+ 7 (727) 232-1-555 доб. 531

Достоинства и недостатки применения бесконтактных карт доступа для усиления логического доступа к корпоративным ресурсам

25.11.2015

В этом материале хотелось бы раскрыть достоинства и недостатки использования таких традиционных для каждого из нас «ключей», как бесконтактные карты для усиления логического доступа к рабочим станциям, корпоративным ресурсам и активам компании.

О том, почему это экономически целесообразно использовать карты СКУД для логического доступа раскрыто в статье «Конвергенция физического и логического доступа. Взгляд системного интегратора» (ТЗ #5, 2014).

Проблематика. Почему ответ «НЕТ» статическим паролям

Ежедневно для входа на рабочую станцию мы вводим статические (доменные) пароли, которые принято классифицировать на простые и сложные. Простые пароли обеспечивают быстрый и лёгкий вход для пользователей, пригодны только для слабо защищаемых и контролируемых систем, несанкционированный доступ к которым не приведет к ощутимому ущербу для компании. Сложные статические пароли, как правило, должны быть строго регламентированы корпоративной политикой, обеспечивают более высокую безопасность по сравнению с простыми, однако недостатки нивелируют преимущества: в первую очередь, их трудно создавать (придумывать), вводить и менять (запоминать), а разблокировка после нескольких попыток неверного ввода и трудности с периодической сменой значительно повышает нагрузку на службу поддержки. Сложные пароли нередко хранятся пользователями в легкодоступных местах, например, на стикерах, что может привести к несанкционированному доступу.

Бесконтактные карты. Как просто перейти к двухфакторной аутентификации

Усиление логического доступа

Применение бесконтактных карт и RFID-меток для доступа к рабочему месту сотрудника и ресурсам компании значительно снижает нагрузку на службу поддержки (отсутствие обращений на разблокировку и смену паролей), обеспечивает быстрый и легкий вход для пользователей, позволяет унифицировать доступ по единой карте. Однако, использование только карты без дополнительных средств аутентификации сопряжено с серьёзным риском – для входа в домен достаточно украсть карту. Данный способ усиления безопасности рекомендован исключительно для организации локального доступа (внутри организации).

Таким образом, использование универсальных карт без дополнительного фактора аутентификации с точки зрения безопасности мало чем отличается от использования доменных паролей, однако, среди достоинств следует отметить возможность снижения нагрузки на техническую поддержку и автоматизации внутренних процессов управления доступом.

Бесконтактные карты + PIN-код

Наиболее взвешенным по соотношению удобства/безопасности и поэтому рекомендован для большинства заказчиков с уже развернутой СКУД по бесконтактным картам – метод двухфакторной аутентификации по бесконтактной карте с вводом PIN-кода.

Данный метод двухфакторной аутентификации снижает риски несанкционированного доступа в систему в случае утери или кражи карты, а также предпочтителен для усиления внутреннего доступа.

Бесконтактные карты + доменный пароль

Аутентификация по бесконтактной карте и системному паролю является наиболее оптимальным методом доступа к системе для большинства заказчиков с уже развернутой СКУД по бесконтактным картам. Рекомендован для усиления внутреннего доступа. Из достоинств отметим возможность безопасного выпуска карт для пользователей полностью на стороне оператора и возможность использовать привычные, уже известные сотрудникам, системные пароли вместо нового PIN-кода.

О применении карт с магнитной полосой для усиления безопасности

Несмотря на то, что использование карт данного типа принято считать нерациональным с точки зрения удобства, физической инфраструктуры и безопасности, аутентификация по картам с магнитной полосой может рассматриваться в качестве более безопасной альтернативы статическим паролям для усиления внутреннего доступа только для заказчиков с уже развернутой системой СКУД по этим картам, в случае, если отказ от карт данного типа не планируется. Карты могут использоваться для организации простейших систем двухфакторной аутентификации в качестве дополнительного способа к системным паролям по причине ограниченного срока службы карт, вызванного постоянным механическим контактом с устройством считывания.

Контактные смарт-карты и PKI-токены. Организация системы строгой двухфакторной аутентификации

Логический доступ с использованием инфраструктуры открытых ключей PKI является подлинно строгим методом двухфакторной аутентификации и рекомендуется организациям с повышенными требованиями к защите доступа к корпоративным ресурсам. Переход на систему строгой аутентификации обеспечивает полный отказ от системных паролей на уровне инфраструктуры Windows.

При строгой аутентификации используется двухфакторная аутентификация двух типов: использование токенов или смарт-карт с вводом PIN-кода для выполнения криптографических операций внутри устройства. Недостаток использования смарт-карт по сравнению с PKI-токенами – традиционный для всех видов карт – необходимость приобретения считывателей и, возможно, инсталляция клиентского ПО для каждого рабочие места. Применение смарт-карт рекомендовано для заказчиков, которые планируют организовать унифицированный доступ по единой комбинированной карте (контактный PKI-чип плюс бесконтактная технология) физического и логического доступа, а также для дополнительной защиты данных с помощью цифровой подписи и/или шифрования на смарт-картах.

Организация системы строгой аутентификации сопряжено также с необходимостью развертывания в организации инфраструктуры PKI, например, на базе популярных служб сертификации от Microsoft.

Не картой единой…

Не менее востребованы на сегодняшний день ОТР-токены. Аутентификация по аппаратным генераторам одноразовых паролей (ОТР) или через мобильные приложения (софт-токены) на смартфонах/планшетах сотрудников рекомендуется для организаций, которые планируют усилить безопасность доступа с помощью токенов, не требующих подключения к рабочим местам пользователей, что особенно актуально при наличии в компании штата дистанционных сотрудников.

В случае готовности заказчика к приобретению биометрических USB-считывателей на каждое рабочее место, метод двухфакторной аутентификации по отпечаткам пальцев и PIN-коду является достаточно удобным и безопасным методом доступа для организаций с высокими требованиями к защите корпоративных ресурсов. Рассматривается предпочтительно для внутреннего доступа.

Инновационный метод аутентификации по Push-уведомлениям (Ping Me) с помощью подтверждения доступа на личных или служебных смартфонах/планшетах является особенно привлекательным, как по общей стоимости реализации, так и по возможности использования присутствия сотрудника в корпоративной беспроводной сети в качестве дополнительного фактора безопасности. Подробно этот метод описан в статье: «Доступ к корпоративным ресурсам. Новые методы двухфакторной аутентификации» (ТЗ #5, 2015).

В дополнение…

Как получить доступ к рабочей станции в случае блокировки или временной недоступности аутентификаторов? Эффективным дополнением практически к любому основному методу усиления аутентификации для реализации самостоятельного обслуживания сотрудниками своих аутентификаторов в случае их блокировки или временной недоступности является резервный доступ по контрольным вопросам, ответы на которые пользователь дал заблаговременно.

Во многих случаях также требуется однократная сквозная аутентификация (Single sign-on), которая обеспечивает автоматизированный единый вход в приложения после аутентификации в систему через основной метод.

Резюме

Каждый из предложенных способов расширения области применения уже используемых на предприятиях бесконтактных карт для физического доступа (СКУД) до безопасной двухфакторной аутентификации по ним в системы компании, имеет свои, присущие только ему достоинства и недостатки, объективно оценить которые предпочтительно в процессе детализации бизнес-задачи и знания существующей инфраструктуры компании.

Михаил АШАРИН, технический консультант TerraLink

Опубликовано в журнале «Технологии Защиты», #5, 2015

Скачать в формате PDF



Возврат к списку

سكس عنيف realarabporn.com سكس مريم forest sex xnxx pornframe.net savita bhabhi x videos سكس المحله tubangs.com سكس مترجم عربى indian open sex com pornon.org gamessex american sex vidios xxxhindimove.com desi pone amjad praveena etuber.mobi bhojpuri gana video sex breast sucking porn pornfactory.mobi force porn video sexy bp video tubezonia.mobi best sex story softcore movie xxxvideohd.net mobi22 سكس مصري منقبات gonzoxxx.pro صور سكس سعودي جنس افريقى justporno.pro سكس غادة عادل pearl fey hentai hentaicity.org ecchi shiyouze rapsex nimila.net indian sexy free video randi call indianspornsex.com kinjal sex www.telugusex.com koporn.net madhyamvarg marathi movie