Многофакторная аутентификация в Windows. Часть 1. Смарт-карты и USB-токены

Опубликовано: 10 Апреля, 2023
Многофакторная аутентификация в Windows. Часть 1. Смарт-карты и USB-токены

До сих пор пароли часто были предпочтительным/требуемым механизмом аутентификации при доступе к конфиденциальным системам и данным. Но требования к более высокой безопасности и удобству без дополнительной сложности оставляют место для других технологий аутентификации. В этой серии статей мы рассмотрим различные технологии многофакторной проверки подлинности, которые можно использовать в Windows. В первой статье мы начнем с более подробного рассмотрения основ аутентификации на основе чипов.

Когда пароли просто не годятся

Еще в 1956 году Джордж А. Миллер написал прекрасную статью под названием «Волшебное число семь, плюс-минус два: некоторые ограничения нашей способности обрабатывать информацию». Это документ, в котором описываются ограничения, которые есть у людей, когда мы хотим запоминать фрагменты информации. Один из выводов, сделанных в статье, заключается в том, что средний человек способен запоминать семь (7) фрагментов информации за раз плюс/минус два (2). Позже другие ученые пытались доказать, что средний человек может запоминать только пять (5) фрагментов информации за раз, опять же плюс/минус два (2). В любом случае, если предположить, что эта теория верна, она, безусловно, ставит под сомнение рекомендации относительно длины и сложности паролей, которые мы часто видим в технических документах и книгах или рассказываем аудиторам и людям, заботящимся о безопасности.

Часто говорят, что сложность — одна из самых больших угроз безопасности. Одна из областей, где мы видим, что это доказано, — это когда пользователи и администраторы должны соблюдать сложную политику паролей. Креативность и обходные пути, которые я иногда вижу у пользователей и администраторов, когда у них возникают проблемы с запоминанием своих паролей, не перестают меня удивлять. В то же время эта область почти всегда входит в топ-5 справочной службы организации. И когда Gartner и Forrester прогнозируют, что звонки в службу поддержки, связанные с забытым паролем, стоят примерно 10 долларов США за звонок, тогда легко провести анализ затрат и выгод текущей политики организации в отношении паролей.

Пароли как единственный механизм аутентификации допустимы, если длина пароля превышает 15 символов и включает хотя бы один символ, не являющийся частью английского алфавита. Парольные фразы — это примеры длинных паролей, которые пользователям легче запомнить. Это гарантирует, что большинство радужных атак, даже 8-битных атак, потерпят неудачу из-за дополнительной сложности, которую добавят «чужие» символы.

Примечание:
Со времен Windows 2000 длина пароля может достигать 127 символов.

Однако причина, по которой пароли как единственный механизм аутентификации недостаточны, заключается в том, что пользователи плохо выбирают и запоминают хороший, безопасный пароль. Кроме того, вы часто обнаруживаете, что пароли не защищены должным образом. К счастью, есть и другие решения для обеспечения безопасности, которые не только повысят безопасность, но и обеспечат удобство за счет использования короткого легко запоминающегося пароля.

Аутентификация на основе чипа

Одним из таких решений безопасности является аутентификация на основе чипа, которую часто называют двухфакторной аутентификацией. Двухфакторная аутентификация использует комбинацию следующих элементов:

  1. Что-то, что у вас есть, например смарт-карта или USB-токен.
  2. Что-то, что вы знаете, например, личный идентификационный номер (ПИН-код). PIN-код позволяет пользователю получить доступ к цифровому сертификату, хранящемуся на смарт-карте.

На рис. 1 показаны два разных решения, основанных на одной и той же технологии. Строго говоря, разница заключается только в форм-факторе и стоимости, хотя каждое из решений может содержать дополнительные функции, как мы скоро объясним.

Изображение 24712 Изображение 24713
Пример смарт-карты, которая используется как для удаленной аутентификации, так и для Windows-аутентификации, физического доступа и оплаты. Пример USB-токена с аутентификацией на основе чипа и флэш-памятью для хранения файлов, документов и т. д.

Рис. 1. Два примера устройств аутентификации на основе микросхем

И смарт-карты, и USB-токены имеют встроенный чип. Чип представляет собой 32-разрядный микропроцессор и обычно содержит электрически стираемую программируемую постоянную память (EEPROM) объемом 32 КБ или 64 КБ, встроенную в смарт-карту или USB-токен. Сегодня также доступны смарт-карты или USB-токены, которые могут содержать до 256 КБ ОЗУ для безопасного хранения данных.

Примечание:
Когда мы говорим о хранилище в этой статье, мы имеем в виду только хранилище, встроенное в микросхему безопасности, а не само устройство.

Этот чип содержит небольшую операционную систему и немного памяти для хранения сертификатов, которые используются для аутентификации. ОС на чипе отличается от поставщика к поставщику, и поэтому вы должны убедиться, что вы используете CSP (поставщик криптографических услуг) в Windows, который поддерживает ОС на чипе. Мы рассмотрим CSP в следующей статье. Решение на основе чипа имеет некоторые преимущества по сравнению с другими решениями для многофакторной аутентификации, поскольку его можно использовать для хранения сертификатов для аутентификации, идентификации и подписи. Как мы упоминали ранее, все защищено PIN-кодом, который позволяет пользователю получить доступ к данным, хранящимся на чипе. Поскольку организация часто поддерживает и выпускает собственные смарт-карты или USB-токены, она также может определить, какая политика связана с решением. Например, будет ли карта заблокирована или стерта после х попыток. Поскольку вы можете комбинировать эти политики с ПИН-кодом, длина ПИН-кода может быть намного короче и, следовательно, его легче запомнить без ущерба для безопасности. Все эти параметры сохраняются на смарт-карте при ее выпуске. Решение на основе чипа также защищено от несанкционированного доступа, поэтому без правильного PIN-кода данные (сертификаты и личная информация), хранящиеся на чипе, недоступны и, следовательно, непригодны для использования.

Смарт-карты или USB-токены?

Как мы упоминали ранее, одним из отличий смарт-карты от USB-токена является форм-фактор. Оба решения удовлетворяют основную потребность в двухфакторной аутентификации, но каждое из них имеет свои преимущества и недостатки. Смарт-карту можно использовать для идентификации по изображению, поскольку на ней можно распечатать изображение и имя. Однако USB-токен может включать флэш-память для хранения документов и файлов. Оба устройства можно использовать для контроля физического доступа по-своему. Смарт-карта может включать микросхему, магнитную полосу, штрих-коды и бесконтактные функции, тогда как USB-устройство может иметь дополнительные бесконтактные функции или поддержку биометрии.

Примечание:
Существуют и другие форм-факторы, например мобильные телефоны, в которых карта модуля идентификации абонента (SIM-карта) может служить той же цели, что и смарт-карта или USB-токен.

Для смарт-карты требуется устройство чтения карт, тогда как USB-токен может использовать существующий порт USB на компьютере и использовать его для эмуляции устройства чтения смарт-карт. Сегодня считыватели смарт-карт должны либо использовать такие интерфейсы, как PC Card, ExpressCard, USB, либо быть встроенными, что некоторые производители ноутбуков и клавиатур сделали с некоторыми из своих моделей. Считыватели смарт-карт считаются стандартными устройствами Windows, независимыми от ОС чипа и имеют дескриптор безопасности и идентификатор PnP. И считыватели, и USB-токены нуждаются в драйвере устройства Windows, прежде чем их можно будет использовать, и вы всегда должны убедиться, что используете новейшие драйверы из-за соображений производительности во время двухфакторной аутентификации.

Это может повлиять на первоначальные затраты при выборе решения на основе чипа, однако следует учитывать и другие различия, например психологические факторы, связанные с решением на основе чипа. Смарт-карта и кредитная карта в основном одинаковы, что мы часто видим с новыми дебетовыми картами на основе чипа, которые сегодня есть у большинства людей. И многие компании используют смарт-карту как для физического доступа в офис, так и для оплаты обеда и т. д. Это означает, что она имеет как удобство, так и денежную ценность, и, следовательно, пользователь более обязан защищать и не забывать брать с собой свои смарт-карты. карта с ними все время. Он также хорошо помещается внутри кошелька, что, очевидно, также может иметь дополнительный эффект безопасности, в зависимости от того, как вы на это смотрите.

Некоторые вопросы для рассмотрения

При выборе решения для аутентификации на основе чипа необходимо учитывать некоторые вопросы и рекомендации.

  1. Совместимость. Убедитесь, что ОС чипа совместима с CSP, который вы хотите использовать. Как вы узнаете из следующей статьи, CSP является промежуточным программным обеспечением между операционной системой чипа и Windows, а также отвечает за политику безопасности, применяемую к чипу.
  2. Управление. Если вам необходимо внедрить смарт-карты или USB-токены для использования большим количеством людей, убедитесь, что вы выбрали ОС на чипе, совместимую с выбранной вами системой управления картами (CMS).
  3. Расширяемость. Убедитесь, что операционная система чипа может использоваться всеми необходимыми приложениями и потребностями аутентификации, которые вам требуются. В будущем вам может понадобиться добавить дополнительные сертификаты на смарт-карту или USB-токен, такие как подпись электронной почты и шифрование или даже биометрические данные. Для вдохновения ознакомьтесь со спецификациями DoD Common Access Card (CAC), которые используются для хранения большого количества информации о пользователе (см. ссылку ниже). Просто убедитесь, что вы учитываете вопросы конфиденциальности при внедрении такой информации, как биометрия и т. д. Мы рассмотрим это позже в этой серии статей.
  4. Удобство использования. Убедитесь, что вы выбрали и внедрили решение на основе чипа, которое является одновременно удобным и практичным. Одна из самых больших проблем с решениями для многофакторной аутентификации заключается в том, что люди склонны либо забывать, либо терять свою смарт-карту или USB-устройство, либо забывать PIN-код, если он не используется очень часто.

Вывод

В следующей статье мы покажем вам, как подготовить Windows к поддержке устройств с множественной аутентификацией, и дадим несколько советов по передовой практике, а также при подготовке смарт-карт или USB-токенов в среде Windows XP и Windows Server 2003.

Ссылки:

  • Волшебное число семь
  • Информация об общей карте доступа (CAC)