`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Надежные пароли – просто

+761
голос

Пожалуй главная проблема защиты паролями с точки зрения пользователя заключается в том, что надежный, устойчивый пароль должен содержать набор из минимум 7-8 различных букв, цифр и символов, который сложно запомнить. Часто это приводит к пренебрежению корпоративными правилами в области информационной безопасности и использованию простых последовательностей, которые легко подобрать или подсмотреть. Либо же пароли записываются на бумагу, что также делает их легкой добычей злоумышленников.

Оригинальное решение этой задачи нашла компания Gridsure, которая предлагает ряд продуктов для аутентификации одноразовыми паролями на основе визуальных шаблонов.

Надежные пароли – простоОткрывая мероприятие для партнеров и потенциальных заказчиков, которое организовал «Бакотек» – украинский дистрибьютор GrIDsure, региональный менеджер компании Вальдемар Циммеманн (Waldemar Zimmermann), сообщил, что это частное предприятие с главным офисом в Кембриджшире (Великобритания) было основано в 2006 г. Сегодня GrIDsure занимается коммерциализацией технологии аутентификации на основе шаблонов (Pattern Based Authentication, PBA), имеет офисы в Италии, Франции, Германии, Испании, а также сотрудничает с партнерами в ряде европейских стран и в США. Ее продукты сертифицированы по системе CESG Claims Tested Mark (CCTM) и высоко оценены отраслевыми экспертами и специалистами Gartner. Основными клиентами компании являются представители финансовых и правительственных структур, сферы здравоохранения. Крупнейший на данный момент заказчик GrIDsure – финансовая группа Credit Agricole.

Надежные пароли – простоКак работает технология PBA слушателям рассказал Андрей Пастушенко, специалист по технической поддержке проектов «Бакотек». При первичной регистрации в системе пользователю предлагается выбрать произвольную последовательность ячеек в представленной на экране квадратной матрице (см. рисунок). При этом нет необходимости запоминать какой-либо пароль – они одноразовые. Человеку достаточно сохранить в памяти лишь сам визуальный шаблон. В момент аутентификации, на экране появляется та же сетка, но уже заполненная совершенно другими символами, и пользователю требуется ввести в правильной последовательности значки, стоящие в заданных ячейках.

По данным GrIDsure, даже в случае использования стандартной сетки размером 5х5 и пароля всего из 4 символов, количество возможных вариантов превышает 390 тыс. Если же учесть, что размер матрицы, как и набор заполняющих ее знаков, задается произвольно, а сам пароль автоматически меняется после каждой попытки ввода, а также по истечении заданного промежутка времени (стандартно 60 секунд), становится ясно, что подобрать такой пароль какими-либо методами просто нереально. Отследить шаблон техническими средствами также практически невозможно, поскольку в процессе набора пароля пользователь не касается сетки руками. Более того, символы в сетке повторяются, а одна и та же ячейка может быть выбрана насколько раз. Поэтому в случае необходимости пользователь может даже сообщить свой временный пароль постороннему лицу, не особо рискуя скомпрометировать шаблон.

Надежные пароли – простоНа основе технологии PBA компания GrIDsure предлагает три продукта, по сути отличающихся лишь назначением и соответственно набором дополнительных функций. Так для персонального использования и небольших компаний выпускается решение GrIDsure Solo Login. Для разработчиков, желающих встроить данный метод аутентификации в собственные приложения, имеется GrIDsure Authentication Platform (GAP). А наибольший спектр возможностей доступен в системе с говорящим названием GrIDsure Enterprise Login (GEL) – она интегрируется с Microsoft Active Directory, VPN, протоколом RADIUS, и может быть использована для безопасного доступа к корпоративной сети, в том числе удаленному, для широкого спектра веб-сервисов и пр. Так, например, вниманию посетителей семинара было представлено мобильное приложение для iPhone, небольшой Java-апплет, который позволяет превратить смартфон в средство двухфакторной аутентификации – своеобразный мобильный security token.

По словам Олега Ляшенко, менеджера по развитию бизнеса «Бакотек», система аутентификации на основе продуктов GrIDsure, обходится в несколько раз дешевле, чем примерно аналогичные по надежности решения на базе ключей безопасности (токенов). Лицензирование может осуществляться по количеству пользователей (ориентировочно около 10 евро за одного), либо на основе подписки (от 1 года до 5 лет). Первый метод выгоднее при более-менее стабильном количестве пользователей, а второй – при большом, либо динамичном растущем их числе.

+761
голос

Напечатать Отправить другу

Читайте также

Фигня, боян, такой же как алфавит на диске цифронабирателя импульсного набора - там тоже можно было не запоминать номер телефона, а запоминать слово ему соответствующее из набора букв с диска. Надёжнее и проще шифроблокнота (в реинкарнации токена)ничего не может быть.

Фигня, боян, такой же как алфавит на диске цифронабирателя импульсного набора - там тоже можно было не запоминать номер телефона, а запоминать слово ему соответствующее из набора букв с диска.

Странное сравнение. Только вы забыли добавить что в случае с GridSure не надо помнить ни слов, ни номеров, а символы (цифры) постоянно меняются в произвольном порядке.

Надёжнее и проще шифроблокнота (в реинкарнации токена)ничего не может быть.

.. особенно если его(токен) забыть или сломать.

А что нужно помнить в случае с Grig Sure ?

Учитывая, что некоторые позиции повторяются.

Значит нужно ОБЯЗАТЕЛЬНО помнить порядок следования позиций.

А если несколько позиций повторяются?

Чем же это проще?

Всего лишь нужно: "...сохранить в памяти лишь сам визуальный шаблон"

А отображать эту матрицу для авторизации каким инструментом принято? Флэшь?

И почему Вы думаете, что этот "визуальный шаблон" полльзователь не станет зарисовывать на листик бумаги "чтобы не забыть" ?

Для начала проясню процес использования.
1. Пользователь на етапе аутентификации полчает сетку символов, например размером 4х4:
1|2|3|4
5|6|7|8
9|1|2|3
4|5|6|7
2. Пользователь в строке ввода пароля вводит логин и последовательность из 8 символов(Например шаблон в форме англ. буквы L):
password: 1594567
3. Пользователь получает доступ к системе
4. В следующий раз пользователь получает совсем другую сетку символов:
5|6|7|8
9|1|2|3
1|2|3|4
4|5|6|7
...

И почему Вы думаете, что этот "визуальный шаблон" полльзователь не станет зарисовывать на листик бумаги "чтобы не забыть" ?

Я такого не думал, вы прочитали чужую мысль

Спасибо. Всё понятно, извините за примитивную телепатию.

З.Ы.

А не проще ли, чтобы пользователь просто расписался пальцем на экране?

А не проще ли, чтобы пользователь просто расписался пальцем на экране?

Тогда будет проще "снять" шаблон, потеряется вся секьюрность

А в чем принципиальное отличие от обычных OTP-систем? Что дополнительно дает "визуальный шаблон"? Еще одно "встряхивание" и без того уже случайной последовательности?

PS: сообразил, вопросы снимаются. Странно, что на этом не сделан акцент

...Если же учесть, что размер матрицы, как и набор заполняющих ее знаков, задается произвольно, а сам пароль автоматически меняется после каждой попытки ввода, а также по истечении заданного промежутка времени (стандартно 60 секунд), становится ясно, что подобрать такой пароль какими-либо методами просто нереально...

Пардон, но я усматриваю иную ценность данного подхода, а та цитата, которая приведена, является в большей степени, одинаково применима ко всем ОТР-решениям, за исключением "пароль автоматически меняется после каждой попытки ввода", но это на самом-то деле не принципиально.

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT