Контакты
Подписка
МЕНЮ
Контакты
Подписка

Пароль умер, да здравствует пароль!

Пароль умер, да здравствует пароль!

В рубрику "В фокусе" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Пароль умер, да здравствует пароль!

Каждый месяц СМИ публикуют очередную новость о каком-нибудь крупном взломе, произошедшем на просторах Всемирной паутины. Спасают ли ситуацию сложные криптостойкие пароли? Сегодня уже нельзя с уверенностью ответить "да". Это свидетельствует о том, что использование парольной политики в классическом виде не может гарантировать безопасность информационных систем. О том, есть ли выход и что можно сделать в сложившейся ситуации, редакции рассказал Алексей Александрович Иванов, начальник управления информационной безопасности и контроля департамента информационной безопасности и охраны компании "КИТ Финанс".
Алексей Иванов
Начальник управления информационной безопасности
и контроля департамента информационной безопасности
и охраны компании "КИТ Финанс"

- Алексей Александрович, расскажите, пожалуйста, как в вашей компании была решена проблема с парольным доступом?
- Проблема парольной защиты остро встала перед нами в период активного роста региональных (территориально удаленных) офисов банка. Именно тогда были выявлены попытки совершения мошенничества сотрудниками офисов при обслуживании клиентов. При этом, чтобы запутать следы, сотрудники совершали такие действия, используя чужие учетные данные.

- Но откуда сотрудникам были известны данные авторизации коллег?
- Вариантов несколько. Во-первых, пароли часто передавались между сотрудниками просто по необходимости (нужно что-то срочно отправить, кто-то заболел и т.д.) и потом не менялись. Во-вторых, их элементарно можно было подсмотреть визуально или в оставленном без присмотра блокноте. В-третьих, из-за стремительного увеличения количества различных автоматизированных систем (АС), предназначенных для обслуживания клиентов, увеличивалось и количество необходимых для запоминания паролей, так как эти системы обычно использовали собственные базы для идентификации пользователей. Но человек банально не способен держать в голове десяток-другой бессмысленных комбинаций, не говоря уже о том, чтобы каждый месяц этот список обновлять.

Конечно, со стороны отдела информационной безопасности постоянно проводились инструктажи и проверки по выполнению требований парольной политики. Однако в итоге мы поняли, что ее необходимо кардинально менять. Важным моментом встал вопрос о том, как усилить технологию идентификации пользователя, так как любой отчуждаемый от сотрудника идентификационный носитель (смарт-карта, БСК, токен и т.д.) не позволял гарантировать требуемую стойкость системы идентификации (средства многофакторной аутентификации терялись, ломались, могли быть скопированы). Оптимальным способом жесткого идентификационного контроля доступа была выбрана биометрия на основе отпечатка пальца.

Во-первых, этот способ применяется только с ведома владельца учетной записи. А во-вторых, применение биометрии очень похоже на дактилоскопию и резко повышает ответственность сотрудника за свои действия в любой автоматизированной системе.

- Насколько вообще важна для вашего бизнеса централизация функции управления доступом и аутентификации?
- Финансовый сектор всегда являлся лакомым куском для различного рода мошенников, поэтому вопросы управления доступом должны решаться централизованно, под контролем специализированного подразделения и с учетом всех изменений и рисков по направлению информационной безопасности. Мы выстроили свою политику таким образом, что все значимые для бизнеса АС используют усиленную систему идентификации пользователя с использованием биометрии. Этот принцип использован в технологии ESSO, когда все необходимые пароли пользователя централизованно хранятся в защищенном виде и при необходимости их применения выдаются системой только после строгой идентификации запросившего их пользователя.

Финансовый сектор всегда являлся лакомым куском для различного рода мошенников, поэтому вопросы управления доступом должны решаться централизованно, под контролем специализированного подразделения и с учетом всех изменений и рисков по направлению информационной безопасности. Мы выстроили свою политику таким образом, что все значимые для бизнеса АС используют усиленную систему идентификации пользователя с использованием биометрии.

- В чем польза такого подхода?
- Она очевидна. Во-первых, для решения вопросов адекватной сильной степени защиты от подбора пароля в АС постоянно усиливаются условия их использования. Пароли делаются более стойкими к взлому (растет их сложность, периодичность смены), но при этом их надо помнить пользователю. Но если он забыл пароль - придется затратить время как минимум на выполнение процедур официального сброса и смены пароля. Скажем так, на непрерывности бизнеса это сказывается не лучшим образом. При централизации управления доступом эта проблема исчезает. Во-вторых, все попытки доступа к системам фиксируются сразу в нескольких местах: непосредственно в АС и еще в одной системе. Последняя отвечает за централизованное управление всеми учетными данными и аутентификаторами пользователей. Важно понимать, что, хотя паролей становится все больше, а они, в свою очередь, становятся все сложнее, пользователю теперь нет необходимости запоминать их. Компонент клиентской части осуществляет перехват обращений пользователя к ресурсам, предлагая ему пройти универсальную процедуру аутентификации. В нашем случае - сканер отпечатков пальцев. Если процедура пройдена успешно и доступ пользователю разрешен, агент передает логин и пароль запрашиваемому ресурсу. Такой подход становится исключительно полезным в фокусе усиления позиции нашего государства по обеспечению информационной безопасности при работе в системах, содержащих сведения, относимые к персональным данным.

- Сдвинемся в сторону практики. Вы используете биометрическую аутентификацию. Сколько сэмплов вводится в базу? Всем известно, что если сэмпл только один и сотрудник именно этот палец, к примеру, порезал, то авторизоваться не получится.
- Конечно, мы "подстраховались" на этот счет. Изначально в базу по каждому сотруднику заносится 2 разных пальца, по одному на каждой руке. Такой подход оптимален при работе системы строгой идентификации в территориально удаленном подразделении, особенно если часовые пояса с головным офисом не совпадают. Это позволяет минимизировать случаи обращения пользователей по вопросам "нечитаемости" пальца.

- Как решается проблема с удаленным рабочим местом? К примеру, если есть необходимость работать из дома или в командировке.
- ИБ банковского сектора придерживается консервативных взглядов по вопросам удаленного доступа сотрудников бизнес-подразделений к рабочим местам извне. Поэтому масштабная удаленная работа не практикуется. Это скорее исключение, нежели правило. Тем не менее если такая необходимость появится - я не вижу препятствий использования подобных технологий. Ноутбуки, конечно же используются, и, как правило, в них существует встроенный биометрический сканер. При отсутствии встроенного сканера в ноутбуке или на планшете сотрудник может использовать либо мобильный вариант устройства сканирования отпечатка, либо проводить аутентификацию доступа, используя иной способ идентификации: по одноразовой матрице доступа (ОТМ), Google ОТР. Естественно, перед использованием таких способов проводятся предварительные настройки на конечном устройстве.

Только ленивое информационное агентство не писало на тему взломов SONY или Anonymous. И вот уже новостная лента взрывается срочными сообщениями о взломе 250 тыс. аккаунтов в Twitter. В июне 2012 г. в публичный доступ были выложены 165 тыс. хешей паролей от аккаунтов пользователей популярной социальной сети Linkedin. Компания Rapid7 провела их анализ и составила небольшой отчет, в котором показала, насколько предсказуемы мы при выборе паролей. Из года в год список "самых-самых" паролей остается практически неизменным: password, 12345678, qwerty... Эксперты консалтинговой компании Deloitte уверены, что более 90% паролей интернет-пользователей, в том числе те, которые создаются профессиональными программистами и специальными программами, уязвимы к хакерским атакам.

Не жалуются ли сотрудники на все эти "новшества"?
- Напротив. Скажу без преувеличения - пользователи очень довольны. Пропала потребность передавать свои пароли по настоянию руководителя в случае отсутствия сотрудника. Бывают ситуации, когда специализированное прикладное ПО должно выполнить какую-то операцию (функционал) именно под конкретной учетной записью пользователя. Раньше сотруднику приходилось компрометировать свой пароль в случае своего отсутствия (например, заболел человек) и по телефону ( по просьбе руководителя или коллеги) сообщать свой пароль, хотя требования ИБ не позволяли этого делать. В общем, заболевший сотрудник находился в ситуации: или нарушить требования ИБ или стать нелояльным по отношению к коллегам. Теперь этот неловкий момент упразднен, все происходит только официальным путем через сброс пароля в АС с фиксацией события в подразделении ИБ. Таким образом, с момента передачи пароля руководителю или коллеге вместо отсутствующего сотрудника весь груз ответственности за операции, выполняемые под этой учетной записью, ложится уже на них.

Кроме того, сотрудники теперь не записывают свои пароли где-нибудь, они даже не могут их записать, так как просто не знают. Пароли генерируются с учетом сложности самой системой. Пользователь лишь идентифицирует себя по отпечатку пальца при необходимости ввода пароля в систему. Кстати политикой (настройками) АС можно задавать период смены паролей хоть на ежедневной основе - это не будет напрягать ни пользователя, ни систему.

- Но идеальных технологий не бывает. Есть ли минусы у применяемой вами?
- Минус способа биометрической аутентификации по отпечатку пальца лично я вижу только один: это первоначальные затраты на покупку сканеров. В среднем затраты составляют около 3^ тысяч рублей на одно рабочее место. И конечно же, надо иметь небольшой запас таких сканеров на случай быстрого роста количества пользователей или выхода из строя устройств. В остальном одни только плюсы.

Сегодня любое решение, призванное помочь бизнесу или снизить его риски, рассматривается не только с позиции эффективности. Действует как минимум связка "цена/качество". В этом плане биометрическая аутентификация находится, пожалуй, на лидирующих позициях. Технология не идеальна - ее можно обойти. Только вот стоимость взлома скорее всего окажется гораздо дороже той информации, которую злоумышленникам удастся заполучить.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #2, 2013
Посещений: 6089

  Автор

Алексей Иванов

Алексей Иванов

Начальник управления информационной безопасности
и контроля департамента информационной
безопасности и охраны компании "КИТ Финанс"

Всего статей:  1

В рубрику "В фокусе" | К списку рубрик  |  К списку авторов  |  К списку публикаций