24 сентября, понедельник 03:26
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

аппаратная аутентификация.

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • аппаратная аутентификация.

    Коллеги, у кого какой опыт по данному вопросу?
    Решений сейчас масса, цены отличаюся от ~1500р. до ~ 500р. за место.
    Сам склоняюсь в сторону RuToken с RF - и ключ и пропуск на работу одновременно.
    Я словно лист на ветру, посмотри как я лечу...

  • #2
    а если забыл ключ-пропуск на работу???? Что тогда?

    Комментарий


    • #3
      Сообщение от exploit Посмотреть сообщение
      а если забыл ключ-пропуск на работу???? Что тогда?
      временный пропуск человек получает на охране.
      За паролем приходит в безопасность.
      Я словно лист на ветру, посмотри как я лечу...

      Комментарий


      • #4
        to exploit

        Можно получать свой пропуск в начале дня, и сдавать его в конце. Он и не потеряется и не забудится.

        Комментарий


        • #5
          Сообщение от box_roller Посмотреть сообщение
          to exploit

          Можно получать свой пропуск в начале дня, и сдавать его в конце. Он и не потеряется и не забудится.
          Можно, но проще их не совмещать От совмещения вы ничего не выигрываете. Кроме того, в токен можно прописывать ключи ЭЦП, и в таком случае отдавать токены кому-то не самая лучшая идея.

          Комментарий


          • #6
            Сообщение от Mc`Sim Посмотреть сообщение
            временный пропуск человек получает на охране. За паролем приходит в безопасность.
            А если аутентификация не парольная? Криптографическая, например? Генерить временный ключ? Лишний геморой.

            Комментарий


            • #7
              Сообщение от malotavr Посмотреть сообщение
              Можно, но проще их не совмещать От совмещения вы ничего не выигрываете. Кроме того, в токен можно прописывать ключи ЭЦП, и в таком случае отдавать токены кому-то не самая лучшая идея.
              Всё в одном - это удобно.
              "отдавать токены кому-то" - зачем кому-то? СБ. Пришел сотрудник на работу, получил карту на проходной. При выходе сдал.
              Удобно и карта не покидает территорию организации.

              Слышал много положительных отзывов о подобной реализации. Из отрицательных моментов – нужно время и методы для того что бы приучить сотрудников не расставаться с картой внутри организации и не пользоваться чужими картами. Но и это решаемо.

              Комментарий


              • #8
                Сообщение от box_roller Посмотреть сообщение
                Всё в одном - это удобно.
                "отдавать токены кому-то" - зачем кому-то? СБ.
                А почему СБ - это не "кто-то"? Вы же не сдаете в СБ печать, которая предназначена для штампования финансовых документов? Не сдаете, предпочитаете запирать в сейф. Отдавать такую печать СБ - лишний риск. То же самое и с токенами, принципиальных отличий не вижу.

                Комментарий


                • #9
                  malotavr
                  От совмещения пропуска и токена я выигрываю то, что пользователь не сможет оставить токен в компьютере - он тогда не сможет покинуть рабочее место.
                  Разговор пока конкретно про аутентификацию в домене Windows, как наиболее распространенном случае применения.
                  Я словно лист на ветру, посмотри как я лечу...

                  Комментарий


                  • #10
                    Сообщение от Mc`Sim Посмотреть сообщение
                    malotavr
                    От совмещения пропуска и токена я выигрываю то, что пользователь не сможет оставить токен в компьютере - он тогда не сможет покинуть рабочее место.
                    Разговор пока конкретно про аутентификацию в домене Windows, как наиболее распространенном случае применения.
                    Да, это несомненный плюс. Но за него приходится платить дополнительными ограничениями.

                    Я тоже конкретно про аутентификацию в домене. Почти во всех известных мне проектах, в которых внедрялась аппаратная аутентификация, сразу же за предложением использовать токен появлялось требование загнать на токены криптографические ключи. Второе требование, которое предъявлялось - "вездеходность" (один сотрудник - один пропуск, даже если сотруднику нужно ходить по разным зланиям, а в зданиях - электронные замки разных типов).

                    Комментарий


                    • #11
                      Сообщение от malotavr Посмотреть сообщение
                      Да, это несомненный плюс. Но за него приходится платить дополнительными ограничениями.

                      Я тоже конкретно про аутентификацию в домене. Почти во всех известных мне проектах, в которых внедрялась аппаратная аутентификация, сразу же за предложением использовать токен появлялось требование загнать на токены криптографические ключи. Второе требование, которое предъявлялось - "вездеходность" (один сотрудник - один пропуск, даже если сотруднику нужно ходить по разным зланиям, а в зданиях - электронные замки разных типов).
                      Ух, коллега, любите Вы в сторону уходить. 8)
                      начнем с конца. Я не вижу способа организовать "вездеходность" как с токеном, так и с обычным пропуском. ограничение физическое, как я понимаю - разные частоты. У меня такой проблемы нет - везде одинаковые замки.
                      С ключами ЭЦП тоже не вижу большой проблемы - мы по нашему внутреннему процессу храним секретные ключи наших внутренних пользователей. потеряет/забудет - переделаем. Вобщем - вероятность такого события(тут можно воспользоваться статистикой потери пропусков) не сильно выше вероятности потерять/повредить дискету с ключем.
                      Я словно лист на ветру, посмотри как я лечу...

                      Комментарий


                      • #12
                        Сообщение от Mc`Sim Посмотреть сообщение
                        Ух, коллега, любите Вы в сторону уходить. 8)
                        Я не ухожу от ответа - может быть, я просто вопроса не понял Вопрос был "Коллеги, у кого какой опыт по данному вопросу?". Я ведь не всегда в банке работал, поэтому опыт был:
                        - внедрение eToken'ов в разных вариантах (ключевой носитель, носитель учетной записи Windows, носитель учетной записи Sap, комбинации перечисленного)
                        - внедрение карточек, в том числе и гибридных (два чипа, бесконтакиный RFID и контактный криптографический)

                        Вот этим опытом и делюсь. Возникают проблемы, обычно заказчики по зрелому размышлению отказываются от объединения токена и пропуска, а на токен, наоборот, навешивают функций по-максимуму.

                        Сообщение от Mc`Sim Посмотреть сообщение
                        Я не вижу способа организовать "вездеходность" как с токеном, так и с обычным пропуском. ограничение физическое, как я понимаю - разные частоты. У меня такой проблемы нет - везде одинаковые замки.
                        С ключами ЭЦП тоже не вижу большой проблемы - мы по нашему внутреннему процессу храним секретные ключи наших внутренних пользователей. потеряет/забудет - переделаем. Вобщем - вероятность такого события(тут можно воспользоваться статистикой потери пропусков) не сильно выше вероятности потерять/повредить дискету с ключем.
                        У нас СБ впринципе отстранена от вопросов ИТ-безопасности, поэтому хранение совмещенного пропуска в СБ для нас неприемлемо. Ну и наконец - сотрудник СБ (и даже я сам ) такие же потенциальные нарушители, как и все остальные. Так что пользователь несет единоличную ответственность за свой закрытый ключ, поэтому я не могу ему рекомендовать сдавать токены куда-то.

                        А вот вездеходность реализуется просто - в арендуемых помещениях к собственно замкам прицеплено два считывателя, один - арендодателя, второй - собственный, единый для всех помещений.

                        Комментарий


                        • #13
                          Сообщение от Mc`Sim Посмотреть сообщение
                          Коллеги, у кого какой опыт по данному вопросу?
                          Давайте начнем с начала ;-) А зачем вам вообще аппаратная аутентификация?

                          Комментарий


                          • #14
                            Сообщение от Алексей Лукацкий Посмотреть сообщение
                            Давайте начнем с начала ;-) А зачем вам вообще аппаратная аутентификация?
                            Замена паролей. Пользователи очень разные. Память "девичья". Любят записывать на бумажки.
                            Я словно лист на ветру, посмотри как я лечу...

                            Комментарий


                            • #15
                              Сообщение от Mc`Sim Посмотреть сообщение
                              Замена паролей. Пользователи очень разные. Память "девичья". Любят записывать на бумажки.
                              Ну с токенами проблем не меньше. Их теряют, забывают пины, оставляют на столах, передают коллегам... С точки зрения ПРАКТИЧЕСКОЙ безопасности они не намного лучше обычных паролей. А вот их поддержка стоит денег и немалых ;-(

                              Комментарий


                              • #16
                                Сообщение от Алексей Лукацкий Посмотреть сообщение
                                Ну с токенами проблем не меньше. Их теряют, забывают пины, оставляют на столах, передают коллегам... С точки зрения ПРАКТИЧЕСКОЙ безопасности они не намного лучше обычных паролей. А вот их поддержка стоит денег и немалых ;-(
                                Собственно - почему я и поднял эту тему. чтобы обсудить плюсы и минусы.
                                вопрос с "передал" и "оставил" решается объединением токена и пропуска. Забыл/оставил - сиди на работе.
                                забыть пин (я правильно понимаю - 4 цифры?) все-же сложнее, чем нормальный(8-9 символов, не словарное слово и т.д.) пароль.

                                Про "потерять" я уже писал. Я поднял статистику по потере пропусков - не так уж и часто.

                                Про практическую безопасность. Как я понимаю - токен вещь более-менее уникальная. Он или есть у владельца, или его нет. Скопировать нельзя или очень непросто(=небыстро).
                                Я словно лист на ветру, посмотри как я лечу...

                                Комментарий


                                • #17
                                  Mc`Sim
                                  Коллега, проблема в том, что человек с "дырявой" памятью с равным успехом забудет как 8-ми символьное слово, так и пин из 4-х цифр (лично мне попадались товарисчи, которые даже банковскую карту носили завёрнутой в конверт с PIN'ом, дабы не остаться без денег в нужный момент).Подойдите к вопросу дифференцированно - вряд ли прям все Ваши пользователи поголовно страдают амнезией, выберите наиболее "беспамятных" и выдайте им токены для аутентификации.Что же касается "потерял - сиди на работе" - тут вопрос переходит уже в юридическую плоскость, и вряд ли юристы и работодатель поблагодарят Вас за такое "нововведение", и главное - совмещая на одном носителе идентификационные данные для двух разных подсистем Вы создаёте ещё одну возможную уязвимость, которую обязательно надо будет учесть в процессе оценке рисков.Зачем Вам нужна лишняя работа?
                                  Всё в наших руках...(с)

                                  Комментарий


                                  • #18
                                    Чем хороша биометрия, идентификатор сложно забыть-потерять.
                                    Возможно связка биометрия + ключ (пароль или карта) и решит проблему.
                                    Или чип под кожу

                                    Комментарий


                                    • #19
                                      box_roller
                                      Биометрия не панацея (эт я по собственному опыту) - чуть не так палец приложил, всё - ошибка распознавания, дубль два.Порезал подушечку пальца - ошибка, бывает, у человека кожа на подушечках пальцев облезает - опять ошибка, женщина руки кремом намажет - вот и снова ошибка...
                                      Опять же, при больших количествах пользователей не исключается нелегальный вариант прохождения официального пользователя через охраняемый периметр - "на плечах" коллеги...
                                      Всё в наших руках...(с)

                                      Комментарий


                                      • #20
                                        Сообщение от Mc`Sim Посмотреть сообщение
                                        забыть пин (я правильно понимаю - 4 цифры?) все-же сложнее, чем нормальный(8-9 символов, не словарное слово и т.д.) пароль.
                                        Все зависит от того, как выбирается пароль. Если, например, по первым буквам какой-то фразы или стиха, то такой пароль запоминается гораздо лучше, чем даже 4-хсимвольный ПИН.

                                        Сообщение от Mc`Sim Посмотреть сообщение
                                        Про "потерять" я уже писал. Я поднял статистику по потере пропусков - не так уж и часто.
                                        Это когда он только пропуск. У него "форм-фактор" совершенно иной - обычный пластик, который помещается в бумажник или сумочку. А тут у тебя он становится толще в разы - в бумажник уже не положишь. И число потерь сразу же увеличится.

                                        Сообщение от Mc`Sim Посмотреть сообщение
                                        Про практическую безопасность. Как я понимаю - токен вещь более-менее уникальная. Он или есть у владельца, или его нет. Скопировать нельзя или очень непросто(=небыстро).
                                        Ну симки тоже считалось нельзя клонировать. Но ведь клонируют ;-)

                                        ЗЫ. Вот еще забавное чтиво на тему токенов ;-) http://www.securitylab.ru/opinion/271739.php

                                        Комментарий


                                        • #21
                                          Пух575 Что же касается "потерял - сиди на работе" - тут вопрос переходит уже в юридическую плоскость
                                          Про "потерял" я не писал "сиди на работе". Внимательнее читаем 8).
                                          Потерял - восстанавливаем.
                                          Забыл/оставил - либо дальше сиди на работе, либо вернись и забери.
                                          Не вижу тут никаких юридических тонкостей. Дисциплина чистой воды.
                                          Я словно лист на ветру, посмотри как я лечу...

                                          Комментарий


                                          • #22
                                            Когда я был на семинаре EMC - они презентовали свои умные пластиковые карты - с генератором случайных чисел(псевдо).
                                            Товарищ из Италии очень интересную мысль толкнул.
                                            В обычных пластиковых картах для снятия денег используется связка:
                                            Физическая карта(сама пластиковая карта)+ПИН Кода.
                                            Пластиковую карту человек может потерять или кто-то специально украсть. Пин код можно тоже при желании раздобыть - либо специальными кейлогерами(накладки на кнопки банкомата) или еще как-то.
                                            Он предложил ввести 3й параметр аутентификации.
                                            У ЕМС в кредитку встроен чип и цифровой генератор, перед тем как сунуть карту в банкомат, нажимаете на кнопку на генераторе и он выдает ключ. В этом случае проблема - если пропадет карта то и ключ генератора злоумышленник тоже узнает, т.к. он вшит в карту.
                                            Рассматривались варианты с Токеном, который болтается на шее и генерирует числа. Столкнулись с проблемами обсуждаемые в соседнем топике, легко потерять, забыть и т.д.
                                            И тут он предложил гениальную мысль. Генератор должен быть постоянно с человеком. Что человек постоянно носит с собой? что есть практически у каждого?
                                            Мобильник. Клиент звони в специальный сервис или отправляет СМС ему в ответ приходит ключ аутентификации.
                                            Мне кажется за таким подходом будущее. Кстати уже есть подобные сервисы аутентификации.

                                            Комментарий


                                            • #23
                                              Алексей Лукацкий
                                              Про пароли - согласен. Метод с фразой неплох. Расписать по-людски и можно внедрять в головы пользователям 8).
                                              Про ПИН тоже вроде понятно. Забыть могут и его.

                                              О потерю. Да, токен толще. Но ведь и уже/короче. Да, не влезает в бумажник. Но замечательно вешается на шею. Обязать носить всех пропуск на шнурке на шее вместе с пропуском - чем не решение?
                                              Работал я на одном западном заводе - там ношение пропуска регламентировалось правилами внутреннего распорядка и СБ следило за этим. А в столовой без пропуска и вобще делать было нечего. И в народ носил. не 100%, но подавляющее большинство.

                                              про копирование токена - похоже, кроме Вас здесь в этом мало кто разбирается. На сколько это сложно?
                                              Я словно лист на ветру, посмотри как я лечу...

                                              Комментарий


                                              • #24
                                                Сообщение от barmalei Посмотреть сообщение
                                                У ЕМС в кредитку встроен чип и цифровой генератор, перед тем как сунуть карту в банкомат, нажимаете на кнопку на генераторе и он выдает ключ.
                                                ...
                                                Мобильник. Клиент звони в специальный сервис или отправляет СМС ему в ответ приходит ключ аутентификации.
                                                Мне кажется за таким подходом будущее. Кстати уже есть подобные сервисы аутентификации.
                                                В итоге к связке карта-банкомат-процессинг добавляются еще два уязвимых узла:
                                                - генератор однократных паролей плюс центр верификации однократных паролей
                                                или
                                                - центр генерации однократных паролей плюс оператор сотовой связи.

                                                Надежность существенно снижается.

                                                Комментарий


                                                • #25
                                                  В итоге к связке карта-банкомат-процессинг добавляются еще два уязвимых узла:
                                                  - генератор однократных паролей плюс центр верификации однократных паролей
                                                  или
                                                  - центр генерации однократных паролей плюс оператор сотовой связи.
                                                  Про однократные пароли здесь все зависит от качества реализации генератора. При закрытом алгоритме привязанном к внешним хаотичным явлениям - генератор будет не предсказуем.
                                                  А риски оператора связи как здесь умещаются?
                                                  Даже если злоумышленник прослушает один код - он будет не действителен при следующем входе или через 1 минуту...

                                                  Комментарий


                                                  • #26
                                                    Сообщение от barmalei Посмотреть сообщение
                                                    При закрытом алгоритме...
                                                    Что противоречит правилу Кирхгоффа

                                                    Комментарий


                                                    • #27
                                                      Сообщение от barmalei Посмотреть сообщение
                                                      Мобильник. Клиент звони в специальный сервис или отправляет СМС ему в ответ приходит ключ аутентификации.
                                                      Мне кажется за таким подходом будущее. Кстати уже есть подобные сервисы аутентификации.
                                                      Василий Сахаров из Демоса с этой идеей давно носится. Еще до покупки RSA EMC. Но СМС передается открытым текстом, что можно перехватить. Более того, ты начинаешь зависеть от оператора и кучи разных условий, влияющих на связь. Ну и, наконец, не надо забывать, что это в Европе мобильник у всех, а в России - это пока не так. Да и не во всех компаниях разрешено мобильниками пользоваться ;-(

                                                      Кроме того. В местах массового скопления народа (проходная, столовая и т.д.) - пользоваться телефоном в качестве аутентификатора - очень долгий процесс.

                                                      Комментарий


                                                      • #28
                                                        Сообщение от Mc`Sim Посмотреть сообщение
                                                        Алексей Лукацкий
                                                        Про пароли - согласен. Метод с фразой неплох. Расписать по-людски и можно внедрять в головы пользователям 8).
                                                        Есть специальные тулзы, которые генерят такие пароли. Они легко запоминаются и сложно подбираются.

                                                        Сообщение от Mc`Sim Посмотреть сообщение
                                                        Да, токен толще. Но ведь и уже/короче. Да, не влезает в бумажник. Но замечательно вешается на шею. Обязать носить всех пропуск на шнурке на шее вместе с пропуском - чем не решение?
                                                        Работал я на одном западном заводе - там ношение пропуска регламентировалось правилами внутреннего распорядка и СБ следило за этим. А в столовой без пропуска и вобще делать было нечего. И в народ носил. не 100%, но подавляющее большинство.
                                                        А вот про это как раз я ссылку кинул на статью ;-)

                                                        Сообщение от Mc`Sim Посмотреть сообщение
                                                        про копирование токена - похоже, кроме Вас здесь в этом мало кто разбирается. На сколько это сложно?
                                                        Да я тоже этим особо не занимался. Давно разбирался - понял, что возможно и благополучно забил на это ;-)

                                                        Комментарий


                                                        • #29
                                                          По поводу генератора - пусть будет открыт, если он привязан к внешним хаотичным не прогнозируемым событиям то он будет надежен - к примеру датчику температуры в комнате+уровень шума+уровень света - такой генератор невозможно предсказать.

                                                          в Европе мобильник у всех, а в России - это пока не так
                                                          В больше степени уверен что у кого нет мобилы - у того и кредитки нет.
                                                          Но СМС передается открытым текстом, что можно перехватить.
                                                          не вижу проблемы. Пускай перехватыват. Код генерируеться раз в минуту(к примеру). через минуту код не действителен.

                                                          Кроме того. В местах массового скопления народа (проходная, столовая и т.д.) - пользоваться телефоном в качестве аутентификатора - очень долгий процесс.
                                                          Не вижу больших трудностей.

                                                          http://enum.ru/default.aspx

                                                          Комментарий


                                                          • #30
                                                            Сообщение от barmalei Посмотреть сообщение
                                                            В больше степени уверен что у кого нет мобилы - у того и кредитки нет.
                                                            А причем тут кредитка? Речь шла об обычно аутентификации.

                                                            Сообщение от barmalei Посмотреть сообщение
                                                            Пускай перехватыват. Код генерируеться раз в минуту(к примеру). через минуту код не действителен.
                                                            Вот именно, что к примеру. В случае с СМС у вас таймаут возрасти должен многократно для учета погрешности в качестве связи и т.д. А это уже дает поле для деятельности злоумышленника.

                                                            Сообщение от barmalei Посмотреть сообщение
                                                            Не вижу больших трудностей.
                                                            А зря ;-) Когда у вас с утра, к 9.30 утра на проходной сталкивается несколько десятков человек, то не все готовы терпеливо ждать впереди стоящего человека, с бодуна с трудом попадающего по клавишам ;-)

                                                            Если уж мы говорим про мобильники, то "проще" пойти по пути технологии NFC, когда мобильник САМ будет выступать как аутентификатор. Без всяких СМСок.

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X