U2F для диванного тролля

Как двухфакторная аутентификация добралась до пользователей мобильных девайсов.
26 октября 2015308247Вадим Ференец221636

Источник изображения: telemundo.com.

В начале октября известный российский поставщик продуктов в области информационной безопасности (ИБ) «Аладдин Р.Д.» представил широкой общественности свой новый продукт – USB-токен Jacarta U2F для двухфакторной аутентификации. Нельзя сказать, что разработка и выпуск продуктов подобного функционала для этой компании что-то новое, скорее, наоборот: в ее портфеле уже находится внушительный список решений, ориентированных, прежде всего, на корпоративных пользователей.


И вот из недр её лабораторий выдан на-гора продукт, предназначенный для персонального использования владельцами стационарных и мобильных устройств. Трудно сказать, первое это предложение для российского рынка на базе стандарта U2F или нет. Но Jacarta станет в силу рыночного авторитета «Аладдин Р.Д.» и по своим потребительским свойствам востребована. И дело здесь даже не в том, что обычно безалаберные и беспечные пользователи вдруг озаботились своей безопасностью при работе с веб-сервисами.


Отечественная действительность говорит об обратном – пока очень известная птица не клюнет в не менее известное место, менять свой привычный образ действий в сети мало кто станет.  Должно произойти что-то экстраординарное (взлом интернет-банка, фишинговая атака, кража паролей и т.д.), чтобы диванный тролль стал вникать в тему ИБ.  А элементарная безграмотность приводит к тому, что им нечего возразить господам Сноудену и Ассанджу и они покорно принимают на веру то, что информационная безопасность – это пустой звук.


Но практический опыт ИБ-специалистов, полученный при защите государственных тайн и коммерческих секретов, говорит – свои приватные данные можно и нужно охранять. И как театр начинается с вешалки, безопасность начинается с идентификации и аутентификации. А еще точнее с того, как офицеры безопасности обучили персонал хранить идентификационные данные.


В любом офисе всего пару лет назад можно было найти монитор, увешанный стикерами с логинами и паролями. Этот уникальный опыт борьбы со склерозом пользователь перенимал и приносил домой. Но если периметр корпоративной ИТ-инфраструктуры был надежно защищен (хотя защиты от дурака еще так никто и не создал), то небрежное отношение к безопасности персональных устройств приводило от вымогательства денег за разблокировку накопителя до визита спецслужб по поводу проведения DDoS атаки с этого IP-адреса.


Но, хорошо ли это или плохо, времена меняются. Победа мобильной революции уже никем не обсуждается. В бизнесе уже стало хорошим тоном принятие концепции BYOD – «принеси на рабочее место своё мобильное устройство». И дело здесь не столько в заботе о владельцах гаджетов, сколько в том, что это позволяет предпринимателям экономить деньги и развивать совершенно новые бизнес-процессы. И вот тут выяснилось, что никакого периметра безопасности вокруг офиса уже нет. Офис там, где мобильный сотрудник вышел в сеть.


В самом начале триумфа BYOD мобильные гаджеты выдавались сотрудникам после обучения и установки на устройство специализированных средств безопасности. Наличие такого защищенного смартфона, как BlackBerry, тогда было признаком статусности, как сейчас – появление в офисе с открытым всем угрозам, но пафосным планшетом от сами знаете кого.


Как показывает мировой опыт, попытки установить на подобные устройства элементарные средства ИБ — шифрование накопителя или систему PKI, встречались сотрудниками в штыки. Для большинства из них это было слишком сложно и непривычно.  При этом в каждой организации существовал свой набор средств безопасности, а для обучения и приучения людей требуется что-то простое и унифицированное. Причем, бизнес готов поддержать всё это своими инвестициями.

Удачным выходом из ситуации стала активность публичных веб-сервисов, не входящих в корпоративные сети – Google, PayPal и т.д., страдающих от вала хакерских атак.

Им стал стандартный протокол U2F, разработанный альянсом Fast IDentity Online (FIDO, образован в 2013 г.) для безопасной строгой аутентификации пользователя без ручного ввода паролей. На сегодняшний день FIDO объединяет ведущие технологические компании-разработчики (Google, Microsoft, RSA, Samsung и др.), крупные финансовые и платёжные структуры (Bank of America, MasterCard, VISA, PayPal и др.), поставщиков популярных онлайновых услуг (Google, Microsoft, Alibaba и др.).

В принципе, любой веб-ресурс, на стороне которого развернут сервер, поддерживающий стандарты FIDO. Токен JaCarta U2F обеспечивает безопасную аутентификацию владельца к определенным онлайн-ресурсам. При первом обращении к ресурсу пользователь должен пройти регистрацию, введя логин и пароль. Затем токен генерирует ключевую пару для аутентификации на данном ресурсе и передает открытый ключ на U2F-сервер сервиса. Сервер формирует идентификатор ресурса и идентификатор ключевой пары аутентификации и передает их токену.

При подключении к веб-сервису, где его U2F-токен уже зарегистрирован, после ввода логина и пароля (единых для всех ресурсов) U2F-сервер ресурса cформирует дополнительный запрос к токену. Нажатием на кнопку, пользователь подтвердит обращение к ресурсу и токен выбирает нужную ключевую пару, на закрытом ключе подписывает запрос и отправляет его U2F-серверу, который проверяет подпись и предоставляет или запрещает доступ.

На словах это кажется несколько сложно, но на практике обычно проблем не возникает. Устройство надежно работает и защищает от целого набора специфических угроз. При этом не требуется никаких разрешений от ФСБ, что серьезно ограничивает применение иных средств аутентификации.

Нет необходимости в инфраструктуре открытых ключей (PKI), сертификатах, удостоверяющих центрах и всяческом администрировании. Если все элементы, от операционной системы до конкретного веб-сервиса, поддерживают U2F, процедура двухэтапной авторизации очень проста и не требует стороннего вмешательства. Jacarta U2F можно использовать и с мобильными устройствами. В Android для этого требуется поддержка USB OTG, соединение осуществляется через OTG-кабель (также есть версии Jacarta U2F с коннектором Micro-USB). В iOS можно использовать Camera Connection Kit.

Вот таким неожиданным образом объединились усилия грандов мировой ИТ- и Интернет-индустрии, производителей оборудования и служб корпоративной безопасности. Появляются все условия для того, чтобы совместными усилиями приучить владельцев как персональных устройств, так мобильных систем к довольно простым манипуляциям со стандартными токенами как при работе с публичными сервисами, так и корпоративными ресурсами.

А дальше дело пойдет как с бумажными стикерами. Получив опыт использования токенов, владельцы устройств начнут популяризировать свои навыки, и технология уйдет в массы. И на определенном этапе двухфакторная идентификация станет единственно возможной, как в корпоративном, так и в публичном секторах. К чему однажды привык, от того трудно отказаться.

Тем, кто хочет разрабатывать под мобильные устройства, рекомендуем профессию «Разработчик мобильных приложений».

Популярные статьи

Новые комментарии