Аутентификация при ДБО: одноразовые пароли Автор: Яблокова Екатерина Должность: зам. директора по развитию бизнеса в России, СНГ и странах Балтии Компания: Stonesoft Одним из самых уязвимых мест ДБО до сих пор остается аутентификация пользователей. Задача обеспечения надежной аутентификации при доступе к критичным ресурсам не нова по своей сути. Но в контексте ДБО, особенно для клиентов -физических лиц, к ней добавляются требования удобства для пользователя (иначе никто таким ДБО пользоваться не будет), простоты в обслуживании (иначе банк несет немалые издержки на сопровождение), совместимости с имеющимися информационными системами банка. Что же можно предложить банку? Обычно, когда говорят о надежной аутентификации, подразумевается двухфакторная аутентификация. При этом выступать в роли второго фактора (в качестве первого традиционно применяется «что знаю», т. е. пароль), может биометрическая информация, например, отпечаток пальца, или «что имею», например, смарт-карта или USB-токен. Биометрия пока не может использоваться в мобильном и интернет-банкинге, а смарт-карту с записанным на ней или подсмотренным ПИН-кодом могут украсть... Чтобы не полагаться на знание или обладание каким-либо предметом, в настоящее время для систем Банк--Клиент при работе с физическими лицами все чаще применяется технологии аутентификации по одноразовым паролям One Time Password (OTP). Необходимо отметить, что при работе с юридическими лицами в системах ДБО чаще используется аутентификация по цифровым сертификатам и электронная цифровая подпись, что требует от банка достаточно много ресурсов для настройки и эксплуатации. Кроме того, остается проблема обеспечения надежного места хранения ключевой информации, поэтому на практике этот способ редко используется для работы с физическими лицами. Сущность технологии One Time Password Принцип аутентификации по одноразовым паролям заключается в том, что каждый раз при очередной попытке аутентификации пользователь, имеющий определенный идентификатор в системе, должен продемонстрировать знание нового пароля, который генерируется разными способами. Обычно для генерации нового пароля используется специальный аппаратный токен, изготовляемый в виде смарт-карты или брелока, который либо через равные промежутки времени, либо по запросу пользователя генерирует очередной пароль. В отличие от обычной двухфакторной аутентификации, при использовании аппаратного токена мы получаем следующие преимущества: для смарт-карт или USB-токенов требуется соответствующий считыватель, что очень неудобно в тех случаях, когда у пользователя нет возможности установить на устройство, с которого осуществляется доступ, специализированное ПО (например, из интернет-кафе); данные, которые выдаются смарт-картой или USB-токеном, как правило, уязвимы для прослушивания/подглядывания/кэширования и т. п. Когда же секрет постоянно меняется, как в OTP, то локальный и удаленный перехваты теряют всякий смысл. Разновидности OTP Многие российские банки уже предложили своим пользователям воспользоваться преимуществами технологии OTP -- через специальные скретч-карты, на которых записаны OTP-коды. Они надежны и просты в эксплуатации, однако в зависимости от интенсивности работы в ДБО пользователю все равно рано или поздно приходится их менять, а значит опять обращаться в банк. Использование аппаратных ОТР-токенов удобно, но их стоимость достаточно велика для пользователей -- физических лиц. Приемлемой альтернативой здесь может стать программный ОТР-генератор, который встраивается в мобильный телефон или коммуникатор пользователя в виде апплета, который запрашивает у пользователя необходимую информацию в интерактивном режиме и на выходе генерирует OTP для доступа к ресурсам. Такое решение StoneGate предлагает компания Stonesoft. При этом функционал генерации OTP можно дополнительно защитить PIN-кодом, так что при краже телефона злоумышленник не сможет ничего сделать. Отличительной особенностью решения StoneGate является то, что при доступе к сервису через защищенный туннель пользователь не только аутентифицируется проверенными методами, но и происходит проверка достаточности полномочий на доступ (авторизация), а также расширенная проверка с условными правилами типа «если аутентифицирован, нужная версия ОС, а также есть антивирус и включен персональный межсетевой экран, то…». Следует заметить, что компонент StoneGate Authentication производства Stonesoft выгодно отличается на фоне конкурентов следующими возможностями: поддержка более 15 методов аутентификации; интеграция со всеми распространенными каталогами (OpenLDAP, eDirectory, MS AD); кластеризация; встроенные механизмы SSO (Single Sign-On, однократной аутентификации) при доступе к множеству ресурсов; поддержка открытых стандартов, таких как RADIUS, Identity Federation. В решении StoneGate поддерживаются следующие методы ОТР аутентификации: StoneGate Synchronized, StoneGate Challenge, StoneGate Mobile Text. StoneGate Challenge. Данный метод аутентификации может быть использован при доступе через обычный браузер, при использовании WAP клиента или КПК. Пользователь вводит свой уникальный User ID и получает разрешение ввести дополнительный аутентификатор для получения доступа. Метод часто используется в сочетании с аппаратными ключевыми контейнерами. Специальное приложение MobileID на устройстве пользователя выводит запрос, пользователь набирает свой PIN-код, а программа в ответ генерирует одноразовый пароль. StoneGate Synchronized. Также может быть использован для аутентификации через обычный браузер, WAP клиента или КПК. Пользователь вводит свой уникальный User ID и получает разрешение для ввода одноразового пароля для доступа. OTP генерируется с помощью ПО MobileID, установленного на устройство пользователя. Секретная информация автоматически синхронизируется между клиентской и серверной частью, это может быть счетчик или временнáя отметка (timestamp). Заложенные алгоритмы позволяют автоматически синхронизироваться обеим сторонам после успешной аутентификации, поэтому пользователь может не опасаться, что он потеряет связь с защищенными ресурсами. StoneGate Mobile Text. При использовании данного метода аутентификации пользователь вводит PIN-код на Веб-странице, в то время как сервер генерирует пароль и отправляет его с помощью SMS. Такой метод аутентификации обычно используется с сервисами, применяющими для доступа карманные компьютеры или рабочие станции. Механизмы доставки одноразового пароля до мобильного устройства пользователя тоже могут варьироваться, например, решение штатно интегрируется с протоколами SMTP или SMPP. Сразу следует отметить, что в публичных сервисах обычно применяется либо Challenge, либо Mobile Text. Они очень удобны и распространены в западных системах интернет-банкинга, а также при доступе к закрытым ресурсам на публичных порталах. Можно сказать, что эти методы позволяют реализовать трехкратную аутентификацию: пользователь «имеет» телефон (или другое устройство с ПО генерации ОТР), «знает» свой секрет (PIN-код), «подтверждает» свою аутентичность путем наличия обратного канала от сервера до клиента посредством привязки к номеру мобильного телефона через SMS/SMTP. Кстати, следует заметить, что этот же принцип привязки используется в современных популярных системах автоматического оповещения о движении средств на счету в банках. Следовательно, он признан достаточно надежным и удобным. Таким образом, решение получается, с одной стороны, удобным, поскольку у современного человека мобильный телефон всегда под рукой, а банк не несет никаких дополнительных расходов, а с другой стороны -- используется проверенный метод генерации одноразовых паролей при помощи двухфакторной аутентификации: наличие доверенного объекта (мобильный телефон с апплетом) и знание пароля (PIN-кода).