Способы аутентификации парольная аутентификация

Усиливаем аутентификацию или зачем нужны одноразовые пароли

Веб-сайт является частью корпоративной инфраструктуры и не удивительно, что компании большое внимание уделяют вопросам безопасности. По данным компании Positive Technologies: доля атак на Веб составляет более 50%; ежедневно в Рунете регистрируются десятки взломов веб-сайтов. Но означает ли это, что сайты лучше не делать? Современный прогресс и конкурентная среда не оставляют выбора. Сайты будут создавать, будут делать больше и все более функциональными. Как защитить компанию от потенциальных неприятностей? Какое решение выбрать и как защитить свой веб-сайт от возможных проблем? Давайте обсудим.

Артем Рябинков
ведущий аналитик, координатор проектов компании «1С-Битрикс» Использование одноразовых паролей в продуктах «1С-Битрикс» – это превосходное решение для задач надежной удаленной аутентификации. Сегодня известно не так уж много способов действительно «сильной» аутентификации пользователей при передаче информации по открытым каналам связи. Между тем такая задача встречается все чаще и чаще. И одноразовые пароли — одно из самых перспективных ее решений!

Содержание

1. Аутентификация как базис безопасности
   • Этапы входа в систему
   • Способы аутентификации
2. Традиционная парольная аутентификация
   • Задание стойкости паролей
   • Противодействие подбору паролей
   • Управление реакцией на неудачную попытку входа
3. Аутентификация по одноразовым паролям (OTP)
   • Пароли и удаленный доступ
   • Не все средства хороши
   • Почему «одноразовые»
   • Как работает схема OTP
   • Аппаратные и программные методы реализации OTP
   • eToken PASS
   • Настройка OTP аутентификации в продуктах «1С-Битрикс»
4. Выводы

1. Аутентификация как базис безопасности

1.1 Этапы входа в систему

Современные веб-ресурсы содержат в себе множество функционала, который по разному доступен различным пользователям. Основной вопрос заключается в следующем: как обеспечить, чтобы система узнавала пользователей и в соответствии с результатом распознавания – предоставляла им тот или иной функционал? Безопасность процедуры входа для пользователей во многом определяет защищенность информационной системы в целом.

Процедуру входа зачастую именуют по-разному: войти, авторизоваться, аутентифицироваться, залогиниться. Обычно все понимают, о чем идет речь, но методологически термины используются не всегда корректно.

В теории информационной безопасности процесс входа в систему делится на 3 основные стадии:

1. Идентификация (Identification)
   Под идентификацией, применительно к обеспечению информационной безопасности компьютерной системы, понимают однозначное распознавание уникального имени субъекта (пользователя).
2. Аутентификация (Authentication)
   Аутентификация обеспечивает подтверждение подлинности субъекта, то есть подтверждение того, что предъявленное имя соответствует данному субъекту.
3. Авторизация (Authorization)
   На третьем шаге, система проводит процедуру авторизации, когда на основании результата процедуры аутентификации она дает пользователю тот или иной уровень доступа.

Этап аутентификации является самым важным в этой цепочке и основная проблема заключается в том, чтобы сделать эту процедуру максимально точной и безопасной. Вообще, происхождение русскоязычного термина «аутентификация» не совсем понятно. Английское «authentication» скорее можно прочитать как «аутентикация»; трудно сказать, откуда в середине взялось еще «фи» — может, из идентификации? Тем не менее, термин устоялся, он закреплен в Руководящих документах Гостехкомиссии России, использован в многочисленных публикациях, поэтому исправить его уже невозможно.)

Аутентификация бывает односторонней (обычно только клиент доказывает свою подлинность серверу) и двусторонней (взаимной). Пример односторонней аутентификации — процедура входа пользователя в систему, например в продукты «1С-Битрикс»

1.2 Способы аутентификации

Способы аутентификации пользователей в компьютерных системах делят на три группы.

• К первой группе относятся способы аутентификации, основанные на том, что пользователь знает некоторую подтверждающую его подлинность информацию (обычно это старая добрая парольная аутентификация).
• Ко второй группе относятся способы аутентификации, основанные на том, что пользователь имеет некоторый материальный объект, который может подтвердить его подлинность (например, пластиковую карту с идентифицирующей пользователя информацией).
• К третьей группе относятся способы аутентификации, основанные на таких данных, которые позволяют однозначно считать, что пользователь и есть тот самый субъект, за которого себя выда­ет (биометрические данные, особенности клавиатурного почерка и т.п.).

2. Парольная аутентификация

Использование пароля в качестве аутентификационного фактора, наверное, еще очень долго будет являться наиболее распространенным способом решения задач определения подлинности. В первую очередь, в силу своей простоты и низких затрат на обеспечение всей инфраструктуры, особенно если речь идет о веб-приложениях.

Парольная защита заслуженно считается не очень надежной. В программных продуктах «1С-Битрикс» мы постарались максимально возможно усилить аутентификацию пользователей с использованием паролей. В следующих пунктах показано за счет чего это достигается.

2.1 Задание стойкости паролей

При выборе паролей пользователи системы (например, веб-сайта) должны руководствоваться двумя, по сути взаимоисключающими, правилами — пароли должны трудно подбираться и легко запоминаться (поскольку пароль ни при каких условиях не должен нигде записываться, так как в этом случае необходимо будет дополнительно решать задачу защиты носителя пароля).

Но поскольку правила взаимоисключающие, пароли обычно простые и очень хорошо подбираются, а также записываются повсеместно без надлежащей защиты этих самых записей. Если вторую неприятность решить технически невозможно, да и организационные меры особо не помогают, то вот с обеспечением сложности пароля можно поработать.

Сложность подбора пароля определяется, в первую очередь, мощностью множества символов, используемого при выборе пароля (N), и минимально возможной длиной пароля (к). В этом случае число различных паролей может быть оценено снизу как, С_р = N k . Например, если множество символов пароля образуют строчные латинские буквы, а минимальная длина пароля равна 3, то С_р = 26 3 = 17576 (что совсем немного для программного подбора). Если же множество символов пароля состоит из строчных и прописных латинских букв, а также из цифр и минимальная длина пароля равна 6, то С_р = 62 6 = 56800235584.

Сложность выбираемых пользователями КС паролей должна устанавливаться администратором при реализации установленной для данной системы политики безопасности. В продуктах «1С-Битрикс» имеется возможность указать индивидуальную политику безопасности для каждой группы пользователей:

Другими параметрами политики учетных записей при использовании парольной аутентификации являются:

• максимальный срок действия пароля (любой секрет не может сохраняться в тайне вечно);
• несовпадение пароля с логическим именем пользователя, под которым он зарегистрирован в системе;
• неповторяемость паролей одного пользователя.

С точки зрения теории, эти рекомендации очень полезны и обычно применяются в совокупности, но как правило на практике они не дают сколько-либо весомого усиления защиты. Так, например, требование неповторяемости паролей может быть реализовано двумя способами. Во-первых, можно установить минимальный срок действия пароля (в противном случае пользователь, вынужденный после истечения срока действия своего пароля поменять его, сможет тут же сменить пароль на старый). Во-вторых, можно вести список уже использовавшихся данным пользователем паролей (максимальная длина списка при этом может устанавливаться администратором).

К сожалению, обеспечить реальную уникальность каждого вновь выбираемого пользователем пароля с помощью приведенных выше мер практически невозможно. Пользователь может, не нарушая установленных ограничений, выбирать пароли «A1», «A2», . где А — первый пароль пользователя, удовлетворяющий требованиям сложности. Тоже самое касается несовпадения логина с паролем. Ничто не помешает сделать логин ‘dima’, а пароль ‘dima_1’.

В силу перечисленных обстоятельств (именно практической нецелесообразности) мы не стали штатно вводить в продукты такие ограничения, однако любой из наших партнеров может дополнить ими разрабатываемый проект, используя API платформы.

2.2 Противодействие подбору паролей

Настраивая политику учетных записей пользователей необходимо назначить меры противодействия системы попыткам подбора паролей. Для этого могут применяться следующие правила:

Препятствие подбору пароля автоматизированным способом.

Для воспрепятствования автоматизированным способам подбора паролей в современных веб-приложениях обычно используют CAPTCHA (Completely Automatic Public Turing Test to Tell Computers and Humans Apart — полностью автоматический тест Тьюринга для различения компьютеров и людей). CAPTCHA представляет собой задачу, сложную для решения компьютером и простую для человека, и обычно реализуется в виде изображения, на котором необходимо различить набор символов или другую сигнатуру.

В продуктах «1С-Битрикс» вы можете включить использование CAPTCHA в процедурах регистрации в систему и аутентификации.

Кроме того, можно обеспечить принудительный вывод CAPTCHA в случае нескольких неудачных попыток аутентификации, настроив параметр «Количество попыток ввода пароля до показа CAPTCHA :» в настройках политики безопасности группы.

В результате форма авторизации после N-й попытки будет выглядеть следующим образом:

CAPTCHA в продуктах «1С-Битрикс» гибко настраивается, что позволяет достичь компромисса между ее сложностью и удобством пользователя. В различных веб-системах эта грань всегда своя, но мы предлагаем удобный инструмент для ее определения.

Ограничение числа попыток входа в систему.

Для ограничения числа попыток входа в систему мы предлагаем использовать фильтр активности, входящий в состав модуля «Проактивная защита». В нем вы можете настроить параметры блокировки доступа к веб-сайту при превышении лимита активности от некоторого посетителя.

Кроме этого, если вам стали известны IP адреса нападающих, можно добавить их в стоп-лист, и полностью запретить доступ к ресурсу с этих адресов, и все попытки подбора паролей методом «грубой силы» (brute force).

Скрытие логического имени последнего работавшего пользователя

Скрытие логического имени последнего работавшего пользователя в веб-приложениях, к сожалению, на уровне системы реализовыать бессмысленно, поскольку подстановку данного имени по умолчанию выполняет большинство браузеров.

Учет всех попыток (успешных и неудачных) входа в систему

Учет всех попыток (успешных и неудачных) входа в систему в продуктах «1С-Битрикс» обеспечивается встроенным журналом событий. При этом вы детально настраиваете, какие события будут в нем фиксироваться и сколько времени они будут храниться.

В результате администратор системы может контролировать основные процессы, связанные с аутентификацией и сопутствующими действиями пользователей.

2.3 Управление реакцией на неудачную попытку входа

С теоретической точки зрения реакция на неуспешный вход может быть следующей:

• Блокировка учетной записи, под которой осуществляется попытка входа, при превышении максимально возможного числа попыток (на заданное время или до ручного снятия блокировки администратором);
• Нарастающее увеличение временной задержки перед предоставлением пользователю следующей попытки входа.

К сожалению, эти рекомендации на практике не совсем целесообразны, так как они могут позволить нарушителю намеренно заблокировать работу в системе легального пользователя (реализовать угрозу нарушения доступности информации).

В продуктах «1С-Битрикс» предложен более изящный вариант, который уже был упомянут. Это использование CAPTCHA после N неуспешных попыток аутентификации.

3. Одноразовые пароли

3.1 Пароли и удаленный доступ

Несмотря на то, что с помощью применения перечисленных выше правил парольную аутентификацию можно сделать более безопасной, она все-таки остается весьма уязвимой. Нельзя защититься от самой природы удаленного доступа при работе с веб-приложениями.

Работая с веб-приложением, мы не можем быть уверенными в безопасности канала связи, который мы используем для доступа в Сеть. Мы можем зайти в интернет-кафе, воспользоваться общедоступной Wi-Fi точкой доступа в аэропорту и тем самым легко стать жертвой очень распространенного сегодня вида компьютерного мошенничества, как сниффинг (от англ. sniff — нюхать).Злоумышленники могут контролировать сегмент сети и анализировать весь циркулирующий в нем трафик. Причем для этого не нужно быть администратором сети, как правило защищенность особенно беспроводных сетей чрезвычайно низкая, а злоумышленником может быть сидящий напротив пассажир, с ноутбуком, а то и с карманным компьютером.

Другая опасность заключается в том, что зачастую необходимо обратиться к веб-приложению с чужого компьютера, в том же Интернет-кафе. Пароли кэшируются, как и любая другая вводимая в компьютер информация, и при желании ими может воспользоваться кто-то еще в своих небескорыстных целях.

Угрозы исходят и от вирусов. Полученные в результате работы в сети Интернет, они могут сканировать входящий и исходящий на предмет наличия в нем секретных сведений, анализируя пакеты наиболее распространенных протоколов. Полученная информация часто отсылается создателям для последующего анализа и использования.

Между тем ситуации, когда необходимо удаленно получить или отправить информацию, возникают довольно часто. Возьмем хотя бы системы электронного банкинга: несложно представить себе ситуацию, когда для удаленного управления своим счетом пользователю потребуется доступ к защищенным банковским ресурсам.Специфика бизнеса многих крупных компаний часто обязывает их предоставлять доступ к собственным ресурсам сторонним пользователям — партнерам, клиентам, поставщикам. Сегодня в России активно набирает обороты такой тип сотрудничества, как аутсорсинг: компании-субподрядчику для выполнения работ по заказу вполне может потребоваться доступ к защищенным ресурсам заказчика.

3.2 Не все средства удобны

Многие наверняка воскликнут, что есть же аппаратные средства, обеспечивающие требуемый уровень защиты: смарт-карты, USB-ключи. Однако их использование весьма ограничено опять же в связи со спецификой веб-приложений.

Для смарт-кард требуются считыватели, для USB-ключей – доступный USB порт. Если мы обращаемся к веб-сайту с чужого компьютера, то понятно, что первого там не будет, а USB порт может быть заблокирован (это практически стандарт многих интернет-кафе). Интенсивно развиваются и мобильные устройства, и сегодня их можно полноценно использовать для серфинга в Интернете. Понятно, что никаких считывателей и USB портов в них не существует. Кроме этого, для работы многих аппаратных средств аутентификации требуется специализированное ПО. Стоит ли говорить о том, что оно может быть не установлено на терминале доступа.

Потребность подключения к корпоративной сети по надежной схеме аутентификации при наличии под рукой лишь КПК или смартфона может стать серьезной проблемой, если пользователь находится на конференции, переговорах или других деловых мероприятиях. Как раз для мобильных приложений, а также для организации доступа к нужной информации из тех мест, где невозможно установить специальное ПО, была разработана концепция одноразовых паролей OTP — One-Time Password.

3.3 Почему «одноразовые»

Самая простая идея одноразовых паролей заключается в том, что пользователь получает список паролей P₁, Р₂. Р_n. Каждый из паролей действует только на один сеанс входа (Р₁ — на первый, Р₂ — на второй и т.д.). В этом случае знание уже использовавшегося пользователем пароля ничего не даст нарушителю, а при каждом входе легального пользователя возможна проверка на использование данного пароля кем-либо еще.

Не нужно считать, что такая примитивная схема существует только в теории. Она очень широко применялась последние годы, более того, Сбербанк РФ и сегодня позволяет вам воспользоваться такой методикой. В интерфейсах банкоматов СБРФ есть меню «безналичный расчет», где нужно выбрать «одноразовые пароли» и получить квиток с десятью кодами. При оплате картой услуг или покупок в Интернете, клиент банка должен будет вводить один из этих кодов по требованию системы.

Понятно, что подобная схема имеет свои трудности:

• организация защищенного хранения длинного списка паролей (либо его запоминание, что маловероятно);
• неясность с номером следующего пароля, если после ввода предыдущего пароля из списка вход пользователя в систему не был осуществлен из-за сбоя в работе КС.

Эти недостатки могут быть устранены, если список паролей генерировать на основе некоторой необратимой функции, например функции хеширования.

При сбое в процессе входа пользователя всегда осуществляется выбор следующего пароля из списка, а система последовательно применяет функцию F к введенному пользователем паролю, вплоть до совпадения с последним принятым от него паролем (и тогда пользователь допускается к работе в системе) или до превышения длины списка паролей (в этом случае попытка входа пользователя в КС отвергается). На базе этой идеи и работают все современные технологии аутентификации с помощью одноразовых паролей.

3.4 Как работает схема OTP

В современных технологиях аутентификации с помощью OTP применяется динамическая генерация ключевых слов с помощью сильных криптографических алгоритмов (вышеупомянутая функция F). Иначе говоря, аутентификационные данные — это результат шифрования какого-либо начального значения с помощью секретного ключа пользователя. Данная информация есть и у клиента, и у сервера. Она не передается по сети и недоступна для перехвата. В качестве начального значения используется известная обеим сторонам процесса аутентификации информация, а ключ шифрования создается для каждого пользователя при его инициализации в системе. Ключ иногда еще называют вектором инициализации.

Стоит отметить, что на данном этапе развития технологий OTP существуют системы, использующие как симметричную, так и асимметричную криптографию. В первом случае секретным ключом должны обладать обе стороны. Во втором секретный ключ нужен только пользователю, а у сервера аутентификации он открытый.

Технологии OTP были разработаны в рамках отраслевой инициативы Open Authentication (OATH), выдвинутой компанией VeriSign в 2004 г. Суть этой инициативы заключается в разработке стандартной спецификации действительно надежной аутентификации для различных интернет-сервисов. Причем речь идет о двухфакторном определении прав пользователя, в процессе которого последний должен «предъявить» смарт-карту или USB-токен и свой пароль. Таким образом, одноразовые пароли со временем могут стать стандартным средством удаленной аутентификации в различных системах.

Сегодня разработано и используется на практике несколько вариантов реализации систем аутентификации по одноразовым паролям.

Метод «запрос-ответ». Принцип его работы таков: в начале процедуры аутентификации пользователь отправляет на сервер свой логин. В ответ на это последний генерирует некую случайную строку и посылает ее обратно. Пользователь с помощью своего ключа зашифровывает эти данные и возвращает их серверу. Сервер же в это время «находит» в своей памяти секретный ключ данного пользователя и кодирует с его помощью исходную строку. Далее проводится сравнение обоих результатов шифрования. При их полном совпадении считается, что аутентификация прошла успешно. Этот метод реализации технологии одноразовых паролей называется асинхронным, поскольку процесс аутентификации не зависит от истории работы пользователя с сервером и других факторов.

Метод «только ответ». В этом случае алгоритм аутентификации несколько проще. В самом начале процесса программное или аппаратное обеспечение пользователя самостоятельно генерирует исходные данные, которые будут зашифрованы и отправлены на сервер для сравнения. При этом в процессе создания строки используется значение предыдущего запроса. Сервер тоже обладает этими сведениями; зная имя пользователя, он находит значение предыдущего его запроса и генерирует по тому же алгоритму точно такую же строку. Зашифровав ее с помощью секретного ключа пользователя (он также хранится на сервере), сервер получает значение, которое должно полностью совпадать с присланными пользователем данными.

Метод «синхронизация по времени». В нем в качестве исходной строки выступают текущие показания таймера специального устройства или компьютера, на котором работает человек. При этом обычно используется не точное указание времени, а текущий интервал с установленными заранее границами (например, 30 с). Эти данные зашифровываются с помощью секретного ключа и в открытом виде отправляются на сервер вместе с именем пользователя. Сервер при получении запроса на аутентификацию выполняет те же действия: получает текущее время от своего таймера и зашифровывает его. После этого ему остается только сравнить два значения: вычисленное и полученное от удаленного компьютера.

Метод «синхронизация по событию». В принципе этот метод практически идентичен предыдущему, только в качестве исходной строки в нем используется не время, а количество успешных процедур аутентификации, проведенных до текущей. Это значение подсчитывается обеими сторонами отдельно друг от друга. В настоящее время этот метод получил наиболее распространение.

В некоторых системах реализуются так называемые смешанные методы, где в качестве начального значения используется два типа информации или даже больше. Например, существуют системы, которые учитывают как счетчики аутентификаций, так и показания встроенных таймеров. Такой подход позволяет избежать множества недостатков отдельных методов.

3.5 Аппаратные и программные реализации OTP

Как уже говорилось выше, в основе OTP лежит использование криптографических алгоритмов. Это накладывает определенные обязательства на разработчиков таких продуктов — ведь некачественное исполнение какого-либо алгоритма или, например, генератора случайных чисел может поставить под угрозу безопасность информации.

Генераторы одноразовых паролей реализуются двумя способами: программным и аппаратным. Первый из них, естественно, менее надежен. Дело в том, что клиентская утилита должна хранить в себе секретный ключ пользователя. Сделать это более или менее безопасно можно только с помощью шифрования самого ключа на основе персонального пароля. При этом необходимо учитывать, что клиентская утилита должна быть установлена на том устройстве (КПК, смартфон и т. п.), с которого в данный момент выполняется сессия. Таким образом, получается, что аутентификация сотрудника зависит от одного пароля, при том что существует множество способов узнать или подобрать его. И это далеко не единственная уязвимость программного генератора одноразовых паролей.

Несравнимо большей надежностью обладают разнообразные устройства для аппаратной реализации OTP-технологий. Например, есть устройства, по виду напоминающие калькулятор: при вводе в них набора цифр, присланного сервером, они на основе вшитого секретного ключа генерируют одноразовый пароль (метод «запрос-ответ»). Главная уязвимость подобных устройств связана с тем, что их можно украсть или утерять. Обезопасить систему от злоумышленника можно только при условии использования надежной защиты памяти устройства с секретным ключом.

Именно такой подход реализован в смарт-картах и USB-токенах. Для доступа к их памяти пользователь должен ввести свой PIN-код. Добавим, что такие устройства защищены от подбора PIN-кода: при трехкратном вводе неправильного значения они блокируются.Надежное хранение ключевой информации, аппаратная генерация ключевых пар и выполнение криптографических операций в доверенной среде (на микросхеме смарт-карты) не позволяют злоумышленнику извлечь секретный ключ и изготовить дубликат устройства генерации одноразовых паролей.

Аппаратный ключ Aladdin eToken PASS – один из наиболее надежных генераторов одноразовых паролей, защищенными практически от всех уязвимостей реализации.

Устройства серии eToken достаточно широко распространены в России. Такие ведущие производители, как Microsoft, Cisco, Oracle, Novell и т. д., обеспечивают их поддержку в своих продуктах (в «послужном списке» eToken более 200 реализаций с приложениями для информационной безопасности). Мы рады, что смогли присоединиться к этому списку и обеспечить наших клиентов требуемым уровнем защищенности при работе с веб-ресурсами

Достоинство eToken PASS заключается в его автономности. Устройство работает на батарейке с пожизненным запасом заряда и не требует подключение к компьютеру. Процесс генерации одноразового пароля может запускаться путем нажатия на специальную кнопку, размещенную на корпусе устройства, а его результат в этом случае будет отображаться на встроенном ЖК-дисплее. Такой подход позволяет применять технологию OTP даже на тех устройствах, на которых отсутствуют USB-порты или считыватели (смартфоны, КПК, сотовые телефоны и т. п.), и на компьютерах, на которых они заблокированы (на рисунке изображен eToken NG-OTP, как еще один пример OTP-токена).

С каждым устройством связан ключ шифрования (вектор инициализации), который обеспечивает соответствие устройства и пользователя, которому оно выдано. Векторы инициализации хранятся у администратора и привязываются к пользователю в момент выдачи устройства.

eToken PASS работает по методу «синхронизация по событию». Это наиболее надежная из синхронных вариантов реализация технологии OTP (с меньшим риском рассинхронизации). Алгоритм генерации одноразовых паролей, реализованный в ключе eToken NG-OTP, разработан в рамках инициативы OATH (он основан на технологии HMAC). Суть его заключается в вычислении значения HMAC-SHA-1 и затем в выполнении операции усечения (выделения) шести цифр из полученного 160-битового значения. Именно они и служат тем самым одноразовым паролем.

3.7 Настройка OTP–аутентификации в продуктах «1С-Битрикс»

Использование схемы OTP в программных продуктах 1С-Битрикс обеспечивается модулем «Проактивная защита». Для начала использования необходимо включить использование одноразовых паролей на соответствующей странице модуля.

После этого необходимо открыть профайл пользователя, которому требуется обеспечить аутентификацию по OTP. Мы видим, что появилась новая вкладка «Одноразовые пароли».

Первое что необходимо сделать администратору – это ввести секретный ключ, связанный с устройством. Этим действием мы связываем устройство и человека, чтобы веб-сайт впоследствии мог корректно выполнять сравнение паролей и аутентифицировать его.

Но этого недостаточно, поскольку требуется установить начальное значение для счетчика успешных процедур аутентификации на веб-сайте (или просто обнулить этот счетчик). Для выполнения этой операции необходимо последовательно сгенерировать два пароля и ввести их в соответствующие поля формы.

Теперь устройство связано с профайлом пользователя и инициализировано. Можно сохранить профайл с новыми настройками. А что означает галочка «Включить составной пароль»?

На самом деле, для любого устройства eToken необходимо знать PIN код доступа, чтобы его использовать. Но поскольку eToken PASS через вектор инициализации связан с профайлом, то мы вполне можем в качестве PIN кода использовать обычный (многоразовый) пароль пользователя. И в этом случае при аутентификации пользователь должен ввести составной пароль, который представляет собой обычный пароль и одноразовый пароль, вводимые подряд без разделителя.

В любой момент можно отключить одноразовые пароли, сняв галочку «Включить составной пароль», и пользователь будет входить на сайт, используя обычный пароль. Мы, правда, настоятельно рекомендуем в этом случае сменить старый пароль, т.к. злоумышленники могли перехватывать одноразовые пароли, вычленяя из них обычные.

Обратите внимание, что при использовании eToken PASS возможна рассинхронизация счетчика авторизаций на сайте, и в самом устройстве. Можно случайно нажать на кнопку генерации без последующей аутентификации, например, если ключ попал в руки к детям. В этом случае последующая аутентификация будет невозможна и владельцу ключа будет необходимо обратиться к администратору системы за синхронизацией счетчиков.

Чтобы не было таких неудобств, предусмотрено, так называемое, окно синхронизации, означающее максимальное отличие счетчиков на сайте и устройстве.

По умолчанию это значение равно 10, что означает возможность десяти «холостых» нажатий. Увеличивая значение, вы повышаете удобство использования, но несколько снижаете уровень безопасности технологии.

При каждой успешной аутентификации, счетчики в устройстве и на сайте синхронизируются автоматически.

4. Выводы:

Использование одноразовых паролей в продуктах «1С-Битрикс» – это превосходное решение для задач надежной удаленной аутентификации. Сегодня известно не так уж много способов действительно «сильной» аутентификации пользователей при передаче информации по открытым каналам связи. Между тем такая задача встречается все чаще и чаще. И одноразовые пароли — одно из самых перспективных ее решений.

eToken PASS – это простой в использовании и удобный автономный генератор одноразовых паролей, который можно применять вне зависимости от терминала, с которого осуществляется доступ к веб-приложению, вне зависимости от наличия на нем соответствующих портов и программного обеспечения.

В технологии применяется использование «стандартных» криптографических алгоритмов, совместимых с отечественными криптопровайдерами. Это означает, что для реализации системы аутентификации с применением OTP прекрасно подходят уже существующие разработки. Такие токены можно использовать в уже существующих системах корпоративной безопасности без их перестройки. В результате внедрение технологии одноразовых паролей можно провести с относительно небольшими затратами.

1) Хорев П.Б. «Методы и средства защиты информации в компьютерных системах. Учебное пособие для вузов» , Academia, 2008

3) Коржов В. Пароль на минуту. Открытые системы, 2005

Источник