Отличие токена от флешки. USB-токены. Что такое полезное делает это устройство? Типы персональных средств аутентификации

Аналитиков «Лаборатории Касперского», в 2017 году было предпринято более 260 млн попыток фишинговых атак - это один из способов получить все ваши пароли и данные. От этого может не спасти даже двойная аутентификация через СМС или специальное приложение.

График попыток фишинговых атак

Но люди придумали такую штуку, как USB-токен - она лучше защищает ваши данные. Рассказываем, почему этот способ более надежный и как правильно все настроить.

Что это такое и как работает?

USB-токен - небольшое устройство, похожее на обычную флешку. Внутри них специальный уникальный код, заменяющий другие способы двойной аутентификации.

По факту его можно сравнить с ключом от вашей квартиры - если ключ в компьютере, то вы можете войти в свой аккаунт. Только здесь разница в том, что ваш аккаунт гораздо сложнее взломать отмычкой.

Почему это надежнее двойной аутентификации?

Обычная двойная аутентификация работает так: вы вводите пароль от почты, вам по СМС приходит код подтверждения для входа в аккаунт. Получается, что если у злоумышленника нет вашего смартфона, то зайти под вашим логином он не сможет. Но на самом деле это не совсем так.

Почти у всех сервисов с такой функцией злоумышленник может перехватить ваш код от аккаунта из-за общей уязвимости, заключенной в системе SS7. Через нее любой человек может следить за вашим смартфоном - слушать разговоры и читать все сообщения. Операторы эту проблему не признают , хотя ей уже больше 30 лет.

Приложения-аутентификаторы, вроде Google Authentificator, в этом плане надежнее. Для вас каждые 30 секунд генерируется новый пароль - его знают только ваш смартфон и аккаунт в интернете. Но даже так хакеры могут до вас добраться, особенно если вы доверчивый.

Злоумышленник может получить доступ к этим кодам безопасности на этапе настройки приложения . Кроме того, вас могут обмануть и вы зайдете на фальшивый сайт Google, где сами выдадите все пароли хакерам.

Да кто будет пользоваться этими «флешками»?

Все сотрудники из Google этим пользуются и очень довольны. В начале 2017 года все работники корпорации перешли на этот способ аутентификации своих аккаунтов. Как итог - за этот год не произошло ни одной кражи личной информации.

Теперь в Google считают, что USB-токены - самый надежный способ защитить свой аккаунт. Вот так.

Все слишком хорошо! Какие подводные?

Да, подводные камни здесь есть. Пока полноценно эти токены поддерживаются только в двух браузерах - Google Chrome и Opera. В Firefox это реализовали через расширение, а в Edge обещают добавить позже. Разработчики Safari вообще об этой функции ничего не говорят.

И еще один недостаток связан со смартфонами. Чтобы войти в аккаунт на своем Айфоне, вам понадобится ключ с Bluetooth - он стоит немного дороже. Еще можно попробовать переходник, но мы этот способ не проверяли, так что может не сработать.

Это не страшно. Как начать пользоваться ключом?

В первую очередь - вам нужен тот самый USB-токен. Его можно купить в интернете - в России проще всего достать JaCarta U2F. Я купил такой за 1500 рублей.

Процедура настройки ключа практически везде одинакова , поэтому мы покажем настройку на примере аккаунта в Google.

1 - Войдите в настройки двойной аутентификации аккаунта. Нажмите на «Выберите другой способ» и выберите там электронный ключ:

2 - Подключать ключ к компьютеру сразу нельзя. Убедитесь, что он у вас в руке и жмите «Далее»:

3 - Вставьте ключ в USB-разъем и нажмите на нем кнопку:

Ключ загорится красным светом, а браузер попросит разрешения на доступ к устройству:

4 - Ваш ключ зарегистрируется и вам нужно будет придумать ему имя:

5 - Готово! Теперь добавьте дополнительные способы входа в аккаунт - через приложение или СМС-код. Это нужно, если вы потеряете свой токен. Но я этого делать не буду.

А теперь небольшой челендж для читателей. Вот все данные аккаунта, на котором я установил свой USB-ключ:

Логин: [email protected]

Пароль: 123456abcd!123456

Если вы сможете войти в этот аккаунт до 15 августа и оставить мне там послание, то я вам перечислю 5 тысяч рублей. Вперед, хакеры!

Человечество постоянно изобретает новые способы защиты от злоумышленников. Один из них – это USB-токен. Каков механизм его работы? Чем он является? Что такое токен вообще? Вот краткий перечень вопросов, которые будут нами рассмотрены.

Что такое токен?

Так называют аппаратное устройство, которое умеет формировать ключевую пару и ставить электронную цифровую подпись. Для того чтобы с его помощью можно было выполнять операции, необходимо внести ПИН-код. При этом для его взаимодействия с компьютером не нужно устанавливать различные дополнения или драйвера. Токен в данном случае определяется ЭВМ как HID-устройство. Также он часто имеет в качестве дополнительного функционала небольшое хранилище данных. Но его главная цель – это именно выступать в качестве хранилища ключа. Подобрать пароль злоумышленнику будет весьма трудно ввиду того, что после третьей неудачной попытки ввода он заблокируется. Вот что такое токен.

Другие функции

Кроме уже рассмотренных вариантов, это устройство может выполнять и другие задачи, которые поставлены перед ним. Среди них:

1. Шифровка/дешифровка данных с использованием а/симметрического алгоритма.
2. Формирование и проверка ЭЦП.
3. Хеширование данных.
4. Генерация ключей шифрования.

Для полноты образа токена его можно представить в виде «черного ящика». Так, при криптографических операциях данные поступают на вход, в самом устройстве преобразуются (для этого используется ключ) и передаются на выход. Токены имеют довольно много общего с микрокомпьютерами. Так, информация подаётся и выводится с использованием USB-порта, у устройства есть собственная оперативная и долговременная (к тому же ещё и защищенная) память, а также свой процессор.

О паролях

Они стали классикой современности. Главное преимущество паролей, благодаря которому они так распространены, – это простота их использования. Но наша забывчивость, передача с использованием незащищенных каналов, их набор на клавиатуре, предсказуемость и много других аспектов ставят под сомнение нашу безопасность. Также остро состоит проблема шифрования. Давайте рассмотрим криптографический ключ на 256 бит. Если использовать генератор псевдослучайных чисел, то получившийся пароль будет обладать хорошими статистическими свойствами. А что собой представляют комбинации, которые выбирают для защиты своих данных люди? Во многих случаях пароли – это слова из словаря или что-то важное для них (их имя, дата рождения и прочее).

Достаточно только прочитать новости об очередном взломе базы данных крупного сайта или компании и посмотреть, какие комбинации выбирают себе люди. Очень часто здесь встречаются цифры, идущие подряд, начиная с единицы, или соединение имени и год рождения. Это, безусловно, очень плохо. Вот для таких случаев и предусмотрено использование токенов. Ведь они смогут защищать данные на высшем уровне с использованием рекомендованных параметров, когда просто подобрать пароль злоумышленникам будет сложно. Ведь код токена будет составлен по всем правилам криптографических протоколов. В качестве примера можно рассмотреть аутентификацию. Благодаря тому, что будет реализован принцип «любой из тысячи», даже если злоумышленником будет перехвачен трафик, или пропадёт база данных с сервера – шанс на успех у преступника настолько маловероятен, что его можно назвать несуществующим. К тому же, можно забыть пароль, но ключ – нет. Ведь он будет храниться на токене.

Шифрование данных

Мы разобрали, что такое токен, теперь давайте рассмотрим, как же работает указанная система безопасности. Сами данные шифруются с помощью криптографического ключа. Он, в свою очередь, защищается паролем. Последний не всегда удовлетворяет требованиям безопасности и так же успешно может быть забыт. В таком случае есть два варианта:

1. Ключ находится на токене, при этом он не покидает устройство. Этот вариант подходит тогда, когда есть небольшой объем информации. В этом случае мы имеем небольшую скорость дешифрования и тот факт, что нарушителю его извлечь практически невозможно.
2. Ключ находится на устройстве, и, когда шифруются данные, он передаётся в оперативную память. Этот вариант используется при работе с большим объемом данных. Заполучить ключ в данном случае возможно. Но это нелегкая задача – всё тот же пароль легче украсть.

Если есть желание получить токен, то необходимо понимать, что за это придётся платить. Несмотря на то, что данные устройства могут выполнять целый ряд различных криптографических операций, которые довольно сложны для понимания большинством людей, само применение таких приборов не создаст проблем, ведь этот процесс является интуитивно понятным. От пользователя не требуется профильных специальных знаний, а также понимания происходящего в токене.

Заключение

Вот мы и рассмотрели, что такое токен. Теоретически, распространение данного решения обеспечения безопасности в будущем поможет избегать случаев, когда крадутся ценные данные или пароли. В конечном итоге это обернётся увеличением уровня безопасности.

Сегодня все чаще используются токены. Но несмотря на это многие люди не понимают, что это за устройства. Далее пойдет речь о том, для чего используют токены, что такое применение дает. Рассматриваться будут именно USB-устройства, подключаемые к ПК.

на токенах

Хочется сразу же объяснить, что данное устройство не является флеш-накопителем. Несомненно, на нем может храниться небольшое но оно ограничено, к примеру 64 килобайтами. Существуют также и токены, содержащие в себе память на несколько гигабайт. Но данные в этой памяти хранятся по той же технологии, что и на обычной карте памяти. По этой причине функцию хранения данных можно считать побочной или второстепенной. Для чего же нужны устройство делает?

Первоначальное предназначение - неизвлекаемое хранение некой ключевой информации. Сразу заметно, что тут мало общего с картой памяти. Неизвлекаемое хранение - это такое, при котором код токена не попадет никуда из устройства. Он не может быть извлечен, к примеру, в оперативную память компьютера. Возможны варианты, когда это происходит, но в зашифрованном виде. Существует опция экспортирования ключа и в открытом виде, но даже это намного безопаснее, чем его хранение на флешке. Почему так надежнее хранить ключ? Токен предполагает знание PIN-кода для экспорта, а флешка - нет.

Из этого следует вывод, что даже при простейших настройках безопасности лучше хранить ключи на токене.

Другие функции

Хранение ключа - главное, для чего предназначены токены. Что такое устройство может помимо этого? Вот прочие функции:

1. Самостоятельные шифрование и расшифровка.
2. Генерация ключа шифрования.
3. Формирование и проверка ЭЦП.
4. Хеширование данных.

Токен является неким черным ящиком в то время, когда осуществляются криптографические операции. Так, данные поступают на вход, при помощи ключа преобразуются и отправляются на выход. Можно сравнить токен с микрокомпьютером: ввод и вывод информации осуществляется через USB, имеется собственный процессор, оперативная, а также долговременная память.

Сравнение с паролями

Для большинства стало стандартом то, что всюду используются пароли. Это уже современная классика. Человек хочет зайти в соцсеть или купить что-то - использует пароль. Главное их преимущество - в простоте использования. Но в то же время есть аспекты, которые ставят некоторые операции, важные с позиции безопасности, под вопрос. Это могут быть забывчивость, передача пароля по незащищенному каналу, набор на клавиатуре, предсказуемость.

Токены вполне способны решить абсолютно все те задачи, для которых в наши дни применяют пароли. И решить их более безопасно и качественно.

Шифрование данных

Данные, как правило, шифруются на криптографическом ключе, который, в свою очередь, шифруется на пароле. И безопасность такой схемы полностью зависит только от пароля, который не во всех случаях является сложным, может набираться на клавиатуре либо забывается. При использовании токена есть два варианта решения:

• Ключ находится на токене и его не покидает. Данный способ годится только для небольших объемов информации, поскольку скорость расшифровки при помощи токена высокой не является. Нарушитель не сможет извлечь ключ.
• Ключ находится на токене, но в процессе шифрования попадает в оперативную память компьютера. Такой способ применяют, к примеру, для шифрования и дешифрования тома полностью. Ключ извлечь возможно, но не очень легко. Пароль украсть намного проще.

Заключение

Можно с уверенностью сказать, что удастся избежать самых разных неприятных ситуаций при использовании и распространенности решений, основанных на токенах. Кража паролей будет исключена, а уровень безопасности увеличится в глобальном смысле. Именно для безопасности и используются токены. Что такое использование дает? Только преимущества и надежность. Даже если полностью отказаться от паролей в пользу токенов, преимущества очевидны. Ведь и при потере ключа никто им воспользоваться не сможет.

Бурный рост секторов рынка систем «3А» (аутентификация, авторизация, безопасное администрирование) и средств строгой аутентификации привел к появлению множества различных типов аппаратных и программных идентификаторов, а также их гибридных модификаций. Заказчик, желающий внедрить систему многофакторной аутентификации, сегодня оказывается перед нелегким выбором. Тенденции объединения физической и логической аутентификации, интеграции решений для создания единой точки входа и системы управления идентификацией лишь усугубляют проблему выбора. В этой статье мы постараемся помочь заказчику разобраться с представленными на рынке решениями и сделать правильный выбор.

Одной из наиболее опасных угроз ИТ-безопасности сегодня является несанкционированный доступ к конфиденциальной информации. Согласно исследованию Института компьютерной безопасности США и ФБР (см. «CSI/FBI Computer Crime and Security Survey 2005»), в прошлом году 55% компаний зарегистрировали инциденты, связанные с неправомочным доступом к данным. Более того, каждая фирма потеряла в 2005 году вследствие неавторизованного доступа в среднем 303 тыс. долл., причем по сравнению с 2004 годом убытки увеличились в 6 раз.

Бизнес сразу же отреагировал на возросшую опасность угроз. По данным IDC (см. «Russia Security Software 2005-2009 Forecast and 2004 Vendor Shares»), российские компании не только увечили инвестиции в ИТ-безопасность на 32,7%, но и в значительной мере направили свои усилия на внедрение систем «3А» (аутентификация, авторизация, безопасное администрирование).

Сегмент рынка систем «3А» за год вырос на 83%. Такая динамика вполне объяснима: средства сильной аутентификации, лежащие в основе всей концепции «3А», позволяют защитить компанию от целого комплекса угроз ИТ-безопасности - это и несанкционированный доступ к информации, и неправомочный доступ к корпоративной сети со стороны служащих, и мошенничество, и утечки данных вследствие кражи мобильных устройств или действий персонала и т.д., а ведь известно, что каждая из этих угроз ежегодно наносит громадный ущерб (рис. 1).

Рис. 1. Потери от различных видов атак, долл.

В основе сильной аутентификации лежит двух- или трехфакторный процесс проверки, по результатам которого пользователю может быть предоставлен доступ к запрашиваемым ресурсам. В первом случае служащий должен доказать, что он знает пароль или PIN и имеет определенный персональный идентификатор (электронный ключ или смарт-карту), а во втором случае пользователь предъявляет еще один тип идентификационных данных, например биометрические данные.

Использование средств многофакторной аутентификации в немалой степени снижает роль паролей, и в этом проявляется еще одно преимущество строгой аппаратной аутентификации, так как, по некоторым оценкам, сегодня пользователям требуется помнить около 15 различных паролей для доступа к учетным записям. Вследствие информационной перегруженности служащие, чтобы не забыть пароли, записывают их на бумаге, что снижает уровень безопасности из-за компрометации пароля. Забывание паролей наносит фирмам серьезный финансовый ущерб. Так, исследование Burton Group (см. «Enterprise Single Sign-On: Access Gateway to Applications») показало, что каждый звонок в компьютерную службу помощи обходится компании в 25-50 долл., а от 35 до 50% всех обращений приходится именно на забывчивых сотрудников. Таким образом, использование усиленной или двухфакторной аутентификации позволяет не только снизить риски ИТ-безопасности, но и оптимизировать внутренние процессы компании вследствие уменьшения прямых финансовых потерь.

Как уже было сказано, высокая эффективность средств многофакторной аутентификации привела к стремительному росту рынка систем «3А». Изобилие представленных решений требует от заказчиков соответствующей компетентности, ведь каждый предлагаемый тип персонального идентификатора характеризуется своими достоинствами и недостатками, а следовательно, и сценариями использования. К тому же бурное развитие данного сегмента рынка уже в ближайшие годы приведет к тому, что часть продвигаемых сегодня аппаратных идентификаторов останется за бортом. Таким образом, отдавая предпочтение тому или иному решению сегодня, заказчик должен учитывать не только текущие потребности организации, но и будущие.

Типы персональных средств аутентификации

В настоящее время на рынке представлено немало персональных идентификаторов, различающихся как по техническим возможностям и функциональности, так и по формфактору. Рассмотрим их подробнее.

USB-токены

Процесс двухфакторной аутентификации с использованием USB-токенов проходит в два этапа: пользователь подключает это небольшое устройство в USB-порт компьютера и вводит PIN-код. Преимуществом данного типа средств аутентификации является высокая мобильность, так как USB-порты имеются на каждой рабочей станции и на любом ноутбуке.

При этом применение отдельного физического устройства, которое способно обеспечить безопасное хранение высокочувствительных данных (ключей шифрования, цифровых сертификатов и т.д.), позволяет реализовать без-опасный локальный или удаленный вход в вычислительную сеть, шифрование файлов на ноутбуках, рабочих станциях и серверах, управление правами пользователя и осуществление безопасных транзакций.

Смарт-карты

Эти устройства, внешне напоминающие кредитную карту, содержат защищенный микропроцессор, позволяющий выполнять криптографические операции. Для успешной аутентификации требуется вставить смарт-карту в считывающее устройство и ввести пароль. В отличие от USB-токенов, смарт-карты обеспечивают значительно большую безопасность хранения ключей и профилей пользователя. Смарт-карты оптимальны для использования в инфраструктуре открытых ключей (PKI), так как осуществляют хранение ключевого материала и сертификатов пользователей в самом устройстве, а секретный ключ пользователя не попадает во враждебную внешнюю среду. Однако смарт-карты обладают серьезным недостатком - низкой мобильностью, поскольку для работы с ними требуется считывающее устройство.

USB-токены со встроенным чипом

От смарт-карт данный тип персонального идентификатора отличается только формфактором. USB-токены со встроенным чипом обладают всеми преимуществами смарт-карт, связанными с безопасным хранением конфиденциальных сведений и осуществлением криптографических операций прямо внутри токена, но лишены их основного недостатка, то есть не требуют специального считывающего устройства. Полифункциональность токенов обеспечивает широкие возможности их применения - от строгой аутентификации и организации безопасного локального или удаленного входа в вычислительную сеть до построения на основе токенов систем юридически важного электронного документооборота, организации защищенных каналов передачи данных, управления правами пользователя, осуществления безопасных транзакций и др.

OTP-токены

Технология OTP (One-Time Password) подразумевает использование одноразовых паролей, которые генерируются с помощью токена. Для этого служит секретный ключ пользователя, размещенный как внутри OTP-токена, так и на сервере аутентификации. Для того чтобы получить доступ к необходимым ресурсам, сотрудник должен ввести пароль, созданный с помощью OTP-токена. Этот пароль сравнивается со значением, сгенерированным на сервере аутентификации, после чего выносится решение о предоставлении доступа. Преимуществом такого подхода является то, что пользователю не требуется соединять токен с компьютером (в отличие от вышеперечисленных типов идентификаторов). Однако количество приложений ИТ-безопасности, которые поддерживают возможность работы с OTP-токенами, сегодня намного меньше, чем для USB-токенов (как с чипом, так и без) и смарт-карт. Недостатком OTP-токенов является ограниченное время жизни этих устройств (три-четыре года), так как автономность работы предполагает использование батарейки.

Гибридные токены

Эти устройства, сочетающие в себе функциональность двух типов устройств - USB-токенов со встроенным чипом и OTP-токенов, - появились на рынке относительно недавно. С их помощью можно организовать процесс как двухфакторной аутентификации с подключением к USB-порту, так и бесконтактной аутентификации в тех случаях, когда USB-порт недоступен (например, в Интернет-кафе). Заметим, что гибридные смарт-карты, обладающие функциональностью USB- и OTP-токенов, а также имеющие встроенный чип, соответствуют наивысшему уровню гибкости и безопасности.

Программные токены

В данном случае роль токена играет программное обеспечение, которое генерирует одноразовые пароли, применяемые наряду с обычными паролями для многофакторной аутентификации. На основании секретного ключа программа-токен генерирует одноразовый пароль, который отображается на экране компьютера или мобильного устройства и должен быть использован для аутентификации. Но поскольку токеном является программа, записанная на рабочей станции, мобильном компьютере или сотовом телефоне, то ни о каком безопасном хранении ключевой информации речи не идет. Таким образом, данный способ безопаснее по сравнению с обычными паролями, но намного слабее применения аппаратных идентификаторов.

Характеристика различных типов персональных идентификаторов

Российский рынок многофакторной аутентификации

Для российского рынка средств сильной аутентификации характерна очень небольшая распространенность OTP-токенов, которые занимают более половины общемирового сегмента персональных идентификаторов. Сегодня поставки этих устройств идут главным образом в российские представительства крупных западных компаний, головные офисы и вся ИТ-инфраструктура которых изначально были построены на OTP-токенах.

Основным фактором, сдерживающим развитие российского рынка OTP-токенов, является высокая стоимость владения (Total Cost of Ownership, TCO) и короткий жизненный цикл. Встроенной батарейки обычно хватает на три-четыре года, после чего заказчик вынужден менять устройство, оплачивая порядка 70% его начальной стоимости. Рассмотрим в качестве примера популярный на Западе OTP-токен RSA SecurID. Стоимость решения для 500 пользователей, куда входят основной сервер и сервер-репликатор, программное обеспечение и сами персональные идентификаторы, составляет 76 тыс. долл. (один токен SecurID стоит 79 долл.). Вдобавок ежегодно на поддержку, по данным дилеров, придется тратить еще 6,6 тыс. долл. Таким образом, в целом решение обойдется в 82,6 тыс. долл., а стоимость одного рабочего места, оборудованного ОТР-токеном, составит не менее 165 долл.

Для сравнения возьмем еще один электронный ключ с генератором одноразовых паролей - eToken NG-OTP от компании Aladdin. В этом случае схема расчета на одно рабочее место несколько иная: серверы аутентификации приобретать не нужно, достаточно иметь серверную версию Windows, которой оснащено сейчас подавляющее число локальных сетей предприятий. Стоимость универсальной системы управления всеми средствами аутентификации (в том числе и разнотипными) в масштабе предприятия (eToken TMS) составит около 4 тыс. долл. (серверная лицензия), а общая цена на 500 токенов (при цене одного устройства 67 долл.) равна 33,5 тыс. долл. Прибавим сюда пользовательскую лицензию для каждого токена: 24 долл. - до 500 пользователей и 19 долл. - свыше 500. Таким образом, стоимость одного рабочего места с интегрированной системой строгой аутентификации по одноразовым паролям составит 99 долл,. а при расчете на 501 пользователя - 94 долл.

Однако, даже несмотря на эту разницу, стоимость защиты одного рабочего места с помощью «стандартного» токена, то есть без ОТР, значительно ниже. Например, для того же eToken PRO, самого популярного в линейке Aladdin USB-токена со встроенным чипом, рассчитанная по той же формуле стоимость одного рабочего места составляет всего 47 долл.

Таким образом, российский рынок персональных идентификаторов значительно отличается от мирового и состоит в основном из USB-токенов со встроенным чипом - на их долю приходится примерно 80-85% рынка. Впрочем, именно USB-токены со встроенным чипом являются сегодня наиболее эффективным средством сильной аутентификации. Так, аналитики ведущих консалтинговых компаний, например IDC и Gartner, считают, что к 2008 году большая часть всего рынка персональных идентификаторов будет приходиться именно на USB-токены со встроенным чипом. Кроме того, компания Gartner назвала USB-токены со встроенным чипом лучшим инвестиционным вложением в обеспечение безопасного доступа к данным в 2005 году.

По внутренним данным Aladdin-Russia, лидером отечественного рынка USB-токенов со встроенным чипом является российская компания Aladdin (70%), за ней с серьезным отставанием следуют Rainbow Technologies (25%) и «Актив» (5%) (рис. 2).

Рис. 2. Структура российского рынка USB-токенов со встроенным чипом (