Ежедневно мы получаем доступ к различным системам и проходим аутентификацию, зачастую даже не задумываясь об этом. Тем не менее, в целях вашей личной информационной безопасности и сохранности персональных данных стоит уделить этому процессу особое внимание. Расскажем о том, почему это важно, и что такое двухфакторная аутентификация.

Что такое аутентификация

Аутентификация - это часть трехступенчатого процесса получения доступа к каким-либо данным в информационной системе. В ее процессе сначала происходит идентификация, в результате которой субъект, желающий получить доступ, распознается по личному идентификатору. На этом этапе вводится, например, логин, фамилия, имя, номер телефона, т.е. некие идентификаторы, позволяющие системе находить вас в базе данных.

Аутентификация и ее факторы

Далее информационная система, к которой пользователь хочет получить доступ, уточняет: может ли пользователь доказать, что действительно он? Это и есть аутентификация. Эта часть процедуры выполняется с помощью сравнения данных, которые вы предоставляете, с теми, которые сохранены в базе данных соответственно идентификатору (например, пароль).

Это могут быть разные сведения – факторы аутентификации. Выделяют 3 фактора:

- нечто, известное лишь вам (знание);

- нечто, чем обладаете только вы (носитель информации: физический объект, карта, личная печать, ключ и др.);

- нечто, что является вашей физической особенностью (биометрические данные).

Итак, в зависимости от условий системы, это могут быть разные факторы: биометрические данные, ПИН-коды, и обычные пароли, а также устройства, имеющиеся у пользователя. Далее, если идентификация и аутентификация прошли успешно, процесс получения доступа к системе завершается авторизацией. Пользователь авторизован, он получил доступ.

Каковы риски при однофакторной аутентификации?

Вернемся на этап, когда система запрашивает доказательства, что вы – это вы. Если ей нужен только один способ подтверждения (фактор), то это – однофакторная аутентификация.

Например, самым привычным форматом в части аутентификации для нас, пожалуй, является пароль. Вы вводите пароль – и система вас авторизует.

Однако, с точки зрения информационной безопасности, такой способ содержит риски:

- если мы формируем простой пароль, недоброжелателю проще его подобрать и пройти аутентификацию за вас.

- если мы формируем сложный пароль, риск аутентификации недоброжелателем снижается. Но, поскольку такое сочетание символов сложнее запомнить, мы можем его куда-либо записать, а далее, по беспечности, также оказаться в ситуации, когда доступ к паролю может получить злоумышленник.

В целом, в процессе аутентификации не рекомендуется ограничиваться паролем: кроме того, что при написании его может кто-то подсмотреть, он может быть перехвачен программами в момент ввода.

Мы, как пользователи, часто получаем доступ к разным базам данных и системам. Возможно, защитить доступ к каким-то из них не так уж и важно. Скажем, какой-то развлекательный портал не содержит стратегически важной информации. А есть такие данные, защита которых имеет весомое значение. Например, данные, обеспечивающие бизнес-процессы системы: ИТ-инфраструктура компании, учетные записи сотрудников. Здесь защита должна быть комплексной. В таком случае можно применить двухфакторную аутентификацию (2ФА): это способ, при котором вы подтверждаете свою личность с помощью сочетания двух факторов.

Ситуации могут быть разные. Допустим, злоумышленник украл корпоративный ноутбук, или сотрудник работает удаленно, при этом защищая свой компьютер самостоятельно, что упрощает процедуру взлома. Чтобы снизить риск нежелательного доступа и обезопасить себя или бизнес, нужно добавить дополнительный фактор аутентификации.

Двухфакторная аутентификация с использованием электронной подписи

Биометрические факторы, конечно, интересны для рассмотрения, но это отдельная тема, поэтому остановимся на двухфакторной аутентификации с помощью фактора обладания неким физическим объектом в сочетании с фактором знания. Физическим объектом может быть токен или смарт-карта – такие продукты защищены от несанкционированного доступа и копирования. Устройство нужно подключить к системе и ввести PIN-код. Тогда у пользователя будет два фактора аутентификации: первый – обладание конкретным объектом, и второй – знание кода доступа.

Если допустить пропажу устройства при таких условиях, то недоброжелатель, даже завладев им, не сможет получить доступ к сети, ведь он не знает PIN-код. Например, Рутокен обладает ограниченным количеством ввода неправильного PIN-кода, после десяти попыток токен блокируется автоматически. Если Рутокен будет украден или утерян, то владелец своевременно заметит это, уведомит администратора, и использование устройства будет заблокировано. Подробнее о действиях при компрометации ключевых носителей мы рассказывали в статье Что такое компрометация ключа ЭП и почему она происходит.

Строгая двухфакторная аутентификация с использованием электронной подписи

Для осуществления строгой двухфакторной аутентификации с использованием электронной подписи в организации должны присутствовать доменная инфраструктура и инфраструктура открытых ключей (PKI).

В таком случае, каждому сотруднику компании выдается индивидуальное устройство (токен или смарт-карта), на которых должны быть созданы ключи электронной подписи и сертификат формата Х509. Закрытый ключ создается непосредственно в защищенной памяти устройства и не может быть извлечен и скопирован на другое. Рутокен заменяет ввод логина-пароля на предъявление электронной подписи.

Так, сочетание двух факторов аутентификации защитит учетные записи надежнее, чем один. Используя специальные устройства, вы повышаете безопасность своих учетных записей.

В предыдущих статьях мы подробно рассказали, что такое ключевой носитель, чем отличаются активный и пассивный токены, и какие формы ключевых носителей существуют. Обладание токеном или смарт-картой для электронной подписи позволяет юридическим и физическим лицам обеспечить информационную безопасность при решении целого пула разнообразных задач. В этом материале детально остановимся на том, какие задачи решают ключевые носители помимо самых распространенных кейсов: сдачи налоговой отчетности и участия в тендерах.

Зачем нужны токены (ключевые носители)?

Для хранения ключей и сертификатов электронной подписи были разработаны специальные защищенные устройства – ключевые носители. Ключевые носители вам понадобятся везде, где для более высокого уровня безопасности нужно использовать двухфакторную аутентификацию взамен связки логин-пароль. Самым распространенным ключевым носителем является токен, на втором месте по популярности - смарт-карта. Подробно о разнице форм-факторов мы рассказали в материале Чем отличаются смарт-карты и токены. Какой тип устройств для какой задачи подходит?

Таким образом, ключевые носители нужны в самых различных областях деятельности и бизнес-процессах: от организации безопасной удаленной работы до получения целого ряда услуг на портале Госуслуги. Перейдем к конкретике.

Какие задачи решают ключевые носители?

Сначала повторим главное, что нужно помнить о ключевых носителях:

1. Это защищенное устройство для хранения ключей и сертификатов электронной подписи (как квалифицированной, так и неквалифицированной), секретных ключей и идентификаторов.

2. Ключевой носитель может быть выпущен в форм-факторе USB-токена (это такие модели, как Рутокен ЭЦП 2.0 2100, Рутокен Lite, Рутокен ЭЦП 3.0 3100 NFC) или смарт-карты (Рутокен ЭЦП 2.0 2100 с RFID-меткой, Рутокен ЭЦП 3.0 3200 NFC). Токены в свою очередь могут иметь как стандартный разъем USB Type-A, так и более современные варианты разъема - Type-C.

3. Некоторые модели ключевых носителей (Рутокен Lite) требуют дополнительной установки специальных программ – криптопровайдеров, которые формируют ключи электронной подписи и записывают их в память токена, а также обеспечивают работу с ключевыми контейнерами.

Функциональность ключевых носителей, о которых вы не знали

С каждым годом сфера применения электронной подписи значительно расширяется. Давайте поговорим о том, зачем нужны токены, в каких ситуациях электронная подпись может оказаться полезной, и разберем ТОП-3 ситуации, в которых ключевой носитель решает вопросы защиты информации физических лиц и предотвращения мошеннических действий.

Кейс №1: Организация безопасного удаленного рабочего места

Первый и важный кейс - обеспечение безопасности удаленного рабочего места. После начала эпидемии COVID-19 многие компании переведи сотрудников в режим удаленной работы. Эта тенденция сохраняется и сегодня. По данным опроса, проведенного сервисом «Работа.ру», доля россиян, работающих только на удаленке, к июлю 2021 года составляла 11%. Еще 6% работали в гибридном режиме.

По данным “Ростелеком-Солар” 90% корпоративных утечек критической информации происходит по невнимательности руководителей среднего звена. Наиболее уязвимые каналы утечек: личная электронная почта, внешние облачные хранилища и соцсети (51%). Утечки несут риски как для компаний, так и для ее работников. Организация безопасной работы удаленного офиса стала вызовом для бизнеса.

Использование двухфакторной аутентификации с помощью токенов для доступа к учетной записи в операционной системе, удаленным серверам и хранилищам помогает предотвратить кражу логинов и паролей и несанкционированный доступ к корпоративной сети. Токены и смарт-карты также дают возможность подписывать электронной подписью и шифровать почтовые сообщения.

Двухфакторная аутентификация — это самый надежный способ аутентификации, в процессе которого используются факторы двух типов: наличие физического устройства - токена Рутокен и знание PIN-кода.  Даже подсмотрев PIN-код, злоумышленнику нужно предъявить физическое устройство, кража которого всегда быстро обнаруживается.  

Лучший выбор продуктов для организации безопасного рабочего места

• USB-токены и смарт-карты Рутокен ЭЦП 2.0 2100 

• USB-токены и смарт-карты Рутокен ЭЦП 3.0 3100 NFC

• USB-токены Рутокен ЭЦП 2.0 Flash

Кейс №2: Обеспечение безопасности дистанционного банковского обслуживания (ДБО) и защита мобильного банка

В условиях постпандемийного мира удаленные сервисы стали обыденностью, а удаленная работа сотрудников новой «нормальностью». При этой трансформации вопросам информационной безопасности уделялось ничтожно мало внимания, что сделало уязвимыми для кибермошенников системы дистанционного банковского обслуживания (ДБО). Например, в момент совершения транзакции в мобильном банке связка SMS-код (push-уведомление) - подтверждение транзакции может быть в любой момент скомпрометирована. Гораздо безопаснее будет проводить подобные операции с использованием устройств для многофакторной аутентификации. Например, строгую двухфакторную аутентификацию и подтверждение транзакций с помощью электронной подписи обеспечивают USB-токены и смарт-карты Рутокен с контактным и бесконтактным интерфейсами для работы на мобильных устройствах.

Лучший выбор продуктов для обеспечения безопасности ДБО и защиты мобильного банка:

• USB-токены и смарт-карты Рутокен ЭЦП 2.0 2100

• USB-токены и смарт-карты Рутокен ЭЦП 3.0 3100 NFC

Кейс 3: Безопасное взаимодействие с государственными информационными сервисами

Список государственных услуг, требующих наличие у получателя услуги электронной подписи, растет с каждым годом. Наличие квалифицированной электронной подписи позволит вам пользоваться всеми услугами портала без каких-либо проблем. Ведь защита вашего личного кабинета, а точнее большого массива ваших персональных данных, от киберпреступников сегодня как никогда актуальна.

Опросы по тематике кибербезопасности показывают, что большинство пользователей не применяют даже сложных или стойких паролей, а ограничиваются обычным сочетанием слов и цифр. Взломать такой пароль не составляет большого труда. И связка логин-пароль может быть скомпрометирована в любой момент, и вы станете добычей киберпреступников, даже не узнав об этом.

Правильным решением в этой ситуации станет применении двухфакторной аутентификации для входа в ваш личный кабинет на портале Госуслуг. Сертифицированные ФСТЭК и ФСБ USB-токены и смарт-карты Рутокен помогают защищать от злоумышленников доступ в личный кабинет, а также позволяют выполнять усиленную квалифицированную электронную подпись для подписания юридически значимых документов. В случае, если физическое устройство - токен или смарт-карта Рутокен будет украдена или утеряна, владелец своевременно сможет заметить пропажу, уведомит УЦ и использование устройства будет заблокировано.

Таким образом, ключевые носители Рутокен выступают в данном случае как более надежный инструмент аутентификации в государственных информационных системах, чем утратившая всякое доверие связка логин-пароль.

Лучший выбор продуктов для обеспечения защиты работы в ГИС:

• USB-токены и смарт-карты Рутокен ЭЦП 2.0 2100

• USB-токены Рутокен ЭЦП 2.0 Flash

• USB-токены Рутокен Lite

Как видно из вышеперечисленного, сфера полезного действия ключевых носителей намного шире, чем привычные нам процессы сдачи отчетности в налоговую (о том, как получить ЭП мы рассказали отдельно). Применяйте знания о кибербезопасности, чтобы обезопасить свои данные и предупредить мошеннические атаки.

Как быстро получить квалифицированный сертификат ключа проверки электронной подписи, мы писали в предыдущем посте. Давайте теперь поговорим о том, какой ключевой носитель выбрать. В этот раз сравним два форм-фактора – USB-токены и смарт-карты для электронной подписи.

Токены и смарт-карты - в чем отличие?

Токен – это не обычная флешка, а защищенный PIN-кодом специализированный носитель для безопасного хранения контейнера с сертификатом и ключом электронной подписи. Такие специализированные носители бывают как "базового уровня" (пассивные), так и активные, криптографические. Более подробно о пассивных и активных токенах мы писали тут.

Токены выпускаются в нескольких фактор-формах:

USB Type-A – токен со стандартным разъемом флеш-карты (например, Рутокен Lite и Рутокен ЭЦП 2.0 2100);

USB Type-A micro – токен в миниатюрном исполнении. Его основное отличие от форм-фактора;

USB Type-A - это размер. В качестве примера можно привести модель Рутокен Lite micrо (требует установки программы-криптопровайдера) или Рутокен ЭЦП 2.0 2100 micro (является самостоятельным СКЗИ). Более подробно об отличиях этих двух моделей мы рассказали здесь. Такой токен отлично подойдет тем, кто преимущественно работает на ноутбуках или небольших мобильных кассах, ведь он выступает за пределы разъема всего на 5 мм.

USB Type-C – это улучшенный вариант форм-фактора Type-A, расширяющий возможности применения токенов на современных устройствах. Без переходников или USB-хабов они подсоединяются к компьютерам iMac и Mac mini последнего поколения, ноутбукам MacBook Pro, MacBook Air и MacBook, а также к планшетам, смартфонам и ноутбукам иных производителей, оснащенных этим разъемом (кроме Apple iPad Pro). Достойным выбором в этой категории будет модель Рутокен ЭЦП 2.0 2100 Type-С. Этот ключевой носитель обеспечивает повышенный уровень безопасности ваших данных, имеет сертификаты ФСТЭК и ФСБ и является СКЗИ. Для некоторых сценариях его использования, таких как работа в ЛК ИП и ЮЛ ФНС на ОС Windows, Честный знак, ЕГАИС, OFD, Госуслуги, Диадок, не нужно устанавливать дополнительные программы-криптопровайдеры. Рутокен ЭЦП 2.0 2100 Type-С (как и его аналог Рутокен ЭЦП 2.0 2100 Type-А) подходит для хранения сертификата и ключа подписи и подписания документов усиленной квалифицированной электронной подписью, а также для организации защиты доступа с помощью двухфакторной аутентификации.

Смарт-карты для электронной подписи

Что касается ключевых носителей в формате смарт-карт, то эти устройства также обладают встроенным защищенным микроконтроллером, имеют аналогичную с USB-токеном функциональность и могут выступать полноценным СКЗИ и средством электронной подписи. Некоторым пользователям удобен такой формат носителя, его можно держать в бумажнике, и они предпочитают его токенам. Примером тут может служить смарт-карта Рутокен ЭЦП 2.0 2100 с поддержкой новых российских криптографических стандартов, сертифицированная ФСТЭК и ФСБ. Работа со смарт-картами предполагает использование специального считывающего устройства - ридера, обеспечивающего связь между чипом карты и компьютером.

Смарт-карты и токены для бесконтактного взаимодействия с мобильными устройства задействуют для связи технологию NFC. Однако их масштабное использование возможно сегодня только в рамках корпоративных проектов. Остальные смогут повсеместно применять их для электронной подписи и сдачи налоговой отчетности со смартфонов в будущем, когда все популярные сервисы для электронного документооборота разработают мобильные приложения с поддержкой электронной подписи, реализуемой по каналу NFC.

Также отличительной чертой смарт-карт является то, что они могут быть использованы как часть системы физической безопасности предприятия. Смарт-карта может служить универсальным электронным удостоверением сотрудника, выполнять роль хранилища всей необходимой информации о нем (фото, должность, образец подписи, срок действия удостоверения и т.д.). Также они могут быть оснащены RFID-меткой для использования в системах контроля и управления доступом (СКУД). Сочетание в одной смарт-карте персонального средства аутентификации и RFID-метки без лишних затрат и практически полностью решает проблему вторжений злоумышленников по причине незаблокированных компьютеров и сессий.

Как видим, смарт-карты имеют несколько более широкий спектр действия, чем USB-токены, благодаря возможности нанесения персональной информации и встраивания дополнительных технологических решений (RFID-метки).

Что выбрать – токен или смарт-карту?

Чтобы правильно подобрать форм-фактор ключевого носителя, необходимо в первую очередь понять, какие задачи перед вами стоят.

Если вам нужен самый простой способ защиты закрытого ключа электронной подписи от копирования – ваш выбор, скорее всего, падёт на Рутокен Lite или Рутокен Lite micrо.

Для работы с квалифицированной электронной подписью, а также для работы в ЕГАИС или других государственных системах учета и маркировки подойдут Рутокен ЭЦП 2.0 2100 (разъем Type-А) или Рутокен ЭЦП 2.0 2100 Type-С.

Напомним, что и на Рутокен Lite, и на Рутокен ЭЦП 2.0 можно хранить ключи электронной подписи и сертификаты. Однако, Рутокен Lite – это пассивный носитель, и для работы с ним всегда нужен программный криптопровайдер. Также у данной модели токена отсутствует аппаратная защита закрытого ключа электронной подписи от копирования. В свою очередь, Рутокен ЭЦП 2.0 2100 – это активный носитель, который может работать без программного провайдера. Неизвлекаемые ключи электронной подписи, хранящиеся на таком токене, нельзя скопировать или перехватить - подпись максимально защищена на аппаратном уровне. Неизвлекаемые ключи, защищенные PIN-кодом, доступны через СКЗИ «КриптоПро CSP» 5.0 R2 и новее, а также через ПО (PKCS#11), работающее с такими ключами. Подробно об особенностях пассивных и активных носителей мы писали тут.

И, наконец, если среди ваших задач есть обеспечение дополнительной физической безопасности в офисе, рассмотрите решение на базе смарт-карт, в рамках которого получится объединить функционал, обеспечивающий физическую и информационную безопасность вашей организации. В рамках такого решения можно дополнить смарт-карты бесконтактными RFID- метками для контроля прохода через СКУД. Выбирайте осознанно, и пусть ваша информационная безопасность (и безопасность вашего бизнеса) будет основана на верном решении и надежных устройствах.