Rambler's Top100
Все новости Новости компаний
Александра КРЫЛОВА 13 октября 2015

Как избавиться от длинных паролей?

Новое аппаратное средство для двухфакторной онлайн-аутентификации появилось на российском рынке.

Компания «Аладдин Р.Д.» представила новый токен JaCarta U2F, разработанный в соответствии со спецификациями FIDO альянса. Этот действующий с 2012 г. глобальный консорциум решает задачу разработки стандартов строгой аутентификации для доступа к онлайн-сервисам. В его состав входят технологические компании (NXP, ARM, Infinion, Samsung, RSA, Blackberry, Google и Microsoft), финансовые организации и платежные системы (Bank of America, PayPal, VISA, MasterCard), а также поставщики услуг в сети интернет (Google, Aliexpress). На сегодняшний день членами альянса являются более 150 компаний.

За время, прошедшее с момента образования альянса FIDO, этим глобальным консорциумом разработаны два протокола для web-аутентификации – U2F и UAF, которые развиваются параллельно. Цифра «2» в названии первого из них указывает на его назначение – добавить к паре «логин-пароль» второй фактор аутентификации, который обеспечивается за счет использования отдельных носителей – токенов. Кроме того, им были приняты спецификации, соответствие которым делает U2F-токены от разных производителей совместимыми.

Протокол  UAF нацелен на создание систем строгой аутентификации, вообще не требующей паролей. Для аутентификации доступа пользователя к персональному устройству в таких системах используются его личные данные, к примеру, биометрические, а для доступа к веб-ресурсу – парольная информация, которая безопасно хранятся на самом устройстве.

Архитектура типового решения для U2F-аутентификации в соответствии со спецификациями FIDO включает в себя несколько компонентов. Во-первых, сервер, на котором хранится серверная часть U2F-протокола, содержащая информацию о зарегистрированных токенах. Сервер осуществляет проверку полученных от пользователей аутентификационных данных, а кроме того, взаимодействует со вторым компонентом решения – Web-сервером, к ресурсам которого в процессе аутентификации обращаются пользователи. Важно отметить, что в настоящее время U2F-аутентификация работает исключительно с браузером Chrome (версия 41 и старше), в который встроена поддержка токенов с этим протоколом. И, наконец, последний компонент типового решения – токен U2F.

При первом применении токена пользователь регистрирует его в интернет-сервисе, к которому хочет получать защищенный доступ. В момент нажатия на кнопку U2F-токен генерирует ключевую пару, соответствующую URL сервиса. Открытый ключ передается на сервер, закрытый – неизвлекаемый хранится в токене.

Впоследствии, когда пользователю понадобится доступ к этому интернет-сервису, двухфакторная U2F-аутентификации будет осуществляться следующим образом. Веб-сервер сформирует запрос, содержащий идентификатор интернет-ресурса, а также идентификатор ключевой пары на U2F-токене. Браузер Chrome направит этот запрос на U2F-аутентификацию на токен, пользователь подтвердит свое присутствие в момент совершения транзакции нажатием на кнопку этого устройства. Токен, в свою очередь, по идентификатору интернет-ресурса выберет нужную ключевую пару, на закрытом ключе подпишет запрос и отправит его браузеру. Chrome переадресует его веб-серверу для проверки подписи под запросом, и в случае совпадения пользователю будет предоставлен доступ.

При этом защита от фишинга и от атак «человек посередине» обеспечивается на уровне протокола U2F: каждая ключевая пара привязана к URL-конкретного сервиса. И это снимает необходимость использования для авторизации множества сложных и длинных паролей. К тому же такое решение  поддерживает концепцию «Один ко многим»: с помощью одного U2F-токена можно проходить двухфакторную онлайн-аутентификацию в нескольких сервисах. На сегодняшний день протокол U2F поддерживают все сервисы Google, Dropbox, крупнейший сервис для разработчиков GitHub, платформа для создания веб-сайтов WorldPress, модуль аутентификации для ОС Linux и всех установленных приложений – Linux PAM. В будущем количество таких интернет-ресурсов будет только расти. 

Сергей Груздев, генеральный директор "Аладдин Р.Д."

Первой устройства с поддержкой этого протокола предложила компания Yubico, однако введенные против нашей страны санкции заставили вендора свернуть свой бизнес на ее территории. Освободившуюся нишу на рынке заняла компания «Аладдин Р.Д.», в результате смены бизнес-стратегии превратившаяся в полноценного отечественного вендора аппаратных средств аутентификации, располагающего собственным дизайн-бюро и налаженными в России производственными связями. Первым продуктом, который компания представила в новом качестве, стал USB-токен для двухфакторной Online-аутентификации – JaCarta U2F.

«Мы считаем эту технологию очень своевременной и правильной,- отметил Сергей Груздев, генеральный директор компании «Аладдин Р.Д.», – и планируем ее продвигать на российском рынке». Новый токен JaCarta U2F, который построен на базе чипа NXP по принципу Secure by design, имеет подтвержденную невозможность клонирования и взлома. Благодаря тому, что он определяется системой как HID-устройство, U2F-токен работает с любой операционной системы без установки драйверов. Для подтверждения совершения транзакции в нем используется механическая кнопка Click.

Токен JaCarta U2F, включая корпус USB-разъема, выполнен из прочного пластика. Его конструкция во многом повторяет запатентованные компанией «Аладдин Р.Д.» разработки для USB-средств аутентификации предыдущих поколений, уже обкатанные на рынке. Одна из них – надежный пластиковый корпус nano. Статистические данные, согласно которым за три года эксплуатации из строя вышли только 0,2% выполненных в таком корпусе устройств, позволяют вендору заявить, что при интенсивном ежедневном использовании cрок службы JaCarta U2F составит 5-7 лет.

Впрочем, новый U2F-токен – только первое устройство на платформе Click, на которой компания «Аладдин Р.Д.» планирует в ближайшее время выпускать и другие устройства. В их числе токен WebPass со встроенным генератором одноразовых паролей, а также токен JaCarta ГОСТ2 для работы с персональной электронной цифровой подписью, подлинность которой можно будет подтвердить одним нажатием кнопки на токене. В планах дальнейшего развития – создание устройств с различными комбинациями функций, доступных на платформе.

JaCarta U2F, которая позиционируется вендором как устройство для надежной аутентификации частных интернет-пользователей, должна помочь им в защите критически важных интернет-сервисов. По словам С. Груздева, за календарный год компания «Алладин Р.Д.» планирует реализовать 1 млн. устройств. В настоящее время компания «Аладдин Р.Д.» ведет переговоры с ведущими российскими интернет-сервисами, с разработчиками систем ДБО, а также систем видеонаблюдения о партнерстве по продвижению нового устройства для онлайн-аутентификации. 

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!
Поделиться:

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.