมาร์ทการ์ด

รูปที่ 3.การใช้สมาร์ทการ์ดเป็นวิธีการรับรองความถูกต้องเมื่อทำงานกับระบบข้อมูล เว็บพอร์ทัล และบริการคลาวด์ เป็นไปได้เมื่อเข้าถึงได้ไม่เพียงแต่จากเวิร์กสเตชันส่วนบุคคล แต่ยังมาจากอุปกรณ์มือถือด้วย แต่ต้องใช้เครื่องอ่านพิเศษดังนั้นบางครั้งก็กลายเป็นว่าบางครั้ง เพื่อให้โทเค็นสะดวกยิ่งขึ้นในรูปแบบ MicroSD

สมาร์ทการ์ดและโทเค็น USB สามารถใช้เป็นวิธีการตรวจสอบสิทธิ์ส่วนบุคคลและลายเซ็นอิเล็กทรอนิกส์สำหรับการจัดระเบียบเอกสารที่ปลอดภัยและมีความสำคัญทางกฎหมาย การปฏิวัติ (ดูรูปที่ 3) นอกจากนี้การใช้งานยังทำให้สามารถรวมวิธีการตรวจสอบสิทธิ์ได้ตั้งแต่ระบบปฏิบัติการไปจนถึงระบบควบคุมการเข้าถึงสำหรับสถานที่

นักพัฒนาซอฟต์แวร์และฮาร์ดแวร์รักษาความปลอดภัยข้อมูลชาวรัสเซียได้สั่งสมประสบการณ์ที่แข็งแกร่งในการสร้างคีย์อิเล็กทรอนิกส์ (โทเค็น) และตัวระบุ ตัวอย่างเช่น บริษัท Aktiv (www.rutoken.ru) ผลิตโทเค็น Rutoken USB จำนวนมากซึ่งมีผลิตภัณฑ์ดังกล่าวมากกว่าหนึ่งโหลแล้ว (ดูรูปที่ 4) ตั้งแต่ปี 1995 บริษัท “Aladdin R.D.” ได้ดำเนินธุรกิจในตลาดเดียวกัน

รูปที่ 4. Rutoken EDS ของบริษัท Aktiv เป็นตัวระบุอิเล็กทรอนิกส์ที่มีการนำฮาร์ดแวร์ไปใช้ตามมาตรฐานรัสเซียสำหรับลายเซ็นอิเล็กทรอนิกส์ การเข้ารหัส และการแฮช เพื่อให้มั่นใจในการจัดเก็บคีย์ลายเซ็นอิเล็กทรอนิกส์ที่ปลอดภัยในหน่วยความจำที่ปลอดภัยในตัว ผลิตภัณฑ์มีใบรับรอง FSB ของการปฏิบัติตามข้อกำหนดสำหรับ CIPF คลาส KS2 และวิธีการลายเซ็นอิเล็กทรอนิกส์ตามกฎหมายของรัฐบาลกลางหมายเลข 63-FZ "เกี่ยวกับลายเซ็นอิเล็กทรอนิกส์" รวมถึงใบรับรอง FSTEC ของการปฏิบัติตามข้อกำหนดสำหรับข้อที่สี่ ระดับการควบคุมการไม่มีความสามารถที่ไม่ได้ประกาศ

ผลิตภัณฑ์ในกลุ่ม Rutoken ที่มีการตรวจสอบสิทธิ์แบบสองปัจจัย (อุปกรณ์และรหัส PIN) ใช้ไมโครโปรเซสเซอร์ ARM 32 บิตเพื่อสร้างคู่คีย์ สร้างและตรวจสอบลายเซ็นอิเล็กทรอนิกส์ (อัลกอริธึม GOST R 34.10-2001) รวมถึงไมโครคอนโทรลเลอร์ที่ปลอดภัยด้วย non- หน่วยความจำชั่วคราวสำหรับการจัดเก็บข้อมูลผู้ใช้ แตกต่างจากโซลูชันที่พัฒนาใน Java เฟิร์มแวร์ใน Rutoken นั้นถูกนำไปใช้ในภาษาที่คอมไพล์ ตามที่นักพัฒนาระบุว่าสิ่งนี้ให้โอกาสในการเพิ่มประสิทธิภาพซอฟต์แวร์มากขึ้น Rutoken ไม่จำเป็นต้องติดตั้งไดรเวอร์และถูกกำหนดให้เป็นอุปกรณ์ HID

เมื่อสร้างลายเซ็นดิจิทัล จะใช้การเข้ารหัสแบบเส้นโค้งวงรี ปลั๊กอินที่นำเสนอสำหรับเบราว์เซอร์ (การติดตั้งไม่จำเป็นต้องมีสิทธิ์ของผู้ดูแลระบบ) สามารถทำงานร่วมกับโทเค็น USB และมีอินเทอร์เฟซซอฟต์แวร์สำหรับการเข้าถึงฟังก์ชันการเข้ารหัส ปลั๊กอินช่วยให้คุณรวม Rutoken เข้ากับระบบธนาคารระยะไกลและระบบจัดการเอกสารอิเล็กทรอนิกส์

อุปกรณ์ Rutoken PINPad (ลายเซ็นดิจิทัล Rutoken พร้อมหน้าจอ) ช่วยให้คุณเห็นภาพเอกสารที่ลงนามก่อนที่จะใช้ลายเซ็นอิเล็กทรอนิกส์และป้องกันการโจมตีที่กระทำโดยใช้วิธีการ การควบคุมระยะไกลเพื่อแทนที่เนื้อหาในเอกสารเมื่อส่งไปขอลายเซ็น

บริษัท รัสเซีย "Aladdin R.D. " ผลิตสมาร์ทการ์ด JaCarta, USB และโทเค็น Secure MicroSD ที่หลากหลายสำหรับการตรวจสอบสิทธิ์ที่เข้มงวด ลายเซ็นอิเล็กทรอนิกส์ และการจัดเก็บคีย์และใบรับรองดิจิทัลอย่างปลอดภัย (ดูรูปที่ 5) ประกอบด้วยผลิตภัณฑ์ของซีรีส์ JaCarta PKI ซึ่งมีไว้สำหรับใช้ในระบบองค์กรและภาครัฐ และ JaCarta GOST เพื่อให้มั่นใจถึงความสำคัญทางกฎหมายของการดำเนินการของผู้ใช้เมื่อทำงานในบริการอิเล็กทรอนิกส์ต่างๆ ใน JaCarta รองรับแพลตฟอร์มมือถือสมัยใหม่ทั้งหมด ( แอปเปิล ไอโอเอส, Android, Linux, Mac OS และ Windows) ใช้การตรวจสอบสิทธิ์แบบสองและสามปัจจัยที่เข้มงวด ลายเซ็นอิเล็กทรอนิกส์ที่ได้รับการปรับปรุง และการป้องกันภัยคุกคามจากสภาพแวดล้อมที่ไม่น่าเชื่อถือ

อุปกรณ์ของตระกูล JaCarta GOST ใช้อัลกอริธึมการเข้ารหัสของรัสเซียในฮาร์ดแวร์ และได้รับการรับรองโดย FSB ของสหพันธรัฐรัสเซียว่าเป็นเครื่องมือลายเซ็นอิเล็กทรอนิกส์ส่วนบุคคลตาม KC1 และ KS2 Alexey Alexandrov กล่าว ดังนั้นจึงสามารถใช้สำหรับการรับรองความถูกต้องโดยใช้กลไกลายเซ็นอิเล็กทรอนิกส์ เพื่อสร้างลายเซ็นอิเล็กทรอนิกส์บนเอกสาร หรือยืนยันการดำเนินการต่างๆ ในระบบข้อมูล รวมถึงการทำงานกับบริการคลาวด์

ในอุปกรณ์ของตระกูล JaCarta GOST อัลกอริธึมการเข้ารหัสจะถูกนำไปใช้ในระดับไมโครโปรเซสเซอร์และนอกจากนี้ยังใช้รูปแบบการทำงานกับคีย์ลายเซ็นส่วนตัวที่ไม่สามารถเรียกคืนได้ วิธีการนี้ช่วยลดโอกาสที่จะถูกขโมยคีย์ลายเซ็นส่วนตัว และการสร้างลายเซ็นอิเล็กทรอนิกส์โดยใช้คีย์ดังกล่าวจะดำเนินการภายในอุปกรณ์ คีย์และใบรับรอง GOST ที่มีอยู่ใน JaCarta สามารถใช้สำหรับการตรวจสอบสิทธิ์แบบสองปัจจัยที่เข้มงวดและการสร้างลายเซ็นอิเล็กทรอนิกส์ที่ผ่านการรับรองที่ได้รับการปรับปรุงในระบบข้อมูลหลายระบบที่ทำงานภายในโครงสร้างพื้นฐาน PKI อย่างน้อยหนึ่งโครงสร้างพื้นฐาน

อุปกรณ์ตรวจสอบความถูกต้องของ JaCarta มีจำหน่ายในรูปแบบต่างๆ แต่มีฟังก์ชันการทำงานเหมือนกัน ซึ่งช่วยให้คุณใช้กลไกการตรวจสอบความถูกต้องแบบเดียวกันในระบบข้อมูลต่างๆ บนเว็บพอร์ทัล ใน บริการคลาวด์และแอพพลิเคชั่นบนมือถือ

รูปที่ 6.การใช้งานฮาร์ดแวร์ของอัลกอริธึมการเข้ารหัสลับของรัสเซียใน JaCarta GOST ซึ่งได้รับการรับรองโดย FSB ของสหพันธรัฐรัสเซีย ช่วยให้สามารถใช้ ID อิเล็กทรอนิกส์ของพนักงานเป็นวิธีลายเซ็นดิจิทัล เพื่อการรับรองความถูกต้องที่เข้มงวดในระบบข้อมูล และรับรองความสำคัญทางกฎหมายของการกระทำของเขา

แนวทางการใช้อุปกรณ์ที่เหมือนกันในการแก้ปัญหาจำนวนหนึ่ง (ดูรูปที่ 6) ได้รับความนิยมเพิ่มมากขึ้นเมื่อเร็วๆ นี้ เนื่องจากมีแท็ก RFID หนึ่งหรือสองแท็กในสมาร์ทการ์ดและทำงานร่วมกับระบบควบคุมการเข้าออก จึงสามารถใช้เพื่อควบคุมการเข้าถึงสถานที่ได้ และการสนับสนุนอัลกอริธึมการเข้ารหัสต่างประเทศ (RSA) และการบูรณาการกับผลิตภัณฑ์ส่วนใหญ่จากผู้ขายทั่วโลก (Microsoft, Citrix, VMware, Wyse ฯลฯ) ทำให้สามารถใช้สมาร์ทการ์ดเป็นวิธีการตรวจสอบสิทธิ์ที่เข้มงวดในโซลูชันองค์กรโครงสร้างพื้นฐาน รวมถึงผู้ใช้ เข้าสู่ระบบ Microsoft Windows ทำงานร่วมกับ VDI และสถานการณ์ยอดนิยมอื่น ๆ ซอฟต์แวร์ไม่จำเป็นต้องแก้ไข - เปิดใช้งานการสนับสนุนได้โดยการสมัคร การตั้งค่าบางอย่างและนักการเมือง

ระบบการจัดการข้อมูลประจำตัวและการเข้าถึง

ทำให้การทำงานของผู้ดูแลระบบความปลอดภัยเป็นอัตโนมัติและตอบสนองต่อการเปลี่ยนแปลงนโยบายได้อย่างรวดเร็วโดยไม่ต้อง ระบบการจัดการแบบรวมศูนย์สำหรับวงจรชีวิตของเครื่องมือตรวจสอบสิทธิ์และลายเซ็นดิจิทัลช่วยให้มั่นใจในความปลอดภัย ตัวอย่างเช่น JaСarta Management System (JMS) ของบริษัท "Aladdin R.D." ออกแบบมาสำหรับการบัญชีและการลงทะเบียนฮาร์ดแวร์ทั้งหมดและ ซอฟต์แวร์การรับรองความถูกต้องและการจัดเก็บ ข้อมูลสำคัญที่ใช้โดยพนักงานทั่วทั้งองค์กร

งานของบริษัทได้แก่การจัดการวงจรชีวิตของเครื่องมือเหล่านี้ ตรวจสอบการใช้งาน การจัดเตรียมรายงาน การอัปเดตข้อมูลการตรวจสอบสิทธิ์ การให้หรือเพิกถอนสิทธิ์การเข้าถึงแอปพลิเคชันเมื่อความรับผิดชอบงานเปลี่ยนแปลงหรือพนักงานลาออก การเปลี่ยนอุปกรณ์หากสูญหายหรือเสียหาย และการเลิกใช้งาน อุปกรณ์. เพื่อวัตถุประสงค์ในการตรวจสอบเครื่องมือตรวจสอบความถูกต้อง ข้อเท็จจริงทั้งหมดของการใช้อุปกรณ์บนคอมพิวเตอร์องค์กรและการเปลี่ยนแปลงข้อมูลที่จัดเก็บไว้ในหน่วยความจำจะถูกบันทึก

JMS ยังสามารถนำมาใช้ในการนำไปใช้ได้อีกด้วย การสนับสนุนด้านเทคนิคและการสนับสนุนผู้ใช้: แทนที่รหัส PIN ที่ลืม, ซิงโครไนซ์เครื่องสร้างรหัสผ่านแบบครั้งเดียว, ประมวลผลสถานการณ์ทั่วไปของโทเค็นที่สูญหายหรือเสียหาย และด้วยซอฟต์แวร์โทเค็นเสมือน ผู้ใช้ที่ไม่อยู่ที่สำนักงาน แม้ว่า eToken จะหายไป ก็สามารถทำงานกับคอมพิวเตอร์ต่อไปหรือเข้าถึงทรัพยากรได้อย่างปลอดภัยโดยไม่ลดระดับความปลอดภัยลง

จากข้อมูลของบริษัท Aladdin R.D. JMS (ดูรูปที่ 7) ซึ่งได้รับการรับรองโดย FSTEC ของรัสเซีย ได้เพิ่มระดับความปลอดภัยขององค์กรผ่านการใช้ใบรับรองคีย์สาธารณะของมาตรฐาน X.509 และการจัดเก็บคีย์ส่วนตัวในหน่วยความจำที่ปลอดภัยของสมาร์ทการ์ด และโทเค็น USB ช่วยให้การใช้งานและการทำงานของโซลูชัน PKI ง่ายขึ้นโดยใช้โทเค็น USB และสมาร์ทการ์ด โดยทำให้ขั้นตอนการดูแลระบบและการตรวจสอบทั่วไปเป็นแบบอัตโนมัติ

รูปที่ 7.ระบบ JMS ของบริษัท "Aladdin R.D." รองรับ eToken ประเภทและรุ่นทั้งหมด ทำงานร่วมกับ Microsoft ไดเรกทอรีที่ใช้งานอยู่และสถาปัตยกรรมแบบเปิดทำให้คุณสามารถเพิ่มการรองรับแอปพลิเคชันและอุปกรณ์ฮาร์ดแวร์ใหม่ (ผ่านกลไกตัวเชื่อมต่อ)

ปัจจุบัน ระบบการจัดการการระบุตัวตนและการเข้าถึงทรัพยากรข้อมูลองค์กร (IDM) มีความสำคัญเพิ่มมากขึ้น เมื่อเร็ว ๆ นี้ บริษัท Avanpost เปิดตัวผลิตภัณฑ์รุ่นที่สี่ - ชุดซอฟต์แวร์ Avanpost (ดูรูปที่ 8) ตามที่นักพัฒนาไม่เหมือนกับโซลูชันต่างประเทศ การใช้งาน IDM Avanpost 4.0 เกิดขึ้นในระยะเวลาอันสั้นและต้องการต้นทุนน้อยกว่า และการบูรณาการกับองค์ประกอบอื่น ๆ ของระบบข้อมูลนั้นสมบูรณ์แบบที่สุด ได้รับการออกแบบ บริษัท รัสเซียผลิตภัณฑ์นี้สอดคล้องกับกรอบการกำกับดูแลภายในประเทศในด้านความปลอดภัยของข้อมูล สนับสนุนหน่วยงานออกใบรับรองในประเทศ สมาร์ทการ์ด และโทเค็น และรับประกันความเป็นอิสระทางเทคโนโลยีในพื้นที่ที่สำคัญ เช่น การจัดการการเข้าถึงข้อมูลที่เป็นความลับอย่างครอบคลุม

รูปที่ 8.ซอฟต์แวร์ Avanpost ประกอบด้วยโมดูลหลักสามโมดูล ได้แก่ IDM, PKI และ SSO ซึ่งสามารถนำไปใช้แยกกันหรือใช้ร่วมกับโมดูลใดก็ได้ ผลิตภัณฑ์เสริมด้วยเครื่องมือที่ช่วยให้คุณสร้างและบำรุงรักษาโมเดลบทบาท จัดระเบียบโฟลว์เอกสารที่เกี่ยวข้องกับการควบคุมการเข้าถึง พัฒนาตัวเชื่อมต่อไปยังระบบต่างๆ และปรับแต่งรายงาน

Avanpost 4.0 แก้ปัญหาการควบคุมการเข้าถึงที่ครอบคลุม: IDM ถูกใช้เป็นลิงก์กลางของระบบรักษาความปลอดภัยข้อมูลองค์กร โดยที่โครงสร้างพื้นฐาน PKI และ Single Sign On (SSO) ถูกรวมเข้าด้วยกัน ซอฟต์แวร์นี้ให้การสนับสนุนการรับรองความถูกต้องแบบสองและสามปัจจัยและเทคโนโลยีการระบุตัวตนแบบไบโอเมตริก การใช้ SSO สำหรับแพลตฟอร์มมือถือ Android และ iOS รวมถึงตัวเชื่อมต่อ (โมดูลอินเทอร์เฟซ) ด้วย แอพพลิเคชั่นต่างๆ(ดูรูปที่ 9)

รูปที่ 9.สถาปัตยกรรม Avanpost 4.0 ทำให้การสร้างตัวเชื่อมต่อง่ายขึ้น ช่วยให้คุณสามารถเพิ่มกลไกการตรวจสอบสิทธิ์ใหม่ และใช้ตัวเลือกต่างๆ สำหรับการตรวจสอบสิทธิ์ N-factor (เช่น ผ่านการโต้ตอบกับไบโอเมตริก ระบบควบคุมการเข้าถึง ฯลฯ)

ตามที่บริษัท Avanpost เน้นย้ำ ในตลาดรัสเซียความนิยมของระบบบูรณาการรวมถึง IDM ระบบควบคุมการเข้าถึงและฮาร์ดแวร์ตรวจสอบสิทธิ์ไบโอเมตริกซ์จะค่อยๆ เติบโต แต่เทคโนโลยีซอฟต์แวร์และโซลูชันที่เกี่ยวข้องกับอุปกรณ์มือถือ: สมาร์ทโฟนและแท็บเล็ตจะกลายเป็นที่ต้องการมากขึ้น . ดังนั้นจึงมีการวางแผนการอัพเดตซอฟต์แวร์ Avanpost 4.0 จำนวนหนึ่งเพื่อเผยแพร่ในปี 2557

ด้วย Avanpost 4.0 คุณสามารถสร้างเครื่องมือควบคุมการเข้าถึงที่ครอบคลุมสำหรับระบบที่รวมแอปพลิเคชันแบบดั้งเดิมและคลาวด์ส่วนตัวที่ทำงานภายใต้โมเดล IaaS, PaaS และ SaaS (ในกรณีหลัง จำเป็นต้องใช้ API แอปพลิเคชันบนคลาวด์) บริษัท Avanpost ระบุว่าโซลูชันสำหรับไพรเวทคลาวด์และระบบไฮบริดได้รับการพัฒนาอย่างสมบูรณ์แล้ว และการส่งเสริมการขายเชิงพาณิชย์จะเริ่มทันทีที่มีความต้องการผลิตภัณฑ์ดังกล่าวในตลาดรัสเซียอย่างต่อเนื่อง

โมดูล SSO มีฟังก์ชัน Avanpost Mobile ที่รองรับอุปกรณ์เคลื่อนที่ยอดนิยม แพลตฟอร์ม Androidและ iOS โมดูลนี้ให้การเข้าถึงที่ปลอดภัยผ่านเบราว์เซอร์จากอุปกรณ์มือถือไปยังพอร์ทัลภายในองค์กรและแอปพลิเคชันอินทราเน็ต (พอร์ทัล เมลขององค์กร Microsoft Outlook Web App ฯลฯ ) เวอร์ชันสำหรับระบบปฏิบัติการ Android มีระบบ SSO ในตัวที่ทำงานได้อย่างสมบูรณ์ซึ่งรองรับระบบโทรศัพท์ VoIP การประชุมทางวิดีโอและวิดีโอ (Skype, SIP) รวมถึงแอปพลิเคชัน Android ใด ๆ (เช่นไคลเอนต์ ระบบองค์กร: การบัญชี, CRM, ERP, HR ฯลฯ) และบริการเว็บบนคลาวด์

สิ่งนี้ทำให้ผู้ใช้ไม่จำเป็นต้องจำคู่ล็อกอิน/รหัสผ่านหลายคู่ และช่วยให้องค์กรบังคับใช้นโยบายความปลอดภัยที่ต้องใช้รหัสผ่านที่รัดกุมและเปลี่ยนบ่อยซึ่งแตกต่างกันไปตามแอปพลิเคชัน

การเสริมสร้างความเข้มแข็งอย่างต่อเนื่องของกฎระเบียบของรัฐในภาคความมั่นคงปลอดภัยข้อมูลในรัสเซียมีส่วนทำให้ตลาดภายในประเทศสำหรับเครื่องมือรักษาความปลอดภัยข้อมูลเติบโต จากข้อมูลของ IDC ในปี 2556 ยอดขายรวมของโซลูชั่นซอฟต์แวร์รักษาความปลอดภัยมีมูลค่ามากกว่า 412 ล้านดอลลาร์ ซึ่งสูงกว่าตัวชี้วัดเดียวกันในช่วงก่อนหน้ามากกว่า 9% และตอนนี้ หลังจากการลดลงที่คาดไว้ การคาดการณ์ก็เป็นไปในทางที่ดี ในอีกสามปีข้างหน้า อัตราการเติบโตเฉลี่ยต่อปีอาจเกิน 6% ปริมาณการขายที่ใหญ่ที่สุดมาจากโซลูชันซอฟต์แวร์สำหรับการปกป้องอุปกรณ์ปลายทาง (มากกว่า 50% ของตลาดความปลอดภัยของข้อมูล) การตรวจสอบช่องโหว่และการควบคุมความปลอดภัยใน เครือข่ายองค์กรตลอดจนวิธีการระบุตัวตนและการควบคุมการเข้าถึง

“อัลกอริธึมการเข้ารหัสลับในประเทศไม่ได้ด้อยกว่ามาตรฐานของตะวันตก และแม้แต่ในความเห็นของหลาย ๆ คนก็ยังเหนือกว่ามาตรฐานเหล่านั้น” ยูริ Sergeev กล่าว - เกี่ยวกับการบูรณาการการพัฒนาของรัสเซียในด้านการตรวจสอบสิทธิ์และลายเซ็นดิจิทัลกับผลิตภัณฑ์จากต่างประเทศ มันจะมีประโยชน์ในการสร้างไลบรารีโอเพ่นซอร์สและผู้ให้บริการ crypto สำหรับโซลูชันต่างๆ พร้อมการควบคุมคุณภาพโดย FSB ของรัสเซียและการรับรองส่วนบุคคล เวอร์ชันเสถียร- ในกรณีนี้ ผู้ผลิตสามารถรวมผลิตภัณฑ์เหล่านี้เข้ากับผลิตภัณฑ์ที่พวกเขานำเสนอ ซึ่งจะได้รับการรับรองเป็น CIPF โดยคำนึงถึงการใช้ไลบรารีที่ได้รับการตรวจสอบแล้วอย่างถูกต้อง เป็นที่น่าสังเกตว่าประสบความสำเร็จบางประการแล้ว: ตัวอย่างที่ดีคือการพัฒนาแพตช์เพื่อรองรับ GOST ใน openssl อย่างไรก็ตาม มันก็คุ้มค่าที่จะคิดถึงการจัดกระบวนการนี้ในระดับรัฐ”

“อุตสาหกรรมไอทีของรัสเซียกำลังเดินตามเส้นทางของการบูรณาการส่วนประกอบที่ได้รับการรับรองภายในประเทศเข้ากับส่วนประกอบของต่างประเทศ ระบบสารสนเทศ- เส้นทางนี้เหมาะสมที่สุดในปัจจุบันเนื่องจากการพัฒนาข้อมูลและระบบปฏิบัติการของรัสเซียตั้งแต่เริ่มต้นจะเป็นเรื่องยากและมีราคาแพงอย่างไร้เหตุผล Kirill Meshcheryakov กล่าว - นอกเหนือจากปัญหาด้านองค์กรและการเงิน ตลอดจนกฎหมายที่ได้รับการพัฒนาไม่เพียงพอ การใช้เครื่องมือตรวจสอบความถูกต้องและลายเซ็นดิจิทัลอย่างกว้างขวางยังถูกขัดขวางโดยการศึกษาในระดับต่ำของประชากรในด้านความปลอดภัยของข้อมูล และการขาดการสนับสนุนข้อมูลของรัฐบาลสำหรับภายในประเทศ ผู้ให้บริการโซลูชั่นรักษาความปลอดภัย แน่นอนว่าปัจจัยขับเคลื่อนตลาดคือแพลตฟอร์มการซื้อขาย ระบบการรายงานภาษี องค์กร และ ระบบราชการการไหลของเอกสาร ในช่วงห้าปีที่ผ่านมา ความก้าวหน้าในการพัฒนาอุตสาหกรรมมีมากมายมหาศาล”

เซอร์เกย์ ออร์ลอฟ- บรรณาธิการชั้นนำของ Journal of Network Solutions/LAN สามารถติดต่อได้ที่: