• Главная
  • Карта сайта
Не найдено

1С-Бітрікс - Підсилюємо аутентифікацію або навіщо потрібні одноразові паролі

  1. Аутентифікація - наше все
  2. Завдання стійкості паролів
  3. Протидія підбору паролів
  4. Управління реакцією на невдалу спробу входу
  5. Паролі та віддалений доступ
  6. Не всі засоби хороші
  7. Чому «одноразові»
  8. Як працює схема OTP
  9. Апаратні та програмні реалізації OTP
  10. eToken PASS
  11. Налаштування OTP -аутентіфікаціі в продуктах 1С-Бітрікс
  12. Використані джерела:

Артем Горобинка, провідний аналітик 1С-Бітрікс

Аутентифікація - наше все

Більшість інформаційних систем сьогодні містять в собі безліч функціоналу, який по різному доступний різним користувачам і майже завжди постає питання - як забезпечити, щоб система дізнавалася користувачів і відповідно до результату розпізнавання - надавала їм той чи інший функціонал. Безпека процедури входу для користувачів багато в чому визначає захищеність інформаційної системи в цілому.

Процедуру входу часто називають по-різному: увійти, авторизуватися, аутентифицироваться, залогінитися. Зазвичай все розуміють, про що йде мова, але з точки зору теорії терміни використовуються не завжди корректно.В теорії інформаційної безпеки процес входу в систему ділиться на 3 основні стадії:

1) Ідентифікація (Identification)

Під ідентифікацією, стосовно забезпечення інформаційної безпеки комп'ютерної системи, розуміють однозначне розпізнавання унікального імені суб'єкта (користувача).

2) Аутентифікація (Authentication)

Аутентифікація забезпечує підтвердження автентичності суб'єкта, тобто підтвердження того, що пред'явлене ім'я відповідає даному суб'єкту. .

3) Авторизація (Authorization)

На третьому кроці, система проводить процедуру авторизації, коли на підставі результату процедури аутентифікації вона дає користувачеві той чи інший рівень доступу.
Зрозуміло, що етап аутентифікації є найважливішим в цьому ланцюжку і основна проблема полягає в тому, щоб зробити цю процедуру максимально точної і безпечної. Взагалі, походження російськомовного терміна "аутентифікація" не зовсім зрозуміло. Англійське "authentication" скоріше можна прочитати як "аутентикації"; важко сказати, звідки в середині взялося ще "фе" - може, з ідентифікації? Проте, термін устоявся, він закріплений в Керівних документах Гостехкомиссии Росії, використаний в численних публікаціях, тому виправити його вже неможливо.)

Аутентифікація буває односторонньою (зазвичай тільки клієнт доводить свою справжність серверу) і двосторонньої (взаємної). Приклад односторонньої аутентифікації - процедура входу користувача в систему, наприклад в продукти «1С-Бітрікс»

способи аутентифікації

Способи аутентифікації користувачів в КС можна поділити на три групи.

До першої групи належать способи аутентифікації, засновані на тому, що користувач знає деяку підтверджує його справжність інформацію (зазвичай це стара добра парольний аутентифікація).

До другої групи належать способи аутентифікації, засновані на тому, що користувач має певний матеріальний об'єкт, який може підтвердити його справжність (наприклад, пластикову карту з ідентифікуючої користувача інформацією).

До третьої групи належать способи аутентифікації, засновані на таких даних, які дозволяють однозначно вважати, що користувач і є той самий суб'єкт, за яку себе видає (біометричні дані, особливості клавіатурного почерку і т.п.).


Використання пароля в якості аутентификационного фактора, напевно, ще дуже довго буде найбільш поширеним способом вирішення завдань визначення автентичності суб'єктів. В першу чергу, в силу своєї простоти і низьких витрат на забезпечення всієї інфраструктури, особливо якщо мова йде про веб-додатках.

Парольний захист заслужено вважається не дуже надійною. У програмних продуктах «1С-Бітрікс» ми постаралися максимально можливо посилити аутентифікацію користувачів з використанням паролів.

Завдання стійкості паролів

При виборі паролів користувачі системи (наприклад, веб-сайту) повинні керуватися двома, по суті взаємовиключними, правилами - паролі повинні важко підбиратися і легко запам'ятовуватися (оскільки пароль ні за яких умов не повинен ніде записуватися, так як в цьому випадку необхідно буде додатково вирішувати завдання захисту носія пароля).

Але оскільки правила взаємовиключні, паролі зазвичай прості і дуже добре підбираються, а також записуються повсюдно без належного захисту цих самих записів. Якщо другу неприємність вирішити технічно неможливо, та й організаційні заходи особливо не допомагають, то ось із забезпеченням складності пароля можна попрацювати.

Складність підбору пароля визначається, в першу чергу, потужністю безлічі символів, що використовується при виборі пароля (N), і мінімально можливою довжиною пароля (к). У цьому випадку число різних паролів може бути оцінений знизу як, Ср = Nk. Наприклад, якщо безліч символів пароля утворюють малі латинські букви, а мінімальна довжина пароля дорівнює 3, то Ср = 263 = 17576 (що зовсім небагато для програмного підбору). Якщо ж безліч символів пароля складається з малих і великих латинських букв, а також з цифр і мінімальна довжина пароля дорівнює 6, то Ср = 626 = 56800235584.

Складність обираних користувачами КС паролів повинна встановлюватися адміністратором при реалізації встановленої для даної системи безпекової політики. У продуктах «1С-Бітрікс» є можливість вказати індивідуальну політику безпеки для кожної групи користувачів:

У продуктах «1С-Бітрікс» є можливість вказати індивідуальну політику безпеки для кожної групи користувачів:

Іншими параметрами політики облікових записів при використанні парольної аутентифікації з точки зору теорії:

  • максимальний термін дії пароля (будь секрет не може зберігатися в таємниці вічно);
  • розбіжність пароля з логічним ім'ям користувача, під яким він зареєстрований в системі;
  • неповторяемость паролів одного користувача.

З точки зору теорії, ці рекомендації дуже корисні і зазвичай застосовуються в сукупності, але як правило на практиці вони не дають скільки-небудь вагомого посилення захисту. Так, наприклад, вимога неповторяемости паролів може бути реалізовано двома способами. По-перше, можна встановити мінімальний термін дії пароля (в іншому випадку користувач, змушений після закінчення терміну дії свого пароля поміняти його, зможе тут же змінити пароль на старий). По-друге, можна вести список вже використовувалися даними користувачем паролів (максимальна довжина, списку при цьому може встановлюватися адміністратором).

На жаль, забезпечити реальну унікальність кожного знову обраного користувачем пароля за допомогою наведених вище заходів практично неможливо. Користувач може, не порушуючи встановлених обмежень, вибирати паролі «A1», «A2», ... де А - перший пароль користувача, що задовольняє вимогам складності. Теж саме стосується розбіжності логіна з паролем. Ніщо не завадить зробити логін "dima", а пароль "dima_1".

В силу перерахованих обставин (саме практичної недоцільність) ми не стали штатно вводити в продукти такі обмеження, однак будь-який з наших партнерів може доповнити ними розробляється проект, використовуючи API платформи.

Протидія підбору паролів

Налаштовуючи політику облікових записів користувачів необхідно призначити заходи протидії системи спробам підбору паролів. Для цього можуть застосовуватися такі правила [2]:

  1. Перешкода підбору пароля автоматизованим способом
  2. Обмеження кількості спроб входу в систему
  3. Приховування логічного імені останнього працював користувача (знання логічного імені може допомогти порушнику підібрати або вгадати його пароль)
  4. Облік всіх спроб (успішних і невдалих) входу в систему в журналі аудиту.

Для перешкоджання автоматизованим способам підбору паролів в сучасних веб-додатках зазвичай використовують CAPTCHA (Completely Automatic Public Turing Test to Tell Computers and Humans Apart "- повністю автоматичний тест Тьюринга для розрізнення комп'ютерів і людей).

CAPTCHA являє собою задачу, складну для вирішення комп'ютером і просту для людини, і зазвичай реалізується у вигляді зображення, на якому необхідно розрізнити набір символів або іншу сигнатуру.

У продуктах 1С-Бітрікс ви можете включити використання CAPTCHA в процедурах і реєстрації в систему.

Крім того, можна забезпечити примусове виведення CAPTCHA в разі кількох невдалих спроб аутентифікації, налаштувавши параметр «Кількість спроб введення пароля до показу CAPTCHA:» в настройках політики безпеки групи.

В результаті форма авторизації після N-ї спроби буде виглядати наступним чином:

CAPTCHA в продуктах 1С-Бітрікс гнучко настроюється, що дозволяє досягти компромісу між її складністю і зручністю користувача. У різних веб-системах ця грань завжди своя, і ми пропонуємо зручний інструмент її визначення.

Для обмеження числа спроб входу в систему ми пропонуємо використовувати фільтр активності, що входить до складу модуля «Проактивний захист». У ньому ви можете налаштувати параметри блокування доступу до веб-сайту при перевищенні ліміту активності від деякого відвідувача.

Крім цього, якщо вам стали відомі IP адреси нападників, можна додати їх в стоп-лист, і повністю заборонити доступ до ресурсу з цих адрес, і всі спроби підбору паролів методом «грубої сили» ( brute force ).

Приховування логічного імені останнього працював користувача в веб-додатках, на жаль, забезпечити не вдається, оскільки підстановку даного стандартної назви виконує більшість браузерів.

Облік всіх спроб (успішних і невдалих) входу в систему в продуктах 1С-Бітрікс забезпечується вбудованим журналом подій. При цьому ви детально налаштовуєте, які події будуть в ньому фіксуватиметься і скільки часу вони будуть зберігатися.

При цьому ви детально налаштовуєте, які події будуть в ньому фіксуватиметься і скільки часу вони будуть зберігатися

В результаті адміністратор системи може контролювати основні процеси, пов'язані з аутентифікацією і супутніми діями користувачів.

В результаті адміністратор системи може контролювати основні процеси, пов'язані з аутентифікацією і супутніми діями користувачів

Управління реакцією на невдалу спробу входу

З теоретичної точки зору реакція на неуспішна вхід може бути наступною:

  1. Блокування облікового запису, під якою здійснюється по катування входу, при перевищенні максимально можливого числа спроб (на заданий час або до ручного зняття блокування адміністратором);
  2. Н арастающее збільшення тривалості затримки перед наданням користувачеві наступної спроби входу.

На жаль, ці рекомендації на практиці не зовсім доцільні, тому що вони можуть дозволити порушникові навмисно заблокувати роботу в системі легального користувача (реалізувати загрозу порушення доступності інформації).

У продуктах 1С-Бітрікс запропонований більш витончений варіант, який вже був згаданий. Це використання CAPTCHA після N неуспішних спроб аутентифікації.


Паролі та віддалений доступ

Незважаючи на те, що за допомогою застосування перерахованих вище правил парольний аутентифікацію можна зробити більш безпечною, вона все-таки залишається дуже вразливою. Розглянуті способи посилення пральний захисту вельми ефективні, але не можуть захистити нас від самої природи віддаленого доступу при роботі з веб-додатками.

Працюючи веб-додатків ми не можемо бути впевненими в безпеці каналу зв'язку, який ми використовуємо для доступу в мережу. Ми можемо зайти в інтернет-кафе, скористатися загальнодоступною Wi-Fi точкою доступу в аеропорту і тим самим легко стати жертвою дуже поширеного сьогодні виду комп'ютерного шахрайства, як сніффінг (від англ. Sniff - нюхати).

Зловмисники можуть контролювати сегмент мережі і аналізувати весь циркулює в ньому трафік. Причому для цього не потрібно бути адміністратором мережі, як правило захищеність особливо бездротових мереж надзвичайно низька, а зловмисником може бути сидить навпроти пасажир, з ноутбуком, а то і з кишеньковим комп'ютером.

Інша небезпека полягає в тому, що часто необхідно звернутися до веб-додатку з чужого комп'ютера, в тому ж Інтернет-кафе. Паролі кешуються, як і будь-яка інша вводиться в комп'ютер інформація, і при бажанні ними може скористатися хтось ще в своїх небезкорисливих цілях.

Загрози походять і від вірусів. Отримані в результаті роботи в мережі Інтернет, вони можуть сканувати вхідний і вихідний на предмет наявності в ньому секретних відомостей, аналізуючи пакети найбільш поширених протоколів. Отримана інформація часто відсилається творцям для подальшого аналізу і використання.

Тим часом ситуації, коли необхідно віддалено отримати чи відправити інформацію, виникають досить часто. Візьмемо хоча б системи електронного банкінгу: нескладно уявити собі ситуацію, коли для віддаленого управління своїм рахунком користувачеві буде потрібно доступ до захищених банківських ресурсів. Сьогодні частина банків усвідомила необхідність апаратної авторизації із застосуванням USB-ключа. Але скористатися ним по ряду описаних вище причин можна далеко не завжди.

Специфіка бізнесу багатьох великих компаній часто зобов'язує їх надавати доступ до власних ресурсів стороннім користувачам - партнерам, клієнтам, постачальникам. Сьогодні в Росії активно набирає обертів такий тип співпраці, як аутсорсинг: компанії-субпідрядника для виконання робіт на замовлення цілком може знадобитися доступ до захищених ресурсів замовника.

Не всі засоби хороші

Багато напевно вигукнуть, що є ж апаратні засоби, що забезпечують необхідний рівень захисту: смарт-карти, USB-ключі. Однак, їх використання досить обмежена знову ж у зв'язку зі специфікою веб-додатків.

Для смарт-кард потрібні зчитувачі, для USB-ключів - доступний USB порт. Якщо ми звертаємося до веб-сайту з чужого комп'ютера, то зрозуміло, що першого там не буде, а USB порт може бути заблокований (це практично стандарт багатьох інтернет-кафе).

Інтенсивно розвиваються і мобільні пристрої і сьогодні їх можна повноцінно використовувати для серфінгу в інтернеті. Зрозуміло, що ніяких зчитувачів і USB-портів в них не існує.

Крім цього, для роботи багатьох апаратних засобів аутентифікації потрібне спеціалізоване ПО. Чи варто говорити про те, що воно може бути не встановлено на терміналі доступ.

Потреба підключення до корпоративної мережі по надійній схемі аутентифікації при наявності під рукою лише КПК або смартфона може стати серйозною проблемою, якщо користувач знаходиться на конференції, переговорах або інших ділових заходах. Якраз для мобільних додатків, а також для організації доступу до потрібної інформації з тих місць, де неможливо встановити спеціальне програмне забезпечення, була розроблена концепція одноразових паролів OTP - One-Time Password.

Чому «одноразові»

Найпростіша ідея одноразових паролів полягає в тому, що користувач отримує список паролів Pi, Р2, ..., Р "..., Рі. Кожен з паролів діє тільки на один сеанс входу (Р [- на перший, Р2 - на другий і т.д.). У цьому випадку знання вже використовувався користувачем пароля нічого не дасть порушника, а при кожному вході легального користувача можлива перевірка на використання даного пароля ким-небудь ще.

Не потрібно вважати, що така схема нежиттєздатна. Вона дуже широко застосовувалася останні роки, більш того, наш найбільший банк - Ощадбанк РФ дозволяє вам скористатися такою технологією. У інтерфейсах банкоматів СБ РФ є меню "безготівковий розрахунок", де потрібно вибрати "одноразові паролі" і отримати квиток з десятьма кодами. При оплаті карткою послуг або покупок в Інтернеті, клієнт банку повинен буде вводити один з цих кодів на вимогу системи.

Зрозуміло, що подібна схема має свої недоліки:

• організація захищеного зберігання довгого списку паролів (або його запам'ятовування, що малоймовірно);

• неясність з номером наступного пароля, якщо після введення попереднього пароля зі списку вхід користувача в систему не був здійснений через збій в роботі КС.

Постійно носити з собою список паролів небезпечно, його легко втратити або його можуть вкрасти зловмисники. І потім, список не нескінченний, а що якщо в потрібний момент не буде можливості доїхати до банку?

Ці недоліки можуть бути усунені, якщо список паролів генерувати на основі деякої незворотною функції, наприклад функції хешування. Нехай Р - початковий пароль користувача, a F - необоротна функція. Позначимо: F '(P) = F (F (... F (P) ...)) (функція F застосовується послідовно i раз). Тоді список одноразових паролів створюється наступним чином: Р, = F "(Р), Р2 = = F-1 (P), .... Рл_! = F (F (P)), Р" = F (P).

При збої в процесі входу користувача в КС завжди здійснюється вибір наступного пароля зі списку, а система послідовно застосовує функцію F до введеного користувачем паролю, аж до збігу з останніх прийнятих від нього паролем (і тоді користувач допускається до роботи в системі) або до перевищення довжини списку паролів (в цьому випадку спроба входу] користувача в КС відкидається).

На базі цієї ідеї і працюють всі сучасні технології аутентифікації за допомогою одноразових паролів. Для них зазвичай використовується термін OTP (One-Time Password).

Як працює схема OTP

У СУЧАСНИХ технологіях аутентіфікації с помощью OTP застосовується динамічна генерація ключовими слів с помощью сильних кріптографічніх алгоритмів. Інакше Кажучи, аутентіфікаційні дані - це результат шифрування будь-которого початково значення с помощью секретного ключа користувача. Дана інформація є и у клієнта, и у сервера. Вона НЕ передається по мережі и недоступна для перехоплення. В якості початкового значення використовується відома обом сторонам процесу аутентифікації інформація, а ключ шифрування створюється для кожного користувача при його ініціалізації в системі. Ключ іноді ще називають вектором ініціалізації.

Варто зазначити, що на даному етапі розвитку технологій OTP існують системи, що використовують як симетричну, так і асиметричну криптографію. У першому випадку секретним ключем повинні володіти обидві сторони. У другому секретний ключ потрібен тільки користувачеві, а у сервера аутентифікації він відкритий.

Технології OTP були розроблені в рамках галузевої ініціативи Open Authentication (OATH), висунутої компанією VeriSign в 2004 р Суть цієї ініціативи полягає в розробці стандартної специфікації дійсно надійної аутентифікації для різних Інтернет-сервісів. Причому мова йде про двухфакторную визначенні прав користувача, в процесі якого останній повинен "пред'явити" смарт-карту або USB-токен і свій пароль. Таким чином, одноразові паролі з часом можуть стати стандартним засобом віддаленої аутентифікації в різних системах.

Сьогодні розроблено і використовується на практиці кілька варіантів реалізації систем аутентифікації по одноразових паролів.

Метод "запит-відповідь". Принцип його роботи такий: на початку процедури аутентифікації користувач відправляє на сервер свій логін. У відповідь на це останній генерує якусь випадкову рядок і посилає її назад. Користувач за допомогою свого ключа зашифровує ці дані і повертає їх сервера. Сервер ж у цей час "знаходить" у своїй пам'яті секретний ключ даного користувача і кодує з його допомогою вихідну рядок. Далі проводиться порівняння обох результатів шифрування. При їх повному збігу вважається, що аутентифікація пройшла успішно. Цей метод реалізації технології одноразових паролів називається асинхронним, оскільки процес аутентифікації не залежить від історії роботи користувача з сервером і інших чинників.

Цей метод реалізації технології одноразових паролів називається асинхронним, оскільки процес аутентифікації не залежить від історії роботи користувача з сервером і інших чинників

Метод "тільки відповідь". У цьому випадку алгоритм аутентифікації дещо простіше. На самому початку процесу програмне або апаратне забезпечення користувача самостійно генерує вихідні дані, які будуть зашифровані та відправлені на сервер для порівняння. При цьому в процесі створення рядка використовується значення попереднього запиту. Сервер теж володіє цими відомостями; знаючи ім'я користувача, він знаходить значення попереднього його запиту і генерує за тим же алгоритмом точно таку ж рядок. Зашифрувавши її за допомогою секретного ключа користувача (він також зберігається на сервері), сервер отримує значення, яке має повністю збігатися з надісланими користувачем даними.

Метод "синхронізація за часом". У ньому в якості початкового рядка виступають поточні показання таймера спеціального пристрою або комп'ютера, на якому працює людина. При цьому зазвичай використовується не точна вказівка ​​часу, а поточний інтервал до встановлених заздалегідь межами (наприклад, 30 с). Ці дані зашифровуються за допомогою секретного ключа і в відкритому вигляді відправляються на сервер разом з ім'ям користувача. Сервер при отриманні запиту на аутентифікацію виконує ті ж дії: отримує поточний час від свого таймера і зашифровує його. Після цього йому залишається тільки порівняти два значення: обчислене і отримане від віддаленого комп'ютера.

Метод "синхронізація по події". В принципі цей метод практично ідентичний попередньому, тільки в якості початкового рядка в ньому використовується не час, а кількість успішних процедур аутентифікації, проведених до поточної. Це значення підраховується обома сторонами окремо один від одного. В даний час цей метод отримав найбільш поширення.

У деяких системах реалізуються так звані змішані методи, де в якості початкового значення використовується два типи інформації або навіть більше. Наприклад, існують системи, які враховують як лічильники аутентифікації, так і показання вбудованих таймерів. Такий підхід дозволяє уникнути безлічі недоліків окремих методів.

Апаратні та програмні реалізації OTP

Як вже говорилося вище, в основі OTP лежить використання криптографічних алгоритмів. Це накладає певні зобов'язання на розробників таких продуктів - адже неякісне виконання будь-якого алгоритму або, наприклад, генератора випадкових чисел може поставити під загрозу безпеку інформації.

Генератори одноразових паролів реалізуються двома способами: програмним і апаратним. Перший з них, природно, менш надійний. Справа в тому, що клієнтська утиліта повинна зберігати в собі секретний ключ користувача. Зробити це більш-менш безпечно можна тільки за допомогою шифрування самого ключа на основі персонального пароля. При цьому необхідно враховувати, що клієнтська утиліта повинна бути встановлена ​​на тому пристрої (КПК, смартфон і т. П.), З якого в даний момент виконується сесія. Таким чином, виходить, що аутентифікація співробітника залежить від одного пароля, при тому що існує безліч способів дізнатися чи підібрати його. І це далеко не єдина вразливість програмного генератора одноразових паролів.

Незрівнянно більшою надійністю володіють різноманітні пристрої для апаратної реалізації OTP-технологій. Наприклад, є пристрої, з вигляду нагадують калькулятор (рис. 2): при введенні в них набору цифр, надісланого сервером, вони на основі вшитого секретного ключа генерують одноразовий пароль (метод "запит-відповідь"). Головна вразливість подібних пристроїв пов'язана з тим, що їх можна вкрасти або втратити. Убезпечити систему від зловмисника можна тільки за умови використання надійного захисту пам'яті пристрою з секретним ключем.

Саме такий підхід реалізований в смарт-картах і USB-токен. Для доступу до їх пам'яті користувач повинен ввести свій PIN-код. Додамо, що такі пристрої захищені від підбору PIN-коду: при триразовому введенні неправильного значення вони блокуються.

Надійне зберігання ключової інформації, апаратна генерація ключових пар і виконання криптографічних операцій у довіреній середовищі (на мікросхемі смарт-карти) не дозволяють зловмисникові отримати секретний ключ і виготовити дублікат пристрою генерації одноразових паролів.

eToken PASS

апаратний ключ Aladdin eToken PASS - один з найбільш надійних генератор одноразових паролів, захищеними практично від усіх вразливостей реалізації.

Пристрої серії eToken досить широко поширені в Росії. Такі провідні виробники, як Microsoft, Cisco, Oracle, Novell і т. Д., Забезпечують їх підтримку в своїх продуктах ( в "послужному списку" eToken більше 200 реалізацій з додатками для інформаційної безпеки).

Ми раді, що змогли приєднатися до цього списку і забезпечити наших клієнтів необхідним рівнем захищеності при роботі з веб-ресурсами

Гідність eToken PASS полягає в його автономності. Пристрій працює на батарейці з довічним запасом заряду і не вимагає підключення до комп'ютера. Процес генерації одноразового пароля може запускатися шляхом натискання на спеціальну кнопку, розміщену на корпусі пристрою, а його результат в цьому випадку буде відображатися на вбудованому ЖК-дисплеї. Такий підхід дозволяє застосовувати технологію OTP навіть на тих пристроях, на яких відсутні USB-порти або зчитувачі (смартфони, КПК, стільникові телефони і т. П.), І на комп'ютерах, на яких вони заблоковані (на малюнку зображений eToken NG-OTP, як ще один приклад OTP-токена)

З кожним пристроєм пов'язаний ключ шифрування (вектор ініціалізації), який забезпечує відповідність пристрою і користувача, якій воно видане. Вектори ініціалізації зберігаються у адміністратора і прив'язуються до користувача в момент видачі пристрої.

eToken PASS працює за методом "синхронізація по події". Це найбільш надійна з синхронних варіантів реалізація технології OTP (з меншим ризиком рассинхронизации). Алгоритм генерації одноразових паролів, реалізований в ключі eToken NG-OTP, розроблений в рамках ініціативи OATH (він заснований на технології HMAC). Суть його полягає в обчисленні значення HMAC-SHA-1 і потім у виконанні операції усічення (виділення) шести цифр з отриманого 160-бітового значення. Саме вони і служать тим самим одноразовим паролем.

Налаштування OTP -аутентіфікаціі в продуктах 1С-Бітрікс

Використання схеми OTP в програмних продуктах 1С-Бітрікс забезпечується модулем «Проактивний захист». Для початку використання необхідно включити використання одноразових паролів на відповідній сторінці модуля.

Після цього необхідно відкрити профайл користувача, якому потрібно забезпечити аутентифікацію по OTP. Ми бачимо, що з'явилася нова вкладка «Одноразові паролі».

Перше що необхідно зробити адміністратору - це ввести секретний ключ, пов'язаний з пристроєм. Цією дією ми пов'язуємо пристрій і людини, щоб веб-сайт згодом міг коректно виконувати порівняння паролів і аутентифицировать його.

Але цього недостатньо, оскільки потрібно встановити початкове значення для лічильника успішних процедур аутентифікації на веб-сайті (або просто обнулити цей лічильник). Для виконання цієї операції необхідно послідовно згенерувати два пароля і ввести їх у відповідні поля форми.

Тепер пристрій пов'язано з профайлів користувачів та ініціалізувати. Можна зберегти профайл з новими налаштуваннями. А що означає галочка «Включити складовою пароль»?

Насправді, для будь-якого пристрою eToken необхідно знати PIN код доступу, щоб його використовувати. Але оскільки eToken PASS через вектор ініціалізації пов'язаний з профайлів, то ми цілком можемо в якості PIN коду використовувати звичайний (багаторазовий) пароль користувача. І в цьому випадку при аутентифікації користувач повинен ввести складовою пароль, який являє собою звичайний пароль і одноразовий пароль, що вводяться поспіль без роздільника.

І в цьому випадку при аутентифікації користувач повинен ввести складовою пароль, який являє собою звичайний пароль і одноразовий пароль, що вводяться поспіль без роздільника

У будь-який момент можна відключити одноразові паролі, знявши галочку «Включити складовою пароль», і користувач буде входити на сайт, використовуючи звичайний пароль. Ми, правда, настійно рекомендуємо в цьому випадку змінити старий пароль, тому що зловмисники могли перехоплювати одноразові паролі, виокремлюючи з них звичайні.

Зверніть увагу, що при використанні eToken PASS можлива рассинхронизация лічильника авторизаций на сайті, і в самому пристрої. Можна випадково натиснути на кнопку генерації без подальшої аутентифікації, наприклад, якщо ключ потрапив в руки до дітей. В цьому випадку подальша аутентифікація буде неможлива і власнику ключа буде необхідно звернутися до адміністратора системи за синхронізацією лічильників.

Щоб не було таких незручностей, передбачено, так зване, вікно синхронізації, що означає максимальне відміну лічильників на сайті і пристрої.

Щоб не було таких незручностей, передбачено, так зване, вікно синхронізації, що означає максимальне відміну лічильників на сайті і пристрої

За замовчуванням це значення дорівнює 10, що означає можливість десяти "неодружених" натискань. Збільшуючи значення, ви підвищуєте зручність використання, але кілька знижуєте рівень безпеки технології.

При кожної успішної аутентифікації, лічильники в пристрої і на сайті синхронізуються автоматично.


Використання одноразових паролів в продуктах 1С-Бітрікс - це чудове рішення для задач надійної віддаленої аутентифікації. Сьогодні відомо не так вже й багато способів дійсно "сильної" аутентифікації користувачів при передачі інформації по відкритих каналах зв'язку. Тим часом таке завдання зустрічається все частіше і частіше. І одноразові паролі - один з найперспективніших її рішень.

eToken PASS - це простий у використанні і зручний автономний генератор одноразових паролів, який можна застосовувати незалежно від терміналу, з якого здійснюється доступ до веб-додатку, незалежно від наявності на ньому відповідних портів і програмного забезпечення.

В технології застосовується використання "стандартних" криптографічних алгоритмів, сумісних з вітчизняними криптопровайдерами. Це означає, що для реалізації системи аутентифікації із застосуванням OTP прекрасно підходять вже існуючі розробки. Такі маркери можна використовувати в уже існуючих системах корпоративної безпеки без їх перебудови. В результаті впровадження технології одноразових паролів можна провести з відносно невеликими витратами.

Використані джерела:

1) Давлетханов М. Концепція одноразових паролів в системі аутентифікації . (BYTE Росія), №7-8, 2006

2) Хорев П.Б. "Методи і засоби захисту інформації в комп'ютерних системах. Навчальний посібник для вузів", Academia, 2008

3) Коржов В. Пароль на хвилину . Відкриті системи, 2005

Англійське "authentication" скоріше можна прочитати як "аутентикації"; важко сказати, звідки в середині взялося ще "фе" - може, з ідентифікації?
І потім, список не нескінченний, а що якщо в потрібний момент не буде можливості доїхати до банку?
А що означає галочка «Включити складовою пароль»?
Новости
Провайдеры:
  • 08.09.2015

    Batyevka.NET предоставляет услуги доступа к сети Интернет на территории Соломенского района г. Киева.Наша миссия —... 
    Читать полностью

  • 08.09.2015
    IPNET

    Компания IPNET — это крупнейший оператор и технологический лидер на рынке телекоммуникаций Киева. Мы предоставляем... 
    Читать полностью

  • 08.09.2015
    Boryspil.Net

    Интернет-провайдер «Boryspil.net» начал свою работу в 2008 году и на данный момент является одним из крупнейших поставщиков... 
    Читать полностью

  • 08.09.2015
    4OKNET

    Наша компания работает в сфере телекоммуникационных услуг, а именно — предоставлении доступа в сеть интернет.Уже... 
    Читать полностью

  • 08.09.2015
    Телегруп

    ДП «Телегруп-Украина» – IT-компания с 15-летним опытом работы на рынке телекоммуникационных услуг, а также официальный... 
    Читать полностью

  • 08.09.2015
    Софтлинк

    Высокая скоростьМы являемся участником Украинского центра обмена трафиком (UA — IX) с включением 10 Гбит / сек... 
    Читать полностью