Программно-аппаратная реализация аутентификации с использованием одноразовых паролей

И. В. Предеин, Н.В. Федоров

Программно-аппаратная реализация аутентификации с использованием одноразовых паролей

Для получения доступа к информационным ресурсам компании пользователям необходимо пройти процесс аутентификации. Внутри организации сделать этот процесс безопасным и достаточно надежным  просто, поскольку на рынке информационной безопасности представлено достаточное большое количество различных средств аутентификации. Куда сложнее получить доступ к информационным ресурсам организации из внешней среды, скажем через КПК или терминальную станцию в интернет-кафе. Традиционно при таком виде доступа используются многоразовые  пароли.

Многоразовый пароль – это секретное слово или набор символов, предназначенный для подтверждения личности или полномочий.

Безусловно, использование аппаратных средств аутентификации куда надежнее, чем использование парольной информации. Однако, для работы с такими устройствами требуется считыватель(для смарт-карт) или usb-порт, которые могут либо вообще не присутствовать на ПК, либо быть заблокированными. А вероятность того, что для работы с устройствами на таких рабочих стоит необходимое программное обеспечение стремиться к нулю.

В то же время использование многоразовых паролей имеет ряд недостатков:

1. Кража парольного файла. Злоумышленник может прочитать пароли пользователя из парольного файла или резервной копии.
2. Атака со словарем. Злоумышленник, используя специальное программное обеспечение и заранее подготовленные словари, осуществляет перебор паролей пользователя
3. Угадывание пароля. Исходя из знаний личных данных жертвы, злоумышленник пытается войти в систему с помощью имени пользователя жертвы и одного или нескольких паролей, которые она могла бы использовать
4. Социотехника. Объектами этой атаки могут быть пользователи или администраторы. В первом случае злоумышленник представляется администратором и вынуждает пользователя или открыть свой пароль, или сменить его на указанный им пароль. Во втором случае злоумышленник представляется законным пользователем и просит администратора заменить пароль для данного пользователя.
5. Подглядывание из-за плеча. Расположенный рядом злоумышленник смотрит за тем, как пользователь вводит свой пароль.
6. Вредоносное программное обеспечение. Злоумышленник скрытно устанавливает программное обеспечение, имитирующее обычную регистрационную программу, но собирающее имена  пользователей и пароли при попытках пользователей войти в систему.
7. Атака на "золотой пароль". Злоумышленник ищет пароли пользователя, используемые им различных системах — домашняя почта, игровые сервера и т.п. Есть большая вероятность того, что пользователь использует один и тот же пароль во всех системах.

Для каждого вида атак существуют свои методы противодействия, но либо они дороги и трудны в использовании, либо создают неудобства для работы пользователям.

Но защищать информацию необходимо. Для организации удаленного доступа из недоверенной среды,  были разработаны достаточно надежные схемы с применением одноразовых паролей (технология OTP – One Time Password). Исходя из названия технологии, можно догадаться, что основной концепцией является использования различных паролей при каждом новом сеансе аутентификации. При этом одноразовый пароль действителен только для одного  входа в систему. Такая аутентификация называется усиленной.

В  Табл. 1 можно увидеть основные требования к технологиям аутентификации для различных уровней риска.

Табл. 1.Требования к технологиям аутентификации в зависимости от уровня рисков

Использование одноразовых паролей стало значительным шагом осуществлении доступа к информационным ресурсам организации по сравнению с использованием постоянных паролей.

Одноразовый пароль(OTP) – это пароль, действительный только для одного процесса аутентификации.

С технической точки зрения одноразовый пароль представляет собой динамическую аутентификационную информацию, генерируемую для единичного