Токены и устройства аутентификации
Устройства и ключи для обеспечения аутентификации пользователей
Описание и назначение
Токены – это устройства, применяемые для обеспечения аутентификации его владельца.
На рынке информационной безопасности представлен широкий выбор токенов, которые могут быть сертифицированы по требованиям ФСТЭК и ФСБ, могут быть различных размеров и форм-факторов.
Токены можно разделить по типам:
- Без подключения. Для получения доступа к ресурсам пользователь должен вводить данные, сгенерированные токеном и представленные на экране устройства.
- USB-токены. Такие токены подключаются к компьютеру через USB-порт и внешне напоминают флеш-накопители.
- Беспроводные. Такие токены не нуждаются в физическом контакте с компьютером и передают данные на расстояние до 10 метров по Bluetooth.
Существуют различные варианты применения токенов:
- Прохождение процедуры идентификации и аутентификации с помощью токена.
- Безопасное хранение ключей на токене.
- Хранение ключевых контейнеров программных средств криптографической защиты на токене.
Для первого варианта применения администраторы через панель управления токенами регистрируют устройство и «привязывают» его к определенному пользователю. В процессе привязки на токен записывается уникальный пароль пользователя (причем помимо записанного пароля в процессе аутентификации некоторые токены могут запрашивать PIN-код, который может изменяться администратором). Таким образом, использование токенов может в одном случае облегчить процедуру аутентификации (это происходит, когда организация отказывается от ввода привычных паролей, например, при входе в операционную систему), в другом — обеспечить усиленную аутентификацию (то есть помимо доменного пароля пользователю приходится использовать собственный токен). Другими словами, использование токенов позволяет обеспечить как минимум двухфакторную аутентификацию сотрудников. В случае использования PIN-кодов, токен служит как средство идентификации пользователя, а при вводе PIN-кода происходит его аутентификация. Причем такой способ аутентификации позволяет не только авторизоваться в операционной системе, но и получить доступ к различным ресурсам (например, ftp-серверам) и приложениям.
Для безопасного хранения ключей на токене могут использоваться различные алгоритмы. При этом хранимая информация может быть представлена в виде:
- Статического пароля. Такой токен хранит в себе неизменяемый пароль и передает его по запросу.
- Синхронно-динамического пароля. Отличие таких токенов заключается в том, что через определенное время токен производит генерацию нового пароля. Для успешного применения токена он должен пройти процедуру синхронизации с сервером.
- Асинхронного пароля. На токене высчитывается одноразовый пароль в момент аутентификации на основе криптографических функций.
Помимо указанных способов хранения информации, токен может работать по принципу «вызов-ответ». Работа таких токенов построена с применением криптографических алгоритмов. Зашифрованное открытым ключом сообщение передается сервером аутентификации токену, а токен расшифровывает сообщение и передает его серверу, тем самым подтверждая свою подлинность.
Довольно часто токены используются для хранения сертификатов электронной подписи, так как их объем памяти составляет от 32 до 128 Кбайт. Сертификат, полученный в удостоверяющим центре, в целях безопасности записывается на токен. Для того чтобы подписать документ, пользователю требуется предъявить свой токен с сертификатом.