Transcript Аутентификация - Быть, а не казаться

Безмалый В.Ф.
Microsoft Security Trusted Advisor
MVP Consumer Security
[email protected]
http://vladbez.spaces.live.com
Идентификация - это, с одной стороны,
присвоение индивидуальных имен, номеров или
специальных устройств (идентификаторов)
субъектам и объектам системы, а, с другой
стороны, - это их распознавание (опознавание) по
присвоенным им уникальным идентификаторам.
 Аутентификация - это проверка (подтверждение)
подлинности идентификации субъекта или объекта
системы. Цель аутентификации субъекта убедиться в том, что субъект является именно тем,
кем представился (идентифицировался).

путем проверки знания того, чего не знают другие
(паролей, PIN-кодов, ключевых слов);
 путем проверки владения тем, что относительно
сложно отнять или передать (карточками, дискетами,
ключевыми вставками и т.п.);
 путем проверки уникальных физических
характеристик и параметров (отпечатков пальцев,
особенностей радужной оболочки глаз, формы кисти
рук и т.п.) самих пользователей при помощи
специальных биометрических устройств;
 путем проверки рекомендации (сертификата,
специального билета) от доверенного посредника.

В рамках разрешительной системы (системы
авторизации) допуска устанавливается:

 кто, кому, при каких условиях, к каким ресурсам АС и на какие
виды доступа может давать разрешения;
 система санкционирования и разграничения доступа, которая
предполагает определение для всех пользователей
информационных и программных ресурсов, доступных им для
чтения, модификации, удаления, выполнения и т.п.;
 как реализуется процедура допуска.
Полномочия руководителей соответствующих
степеней давать разрешения на допуск к решению тех
или иных задач должны быть закреплены решениями
(приказами) высшего руководства организации.

Процедура регистрации (создания учетной записи)
пользователя для сотрудника и предоставления ему
прав доступа к ресурсам АС инициируется заявкой
начальника подразделения. В заявке указывается:

 содержание запрашиваемых изменений (регистрация нового
пользователя АС, удаление учетной записи пользователя,
расширение или сужение полномочий и прав доступа к ресурсам
АС ранее зарегистрированного пользователя);
 наименование подразделения, должность, фамилия, имя и
отчество сотрудника;
 имя пользователя (при изменении полномочий и прав доступа);
 полномочия, которых необходимо лишить пользователя или
которые необходимо добавить пользователю (путем указания
решаемых пользователем задач).
Исполненная заявка передается в подразделение и
хранится в архиве у ответственного за
информационную безопасность подразделения (при
его отсутствии - у руководителя подразделения). Копии
исполненных заявок могут впоследствии
использоваться:

 для восстановления бюджетов и полномочий пользователей после
аварий в АС;
 для контроля правомерности наличия у конкретного пользователя
прав доступа к тем или иным ресурсам системы при разборе
конфликтных ситуаций;
 для проверки правильности настройки средств разграничения
доступа к ресурсам системы.
длина пароля должна составлять не менее 10
символов;
 в пароле должны встречаться большие и
маленькие буквы, цифры и спецсимволы;
 время жизни пароля должно составлять не более
42 дней;
 пароли не должны повторяться.

Наиболее эффективным является метод взлома
парольной защиты операционной системы (в
дальнейшем - ОС), при котором атаке подвергается
системный файл, содержащий информацию о
легальных пользователях и их паролях.
 В ряде случаев злоумышленнику удается путем
различных ухищрений получить в свое распоряжение
файл с именами пользователей и их зашифрованными
паролями.
 И тогда ему на помощь приходят так называемые
парольные взломщики - специализированные
программы, которые служат для взлома паролей
операционных систем.

Криптографические алгоритмы, применяемые для
шифрования паролей пользователей в современных ОС,
используют необратимое шифрование, что делает
невозможным более эффективный алгоритм взлома, чем
перебор возможных вариантов.
 Парольные взломщики шифруют все пароли с
использованием того же самого криптографического
алгоритма, который применяется для их засекречивания в
атакуемой ОС.
 Данный способ позволяет взломать все пароли, если
известно их представление в зашифрованном виде, и они
содержат только символы из данного набора.

Для более эффективного подбора паролей
взломщики используют специальные словари, которые
представляют собой заранее сформированный список
слов, наиболее часто используемых на практике в
качестве паролей.(Большой набор словарей можно
найти на сайте http://www.password.ru)
 К каждому слову из словаря парольный взломщик
применяет одно или несколько правил:

 производится попеременное изменение буквенного регистра, в
котором набрано слово;
 порядок следования букв в слове меняется на обратный;
 в начало и в конец каждого слова приписывается цифра 1;
 некоторые буквы изменяются на близкие по начертанию цифры. В
результате, например, из слова password получается pa55w0rd).
(на примере Windows 2000/XP/2003)
База данных SAM (Security Account Management
Database) представляет собой один из разделов (hive)
системного реестра (registry) Windows 2000/XP/2003.
Этот раздел принадлежит ветви (subtree)
HKEY_LOCAL_MACHINE и называется SAM.
 Располагается в каталоге \winnt_root\System32\Config
в файлеSAM.
 Изменять записи, хранящиеся в базе данных SAM,
при помощи программ, которые напрямую
редактируют реестр Windows нельзя, т. к. доступ к базе
данных SAM запрещен для всех без исключения
категорий пользователей Windows XP/2003.

В базе данных SAM каждый пароль пользователя
обычно бывает представлен в виде двух 16байтовых последовательностей, полученных
разными методами (Windows 2000/XP/2003 и LAN).
 В методе Windows 2000/XP/2003 строка символов
пользовательского пароля хешируется с помощью
функции MD4. В результате на выходе MD4
получается так называемая «выжимка» исходной
последовательности, имеющая длину 128 бит.

В итоге из введенного пользователем символьного
пароля получается 16-байтовая последовательность хешированный пароль Windows 2000/XP/2003.
 Эта последовательность шифруется по DESалгоритму, и результат шифрования сохраняется в базе
данных SAM.
 При этом в качестве ключа используется так
называемый относительный идентификатор
пользователя (Relative Identifier, сокращенно RID),
который представляет собой автоматически
увеличивающийся порядковый номер учетной записи
данного пользователя в базе данных SAM.

Основным объектом атаки являются
административные полномочия. Их можно получить,
узнав в хешированном или символьном виде пароль
администратора системы, который хранится в базе
данных SAM.
 По умолчанию в Windows 2000/XP/2003 доступ к
файлу \winnt_root\System32\Config\SAM заблокирован
для всех без исключения ее пользователей. Тем не
менее, с помощью программы NTBACKUP любой
обладатель права на резервное копирование файлов и
каталогов Windows 2000/XP/2003 может перенести этот
файл.

Резервную копию реестра можно также создать
утилитой REGBAK из состава Windows NT Resource
Kit.
 Кроме того, несомненный интерес для любого
взломщика представляют резервная копия файла
SAM (SAM.SAV) в каталоге
\winnt_root\System32\Config и сжатая архивная
копия SAM (файл SAM._) в каталоге
\winnt_root\Repair.

Для восстановления пользовательских паролей ОС
Windows 2000/XP/2003 в символьном виде существуют
специальные парольные взломщики. Они выполняют
как прямой подбор паролей, так и поиск по словарю, а
также используют комбинированный метод взлома
парольной защиты, когда в качестве словаря
задействуется файл с заранее вычисленными
хешированными паролями, соответствующими
символьным последовательностям, которые часто
применяются в качестве паролей пользователей
операционных систем.

Обычное использование словаря;
Записанные дважды слова;
Обратный порядок символов слов;
Усеченные до заданного количества символов слова;
Слова без гласных, за исключением заглавной;
Транслитерация русских букв латинскими по
заданной таблице транслитерации;
 Замена раскладки локализации латинской
раскладкой клавиатуры;
 Замена латинской раскладки клавиатуры раскладкой
локализации;
 А также множество других параметров взлома.






Согласно рекомендаций по безопасности Windows XP
(Державна експертиза з технічного захисту інформації
операційної системи Windows XP Professional SP2
(шифр - "Експертиза WXPSP2") время жизни пароля
(параметр политики паролей «Требовать
неповторяемость паролей» (Enforce password history))
должен составлять 42 дня.
 Согласно того же документа параметр «Минимальная
длина пароля» (Minimum password lengths) должен
составлять для АС (автоматизированной системы):

 одиночного компьютера без локальной сети - 7 символов;
 локальная сеть без выхода в Интернет - 8 символов;
 сеть с выходом в Интернет - 12 символов.
Число символов Длина пароля 7
Длина пароля 8
Цифры
10
0
0.0001
Маленькие
(большие)
буквы
26
0.064
0.1664
Цифры и
маленькие
буквы
36
0.0624
2.248
Цифры,
маленькие и
большие буквы
62
2.8062
173.9838
Цифры,
маленькие и
большие буквы
и спецсимволы
72
7.9929
575,4866
Число символов Длина пароля 7
Длина пароля 8
Цифры
10
100%
100%
Маленькие
(большие)
буквы
26
100%
100%
Цифры и
маленькие
буквы
36
100%
100%
Цифры,
маленькие и
большие буквы
62
100%
24.14%
Цифры,
маленькие и
большие буквы
и спецсимволы
72
100%
7.3%
 пользователи часто применяют
короткие легко подбираемые пароли;
 во многих системах существуют
многочисленные возможности
перехвата паролей (серфинг на плече,
запуск клавиатурных "шпионов",
перехват в открытых сетях и т.д.).
стоимость подобных систем;
отсутствие хорошо подготовленного,
профессионального, персонала;
 сложность настройки подобных систем;
 противодействие со стороны персонала, так как
руководство получает возможность
контролировать все перемещения персонала и
фактически производить контроль рабочего
времени.


проблема получения ключа из биометрических
параметров;
 возможность исключения из процесса
аутентификации субъектов со скомпрометированным
электронным аутентификатором;
 относительно высокая стоимость реализации
биометрических систем;
 возможностью ошибок распознавания первого и
второго рода (пропуск или ложная тревога);
 возможность изготовления относительно дешевых
муляжей для биопараметров.

смарт-карта – требует для подключения к
компьютеру PC/SC совместимое устройство чтения
смарт-карт.;
 USB-ключ – напрямую подключается к
компьютеру через порт USB (Universal Serial Bus),
совмещая в себе функции смарт-карты и
устройства для её считывания.

Персональное средство аутентификации
и хранения данных, аппаратно
поддерживающее работу с цифровыми
сертификатами
и электронной цифровой

подписью.
Двухфакторная аутентификация пользователей при доступе к защищенным ресурсам компьютерам, сетям, приложениям (знать – PIN-код, иметь – смарт-карту)
Аппаратное выполнение криптографических операций в доверенной среде (в чипе
смарт-карты: аппаратный датчик случайных чисел, генерация ключей шифрования,
симметричное и асимметричное шифрование, вычисление хэш-функций, формирование
ЭЦП)
Безопасное хранение криптографических ключей, данных пользователей, настроек
приложений и др.
• Аутентификация в унаследованных (не PKI) приложениях
• Решение проблемы «слабых» паролей
• Мобильное хранение данных
Аутентификация по одноразовым паролям
29
30
Новое поколение USB-ключей и смарт-карт eToken,
построенное на базе Java-карты с увеличенным
объемом защищенной памяти для хранения
пользовательских данных (72 Кб) и возможностью
расширения функционала за счет загрузки
дополнительных приложений (Java-апплетов).
Выпускается в виде USB-ключа и смарт-карты.
31
Комбинированный USB-ключ с дополнительным
модулем Flash-памяти объёмом до 16 Гб для
использования в системах информационной
безопасности, сочетающий возможности смарткарты и защищённого хранилища данных.
32
Комбинированный USB-ключ с генератором
одноразовых паролей. Обладает всем функционалом
электронных ключей eToken PRO (Java) для
использования в PKI-системах и автономным режимом
работы без подключения к компьютеру. Может быть
использован в мобильных телефонах, смартфонах, а
также обычных компьютерах, на которых отсутствуют
или недоступны USB-порты (например, при работе в
интернет-кафе или чужом офисе).
33
Автономный генератор одноразовых паролей.
Устройство не требует подключения к компьютеру и
установки дополнительного программного
обеспечения и может использоваться в любых
операционных системах, а также при доступе к
защищенным ресурсам с мобильных устройств и
терминалов, не имеющих USB-разъема или устройства
чтения смарт-карт.
34
Назначение – усиление функций безопасности ОС
Microsoft Windows
 Двухфакторная аутентификация (eToken + PIN-код)

 На локальном компьютере
 В домене Microsoft Windows

Аутентификация:
 По цифровым сертификатам
 По регистрационному профилю
пароль, имя домена)
пользователя (логин,
Вход на компьютер и в сеть Windows с
использованием eToken
 Регистрация пользователя по сложному паролю
или цифровому сертификату
 Блокирование компьютера при отсоединении
eToken
 Решение проблемы "слабых" паролей
 Интеграция в инфраструктуру открытых ключей

37
Двухфакторную аутентификацию пользователей
на компьютере и в сети Windows с помощью USBключей или смарт-карт eToken;
 Использование регистрационных имён и паролей
для локального входа в систему или для входа в
домен;
 Использование цифровых сертификатов Х.509,
сертификатов пользователя со смарт-картой и
закрытых ключей для входа в домен;
 Генерирование и последующее применение
случайных паролей, неизвестных пользователю.

38
Безопасное хранение регистрационных данных
пользователя в памяти eToken
 Хранение нескольких профилей на одном устройстве
 Генерация случайных паролей

• Синхронизация с доменным
паролем пользователя
• Различные модели поведения при
отключении eToken:
– Блокировка рабочей станции
– Log off
Строгая аутентификация пользователей при доступе
к информационным ресурсам: серверам, базам данных,
разделам Web-сайтов, защищенным хранилищам,
шифрованным дискам и пр.;
 Вход в операционные системы, службы каталога,
гетерогенные сети (операционные системы Microsoft,
Linux, Unix, Novell) и бизнес-приложения (SAP R/3, IBM
Lotus Notes/Domino);
 Внедрение систем PKI (Entrust, Microsoft CA, RSA
Keon, а также в Удостоверяющих центрах – хранение
ключевой информации, аппаратная генерация
ключевых пар и выполнение криптографических
операций в доверенной среде (на чипе смарт-карты);

 Построение систем
документооборота, защищённых
почтовых систем (на основе Microsoft
Exchange, Novell GroupWise, Lotus
Notes/Domino) - ЭЦП и шифрование
данных, хранение сертификатов и
закрытых ключей;
 Организация защищённых каналов
передачи данных с использованием
транспорта Интернет (технология VPN,
протоколы IPSec и SSL) – аутентификация
пользователей, генерация ключей, обмен
ключами;
 Межсетевые экраны и защита периметра
сети (продукты Cisco Systems, Check Point) –
аутентификация пользователей;
Шифрование данных на дисках – аутентификация
пользователей, генерация ключей шифрования,
хранение ключевой информации;
 Единая точка входа пользователя в
информационные системы и порталы (в продуктах
eTrust SSO, IBM Tivoli Access Manager, WebSphere,
mySAP Enterprise Portal) и приложения под
управлением СУБД Oracle – строгая двухфакторная
аутентификация;

Защита Web-серверов и приложений электронной
коммерции (на основе Microsoft IIS, Apache Web
Server) – аутентификация пользователей, генерация
ключей, обмен ключами;
 Управление безопасностью корпоративных
информационных систем, интеграция систем защиты
информации (Token Management System) - eToken
является единым универсальным идентификатором
для доступа к различным приложениям;
 Поддержка унаследованных приложений и
разработка собственных решений в области ИБ.

eToken R2, eToken PRO – компания Aladdin;
iKey10xx, iKey20xx,iKey 3000 – компания Rainbow
Technologies;
 ePass 1000 ePass 2000 – фирма Feitian
Technologies;
 ruToken – разработка компании «Актив» и фирмы
«АНКАД»;
 uaToken - компания ООО «Технотрейд».


Изделие
Емкость
памяти, Кб
Разрядност Аппаратно реализованные
ь
алгоритмы шифрования
серийного
номера
iKey 20xx
8/32
64
DES (ECB и CBC), DESX, 3DES, RC2,
RC5, MD5, RSA-1024/2048
eToken PRO
16/32
32
RSA/1024, DES, 3DES, SHA-1
ePass 1000
8/32
64
MD5, MD5-HMAC
ePass 2000
16/32
64
RSA, DES, 3DES, DSA, MD5, SHA-1
ruToken
8/16/32/64/128
32
ГОСТ 28147-89, RSA, DES, 3DES, RC2,
RC4, MD4, MD5, SHA-1
uaToken
8/16/32/64/128
32
ГОСТ 28147-89
eToken PRO – компания Aladdin;
iKey10xx, iKey20xx,iKey 3000 – компания Rainbow
Technologies;
 ePass 1000 ePass 2000 – фирма Feitian
Technologies;
 ruToken – разработка компании «Актив» и фирмы
«АНКАД»;
 uaToken - компания ООО «Технотрейд».


Бесконтактные смарт-карты (БСК) используются в
различных приложениях и широко распространены
в мире как для аутентификации, так и для
различных транспортных, идентификационных,
расчетных и дисконтных приложений.
 Важным свойством БСК, выделяющим ее среди
других смарт-карт, является отсутствие
механического контакта с устройством,
обрабатывающим данные с карты.

Максимальное расстояние для осуществления
транзакций между считывателем и картой
составляет 10 см.
 С одной стороны это позволяет пользователю
удобно и быстро произвести транзакцию, но с
другой стороны при попадании карты в поле
антенны, карта вовлекается в процесс обмена
информацией, независимо от того желал этого
пользователь или нет.

"захват" карты (выбирается первая, находящаяся в
поле антенны считывателя, карта), если необходимо –
включение антиколлизионного алгоритма (команда
антиколлизии сообщает приложению уникальный
серийный номер "захваченной" карты, точнее уникальный номер встроенной в карту микросхемы),
 выбор карты с данным серийным номером для
последующей работы с памятью карты или ее
серийным номером.
 Указанная последовательность команд выполняется
за 3 мс, т.е. практически мгновенно.

Аутентификация выбранной области памяти карты.
 Команда чтения 16 байтов памяти карты выполняется
за 2,5 мс, команды чтения и изменения баланса
кошелька за 9-10 мс.
 Типичная транзакция, начинающаяся с "захвата"
карты и приводящая к изменению 16 байтов памяти
совершается максимум за 16 мс.
 Для аутентификации сектора памяти карты
используется трехпроходный алгоритм с
использованием случайных чисел и секретных ключей
согласно стандарту ISO/IEC DIS 9798-2.

На первом шаге карта посылает считывателю
сформированное ею случайное число. Считыватель
добавляет к нему свое случайное число, шифрует
сообщение и отправляет его карте.
 Карта расшифровывает полученное сообщение,
сравнивает "свое" случайное число с числом,
полученным в сообщении, при совпадении заново
зашифровывает сообщение и направляет считывателю.
 Считыватель расшифровывает послание карты,
сравнивает "свое" случайное число с числом,
полученным в сообщении, и при совпадении чисел
аутентификация сектора считается успешной.

 Бесконтактные смарт-карты разделяются
на идентификаторы PROximity и смарткарты, базирующиеся на международных
стандартах ISO/IEC 15693 и ISO/IEC 14443. В
основе большинства устройств на базе
бесконтактных смарт-карт лежит технология
радиочастотной идентификации.
 Системы идентификации на базе
PROximity криптографически не
защищены, за исключением
специальных заказных систем.
 Каждый ключ имеет прошиваемый
32/64 разрядный серийный номер.
системы на базе бесконтактных смарт-карт и USBключей;
 системы на базе гибридных смарт-карт;
 биоэлектронные системы

Функция
На базе
бесконтактных
смарт-карт и USBключей
На базе
гибридных смарткарт
Биоэлектронные
системы
Идентификация и
аутентификация
пользователей в
компьютерной
сети
Есть
Есть
Есть
Блокировка
Есть
работы
компьютеров и
разблокирование
при предъявлении
персонального
идентификатора
НЕТ
Есть
Функция
На базе
бесконтактных
смарт-карт и
USB-ключей
На базе
гибридных
смарт-карт
Биоэлектронн
ые системы
Идентификация и
аутентификация
сотрудников при их
доступе в здание,
помещение (из него)
Есть
Есть
НЕТ
Хранение
конфиденциальной
информации (ключей
шифрования, паролей,
сертификатов и т.д.)
Есть
Есть
Есть
Визуальная идентификация Нет
Есть
Есть
В корпус брелка USB-ключа встраивается антенна и
микросхема для создания бесконтактного интерфейса.
Это позволит организовать управление доступом в
помещение и к компьютеру, используя один
идентификатор.
 Данная схема использования идентификатора
позволит исключить ситуацию, когда сотрудник,
покидая рабочее место, оставляет USB-ключ в разъеме
компьютера, что позволит работать под его
идентификатором.
 На сегодня наиболее распространены два
идентификатора подобного типа:

 RFiKey – компания Rainbow Technologies;
 eToken PRO RM – компания Aladdin Software Security R.D.
RFID-технология (Radio Frequency IDentification,
радиочастотная идентификация) является наиболее
популярной на сегодня технологией бесконтактной
идентификации.
 Радиочастотное распознавание осуществляется с
помощью закрепленных за объектом так называемых
RFID-меток, несущих идентификационную и другую
информацию.
 При этом надо учитывать ограничения,
обусловленные размерами ключа: RFID-метка должна
быть не более 1,2 см в диаметре. Такие размеры имеют
метки, работающие с частотой 13.56 МГц, например,
производства «Ангстрем» или HID.

Гибридные смарт-карты содержат разнородные
чипы. Один чип поддерживает контактный
интерфейс, другой – бесконтактный. Как и в случае
гибридных USB-ключей, гибридные смарт-карты
решают две задачи: доступ в помещение и доступ к
компьютеру. Дополнительно на карту можно
нанести логотип компании, фотографию
сотрудника или магнитную полосу, что делает
возможным полностью заменить обычные
пропуска и перейти к единому "электронному
пропуску”.

Для защиты компьютерных систем от
несанкционированного доступа применяется комбинация
из двух систем – биометрической и контактной на базе
смарт-карт или USB-ключей.
 Биометрия – это идентификация пользователя по
уникальным, присущим только данному пользователю,
биологическим признакам. Такие системы являются самыми
удобными с точки зрения самих пользователей, так как им
не нужно ничего запоминать и такие характеристики весьма
сложно потерять.
 При биометрической идентификации в базе данных
хранится цифровой код, ассоциированный с определенным
человеком. Сканер или другое устройство, используемое
для аутентификации, считывает определенный
биологический параметр.

Форма лица (овал, форма и размер отдельных
деталей лица).
 Геометрические параметры лица - расстояния
между его определенными точками.
 Узор подкожных кровеносных сосудов на
термограмме лица.
 Структура радужной оболочки глаза.
 Узор кровеносных сосудов на сетчатке.

Форма уха (контур и наклон, козелок и
противокозелок, форма и прикрепление мочки и
т.д.).
 Геометрические параметры уха - расстояния
между определенными точками на ухе. Геометрия
руки - ширина, длина, высота пальцев, расстояния
между определенными точками.
 Неровности складок кожи на сгибах пальцев
тыльной стороны
кисти руки.

Рисунок вен на тыльной стороне кисти руки,
получаемый при инфракрасной подсветке.
 Узор на ладони. Папиллярный узор как целостный
образ.
 Параметры пространственно-частотного спектра
папиллярного узора
 Подпись как двумерный бинарный образ.
 Подпись как функция двух координат.
 Динамика подписи (сила нажима и координата
времени).

Источник БХЧ Универсально Уникальность
сть
Стабильность
Собираемость
Видеообраз
+++
+
++
+++
Термограмма
+++
+++
+
++
Отпечаток
+++
+++
+++
++
Рука
++
++
++
+++
РОГ
++
+++
+++
++
Сетчатка
+++
+++
++
+
Подпись
+
+
+
+++
Голос
++
+
+
++
Губы
+++
+++
++
+
Уши
++
++
++
++
Динамика
++
+++
+
+++
Походка
+++
++
+
+
Самый распространенный статический метод
биометрической идентификации, в основе которого лежит
уникальность для каждого человека рисунка папиллярных
узоров на пальцах.
 Изображение отпечатка пальца, полученное с помощью
специального сканера, преобразуется в цифровой код
(свертку) и сравнивается с ранее введенным шаблоном
(эталоном) или набором шаблонов (в случае
аутентификации).
 Ведущие производители оконечного оборудования
(сканеров отпечатков пальцев):
 BioLink, http://www.biolink.ru/, http://www.biolinkusa.com/;
 Bioscrypt, http://www.bioscrypt.com/;
 DigitalPersona, http://www.digitalpersona.com/;
 Ethentica, http://www.ethentica.com/;

Данный статический метод построен на распознавании
геометрии кисти руки, также являющейся уникальной
биометрической характеристикой человека.
 С помощью специального устройства, позволяющего
получать трехмерный образ кисти руки (некоторые
производители сканируют форму нескольких пальцев),
получаются измерения, необходимые для получения
уникальной цифровой свертки, идентифицирующей
человека.
 Ведущие производители:
 Recognition Systems, http://www.recogsys.com/,
http://www.handreader.com/;
 BioMet Partners, http://www.biomet.ch/.

Этот метод распознавания основан на уникальности
рисунка радужной оболочки глаза. Для реализации метода
необходима камера, позволяющая получить изображение
глаза человека с достаточным разрешением, и
специализированное программное обеспечение,
позволяющее выделить из полученного изображения
рисунок радужной оболочки глаза, по которому строится
цифровой код для идентификации человека.
 Ведущие производители:
 Iridian - крупнейший производитель в данной области, на
решениях этой компании базируются практически все
разработки других: LG, Panasonic, OKI, Saflink и т. д.,
http://www.iridiantech.com/.

В данном статическом методе идентификации строится двух- или
трехмерный образ лица человека. С помощью камеры и
специализированного программного обеспечения на изображении или
наборе изображений лица выделяются контуры бровей, глаз, носа, губ и
т. д., вычисляются расстояния между ними и другие параметры, в
зависимости от используемого алгоритма. По этим данным строится
образ, преобразуемый в цифровую форму для сравнения.
 Количество, качество и разнообразие (разные углы поворота головы,
изменения нижней части лица при произношении ключевого слова и т.
д.) считываемых образов может варьироваться в зависимости от
алгоритмов и функций системы, реализующей данный метод. Ведущие
производители:
 AcSys Biometrics, http://www.acsysbiometrics.com/
 A4Vision, http://www.a4vision.com/

Цифровой код идентификации формируется по
динамическим характеристикам написания, то есть для
идентификации строится свертка, в которую входит
информация по графическим параметрам подписи,
временным характеристикам нанесения подписи и
динамики нажима на поверхность в зависимости от
возможностей оборудования (графический планшет,
экран карманного компьютера и т. д.).
 Ведущие производители:





CIC (Communication Intelligence Corporation), http://www.cic.com/;
Cyber-SIGN, http://www.cybersign.com/;
SOFTPRO, http://www.signplus.com/;
Valyd, http://www.valyd.com/.
Метод в целом аналогичен вышеописанному,
однако вместо подписи в нем используется некое
кодовое слово, а из оборудования требуется
только стандартная клавиатура. Основная
характеристика, по которой строится свертка для
идентификации, - динамика набора кодового слова.
 Ведущие производители:

 BioPassword Security Software, http://www.biopassword.com/;
 Checco, http://www.biochec.com/.
Существует достаточно много способов
построения кода идентификации по голосу: как
правило, это различные сочетания частотных и
статистических характеристик последнего.
 Ведущие производители:

 Nuance, http://www.nuance.com/;
 Persay, http://www.persay.com/;
 Voicevault, http://www.voicevault.com/.
Крайне сложная корректная настройка
оборудования, вернее, речь идет об установке
корректного порогового значения ошибки. . FAR
(False Acceptance Rate) - это процент ложных
отказов в допуске, FRR (False Rejection Rate) вероятность допуска в систему
незарегистрированного человека.
 Порог чувствительности является своеобразной
гранью идентификации.

Человек, имеющий сходство какой-либо характеристики
выше предельного, будет допущен в систему и наоборот.
Значение порога администратор может изменять по своему
усмотрению. Т.е. это накладывает весьма высокие
требования на администратора системы, ведь поддержка
баланса между удобством и надежностью требует больших
усилий.
 Вторым недостатком, связанным с внедрением таких
систем является сопротивление сотрудников компаний,
связанное с возможностью контроля рабочего времени
сотрудников. Тем более что реально существуют системы
учета рабочего времени сотрудников.

Биометрические сканеры невозможно применять для
идентификации людей с некоторыми физическими
недостатками.
 Применение сканеров сетчатки глаза будет сложным для
тех, кто носит очки или контактные линзы, а человек,
больной артритом, не сможет ровно положить палец на
сканер отпечатка.
 Еще одна проблема — рост. Сканирование лица может
стать затруднительным, если рост человека ниже 1,55 м или
выше 2,1 м.
 К недостаткам такого способа идентификации можно
отнести возможность воспользоваться муляжом отпечатка,
что было успешно продемонстрировано заключенными
шотландской тюрьмы строгого режима Glenochil.

Буквально через 10 лет по прогнозам Gartner,
число сотрудников, работающих в удаленном
режиме, существенно увеличится. Их прирост уже
сейчас составляет 10—15% в год.
 Gartner приводит в пример опыт корпораций Sun
и IBM: за три года после внедрения дистанционной
работы для своих штатных сотрудников Sun
Microsystems сэкономила на аренде помещений
300 млн. долл., а по подсчетам IBM, корпорация
ежегодно экономит на «удалёнке» до 500 млн.
долл.

При аутентификации пользователей сети
удалённого доступа обычно используются
следующие варианты:

 индивидуальный предустановленный ключ или пароль (preshared key);
 цифровой сертификат с закрытым ключом, хранящимся на
компьютере;
 цифровой сертификат с закрытым ключом, хранящимся в
памяти токена;
 комбинация цифрового сертификата одноразового пароля.
Аппаратные реализации генераторов
одноразовых паролей называют ОТР-токенами.
Выпускаются в различных форм-факторах:






в виде карманного калькулятора;
в виде брелка;
в виде смарт-карты;
в виде устройства, комбинированного с USB-ключом;
в виде специального программного обеспечения для
карманных компьютеров.
Применение паролей в настоящий момент все больше не
соответствует требованиям безопасности, так как с ростом
сложности пароля и количества паролей для запоминания будет
усиливаться роль человеческого фактора:
 Пользователи всегда будут выбирать наиболее простые с их
точки зрения пароли;
 При ужесточении политики паролей пользователи будут идти
на всяческие ухищрения, облегчающие им заботу о паролях, но
снижающие безопасность (т.е. наклеивать пароль на монитор,
клавиатуру, записывать его в блокнот и т.д.);
 С ростом вычислительных мощностей процесс подбора
паролей будет происходить все быстрее.
 В связи с этим необходим переход на многофакторную
аутентификацию, из всех видов которой на сегодня самым
надежным является применение USB-ключей (смарт-карт).

Безмалый Владимир
MVP Consumer Security
Microsoft Security Trusted Advisor
[email protected]
http://vladbez.spaces.live.com