A koncepció az egyszeri jelszó hitelesítési rendszer
Technológia egyszeri jelszó - az egyik legígéretesebb megoldásokat a felhasználók hitelesítésére a probléma az információ továbbítása nem biztonságos csatornán.
Természetesen az orosz cég számait veszteség lesz egészen más, de ez nem változtatja meg a probléma maga: a jogosulatlan hozzáférés valóban komoly károkat a társaság, akár tud róla, akár nem vezető.
Csapdái távoli hozzáférés
Mivel egy megbízható környezet (az irodán kívül), a felhasználó szembesül azzal, hogy adjon meg egy jelszót egy másik számítógépen (például internet kávézó). A jelszavak cache, valamint minden olyan egyéb információt be a számítógépbe, és ha szükséges, akkor kihasználják senkit, hogy önzetlen célra.
Elég gyakori manapság, és az ilyen típusú számítógépes csalás szippantás (egy táskát a szippantás -. Sniff) - lehallgatását rosszindulatú hálózati csomagok azonosítása érdekében fontos információ neki. Ezzel a módszerrel a hacker képes „szippantás” a felhasználó jelszavát, és használja a jogosulatlan hozzáféréstől. Súlyos teszt kiteszi egy egyszerű jelszavas védelem (különösen, ha a távoli hozzáférés), az új generációs vírusok, kémprogramok, csendesen egyre a felhasználó számítógépén a rendes „fordult” a web-oldalakat. A vírus lehet programozni, hogy kiszűrje az információs folyamok egy adott számítógép azonosítására szimbólumok kombinációját, amely lehet jelszavakat. Ezek a kombinációk „kém” küldi az alkotó, és hogy csak azonosítani a helyes jelszót.
Csak a mobil alkalmazások, valamint a szervezet számára hozzáférést biztosít a megfelelő információkat a helyeken, ahol ez nem lehetséges telepíteni speciális szoftver, kidolgozta a egyszeri jelszavak OTP - One-Time Password.
Egyszer használatos jelszó: be és elfelejtett
Egyszeri jelszó - ez a kulcsszó csak akkor érvényes, egységes hitelesítési eljárás korlátozott ideig. Ez teljesen megoldja a problémát a jelszó lehetséges lehallgatás vagy kandikál banális. Még ha a támadó képes a jelszó „áldozat”, a lehetőséget, hogy hozzáférhet az nulla.
Az első koncepciójának megvalósítását az egyszeri jelszavak alapján egy statikus kulcsszavakat, azaz első generált lista jelszavak (kulcsok, kódszó, stb), ami majd a felhasználók számára. Hasonló mechanizmus felhasználásra került az első banki rendszerek azzal a lehetőséggel, távoli számlavezetés. Ha aktiválja ezt a szolgáltatást, az ügyfél kapott egy borítékot egy listát a jelszavakat. Ezután minden alkalommal, amikor a rendszer eléréséhez szokott egy másik kulcsszó. Elérte az a lista végére, az ügyfél visszament a bankba egy újat. Ez a döntés volt számos hátránya van, a fő, amely - gyenge megbízhatósága. Mégis, állandóan cipelni egy listát a jelszavak veszélyes, könnyű elveszíteni, vagy ellopják támadók. És akkor, a lista nem végtelen, és ha a megfelelő időben nem lesz képes, hogy a bank?
Szerencsére, ma a helyzet gyökeresen megváltozott. Általában a nyugati országokban, egyszeri jelszavak hitelesítéséhez azt az információs rendszerek vált általánossá. Azonban hazánkban az OTP technológia, egészen a közelmúltig, voltak elérhetetlenek. Csak a közelmúltban, kezelése cégek kezdték felismerni a jogosulatlan hozzáférés kockázatát, növeli többször a távoli helyszíneken. Kereslet, mint tudjuk, fajták kínálat. Most a termékeket használják távoli hitelesítés egyszeri jelszavakat, fokozatosan kezdte elfoglalni a helyét az orosz piacon.
A modern technológiák alkalmazásával hitelesítés OTP vonatkozik dinamikus generációs kulcsszavak használatával erős titkosítási algoritmusokat. Azaz, a hitelesítési adatokat - ez az eredménye a titkosító kezdeti érték egy titkos kulcs használatával a felhasználó.
Ez az információ és a kliens és a szerver. Ez nem megy át a hálózaton keresztül nem érhető el elfogás. A kezdeti értéket használjuk a jól ismert mindkét oldalán a hitelesítési folyamat információk és a titkosítási kulcs jön létre minden felhasználót, ha a rendszer indítása. (Ábra. 1)
Ábra. 1. példa generáló egyszeri jelszavakat, hogy egy felhasználói oldalon.
Érdemes megjegyezni, hogy ebben a fejlődési szakaszban az OTP technológiai rendszerek léteznek, amelyek egyaránt alkalmazható szimmetrikus és aszimmetrikus titkosítás. Az első esetben, a titkos kulcs kell két oldala van. A második titkos kulcs csak a felhasználó, míg a hitelesítő szerver, hogy nyitva van.
Ma, a fejlett és a gyakorlatban használt, a végrehajtás több módszer hitelesítési rendszerek egyszeri jelszavakat.
A működési elv a következő: az elején a hitelesítési eljárás, a felhasználó elküldi a szerver bejelentkezési. Erre válaszul az utolsó generál néhány véletlenszerű karaktersorozat és visszaküldi. A felhasználó segítségével a kulcsot titkosítja az adatokat küld vissza. A szerver ebben az időben „találja” a memóriában egy titkos kulcsot a felhasználó és kódolja az eredeti szöveg. Továbbá egy összehasonlítást a két titkosítás eredménye. A teljes egyetértésével úgy vélte, hogy az azonosítás sikeres. Ez a módszer a végrehajtási egyszeri jelszó technológiával ellentétben az összes többi, az úgynevezett aszinkron, mert a hitelesítési folyamat nem függ a felhasználó böngészési előzményeit a szerverre, és egyéb tényezők.
Method „egyetlen válasz”
Ha ez a hitelesítési algoritmus valamivel egyszerűbb. Az elején a folyamat szoftver vagy hardver, szoftver felhasználói egyedül generál nyers adatokat titkosítva lesz, és elküldi a szervernek az összehasonlításhoz. A létrehozásának folyamatát egy sor érték az előző kérés. A szerver is a „tudás”. Ez azt jelenti, hogy a felhasználó név az értéke a korábbi kérelmet, majd ugyanazt az algoritmust, hogy pontosan ugyanabban a sorban. Kódolva azt egy titkos kulcsot a felhasználó (szintén a szerveren tárolt), a szerver megkapja az értéket, amely azonosnak kell lennie a küldött adatokat a felhasználó.
A módszer a „idő szinkronizálás”
Úgy, mint a kiindulási vonal a leolvasott időzítő különleges eszköz vagy számítógép, amelyen a személy dolgozik. Ez általában nem használják pontos feltüntetése az idő, és az aktuális tartomány korábban megadott határokat (pl 30 másodperc). Ezek az adatok titkosítva a privát kulcsot és a titkosítatlan küldeni a szerver mellett a felhasználó nevét. Szerver vételekor hitelesítési kérelmet ugyanazt hajtja végre: kap az aktuális időt a saját időzítő és kódolja. Utána csak két érték összehasonlítására kerül kiszámításra és kapott egy távoli számítógépen.
A módszer a „szinkronizálás esemény”
Elvileg ez a módszer szinte megegyezik az előző szempont a technológia. Itt csak a rajtvonalnál, akkor használja nem az idő, és a számos sikeres hitelesítési eljárások előtt végzett a jelenlegi. Az érték kiszámítása mindkét oldalán külön-külön egymástól. A többi a módszer azonos az előzővel.
Egyes rendszerekben úgynevezett vegyes végrehajtott módszerek, ahol a kezdeti értéket használjuk két vagy több típusú információkat. Például vannak olyan rendszerek, amelyek egyaránt figyelembe veszik hitelesítések számláló leolvasások beépített időzítő. Ez a megközelítés hátrányait kiküszöböli több egyedi módszerekkel.
Sérülékenységek OTP technológia
Egyszeri jelszó technológia tekinthető kellően megbízhatónak. Azonban a tisztesség kedvéért megjegyezzük, hogy vannak hátrányai is, amelyekre minden rendszer megfelel a OTP elvét a lehető legtisztább formában. Ezek a biztonsági rések lehet két csoportra oszthatók. Az első csoportba tartoznak a potenciálisan veszélyes „lyuk”, a minden végrehajtási módszereket. A legsúlyosabb ezek közül a kicserélés lehetőségét a hitelesítési szerver. Ebben az esetben a felhasználó elküldi az adatokat közvetlenül a támadó. Nos, ő azonnal használni őket hozzáfér a szerverhez. Abban az esetben, alkalmazása a „kérdés-válasz” megtámad egy kicsit bonyolultabb algoritmus (számítógépes hacker kell játszania a szerepét a „közvetítő”, kihagyva át magát az információcserét a kliens és szerver). Ugyanakkor érdemes megjegyezni, hogy a gyakorlat az, hogy egy ilyen támadás nem könnyű.
Tovább sérülékenység velejárója csak szinkron végrehajtási módszereinek egyszeri jelszavakat, mert fennáll annak a veszélye, nem szinkronizációs információt a szerveren, és a felhasználó szoftver vagy hardver karbantartás. Például, bizonyos elsődleges adatok azt bizonyítja, belső időzítő. És valamilyen okból kezdenek különböznek egymástól. Ebben az esetben minden felhasználó megpróbálja átadni a hitelesítés sikertelen lesz (az első hiba). Szerencsére ezekben az esetekben, a második fajta hiba (téves elfogadás „idegen”) nem fordulhat elő. Azonban meg kell jegyezni, hogy a valószínűsége ennek a helyzetnek is rendkívül kicsi.
Egyértelmű, hogy a támadónak képesnek kell lenni a „hallgatni” a forgalom, valamint a gyors blokkoló a kliens számítógép, de valójában végrehajtása egy ilyen támadás - nem könnyű feladat. A legegyszerűbb módja annak, hogy megfelelnek ezeknek a feltételeknek, amikor a támadás fogant előre, és csatlakozni a távoli rendszer „áldozat” fogják használni valaki másnak a számítógépes hálózat. Ebben az esetben a támadó tudja előre, hogy „működik” a PC képes irányítani egy másik gépről. Védekezni egy ilyen támadás csak akkor lehetséges a használata „megbízható” működő gépek (például a saját laptop vagy PDA) és a „független” védett, például az SSL, a kimeneti csatornák az interneten.
Megbízhatósága minden biztonsági rendszer erősen függ a rendszer minősége. Azaz, a gyakorlati megoldásnak vannak hátrányai, amelyeket fel lehet használni a bűnözők saját céljaikra. Sőt, ezek a „lyukak” gyakran nem kapcsolódik közvetlenül a megvalósított technológia. A teljes, ez a szabály vonatkozik a hitelesítési rendszerek alapján egyszeri jelszavak. Mint már említettük, ezek alapján a használata kriptográfiai algoritmusok. Ez bizonyos kötelezettségeket ró az ilyen termékek fejlesztésébe. Végtére is, a rossz minőségű teljesítmény minden algoritmust vagy például egy véletlenszám-generátor, veszélyeztethetik a biztonságát információt.
Összehasonlíthatatlanul nagyobb megbízhatóság széles körű eszközök hardveres megvalósítás OTP-technológia. Például, van egy eszköz, amely úgy néz ki, emlékeztet egy számológép (a jobb oldalon): ha beírja őket egy számsor, a szerver által küldött, az általuk generált egyszeri jelszót (egy megvalósítása „challenge-response”) alapján a titkos kulcs varrt. Otthoni biztonsági rés az ilyen eszközök az a lehetőség elvesztése vagy ellopása. Ha a „számológép” beleesik a kezében egy támadó, az utóbbi képes lesz, hogy a kívánt hozzáférést a távoli rendszert. Secure rendszer ilyen akciók csak akkor lehet biztosítani, ha megbízható védelmet memóriát egy titkos kulcsot.
Példa megvalósítása OTP
Érdemes megjegyezni, hogy az Aladdin cég aktívan részt vesz előmozdításában OATH kezdeményezés fent említett és megvizsgálta a kulcs itt választották a fő összetevője a VeriSign Unified Authentication megoldás. Azonban ez az úgynevezett ebben a rendszerben egy kicsit más: eToken VeriSign. A fő célja ez a döntés -, hogy javítsa a hitelességét a megkötött ügyletek az interneten keresztül, és ez alapján erős kéttényezős hitelesítés alapja a hardver kulcs. Az ilyen OEM-ellátás eToken NG-OTP termék megerősítette a minőség és megfelel minden előírásnak esküt.
eToken készülék sorozat meglehetősen gyakori Oroszországban. Ezek vezető gyártók, mint a Microsoft, a Cisco, az Oracle, a Novell és mások. Számukra támogatást a termékek (a „track record” az eToken 200 megvalósítások alkalmazások információbiztonsági).
A kulcs eToken NG-OTP kívül modulok végrehajtási képességek fent ismertetett egy olyan hardver-time jelszó generátor (lásd. 4. ábra). Úgy működik, hogy a módszer a „szinkronizálás esemény”. Ez a legmegbízhatóbb a szinkron megvalósításban az OTP technológiák (minimális kockázata mellett a szinkront). Algoritmus generál egyszeri jelszavakat, végre a kulcs eToken NG-OTP, alatt fejlődött OATH kezdeményezés (ez alapján a technológia HMAC). Ez abból áll, hogy értékének kiszámításakor HMAC-SHA-1, majd végrehajtjuk a csonkolás művelet (elválasztás) a kapott 160-bites érték 6 számjegy. Hogy tehát egyszeri jelszót.
A legmegbízhatóbb vegyes üzemmódban kulcsfontosságú szempont. Ahhoz, hogy használni, a készüléket csatlakoztatni kell a számítógéphez. Ebben az esetben beszélünk kéttényezős hitelesítést, amely megvalósítható több módon. Az egyik esetben, hogy hozzáférjen a felhasználó saját jelszót kell használniuk a belépéshez, valamint az értékét az OTP. Egy másik lehetőség - használatát igényli egyszeri jelszó és az értékek az OTP PIN (kulcs jelenik meg a képernyőn).
Természetesen eToken NG-OTP kulcs működhet, mint egy szabványos USB-token - a felhasználói hitelesítés a digitális tanúsítványok és a PKI technológia tárolására személyes kulcsok stb Így a szóban forgó terméket kell használni, hogy végre egy széles körű kapcsolódó projektek szükségességét biztonságos távoli hozzáférés és kéttényezős hitelesítést. Az ilyen hibrid kulcsok az egész vállalkozás biztosítja a lehetőséget, hogy használja a kulcsokat az irodában és azon kívül is. Ez a megközelítés csökkenti a költségeit létrehozása információbiztonsági rendszerek, anélkül, hogy a megbízhatóság.
Tehát, a koncepció az egyszeri jelszavakat, valamint a modern titkosítási technikákat lehet használni, hogy végre biztonságos távoli hitelesítési rendszerek. Emellett ez a technika számos előnnyel jár. Először is megbízható. Ma van kialakítva, nem olyan sok szempontból, hogy valóban „erős” felhasználói hitelesítési információ átvitel nem biztonságos forrásból. Eközben úgy tűnik, ez a probléma egyre gyakrabban. És az egyszeri jelszavakat - az egyik legígéretesebb a döntések.
Egy másik előnye az egyszeri jelszavakat - az, hogy a „normál” titkosítási algoritmusokat. Tehát, hogy hajtsák végre a hitelesítést használatuk nagy a meglévő fejlesztési. Sőt, ez világosan mutatja ugyanazt eToken NG-OTP összeegyeztethető hazai crypto. Nos, ez jár a használata tokenek egy meglévő vállalati biztonsági rendszerek beállítása nélkül. Így a bevezetését egyszeri jelszó technológiával lehet viszonylag alacsony áron.
További plusz az egyszeri jelszavak védelme érdekében alacsony függően az emberi tényező. Ez azonban nem vonatkozik az összes annak végrehajtását. Mint már mondottuk, a megbízhatóság a sok program, hogy hozzon létre az egyszeri jelszavakat minőségétől függ a felhasználó a PIN-kódot. A hardver generátorok alapuló USB-token által használt teljes kéttényezős hitelesítést. Végül a negyedik előnye OTP koncepció - a kényelem a felhasználók számára. Hozzáférés a szükséges információk segítségével az egyszeri jelszavakat keményebbek, mint erre a célra, a statikus kulcsszavakat. Különösen tetszett, hogy egyes hardver implementációk lehet tekinteni, hogy a technológia használatára bármilyen készüléken, függetlenül a meglévő kikötők rajta és a telepített szoftverek.