Тема безопасной работы в Сети, сохранения персональных данных и надежной аутентификации остается по-прежнему актуальной: хакеры и мошенники не оставляют попыток проникнуть туда, куда их не звали. Как им препятствовать?
На вопросы портала отвечает Катажина Хоффманн-Селицка, менеджер по продажам HID Global в Восточной Европе:
Всем известно, что использование парольной аутентификации постепенно уходит в прошлое. Чем, по Вашему мнению, обусловлен этот процесс, и какие тренды сейчас существуют в сфере безопасной идентификации?
Сегодня, к сожалению, еще довольно большое число компаний для входа в компьютерную систему используют статические пароли, то есть простую комбинацию «имя пользователя – пароль». Однако подобный метод аутентификации не является безопасным, поскольку пароль может быть легко украден или скопирован. Обычно многие сотрудники записывают пароли на стикерах и приклеивают их к монитору компьютера или хранят под клавиатурой. К сожалению, до сих пор это нормальная практика для многих организаций, в том числе и в России. Однако вредоносное ПО, существующее сегодня, содержит кейлоггеры – программное обеспечение, регистрирующее все данные, которые пользователь вводит с клавиатуры, и такие программы позволяют без труда вычислить пароль сотрудника. Даже несмотря на то, что об этих недостатках простых паролей практически всем организациям уже давно известно, многие из них все равно продолжают использовать подобные средства идентификации. Тому доказательством – крупные утечки данных, произошедшие несколько лет назад, когда тысячи паролей были скомпрометированы, а пользователи были вынуждены изменить свои учетные данные. Двухфакторная аутентификация помогает избежать подобных инцидентов, и организации, заботящиеся о сохранности своей конфиденциальной информации, начинают постепенно внедрять эти технологии.
В сфере безопасной идентификации главным трендом становится мобильность. Сегодня, вместо OTP-токенов (one-time password), компании начинают использовать мобильные или софт-токены, устанавливаемые на смартфоны, что становится основной тенденцией в отрасли наряду с использованием динамических паролей.
Расскажите, пожалуйста, подробнее о динамических паролях. Как они работают, и каковы их основные преимущества?
Самый простой способ использования динамических паролей – это применение OTP-токена, генерирующего одноразовый пароль, вместе с PIN-кодом, который необходимо ввести в приложении. Такой метод позволяет предотвратить кражу паролей, но максимальным уровнем безопасности он не обладает, поскольку с помощью кейлоггеров можно легко узнать PIN, а затем похитить токен. Более продвинутый и защищенный способ – это введение PIN-кода непосредственно в самом OTP-токене.
Такие технологии могут защитить ото всех угроз, или сегодня все же имеются угрозы, способные обойти даже самую строгую систему защиты?
Да, существуют угрозы и вредоносное ПО, которые могут обойти даже систему, основанную на одноразовых паролях. Но мы в HID Global разработали новый подход, который мы называем многоуровневой аутентификацией. То есть к двухфакторной аутентификации мы добавляем дополнительные уровни безопасности. К примеру, пользователь проходит аутентификацию с помощью токена, но вместе с этим регистрируется и компьютер, с которого сотрудник заходит в систему, и получает идентификационную метку. Этот метод делает невозможным передачу токена от одного пользователя другому, то есть сотрудник может войти в систему только с компьютера, зарегистрированного в сети и обладающего отличительной меткой. Следующий шаг – это геолокация. Например, если вход в систему производится из Москвы, а пять минут назад была попытка идентификации из Китая с теми же учетными данными, то эта операция расценивается как подозрительная, и пользователю предлагается пройти еще ряд дополнительных процедур аутентификации, чтобы подтвердить свою личность, например, ответить на несколько вопросов или ввести одноразовый пароль, полученный по SMS или электронной почте. В противном случае доступ в систему будет заблокирован.
Еще один уровень проверки подлинности – это технология «transaction push» для подписи транзакций при доступе, например, в систему интернет-банкинга. При осуществлении финансовой операции система высылает данные транзакции на зарегистрированное мобильное устройство, и пользователь может сравнить информацию, полученную банком, с той, которую он видит на экране своего компьютера и подписать или удалить транзакцию. Дело в том, что вредоносное ПО часто меняет сумму транзакции и счет, на который переводятся средства, но с помощью технологии «transaction push» пользователь всегда может проверить данные операции. В случае, если они неверны, транзакция может быть прервана.
В каких еще сферах бизнеса, кроме банковской отрасли, наиболее востребованы такие технологии?
Технологии многофакторной аутентификации востребованы сегодня практически во всех сферах бизнеса. В частности, многие крупные международные компании с офисами в различных странах мира используют такие системы для управления различными группами пользователей и обеспечения безопасного доступа не только постоянных сотрудников, но также временных посетителей, партнеров и подрядчиков. Например, сотрудники могут использовать PKI-карты – карты с чипом и PKI-сертификатом, для доступа контрагентов может применяться система одноразовых паролей, а временным работникам, которым необходим доступ только к специализированной системе, могут быть предоставлены софт-токены.
Какие средства аутентификации распространены на Западе, а какие – в России? Есть ли разница в спросе?
В связи с требованиями регулирующих органов в России распространены средства PKI-аутентификации, и многие компании используют токены с PKI-сертификатами для обеспечения безопасного доступа. В западных странах PKI-аутентификация является частью корпоративной системы безопасности, то есть сотрудники пользуются идентификационными бэйджами с фотографией, которые предоставляют им возможность доступа в помещения организации и в компьютерную систему, поскольку данные карты оснащены чипом с PKI-сертификатом. В России все же более популярны USB-токены с сертификатами PKI. Однако в последнее время мы наблюдаем развитие иного тренда: многие российские банки переходят на токены с системой «запрос-ответ», которая является более безопасной для проверки и верификации транзакции.
Не могли бы Вы дать прогноз, какие средства аутентификации будут пользоваться наибольшим спросом в ближайшем будущем?
В ближайшие несколько лет главным трендом будет мобильность. Наибольшее распространение получит технология NFC (Near Field Communication), используя которую можно обеспечить безопасный доступ с помощью мобильных устройств. Мы прогнозируем, что эта тенденция будет развиваться быстрыми темпами, поскольку сегодня практически каждый пользуется смартфоном и планшетом, и, конечно, современные пользователи предпочтут получать доступ в систему и в помещения с помощью мобильных устройств, вместо того чтобы носить с собой какие-либо дополнительные устройства.
Кроме того, развивается и концепция BYOD. Многие компании в России уже начинают осваивать эту технологию, разрешая своим сотрудникам работать с персональных мобильных устройств, хотя в таком подходе еще существует ряд сложностей, которые предстоит решить. Необходимо разграничить на смартфоне личные данные сотрудника и корпоративную информацию. Сегодня уже существуют системы, позволяющие формировать в мобильном устройстве защищенные зоны, в которых отдельно хранятся персональные и корпоративные данные. При этом корпоративные данные, выделенные в отдельное безопасное пространство, надежно защищены, зашифрованы и могут быть удалены, например, при увольнении человека из организации.
В целом я считаю, что одной из важных тенденций станет развитие систем для обеспечения безопасности при мобильном доступе, что будет определять вектор развития сферы безопасности в ближайшие несколько лет.
