К вопросу о двухфакторной аутентификации с помощью мобильных устройств



    Пролистывал на днях статьи на Хабре, и невольно в голову пришла навязчивая идея, что слишком много в последнее время совпадений…… Не смог от нее избавиться и набросал пару строк.

    Итак, что с чем совпало?

    Читая обсуждение на Хабре на тему открытого письма одного известного безопасника другому известному соучредителю соц.сетей, ловил себя на мысли, насколько противоположные мнения у комментировавших насчет безопасности и удобства использования сети. Одно порадовало, плюсами в основном отмечали сторонников необходимости поддержания достойного уровня безопасности. Особенное внимание я обратил на идею двухфакторной аутентификации с помощью мобильных устройств…

    В это же время наткнулся на статью про то, как мы в Symantec едим собственную стряпню…

    И ровно в настоящий момент в рамках этой программы у нас идет процесс внедрения в собственную корпоративную сеть одного из наших недавно купленных сервисов: VeriSign Identity Protection, сокращенно VIP, который как раз таки служит для двухфакторной аутентификации, как раз таки с помощью мобильных устройств.
    Сложив все в кучу, решил набросать пару слов на тему этой весьма интересной технологии, к сожалению пока мало известной в России.

    Итак, что же это за зверь такой, VIP?


    Если в двух словах, то VIP – это услуга, позволяющая провести двухфакторную аутентификацию с помощью одноразового пароля. В VIP используется синхронизация по времени между генератором одноразовых паролей и службой проверки правильности пароля. При этом важной отличительной особенностью VIP является возможность использования одного профиля как внутри компании, так и для аутентификации во внешних приложениях. Если упростить, то схема выглядит аутентификации выглядит примерно следующим образом:



    Возвращаясь к вопросу открытого письма, где предлагалось использование мобильных устройств для двухфакторной аутентификации… Кто-то даже предполагал, что это крайне сложно организовать. На самом деле нет, другое дело, что это дополнительные затраты, а на кого они лягут?
    Возвращаясь к технологии: с помощью VIP это можно легко организовать (двухфакторную аутентификацию с использованием мобильных телефонов). В качестве генератора одноразовых паролей можно использовать как аппаратные устройства (токены, карты и т.д.), так и приложение на мобильном телефоне. Думаю, что многие из Вас со мной согласятся, что последний вариант куда удобнее, т.к. мобильный телефон всегда с собой, при этом нет необходимости дополнительных затратах на покупку оборудования, транспортировку, обслуживание и т.д.

    Другой вопрос, кто будет платить за эту возможность?


    Для пользователей эта радость абсолютно бесплатна. И это хорошая новость.
    Кстати, если кто-то хочет посмотреть как выглядит данное приложение, то заходите на сайт m.verisign.com, скачивайте приложение и будьте счастливым обладателем одноразовых паролей.
    Для тех, то не захочет качать, но хочет увидеть:


    Итак, в случае если одноразовый пароль используется для аутентификации на публичном ресурсе, то этот ресурс платит за использование услуги.
    Если одноразовые пароли используются внутри компании, то платит компания, где это используется.
    Где же его использовать?

    Если используете ebay или paypal, то можно там. В принципе, есть сайт, где можно найти все публичные ресурсы, на которых возможна аутентификация по этим одноразовым паролям.
    Также можно использовать одноразовые пароли внутри компаний, самый типичный сценарий — подключение через VPN.

    Кстати, если Вы являетесь обладателем публичного ресурса и хотите предоставить возможность своим пользователям аутентифицироваться с помощью одноразовых паролей, то милости просим присоединяться к нам. Процедура интеграции с VIP крайне проста.

    К чему я это все?


    Вопрос безопасности обычных паролей стар, как мир, но при этом большинство компаний все еще не используют средств многофакторной аутентификации. Причины обычно: дорого, неудобно, сложно и т.д.
    Есть решения, которые позволяют сделать аутентификацию надежной, при этом удобной и не особо дорогой. А если смотреть не на первоначальную стоимость, а на совокупную стоимость владения, то я бы сказал и вовсе «дешевой».

    Т.ч. не так страшен черт, как его малюют, и не так сложна многофакторная аутентификация, как ее многие представляют.
    Symantec 42,22
    Компания
    Поделиться публикацией
    Комментарии 50
    • 0
      … и будьте счастливым обладателем одноразовых паролей.
      Эта фраза заставила меня улыбнуться.

      • +2
        Поверьте, испытывал те же эмоции, когда писал этот текст.
      • 0
        Кстати, компания Blizzard, тоже навязывает этот способ авторизации своим пользователям.
        • 0
          Неправда, они всего лишь рекомендуют.
          • 0
            в точку)
            большинство компаний именно рекомендует.
            а выбирать уж пользователям. Хотят они защищать свой аккаунт, или готовы потерять его.
          • 0
            кстати, в данной реализации одноразовых паролей их можно использовать только на данном ресурсе. Представляю пользователя 20 ресурсов, для каждого из которых нужен свой брелок или отдельное приложение для генерации одноразовых паролей)
            • 0
              Кстати, они теперь просят код только при авторизации на сайте или при первом заходе в игру с текущей машины (данные о брелке где-то в cahce хранятся)
            • +1
              Бесплатный аналог — FreeRADIUS + mOTP
              • 0
                проблема в том, что mOTP нет на paypal, ebay, etc… решение на motp подойдет для личного или корпоративного ресурса
                • –1
                  Есть более простой и более дешевый способ аутентификации с помощью мобильного (и даже, стационарного!) телефона.
                  Итак, зайдя на сайт (не обязательно даже с самого телефона) клиент может авторизоваться, либо как классическим способом (логин-пароль, open-id, цифровой сертификат, кукисы, прямая ссылка из е-майл), либо, предлагаемым мною«телефонным» способом:
                  Клиенту достаточно ввести свой логин (либо, просто, четыре последних цифры своего телефона), и нажать на кнопку «Звонок».
                  Далее клиент делает исходящий вызов на номер телефонного провайдера, и ждет длинного гудка.
                  После этого нажимает на кнопку «Войти» — и попадает в персональную закрытую часть сайта (в случае успешной авторизации).
                  • 0
                    Аутентификация в данном случае основана на SIM-карте (RUIM-карте) мобильного телефона, и знании пин-кода к карте.
                  • 0
                    А что Вы думаете о E-NUM авторизации в системе WebMoney?
                    • +2
                      По описанию вполне интересный вариант.
                      К сожалению, не было времени посмотреть более детально.

                      Но, опять же, как во всех примерах из комментариев к посту: данный вариант можно использовать только для ограниченного сегмента приложений (webmoney+партнеры).
                      Описанный же в посте вариант можно использовать везде. Или потенциально везде)))))))))
                      т.е. там, где поставщик услуги произвел интеграцию со службой проверки одноразовых паролей. И еще раз повторюсь, можно использдовать и внутри компаний.
                    • +1
                      Что-то вы про <a href=«googleblog.blogspot.com/2011/02/advanced-sign-in-security-for-your.html»гугл забыли. Да и в яндекс.деньгах что-то подобное есть. Не говоря уже интернет-банках, где пароли по смс/из токенов используются практически везде. Так что технология очень известная.
                      • +1
                        согласен, технология известная.
                        но реализаций много.
                        хорошо, что все понимают, что нужно уходить одноразовых паролей.
                        Другое дело, что плохо, что каждый строит свой дом без оглядки на других.
                        В итоге получаем «неорганизованную застройку».

                        В случае Гугла нужно отдать должное, что можно будет использовать в ряде приложений. Но опять же, гугл-аккаунт использовать можно далеко не везде. И конечно же не внутри компаний.
                      • 0
                        А этот одноразовый пароль генерируется по каким-то алгоритмам или приходит на телефон через, скажем, GPRS?
                        • 0
                          Генерируется Алгоритмами как и в токенах)
                        • НЛО прилетело и опубликовало эту надпись здесь
                          • 0
                            Похоже, то, что по ссылке — это и есть тот же Verisign… хотя возможно система несколько кастомизированна, т.к. приложение выглядит чуть по-другому
                            www.google.com/support/mobile/bin/answer.py?answer=78526
                            • +1
                              gmail и сам google используют VeriSign, но немного по другому направлению.
                              в ссылке указано, что они используют сертификаты от VeriSign.
                              Эти технологии никак не противоречат, а только дополняют друг друга.
                          • 0
                            Сколько стоит то
                            • 0
                              как всегда, вопрос обсуждаемый))))
                              но для прикидки: долларов по 10 за аккаунт если речь идет о тысяче пользователей.
                              Сами понимаете, чем больше пользователей, тем меньше цена.
                              • 0
                                Кстати, не совсем понятно, за что именно нужно платить в этой технологии?
                                • 0
                                  кто-то же должен обслуживать инфраструктуру, обслуживающую эту возможность)
                                  • +1
                                    Так денег правильнее было бы собрать со спонсоров, желающих разместить рекламу на страницах сайта с мегапопулярным проектом по бесплатной организации открытой двухфакторной авторизации!
                                    • 0
                                      Каким контентом будете заманивать спонсоров на такой ресурс?)
                                      • 0
                                        Могу предложить тематику «Решения по авторизации».
                                        Создать раздел, подробно описывающий все модные способы авторизации и аутентификации, с открытыми исходными текстами на всех возможных языках программирования, и на всех мыслимых платформах.
                                        Ради такого дела можно даже задействовать домен oauth2.ru
                            • 0
                              К своему огромному огорчению не нашел в списке мобильных платформ x86 16-bit DOS. Такое программное решение позволило бы мне в качестве мобильного оборудования использовать нет-бук ЕЕЕ, который я мог бы загружать с загрузочной SD-карты, с установленной на ней MS-DOS (PC-DOS, FREE-DOS).
                              • 0
                                может, я что-то пропустил? зачем грузиться в DOS?
                                подозреваю, что не многие все еще это делают, поэтому и поддержку не реализовали.
                                • 0
                                  Речь идет не о использовании DOS в качестве основной операционной системы.
                                  Речь идет о поддержке платформы DOS. Поскольку такие программы можно будет запустить и из Windows (например Windows-98/XP).
                                  То есть нужно разработать обычное консольное приложение запускающееся из командной строки с возможностью перенаправления ввода-вывода
                                  • 0
                                    разработать, думаю, особой сложности нет.
                                    вот только:
                                    — кто будет это все поддерживать? (есть сомнение, что разработчики захотят ковыряться с проблемами на Win98)
                                    — кто будет использовать? (не видел статистику, но есть предположение, что это нужно единицам)
                                    • 0
                                      А, в чем, собственно проблема-то? Ведь, даже на турбо-паскале можно ж написать простенькую программку в 15 строчек, которая генерирует случайное число в диапазоне от 100000 до 999999 в зависимости от текущего показания системного таймера и секретного ключа-затравки.
                                      • 0
                                        А сервер, производящий проверку также будет генерировать случайное число?))))
                                        Попробуем предсказать результат сопоставления двух величин.
                                        • 0
                                          На сервере хранится секретный ключ-затравка (или его асимметричный аналог), привязанный к учетке пользователя.
                                          Когда пользователь на своем оборудовании генерит разовый пароль (со временем жизни в 30 секунд), и отправляет его на сервер, сервер также генерирует с этой же затравкой последовательность (с шагом в 1 секунду, или даже, десятую долю секунды) из 60-100 «кандидатов» на роль разового ключа (один из которых должен гарантированно совпасть с тем разовым ключом, который был получен от клиента).
                                        • 0
                                          видимо, не совсем правильно понял. т.е. вы говорите про простоту написания функции, которая «скрещивает» системное время и некий идентификатор, привязанный к пользователю?
                                • 0
                                  С мобильными телефонами возникает вопрос: а насколько они сами надёжны? Собственно, ответ всем известен. Разве что иметь телейон только для паролей, без сторонних программ. Но это нереально. Вот брелоки специализированные — это более интересное решение.
                                  • 0
                                    Для авторизации в принципе можно использовать не сам телефон, и сим-карту, вставленную в телефон.
                                    Причем от телефона требуется всего лишь поддержка одной-единственной функции: уметь делать исходящий вызов на нужный номер.
                                    Впрочем, вместо телефона можно использовать и обычный модем (в связке с компом).
                                    • 0
                                      В описанном решении можно использовать и брелоки (или брелки, как теперь русский язык позволяет, мне так удобнее).
                                      Если нет веры в приложение на мобильном устройстве, то можно использовать брелок. Но, сами понимаете, это лишние затраты + нужно его с собой носить.

                                      Т.ч. сопоставляйте риски от использования телефона и неудобство использования брелков и выбирайте, что удобнее.
                                      • 0
                                        На самом мобильнике (в моем варианте, который заминусовали) вообще не требуется устанавливать никакого дополнительного программного обеспечения.
                                        Мобильник есть у всех (в отличие от токенов/брелоков).
                                        Сим-карта имеет СТАНДАРТИЗОВАННУЮ защиту, и не нужно специально еще что-то велосипедить.
                                        Решение — полностью универсальное: Не нужно таскать с собой связку из нескольких мобильных телефонов для авторизации на разных ресурсах.
                                        Решение абсолютно бесплатное (для всех сторон, включая серверов авторизации), поскольку не требуется поддерживать специальную инфраструктуру, и выпускать (изготавливать и распространять в защитной упаковке) программно-аппаратные модули.
                                        • 0
                                          И звонки бесплатные?!
                                          • 0
                                            Конечно же бесплатные!
                                            Важен лишь сам факт «дозвона». То есть пользователь должен лишь услышать один «длинный гудок» и повесить трубку. Этого достаточно!
                                            Сервер после третьего гудка сам вешает трубку (если клиент не повесил), чтобы не занимать канал. Можно хоть из-заграницы такой дозвон сделать АБСОЛЮТНО бесплатно.
                                            • 0
                                              При звонках из-заграницы номер часто неопределен или измененный (видимо операторы «химичат»). Так что такой способ больше подхожит для ситуации, когда все пользователи свои, локальные
                                              • 0
                                                По крайней мере при звонках из Украины (а, так же при роуминге в Украине) проблем не возникает.
                                                Возможно, скора появится возможность проверить этот факт из Турции.
                                              • 0
                                                не забывайте, что в момент вашего дозвона потенциальный злоумышленник также может нажимать кнопку ввода на своем компьютере, логинясь вместо вас. Это как один сценарий, показывающий недостаток данного метода.

                                                При этом мне до сих пор не понятно, почему Вы считаете, что в данном случае все будет бесплатно. Обеспечивать поддержание и такой системы тоже стоит денег. Если это делать для каждой системы отдельно, то каждому нужно будет думать о поддержании своей системы. Если думать централизовано (аналог нашей схемы), то поддержание доступности данной системы -тоже не самая простая задача. А также необходимо забывать промасштабирование.
                                                • 0
                                                  Факт попытки одновременного логина легко выявляется на стороне сервера, и точно так же легко разрешается: например, и того и другого пользователя просят повторно набрать номер, и при этом, первому предлагается «дождаться второго длинного гудка» и самостоятельно повесить трубку, а, второму предлагают просто дождаться, когда сервер сам повесит трубку.
                                                  В зависимости от того, какой из двух предложенных сценариев будет выполнен на клиентской стороне, тот комп и будет считаться авторизованным. (А, второй комп получит бан на пять минут, и будет занесен в черный список).
                                                  Телефонное подтверждение может использоваться не только при логине в системе: например, при внесении в профиль пользователя существенных изменений, или при заказе дорогой услуги, подписке и т.д.

                                                  Относительно бесплатности: поддержание данной системы сводится лишь к единичной замене (подключению нового) USB-модема к серверу с запущенным демоном RINGOUT-провайдера.

                                                  Масштабирование реализуется либо добавлением дополнительных модемов (с новыми номерами), либо установкой многоканальной АТС (с перераспределением нескольких вызовов по одному номеру на несколько модемов в пуле).

                                                  Так же можно построить полностью автономную RINGOUT-систему (с резервированием), которая автоматически переключается в случае отказа. В общем-то по такому же принципу работают большинство автоматических систем охранно-пожарной сигнализации.
                                                  • 0
                                                    например, и того и другого пользователя просят повторно набрать номер, и при этом, первому предлагается «дождаться второго длинного гудка» и самостоятельно повесить трубку, а, второму предлагают просто дождаться, когда сервер сам повесит трубку

                                                    Т.е. после того как легитимный пользователь понял, что под его учеткой логинится кто-то еще, ему предлагают поиграть со злоумышленником в игру «орел или решка»?
                                                    А если это запланированная атака и логинятся 234 злоумышленника, предлагать пользователю:«подождать 5 гудков, перезвонить, подождать сброса, перезвонить и подождать 1 гудок»?

                                                    хм… да я некропостер o_O
                                      • 0
                                        Когда-то я уже писал про двухсторонний метод аутентификации, в итоги пришли к тому что возможно клонировать сим карты. Но как по мне, данный вид куда безопаснее. :)
                                        • 0
                                          А можно где-то увидеть расценки на это решение? На сайте я что-то не нашёл.
                                          • 0
                                            ответ писал выше.
                                            Цитирую:
                                            «как всегда, вопрос обсуждаемый))))
                                            но для прикидки: долларов по 10 за аккаунт если речь идет о тысяче пользователей.
                                            Сами понимаете, чем больше пользователей, тем меньше цена. „
                                            • 0
                                              Отписал Вам в личку. Хотим подключиться, интересно.

                                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                          Самое читаемое