+7 495 228-02-08 info@tessis.ru
ВХОД
Меню
Array ( [ROOT_MENU_TYPE] => top [MENU_CACHE_TYPE] => Y [MENU_CACHE_TIME] => 36000000 [MENU_CACHE_USE_GROUPS] => Y [MENU_CACHE_GET_VARS] => [MAX_LEVEL] => 2 [CHILD_MENU_TYPE] => left [USE_EXT] => [DELAY] => N [ALLOW_MULTI_SELECT] => [CACHE_TYPE] => Y [CACHE_TIME] => 36000000 [~ROOT_MENU_TYPE] => top [~MENU_CACHE_TYPE] => Y [~MENU_CACHE_TIME] => 36000000 [~MENU_CACHE_USE_GROUPS] => Y [~MENU_CACHE_GET_VARS] => [~MAX_LEVEL] => 2 [~CHILD_MENU_TYPE] => left [~USE_EXT] => N [~DELAY] => N [~ALLOW_MULTI_SELECT] => N [~CACHE_TYPE] => Y [~CACHE_TIME] => 36000000 [CACHE_SELECTED_ITEMS] => 1 )

Шпаргалка по строгой аутентификации. Часть вторая

Как генерируется одноразовый пароль?

При OTP аутентификации, одноразовые пароли, или OTP, генерируются, используя 4 основных параметра:

Секретное начальное число токена, состоящее из случайным образом сгенерированной строки, длиной 256 или 512 бит

Синхронизированный по времени или по событию параметр, такой как штамп времени для  OTP по времени или счётчика для OTP по событию.

Другие переменные, которые увеличивают энтропию

Алгоритм хеширования, который совмещает вышеуказанные параметры, чтобы предоставить одно значение OTP

OTP = [алгоритм хеширования] [начальное число токена] [значение по времени или по событию] [другие переменные]

Что значит уровень доверия?

По отношению к аутентификации, уровень доверия обозначает уровень уверенности в том, что пользователь именно тот, за кого себя выдаёт. Различные методы аутентификации обеспечивают различные уровни доверия, например, статический пароль даёт низкий уровень доверия, в то время как двухфакторная или многофакторная аутентификация гарантирует высокий уровень доверия.

Профессионалы в области IT и безопасности, определяя уровень доверия, требуемый для доступа к определенному ресурсу, учитывают риски и ценность информации, например, VPN организации и веб-приложение. Также, высоко привилегированные учетные записи, такие как администраторы сети или менеджеры высшего звена обычно требуют более высокий уровень надёжности, чем стандартные учетные записи (поскольку неавторизованный доступ к этим учётным записям может привести к большим потерям и повреждениям).

Что такое уровень доверия  NIST?

В своём руководстве по электронной аутентификации, Национальный институт стандартов и технологий, NIST,  подготовил систему, которую может использовать любой для  определения уровня доверия, предоставляемого определенным методом аутентификации или комбинацией методов, представленных в восходящем порядке безопасности от Уровня доверия 1 до Уровня доверия 4. Несколько примеров:

Уровень доверия 1 – Пароль или пин-код

Уровень доверия 2 – Одноразовый пароль, сгенерированный программным токеном

Уровень доверия 3 – OTP, защищенный пин-кодом, сгенерированный программным токеном Уровень доверия 4 – OTP, защищенный пин-кодом, сгенерированный аппаратным токеном

Обратите внимание, что Уровни доверия 2 и выше требуют, чтобы криптографический модуль был верифицирован по стандарту FIPS. Подробнее ниже.

Что такое уровень безопасности по стандарту FIPS?

Стандарт FIPS 140-2 (не путать с уровнями доверия NIST), это серия Федеральных стандартов обработки информации  США, которые оценивают безопасность криптографического модуля, в восходящем порядке безопасности, от Уровня безопасности 1 до Уровня безопасности 4:

Уровень безопасности FIPS 140-2 1 – Применим к криптографическому модулю, или программному компоненту, или криптографической системе.  OTP приложение, например, может быть верифицировано по стандарту FIPS 140-2 Уровня 1, когда оно включает крипто библиотеки, верифицированные  FIPS.

Уровень безопасности FIPS 140-2 2 – Применим к физическому воплощению криптографического модуля (н-р токен) и требует, чтобы он был взломоустойчивым, то есть видимые признаки манипуляций появляются в случае физического доступа для того, чтобы защитить ключи шифрования в виде простого текста от манипуляции или дупликации.

Уровень безопасности FIPS 140-2 3– Требует обнуления (саморазрушения) ключей шифрования в случае взлома или кражи токена.

Уровень безопасности FIPS 140-2 4 – Требует полной защиты ключей шифрования от экстремальных условий окружающей среды (н-р Космос, лабораторные настройки, и т.п.), таким образом, что даже манипуляции с такими условиями не обнаруживают ключи шифрования.

В европейском и APAC регионах, более широко распространены стандарты  Evaluation Assurance Levels (EAL) of the Common Criteria  (CC), по сравнению со стандартом FIPS, который используется в США и Канаде.  

Что такое Федерация Удостоверений?

Федерация Удостоверений  означает использование идентификационных данных из одного домена безопасности для доступа к другому домену безопасности.  Примеров будет использование учетной записи Jill@abc.org не только для доступа в сетьabc.org, но и для доступа в приложения третьей стороны, такие, как  Office 365, Salesforce.com или AWS. Когда учетная запись Jill распространяется на облако, или  «интегрируется», она может получать доступ ко всем своим облачным приложениям с привычными ей своими идентификационными данными.

Федерация Удостоверений  может устранить необходимость в штате службы поддержки и в запоминании нескольких паролей,  10 или 20 отдельных комбинаций логинов и паролей для различных облачных приложений.

Федерация достигается путем использования различных протоколов, например, Kerberos для локальных приложений и SAML  для облачных

Что такое аутентификация по открытому протоколу OATH?

Аутентификация по открытому протоколу OATH это открытый стандарт для внедрения строгой аутентификации.  Архитектура OATH была разработана совместно многими вендорами по информационной безопасности в качестве шаблона для интеграции в текущую инфраструктуру организации.  Открытые стандарты OATH создают более свободную атмосферу для компаний, предотвращая зацикленность на одном вендоре и таким образом предлагая более широкий выбор вендоров, а также гарантирует использование токена на базе OATH в различных платформах различных вендоров. Начальные числа токена могут экспортироваться из одной платформы OATH  и импортироваться в другую платформу OATH.

Сравнение частных и открытых стандартов аутентификации

Технология аутентификации, также как и другие технологии, могут быть либо открытыми, либо частными.  SAML 2.0, OATH, и OpenID Connect это открытые стандарты, которые доступны всем пользователям и разработчикам бесплатно. WS Federation Services, напротив, частный протокол, созданный компанией Microsoft, который также поддерживает SAML.  Таким же образом, алгоритмы шифрования используемые в 2FA могут быть либо частными либо открытыми, из последних, например TOTP и HOTP (протоколы и OATH и 2FA ). Частные методы чаще всего более соблазнительны для вендоров, в то время как открытые стандарты, претерпевшие оценку пользователей и подвергшиеся публичному изучению пользуются более широкой поддержкой индустрии. 

SafeNet Authentication Service