Ежегодная конференция по кибербезопасности (6+), традиционно проводимая правительством Приморского края, состоялась на площадке кампуса Дальневосточного федерального университета одновременно с другими секциями Восточного цифрового форума (6+). На этот раз она носила название "Кибербез. Как обеспечить стабильность инфраструктуры в новых условиях" (12+). Среди множества вопросов, обсуждаемых на мероприятии экспертами и практикующими специалистами, был вопрос, касающийся современных подходов к аутентификации в государственных и корпоративных информационных системах. Так, именно этой теме посвятил свой доклад директор по развитию компании "Актив" Владимир Иванов, сообщает ИА PrimaMedia.
В начале своего выступления Владимир Иванов обратил внимание на то, идентификация пользователя является "нелюбимой падчерицей заказчиков и системных администраторов". То есть на нее обращают внимание в последнюю очередь. Что в корне неверно. Абсолютно все — и владельцы системы, и разработчики, и операторы, и пользователи — постоянно должны доказывать свою идентичность.
В данном случае, по мнению докладчика, пароль не вполне надежное средство, поскольку непосредственно не связывается с конкретной личностью пользователя. Даже если в системе используются два пароля (постоянный и присылаемый по SMS), полной гарантии неприкосновенности вашей личности в киберпространстве не существует. В последнее время эксперты в области кибербезопасности приходят к общему выводу, что пароль нельзя считать лучшим средством аутентификации пользователя.
Поэтому сейчас разрабатывается целая группа стандартов по аутентификации и идентификации, куда вводятся такие понятия, как уровень доверия к аутентификации и идентификации. Для различных систем требуются разные уровни. Если мы берем форум условного магазина, там достаточно анонимного доступа. Но когда пользователь сообщает о себе только то, что хочет сообщить, проверить эту информацию затруднительно. Поэтому просто используется система, где пользователи могли бы не пересекаться, — сказал Владимир Иванов.
Но есть системы, требующие аутентификации высокого уровня доверия. Пример — система ЕСИА, которая используется на портале Госуслуг. Скажем, имеются варианты, когда сотрудник имеет возможность сверить документы и атрибуты, и можно с высокой степенью уверенности утверждать, что это тот самый человек.
Последствия неправильной идентификации могут быть достаточно тяжкие, и денежные, и репутационные. Пожалуй, самый яркий пример — выдача сертификатов электронной подписи по поддельной доверенности и поддельным документам совершенно не тому человеку.
— Различные международные организации уже давно составляют различные списки аутентификаторов. И все однозначно сходятся на том, что статический запоминаемый пароль является наихудшим способом аутентификации личности. Прежде всего, потому, что это симметричная схема, когда проверяющая и доказывающая сторона знают один и тот же секрет. В результате каждый день читаем об утечке личных данных и паролей и прочей информации, — напомнил Владимир Иванов.
Самый низкий уровень доверия — когда сведения могут перехватываться дважды — со стороны пользователи и с проверяющей стороны.
Средний уровень доверия — более сложное устройство. Это, например, сочетание динамического пароля, который приходит через другой канал. Речь идет об одноразовом пароле (OTP), также известном как одноразовый PIN-код, одноразовый код авторизации (OTAC) или динамический пароль. Это пароль, действительный только для одного сеанса входа или транзакции в компьютерной системе или другом цифровом устройстве.
По мнению Владимира Иванова, надежность такого способа подмывается тем, что пользователь, работающий на компьютере, получает такой код на смартфон, поскольку есть вероятность того, что SMS-сообщение могут перехватить.
И тут стоит упомянуть асимметричную аутентификацию, в которой как раз проявляется определенная стойкость, поскольку проверяющая сторона вообще не знает секрета пользователя.
Асимметричная аутентификация — это процесс, при котором верификатор проверяет подлинность удаленной системы путем проверки подписи. Асимметричная аутентификация основана на использовании двух ключей. Один из ключей должен находиться в секрете. Этот ключ носит название приватный (закрытый, секретный) ключ.
— По этому пункту наша компания занимается устройствами в виде смарт-карт, криптографических USB-устройств и так далее. Как технически работает асимметричный фактор? Есть криптографические асимметричные алгоритмы, где используются два ключа. Один — публичный, его знают все, другой — приватный, и это позволяет избегать проблем с утечкой информации при успешной атаке на проверяющую сторону. Единственное, проблема может возникнуть в процессе регистрации. Но если это делается в доверенной среде, все будет хорошо, — сказал Владимир Иванов.
Доклад директора по развитию компании "Актив" Владимира Иванова. Фото: ИА PrimaMedia
Закрытый ключ является секретом, он хранится в специальном устройстве таким образом, что даже пользователь сам его не знает, поэтому никому не может о нем рассказать, даже если захочет. Для определения открытых ключей есть инфраструктура — центр доверия, который обеспечивает аутентификацию ключей.
Второй фактор — PIN-код. В парадигме асимметричной аутентификации он не хранится ни на каком сервере, его знает только устройство, разработанное компанией "Актив". Без этого устройства PIN-код бессмыслен. Так же, как и устройство без PIN-кода.
Когда используется смарт-карта, не нужен даже логин. Достаточно сертификата — система сама проверяет наличие пользователя по информации, которая уже находится в сертификате. Чтобы пройти аутентификацию, от пользователя требуется ввести PIN-код
— Где можно использовать наши устройства? Это может быть аутентификация на рабочих местах, домен, средства защиты от несанкционированного доступа, любая дистанционная работа (обязательно к применению). Такую же аутентификацию можно делать в приложениях. Решения могут быть разные, — резюмировал Владимир Иванов.
Компания "Актив" — российский разработчик средств информационной безопасности, один из крупнейших в России производителей электронных идентификаторов, электронных ключей и решений для защиты программного обеспечения. Компания была основана в 1994 году и сегодня объединяет бренды Рутокен и Guardant.
"Актив" постоянно сотрудничает более чем с 300 производителями оборудования и ПО. Так, регулярно пополняется и совершенствуется портфель технологий, ведется планомерная работа по расширению партнерской сети. Это позволяет создавать комплексные решения, сочетающие инфраструктурную часть с автоматизацией бизнес-процессов. Вместе с технологическими и бизнес-партнерами ежегодно реализовывается более 1 тысячи проектов.
