Двухфакторная аутентификация в ИС

USB-токены и смарт-карты Рутокен в корпоративных информационных системах

Запросить демо
Загрузить
Информационные материалы

Парольная защита уязвима: хорошие пароли трудно запомнить, слабые пароли не защищают. Использование механизмов многофакторной аутентификации, реализованных в Рутокен, — оптимальное по соотношениям цена/качество и надежность/удобство решение «проблемы паролей».

Несмотря ни на что, сегодня все равно для аутентификации в информационных системах (ИС) чаще всего используется связка логин/пароль. Эта комбинация известна серверу и человеку, который работает за клиентской машиной. На практике такая аутентификация чаще всего подвергается взлому, перехвату и фишингу. Ужесточение требований к паролю приводит к тому, что длинные, надежные и уникальные пароли редко используются. Зачастую нет ограничения на перебор, а все это означает, что пароль можно подобрать. При этом сложный пароль быстро забывается и приходится его записывать и клеить на монитор, а это небезопасно.

Существуют более защищенные способы аутентификации пользователя при входе в ИС. Эти способы описаны в документе ГОСТ 58833-2020, они основаны на использовании дополнительных технических средств и применении криптографии. Рутокен помогает реализовать эти способы и позволяют серьезно обезопасить доступ в ИС.

2FA vs «логин-пароль»

Эффективный способ повысить уровень надежности (доверия) процесса аутентификации — добавить в этот процесс дополнительный фактор в виде владения физическим устройством. При использовании смарт-карты или токена для аутентификации как раз это и делается — добавляется физическое устройство. В таком случае для входа в ИС пользователю достаточно подключить устройство Рутокен к компьютеру и ввести его PIN-код.

После внедрения двухфакторной аутентификации на основе устройств Рутокен можно быть уверенным, что злоумышленник не сможет выдать себя за легального пользователя и получить доступ к критически важной информации. Это главное преимущество двухфакторной аутентификации.

В случае, если логин и пароль украдены или подобраны злоумышленником, пользователь может не сразу обнаружить пропажу. А это значит, что любые незаконные действия могут выполняться от имени легального пользователя без его ведома. Используя Рутокен, не заметить пропажу устройства намного сложнее. Даже если его украдут или пользователь его потеряет, злоумышленник не сможет им воспользоваться из-за незнания PIN-кода: его подбор ограничен количеством попыток.

Для пользователя же запомнить короткий PIN-код устройства Рутокен намного проще, чем сложный пароль. Подробнее о преимуществе PIN-кода перед паролем для входа можно почитать в нашем исследовании.

Что нужно

  1. Домен Active Directory\FreeIPA\Samba DC\ALD Pro\Альт Домен\ РЕД АРМ
  2. Инфраструктура открытых ключей (PKI)
  3. Индивидуальное устройство Рутокен ЭЦП 3.0 для каждого сотрудника

Как работает

Процесс аутентификации в инфраструктуре PKI происходит с использованием асимметричной криптографии, т. е. реализуется строгая криптографическая аутентификация по схеме запрос-ответ.

Администратор безопасности на внутреннем или внешнем УЦ генерирует ключевую пару на Рутокен для каждого сотрудника и записывает сертификат ключа проверки ЭП формата X509.

На сервер помещается открытый ключ пользователя. Его значение есть в сертификате ключа проверки электронной подписи (он же просто «сертификат»).

Сервер генерирует случайную числовую последовательность, которую клиент подписывает с помощью закрытого ключа на Рутокен. После этого электронная подпись отправляется на сервер, где проверяется при помощи открытого ключа пользователя. Аутентификация считается успешной, если подпись верна.

Для аутентификации пользователю необходимо подключить Рутокен к компьютеру и ввести PIN-код. О паролях можно забыть, вместо них будет использоваться асимметричная криптография, а пользователю достаточно помнить простой PIN-код. Использование PKI для процесса аутентификации входит в число лучших практик.

MS Windows

Доменная аутентификация в ОС Windows основана на службах сертификации Windows и криптопровайдерах Microsoft Smart Card Base CSP или Aktiv ruToken CSP v1.0.

GNU/Linux

Работа в ОС Linux аналогична работе в ОС Windows, но отличается тем, что требует наличия подключаемых модулей безопасности (PAM) и развернутой инфраструктуры PKI.

Что нужно

  1. Индивидуальное устройство Рутокен для каждого сотрудника: Рутокен ЭЦП 3.0 или Рутокен MFA
  2. Компьютер под управлением операционной системой MS Windows или GNU/Linux
  3. ПО Рутокен Логон и лицензия на его использование для компьютера с ОС Windows
  4. Подключаемые модули безопасности для компьютера с ОС Linux (PAM)

Как работает

MS Windows

Для реализации двухфакторной аутентификации на компьютерах под управлением ОС Windows, не подключенных к домену, используется специальное программное обеспечение Рутокен Логон.

ПО Рутокен Логон генерирует сложные и устойчивые для взлома и перебора пароли и сохраняет их во внутренней памяти устройства Рутокен в зашифрованном виде. Поскольку сгенерированные пароли неизвестны пользователям, их невозможно записать, продиктовать или скомпрометировать каким-то еще образом.

Основой ПО Рутокен Логон выступает компонент Credential Provider, разработанный специалистами Компании «Актив». Для аутентификации в ОС Windows пользователю необходимо подключить устройство Рутокен и ввести PIN-код. ПО Рутокен Логон автоматически подставит сохраненный пароль и выполнит аутентификацию.

GNU/Linux

Для аутентификации в операционной системе Linux используются подключаемые модули безопасности (PAM), позволяющие проводить аутентификацию пользователей по токенам и смарт-картам Рутокен. PAM-модули, совместно с устройствами Рутокен, позволяют настроить двухфакторную аутентификацию двумя способами:

С использованием локальной инфраструктуры PKI

Для локальных машин пользовательский сертификат хранится в домашнем каталоге пользователя, закрытый ключ для аутентификации — на устройстве. Такой способ используется на устройствах Рутокен ЭЦП 3.0.

С использованием механизма «запрос-ответ» в рамках стандарта FIDO2

При попытке войти в учетную запись, ОС отправляет запрос, который подписывается ключом электронной подписи на токене. После этого в ОС реализуется проверка электронной подписи. Такой способ используется с устройствами Рутокен MFA.

Что нужно

  1. Смарт-карта Рутокен ЭЦП 3.0 с RFID-меткой
  2. Система контроля и управления доступом (СКУД)

Как работает

Смарт-карту Рутокен можно оснастить RFID-меткой, чтобы использовать ее в качестве электронного пропуска для прохождения дверей и турникетов, контролируемых СКУД.

Устройство Рутокен с фотографией и данными сотрудника становится единым средством аутентификации в помещениях и информационных системах. А значит сотрудник не будет забывать блокировать рабочий компьютер, ведь пропуск должен быть всегда при нем.

Сочетание устройства Рутокен и RFID-метки повышает общий уровень информационной безопасности в компании без лишних затрат.

Что нужно

  1. Устройство Рутокен ОТР
  2. Сервер аутентификации
  3. Система единого входа/корпоративное приложение или веб-сервис

Как работает

Вариант аутентификации по одноразовому паролю обычно применяется в системах единого входа (Single Sign-On), клиент-банках, системах управления сайтами и других системах.

В таких системах для усиления процесса аутентификации часто используются одноразовые пароли по технологии OATH-TOTP (технология выработки одноразового пароля «по времени»). Одноразовый пароль — дополнительный фактор защиты к обычной связке логин/пароль. Для каждого запроса на доступ к информационной системе используется новый пароль, действительный только для одного входа в систему.

Одноразовый пароль, безопаснее SMS- и PUSH-кодов, потому что он независимо вычисляется на сервере и клиенте с помощью криптографических преобразований и имеет механизм защиты от подмены.

Банковские аналитики и специалисты по безопасности давно уже пришли к выводу, что SMS/PUSH небезопасны, об этом на протяжении многих лет пишут в СМИ: РБК, Anti-malware и пр. Эксперты Минцифры (ранее Минкомсвязи) еще в 2016 года предупреждали о ненадежности SMS-сообщений и рекомендуют не использовать пароли и SMS для входа на ресурсы. Чуть позднее, в 2018 году о том, что SMS не являются подходящим методом доставки OTP, заговорили и в европейских странах. Европейский платежный союз заключил, что текстовые сообщения должны быть заменены на более безопасные методы.

Рутокен OTP — клиентское устройство для генерации одноразовых паролей. Устройство оснащено экраном и батареей для автономного функционирования, NFC- интерфейсом для инициализации и корректировки внутренних часов. Извлечь секретный ключ из устройства невозможно.

Для аутентификации в информационную систему необходимо ввести логин и пароль и нажать кнопку на корпусе устройства Рутокен OTP. После этого следует ввести уникальный одноразовый пароль в поле для заполнения.

Рутокен OTP создает одноразовые пароли на экране устройства по стандартному алгоритму OATH-TOTP (RFC 6238), поэтому работает «из коробки» во множестве коммерческих и open-source системах аутентификации.

Что нужно

  1. Устройство Рутокен ЭЦП 3.0 или Рутокен MFA
  2. Корпоративный или публичный сервис
  3. Компьютер или мобильное устройство

Как работает

Удаленный доступ к инфраструктуре предприятия

Рутокен защищает и упрощает вход в удаленные рабочие столы (VDI) или частную корпоративную сеть, заменяя однофакторную парольную аутентификацию двухфакторной. Таким образом, секреты хранятся в специализированных защищенных устройствах.

ЭДО

Рутокен формирует квалифицированную электронную подпись и служит средством двухфакторной аутентификации в клиенте ЭДО.

Веб-приложения

Компания «Актив» предлагает два способа аутентификации в веб-приложения:

С использованием инфраструктуры открытых ключей (PKI) и Рутокен ЭЦП 3.0

Для взаимодействия из веб-приложений с устройствами Рутокен создан бесплатный программный компонент Рутокен Плагин. Взаимодействие происходит через JavaScript API. Для работы подойдет любой компьютер под управлением ОС Windows, macOS или Linux с любым популярным браузером.

С использованием технологии FIDO2 и Рутокен MFA

Рутокен MFA позволяет аутентифицировать пользователей на любых веб-ресурсах, поддерживающих спецификацию WebAuthn. Для работы не требуется установка каких-либо драйверов, поддержка реализуется средствами настольных (Windows, macOS, Linux) или мобильных ОС (Android, iOS, Аврора) и любого современного браузера.

Рутокен MFA поддерживает два режима аутентификации — двухэтапную и беспарольную.

При использовании двухэтапной аутентификации пользователь привязывает аутентификатор к своей учетной записи на веб-ресурсе.

Вход в учетную запись осуществляется в два этапа:

  • Пользователь вводит логин и пароль.
  • Пользователь вводит PIN-код токена и подтверждает физическое присутствие касанием сенсорной кнопки.

При использовании беспарольной аутентификации, на устройстве хранятся дополнительные данные об учетной записи. При входе на портал не требуется заполнение полей логина и пароля, все операции проводятся только с токеном.

Такой метод позволяет полностью отказаться от ненадежных паролей.

Мобильные устройства

Для входа в ОС Аврора можно использовать токен или смарт-карту Рутокен ЭЦП 3.0.

Двухфакторная аутентификация может быть внедрена в приложения для мобильных ОС Android/iOS/Аврора. Для этого может быть использован Комплект разработчика (Рутокен SDK).

Что нужно

  1. Любое устройство Рутокен
  2. Компьютер под управлением ОС MS Windows, GNU/Linux или macOS

Как работает

Автоматическую блокировку рабочего компьютера или удаленного подключения можно настроить при отключении устройства Рутокен. После блокировки доступ может получить только пользователь, у которого есть это устройство с необходимой ключевой информацией. Таким образом можно защитить рабочее место от несанкционированного доступа.

Достаточно просто настроить автоматическую блокировку рабочего места или соединения при извлечении токена или смарт-карты. А если оснастить устройство Рутокен RFID-меткой, то его можно использовать как электронный пропуск в системе контроля и учета доступа (СКУД). Таким образом, устройство Рутокен может быть единым средством аутентификации сотрудника в помещения и информационные системы.

Продукты Рутокен для двухфакторной аутентификации

Рутокен ЭЦП 3.0

Криптографические токены и смарт-карты, поддерживающие российские и международные криптографические алгоритмы. Исполнены в виде USB-A и USB-C токенов или смарт-карт. Токены могут комплектоваться дополнительной Flash-памятью с возможностью защиты от несанкционированного доступа.

Рутокен Логон

Программный продукт для ОС Windows, который позволяет вместо обычной связки логин-пароль использовать устройство Рутокен. Актуален в том случае, когда нет возможности использовать привычную двухфакторную доменную аутентификацию по сертификатам.

Рутокен OTP

Устройство для генерации одноразовых паролей (используется TOTP-алгоритм). Интерфейс NFC позволяет настраивать Рутокен OTP, задавая параметры протокола, а также синхронизировать время внутренних часов. Оснащено батарейкой, что обеспечивает автономное функционирование.

Рутокен MFA

Линейка пользовательских устройств для аутентификации в веб-приложениях, работающих на базе стека технологий FIDO2 в форматах USB-A и USB-C. Аутентификаторы выступают в качестве единого средства для защиты учетных записей онлайн-сервисов. Устройства оснащены сенсорной кнопкой для подтверждения владения при аутентификации.

Продукты
Все продукты
Сертифицированная продукция
Заказные разработки
Проекты
Крупные внедрения
Заказная продукция
Решения
Интеграция с продуктами ИБ
Интеграция с СПО
Технологии
Базовые технологии
Сферы применения
Совместимость
Модификации токенов
Партнеры
АНКАД
Технологические партнеры
Бизнес-партнеры
Удостоверяющие центры
Дистрибьюторы
Поддержка
Вопрос-ответ
Центр загрузки
Документация
База знаний
Форум
Разработчику
Комплект разработчика
Технологическая рассылка
Технологическое парнерство
Портал документации
Заказ
Цены и заказ
Демо-комплект
Брендирование
Условия поставки
Где купить
О компании
Пресс-центр
Руководство
Лицензии
Контакты
Для повышения удобства работы и хранения данных веб-сайт rutoken.ru использует файлы COOKIE. Продолжая работу с веб-сайтом, Вы даете свое согласие на работу с этими файлами.