24.02.2011
Статьи

Строгая аутентификация

В этом посте речь пойдет о различных способах аутентификации пользователей в мире современных IT-технологий. Об их недостатках и достоинствах, особенностях и сложностях внедрения фактора Строгой аутентификации в существующую IT-инфраструктуру предприятия.

Традиционная аутентификация (статичный пароль)

Уже ни для кого не секрет, что аутентификация пользователя, основанная на традиционном (статичном) пароле, является одной из главных проблем, препятствующих организации защищенной IT-инфраструктуры. Традиционный пароль может быть скомпрометирован множеством всем известных способов как технического, так и социального, бытового характера. В связи с этим можно уверенно говорить о том, что в настоящее время аутентификация пользователей с использованием статичного пароля в рамках зрелой IT-инфраструктуры просто недопустима.

Альтернативные способы аутентификации

Существует несколько альтернатив парольной аутентификации. По типу ключевой информации их можно разделить на две группы:
  • Биометрическая аутентификация. Основывается на физиологических или поведенческих особенностях человека, уникальность которых гарантируется с высокой степенью вероятности. Например, это отпечатки пальцев, рисунок радужки глаза, тембр голоса, почерк. Биометрические аутентификаторы являются в большинстве случаев неотторгаемыми (их нельзя забыть или потерять).
  • Аутентификация, основанная на небиометрических, отторгаемых ключах. В отличие от биометрической аутентификации, эти способы полагаются не на свойства организма, как на ключ, а на знание человеком определенной ключевой информации (или владение устройством, которое может ее предоставить)
Выбор конкретного способа аутентификации к сервисам целевой IT-инфраструктуры — вопрос компромисса между удобством использования, полнотой интеграции, ценой и степенью безопасности итогового решения.Неотторгаемость ключевой информации от субъекта аутентификации (пользователя) при использовании биометрии позволяет говорить о том, что биометрическая аутентификация более надежна, чем аутентификация, основанная на отторгаемых токенах, так как аутентификационная информация не подвержена риску компрометации в случае умышленной передачи или кражи аутентификатора. С другой стороны, биометрические системы, как правило, имеют более высокую стоимость в связи с относительно большей ценой дополнительного оборудования (сканеры биометрических данных). Так же на выбор технологии аутентификации влияет то, что часто у сотрудников уже есть какие-либо отторгаемые ключи (например, бесконтактные карты для прохода через турникеты СКУД). Использование сквозной технологии аутентификации в нескольких системах может открыть возможности для более полной интеграции системы компьютерной аутентификации в инфраструктуру организации.

Встраивание строгой аутентификации в существующую IT-инфраструктуру

Для обеспечения интеграции технологий строгой аутентификации каждый сервис инфраструктуры должен удовлетворять как минимум следующему перечню требований:
  • Клиентская часть сервиса должна обеспечивать пользователю возможность максимально удобно пройти процедуру строгой аутентификации, т.е. вывести на экран компьютера предложение приложить палец к считывателю, например.
  • Протокол взаимодействия клиентского приложения и сервера должен иметь возможность передавать в качестве аутентификатора не только пароль, но абстрактные данные переменного объема.
  • Серверная часть ресурса должна уметь манипулировать этими данными соответствующим образом (сравнивать предоставленный аутентификатор с эталонным)
  • База эккаунтов сервиса должна хранить эталонный аутентификатор
  • Сервис должен предоставлять средства менеджмента аутентификаторов.
Общеизвестно, что абсолютное большинство сервисов типичной IT-инфраструктуры не обеспечивает таких возможностей, и, соответственно, необходим агрегирующий сервис аутентификации и управления аутентификационными данными.В линейку продуктов Indeed-ID входит компонент строгой аутентификации, который поддерживает более двадцати различных способов (факторов) аутентификации. Уникальная технология интеграции с целевыми системами позволяет обеспечить доступ по принципу Single Sign-On без необходимости модификации целевых приложений. В состав Indeed-ID входят средства аудита, коллекция коннекторов к внешним IDM и СКУД системам. Это делает Indeed-ID идеальным продуктом для решения задачи аутентификации в масштабах всего предприятия.
Поделиться

Читайте еще по теме

14.05.2024
Indeed Privileged Access Manager

Обновление Indeed Privileged Access Manager (Indeed PAM): версия 2.10

Компания Индид представляет версию 2.10 продукта Indeed Privileged Access Manager (Indeed PAM). Теперь Indeed PAM помимо Active Directory и FreeIPA поддерживает службы каталогов OpenLDAP и ALD PRO. В […]

Подробнее
17.04.2023
Indeed Privileged Access Manager

Indeed Privileged Access Manager сертифицирован ФСТЭК России (сертификат соответствия № 4667)

Компания Индид объявляет о прохождении  Indeed Privileged Manager (Indeed РАМ) сертификационных испытаний в Системе сертификации ФСТЭК России по 4 уровню доверия.  Важно отметить, что сертифицированный Indeed PAM поддерживает […]

Подробнее
30.05.2014
Мероприятия, Новости Компании, Статьи

«Информационная безопасность: никакой теории, только практика»

29 мая состоялась V ежегодная выездная конференция «Информационная безопасность: никакой теории, только практика», организованная компанией Инфосистемы Джет. Специлисты компании «Индид» с удовольтсвием приняли участие в этом мероприятии и […]

Подробнее
22.09.2015
Статьи

Россия заняла второе место в мире по количеству утечек конфиденциальной информации

Аналитический центр InfoWatch провел глобальное исследование утечек конфиденциальной информации в I полугодии 2015 года. Согласно полученным результатам, Россия заняла второе место в мире по числу утечек, ставших достоянием […]

Подробнее
02.09.2021
Indeed Privileged Access Manager, Статьи

Статья о технологиях для контроля действий привилегированных пользователей (часть 3)

Зачем тестировать сложные технические средства? Система защиты информации современной компании представляет собой комплекс технических средств, направленных на защиту от разных категорий киберугроз. Поэтому попытки изменения структуры или архитектуры […]

Подробнее