Технология еднократна парола - един от най-обещаващите решения за удостоверяване на потребителите на проблема в предаването на информация през незащитени канали.

Естествено, руската компания номерата на тези загуби ще бъдат доста различни, но това не променя проблема себе си: неоторизиран достъп наистина сериозно увреждане на дружеството, независимо дали са наясно с това или не лидерство.

Клопки на отдалечен достъп

Да бъдеш в доверен среда (извън офиса), потребителят е изправен пред необходимостта да въведете парола от друг компютър (например интернет кафе). Паролите са кеширани, както и всяка друга информация, влезе в компютъра, и ако е необходимо, те могат да се възползват от всеки друг в техните безкористни цели.

Доста често днес, и този вид компютърна измама като смъркане (портманто на надушило -. Sniff) - прихващане на злонамерени пакети в мрежата, за да се идентифицират информация от интерес за него. Използването на тази техника, хакерът може да "помиришат" паролата на потребителя и да го използвате за неоторизиран достъп. Сериозно изпитание излага проста защита с парола (особено когато отдалечен достъп), ново поколение от вируси, шпионски софтуер, тихо се качва на компютъра на потребителя в нормалния ход на "обръщане" на уеб-страници. Вирусът може да бъде програмиран за филтриране на информационните потоци на даден компютър, за да се идентифицират комбинации от символи, които могат да бъдат пароли. Тези комбинации "шпионин" изпраща на своя създател, и която може да идентифицира само правилната парола.

Само за мобилни приложения, както и за организиране на достъп до точната информация от местата, където не е възможно да инсталирате специален софтуер, развива идеята за еднократни пароли OTP - еднократна парола.

Еднократна парола: въвежда и забравен

Еднократна парола - тази ключова дума е валиден само за един и същи процес удостоверяване за ограничен период от време. Това напълно решава проблема с парола възможно подслушване или наднича банална. Дори ако някой хакер може да получи парола "жертвата", шансът да го използвате, за да получите достъп до нула.

Първата реализация на концепцията за еднократни пароли, се основават на статичен набор от ключови думи, т.е. първо генерира списъци с пароли (ключове, кодови думи и т.н.), които биха могли да се използват след потребители. Подобен механизъм е бил използван в първите банкови системи с възможност за отдалечено управление на сметка. Когато активирате тази услуга, клиентът получи плик със списък на паролите си. След това, всеки път, когато влезете в системата той използва друга ключова дума. Достигането до края на списъка, клиентът се върна в банката за нова. Това решение има редица недостатъци, основните от които - липса на надеждност. И все пак, постоянно носи в себе си списък с пароли е опасно, това е лесно да се загубят или да бъдат откраднати нападатели. И тогава, че списъкът не е безкрайна, и че ако в точното време няма да можем да стигнем до брега?

За щастие, днес ситуацията се е променила радикално. Като цяло, в западните страни, еднократни пароли, за да го идентифицират в информационните системи е станала обичайно. Въпреки това, в нашата страна, OTP технологии, доскоро е бил недостъпен. Едва наскоро, управление на дружества започнаха да осъзнават риска от неоторизиран достъп, се увеличава няколко пъти в отдалечени места. Търсенето, както знаем, ражда предлагането. Сега продуктите се използват за отдалечено удостоверяване еднократни пароли, постепенно започнаха да заемат своето място на руския пазар.

В съвременните технологии удостоверяване с помощта на OTP прилага динамично генериране на ключови думи с помощта на силни криптографски алгоритми. Това означава, че данните за удостоверяване - е резултат от шифроването на първоначална стойност, използвайки таен ключ на потребителя.

Тази информация е и клиента и сървъра. Той не се предава по мрежата и не е достъпен за прихващане. Първоначалната стойност се използва за добре познатите от двете страни на информация за процеса на идентификация, а кодът за шифроване бъде създаден за всеки потребител, когато инициализация на системата. (Фиг. 1)

Фиг. 1. Пример генериране на еднократни пароли за страничен употреба.

Заслужава да се отбележи, че на този етап на развитие на технологичните системи ОТП съществува, че се използват както симетрична и асиметрична криптография. В първия случай, таен ключ трябва да има две страни. Във втория таен ключ само за потребителя, докато сървъра за удостоверяване, че е отворен.

Днес, разработена и се използва на практика, прилагането на различни методи на системи за удостоверяване в еднократни пароли.

Нейната работа принцип е както следва: в началото на процедурата по удостоверяване, потребителят изпраща към вход на сървъра. В отговор на това последното генерира някакъв случаен низ и го изпраща обратно. Потребител с помощта на ключовата му криптира данните и го изпраща обратно. Сървърът в този момент ", констатира" в паметта си таен ключ на потребителя и го кодира с помощта на оригиналния низ. Освен това, сравнението на двата резултата за криптиране. С пълния си съгласие смята, че удостоверяването е успешно. Този метод на прилагане на технологията еднократна парола, за разлика от всички други, се нарича асинхронен, защото процесът на удостоверяване не зависи от историята на сърфирането на потребителя до сървъра, както и други фактори.

Метод "само отговор"

При използването на алгоритъма за удостоверяване е малко по-лесно. В началото на процеса на софтуер или хардуер, софтуер потребител сам генерира сурови данни, които ще бъдат криптирани и се изпраща до сървъра за сравнение. В процеса на създаване на стойност ред е предишното искане. Сървърът също така има "знание". Това означава, че тя се използва името на потребителя е стойността на предишното негово искане и генерира същия алгоритъм точно същия ред. то за шифроване с таен ключ на потребителя (също се съхраняват на сървъра), сървърът получава стойност, която трябва да бъде идентичен с данните, изпратени от потребителя.

Методът на "синхронизация на времето"

Тя като стартовата линия са текущите показания на таймера специално устройство или компютър, на който лицето работи. Това обикновено не се използва точно посочване на времето и актуалната гама дефинирани по-горе граници (например, 30 секунди). Тези данни се криптира с частния ключ и нешифрования изпратена до сървъра заедно с потребителското име. Сървър при получаване на искане за удостоверяване изпълнява едно и също действие: получите текущото време от своя таймер и го криптира. След това, той може само да се сравнят две стойности се изчисляват и получени от отдалечен компютър.

Методът на "събитие синхронизация"

По принцип, този метод е почти идентичен с предишния разглеждането на технологията. Тук само като отправна линия, тя не използва това време, както и броя на успешните процедури за идентификация, извършена преди текущия. Тази стойност се изчислява от двете страни отделно един от друг. Останалата част от метод е идентичен с предходния.

В някои системи така наречените смесени прилагани методи, където първоначалната стойност се използват две или повече типове информация. Например, има системи, които отчитат както заверки броячи и четения вградени таймери. Този подход избягва недостатъците на множество отделни методи.

Уязвимостите OTP технология

технология еднократна парола, се счита за достатъчно надеждни. Въпреки това, в името на справедливостта, ние отбелязваме, че тя си има своите недостатъци, които са предмет на всички системи, които прилагат принципа OTP в най-чистата му форма. Тези слаби места могат да бъдат разделени в две групи. Първата група включва потенциално опасно "дупка", общи за всички методи за изпълнение. Най-сериозното от тях е възможността за смяна на сървъра за удостоверяване. В този случай, потребителят ще изпрати своите данни директно към нападателя. Е, той веднага може да ги използва за достъп до този сървър. В случай на прилагане на "предизвикателство-отговор" атакува малко по-сложно алгоритъм (компютърен хакер трябва да играе ролята на "посредник", като прескочите през себе си на обмена на информация между клиент и сървър). Въпреки това, следва да се отбележи, че на практика за извършване на подобна атака не е лесно.

Друг уязвимост е присъщо само за синхронни методи за прилагане на еднократни пароли, защото има риск да не се синхронизира информацията на сървъра и в софтуер или хардуер за поддръжка на потребителя. Така например, в някои основни данни, че е доказателство за вътрешни таймери. И по някаква причина те започват да се различават един от друг. В този случай всички потребител опита да мине, ще може да се провали (първа грешка). За щастие, в тези случаи не може да се случи на втория вид грешка (фалшиво приемане "чужденец"). Все пак трябва да се отбележи, че вероятността от тази ситуация е изключително малък.

Ясно е, че нападателят трябва да може да "слуша" на трафика, както и бързото блокиране на компютъра на клиента, но всъщност го приложат за такава атака - не е лесна задача. Най-лесният начин да се отговори на тези условия, когато атаката замислен предварително, а за да се свържете към отдалечен система "жертва" ще се използва от някой друг компютърна мрежа. В този случай, атакуващият може предварително да "работи" на компютър, като е в състояние да го контролира от друга машина. Защитавай срещу такава атака е възможно само чрез използването на "доверени", работещи машини (например, собствен лаптоп или PDA) и "независими" защитени, например, с помощта на SSL, изходни канали в Интернет.

Надеждност на всяка система за сигурност е силно зависима от качеството на изпълнението му. Това означава, че практическите решения имат своите недостатъци, които могат да бъдат използвани от киберпрестъпниците за своите цели. Нещо повече, тези "дупки" често не са пряко свързани с приложена технология. В пълен размер, това правило важи за системите за удостоверяване на базата на еднократни пароли. Както бе споменато по-горе, те се основават на използването на криптографски алгоритми. Това налага определени задължения за развитието на такива продукти. В крайна сметка, лошо качество на изпълнение на всеки алгоритъм, или, например, генератор на случайни числа, може да застраши сигурността на информацията.

Несравнимо по-висока надеждност разполага с широка гама от устройства за изпълнение на хардуер OTP-технология. Например, има устройство, което изглежда напомня на калкулатор (вдясно): когато ги въведете в набор от числа, са изпратени от сървъра, те генерират еднократна парола (реализация на "отговор на предизвикателство") въз основа на таен ключ зашит. Начало уязвимостта на такива устройства е възможността за загуба или кражба. Ако вашият "калкулатор" ще падне в ръцете на някой хакер, последният ще бъде в състояние да получите желания достъп до отдалечената система. Secure система от подобни действия могат да бъдат осигурени само с помощта на надеждна защита на паметта с таен ключ.

изпълнение Пример OTP

Заслужава да се отбележи, че компанията Аладин взема активно участие в насърчаването на инициативата клетвата споменато по-горе, и се счита за Ключът тук е избран като основен компонент на VeriSign решение Unified удостоверяване. Въпреки това, той се нарича в тази система е малко по-различно: eToken VeriSign. Основната цел на това решение - да се подобри надеждността на сделките, сключени чрез интернет, и тя се основава на силна автентикация двуфакторна се основава на клавиша за хардуер. Такава OEM доставки eToken NG-OTP продукт потвърди неговото качество и съответствие с всички спецификации клетва.

eToken серия устройства са доста често срещани в Русия. Тези водещи производители като Microsoft, Cisco, Oracle, Novell и др. Да им предостави подкрепа в техните продукти (в "записа песен" на eToken над 200 внедрявания с приложения за информационна сигурност).

В ключовите eToken NG-OTP добавяне на модули за изпълнение способности, описани по-горе, е генератор парола хардуерен време (вж. Фигура 4). Тя работи по метода на "събитие синхронизация". Това е най-надеждният на синхронен вариант технологиите OTP (с минимален риск от загуби синхрон). Алгоритъм за генериране на еднократни пароли, въведена в ключов eToken NG-OTP, разработени в рамките на инициативата на клетва (тя се основава на технология HMAC). Тя се състои в изчисляване на стойността на HMAC-SHA-1, и след това извършване на операция на отрязване (отделяне) от получения 160-битова стойност на 6 цифри. Това, че те по този начин са еднократна парола.

Най-надеждният смесен режим ключ разглеждане. За да го използвате, устройството трябва да бъде свързан към компютър. В този случай ние говорим за двуфакторна автентикация, която може да се прилага по няколко начина. В един случай, за да се получи достъп до собствения си паролата на потребителя, трябва да се използва с него, както и стойността на OTP влезе. Друг вариант - изисква използването на еднократна парола и ценностите на OTP PIN (ключови показва на екрана).

Естествено, eToken NG-OTP ключ може да работи като стандартен USB-символична - за удостоверяване на потребителя чрез цифрови сертификати и PKI технология за съхранение на лични ключове и т.н. По този начин, въпросният продукт трябва да се използва за изпълнение на широк кръг от проекти, свързани с необходимостта от по-сигурен отдалечен достъп и двуфакторна автентикация. Използването на такива хибридни ключове във фирмата ще предостави възможност да използват своите ключове в офиса и извън него. Този подход намалява разходите за създаване на системи за информационна сигурност, без да се нарушава нейната надеждност.

Така че, идеята за еднократни пароли, заедно с модерни криптографски техники могат да бъдат използвани за изпълнение на сигурни системи за дистанционно управление за удостоверяване. Освен това, тази техника има няколко важни предимства. Първо, тя е достоверна. Днес е предназначена не толкова много начини да наистина "силен" информация за удостоверяване на потребителя предаване по незащитени канали. В същото време, този проблем се появява все повече и по-често. И еднократни пароли - един от най-обещаващите на своите решения.

Второ предимство на еднократни пароли - е да се използват "стандартни" алгоритми за криптиране. Така че за изпълнение на удостоверяване с използване страхотно съществуващата развитие. В действителност, тя ясно показва същата eToken NG-OTP, съвместима с вътрешния крипто. Е, това води до използването на символи в съществуващите системи за корпоративна сигурност без корекция. По този начин, въвеждането на технологията еднократна парола може да се направи на сравнително ниска цена.

Друг плюс е, паролите за еднократни за защита на ниска в зависимост от човешкия фактор. Все пак, това не се отнася за всички от неговото прилагане. Както казахме, надеждността на много програми за създаване на еднократна парола, зависи от качеството на потребителят използва ПИН-кода. Генераторите на хардуер, базирани на USB-знак, използван от пълно удостоверяване двуфакторна. И накрая, четвърто предимство на концепцията OTP - удобство на своите потребители. Достъп до необходимата информация, с помощта на еднократни пароли са по-трудни, отколкото се използва за тази цел, статични ключови думи. Особено доволен, че някои хардуерни реализации може да се счита за използване на технологията на всяко устройство, независимо от съществуващите пристанища на него и инсталирания софтуер.