Многофакторная аутентификация, ставшая абсолютно естественной мерой обеспечить безопасность популярных пользовательских сервисов, стремительно проникает и в корпоративный сегмент. В этой статье мы рассмотрим, как добавить в мобильное приложение возможность еще одного подтверждения аутентификации, в дополнение к имени пользователя и паролю, например звонок на зарегистрированный на пользователя телефон или ввод кода из СМС. Помимо этого, будет рассмотрена настройка backend-сервисов для реализации данной многофакторной аутентификации.
Профиты многофакторной аутентификации для корпоративных приложений
- Более надежная аутентификация, чем только имя пользователя и пароль. К «что-то, что я знаю» (логин/пароль) добавляется «что-то, чем обладаю» - физическое устройство, а проверить, владеет ли им данный пользователь, позволяет код в СМС, отправленной на это устройство, или звонок на него с запросом пин-кода.
- Удобное управление настройками подобной системы аутентификации - включение/выключение разной степени защиты для разных пользователей, настройка различных политик и способов работы дополнительных факторов аутентификации.
- Возможность использовать учетные данные корпоративной инфраструктуры для входа в приложения, а не создавать новые логины и пароли для приложения в дополнение к корпоративным.
Мы рассмотрим реализацию этой задачи с помощью следующих продуктов и технологий:
- Azure Active Directory - облачный сервис многофакторной аутентификации;
- Azure Active Directory Authentication Libraries (ADAL) - библиотеки, обеспечивающие вызовы сервисов многофакторной аутентификации, включая проверки сертификатов, защищенное соединение с облачным сервисом аутентификации, отображение необходимых диалогов аутентификации. Поддерживает множество платформ и языков программирования;
- Xamarin Forms - кросс-платформенное средство создания мобильных приложений, обеспечивающее компиляцию в нативный код и стопроцентный доступ к нативным API. Особенно удобно для быстрого создания приложений с переиспользованием 80–90% и более исходного кода между iOS, Android, Windows UWP - как раз наш случай для данного примера. Xamarin доступен как бесплатная часть Microsoft Visual Studio во всех ее версиях, включая бесплатную Visual Studio Community Edition.
Конфигурирование сервиса Azure Active Directory завершено, теперь создадим мобильное приложение и интегрируем в него многофакторную аутентификацию.
Интеграция многофакторной аутентификации в мобильное приложение
Как я сказал выше, мы для примера возьмем Xamarin Forms (бесплатная часть Visual Studio), который позволит нам, переиспользуя большую часть кода, получить сразу нативные мобильные приложения с поддержкой многофакторной аутентификации для iOS, Android и Windows UWP.
Быстрый способ - используем готовый исходный код
- Забираем код из моего репозитория на GitHub .
- Прописываем в код приложения в файле MainPage.xaml.cs идентификаторы, которые мы сконфигурировали при регистрации приложения в облачном сервисе Azure Active Directory. Их полное соответствие в приложении и сервисе необходимо, чтобы сервис не отклонял обращения приложения.
<
Все готово. Теперь мы рассмотрим также создание приложения с нуля.
Детальный способ - создаем приложение с нуля
Запускаем Visual Studio (я сейчас использую VS 2017, версия 15.6.7) с установленным Xamarin. Это можно проверить, запустив Visual Studio Installer и нажав Modify текущей инсталляции Visual Studio.
INFO
Познакомиться подробно с разработкой на Xamarin Forms можно, скачав бесплатную и очень подробную книгу знаменитого Чарльза Петцольда (думаю, многие помнят этого автора) «Creating Mobile Apps with Xamarin.Forms ».
В основном Page (окне) приложения MainPage.xaml добавим кнопку с обработчиком, для этого XAML-код для кнопки (Button) поместим вместе с существующим Label внутрь контейнера StackPanel. Этот простейший контейнер выстраивает внутри себя контролы в ряд по вертикали или горизонтали.
В Xamarin Forms язык XAML поддерживает множество различных контейнеров , причем их можно вкладывать друг в друга, создавая гибко масштабируемые интерфейсы под любые размеры экранов.
После этого сразу перейдем в файл MainPage.xaml.cs (для этого нужно развернуть секцию с MainPage.xaml, чтобы увидеть код/code-behind) и добавим обработчик нажатия кнопки, а также нужные нам идентификаторы и namespaces.
Using Microsoft.IdentityModel.Clients.ActiveDirectory;
using System;
using Xamarin.Forms;
namespace App17
{
public partial class MainPage: ContentPage
{
public static string clientId = "<
После этого прописываем в приложение в код идентификаторы, которые мы сконфигурировали при регистрации приложения в облачном сервисе Azure Active Directory. Их полное соответствие в приложении и сервисе необходимо, чтобы сервис не отклонял обращения приложения:
clientID - это Application ID из наших настроек облачного сервиса выше.
Public static string clientId = "<
returnURI - это Redirect URI из наших настроек облачного сервиса выше.
Public static string returnUri = "http://MFATestPCL-redirect";
Вы можете включить двухфакторную аутентификацию в . Вам понадобится приложение Яндекс.Ключ, которое можно установить на мобильное устройство на базе iOS или Android. Устройство, которое не поддерживает установку приложений (например, Amazon Kindle Fire) использовать не получится.
После того как вы включите двухфакторную аутентификацию:
Все приложения, программы и сервисы Яндекса будут требовать именно одноразовый пароль. Одноразовый пароль также понадобится при входе с помощью социальной сети и входе в ящик Почты для доменов.
Логин и пароль можно не вводить, если вы входите на Яндекс с помощью QR-кода .
Для сторонних мобильных приложений, компьютерных программ и сборщиков почты необходимо будет использовать индивидуальные пароли приложений .
Примечание. Чтобы перенести аккаунт на другой смартфон или планшет, откройте страницу и нажмите кнопку Замена устройства .
Настройка проходит в несколько шагов. Двухфакторная аутентификация включается только после того, как вы нажмете кнопку Завершить настройку на последнем шаге.
- Шаг 2. Создайте пин-код
- Шаг 3. Настройте Яндекс.Ключ
Шаг 1. Подтвердите номер телефона
Если к вашему аккаунту привязан номер телефона, браузер покажет этот номер и попросит подтвердить или изменить его. Если ваш текущий номер телефона к аккаунту не привязан, нужно будет привязать его, иначе вы не сможете самостоятельно восстановить доступ к аккаунту.
Чтобы привязать или подтвердить номер, запросите код в SMS и введите его в форму. Если код введен верно, нажмите кнопку Подтвердить , чтобы перейти к следующему шагу.
Шаг 2. Создайте пин-код
Придумайте и введите четырехзначный пин-код для двухфакторной аутентификации.
Внимание. Как и со многими банковскими картами, пин-код знаете только вы и изменить его нельзя. Если вы забудете пин-код, Яндекс.Ключ не сможет сгенерировать правильный одноразовый пароль, а восстановить доступ к аккаунту можно будет только с помощью службы поддержки.
Нажмите кнопку Создать , чтобы подтвердить введенный пин-код.
Шаг 3. Настройте Яндекс.Ключ
Яндекс.Ключ необходим, чтобы генерировать одноразовые пароли для вашего аккаунта. Вы можете получить ссылку на приложение прямо на телефон или установить его из App Store или Google Play .
Примечание. Яндекс.Ключ может запросить доступ к камере, чтобы распознавать QR-коды при добавлении аккаунтов или при авторизации по QR-коду .
Нажмите в Яндекс.Ключе кнопку Добавить аккаунт в приложение . Яндекс.Ключ включит фотокамеру, чтобы сканировать показанный в браузере QR-код.
Если считать QR-код не получается, нажмите в браузере ссылку Показать секретный ключ , а в приложении - ссылку или добавьте его вручную . На месте QR-кода браузер отобразит последовательность символов, которую следует ввести в приложении.
Распознав аккаунт, приложение запросит пин-код, который вы создали на предыдущем шаге настройки 2FA.
Шаг 4. Проверьте одноразовый пароль
Чтобы убедиться, что все настроено правильно, нужно ввести одноразовый пароль на последнем шаге - двухфакторная аутентификация включится, только когда вы введете корректный пароль.
Для этого в Яндекс.Ключе нужно правильно ввести пин-код, который вы создали на втором шаге . Приложение покажет одноразовый пароль. Введите его рядом с кнопкой Включить и нажмите эту кнопку.
Пароли не взламывает только ленивый. Недавняя массовая утечка учетных записей из Yahoo только подтверждает тот факт, что одного лишь пароля - и совершенно неважно, какой он будет длины и сложности, - уже недостаточно для надежной защиты. Двухфакторная аутентификация - это то, что обещает дать такую защиту, добавляя дополнительный уровень безопасности.
В теории все выглядит неплохо, да и на практике, в общем-то, работает. Двухфакторная аутентификация действительно усложняет взлом учетной записи. Теперь злоумышленнику недостаточно выманить, украсть или взломать основной пароль. Для входа в учетную запись необходимо ввести еще и одноразовый код, который... А вот каким именно образом получается этот одноразовый код - и есть самое интересное.
Ты неоднократно сталкивался с двухфакторной аутентификацией, даже если никогда не слышал о ней. Когда-нибудь вводил одноразовый код, который тебе присылали через СМС? Это оно, частный случай двухфакторной аутентификации. Помогает? Честно говоря, не очень: злоумышленники уже научились обходить и этот вид защиты.
Сегодня мы рассмотрим все виды двухфакторной аутентификации, применяемой для защиты учетных записей Google Account, Apple ID и Microsoft Account на платформах Android, iOS и Windows 10 Mobile.
Apple
Впервые двухфакторная аутентификация появилась в устройствах Apple в 2013 году. В те времена убедить пользователей в необходимости дополнительной защиты было непросто. В Apple не стали и стараться: двухфакторная аутентификация (получившая название двухэтапной проверки, или Two-Step Verification) использовалась только для защиты от прямого финансового ущерба. Например, одноразовый код требовался при совершении покупки с нового устройства, смене пароля и для общения со службой поддержки на темы, связанные с учетной записью Apple ID.
Добром это все не кончилось. В августе 2014 года произошла массовая утечка фотографий знаменитостей . Хакеры сумели получить доступ к учетным записям жертв и скачали фото из iCloud. Разразился скандал, в результате которого Apple в спешном порядке расширила поддержку двухэтапной проверки на доступ к резервным копиям и фотографиям в iCloud. В это же время в компании продолжались работы над методом двухфакторной аутентификации нового поколения.
Двухэтапная проверка
Для доставки кодов двухэтапная проверка использует механизм Find My Phone, изначально предназначенный для доставки push-уведомлений и команд блокировки в случае потери или кражи телефона. Код выводится поверх экрана блокировки, соответственно, если злоумышленник добудет доверенное устройство, он сможет получить одноразовый код и воспользоваться им, даже не зная пароля устройства. Такой механизм доставки - откровенно слабое звено.
Также код можно получить в виде СМС или голосового звонка на зарегистрированный телефонный номер. Такой способ ничуть не более безопасен. SIM-карту можно извлечь из неплохо защищенного iPhone и вставить в любое другое устройство, после чего принять на нее код. Наконец, SIM-карту можно клонировать или взять у сотового оператора по поддельной доверенности - этот вид мошенничества сейчас приобрел просто эпидемический характер.
Если же у тебя нет доступа ни к доверенному iPhone, ни к доверенному телефонному номеру, то для доступа к учетной записи нужно использовать специальный 14-значный ключ (который, кстати, рекомендуется распечатать и хранить в безопасном месте, а в поездках - держать при себе). Если же ты потеряешь и его, то мало не покажется: доступ в учетную запись может быть закрыт навсегда.
Насколько это безопасно?
Если честно, не очень. Двухэтапная проверка реализована из рук вон плохо и заслуженно получила репутацию худшей системы двухфакторной аутентификации из всех игроков «большой тройки». Если нет другого выбора, то двухэтапная проверка - это все же лучше, чем ничего. Но выбор есть: с выходом iOS 9 Apple представила совершенно новую систему защиты, которой дали бесхитростное название «двухфакторная аутентификация».
В чем именно слабость этой системы? Во-первых, одноразовые коды, доставленные через механизм Find My Phone, отображаются прямо на экране блокировки. Во-вторых, аутентификация на основе телефонных номеров небезопасна: СМС могут быть перехвачены как на уровне провайдера, так и заменой или клонированием SIM-карты. Если же есть физический доступ к SIM-карте, то ее можно просто установить в другое устройство и получить код на совершенно законных основаниях.
Также имей в виду, что преступники научились получать SIM-карты взамен «утерянных» по поддельным доверенностям. Если твой пароль украли, то уж узнать твой номер телефона - плевое дело. Подделывается доверенность, получается новая SIM-карта - собственно, для доступа к твоей учетной записи больше ничего и не требуется.
Как взломать аутентификацию Apple
Взломать этот вариант двухфакторной аутентификации достаточно несложно. Есть несколько вариантов:
- считать одноразовый код с доверенного устройства - разблокировать не обязательно;
- переставить SIM-карту в другой аппарат, получить СМС;
- клонировать SIM-карту, получить код на нее;
- воспользоваться двоичным маркером аутентификации, скопированным с компьютера пользователя.
Как защититься
Защита с помощью двухэтапной проверки несерьезна. Не используй ее вообще. Вместо нее включи настоящую двухфакторную аутентификацию.
Двухфакторная аутентификация
Вторая попытка Apple носит официальное название «двухфакторная аутентификация». Вместо того чтобы сменить предыдущую схему двухэтапной проверки, две системы существуют параллельно (впрочем, в рамках одной учетной записи может использоваться лишь одна из двух схем).
Двухфакторная аутентификация появилась как составная часть iOS 9 и вышедшей одновременно с ней версии macOS. Новый метод включает дополнительную проверку при любой попытке зайти в учетную запись Apple ID с нового устройства: на все доверенные устройства (iPhone, iPad, iPod Touch и компьютеры под управлением свежих версий macOS) моментально приходит интерактивное уведомление. Чтобы получить доступ к уведомлению, нужно разблокировать устройство (паролем или датчиком отпечатка пальцев), а для получения одноразового кода потребуется нажать на кнопку подтверждения в диалоговом окне.
Как и в предыдущем методе, в новой схеме возможно получение одноразового пароля в виде СМС или голосового звонка на доверенный телефонный номер. Однако, в отличие от двухэтапной проверки, пользователю в любом случае будут доставлены push-уведомления, и неавторизованную попытку зайти в учетную запись пользователь может заблокировать с любого из своих устройств.
Поддерживаются и пароли приложений. А вот от кода восстановления доступа в Apple отказались: если ты потеряешь свой единственный iPhone вместе с доверенной SIM-картой (которую по каким-то причинам не сможешь восстановить), для восстановления доступа к учетной записи тебе придется пройти настоящий квест с подтверждением личности (и нет, скан паспорта таким подтверждением не является... да и оригинал, что называется, «не канает»).
Зато в новой системе защиты нашлось место для удобной и привычной офлайновой схемы генерации одноразовых кодов. Для нее используется совершенно стандартный механизм TOTP (time-based one-time password), который каждые тридцать секунд генерирует одноразовые коды, состоящие из шести цифр. Эти коды привязаны к точному времени, а в роли генератора (аутентификатора) выступает само доверенное устройство. Коды добываются из недр системных настроек iPhone или iPad через Apple ID -> Password and Security.
Мы не станем подробно объяснять, что такое TOTP и с чем его едят, но об основных отличиях реализации этого метода в iOS от аналогичной схемы в Android и Windows рассказать все-таки придется.
В отличие от основных конкурентов, Apple позволяет использовать в качестве аутентификаторов исключительно устройства собственного производства. В их роли могут выступать доверенные iPhone, iPad или iPod Touch под управлением iOS 9 или 10. При этом каждое устройство инициализируется уникальным секретом, что позволяет в случае его утраты легко и безболезненно отозвать с него (и только с него) доверенный статус. Если же скомпрометирован окажется аутентификатор от Google, то отзывать (и заново инициализировать) придется статус всех инициализированных аутентификаторов, так как в Google решили использовать для инициализации единственный секрет.
Насколько это безопасно
В сравнении с предыдущей реализацией новая схема все же более безопасна. Благодаря поддержке со стороны операционной системы новая схема более последовательна, логична и удобна в использовании, что немаловажно с точки зрения привлечения пользователей. Система доставки одноразовых паролей также существенно переработана; единственное оставшееся слабое звено - доставка на доверенный телефонный номер, который пользователь по-прежнему должен верифицировать в обязательном порядке.
Теперь при попытке входа в учетную запись пользователь мгновенно получает push-уведомления на все доверенные устройства и имеет возможность отклонить попытку. Тем не менее при достаточно быстрых действиях злоумышленник может успеть получить доступ к учетной записи.
Как взломать двухфакторную аутентификацию
Так же как и в предыдущей схеме, двухфакторную аутентификацию можно взломать с помощью маркера аутентификации, скопированного с компьютера пользователя. Атака на SIM-карту тоже сработает, но попытка получить код через СМС все же вызовет уведомления на всех доверенных устройствах пользователя, и он может успеть отклонить вход. А вот подсмотреть код на экране заблокированного устройства уже не удастся: придется разблокировать девайс и дать подтверждение в диалоговом окне.
Как защититься
Уязвимостей в новой системе осталось не так много. Если бы Apple отказалась от обязательного добавления доверенного телефонного номера (а для активации двухфакторной аутентификации хотя бы один телефонный номер верифицировать придется в обязательном порядке), ее можно было бы назвать идеальной. Увы, необходимость верифицировать телефонный номер добавляет серьезную уязвимость. Попытаться защититься можно точно так же, как ты защищаешь номер, на который приходят одноразовые пароли от банка.
Продолжение доступно только участникам
Вариант 1. Присоединись к сообществу «сайт», чтобы читать все материалы на сайте
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», увеличит личную накопительную скидку и позволит накапливать профессиональный рейтинг Xakep Score!
Метод контроля доступа, требующий одновременного наличия двух компонентов со стороны пользователя. Помимо традиционных логина и пароля, принцип двухфакторности предполагает подтверждение личности пользователя с помощью того, что у него есть. Это может быть: смарт-карта, токен, ОТР-брелки, биометрические датчики и так далее. Чаще всего для второго этапа идентификации используется мобильный телефон, на который отсылается одноразовый код доступа.
Также в качестве второго идентификатора могут быть использованы биометрические данные человека: отпечаток пальца, радужная оболочка глаза и т.п. В системах контроля доступа для этого используются комбинированные (мультиформатные) считыватели, которые работают и с различного рода картами, и с биометрическими параметрами пользователей.
Двухфакторная аутентификация (Мировой рынок)
Двухфакторная аутентификация как лучший способ защиты прав доступа
Осенью 2016 года SecureAuth Corporation совместно с Wakefield Research провели исследование, опросив 200 руководиителей IT отделов в США.
Исследование показало, что 69% организаций, скорее всего, отказаться от паролей в течение ближайших пяти лет.
"В сегодняшнем, все более цифровом, мире уже недостаточны даже многие традиционные подходы по двухфакторной аутентификации, не говоря уже о Single-факторе на основе пароля. Расходы, связанные с кибератаками, обходятся в миллионы долларов в год - в интересах каждого, чтобы сделать несанкционированный доступ наиболее проблематичным," - говорит Крейг Лунд, генеральный директор SecureAuth.
99% респондентов согласились с тем, что двухфакторная аутентификация является лучшим способом защиты прав доступа.
При этом, только 56% опрошенных защищают свои активы мультифакторными методами . 42% - в качестве причин, сдерживающих улучшение стратегии идентификации, называют: сопротивление от руководителей компании и нарушение традиционного уклада для пользователей.
Другие причины отказа от принятия улучшенной стратегии аутентификации:
- отсутствие ресурсов для поддержки технического обслуживания (40%);
- необходимостью обучения сотрудников (30%);
- опасения, что улучшения не будут работать (26%).
"Организации используют устаревшие подходы аутентификации, которые требуют дополнительных шагов для пользователей, и неэффективны против современных продвинутых атак" , - говорит Кит Грэм, главный технический директор компании SecureAuth.
Среди мер, необходимых для включения в состав систем аутентификации респонденты называют:
- распознавание устройства (59%);
- биометрический фактор (например, сканирование отпечатков пальцев, лица или радужной оболочки глаза) (55%);
- одноразовые секретные коды (49%);
- информация о гео-локации (34%).
А вот двухфакторная аутентификация на основе одноразовых SMS паролей - признана неэффективной в результате достаточного количества успешных фишинг-атак. Национальный институт стандартов и технологий (NIST) недавно сделал официальное заявление о том, что не рекомендует двухфакторную аутентификацию с помощью поставляемых по SMS одноразовых кодов.
Gartner Magic Quadrant в сегменте строгой аутентификации пользователей
Аналитическое агентство Gartner при формировании отчетов рассматривает не только качество и возможности продукта, но и характеристики вендора в целом, например, опыт продаж и работы с клиентами, полноту понимания рынка, бизнес-модель, инновации, стратегии маркетинга, продаж, развития индустрии и т.д.
Результатом оценки является MAGIC QUADRANT GARTNER (магический квадрат Gartner) - графическое отображение ситуации на рынке, позволяющее оценить возможности продуктов и самих производителей сразу по двум направлениям: по шкале «Видение» (видение того, как развивается и будет развиваться рынок, способность к инновациям) и «Способность к реализации» (способность занимать долю рынка, продавать систему). При этом, по ключевым параметрам вендоры разбиваются на 4 группы: лидеры, претенденты на лидерство, дальновидные и нишевые игроки.
Что касается аутентификации пользователей, аналитики Gartner отмечают увеличение инвестиции в контекстные и адаптивные методы. уже заняла конкретную нишу. Мобильные и облачные технологии находятся в процессе развития, накапливая пользовательский опыт для будущих разработок. По мнению специалистов, будущее аутентификаторов - Умные вещи.
Отметим, что только три компании, представленные в исследовании, присутствуют на Российском рынке решений для аутентификации. Это компании Gemalto, HID Global и SafeNet.
Мобильная аутентификация
84% пользователей готовы заменить пароли на другие способы авторизации
Apple внедрила двухфакторную аутентификацию
Сегодня многие сайты поддерживают двухфакторную аутентификации, так как простая комбинация «логин-пароль» не гарантирует должного уровня безопасности. Это стало очевидно после взлома iCloud.
07.09.2014 в iCloud произошла массовая утечка приватных фотографий. Используя метод атак перебором, направленных на учетные записи. Ответ Apple: компания развернула двухфакторную аутентификацию (2FA) для всех своих онлайн-служб.
Перспективы многофакторной мобильной аутентификации
"Используя мобильную платформу, строгая аутентификация может быть реализована в удобном для пользователя виде. Ближайшей тренд для мобильной платформы: использование преимуществ безопасных аппаратных элементов и доверенных сред исполнения. Это также относится и к (IOT), где востребованы более высокие уровни безопасности," - говорит Джейсон Сороко, менеджер по технологиям безопасности Entrust Datacard.
Использование только одного пароля не является эффективным средством защиты: его можно украсть или взломать. Использование дополнительных одноразовых паролей (на жестких носителях или в виде SMS сообщений) повышает уровень безопасности системы. Однако, SMS маркеры также могут быть взломаны и перенаправлены. Например, при помощи таких вредоносных программ, как Zitmo и Eurograbber в сочетании с Zeus и ее вариантами.
Хранение криптографических учетных данных в безопасной среде, такой как аппаратно защищенные элементы и доверенные среды исполнения, позволяет осуществить цифровую идентификацию внутри мобильной платформы: данные не покидают устройство и, таким образом, защищены от перехвата. При этом сохраняется возможность аутентификации при помощи удобного форм-фактора, который всегда у пользователя в кармане.
Терминология
Факторы аутентификации
Информационный фактор (логический, фактор знания) – т.е. кода для идентификации требуется конфиденциальная информация, известная пользователю. Например, пароль, кодовое слово и т.п.
Физический фактор (фактор владения) – пользователь предоставляет для идентификации предмет, которым обладает. Например, или RIFD-метку. По сути, когда в процессе верификации на мобильный телефон или токен (пейджер) приходит одноразовый пароль – это тоже физический фактор: пользователь подтверждает, что владеет указанным устройством, путем введения полученного кода.
Биометрический фактор (биологический, фактор сущности) – пользователь предоставляет для идентификации уникальные данные, являющиеся его неотъемлемой сутью. Например, уникальный рисунок вен и другие биометрические особенности.
Многофакторная аутентификация является методом многогранного , когда пользователь может успешно пройти верификацию, продемонстрировав не менее двух факторов аутентификации.
Требование предъявить для верификации более одного независимого фактора увеличивает сложность предоставления ложных учетных данных. Двухфакторная аутентификация , как следует из названия, требует предоставления для проверки подлинности двух из трех независимых факторов аутентификации. Число и независимость факторов имеют важное значение, так как более независимые факторы подразумевают более высокую вероятность того, что носитель удостоверения идентичности на самом деле и есть зарегистрированный пользователь с соответствующими правами доступа.
Строгая аутентификация
Строгая аутентификация подразумевает, что для установления личности пользователя требуется проверка дополнительных сведений, т.е. одного пароля или одного ключа недостаточно. Это решение повышает уровень безопасности СКУД, как правило, без существенных дополнительных затрат или роста сложности системы. Зачастую, понятие строгой аутентификации, путают с двухфакторной или мультифакторной аутентификацией. Однако это не совсем верно.
Строгая аутентификация может быть реализована без использования нескольких независимых факторов. Например, система контроля доступа, требующая от пользователя пароль + ответ на один или несколько контрольных вопросов, - относится к сегменту строгой аутентификации, но не является многофакторной, т.к. использует только один фактор, логический. Также строгая аутентификация происходит в биометрической системе, требующей последовательно предъявить разные пальцы пользователя для считывания отпечатков. Таким образом, строгая аутентификация не всегда многофакторная, но многофакторная аутентификация – всегда строгая.
Кроме того, строгая аутентификация часто используется для организации доступа к корпоративным сетям и интернет-ресурсам компании. В таком случае в качестве одного из компонентов защиты может использоваться программный анализ поведения пользователя в сети (от географии точки входа и пути переходов внутри сети, до частоты нажатия клавиш). Если поведение пользователя кажется подозрительным (несвойственным ему) – система может заблокировать доступ и потребовать повторной верификации, и/или сформировать тревожное сообщение для службы безопасности.
Современные пользователи желают иметь постоянный доступ к рабочим ресурсам с любых мобильных и стационарных устройств (смартфон, планшет, ноутбук, домашний компьютер), что делает физический контроль доступа в рабочие помещения малоэффективным для защиты корпоративных сетей. При этом, защита только одним паролем не является достаточным гарантом кибербезопасности. Строгая аутентификация пользователей для доступа к сетевым ресурсам компании и разграничение прав доступа позволяют значительно снизить риски.
"На сегодняшний день остро стоит вопрос защиты от угроз «в собственных стенах». 81% компаний уже столкнулись с проблемой утечки данных вследствие халатности или умышленных действий сотрудников и других инсайдеров", - утверждают специалисты HID Global.
Тем временем, количество пользователей, которым необходим доступ к информации и ресурсам организации, только увеличивается. Кроме постоянных сотрудников компании, доступ порой требуется партнерам, консультантам, подрядчиками, заказчикам и т.д.
Простые в обращении и управлении системы строгой аутентификации могут работать с множеством различных типов пользователей, максимально обеспечивая потребности различных групп. При этом уменьшаются риски, связанные с доступом этих пользователей к инфраструктуре предприятия.
Многофакторная аутентификация
Многофакторная аутентификация является наиболее эффективным методом защиты от несанкционированного доступа, так как использование нескольких совершенно независимых факторов значительно уменьшает вероятность, что они будут использованы одновременно.
Самым простым и бюджетным решением являются двухфакторные системы, использующие сочетание физического и логического факторов доступа. Например, пароль + proximity карта, или пароль + RIFD метка.
Комбинаций бесчисленное множество. Чем больше независимых факторов используется в системе, тем выше уровень защиты. Но и стоимость возрастает пропорционально. Так, мультифакторная аутентификация из составляющих: карта доступа+палец+PIN – уже обойдется намного дороже.
Естественно, надежность решения складывается из надежности его элементов. Использование в предыдущем варианте многофакторной системы смарт-карт и биометрических считывателей с технологией живого пальца – значительно увеличивает ее эффективность.
Производители стремятся обеспечить возможность интеграции своих средств контроля доступа и программного обеспечения, с другими элементами и устройствами. Поэтому состав многофакторной системы аутентификации зависит исключительно от желаний заказчика (основанных обычно на оценке целесообразности повышения уровня защиты) и его бюджета.
Мультибиометрия
Мультибиометрические системы – еще один пример строгой аутентификации, использующей для защиты от несанкционированного доступа только один фактор – биометрию. Тем не менее, такие решения часто называют многофакторными биометрическими системами, т.к. они используют для идентификации пользователя несколько различных биометрических характеристик. Например: отпечаток пальца + радужная оболочка глаза, отпечаток пальца + строение лица + уникальные характеристики голоса. Комбинации также могут различаться.
Мультибиометрические решения обеспечивают крайне высокий уровень защиты, ведь даже – занятие крайне трудоемкое. Не говоря уже об имитации сразу нескольких биометрических особенностей пользователя и обхода соответствующих алгоритмов защиты от подделок.
Основным недостатком СКУД с мультибиометрией является высокая цена. Впрочем, это не останавливает развитие рынка систем, совмещающих аутентификацию по нескольким биометрическим характеристикам в одном устройстве.
Миниатюрное, портативное, мультимодальное
Перспективный американский стартап, компания Tascent, выпустила устройство, имеющее небольшой форм-фактор, но при этом совмещающее распознавание голоса, лица, отпечатка пальца и радужной оболочки глаза - Tascent M6.
Новинка работает на базе смартфонов Apple iPhone 6 или iPhone 6S и представляете собой футляр для телефона толщиной всего 38 мм, который для обеспечения надежного, высокоскоростного подключения использует разъем Lightning.
Tascent M6 включает считыватель для распознавания сразу двух отпечатков пальцев при помощи сенсора Sherlock (Integrated Biometrics), дает возможность распознавания голоса, лица по фотографии. Распознавание радужной оболочки глаза, на базе собственной разработки компании InSight Duo, проводится сразу по двум глазам (является опцией). Кроме того, для устройство позволяет осуществлять быстрое считывание информации с универсальных проездных документов включая паспорта, туристические визы и национальные удостоверения личности.
Портативное миниатюрное мультибиометрическое оборудование Tascent M6 позволяет записывать в память до 100000 шаблонов, весит всего 425 грамм (включая вес смартфона), имеет класс защиты IP65 и может работать не менее 8 часов без подзарядки. Открытая архитектура и совместимость с мировыми стандартами обеспечивают быструю интеграцию и развертывание с помощью новых или существующих систем.
"Наше третье поколение Tascent Mobile, в Tascent M6, - сочетает в себе ведущие мировые смартфоны с передовыми технологиями мультимодальной биометрии, что обеспечивает прорыв в использовании мобильных биометрических возможностей тонко настроенных на потребности конечных пользователей. Например, в сфере путешествий, управления границами, гуманитарной помощи, правоохранительных органов и гражданского ID," - говорят разработчики в компании Tascent.
Мультибиометрия рисунка вен и отпечатка пальца
Не так давно ZKAccess объявила о выпуске FV350 - первого в отрасли мультибиометрического считывателя, совмещающего одновременное считывание отпечатка пальца и рисунка вен. Устройство способно хранить комбинированные биометрические данные 1000 пользователей и провести идентификацию менее чем за две секунды.
И вот уже новый виток развития биометрических устройств - гибкий датчик отпечатков пальцев на пластике, разработанный для биометрических приложений компаниями FlexEnable и ISORG.
Мультибиометрический датчик может измерять отпечаток пальца, а также конфигурацию вен на пальцах. Чувствительный элемент имеет размеры 8,6х8,6 см, толщину 0,3 мм, а главное может быть закреплен на любой поверхности или даже обернут вокруг нее (например, вокруг руля автомобиля, дверной ручки или кредитной карты).
"Этот прорыв вызовет развитие производства биометрических продуктов нового поколения. Ни одно другое решение не может предложить комбинацию большой чувствительной области, считывания отпечатков пальцев и рисунка вен, а также гибкости, легкости и прочности," - говорит Жан-Ив Гомес, генеральный директор ISORG.
Многофакторная аутентификация через Облако
Bio-Metrica выпустила новую Облачную версию BII портативной системы многофакторной аутентификации, включающей биометрию. Облачная BII обеспечивает быстрое развертывание, высокую производительность и возможность быстрого масштабирования в сторону увеличения или уменьшения системы в течение нескольких часов.
Основное преимущество такой мультисистемы – отсутствие необходимости построения ИТ-инфраструктуры (серверы, административные системы, сетевое оборудование и т.д.) и дополнительного обслуживающего персонала. Как следствие, сокращаются расходы на инсталляцию системы.
Это при высоком уровне безопасности за счет многофакторной аутентификации, а также, благодаря облачному сервису, больших ресурсах по вычислительной мощности, доступной оперативной памяти, дополнительным сетевых каналам и т.д.
CloudBII также может быть развернут в качестве аппаратной установки для . Именно это направление компания намеренна активно развивать в будущем.
Материал спецпроекта "Без ключа"
Спецпроект "Без ключа" представляет собой аккумулятор информации о СКУД, конвергентном доступе и персонализации карт