Как известно, аутентификация пользователя — это проверка его подлинности. Результат аутентификации — одно из двух состояний: либо принимается положительное решение о том, что пользователь является тем, за кого себя выдает, либо решение отрицательное. Не стоит путать проверку подлинности с авторизацией — наделением пользователя полномочиями и предоставлением всевозможных доступов.
Использование нескольких факторов для аутентификации при доступе к важной информации позволяет защитить эту информацию от несанкционированного доступа третьих лиц. Уход от простой парольной защиты наблюдается не только при входе в такие широко распространенные системы, как удаленное банковское обслуживание, но и, в частности, для доступа сотрудников к корпоративной информации. Поскольку для большинства приложений в корпоративной среде используется функционал Single Sign-on (SSO) протокола Kerberos, то защита аутентификации в таких приложениях достигается защитой входа в операционную систему. Сотруднику после входа в ОС обычно становятся доступны сетевые диски, почта, корпоративные порталы без необходимости повторного ввода пароля. Строгая аутентификация при входе в Windows позволяет свести к минимуму нелегальное использование чужих учетных данных.
Так широко распространенное в продвинутых с точки зрения ИТ странах и так несправедливо остающееся в стороне в России использование смарт-карт для аутентификации на рабочем компьютере является стандартом для операционных систем семейства Windows, который поддерживается «из коробки». Однако в России получил широкое распространение другой форм-фактор PKI-чипа — USB токен. Бухгалтеры знакомы с токеном, так как он в основном используется для аутентификации в системах дистанционного банковского обслуживания, системах электронной отчетности. Такой форм-фактор удобен тем, что сочетает в одном устройстве PKI-чип и ридер, однако имеет ограничения физической персонализации. Поэтому USB-токен затруднительно использовать как единое средство аутентификации. Удобство использования бейджа в форм-факторе стандартной банковской карты по заслугам оценено многими частными и государственными компаниями. Ведь карта может быть и визуальным идентификатором и бесконтактным пропуском и средством логической аутентификации. Для этого достаточно распечатать на карте фотографию сотрудника с дополнительной информацией, иметь на карте бесконтактную RFID-метку и контактный PKI-чип.
Концепция единой карты сотрудника сокращает необходимое количество администрируемых и поддерживаемых сущностей. К тому же, это упрощает жизнь и сотрудникам. Карта многофункциональна и избавляет от разных меток, пропусков, токенов. Вместо требований стойких к подбору паролей для единой карты сотрудника нужно запомнить короткий ПИН по аналогии с ПИН-кодом для банковской карты.
Карта позволяет наложить на сотрудников ряд ограничений, которые, не представляя особых неудобств, повышают уровень безопасности. В отличие от пароля, такую карту неудобно передавать коллегам, так как без нее становится невозможно перемещение по помещениям, равно как и работа на компьютере: при извлечении карты из считывателя операционная система блокирует сессию пользователя. Нет способов извлечь криптографические ключи, сгенерированные на чипе карты. То есть, нельзя клонировать карту и, соответственно, воспользоваться дубликатом даже при подсмотренном ПИН-коде.
Все сложности управления жизненным циклом карт ложатся на систему, называемую Card Management System (CMS). Логическая и физическая персонализация, выпуск, приостановка, отзыв карты, а также выпуск временной карты — это стандартные задачи систем CMS. Она пришлет необходимые напоминания и оповещения пользователям и администраторам при различных событиях и действиях со смарт-картой. Плюс ко всему, CMS почти всегда предполагает возможности самообслуживания, что значительно снижает нагрузку на технический персонал.
Так как смарт-карт логон подразумевает использование удостоверяющего центра (УЦ), то нетрудно догадаться, что PKI — это основа подобной системы. В связке с CMS УЦ выпускает, приостанавливает, блокирует сертификаты пользователей. Иными словами, PKI обеспечивает управление жизненным циклом цифровых сертификатов. Именно база в виде криптографии с открытым ключом обеспечивает столь высокий уровень безопасности смарт-карт и широкие возможности по их дистрибуции. Возможны процессы выпуска карт, при которых пользователь самостоятельно генерирует ключевую пару на смарт-карте и запрашивает сертификат. А УЦ выпускает запрошенный сертификат, убедившись в соответствии запроса на сертификат личности пользователя.
PKI может выпускать сертификаты с разным предназначением. Один сертификат можно использовать для аутентификации, второй для шифрования, третий для электронной подписи. Причем все сертификаты пользователя могут быть сохранены на одну и ту же смарт-карту.
Если обобщить, то единая карта сотрудника позволяет решать очень широкий круг задач:
— аутентификация на компьютере, с возможностью блокировки сессии при извлечении карты;
— визуальный и бесконтактный пропуск для физического доступа в здания, помещения, паркинги;
— аутентификация в приложениях;
— аутентификация при удаленном доступе;
— отложенная печать на принтере (FollowMe);
— шифрование почты и файлов;
— электронная подпись для почтовых сообщений и других целей.
В чем же экономическая эффективность подхода с использованием единой карты сотрудника? Во-первых, объединение различных систем позволяет сократить расходы на поддержку. Во-вторых, снижение нагрузки на техподдержку также ведет к достижению этой цели. Всегда после внедрения использования единой карты сотрудника с техподдержки снимается большой пласт задач, связанных с забытыми паролями. Ну и, наконец, снижение рисков компрометации учетных данных пользователей. Ведь, как уже упоминалось ранее, использование многофакторной аутентификации значительно повышает трудность этой задачи для злоумышленника. Это, возможно, самый трудно оценимый экономический эффект, но есть примеры, когда драйвером применения многофакторной аутентификации была именно утечка паролей сотрудников.
Выбор подходящего решения для организации смарт-карт логона и выпуска единой карты сотрудника зависит от множества параметров и конкретных задач. Не стоит надеяться, что для подобной задачи достаточно просто поставить удостоверяющий центр от Microsoft, ведь запись сертификатов на карту — это еще не управление жизненным циклом этой карты. Управление сертификатами и картами должно соответствовать принятым удобным, а главное безопасным, процессам, что невозможно без использования хороших, гибких инструментов.
Переход к строгой аутентификации при доступе к операционной системе или приложениям, а также при удаленном доступе неизбежен в ближайшем будущем для большинства коммерческих организаций. Объединение логической аутентификации с физической обеспечивает удобство для пользователей и упрощает распространение средств аутентификации. А использование строгой аутентификации, основанной на криптографии с открытым ключом, предоставляет высочайший уровень защиты операционных систем и приложений.
Автор статьи — инженер по информационной безопасности компании «Пауэр Секьюрити».