«Идентификация, аутентификация, авторизация – встроенные функции приложений и...Mail.ru Group
В докладе были рассмотрены возможные подходы к решению задач идентификации, аутентификации и авторизации на уровне инфраструктуры организации.
Защита приложения требует наличия в нем встроенных функций идентификации/аутентификации/авторизации пользователя. Однако полагаться на встроенные функции становится сложно, когда необходимо обеспечить работу пользователей с множеством приложений, развернутых внутри организации и в облаке, и к тому же дать пользователям доступ с разнообразных устройств (ПК, мобильные устройства) и из сети организации, и вне ее периметра. В таких случаях задача обеспечения идентификации/аутентификации/авторизации должна быть решена на уровне инфраструктуры организации.
Gemalto ключевой компонент безопасной инфраструктуры microsoft 05122014ISSP Russia
Построение безопасной аутентификации к сервисам приватных и публичных облаков на базе решений Gemalto – ключевого компонента безопасной инфраструктуры Microsoft
Идентификация и аутентификация - встроенные функции безопасности или задачи с...Mikhail Vanin
Выступление на семинаре "Безопасная разработка и защита приложений", прошедшем 20 апреля в Mail.Ru Group.
Видео доступно по ссылке https://it.mail.ru/video/568/
Презентация работы Ленкевич К.
Выполнена на Кафедре Защиты Информации Факультета Информационных Систем и Технологий СыктГУ.
Подробнее: http://www.kzissu.ru/paper/kursovye-raboty/38 (доступ закрытый)
Мошенничество в системах ДБО. Анализ и контроль операцийКРОК
Вторая межбанковская конференция «Информационная безопасность банков».
Подробнее о мероприятии http://www.croc.ru/action/partners/detail/2618/
Презентация Евгения Чугунова, эксперта направления информационной безопасности компании КРОК
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...Denis Batrankov, CISSP
Все маркетинговые презентации почти одинаковы и после того вы прослушали маркетинг, у вас должны быть уточняющие вопросы. Какие вопросы задают мне заказчики? А вот они.
«Идентификация, аутентификация, авторизация – встроенные функции приложений и...Mail.ru Group
В докладе были рассмотрены возможные подходы к решению задач идентификации, аутентификации и авторизации на уровне инфраструктуры организации.
Защита приложения требует наличия в нем встроенных функций идентификации/аутентификации/авторизации пользователя. Однако полагаться на встроенные функции становится сложно, когда необходимо обеспечить работу пользователей с множеством приложений, развернутых внутри организации и в облаке, и к тому же дать пользователям доступ с разнообразных устройств (ПК, мобильные устройства) и из сети организации, и вне ее периметра. В таких случаях задача обеспечения идентификации/аутентификации/авторизации должна быть решена на уровне инфраструктуры организации.
Gemalto ключевой компонент безопасной инфраструктуры microsoft 05122014ISSP Russia
Построение безопасной аутентификации к сервисам приватных и публичных облаков на базе решений Gemalto – ключевого компонента безопасной инфраструктуры Microsoft
Идентификация и аутентификация - встроенные функции безопасности или задачи с...Mikhail Vanin
Выступление на семинаре "Безопасная разработка и защита приложений", прошедшем 20 апреля в Mail.Ru Group.
Видео доступно по ссылке https://it.mail.ru/video/568/
Презентация работы Ленкевич К.
Выполнена на Кафедре Защиты Информации Факультета Информационных Систем и Технологий СыктГУ.
Подробнее: http://www.kzissu.ru/paper/kursovye-raboty/38 (доступ закрытый)
Мошенничество в системах ДБО. Анализ и контроль операцийКРОК
Вторая межбанковская конференция «Информационная безопасность банков».
Подробнее о мероприятии http://www.croc.ru/action/partners/detail/2618/
Презентация Евгения Чугунова, эксперта направления информационной безопасности компании КРОК
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...Denis Batrankov, CISSP
Все маркетинговые презентации почти одинаковы и после того вы прослушали маркетинг, у вас должны быть уточняющие вопросы. Какие вопросы задают мне заказчики? А вот они.
2. Аутентификация
• Аутентификация (Authentication) - процедура
проверки подлинности заявленного
пользователя, процесса или устройства.
• Аутентификация – процесс подтверждения
личности пользователя.
• Наиболее распространенная форма
аутентификации – логин и пароль
• Двухфакторная аутентификация (2FA) это одна из
разновидностей многофакторной
аутентификации
3. Проблемы связанные с паролем
• Социальная
инженерия
• Фишинг
• Брут форс атака
• Подглядывание
• Захват нажатий
клавиатуры
• Атака по словарю
4. Многофакторная аутентификация
• Многофакторная аутентификация
(англ. multi-factor authentication) -
расширенная аутентификация, метод контроля
доступа к компьютеру, в котором пользователю
для получения доступа к информации
необходимо предъявить более одного
«доказательства механизма аутентификации».
5. Двухфакторная аутентификация
• Классы факторов:
– знание: то что знаем (пароль, ПИН)
– владение: то, что имеем (телефон, электронная карта,
токен)
– свойство: то, что обладаем (биометрия, отпечатки, глаза)
• Двухфакторная использует два класса
– (аппаратный токен + пароль)
– (ПИН + отпечаток пальца)
– (сканирование оболочки глаза + телефон)
• Использование нескольких классов аутентификации
заставляет злоумышленника делать более сложным
создание системы компрометирующей
двухфакторную аутентификацию:
– злоумышленник может украсть пароль, но не иметь токена
– Злоумышленник может украсть карту, но не знать ПИН
6. Алгоритмы и открытые стандарты
• Инициатива для открытой аутентификации (OATH)
это сотрудничество компаний в области создания
стандартов аутентификации, например
двухфакторной
• Hash-based One Time Password (HOTP)
одноразовый пароль (RFC 4226)
• Time-based One Time Password (TOTP) генерация
пароля на основе времени (RFC 6238)
• TOTP очень важен поскольку он использует
«временное окно» для генерации одноразовых
паролей.
– С TOTP пароль действует несколько секунд
– TOTP это очень распространенный механизм,
реализованный множеством сервисов
7. Дополнительные детали TOTP и HOTP
• Сервисы, использующие двухфакторную
аутентификацию на базе TOTP
– Google, Dropbox, Web Services, Facebook, Microsoft
• Сервисы, реализующие TOTP, позволяющие
создавать приложения или токены
– OATH Toolkit (http://www.nongnu.org/oath-toolkit)
• В отличии от HOTP устройства или программы
которые используют TOTP требуют точный
источник времени для правильной работы
• HOTP/TOTP оба требуют секретный ключ для
генерации своих одноразовых паролей
– Секрет известен и токену и серверу для верификации
12. Процесс с использованием мобильных
токенов
• Пользователь регистрируется на сервере
• Seed
• Pin
• IMEI number
• Time Stamp
• difference
• Генерация временного пароля
14. СМС в качестве двухфакторного ключа
• СМС очень понятный и доступный
механизм
• Не требует дополнительного аппаратного
обеспечения
• Однако, за СМС взимается плата, и при
путешествии за рубеж не доступен
• Сервисы, использующие СМС в качестве
второго фактора:
– LinkedIn, Bank of America, Facebook,
Telegram, Twitter, Google
16. Телефонный звонок в качестве
двухфакторного ключа
Преимущества
• Использование телефонного
номера доступно везде где
есть телефонная связь
• Роботизированная система
диктует ПИН
• В отличие от СМС не
взимается плата
• Система исторически очень
распространена в качестве
способа верификации кого-
либо по телефонному
номеру
Недостатки
• Сравнивая с мобильным
приложением,
необходимо брать
телефон и вводить
продиктованный
одноразовый пароль
• Что делать, если вы за
рубежом. Или нет
покрытия сети
17. Другие формы второго фактора
• Мобильные приложения
• Географическое положение
• Биометрические данные, как правило со
смартфона или планшета
• Смарт карты