+33 голоса |
В продолжение темы об использовании решений Open Source для решения задач информационной безопасности рассмотрим практический пример создания системы защиты паролей пользователей.
Cегодня пользователю приходится запоминать множество паролей - это и пароли для компьютера, электронной почты, локальной сети, для домашней веб-страницы, для доступа по FTP, пароли интернет-сервисов (интернет-банкинг, аккаунты на форумах, веб-сайтах, мессенджерах) и т.д. и т.п.
Если добросовестно выполнять требования службы информационной безопасности, то пользователю, а тем более администратору необходимо предоставить инструмент, который бы позволял достаточно просто создавать и хранить пароли для приложений и сервисов в защищенном виде и в то же время иметь возможность легко ими оперировать.
Использование в таких случаях облачных сервисов хранения паролей не всегда удобно, а с другой стороны, и не совсем безопасно - в последнее время участились сообщения о взломе облачных сервисов по хранению паролей. Соответственно, службе информационной безопасности требуется найти золотую середину в решении задачи «безопасность-функционал-стоимость».
Попробуем сформулировать минимальные требования по информационной безопасности к такому инструменту:
- Должна быть обеспечена защита паролей от посторонних.
- Ресурс должен быть защищен от доступа.
- Должен быть удобный и оперативный доступ к паролям.
- Все логины, пароли, URL и т.д. должны храниться в одной защищенной базе данных.
- Логины и пароли должны храниться в зашифрованном виде, база данных должна полностью шифроваться.
- Для доступа к базе данных должен использоваться мастер-пароль и дополнительные средства защиты.
- База данных должна храниться на защищенном носителе.
- Относительно невысокая стоимость решения.
Еще раз подчеркиваю, что это минимальные требования, которые позволяют обеспечить выполнение парольных политик пользователями и обеспечить защиту самих паролей. Безусловно мы помним закон № 1 из 10-ти основополагающих законов безопасности "Если вы запустили на своем компьютере приложение злоумышленника, это больше не ваш компьютер"
Рассмотрим один из вариантов решения задачи с помощью менеджера паролей KeePass и флешки с аппаратным шифрование от SAFEXS. Это работающее решение, достаточно гибкое, удобное и проверенное многолетним использованием в корпоративном секторе и в личном применении.
KeePass Password Safe поддерживает алгоритмы шифрования Advanced Encryption Standard (AES (256-бит), Rijndael) и Twofish. Имеется портативная версия, которую не нужно устанавливать и можно хранить на флешке, что важно будет для нашего решения. Кроме того, имеется открытый код программы для его анализа и сам интерфейс программы переведен на 40 языков. Помимо этого программа поддерживает экспорт базы паролей в разные форматы TXT, HTML, PDF и т.д., а также импорт из разных форматов.
Теперь о решении по аппаратной защите этой базы данных. Поскольку выбиралась решение с минимальной ценой, то остановились на SAFEXS [http://bit.ly/2HCxMGn]. Понятно, что можно использовать и защищенные флешки от других производителей – Sandisk, Kingston, Transcend и др.
Safexs Protector поддерживает Windows, Mac и Linux, оснащен встроенной программой ShareProtect для безопасного резервного копирования и удаленного доступа, а также снабжен функцией Password Rescue, что позволяет пользователю восстановить забытый пароль.
Возможности и преимущества Safexs Protector XT:
- 256-битное AES-шифрование в режиме XTS - аппаратное шифрование. Соответствие FIPS 197.
- Служба Password Rescue - Функция восстановления пароля без риска для данных (ели она активирована).
- Резервное копирование данных - создание зашифрованной и защищенной паролем резервной копии данных на компьютере, NAS или облаке.
- Share Protect - портативное решение безопасности для обмена данными, которое позволяет легко зашифровать файлы, чтобы делиться ими с коллегами и партнерами.
- Функция самоуничтожения – возможность установить время и дату, по всплытии которых данные на устройстве будут автоматически уничтожены.
- Скорость - перемещение данных происходит с помощью USB 3.0.
- Защита от брутфорс-атаки (перебор всех комбинаций пароля с помощью специальных хакерских программ). Для ввода пароля предоставляется только 10 попыток, при превышении этих ограничений все данные на устройстве автоматически удаляются.
- Антивирусная защита (годовая продляемая подписка).
- Способность к обновлению - регулярно появляются новые прошивки, содержащие новые функции.
- Сверхпрочный корпус - сделан из чрезвычайно прочного сплава, Safexs Protector XT предназначен для использования в экстремальном окружении.
Что может быть интересным с точки зрения дополнительной защиты информации, которая реализована в SAFEXS – это функция таймера и функция бэкапирования и обмена данными. Защищенная область флешки закрывается по истечении установленного времени неактивности пользователя. Полезная функция для тех, кто любит оставлять флешку в компьютере. Данная функция позволяет автоматически закрыть защищенную область по истечении тайм-аута, блокировать компьютер, осуществить выход пользователя, выключить компьютер.
Функция бэкапирования и обмена данными (Backup And Share) дает еще одну сервисную возможность – это создание зашифрованного архива с базой паролей и шифрованных файлов, при необходимости обмена конфиденциальными данными между пользователями. Шифрование файлов достаточно востребованная функция в работе не только простых пользователей, но и системных администраторов. В этом плане SAFEXS позволяет иметь готовый инструмент всегда под рукой.
Очень интересная, с точки зрения службы информационной безопасности, функция автоматического уничтожения данных по истечению установленной временной точки (Auto-Destruct) - позволяет автоматически уничтожить все конфиденциальные данные, если установленные дата и время истекли.
Таким образом, объединяя два решения – сервис для хранения паролей KeePass (Open Source) с программным шифрованием и аппаратную защиту (SAFEXS) можно обеспечить возможность безопасного хранения паролей пользователей.
При этом стоит помнить, что при правильных настройках KeePass взломать хороший, трудный пароль с помощью брутфорса (перебора паролей) достаточно сложно. Единственный вариант у злоумышленника - задействовать клавиатурный шпион для перехвата мастер-пароля или использовать методы социальной инженерии.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
+33 голоса |