Продукты компании Аладдин можно использовать для идентификации и аутентификации пользователей по биометрическим характеристикам при доступе в информационные системы. Для реализации различных сценариев есть как устройства, так и программное обеспечение.
Введение
Тема безопасной и надёжной аутентификации сейчас очень актуальна при построении процессов обеспечения ИБ в любой компании. Традиционные парольные политики, не требующие дополнительного подтверждения со стороны пользователя, уже давно признаны ненадёжными: простые пароли взламываются в течение нескольких дней, а сложные — записываются на бумажках, которые пользователи кладут под клавиатуру, приклеивают на монитор, размещают на видных или легкодоступных местах.
Рисунок 1. Средний срок взлома пароля
Технологически развитые компании отказываются от привычных паролей в пользу других способов удостоверения личности либо вводят системы многофакторной аутентификации. Применение нескольких методов проверки одновременно увеличивает надёжность и достоверность процедуры, уменьшает вероятность обмана.
Обычно различают три фактора, с помощью которых может осуществляться аутентификация:
- знание (например, пароль от учётной записи);
- владение (телефон, аппаратный токен);
- признак — то, что является неотъемлемой частью пользователя (отпечаток пальца, рисунок вен и т. д.).
Как упоминалось выше, фактор знания в нынешних условиях — самый ненадёжный, взламываемый за весьма короткое время, а иногда попросту выманиваемый средствами социальной инженерии.
Фактор владения тоже не даёт стопроцентных гарантий: СМС-сообщения, отправляемые на мобильный телефон, могут быть перехвачены, а при получении доступа к инфраструктуре хакер может выпустить себе легальный токен на сервере двухфакторной аутентификации и входить в информационные системы незаметно, в т. ч. с правами топ-менеджмента компании. Кроме того, фактор владения неудобен тем, что пользователь может забыть дома телефон, куда приходят пуш-уведомления или коды подтверждения для входа, токен, на котором записан сертификат, и т. д.
Фактор признака (биометрическая идентификация) в этом случае наиболее удобен и безопасен, т. к. забыть где-либо отпечаток пальца невозможно, а подделка его маловероятна.
Биометрическая идентификация базируется на характеристиках человека, которые могут быть статическими и динамическими. Статические биометрические характеристики — изображение радужной оболочки и сетчатки глаз, геометрия лица или кисти, рисунок вен, отпечатки пальцев. К динамическим характеристикам обычно относят голос и почерк.
Идентификация по этим характеристикам уже становится привычной: биометрия используется в банковском секторе, при оплате проезда в метро и т. д. Наглядным примером может послужить организация доступа на предприятие по биометрическим характеристикам, считываемым на уровне СКУД. В этом случае передача карт доступа третьим лицам невозможна, ведётся корректный учёт рабочего времени и посещаемости, экономится бюджет и не наносится вред экологии благодаря тому, что не нужно выпускать пластиковые карты. Другие сферы применения — образовательные учреждения, отели, спортивные клубы, учреждения здравоохранения. Например, в школах по биометрии может не только обеспечиваться доступ, но также организовываться оплата питания и других услуг; дети не носят в школу наличные деньги или банковские карты, что минимизирует риск их утери.
Эти же технологии можно применять и для аутентификации пользователя в информационных системах, однако многие из них имеют свои недостатки: дороговизна оборудования, громоздкость, риск не идентифицировать человека по динамическим характеристикам и т. д.
Перед внедрением биометрической аутентификации оценивают:
- точность распознавания,
- общую стоимость владения,
- скорость получения образцов и обработки данных,
- внутреннюю и системную безопасность,
- конфиденциальность информации,
- удобство интерфейса,
- одобрение пользователей.
По итогам такой оценки обычно выбирают возможность идентификации пользователей по отпечаткам пальцев: это признак, который со временем не поменяется, а оборудование, используемое для считывания, является весьма компактным. Кроме того, данный вариант более надёжен по сравнению с остальными. На каждые 100 000 попыток количество ошибок при предоставлении доступа для отпечатка пальца составляет 1, для лица — 100, а для голоса — 2 000.
Компания Аладдин имеет в своём портфеле продукты для биометрической идентификации и аутентификации: считывающее устройство (в терминах производителя — «смарт-карт ридер») Aladdin SecurBIO Reader и биотокен JaCarta SecurBIO.
Рисунок 2. Сферы применения биометрических технологий
Функциональные возможности
Во всех биометрических продуктах компании Аладдин используется собственное программное и аппаратное обеспечение. Устройства совместимы с различными операционными системами (отечественными и зарубежными), интегрируются в продуктовые линейки компании-производителя и могут использоваться как в различных терминальных средах, так и при удалённой работе. За счёт CCID-совместимости устройствам не требуется установка дополнительных драйверов, они работают «из коробки».
Шаблон отпечатка пальца (цифровой шаблон) не покидает пределов устройства. Только владелец может получить доступ ко критически важной информации и сформировать электронную подпись.
Биотокен JaCarta SecurBIO
JaCarta SecurBIO — это новый продукт компании Аладдин, используемый для идентификации пользователей.
Физически JaCarta SecurBIO представляет собой USB-токен со встроенным сканером отпечатков пальцев. Он может использоваться для идентификации пользователей при входе в доменную или локальную учётную запись, на удалённый рабочий стол или на информационные ресурсы, для формирования и проверки электронной подписи, безопасного хранения объектов и информации пользователя (пароли, цифровые сертификаты, ключевые контейнеры программных СКЗИ и т. д.). Устройство обладает небольшим весом и размером, что обеспечивает мобильность, а также оснащено вибромотором для тактильной обратной связи.
Рисунок 3. Внешний вид JaCarta SecurBIO
Токен JaCarta SecurBIO предназначен как для индивидуального пользования, так и для интенсивной эксплуатации на объектах критической информационной инфраструктуры, в удостоверяющих центрах, банках, офисах обслуживания, государственных и медицинских учреждениях.
Устройство не определяется в ОС, пока не будет завершена биометрическая идентификация, и может заблокироваться после многократного отрицательного результата идентификации.
JaCarta SecurBIO может работать в двух режимах: как USB-токен с биометрической идентификацией по отпечатку пальца или как стандартный USB-токен семейства JaCarta.
Считывающее устройство Aladdin SecurBIO Reader
Устройства Aladdin SecurBIO Reader могут применяться для многофакторной аутентификации с использованием биометрии, в том числе на объектах КИИ.
Линейка состоит из двух моделей биометрических считывающих устройств промышленного (enterprise) класса: JCR761 и JCR781, в горизонтальном и вертикальном формфакторах. В моделях есть встроенный прижимной сканер для снятия отпечатков пальцев и разъём для смарт-карт.
Рисунок 4. Считывающие устройства Aladdin SecurBIO Reader с поддержкой смарт-карт и биометрии
Изделия Aladdin SecurBIO Reader универсальны, предназначены для работы с любыми типами контактных микропроцессорных карт и дополнительно могут использоваться для аутентификации владельца по отпечаткам пальцев. Рисунок пальца при этом обрабатывается внутри устройства, не покидает корпуса ридера, а сформированный из рисунка цифровой шаблон передаётся на смарт-карту.
Принцип работы таков: Aladdin SecurBIO Reader считывает отпечаток пальца, формирует на его основе цифровой шаблон и передаёт на смарт-карту. Затем, в зависимости от режима, шаблон сохраняется на карте в качестве эталонного или используется для сравнения с уже записанным — для аутентификации пользователя.
Рисунок 5. Принцип работы Aladdin SecurBIO Reader при регистрации отпечатка пальца пользователя
Рисунок 6. Принцип работы Aladdin SecurBIO Reader при аутентификации пользователя
Типовые задачи, для решения которых используются эти устройства, — многофакторная аутентификация пользователей, хранение криптографических контейнеров программных СКЗИ и выполнение криптографических операций на смарт-карте, в том числе для нужд электронной подписи, хеширования и шифрования электронной почты.
Сценарии использования устройств с биометрией
Топ-менеджмент
Не секрет, что топ-менеджмент компаний хочет, чтобы безопасность, в том числе и информационная, была на самом высоком уровне, но при этом внедрение инструментов ИБ не вносило дискомфорта в существующие рабочие процессы.
Топ-менеджеры принимают стратегические решения, влияющие на всех сотрудников компании, подписывают финансовые документы и обладают правом доступа ко критически важной информации. Эта категория сотрудников является целевой при таргетированных атаках. Утечка учётных данных топ-менеджеров может привести к нарушению конфиденциальности важных данных или даже их утере.
Применение биометрии в таком случае может предотвратить подобные последствия, ведь пароль для аутентификации не используется, а биометрические данные остаются в устройстве. Таким образом, внедрение биометрических продуктов приведёт к тому, что процессы станут удобнее: можно будет подписывать документы без ввода сложных паролей, а также будет решена задача обеспечения защищённости.
Промышленный сектор
С точки зрения функционирования информационных систем промышленный сектор является отдельным миром, реалии которого зачастую сильно отличаются от корпоративного сектора. Баланс «безопасность — работоспособность АСУ ТП» в этих условиях найти очень трудно. Пользователи часто ссылаются, например, на то, что замедление при вводе пароля на клавиатуре операторской станции может привести к непоправимым последствиям. Как следствие, АРМ управления важными и опасными процессами не блокируются и воспользоваться ими может любой желающий. При этом, как правило, все процессы ещё и запускаются из-под встроенной учётной записи администратора.
В этом случае внедрение биометрической идентификации может решить сразу несколько проблем. Во-первых, можно будет настроить персонифицированный вход для каждого сотрудника, подтверждаемый отпечатком пальца и не требующий ввода сложного пароля. Во-вторых, могут быть исполнены требования законодательства, связанные с идентификацией и аутентификацией пользователей на хостах. В третьих, таким образом можно обеспечить дополнительную безопасность на таких объектах, как атомные, гидро-, электростанции и т. д.
Интеграция с другими решениями (OEM)
Компания Аладдин поставляет свои продукты и в концепции OEM, т. е. компоненты могут быть встроены в любые устройства, где осуществляются идентификация и аутентификация. Доступ может предоставляться ко всему устройству или к определённой его функциональности, например USB.
Примерами такой интеграции могут быть ноутбуки со встроенными считывателями отпечатка пальца, аппаратные элементы СКУД и т. д.
Выводы
Биометрические технологии уже стали привычными для многих пользователей, поэтому переход на устройства компании Аладдин пройдёт легко для компаний. Новые считыватели можно применять как при идентификации, так и при многофакторной аутентификации. Это удобно для пользователей, потому что им не нужно запоминать ПИН-коды или пароли.
Биометрия позволяет существенно усилить защиту персональных данных и доступа пользователей к системам. Это особенно действенно для борьбы со внутренним нарушителем, риск атаки со стороны которого особенно велик при парольной защите.
Самым значимым преимуществом биометрии является то, что попадание доверенного устройства в руки злоумышленников не даёт им возможности получить доступ к защищённым данным. Для пользователей не менее важным будет тот факт, что электронный биометрический шаблон не покидает устройства, данные не передаются во внешние системы. Таким образом, утечка этих данных и несанкционированное их использование невозможны.