SlideShare a Scribd company logo

Двухфакторная аутентификация

Download as PPTX, PDF
Vitaliy Pak
Vitaliy Pak

Рассмотрены основные положения двухфакторной аутентификации

1 of 18
Двухфакторная аутентификация Пак Виталий
Аутентификация • Аутентификация (Authentication) - процедура проверки подлинности заявленного пользователя, процесса или устройства. • Аутентификация – процесс подтверждения личности пользователя. • Наиболее распространенная форма аутентификации – логин и пароль • Двухфакторная аутентификация (2FA) это одна из разновидностей многофакторной аутентификации
Проблемы связанные с паролем • Социальная инженерия • Фишинг • Брут форс атака • Подглядывание • Захват нажатий клавиатуры • Атака по словарю
Многофакторная аутентификация • Многофакторная аутентификация (англ. multi-factor authentication) - расширенная аутентификация, метод контроля доступа к компьютеру, в котором пользователю для получения доступа к информации необходимо предъявить более одного «доказательства механизма аутентификации».
Двухфакторная аутентификация • Классы факторов: – знание: то что знаем (пароль, ПИН) – владение: то, что имеем (телефон, электронная карта, токен) – свойство: то, что обладаем (биометрия, отпечатки, глаза) • Двухфакторная использует два класса – (аппаратный токен + пароль) – (ПИН + отпечаток пальца) – (сканирование оболочки глаза + телефон) • Использование нескольких классов аутентификации заставляет злоумышленника делать более сложным создание системы компрометирующей двухфакторную аутентификацию: – злоумышленник может украсть пароль, но не иметь токена – Злоумышленник может украсть карту, но не знать ПИН
Алгоритмы и открытые стандарты • Инициатива для открытой аутентификации (OATH) это сотрудничество компаний в области создания стандартов аутентификации, например двухфакторной • Hash-based One Time Password (HOTP) одноразовый пароль (RFC 4226) • Time-based One Time Password (TOTP) генерация пароля на основе времени (RFC 6238) • TOTP очень важен поскольку он использует «временное окно» для генерации одноразовых паролей. – С TOTP пароль действует несколько секунд – TOTP это очень распространенный механизм, реализованный множеством сервисов
Дополнительные детали TOTP и HOTP • Сервисы, использующие двухфакторную аутентификацию на базе TOTP – Google, Dropbox, Web Services, Facebook, Microsoft • Сервисы, реализующие TOTP, позволяющие создавать приложения или токены – OATH Toolkit (http://www.nongnu.org/oath-toolkit) • В отличии от HOTP устройства или программы которые используют TOTP требуют точный источник времени для правильной работы • HOTP/TOTP оба требуют секретный ключ для генерации своих одноразовых паролей – Секрет известен и токену и серверу для верификации
OTP Токены Аппаратные токены USB токены Смарт карта Программные токены Мобильные токены
Процесс с использованием аппаратных токенов
2FA использующая мобильные токены • Для генерации используются: – Приложения установленные на мобильных телефонах пользователей – IMEI (International Mobile Equipment Identity - международный идентификатор мобильного оборудования) – Временные отметки (time stamp) – Seed • Использующиеся алгоритмы: – Time based One Time Password Algorithm/ HMAC- SHA 1
Мобильные токены • Наиболее известное мобильное приложение, реализующее TOTP – это Google Authenticator
Процесс с использованием мобильных токенов • Пользователь регистрируется на сервере • Seed • Pin • IMEI number • Time Stamp • difference • Генерация временного пароля
Процесс с использованием мобильных токенов
СМС в качестве двухфакторного ключа • СМС очень понятный и доступный механизм • Не требует дополнительного аппаратного обеспечения • Однако, за СМС взимается плата, и при путешествии за рубеж не доступен • Сервисы, использующие СМС в качестве второго фактора: – LinkedIn, Bank of America, Facebook, Telegram, Twitter, Google
Процесс с использованием СМС
Телефонный звонок в качестве двухфакторного ключа Преимущества • Использование телефонного номера доступно везде где есть телефонная связь • Роботизированная система диктует ПИН • В отличие от СМС не взимается плата • Система исторически очень распространена в качестве способа верификации кого- либо по телефонному номеру Недостатки • Сравнивая с мобильным приложением, необходимо брать телефон и вводить продиктованный одноразовый пароль • Что делать, если вы за рубежом. Или нет покрытия сети
Другие формы второго фактора • Мобильные приложения • Географическое положение • Биометрические данные, как правило со смартфона или планшета • Смарт карты
СПАСИБО ЗА ВНИМАНИЕ

Recommended

E token 3400_smartcard_pb__ru__a4_29jul2014_web_v4
E token 3400_smartcard_pb__ru__a4_29jul2014_web_v4E token 3400_smartcard_pb__ru__a4_29jul2014_web_v4
E token 3400_smartcard_pb__ru__a4_29jul2014_web_v4
Anna Selivanova
 
Удобные и доступные решения строгой аутентификации HID Activid
Удобные и доступные решения строгой аутентификации HID ActividУдобные и доступные решения строгой аутентификации HID Activid
Удобные и доступные решения строгой аутентификации HID Activid
journalrubezh
 
Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.
Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.
Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.
Expolink
 
Армия освобождения домохозяек: структура, состав вооружений, методы коммуникации
Армия освобождения домохозяек: структура, состав вооружений, методы коммуникацииАрмия освобождения домохозяек: структура, состав вооружений, методы коммуникации
Армия освобождения домохозяек: структура, состав вооружений, методы коммуникации
Andrew Petukhov
 
SafeTech. Денис Калемберг "Интернет-банкинг. Как сделать работу клиента безоп...
SafeTech. Денис Калемберг "Интернет-банкинг. Как сделать работу клиента безоп...SafeTech. Денис Калемберг "Интернет-банкинг. Как сделать работу клиента безоп...
SafeTech. Денис Калемберг "Интернет-банкинг. Как сделать работу клиента безоп...
Expolink
 
Safe Tech. Денис Калемберг: "Интернет-банкинг. Как сделать работу клиента без...
Safe Tech. Денис Калемберг: "Интернет-банкинг. Как сделать работу клиента без...Safe Tech. Денис Калемберг: "Интернет-банкинг. Как сделать работу клиента без...
Safe Tech. Денис Калемберг: "Интернет-банкинг. Как сделать работу клиента без...
Expolink
 
защита информации
защита информациизащита информации
защита информацииЕлена Ключева
 
Безопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководствоБезопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководство
Aleksey Lukatskiy
 

Recommended

E token 3400_smartcard_pb__ru__a4_29jul2014_web_v4
E token 3400_smartcard_pb__ru__a4_29jul2014_web_v4E token 3400_smartcard_pb__ru__a4_29jul2014_web_v4
E token 3400_smartcard_pb__ru__a4_29jul2014_web_v4
Anna Selivanova
 
Удобные и доступные решения строгой аутентификации HID Activid
Удобные и доступные решения строгой аутентификации HID ActividУдобные и доступные решения строгой аутентификации HID Activid
Удобные и доступные решения строгой аутентификации HID Activid
journalrubezh
 
Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.
Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.
Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.
Expolink
 
Армия освобождения домохозяек: структура, состав вооружений, методы коммуникации
Армия освобождения домохозяек: структура, состав вооружений, методы коммуникацииАрмия освобождения домохозяек: структура, состав вооружений, методы коммуникации
Армия освобождения домохозяек: структура, состав вооружений, методы коммуникации
Andrew Petukhov
 
SafeTech. Денис Калемберг "Интернет-банкинг. Как сделать работу клиента безоп...
SafeTech. Денис Калемберг "Интернет-банкинг. Как сделать работу клиента безоп...SafeTech. Денис Калемберг "Интернет-банкинг. Как сделать работу клиента безоп...
SafeTech. Денис Калемберг "Интернет-банкинг. Как сделать работу клиента безоп...
Expolink
 
Safe Tech. Денис Калемберг: "Интернет-банкинг. Как сделать работу клиента без...
Safe Tech. Денис Калемберг: "Интернет-банкинг. Как сделать работу клиента без...Safe Tech. Денис Калемберг: "Интернет-банкинг. Как сделать работу клиента без...
Safe Tech. Денис Калемберг: "Интернет-банкинг. Как сделать работу клиента без...
Expolink
 
защита информации
защита информациизащита информации
защита информацииЕлена Ключева
 
Безопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководствоБезопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководство
Aleksey Lukatskiy
 
«Идентификация, аутентификация, авторизация – встроенные функции приложений и...
«Идентификация, аутентификация, авторизация – встроенные функции приложений и...«Идентификация, аутентификация, авторизация – встроенные функции приложений и...
«Идентификация, аутентификация, авторизация – встроенные функции приложений и...
Mail.ru Group
 
Gemalto ключевой компонент безопасной инфраструктуры microsoft 05122014
Gemalto ключевой компонент безопасной инфраструктуры microsoft 05122014Gemalto ключевой компонент безопасной инфраструктуры microsoft 05122014
Gemalto ключевой компонент безопасной инфраструктуры microsoft 05122014
ISSP Russia
 
Prez3
Prez3Prez3
Prez3
hmyrhik nikita
 
Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Идентификация и аутентификация - встроенные функции безопасности или задачи с...Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Mikhail Vanin
 
Одноразовые пароли
Одноразовые паролиОдноразовые пароли
Одноразовые пароли
kzissu
 
Security Meetup 22 октября. «Мобилки, деньги, два фактора». Дмитрий Евдокимо...
Security Meetup 22 октября. «Мобилки, деньги, два фактора». Дмитрий Евдокимо...Security Meetup 22 октября. «Мобилки, деньги, два фактора». Дмитрий Евдокимо...
Security Meetup 22 октября. «Мобилки, деньги, два фактора». Дмитрий Евдокимо...
Mail.ru Group
 
Денис Калемберг (Safe tech) - Делаем безопасность клиента прибыльной для банка
Денис Калемберг (Safe tech) - Делаем безопасность клиента прибыльной для банкаДенис Калемберг (Safe tech) - Делаем безопасность клиента прибыльной для банка
Денис Калемберг (Safe tech) - Делаем безопасность клиента прибыльной для банка
Expolink
 
Safe Tech. Денис Калемберг: "Интернет-банкинг. Как сделать работу клиента без...
Safe Tech. Денис Калемберг: "Интернет-банкинг. Как сделать работу клиента без...Safe Tech. Денис Калемберг: "Интернет-банкинг. Как сделать работу клиента без...
Safe Tech. Денис Калемберг: "Интернет-банкинг. Как сделать работу клиента без...
Expolink
 
криптотри.обновлние презентация сидоров
криптотри.обновлние презентация сидоровкриптотри.обновлние презентация сидоров
криптотри.обновлние презентация сидоровАлександр Сидоров
 
21 смарт пин код
21 смарт пин код21 смарт пин код
21 смарт пин кодДаниил Силантьев
 
WatchGuard Authpoint
WatchGuard Authpoint WatchGuard Authpoint
WatchGuard Authpoint
BAKOTECH
 
Биометрические технологии и информационная безопасность. Александр Мец, Samsung
Биометрические технологии и информационная безопасность. Александр Мец, SamsungБиометрические технологии и информационная безопасность. Александр Мец, Samsung
Биометрические технологии и информационная безопасность. Александр Мец, Samsung
Банковское обозрение
 
Terralink. Интеграция физического и логического доступа. Технологии логическо...
Terralink. Интеграция физического и логического доступа. Технологии логическо...Terralink. Интеграция физического и логического доступа. Технологии логическо...
Terralink. Интеграция физического и логического доступа. Технологии логическо...
journalrubezh
 
Денис Калемберг (Safe tech) - Делаем безопасность клиента прибыльной для банка
Денис Калемберг (Safe tech) - Делаем безопасность клиента прибыльной для банка Денис Калемберг (Safe tech) - Делаем безопасность клиента прибыльной для банка
Денис Калемберг (Safe tech) - Делаем безопасность клиента прибыльной для банка
Expolink
 
Сергей Федоров - Современная безопасность от Eset
Сергей Федоров - Современная безопасность от EsetСергей Федоров - Современная безопасность от Eset
Сергей Федоров - Современная безопасность от Eset
Expolink
 
Мошенничество в системах ДБО. Анализ и контроль операций
Мошенничество в системах ДБО. Анализ и контроль операцийМошенничество в системах ДБО. Анализ и контроль операций
Мошенничество в системах ДБО. Анализ и контроль операций
КРОК
 
Безопасность для сайта
Безопасность для сайтаБезопасность для сайта
Безопасность для сайта
Maksym Balaklytskyi
 
Инфоберег. Будущее аутентификации - сегодня
Инфоберег. Будущее аутентификации - сегодняИнфоберег. Будущее аутентификации - сегодня
Инфоберег. Будущее аутентификации - сегодняЕвгений Царев
 
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Denis Batrankov, CISSP
 
Защита удалённого доступа к внутренним ресурсам компании
Защита удалённого доступа к внутренним ресурсам компанииЗащита удалённого доступа к внутренним ресурсам компании
Защита удалённого доступа к внутренним ресурсам компании
Alexey Komarov
 
Lecture 5. Secure agent roaming for mobile business
Lecture 5. Secure agent roaming for mobile businessLecture 5. Secure agent roaming for mobile business
Lecture 5. Secure agent roaming for mobile business
Vitaliy Pak
 
Trend of 4th induatrial revolution linked application service technology base...
Trend of 4th induatrial revolution linked application service technology base...Trend of 4th induatrial revolution linked application service technology base...
Trend of 4th induatrial revolution linked application service technology base...
Vitaliy Pak
 

More Related Content

Similar to Двухфакторная аутентификация

«Идентификация, аутентификация, авторизация – встроенные функции приложений и...
«Идентификация, аутентификация, авторизация – встроенные функции приложений и...«Идентификация, аутентификация, авторизация – встроенные функции приложений и...
«Идентификация, аутентификация, авторизация – встроенные функции приложений и...
Mail.ru Group
 
Gemalto ключевой компонент безопасной инфраструктуры microsoft 05122014
Gemalto ключевой компонент безопасной инфраструктуры microsoft 05122014Gemalto ключевой компонент безопасной инфраструктуры microsoft 05122014
Gemalto ключевой компонент безопасной инфраструктуры microsoft 05122014
ISSP Russia
 
Prez3
Prez3Prez3
Prez3
hmyrhik nikita
 
Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Идентификация и аутентификация - встроенные функции безопасности или задачи с...Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Mikhail Vanin
 
Одноразовые пароли
Одноразовые паролиОдноразовые пароли
Одноразовые пароли
kzissu
 
Security Meetup 22 октября. «Мобилки, деньги, два фактора». Дмитрий Евдокимо...
Security Meetup 22 октября. «Мобилки, деньги, два фактора». Дмитрий Евдокимо...Security Meetup 22 октября. «Мобилки, деньги, два фактора». Дмитрий Евдокимо...
Security Meetup 22 октября. «Мобилки, деньги, два фактора». Дмитрий Евдокимо...
Mail.ru Group
 
Денис Калемберг (Safe tech) - Делаем безопасность клиента прибыльной для банка
Денис Калемберг (Safe tech) - Делаем безопасность клиента прибыльной для банкаДенис Калемберг (Safe tech) - Делаем безопасность клиента прибыльной для банка
Денис Калемберг (Safe tech) - Делаем безопасность клиента прибыльной для банка
Expolink
 
Safe Tech. Денис Калемберг: "Интернет-банкинг. Как сделать работу клиента без...
Safe Tech. Денис Калемберг: "Интернет-банкинг. Как сделать работу клиента без...Safe Tech. Денис Калемберг: "Интернет-банкинг. Как сделать работу клиента без...
Safe Tech. Денис Калемберг: "Интернет-банкинг. Как сделать работу клиента без...
Expolink
 
криптотри.обновлние презентация сидоров
криптотри.обновлние презентация сидоровкриптотри.обновлние презентация сидоров
криптотри.обновлние презентация сидоровАлександр Сидоров
 
WatchGuard Authpoint
WatchGuard Authpoint WatchGuard Authpoint
WatchGuard Authpoint
BAKOTECH
 
Биометрические технологии и информационная безопасность. Александр Мец, Samsung
Биометрические технологии и информационная безопасность. Александр Мец, SamsungБиометрические технологии и информационная безопасность. Александр Мец, Samsung
Биометрические технологии и информационная безопасность. Александр Мец, Samsung
Банковское обозрение
 
Terralink. Интеграция физического и логического доступа. Технологии логическо...
Terralink. Интеграция физического и логического доступа. Технологии логическо...Terralink. Интеграция физического и логического доступа. Технологии логическо...
Terralink. Интеграция физического и логического доступа. Технологии логическо...
journalrubezh
 
Денис Калемберг (Safe tech) - Делаем безопасность клиента прибыльной для банка
Денис Калемберг (Safe tech) - Делаем безопасность клиента прибыльной для банка Денис Калемберг (Safe tech) - Делаем безопасность клиента прибыльной для банка
Денис Калемберг (Safe tech) - Делаем безопасность клиента прибыльной для банка
Expolink
 
Сергей Федоров - Современная безопасность от Eset
Сергей Федоров - Современная безопасность от EsetСергей Федоров - Современная безопасность от Eset
Сергей Федоров - Современная безопасность от Eset
Expolink
 
Мошенничество в системах ДБО. Анализ и контроль операций
Мошенничество в системах ДБО. Анализ и контроль операцийМошенничество в системах ДБО. Анализ и контроль операций
Мошенничество в системах ДБО. Анализ и контроль операций
КРОК
 
Безопасность для сайта
Безопасность для сайтаБезопасность для сайта
Безопасность для сайта
Maksym Balaklytskyi
 
Инфоберег. Будущее аутентификации - сегодня
Инфоберег. Будущее аутентификации - сегодняИнфоберег. Будущее аутентификации - сегодня
Инфоберег. Будущее аутентификации - сегодняЕвгений Царев
 
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Denis Batrankov, CISSP
 
Защита удалённого доступа к внутренним ресурсам компании
Защита удалённого доступа к внутренним ресурсам компанииЗащита удалённого доступа к внутренним ресурсам компании
Защита удалённого доступа к внутренним ресурсам компании
Alexey Komarov
 

Similar to Двухфакторная аутентификация (20)

«Идентификация, аутентификация, авторизация – встроенные функции приложений и...
«Идентификация, аутентификация, авторизация – встроенные функции приложений и...«Идентификация, аутентификация, авторизация – встроенные функции приложений и...
«Идентификация, аутентификация, авторизация – встроенные функции приложений и...
 
Gemalto ключевой компонент безопасной инфраструктуры microsoft 05122014
Gemalto ключевой компонент безопасной инфраструктуры microsoft 05122014Gemalto ключевой компонент безопасной инфраструктуры microsoft 05122014
Gemalto ключевой компонент безопасной инфраструктуры microsoft 05122014
 
Prez3
Prez3Prez3
Prez3
 
Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Идентификация и аутентификация - встроенные функции безопасности или задачи с...Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Идентификация и аутентификация - встроенные функции безопасности или задачи с...
 
Одноразовые пароли
Одноразовые паролиОдноразовые пароли
Одноразовые пароли
 
Security Meetup 22 октября. «Мобилки, деньги, два фактора». Дмитрий Евдокимо...
Security Meetup 22 октября. «Мобилки, деньги, два фактора». Дмитрий Евдокимо...Security Meetup 22 октября. «Мобилки, деньги, два фактора». Дмитрий Евдокимо...
Security Meetup 22 октября. «Мобилки, деньги, два фактора». Дмитрий Евдокимо...
 
Денис Калемберг (Safe tech) - Делаем безопасность клиента прибыльной для банка
Денис Калемберг (Safe tech) - Делаем безопасность клиента прибыльной для банкаДенис Калемберг (Safe tech) - Делаем безопасность клиента прибыльной для банка
Денис Калемберг (Safe tech) - Делаем безопасность клиента прибыльной для банка
 
Safe Tech. Денис Калемберг: "Интернет-банкинг. Как сделать работу клиента без...
Safe Tech. Денис Калемберг: "Интернет-банкинг. Как сделать работу клиента без...Safe Tech. Денис Калемберг: "Интернет-банкинг. Как сделать работу клиента без...
Safe Tech. Денис Калемберг: "Интернет-банкинг. Как сделать работу клиента без...
 
криптотри.обновлние презентация сидоров
криптотри.обновлние презентация сидоровкриптотри.обновлние презентация сидоров
криптотри.обновлние презентация сидоров
 
21 смарт пин код
21 смарт пин код21 смарт пин код
21 смарт пин код
 
WatchGuard Authpoint
WatchGuard Authpoint WatchGuard Authpoint
WatchGuard Authpoint
 
Биометрические технологии и информационная безопасность. Александр Мец, Samsung
Биометрические технологии и информационная безопасность. Александр Мец, SamsungБиометрические технологии и информационная безопасность. Александр Мец, Samsung
Биометрические технологии и информационная безопасность. Александр Мец, Samsung
 
Terralink. Интеграция физического и логического доступа. Технологии логическо...
Terralink. Интеграция физического и логического доступа. Технологии логическо...Terralink. Интеграция физического и логического доступа. Технологии логическо...
Terralink. Интеграция физического и логического доступа. Технологии логическо...
 
Денис Калемберг (Safe tech) - Делаем безопасность клиента прибыльной для банка
Денис Калемберг (Safe tech) - Делаем безопасность клиента прибыльной для банка Денис Калемберг (Safe tech) - Делаем безопасность клиента прибыльной для банка
Денис Калемберг (Safe tech) - Делаем безопасность клиента прибыльной для банка
 
Сергей Федоров - Современная безопасность от Eset
Сергей Федоров - Современная безопасность от EsetСергей Федоров - Современная безопасность от Eset
Сергей Федоров - Современная безопасность от Eset
 
Мошенничество в системах ДБО. Анализ и контроль операций
Мошенничество в системах ДБО. Анализ и контроль операцийМошенничество в системах ДБО. Анализ и контроль операций
Мошенничество в системах ДБО. Анализ и контроль операций
 
Безопасность для сайта
Безопасность для сайтаБезопасность для сайта
Безопасность для сайта
 
Инфоберег. Будущее аутентификации - сегодня
Инфоберег. Будущее аутентификации - сегодняИнфоберег. Будущее аутентификации - сегодня
Инфоберег. Будущее аутентификации - сегодня
 
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
 
Защита удалённого доступа к внутренним ресурсам компании
Защита удалённого доступа к внутренним ресурсам компанииЗащита удалённого доступа к внутренним ресурсам компании
Защита удалённого доступа к внутренним ресурсам компании
 

More from Vitaliy Pak

Lecture 5. Secure agent roaming for mobile business
Lecture 5. Secure agent roaming for mobile businessLecture 5. Secure agent roaming for mobile business
Lecture 5. Secure agent roaming for mobile business
Vitaliy Pak
 
Trend of 4th induatrial revolution linked application service technology base...
Trend of 4th induatrial revolution linked application service technology base...Trend of 4th induatrial revolution linked application service technology base...
Trend of 4th induatrial revolution linked application service technology base...
Vitaliy Pak
 
Ai in farming
Ai in farmingAi in farming
Ai in farming
Vitaliy Pak
 
Lecture 4. information delivery for mobile business
Lecture 4. information delivery for mobile businessLecture 4. information delivery for mobile business
Lecture 4. information delivery for mobile business
Vitaliy Pak
 
Lecture 3. A methodology for M-Tansformation of small and medium enterprises
Lecture 3. A methodology for M-Tansformation of small and medium enterprisesLecture 3. A methodology for M-Tansformation of small and medium enterprises
Lecture 3. A methodology for M-Tansformation of small and medium enterprises
Vitaliy Pak
 
Lecture 2. mobile business strategy
Lecture 2. mobile business strategyLecture 2. mobile business strategy
Lecture 2. mobile business strategy
Vitaliy Pak
 
Lecture 1. the definition of mobile business
Lecture 1. the definition of mobile businessLecture 1. the definition of mobile business
Lecture 1. the definition of mobile business
Vitaliy Pak
 
Базы данных лекция №7
Базы данных лекция №7Базы данных лекция №7
Базы данных лекция №7
Vitaliy Pak
 
Базы данных лекция №6
Базы данных лекция №6Базы данных лекция №6
Базы данных лекция №6
Vitaliy Pak
 
Базы данных лекция №5
Базы данных лекция №5Базы данных лекция №5
Базы данных лекция №5
Vitaliy Pak
 
Базы данных лекция №12
Базы данных лекция №12Базы данных лекция №12
Базы данных лекция №12
Vitaliy Pak
 
Базы данных лекция №11
Базы данных лекция №11Базы данных лекция №11
Базы данных лекция №11
Vitaliy Pak
 
Базы данных лекция №10
Базы данных лекция №10Базы данных лекция №10
Базы данных лекция №10
Vitaliy Pak
 
Базы данных лекция №9
Базы данных лекция №9Базы данных лекция №9
Базы данных лекция №9
Vitaliy Pak
 
Базы данных лекция №8
Базы данных лекция №8Базы данных лекция №8
Базы данных лекция №8
Vitaliy Pak
 
Difference between Chinese and Korean
Difference between Chinese and KoreanDifference between Chinese and Korean
Difference between Chinese and Korean
Vitaliy Pak
 
IT in Korea
IT in KoreaIT in Korea
IT in Korea
Vitaliy Pak
 
лекция 1. введение в веб технологии
лекция 1. введение в веб технологиилекция 1. введение в веб технологии
лекция 1. введение в веб технологии
Vitaliy Pak
 
Базы данных лекция №4
Базы данных лекция №4Базы данных лекция №4
Базы данных лекция №4
Vitaliy Pak
 
Базы данных лекция №3
Базы данных лекция №3Базы данных лекция №3
Базы данных лекция №3
Vitaliy Pak
 

More from Vitaliy Pak (20)

Lecture 5. Secure agent roaming for mobile business
Lecture 5. Secure agent roaming for mobile businessLecture 5. Secure agent roaming for mobile business
Lecture 5. Secure agent roaming for mobile business
 
Trend of 4th induatrial revolution linked application service technology base...
Trend of 4th induatrial revolution linked application service technology base...Trend of 4th induatrial revolution linked application service technology base...
Trend of 4th induatrial revolution linked application service technology base...
 
Ai in farming
Ai in farmingAi in farming
Ai in farming
 
Lecture 4. information delivery for mobile business
Lecture 4. information delivery for mobile businessLecture 4. information delivery for mobile business
Lecture 4. information delivery for mobile business
 
Lecture 3. A methodology for M-Tansformation of small and medium enterprises
Lecture 3. A methodology for M-Tansformation of small and medium enterprisesLecture 3. A methodology for M-Tansformation of small and medium enterprises
Lecture 3. A methodology for M-Tansformation of small and medium enterprises
 
Lecture 2. mobile business strategy
Lecture 2. mobile business strategyLecture 2. mobile business strategy
Lecture 2. mobile business strategy
 
Lecture 1. the definition of mobile business
Lecture 1. the definition of mobile businessLecture 1. the definition of mobile business
Lecture 1. the definition of mobile business
 
Базы данных лекция №7
Базы данных лекция №7Базы данных лекция №7
Базы данных лекция №7
 
Базы данных лекция №6
Базы данных лекция №6Базы данных лекция №6
Базы данных лекция №6
 
Базы данных лекция №5
Базы данных лекция №5Базы данных лекция №5
Базы данных лекция №5
 
Базы данных лекция №12
Базы данных лекция №12Базы данных лекция №12
Базы данных лекция №12
 
Базы данных лекция №11
Базы данных лекция №11Базы данных лекция №11
Базы данных лекция №11
 
Базы данных лекция №10
Базы данных лекция №10Базы данных лекция №10
Базы данных лекция №10
 
Базы данных лекция №9
Базы данных лекция №9Базы данных лекция №9
Базы данных лекция №9
 
Базы данных лекция №8
Базы данных лекция №8Базы данных лекция №8
Базы данных лекция №8
 
Difference between Chinese and Korean
Difference between Chinese and KoreanDifference between Chinese and Korean
Difference between Chinese and Korean
 
IT in Korea
IT in KoreaIT in Korea
IT in Korea
 
лекция 1. введение в веб технологии
лекция 1. введение в веб технологиилекция 1. введение в веб технологии
лекция 1. введение в веб технологии
 
Базы данных лекция №4
Базы данных лекция №4Базы данных лекция №4
Базы данных лекция №4
 
Базы данных лекция №3
Базы данных лекция №3Базы данных лекция №3
Базы данных лекция №3
 

Двухфакторная аутентификация

  • 2. Аутентификация • Аутентификация (Authentication) - процедура проверки подлинности заявленного пользователя, процесса или устройства. • Аутентификация – процесс подтверждения личности пользователя. • Наиболее распространенная форма аутентификации – логин и пароль • Двухфакторная аутентификация (2FA) это одна из разновидностей многофакторной аутентификации
  • 3. Проблемы связанные с паролем • Социальная инженерия • Фишинг • Брут форс атака • Подглядывание • Захват нажатий клавиатуры • Атака по словарю
  • 4. Многофакторная аутентификация • Многофакторная аутентификация (англ. multi-factor authentication) - расширенная аутентификация, метод контроля доступа к компьютеру, в котором пользователю для получения доступа к информации необходимо предъявить более одного «доказательства механизма аутентификации».
  • 5. Двухфакторная аутентификация • Классы факторов: – знание: то что знаем (пароль, ПИН) – владение: то, что имеем (телефон, электронная карта, токен) – свойство: то, что обладаем (биометрия, отпечатки, глаза) • Двухфакторная использует два класса – (аппаратный токен + пароль) – (ПИН + отпечаток пальца) – (сканирование оболочки глаза + телефон) • Использование нескольких классов аутентификации заставляет злоумышленника делать более сложным создание системы компрометирующей двухфакторную аутентификацию: – злоумышленник может украсть пароль, но не иметь токена – Злоумышленник может украсть карту, но не знать ПИН
  • 6. Алгоритмы и открытые стандарты • Инициатива для открытой аутентификации (OATH) это сотрудничество компаний в области создания стандартов аутентификации, например двухфакторной • Hash-based One Time Password (HOTP) одноразовый пароль (RFC 4226) • Time-based One Time Password (TOTP) генерация пароля на основе времени (RFC 6238) • TOTP очень важен поскольку он использует «временное окно» для генерации одноразовых паролей. – С TOTP пароль действует несколько секунд – TOTP это очень распространенный механизм, реализованный множеством сервисов
  • 7. Дополнительные детали TOTP и HOTP • Сервисы, использующие двухфакторную аутентификацию на базе TOTP – Google, Dropbox, Web Services, Facebook, Microsoft • Сервисы, реализующие TOTP, позволяющие создавать приложения или токены – OATH Toolkit (http://www.nongnu.org/oath-toolkit) • В отличии от HOTP устройства или программы которые используют TOTP требуют точный источник времени для правильной работы • HOTP/TOTP оба требуют секретный ключ для генерации своих одноразовых паролей – Секрет известен и токену и серверу для верификации
  • 8. OTP Токены Аппаратные токены USB токены Смарт карта Программные токены Мобильные токены
  • 9. Процесс с использованием аппаратных токенов
  • 10. 2FA использующая мобильные токены • Для генерации используются: – Приложения установленные на мобильных телефонах пользователей – IMEI (International Mobile Equipment Identity - международный идентификатор мобильного оборудования) – Временные отметки (time stamp) – Seed • Использующиеся алгоритмы: – Time based One Time Password Algorithm/ HMAC- SHA 1
  • 11. Мобильные токены • Наиболее известное мобильное приложение, реализующее TOTP – это Google Authenticator
  • 12. Процесс с использованием мобильных токенов • Пользователь регистрируется на сервере • Seed • Pin • IMEI number • Time Stamp • difference • Генерация временного пароля
  • 13. Процесс с использованием мобильных токенов
  • 14. СМС в качестве двухфакторного ключа • СМС очень понятный и доступный механизм • Не требует дополнительного аппаратного обеспечения • Однако, за СМС взимается плата, и при путешествии за рубеж не доступен • Сервисы, использующие СМС в качестве второго фактора: – LinkedIn, Bank of America, Facebook, Telegram, Twitter, Google
  • 16. Телефонный звонок в качестве двухфакторного ключа Преимущества • Использование телефонного номера доступно везде где есть телефонная связь • Роботизированная система диктует ПИН • В отличие от СМС не взимается плата • Система исторически очень распространена в качестве способа верификации кого- либо по телефонному номеру Недостатки • Сравнивая с мобильным приложением, необходимо брать телефон и вводить продиктованный одноразовый пароль • Что делать, если вы за рубежом. Или нет покрытия сети
  • 17. Другие формы второго фактора • Мобильные приложения • Географическое положение • Биометрические данные, как правило со смартфона или планшета • Смарт карты