Еднократната парола е по-сигурна
Категория: Информационна Сигурност
Стефан Станчев
22.2.2008
Никнейми, рождени дати, домашни любимци и фамилни имена са най-често използваните кодове за идентификация
Всекидневното боравене с пароли на работното място винаги е свързано с несигурното им запаметяване или записването им на всевъзможни места. Хаотичното съхранение обаче може да доведе до недоброжелателен достъп от трети лица и по-лошото – до пробив в сигурността на компаниите. Оттук вече може да се гадае за проблемите, които биха възникнали – кражба на данни, свързани с проекти, финансови отчети, пари и др. За решенията за сигурност на банки и предприятия разговаряме с Филип Вутерс, Channel Manager в американско-белгийската компания VASCO.
В какво се изразява дейността на компанията?
VASCO е концентрирала дейността си в няколко сектора на бизнеса и по-специално в банките. В тази сфера автентификацията и високото ниво на сигурност са от изключително значение, тъй като става въпрос за огромни финансови ресурси. Успехът на нашата компания в банковия сектор ни накара да насочим вниманието си към малки, средни и големи предприятия.
От колко време сте на българския пазар и кои са вашите партньори и клиенти тук?
В България си сътрудничим с фирма Еском. Партньорството ни датира от октомври миналата година. Стремим се стъпка по стъпка да навлезем на българския пазар. Тук нашите продукти се използват от държавни институции, БНБ, Райфайзенбанк, Софарма и Борика.
Какви са предизвикателствата за сигурността в днешно време?
Според проучване на анализатора IDC 23% от паролите, които използват хората, са идентични с техните никнейми, 18% с рождените им дати, 16% с имена на домашни любимци, 15% са фамилни имена, 26% - произволни букви и цифри, и 2% използват думичката “password”.
В момента много хора, които работят в офиси, трябва да боравят с огромно количество пароли, обикновено съставени от много знаци. Сами разбирате, че те са трудни за запаметяване. При това положение служителите се принуждават да ги записват на всевъзможни места. След това поставят листчетата с тази важна информация под клавиатурата или някъде по бюрата в офиса. Дори компанията да е осигурила цялата възможна защита, в случая това некоректно боравене с паролите може да се окаже най-слабото звено в сигурността. То би обезсмислило старанието на ИТ мениджърите в това отношение, защото някой може да надникне и види нечия парола, наблюдавайки през рамото. Това са предпоставки за компрометиране на служителите, нежелан достъп до корпоративна информация и кражба на данни и пари.
Високото ниво на развитие на автентификацията в последните пет години я прави изключително актуална. Това се дължи на факта, че ръстът на злонамерените намеси се увеличава и то с бързи темпове. Тази тенденция важи не само за финансовите институции, но и за предприятията от всички ниши на бизнеса. Затова ние се стремим да внедряваме решенията си за автентификация в ИТ инфраструктурите на клиентите.
Какви решения за сигурност предлага VASCO?
Компанията предлага основно два вида решения за достъп – двуфакторна автентификация (Two-Factor Authentication) и сигурност на отдалечения достъп (Secure Remote Access). Това, което наблюдаваме като тенденция, е, че хората все повече достъпват до служебна информация от различни места - отдалечени офиси или от дома си. Осемдесет на сто използват отдалечен достъп до фирмена информация. Правят го предимно през IPSec (IP Security) и VPN мрежи, но факт е, че често използват лесноразгадаеми символи за паролите си. За да се повиши значително сигурността в това отношени,е е по-добре да се използва еднократна парола (One-Time Password).
Единият начин за идентифициране на достъпа, който предлагаме, е, чрез автентификация със смарт карта, която се поставя в картов четец, свързан към компютъра. По този начин потребителите се разпознават от мрежата, която използват. С друго наше решение се комбинира мрежовата автентификация (Network Authentication) с отдалечения достъп. Този продукт, наречен токън, модел Digipass 860, е базиран на PKI (Public Key Infrastructure) технологията, има USB порт и генерира еднократна парола. Кодът има 30 секунди живот и дори някой да го открадне, той не може да се използва втори път. На това устройство могат да се съхраняват пароли за достъп до различни системи за имейл, мрежов ресурс и др. Когато служителят се включи към компютър от работната мрежа, автентификацията му става автоматично. При условие, че човекът е извън тази система, например в някое интернет кафе, тогава той може да достъпва през VPN мрежата с натискане на един бутон, разположен върху мобилното устройство, и по този начин да извърши отдалечената автентификация. В момента, в който токънът е изваден от USB порта, ноутбукът веднага спира работа. По този начин се свежда до минимум опасността от нежелана намеса. При отдалечена автентификация достъпът става чрез RADIUS протокол, а при локална може да се използва само Windows.
С помощта на едно от нашите решения - Digipass 260, също може да се възпроизвежда еднократна парола, като единственото, което се налага да запомни служителят е ПИН кода, с който да се автентифицира. Това решение се използва предимно от банките.
Компанията е създала специален софтуер, чрез който могат да се въвеждат паролите, наречен VACMAN Middleware. Той поддържа RADIUS (Remote Authentication Dial In User Service) протокол. Решението може да бъде внедрено в различните сървър клиенти, където се извършва автентификацията, като Novell, IBM Software, Windows Terminal Server или Citrix Presentation Server. Това означава, че не е нужно да има друг компютър, на който да бъде инсталирана платформата ни.
Смятате ли да въведете биометрични технологии във вашите продукти за автентификация?
Някои хора са на мнение, че биометрията e бъдещето. Но засега тази технология се оказва прекалено скъпа. Потребителите все още трудно приемат факта, че трябва да говорят на гласово разпознавателни устройства, да им бъдат сканирани очите и ръцете. Въпреки че на някои летища вече се използва този вид сигурност, VASCO няма проекти за създаване на биометрични системи и за момента.
Какво става, ако някое от вашите мобилни устройства бъде загубено от притежателя си?
Ако се изгуби или бъде откраднат някой от нашите мобилни продукти, еднократна парола може да бъде генерирана и чрез SMS. Тази парола се създава от сървъра, снабден с VACMAN Middleware, само че в случая тя минава през GSM оператора и идва в мобилния телефон.
В системите на кои компании могат да се внедрят вашите решения?
Продуктите на VASCO могат да се внедряват в решения на Juniper, Novell, IBM Lotus Domino, AEP Networks (Netilla), Microsoft.
Дайте пример за това, което се извършва в една мрежа при функциониране на вашите продукти.
Една опростена архитектура може да се обясни по следния начин. Имате двама SSL VPN клиенти, които чрез Digipass 260 се идентифицират в мрежата. Мобилното устройство изпраща еднократната парола чрез RADIUS протокола към сървъра и запитва дали това е служителят, който може да достъпва информацията. Сървърът потвърждава или отхвърля информацията и връща отговор към мобилното устройство. Еднократната парола се генерира на базата на криптиращ алгоритъм, а всяко наше устройство си има уникална идентификация.