1 - EXPO IT Security

Аутентификация при ДБО: одноразовые пароли
Автор: Яблокова Екатерина
Должность: зам. директора по развитию бизнеса в России, СНГ и странах Балтии
Компания: Stonesoft
Одним из самых уязвимых мест ДБО до сих пор остается аутентификация
пользователей. Задача обеспечения надежной аутентификации при доступе к критичным
ресурсам не нова по своей сути. Но в контексте ДБО, особенно для клиентов -физических лиц, к ней добавляются требования удобства для пользователя (иначе никто
таким ДБО пользоваться не будет), простоты в обслуживании (иначе банк несет немалые
издержки на сопровождение), совместимости с имеющимися информационными
системами банка.
Что же можно предложить банку? Обычно, когда говорят о надежной
аутентификации, подразумевается двухфакторная аутентификация. При этом выступать в
роли второго фактора (в качестве первого традиционно применяется «что знаю», т. е.
пароль), может биометрическая информация, например, отпечаток пальца, или «что
имею», например, смарт-карта или USB-токен. Биометрия пока не может использоваться в
мобильном и интернет-банкинге, а смарт-карту с записанным на ней или подсмотренным
ПИН-кодом могут украсть...
Чтобы не полагаться на знание или обладание каким-либо предметом, в настоящее
время для систем Банк--Клиент при работе с физическими лицами все чаще применяется
технологии аутентификации по одноразовым паролям One Time Password (OTP).
Необходимо отметить, что при работе с юридическими лицами в системах ДБО чаще
используется аутентификация по цифровым сертификатам и электронная цифровая
подпись, что требует от банка достаточно много ресурсов для настройки и эксплуатации.
Кроме того, остается проблема обеспечения надежного места хранения ключевой
информации, поэтому на практике этот способ редко используется для работы с
физическими лицами.
Сущность технологии One Time Password
Принцип аутентификации по одноразовым паролям заключается в том, что каждый
раз при очередной попытке аутентификации пользователь, имеющий определенный
идентификатор в системе, должен продемонстрировать знание нового пароля, который
генерируется разными способами. Обычно для генерации нового пароля используется
специальный аппаратный токен, изготовляемый в виде смарт-карты или брелока, который
либо через равные промежутки времени, либо по запросу пользователя генерирует
очередной пароль.
В отличие от обычной двухфакторной аутентификации, при использовании
аппаратного токена мы получаем следующие преимущества:
 для смарт-карт или USB-токенов требуется соответствующий
считыватель, что очень неудобно в тех случаях, когда у пользователя
нет возможности установить на устройство, с которого
осуществляется доступ, специализированное ПО (например, из
интернет-кафе);
 данные, которые выдаются смарт-картой или USB-токеном, как
правило, уязвимы для прослушивания/подглядывания/кэширования и
т. п.
Когда же секрет постоянно меняется, как в OTP, то локальный и удаленный
перехваты теряют всякий смысл.
Разновидности OTP
Многие российские банки уже предложили своим пользователям воспользоваться
преимуществами технологии OTP -- через специальные скретч-карты, на которых
записаны OTP-коды. Они надежны и просты в эксплуатации, однако в зависимости от
интенсивности работы в ДБО пользователю все равно рано или поздно приходится их
менять, а значит опять обращаться в банк.
Использование аппаратных ОТР-токенов удобно, но их стоимость достаточно
велика для пользователей -- физических лиц. Приемлемой альтернативой здесь может
стать программный ОТР-генератор, который встраивается в мобильный телефон или
коммуникатор пользователя в виде апплета, который запрашивает у пользователя
необходимую информацию в интерактивном режиме и на выходе генерирует OTP для
доступа к ресурсам. Такое решение StoneGate предлагает компания Stonesoft. При этом
функционал генерации OTP можно дополнительно защитить PIN-кодом, так что при
краже телефона злоумышленник не сможет ничего сделать.
Отличительной особенностью решения StoneGate является то, что при доступе к
сервису через защищенный туннель пользователь не только аутентифицируется
проверенными методами, но и происходит проверка достаточности полномочий на доступ
(авторизация), а также расширенная проверка с условными правилами типа «если
аутентифицирован, нужная версия ОС, а также есть антивирус и включен персональный
межсетевой экран, то…».
Следует заметить, что компонент StoneGate Authentication производства Stonesoft
выгодно отличается на фоне конкурентов следующими возможностями:
 поддержка более 15 методов аутентификации;
 интеграция со всеми распространенными каталогами (OpenLDAP,
eDirectory, MS AD);
 кластеризация;
 встроенные механизмы SSO (Single Sign-On, однократной аутентификации)
при доступе к множеству ресурсов;
 поддержка открытых стандартов, таких как RADIUS, Identity Federation.
В решении StoneGate поддерживаются следующие методы ОТР аутентификации:
StoneGate Synchronized, StoneGate Challenge, StoneGate Mobile Text.
 StoneGate Challenge. Данный метод аутентификации может быть использован при
доступе через обычный браузер, при использовании WAP клиента или КПК.
Пользователь вводит свой уникальный User ID и получает разрешение ввести
дополнительный аутентификатор для получения доступа. Метод часто используется в
сочетании с аппаратными ключевыми контейнерами. Специальное приложение
MobileID на устройстве пользователя выводит запрос, пользователь набирает свой
PIN-код, а программа в ответ генерирует одноразовый пароль.
 StoneGate Synchronized. Также может быть использован для аутентификации через
обычный браузер, WAP клиента или КПК. Пользователь вводит свой уникальный User
ID и получает разрешение для ввода одноразового пароля для доступа. OTP
генерируется с помощью ПО MobileID, установленного на устройство пользователя.
Секретная информация автоматически синхронизируется между клиентской и
серверной частью, это может быть счетчик или временнáя отметка (timestamp).
Заложенные алгоритмы позволяют автоматически синхронизироваться обеим
сторонам после успешной аутентификации, поэтому пользователь может не опасаться,
что он потеряет связь с защищенными ресурсами.
 StoneGate Mobile Text. При использовании данного метода аутентификации
пользователь вводит PIN-код на Веб-странице, в то время как сервер генерирует
пароль и отправляет его с помощью SMS. Такой метод аутентификации обычно
используется с сервисами, применяющими для доступа карманные компьютеры или
рабочие станции. Механизмы доставки одноразового пароля до мобильного
устройства пользователя тоже могут варьироваться, например, решение штатно
интегрируется с протоколами SMTP или SMPP.
Сразу следует отметить, что в публичных сервисах обычно применяется либо
Challenge, либо Mobile Text. Они очень удобны и распространены в западных системах
интернет-банкинга, а также при доступе к закрытым ресурсам на публичных порталах.
Можно сказать, что эти методы позволяют реализовать трехкратную
аутентификацию: пользователь «имеет» телефон (или другое устройство с ПО генерации
ОТР), «знает» свой секрет (PIN-код), «подтверждает» свою аутентичность путем наличия
обратного канала от сервера до клиента посредством привязки к номеру мобильного
телефона через SMS/SMTP. Кстати, следует заметить, что этот же принцип привязки
используется в современных популярных системах автоматического оповещения о
движении средств на счету в банках. Следовательно, он признан достаточно надежным и
удобным.
Таким образом, решение получается, с одной стороны, удобным, поскольку у
современного человека мобильный телефон всегда под рукой, а банк не несет никаких
дополнительных расходов, а с другой стороны -- используется проверенный метод
генерации одноразовых паролей при помощи двухфакторной аутентификации: наличие
доверенного объекта (мобильный телефон с апплетом) и знание пароля (PIN-кода).