ЛР3 Средства двухфакторной аутентификации компании Vasco
Описание файла
Документ из архива "ЛР3 Средства двухфакторной аутентификации компании Vasco", который расположен в категории "". Всё это находится в предмете "информационная безопасность" из 11 семестр (3 семестр магистратуры), которые можно найти в файловом архиве МГТУ им. Н.Э.Баумана. Не смотря на прямую связь этого архива с МГТУ им. Н.Э.Баумана, его также можно найти и в других разделах. Архив можно найти в разделе "лабораторные работы", в предмете "информационная безопасность" в общих файлах.
Онлайн просмотр документа "ЛР3 Средства двухфакторной аутентификации компании Vasco"
Текст из документа "ЛР3 Средства двухфакторной аутентификации компании Vasco"
Методические указания к лабораторной работе по дисциплине «Информационная безопасность в системах обработки информации и управления»
Лабораторная работа №3.
Средства двухфакторной аутентификации компании Vasco. Часть 2.
-
Цель работы.
Ознакомиться с принципами аутентификации пользователей в системах обработки информации на основе одноразовых паролей с использование OTP-токенов компании Vasco.
2. Порядок выполнения работы.
2.1. Изучить теоретическую часть.
2.2. Последовательно выполнить все задания к лабораторной работе.
2.3. Проверить правильность выполнения заданий.
2.4. Оформить отчет по лабораторной работе.
3. Задания к лабораторной работе
3.1. Ознакомиться с техническими характеристиками ОТР-токенов DigipassGO3 и Digipass 250 .
3.2. Зайдите на демонстрационную часть сайта компании Vasco
http://www.vasco.com/products/applicationguide.html
3.3. Запустите тест аутентификационных методов «только ответ» и «запрос-ответ с использованием моделей токенов DigipassGO3 и Digipass 250
4. Содержание отчета
4.1. Название и цель работы.
4.2. Задание.
4.3. Краткое описание моделей токенов и задачи аутентификации пользователей.
4.4. Протоколы проведенных тестов.
5. Теоретическая часть
Устройства строгой аутентификации пользователей Digipass компании VASCO Data Security
Одним из наиболее уязвимых мест при подключении пользователя к защищаемым ресурсам является аутентификация пользователей с применением статических паролей. При использовании статических паролей возникают многочисленные угрозы, связанные с возможностью перехвата пароля и несанкционированного входа в систему с его использованием. Проникновение в систему в этом случае крайне сложно обнаружить и распознать, так как в данном случае факт несанкционированного доступа неотличим от подключения легального пользователя, что приводит к невозможности принять эффективные меры по предупреждению таких вариантов взлома системы.
Возможность перехвата пароля имеется в как в частных (локальных) сетях, и в сетях общего пользования. Особенно велика возможность перехвата паролей в системах, использующих Интернет в качестве среды передачи данных. Интернет, как среда передачи данных, создает дополнительные возможности за счет проникновения на компьютер пользователя программ – троянов и такой угрозы, как фишинг.
Так например при банковских операций проводимых с помощью Интернет-банкинга, надежная аутентификация пользователей становится одной из основных проблем при удаленном управлении банковским счетом.
Самой распространенной мерой защиты является периодическая смена паролей, которые либо создаются системным администратором, либо самими пользователями. К сожалению, эта мера далеко не всегда достигает поставленной цели. В том случае, если пароли создаются администратором, необходим защищенный от возможного перехвата канал передачи новых паролей пользователям. Более того, если пароль создается с помощью программных средств и является бессмысленным набором символов, букв и цифр, то, как правило, пользователи записывают пароль и хранят его в удобном для себя месте. В том случае, если создание нового пароля доверяется пользователю, то большинство из них используют свои персональные данные, что не обеспечивает высокой стойкости данных паролей.
Еще одним распространенным методом защиты от перехвата паролей является использование одноразовых паролей, который пользователь получает в виде книжки с готовыми паролями, каждый из которых может быть использован во время одного сеанса работы с системой. Во время следующего сеанса будет использован следующий пароль и так далее. Основным недостатком данного решения является высокая стоимость печати и распространения таких одноразовых паролей.
Система DigiPass предназначена для строгой аутентификации* пользователей и находит широкое применение в локальных сетях, системах удаленного доступа, электронной и мобильной коммерции, банковских системах дистанционного обслуживания. Оборудование DigiPass используется конечными пользователями – корпоративными и частными клиентами банков, обеспечивая надежную авторизацию и защиту от таких угроз, как фишинг и троянские программы при использовании удаленного доступа к управлению банковским счетом.
Системы DigiPass можно разделить на две большие группы:
-
аппаратные средства генерации одноразовых паролей
-
программные средства, обеспечивающие эмуляцию аппаратных средств для различных операционных систем
Аппаратные средства DigiPass серии DigiPass GO1, GO3, GO5, GO6 предназначены исключительно для генерации одноразовых паролей.
DigipassGO1 DigipassGO3 DigipassGO5 DigipassGO6
Устройства DigiPass 250, 260 и DigiPass Pro 300 обеспечивают как генерацию одноразовых паролей (в двух режимах), так и вычисление Message Authentication Code (MAC), позволяющего проверить отсутствие изменений в передаваемой в ходе транзакции информации.
Digipass 250 Digipass 260 Digipass Pro 300
Устройства DigiPass 550, 560, 580 в функциональном отношении полностью аналогичны вышеуказанному оборудованию DigiPass Pro 300, но имеют более удобный для пользователя интерфейс и обеспечивают поддержку сообщений на любом языке.
DigiPass 550 DigiPass 560 DigiPass 580
Особенностью устройств Digipass 800,810, 820 и 850 является то, что данные устройства предназначены для выполнения всех вышеописанных функций и являются автономными кардридерами для микропроцессорных карт стандарта EMV. Преимущество устройств этой серии в том, что персонализация устройства на этапе производства отсутствует, а для генерации одноразовых паролей используется персональная информация, размещенная в памяти микропроцессорной карты. Тем самым создается возможность для быстрой поставки оборудования заказчику и возможность безболезненной передачи оборудования третьим лицам. Digipass 850 может быть использован как в автономном, так и в подключенном режиме, используя для взаимодействия c компьютером шину USB.
Digipass 800 Digipass 810 Digipass 820 Digipass 850
Для проверки одноразовых паролей и МАС на серверной стороне размещается программная компонента решения, позволяющая проверить их подлинность. Для аутентификации пользователей в локальных сетях компания VASCO предлагает готовые решения на основе продукта Vacman middleware, для продуктов электронной коммерции имеется набор процедур (Vacman Controller), которые интегрируются в соответствующие программные продукты поставщика решения.
Строгая аутентификация пользователей достигается за счет применения одноразовых паролей в двух основных режимах:
-
Запрос-ответ
-
Одноразовый пароль, генерируемый по датчику реального времени
В первом случае пользователю, при попытке подключения к ресурсам с ограниченным доступом предлагается ввести некоторое числовое значение в имеющееся у него устройство семейства DigiPass и, получив от устройства ответ, отображаемый на дисплее токена, ввести его в систему аутентификации.
Во втором случае вместо статического пароля для аутентификации пользователя используется одноразовый пароль, который предоставляется в распоряжение пользователя токеном DigiPass.
Принцип действия устройств DigiPass основан на генерации одноразовых паролей с применением симметричного криптографического алгоритма для кодирования уникальной информации, содержащейся в токене, в сочетании с датчиком реального времени, который также входит в состав оборудования токена. В качестве алгоритма шифрования используется 3DES (AES для некоторых моделей). Результат шифрования отображается на дисплее токена и вводится вручную в систему аутентификации.
Программное обеспечение серверной части решения производит на основании имени пользователя генерацию одноразового пароля и сравнивает полученное от пользователя значение с вычисленным сервером одноразовым паролем. Далее, на основании результатов сравнения, программное обеспечение возвращает результат аутентификации в виде «да-нет». Основываясь на результатах аутентификации, следующий по иерархии уровень программного обеспечения позволяет принять решения о допуске или отказе в допуске пользователя к ресурсам вычислительной системы.
Оборудование семейства Digiзass не предусматривает возможности какого-либо изменения функциональности устройств конечными пользователями и имеет встроенные механизмы защиты от любых попыток получения доступа к системе генерации паролей. Любая попытка вскрытия устройства приводит к уничтожению ключа шифрования и невозможности дальнейшего использования данного устройства.
Устройства Digipass серии 800 не содержат каких-либо криптографических ключей и используют для аутентификации ключи, размещенные на карте стандарта EMV в соответствии со спецификацией EMV CAP, являясь по существу интерфейсом между картой и пользователем. Для данного типа устройств предусмотрена конструкция, позволяющая пользователю определить по внешнему виду устройства факт попытки физического вторжения в устройство.
* - под строгой аутентификацией подразумевается использование любых двух из трех следующих признаков пользователя:
-
Нечто, что имеется у пользователя – карта доступа, ключ
-
Нечто, что известно только пользователю (пароль, PIN-код)
-
Нечто, что присуще только пользователю – отпечатки пальцев, радужная оболочка (биометрия)
6. Рекомендуемая литература
1.Б. Шнаер Прикладная криптография. Протоколы, алгоритмы, исходные тексты на языке Си.-М.:ТРИУМФ,2003-816с.
2.Математические и компьютерные основы криптологии: Учеб. пособие/Ю.С.Харин и др.-Минск:Новое Знание,2003-382с.
3.Ю.В. Романец и др. Защита информации в компьютерных системах и сетях Изд. 2-е., М:Радио и связь, 2001-376с
