что такое otp и как это связано с моей контактной информацией в приложении smart-id? – smart-id

Введение

Всё чаще появляются новости о новых попытках взлома той или иной организации, и иногда успешные попытки приводят к необратимым последствиям, начиная с компрометации критически важных данных и заканчивая штрафами и прочими неприятными последствиями вплоть до требований многомиллионного выкупа (как в случае с Garmin).

С появлением в нашей жизни карантина и всеобщим переходом на удалённый режим работы у злоумышленников появилось больше возможностей для манёвра, в связи с чем возросли потребности организаций в обеспечении безопасности сегментов сети. Особенно остро ощущается необходимость предотвращения несанкционированного доступа — усиления мер аутентификации пользователей.

Как известно, существует множество способов аутентификации (подробнее о них можно узнать в статье). Одним из наиболее распространённых вариантов на сегодняшний день остаётся метод OTP (One-Time Password), о котором пойдёт речь в этом обзоре.

Для усиления мер защиты всё чаще применяется гибридный подход, подразумевающий использование нескольких факторов аутентификации. OTP может являться одним из них.

Jacarta authentication server (jas) aladdin 2fa

JaCarta Authentication Server (JAS) — автономный высокопроизводительный сервер аутентификации, поддерживающий работу как c аппаратными OTP-токенами (например, JaCarta WebPass), так и с мобильными приложениями, реализующими функциональность OTP-токенов:

Aladdin 2FA, разработанным компанией “Аладдин Р. Д. “, а также сторонними продуктами, например Google Authenticator, “Яндекс.Ключом” и любыми другими работающими по такому же стандарту. Совместное использование JAS с Aladdin 2FA позволяет обеспечить повышенный уровень защищённости.

Преимущества использования JAS:

  • Усиленная аутентификация пользователей по одноразовым паролям (OTP).
  • Обеспечение аутентификации на настольных компьютерах, ноутбуках (JAS OTP Logon).
  • Простая интеграция с прикладным ПО по стандартным протоколам и шлюзам удалённого доступа.
  • Высокая производительность (более 1000 аутентификаций в секунду).
  • JAS зарегистрирован в Едином реестре российских программ для электронных вычислительных машин и баз данных (№ 2128).
Похожее:  Настройка 4g модема МТС: пошаговая инструкция, советы

Aladdin 2FA — мобильное приложение для генерации одноразовых паролей по времени (TOTP) или по событию (HOTP). По функциональным возможностям приложение Aladdin 2FA — такое же простое и интуитивное, как Google Authenticator, однако при корпоративном использовании Aladdin 2FA совместно с сервером аутентификации JaCarta Authentication Server приложение надёжно защищает передаваемый пользователю секрет.

Интерфейс приложения Aladdin 2FA и сообщение о невозможности повторной активации аккаунта
Рисунок. Интерфейс приложения Aladdin 2FA и сообщение о невозможности повторной активации аккаунта

Aladdin 2FA позволяет защитить данные приложения при помощи биометрии или PIN-кода. Самостоятельно попробовать и сравнить различные сценарии работы приложения Aladdin 2FA (открытый по аналогии с Google Authenticator и защищённый Aladdin 2FA) можно на демо-портале.

К достоинствам системы можно отнести:

  • Простоту интеграции и использования.
  • Поддержку в Aladdin 2FA механизма усиленной безопасности в процессе передачи секрета (вектора инициализации) совместно с сервером аутентификации JAS.

К недостаткам системы можно отнести:

  • Ограничение мобильного приложения по минимальной версии операционной системы: iOS 12 и выше, Android 5 и выше.

Подробнее с продуктом можно ознакомиться здесь.

Jacarta webpass

Устройство российского производителя позволяет реализовать двухфакторную аутентификацию пользователя в защищённых информационных системах с использованием одноразового или многоразового пароля. JaCarta WebPass может работать совместно с автономным высокопроизводительным сервером аутентификации JaCarta Authentication Server для обеспечения безопасного подключения к шлюзам удалённого доступа (Microsoft, Citrix, Palo Alto, Check Point, VMware, Fortinet и др. — список постоянно пополняется), корпоративным системам (CRM, порталы, электронная почта и т. д.)

USB-токен JaCarta WebPass
Рисунок. USB-токен JaCarta WebPass

К достоинствам JaCarta WebPass можно отнести:

  • Возможность автоматической подстановки паролей в поля экранных форм.
  • Возможность хранения адресов защищённых веб-ресурсов и автоматический запуск веб-браузера с переходом по сохранённому адресу при нажатии на кнопку на токене.
  • Полную совместимость с классическими ОТР-токенами (eToken PASS, eToken NG-OTP и др.) согласно RFC 4226.
  • Поддержку всех популярных ОС: Microsoft Windows, Linux, macOS, Google Android, Apple iOS (через Camera Connection Kit).
  • Возможность хранения криптоконтейнеров программных СКЗИ, что позволяет использовать токен не только для аутентификации, но и для работы с электронной подписью.

Стоит отметить, что токен имеет широкую функциональность (например, доступно создание и защищённое хранение сложных многоразовых паролей).

Подробнее с продуктом можно ознакомиться здесь.

Алгоритм работы аутентификации с одноразовым паролем

OTP — это способ аутентификации, при котором пользователь получает пароль доступный только для одного сеанса входа или одной транзакции в информационной системе или приложении. В основу OTP заложен принцип, что генерируемый пароль действителен для одной сессии. Дополнительно он может быть ограничен по времени (обычно смена пароля осуществляется в течение 30–60 секунд).

Принцип работы One-Time Password
Рисунок. Принцип работы One-Time Password

Для расчёта пароля принимаются два параметра — секретный ключ (начальное значение для генератора) и текущее значение времени (или внутренний счётчик). Секретный ключ хранится одновременно как в самом устройстве, так и на сервере аутентификации. Средства для генерации одноразовых паролей условно можно разбить на две группы: либо у пользователя есть физические инструменты для такой генерации, например аппаратные устройства с экраном, ключи, мобильные приложения и т. д., либо пароли приходят по некоему каналу — в виде SMS-сообщения, пуш-уведомления и др.

Включение otp на iphone

Зайдите в раздел “Настройки” мобильной платформы и выберите пункт OTP. При первом открытии данного раздела для дополнительной безопасности требуется установить пароль из четырех цифр. Пароль потребуется вводить каждый раз для доступа к генератору паролей.

В открывшемся окне выберите пункт “Привязать к счету”.

Далее укажите имя сервера, на котором открыт торговый счет, номер счета и главный пароль к нему. Опцию “Привязать” следует оставить включенной. Ее необходимо выключать, если вы собираетесь отвязать указанный счет от генератора и больше не использовать одноразовые пароли.

После нажатия кнопки “Привязать”, расположенной в верхней части окна, торговый счет будет связан с генератором, появится соответствующее сообщение.

Аналогичным образом вы можете привязать неограниченное количество торговых счетов к генератору.

Одноразовый пароль показывается в верхней части раздела OTP. Под ним в виде синей полоски отображается индикатор времени действия данного пароля. Как только время действия истечет, пароль станет недействительным и будет сгенерирован новый.

Дополнительные команды:

Включение otp на устройстве с android

Зайдите в раздел “Аккаунты” мобильного терминала и нажмите Перейти к генератору одноразовых паролей. При первом открытии данного раздела для дополнительной безопасности требуется установить пароль из четырех цифр. Пароль потребуется вводить каждый раз для доступа к генератору паролей.

В открывшемся окне выберите пункт “Привязать к счету”.

Далее укажите имя сервера, на котором открыт торговый счет, номер счета и главный пароль к нему. Опцию “Привязать” следует оставить включенной. Ее необходимо выключать, если вы собираетесь отвязать указанный счет от генератора и больше не использовать одноразовые пароли.

После нажатия кнопки “Привязать”, расположенной в верхней части окна, торговый счет будет связан с генератором, появится соответствующее сообщение.

Аналогичным образом вы можете привязать неограниченное количество торговых счетов к генератору.

Одноразовый пароль показывается в верхней части раздела OTP. Под ним в виде синей полоски отображается индикатор времени действия данного пароля. Как только время действия истечет, пароль станет недействительным и будет сгенерирован новый.

Дополнительные команды:

Где применяется one-time password (otp)

Двухфакторная аутентификация популярна во многих крупных организациях. Это обусловлено увеличением объёма онлайн-транзакций из-за перехода клиентов на цифровой банкинг, быстрым ростом электронной коммерции, использованием интернет-банкинга для покупки продуктов и прочих товаров.

OTP, как один из факторов, широко применяется в банковском секторе, в приложениях электронной коммерции. Многие из нас почти ежедневно сталкиваются с этой технологией, например, при попытке перевести деньги с карточки (одноразовый пароль приходит в SMS-сообщении или в виде пуш-уведомления при попытке выполнить транзакцию).

Среди решений для OTP есть как коммерческие, так и полностью бесплатные. Многие поставщики предоставляют бесплатный доступ к OTP-приложениям с определёнными ограничениями (например, по количеству пользователей), и если возникнет потребность, можно будет приобрести версию с расширенными возможностями. Таким образом, технология защиты с OTP стала доступна каждому, кто хочет усилить защиту своих данных.

Использование otp в платформе

После привязки к генератору при попытке подключения через торговую платформу при помощи торгового счета будет дополнительно запрашиваться одноразовый пароль:

Как скоро я получу otp-код?

OTP-код отправляется практически сразу. Если прошло больше 2 минут, повторите попытку: возможно, причина во временных проблемах в сети или задержке в работе поставщика услуги.

Обратите внимание! Возникли проблемы с получением OTP-кода при нахождении за границей?Попробуйте вручную выбрать другую мобильную сеть и повторите попытку регистрации. Если это не решает проблему, воспользуйтесь своим электронным адресом.

Если же получить OTP-код все еще не удается, обратитесь за помощью в нашу клиентскую службу.

Если вы находитесь в США, Канаде или Бельгии, вместо SMS-сообщения обязательно выберите подтверждение по электронной почте. В этих странах Вы не сможете получить OTP-коды (одноразовые пароли) в виде текстовых сообщений!

Какая контактная информация будет использоваться для отправки otp-кодов?

Это зависит от выбранного способа регистрации; просто следуйте указаниям на экране.

Возьмем для примера способ биометрической регистрации. Как вам уже может быть известно, биометрическая регистрация доступна только пользователям, у которых уже была активная учетная запись Smart-ID.

Если вы регистрируете новую учетную запись и выбираете биометрическую идентификацию, одноразовый пароль будет отправлен на контактные данные, которые уже занесены в нашу базу данных (при регистрации предыдущей учетной записи).

Приложение Smart-ID сообщит вам, когда мы отправим одноразовый пароль, а также предложит вам выбрать предпочтительный способ отправки. Если у вас больше нет доступа к какой-либо предшествующей контактной информации, вам следует использовать другой способ регистрации. Биометрическая регистрация не позволяет менять вашу контактную информацию, которая у нас уже есть!

В случае утечки или взлома Вашей личной информации (электронного адреса, паролей, национальных персональных кодов или других данных) просим немедленно сменить пароль от электронной почты и активировать функцию двухэтапной проверки почтового ящика.

Российский рынок one-time password (otp)

Среди отечественных вендоров самым популярным является компания “Аладдин Р.Д.”, предлагающая платное решение для организаций. Также на российском рынке представлены средства аутентификации с OTP от Rainbow Technologies, “Яндекса”, TeddyID и других поставщиков, но они занимают незначительную долю рынка. Среди пользователей популярны бесплатные приложения с OTP, такие как Google Authenticator или Microsoft Authenticator.

В обзоре рассмотрены наиболее часто используемые продукты и платформы с поддержкой OTP, среди которых продукты компании “Аладдин Р.Д.” — JaCarta WebPass, JaCarta Authentication Server (JAS) и Aladdin 2FA.

Средства и протоколы аутентификации удаленных пользователей

Контроль доступа пользователей к ресурсам корпоративной сети должен осуществляться в соответствии с политикой безопасности организации, которой принадлежит данная сеть. Эффективное разграничение доступа к сетевым ресурсам может быть обеспечено только при надежной аутентификации пользователей. Требования к надежности аутентификации удаленных пользователей должны быть особенно высокими. Это обусловлено тем, что при взаимодействии с физически удаленными пользователями значительно сложнее обеспечить доступ к сетевым ресурсам только для тех пользователей, которые имеют на это определенные полномочия. В отличие от локальных пользователей, удаленные пользователи не проходят процедуру физического контроля при допуске на территорию организации.

При удаленном взаимодействии важна аутентификация не только пользователей, но и оборудования, поскольку подмена пользователя или маршрутизатора приводит к одним и тем же последствиям – данные из корпоративной сети передаются не тем лицам, которым они предназначены.

Для обеспечения надежной аутентификации удаленных пользователей необходимо выполнение следующих требований:

О проведение аутентификации обеих взаимодействующих сторон – как удаленного пользователя, так и сервера удаленного доступа – для исключения маскировки злоумышленников;

О применение механизма одноразовых паролей для исключения перехвата и несанкционированного использования аутентифицирующей информации либо применение криптозащиты передаваемых секретных паролей;

О осуществление динамической аутентификации взаимодействующих сторон в процессе работы удаленного соединения;

О оперативное согласование используемых протоколов аутентификации.

Технология аутентификации на основе одноразовых паролей ОТР (One Time Password) обеспечивает возможность проверки подлинности удаленного пользователя, претендующего на получение доступа к защищаемым ресурсам системы.

Основное отличие данной технологии от аутентификации с использованием постоянных паролей заключается в том, что каждый раз пользователь должен вводить новое значение пароля.

Данная функциональная особенность обеспечивает защиту от возможного перехвата и повторного использования пароля нарушителем и позволяет применять ее в открытых сетях.

Примером алгоритма формирования одноразовых паролей является НОТР, разработанный Международной ассоциацией OATH (Open AuTHentication Group). Алгоритм использует в качестве входных значений секретный ключ К и текущее значение счетчика генераций N, который увеличивается при каждой новой генерации пароля.

Основной функциональный блок алгоритма НОТР вначале вычисляет значение согласно алгоритму HMAC-SHA-1, а затем выполняет операцию выделения (Truncate) из полученного 160-битного значения 6 цифр, являющихся одноразовым паролем:

Что такое OTP и как это связано с моей контактной информацией в приложении Smart-ID? - Smart-ID

где К – секретный ключ и N – счетчик генераций.

На рис. 12.4 показан пример генерации одноразовых паролей на стороне пользователя.

Генераторы одноразовых паролей можно реализовать двумя способами: программным и аппаратным. Первый из них, естественно, менее надежен. Дело в том, что клиентская утилита должна хранить в себе секретный ключ пользователя. Сделать это более или менее безопасно можно только с помощью шифрования самого ключа на основе персонального пароля. При этом необходимо учитывать, что

Пример генерации одноразовых паролей на стороне пользователя

Рис. 12.4. Пример генерации одноразовых паролей на стороне пользователя

клиентская утилита должна быть установлена на том устройстве (КПК, смартфоне и т. п.), с которого в данный момент выполняется сессия. Таким образом, получается, что аутентификация сотрудника зависит от одного пароля, при этом существует множество способов узнать или подобрать его. И это далеко не единственная уязвимость программного генератора одноразовых паролей. Существенно большей надежностью обладают аппаратные устройства для генерации одноразовых паролей ОТР.

В основу технологии аутентификации на основе одноразовых паролей ОТР заложены следующие компоненты:

О генератор одноразовых паролей, представляющий собой аппаратное устройство, предназначенное для формирования уникальных значений пароля по запросу пользователя;

О сервер доступа, обеспечивающий получение и первичную обработку одноразовых паролей, полученных от терминалов пользователей;

О сервер аутентификации RADIUS, обеспечивающий проверку прав доступа пользователей в соответствии с данными, полученными от сервера доступа.

Алгоритм практического использования технологии аутентификации на основе одноразовых паролей приведен ниже:

На первом этапе аутентификации пользователь генерирует одноразовый пароль при помощи аппаратного устройства и затем отправляет его по сети вместе со своим регистрационным именем серверу доступа.

Сервер доступа получает от пользователя регистрационное имя и значение пароля, после чего передает эти параметры по протоколу RADIUS серверу аутентификации.

Сервер аутентификации проводит проверку правильности предоставленных аутентификационных данных, результат которой отправляется серверу доступа.

На основе полученного ответа сервер доступа разрешает или запрещает пользователю доступ к запрашиваемому ресурсу.

Для реализации технологии аутентификации на основе одноразовых паролей в системе может использоваться система с генераторами паролей eToken NG-OTP компании Aladdin (рис. 12.5).

Система аутентификации с генераторами паролей eToken NG-OTP компании Aladdin

Рис. 12.5. Система аутентификации с генераторами паролей eToken NG-OTP компании Aladdin

Данная система включает в себя генераторы паролей eToken NG-OTP, реализующие алгоритм НОТР, а также сервер аутентификации Microsoft Internet Authentication Server (IAS) с установленным дополнительным модулем OTP.

В качестве сервера доступа в данном случае выступает сервер приложений, который обеспечивает взаимодействие с мобильными терминалами пользователей.

Достоинством данной системы является использование независимого, то есть не требующего подключения к какому-либо устройству, клиентского средства на базе eToken. Это клиентское средство вырабатывает одноразовый пароль и высвечивает его на своем дисплее. Пользователю остается только ввести этот пароль с клавиатуры терминала.

Если же используется сервер RADIUS, отличный от Microsoft IAS, то в этом случае он может быть перенастроен в режим прокси, в котором он должен перенаправлять все поступающие к нему запросы на сервер Microsoft IAS с модулем ОТР.

Основное назначение токенов заключается в мобильной аутентификации посредством одноразовых паролей. Самым большим их преимуществом, по сравнению, например, с биометрическими методами распознавания, является независимость от наличия специального аппаратного и программного обеспечения на терминале доступа – это обязательное требование со стороны мобильных пользователей, нуждающихся в безопасном доступе к корпоративным серверам из любой точки земного шара.

Концепция одноразовых паролей ОТР в совокупности с современными криптографическими методами позволяет реализовать надежные системы удаленной аутентификации. Данная технология обладает рядом серьезных достоинств:

О Надежность одноразовых паролей. Сегодня известно немного способов действительно сильной аутентификации пользователей при передаче информации по открытым каналам связи. Между тем такая задача встречается все чаще и чаще. Одноразовые пароли – одно из перспективных ее решений.

О Использование стандартных криптографических алгоритмов. Это означает, что для реализации системы аутентификации с применением ОТР подходят уже существующие разработки. Это наглядно доказывает ключ eToken NG-OTP, совместимый с отечественными криптоплагинами. Такие токены можно использовать в уже существующих системах корпоративной безопасности без их перестройки. В результате внедрение технологии одноразовых паролей можно провести с относительно небольшими затратами.

О Защита слабо зависит от человеческого фактора. В аппаратных генераторах на базе USB-токенов используется полноценная двухфакторная аутентификация.

О Удобство концепции ОТР для пользователей. Получать доступ к необходимой информации с помощью одноразовых паролей ничуть не сложнее, чем применять для этой цели статичные ключевые слова. Некоторые аппаратные реализации данной технологии можно использовать на любых устройствах, независимо от существующих на нем портов и установленного ПО.

Выводы

Подводя итог, следует отметить, что технология One-Time Password многократно повышает устойчивость информационной системы к атаке в сравнении с традиционными статическими парольными фразами. Для повышения общего уровня безопасности предпочтительнее сочетать OTP с другими методами, такими как биометрия или PIN.

Системы, которые присылают одноразовые пароли на телефон, небезопасны. Более правильный способ — использование аппаратных устройств. Мобильные приложения — это компромисс между безопасностью и удобством.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *