Строгая аутентификация
В этом посте речь пойдет о различных способах аутентификации пользователей в мире современных IT-технологий. Об их недостатках и достоинствах, особенностях и сложностях внедрения фактора Строгой аутентификации в существующую IT-инфраструктуру предприятия.Традиционная аутентификация (статичный пароль)
Уже ни для кого не секрет, что аутентификация пользователя, основанная на традиционном (статичном) пароле, является одной из главных проблем, препятствующих организации защищенной IT-инфраструктуры. Традиционный пароль может быть скомпрометирован множеством всем известных способов как технического, так и социального, бытового характера. В связи с этим можно уверенно говорить о том, что в настоящее время аутентификация пользователей с использованием статичного пароля в рамках зрелой IT-инфраструктуры просто недопустима.Альтернативные способы аутентификации
Существует несколько альтернатив парольной аутентификации. По типу ключевой информации их можно разделить на две группы:- Биометрическая аутентификация. Основывается на физиологических или поведенческих особенностях человека, уникальность которых гарантируется с высокой степенью вероятности. Например, это отпечатки пальцев, рисунок радужки глаза, тембр голоса, почерк. Биометрические аутентификаторы являются в большинстве случаев неотторгаемыми (их нельзя забыть или потерять).
- Аутентификация, основанная на небиометрических, отторгаемых ключах. В отличие от биометрической аутентификации, эти способы полагаются не на свойства организма, как на ключ, а на знание человеком определенной ключевой информации (или владение устройством, которое может ее предоставить)
Встраивание строгой аутентификации в существующую IT-инфраструктуру
Для обеспечения интеграции технологий строгой аутентификации каждый сервис инфраструктуры должен удовлетворять как минимум следующему перечню требований:- Клиентская часть сервиса должна обеспечивать пользователю возможность максимально удобно пройти процедуру строгой аутентификации, т.е. вывести на экран компьютера предложение приложить палец к считывателю, например.
- Протокол взаимодействия клиентского приложения и сервера должен иметь возможность передавать в качестве аутентификатора не только пароль, но абстрактные данные переменного объема.
- Серверная часть ресурса должна уметь манипулировать этими данными соответствующим образом (сравнивать предоставленный аутентификатор с эталонным)
- База эккаунтов сервиса должна хранить эталонный аутентификатор
- Сервис должен предоставлять средства менеджмента аутентификаторов.
Читайте еще по теме
Индид запускает Айдентити Клуб для решения задач в области защиты айдентити
Компания «Индид» объявляет о создании Айдентити Клуба – первого профессионального сообщества специалистов в области безопасности айдентити. Клуб объединит экспертов, чтобы углублять знания, совместно генерировать идеи и обмениваться опытом […]
Компания Индид инвестирует в Octopus IdM
Компания «Индид», российский разработчик комплекса решений в области безопасности identity, объявляет о заключении стратегического партнерства с компанией Octopus Identity. Об этом сообщил генеральный директор компании «Индид» Алексей Баранов […]
Доступ к привилегированным учетным записям
Вопрос защиты данных, хранящихся в разных информационных системах организации, как никогда остро стоит перед службой информационной безопасности. Какие меры следует предпринять, чтобы не допускать утечки ценных сведений? Мнения […]
Интервью Александра Анатольевича Синицына, ОАО «Крайинвестбанк»
В мартовском номере журнала Information Security (№1, 2014) опубликовано интервью Александра Анатольевича Синицына, начальника службы информационной безопасности ОАО “Крайинвестбанк». В интервью идет речь о внедрении и эксплуатации централизованной, […]
Два фактора
Интересная статья «Два фактора» в блоге Евгения Сухова про многофакторную аутентификацию. Проблемы, связанные с безопасностью учетных данных пользователей компьютеров и различных сетевых ресурсов существовали всегда. Особенно остро этот вопрос […]