Пожалуй главная проблема защиты паролями с точки зрения пользователя заключается в том, что надежный, устойчивый пароль должен содержать набор из минимум 7-8 различных букв, цифр и символов, который сложно запомнить. Часто это приводит к пренебрежению корпоративными правилами в области информационной безопасности и использованию простых последовательностей, которые легко подобрать или подсмотреть. Либо же пароли записываются на бумагу, что также делает их легкой добычей злоумышленников.

Оригинальное решение этой задачи нашла компания Gridsure, которая предлагает ряд продуктов для аутентификации одноразовыми паролями на основе визуальных шаблонов.

Открывая мероприятие для партнеров и потенциальных заказчиков, которое организовал «Бакотек» – украинский дистрибьютор GrIDsure, региональный менеджер компании Вальдемар Циммеманн (Waldemar Zimmermann), сообщил, что это частное предприятие с главным офисом в Кембриджшире (Великобритания) было основано в 2006 г. Сегодня GrIDsure занимается коммерциализацией технологии аутентификации на основе шаблонов (Pattern Based Authentication, PBA), имеет офисы в Италии, Франции, Германии, Испании, а также сотрудничает с партнерами в ряде европейских стран и в США. Ее продукты сертифицированы по системе CESG Claims Tested Mark (CCTM) и высоко оценены отраслевыми экспертами и специалистами Gartner. Основными клиентами компании являются представители финансовых и правительственных структур, сферы здравоохранения. Крупнейший на данный момент заказчик GrIDsure – финансовая группа Credit Agricole.

Как работает технология PBA слушателям рассказал Андрей Пастушенко, специалист по технической поддержке проектов «Бакотек». При первичной регистрации в системе пользователю предлагается выбрать произвольную последовательность ячеек в представленной на экране квадратной матрице (см. рисунок). При этом нет необходимости запоминать какой-либо пароль – они одноразовые. Человеку достаточно сохранить в памяти лишь сам визуальный шаблон. В момент аутентификации, на экране появляется та же сетка, но уже заполненная совершенно другими символами, и пользователю требуется ввести в правильной последовательности значки, стоящие в заданных ячейках.

По данным GrIDsure, даже в случае использования стандартной сетки размером 5х5 и пароля всего из 4 символов, количество возможных вариантов превышает 390 тыс. Если же учесть, что размер матрицы, как и набор заполняющих ее знаков, задается произвольно, а сам пароль автоматически меняется после каждой попытки ввода, а также по истечении заданного промежутка времени (стандартно 60 секунд), становится ясно, что подобрать такой пароль какими-либо методами просто нереально. Отследить шаблон техническими средствами также практически невозможно, поскольку в процессе набора пароля пользователь не касается сетки руками. Более того, символы в сетке повторяются, а одна и та же ячейка может быть выбрана насколько раз. Поэтому в случае необходимости пользователь может даже сообщить свой временный пароль постороннему лицу, не особо рискуя скомпрометировать шаблон.

На основе технологии PBA компания GrIDsure предлагает три продукта, по сути отличающихся лишь назначением и соответственно набором дополнительных функций. Так для персонального использования и небольших компаний выпускается решение GrIDsure Solo Login. Для разработчиков, желающих встроить данный метод аутентификации в собственные приложения, имеется GrIDsure Authentication Platform (GAP). А наибольший спектр возможностей доступен в системе с говорящим названием GrIDsure Enterprise Login (GEL) – она интегрируется с Microsoft Active Directory, VPN, протоколом RADIUS, и может быть использована для безопасного доступа к корпоративной сети, в том числе удаленному, для широкого спектра веб-сервисов и пр. Так, например, вниманию посетителей семинара было представлено мобильное приложение для iPhone, небольшой Java-апплет, который позволяет превратить смартфон в средство двухфакторной аутентификации – своеобразный мобильный security token.

По словам Олега Ляшенко, менеджера по развитию бизнеса «Бакотек», система аутентификации на основе продуктов GrIDsure, обходится в несколько раз дешевле, чем примерно аналогичные по надежности решения на базе ключей безопасности (токенов). Лицензирование может осуществляться по количеству пользователей (ориентировочно около 10 евро за одного), либо на основе подписки (от 1 года до 5 лет). Первый метод выгоднее при более-менее стабильном количестве пользователей, а второй – при большом, либо динамичном растущем их числе.