Матеріал надано сайтом HardwarePortal.ru, липень / 2006, Безмалий Володимир

"До 2008 року кількість використовуваних USB-ключів наблизиться до кількості інших засобів аутентифікації" IDC 2004 рік

Вступ

В даний час у зв'язку з широким розповсюдженням комп'ютерів все частіше доводиться замислюватися про безпеку оброблюваної інформації. Першим кроком в забезпеченні безпеки є аутентифікація законного користувача.

Найчастіше в якості засобів аутентифікації використовується пароль. До того ж понад 60% користувачів, як показує практика, найчастіше використовує одні й ті ж паролі до різних систем. Не варто й говорити, що це істотно знижує рівень безпеки. Що робити?

На мій погляд, одним з варіантів вирішення проблеми буде використання апаратних ключів аутентифікації. Розглянемо їх застосування докладніше на прикладі USB-ключів від фірми Aladdin.

Що таке eToken?

eToken (рис. 1) - персональний пристрій для аутентифікації і зберігання даних, апаратно підтримує роботу з цифровими сертифікатами і електронно-цифровим підписом (ЕЦП). eToken випускається у вигляді:

• eToken PRO - USB-ключ, що дозволяє виробляти двухфакторную аутентифікацію. Доступний у версіях 32К і 64К.
• eToken NG-OTP - гібрид USB-ключа і пристрої, що генерує одноразові паролі (One Time Password, OTP). Доступний у версіях 32К і 64К.
• Смарт-карта eToken PRO - пристрій, що виконує ті ж функції, що і USB-ключ, але має форму звичайної кредитної картки. Доступна у версіях 32К і 64К.

Надалі ми будемо говорити саме про USB-ключі, які підключаються безпосередньо до USB порту комп'ютера і, на відміну від смарт-карти, не вимагає наявності спеціального зчитувача.

eToken володіє захищеною енергонезалежною пам'яттю і використовується для зберігання паролів, сертифікатів та інших секретних даних.

пристрій eToken

Компоненти технології eToken PRO:

• чіп смарт-карти Infineon SLE66CX322P або SLE66CX642P (EEPROM ємністю 32 або 64 КБ відповідно);
• ОС смарт-карти Siemens CardOS V4.2;
• апаратно реалізовані алгоритми: RSA 1024bit, DES, Triple-DES 168bit, SHA1, MAC, Retail-MAC, HMAC-SHA1;
• апаратний датчик випадкових чисел;
• контролер USB інтерфейсу;
• джерело живлення;
• корпус з твердого пластика, який не піддається невиявний розтину.

У пристрій eToken NG-OTP додатково включені наступні компоненти:

• генератор одноразових паролів;
• гнопка для їх генерації;
• ЖК-дисплей.

Підтримка інтерфейсів:

• Microsoft CryptoAPI;
• PKCS # 11.

PIN-код

Для отримання доступу до даних, що зберігаються в пам'яті eToken, необхідно ввести PIN-код (Personal Identification Number). У PIN-коді не рекомендується використовувати прогалини і російські літери. При цьому PIN-код повинен задовольняти критеріям якості, заданим в файлі% systemroot% \ system32 \ etcpass.ini.

Редагування цього файлу, що містить критерії якості PIN-коду, здійснюється за допомогою утиліти eToken Properties.

Права доступу до eToken

Залежно від моделі eToken і параметрів, вибраних при форматуванні, можна виділити чотири типи прав доступу до eToken:

• гостьовий - можливість переглядати об'єкти у відкритій області пам'яті; можливість отримання з системної області пам'яті загальної інформації щодо eToken, що включає ім'я eToken, ідентифікатори і деякі інші параметри. При гостьовому доступі знання PIN-коду не обов'язково;
• призначений для користувача - право переглядати, змінювати і видаляти об'єкти в закритій, відкритої і вільної областях пам'яті; можливість отримання загальної інформації щодо eToken; право змінювати PIN-код і перейменовувати eToken; право налаштовувати параметри кешування вмісту закритою області пам'яті і додаткового захисту закритих ключів паролем (при відсутності пароля адміністратора або з дозволу адміністратора), право перегляду і видалення сертифікатів в сховище eToken і ключових контейнерів RSA;
• адміністраторський - право змінювати PIN-код користувача, не знаючи його; право зміни пароля адміністратора; право налаштовувати параметри кешування вмісту закритою області пам'яті і додаткового захисту закритих ключів паролем, а також можливість робити ці налаштування доступними в режимі користувача;
• ініціалізації - право форматувати eToken PRO.

До eToken R2 відносяться тільки перші два типи прав, до eToken PRO і eToken NG-OTP - всі чотири.
Адміністраторський доступ до eToken PRO може бути проведений тільки після правильного введення пароля адміністратора. Якщо ж в процесі форматування пароль адміністратора не заданий, то звернутися з правами адміністратора не можна.

Програмне забезпечення для eToken. Загальні відомості.

eToken Run Time Environment 3.65

eToken Run Time Environment (eToken RTE) - набір драйверів eToken. До складу даного пакета програмного забезпечення входить утиліта "Властивості eToken" (eToken Properties).

За допомогою даної утиліти можна:

• налаштовувати параметри eToken і його драйверів;
• переглядати загальну інформацію щодо eToken;
• імпортувати, переглядати і видаляти сертифікати (за винятком сертифікатів зі сховища eTokenEx) і ключові контейнери RSA;
• форматувати eToken PRO і eToken NG-OTP;
• налаштовувати критерії якості PIN-кодів.

Для установки даного програмного забезпечення необхідно мати права локального адміністратора. Слід пам'ятати, що до установки eToken RTE можна підключати ключ eToken.

Установку програмного забезпечення необхідно проводити в наступному порядку:

1. eToken RTE 3.65;
2. eToken RTE 3.65 RUI (русифікація інтерфейсу);
3. eToken RTX.

Установка і видалення на локальному комп'ютері eToken RTE 3.65

У вікні інсталятора необхідно прочитати ліцензійну угоду і погодитися з ним.

Якщо ви не згодні з умовами ліцензійної угоди, то натисніть кнопку "Cancel" і тим самим перервіть процес установки. Якщо ви згодні з ліцензійною угодою, то виберіть пункт "I accept the license agreement" і натисніть кнопку "Next". На екрані ви побачите наступне вікно:

Установка займе якийсь час. Після закінчення процесу інсталяції натисніть кнопку "Finish".

Після закінчення встановлення може знадобитися перезавантаження комп'ютера.

Використання командного рядка

Для установки і видалення eToken RTE 3.65, eToken RTE 3.65 RUI і eToken RTX можна використовувати командний рядок.
Приклади команд:

• msiexec / qn / i <pack.msi> - установка eToken RTE 3.65 (eToken RTE 3.65 RUI, eToken RTX) в автоматичному режимі без діалогових вікон з параметрами за замовчуванням;
• msiexec / qb / i <pack.msi> - установка eToken RTE 3.65 (eToken RTE 3.65 RUI, eToken RTX) в автоматичному режимі з параметрами за замовчуванням і відображенням процесу установки на екрані;
• <Pack.msi> / q - установка eToken RTE 3.65 (eToken RTE 3.65 RUI, eToken RTX) в автоматичному режимі без діалогових вікон з параметрами за замовчуванням;
• <Pack.msi> / qb - установка eToken RTE 3.65 (eToken RTE 3.65 RUI, eToken RTX) в автоматичному режимі з параметрами за замовчуванням і відображенням процесу установки на екрані;
• msiexec / qn / x <pack.msi> - видалення eToken RTE 3.65 (eToken RTE 3.65 RUI, eToken RTX) в автоматичному режимі без діалогових вікон;
• msiexec / qb / x <pack.msi> - видалення eToken RTE 3.65 (eToken RTE 3.65 RUI, eToken RTX) в автоматичному режимі з відображенням процесу видалення на екрані.

Перше підключення USB-ключа eToken до комп'ютера

Якщо на комп'ютері встановлено eToken RTE 3.65, підключіть eToken до порту USB або до подовжувач. Після цього почнеться процес обробки нового обладнання, який може зайняти деякий час. По завершенні процесу обробки нового обладнання на eToken загориться світловий індикатор.

Утиліта "Властивості eToken"

Утиліта "Властивості eToken" дозволяє виконувати основні операції з управління токенами, такі як зміна паролів, перегляд інформації і сертифікатів, розташованих в пам'яті eToken. Крім того, за допомогою утиліти "Властивості eToken" можна швидко і легко переносити сертифікати між комп'ютером і eToken, а також імпортувати ключі в пам'ять eToken.

Кнопка "Розблокувати" необхідна, якщо користувач забув свій PIN-код, і не може прийти до адміністратора eToken (наприклад, користувач перебуває у відрядженні). Звернувшись до адміністратора по e-mail, користувач зможе отримати для цього eToken від адміністратора шістнадцятковий запит, сформований на підставі даних, що зберігаються в базі TMS, внісши який в поле "відповідь" користувач отримає доступ на зміну PIN-коду.

При зміні PIN-коду необхідно щоб новий PIN-код відповідав вимогам якості введеного пароля. Якість пароля перевіряється згідно введеним критеріям.

Для того щоб перевірити відповідність пароля обраними критеріями, введіть пароль в рядок. Під цим рядком виводиться інформація про причини невідповідності введеного пароля обраними критеріями у відсотках, а також графічно і в процентах умовно відображається якість введеного пароля згідно з обраними критеріями.

перелік критеріїв

У таблиці наведено критерії якості PIN-коду і вказані їх установлювані значення. Як значення критерію може бути використана негативна величина, виражена у відсотках. Таке значення називається штрафом.

Cтандарт Опис Можливі
значення значення
за замовчуванням ABCOrder PIN-код містить послідовність символів в алфавітному порядку -100% - 0% -10% ABCOrderBase Довжина послідовності символів для критерію ABCOrder 2% - 100% 3% CheckCurrPass Новий пароль дорівнює поточному -100% - 0% -100% CheckDictionary пароль зі словника -100% - 0% -100% CheckOldPasses Новий пароль дорівнює одному з попередніх -100% - 0% 0% DefaultPassChange Зміна пароля, прийнятого за замовчуванням

None

(Зміна пароля не потрібно)

Warning

(Виводиться повідомлення з попередження- ням)

Enforce

(Використання пароля за замовчуванням неможливо)

Enforce Dictionary Файл словника Абсолютний шлях до файлу словника Не налаштовано DigitsOnly Пароль тільки з цифр -100% - 0% -5% Duplicates Наявність двох однакових символів -100% - 0% -20% Expiry Термін дії до появи попередження про зміну пароля 0 - 3650 дней 360 ExpiryEnforce Максимальний термін дії в днях 0 - 3650 0 (не встановлено) KeyboardProximity Наявність декількох символів в тому ж порядку, як на клавіатурі -100% - 0% -10% KeyboardProximity Base Довжина послідовності символів для попереднього параметра 2 - 100 3 LikeDictionary пароль схожий на пароль зі словника -100% - 0% -80% MinChangePeriod Мінімальний термін дії в днях 0 - 36 50 0 (не встановлено) MinimalLength Мінімальна довжина в символах 0 - 100 4 MinimalQuality Мінімальна стійкість у відсотках 0 - 100 30 NoDigits Відсутність цифр -100% - 0% -5% NoLowerCase Відсутність малих літер -100% - 0% -5% NonPrintable Використання букв російського алфавіту, недрукованих і деяких службових символів -100% - 0% -100% NoPunctuation Відсутність розділових знаків і службових символів -100% - 0% -5% NoUpperCase Відсутність великих літер -100% - 0% -5% OptimalLength Рекомендована довжина в символах 0 - 100 12 PhonesandSerialNumbers Використання в паролі номерів телефонів, серійних номерів і т.п. -100% - 0% -5% Repeating Наявність повторюваних символів -100% - 0% -20% SaveOldPasses Кількість використаних раніше паролів, що зберігаються в пам'яті eToken для перевірки за критерієм CheckOldPasses 0-20 3 SmallPassword Довжина пароля менше WarningLength -100% - 0% -5% WarningLength Якщо довжина пароля менше цього параметра, при перевірці якості пароля видається попередження 0-100 6 WhiteSpaces Пароль містить символи пробілу -100% - 0% -100%

словник

Для того щоб задати список неприпустимих або небажаних паролів, створіть текстовий файл. Або ви можете скористатися так званими частотними словниками, які використовуються для підбору паролів. Файли таких словників можна взяти на сайті www.passwords.ru .

Приклад такого словника:
• anna
• annette
• bill
• password
• william

Призначте критерієм "Dictionary" шлях до створеного файлу. При цьому шлях до файлу словника на кожному комп'ютері повинен збігатися зі значенням критерію "Dictionary".

Вхід в Windows за допомогою eToken

Загальні відомості

eToken SecurLogon поєднує ефективний захист мережі з зручністю і мобільністю. При аутентифікації в Windows використовуються ім'я користувача та пароль, що зберігаються в пам'яті eToken. Це дає можливість застосовувати строгу аутентифікацію на основі токенів.

Разом з тим хотілося б додати, що у великих компаніях, що використовують доменну структуру, необхідно подумати про впровадження PKI і централізованому застосуванні SmartCardLogon.

При використанні eToken SecurLogon можуть застосовуватися нікому не відомі випадкові складні паролі. Крім того, передбачена можливість використання сертифікатів, що зберігаються в пам'яті eToken, для реєстрації на основі смарт-карт, що підвищує безпеку входу в Windows.

Це стало можливим завдяки тому, що система Windows 2000 / XP дозволяє використовувати різні механізми доступу, які замінять метод аутентифікації за замовчуванням. Механізми ідентифікації і аутентифікації служби входу в Windows (winlogon), що забезпечує інтерактивну реєстрацію в системі, вбудовані в замінюється динамічно насадку бібліотеку (DLL), що іменується GINA (Graphical Identification and Authentication, робочий стіл аутентифікації). Коли система потребує іншого методі аутентифікації, який би замінив механізм "ім'я користувача / пароль" (використовується за замовчуванням) стандартну msgina.dll замінюють новою бібліотекою.

При установці eToken SecurLogon замінюється бібліотека робочого столу аутентифікації і створюються нові параметри реєстру. GINA відповідає за політику інтерактивного підключення і здійснює ідентифікацію та діалог з користувачем. Заміна бібліотеки робочого столу аутентифікації робить eToken основним механізмом перевірки автентичності, які розширюють можливості стандартної аутентифікації Windows 2000 / XP, заснованої на застосуванні імені користувача та пароля.

Користувачі можуть самостійно записувати в пам'ять eToken інформацію, необхідну для входу в Windows (профілі), якщо це дозволено політикою безпеки підприємства.
Профілі можна створювати за допомогою майстра створення профілів eToken Windows Logon.

Приступаючи до роботи

eToken SecurLogon аутентифікує користувача Windows 2000 / XP / 2003 c допомогою eToken, використовуючи або сертифікат користувача зі смарт-картою, або ім'я користувача і пароль, які зберігаються в пам'яті eToken. eToken RTE включає в себе всі необхідні файли і драйвери, що забезпечують підтримку eToken в eToken Windows Logon.

мінімальні вимоги

Умови для установки eToken Windows Logon:

• на всіх робочих станціях повинен бути встановлений eToken Runtime Environment (версії 3.65 або 3.65);
• eToken SecurLogon встановлюється на комп'ютер з Windows 2000 (SP4), Windows XP (SP2) або Windows 2003 (SP1). eToken SecurLogon підтримує класичний діалог вітання Windows (але не новий екран вітання Windows XP) і не підтримує режим швидкої зміни користувача у Windows XP.

Підтримувані токени

eToken SecurLogon підтримує такі пристрої eToken:
• eToken PRO - USB-ключ, що дозволяє виробляти двухфакторную аутентифікацію. Доступний у версіях 32К і 64К;
• eToken NG-OTP - гібрид USB-ключа і пристрої, що генерує одноразові паролі. Доступний у версіях 32К і 64К;
• смарт-карта eToken PRO - пристрій, що виконує ті ж функції, що і USB-ключ, але має форму звичайної кредитної картки. Доступна у версіях 32К і 64К.

eToken Runtime Environment (RTE)

eToken Runtime Environment (RTE) містить всі файли і драйвери, що забезпечують підтримку eToken в eToken Windows Logon. У цей набір також входить утиліта "Властивості eToken" (eToken Properties), що дозволяє користувачеві легко управляти PIN-кодом і ім'ям eToken.

Всі нові eToken мають один і той же PIN-код, встановлений за замовчуванням при виробництві. Цей PIN-код 1234567890. Для забезпечення суворої, двофакторної аутентифікації і виконання усіх функцій користувач обов'язково повинен замінити PIN-код за замовчуванням власним PIN-кодом відразу після отримання нового eToken.

Важливо: PIN-код не слід плутати з паролем користувача Windows.

установка

Для того щоб встановити eToken Windows Logon:

1. Увійдіть як користувач з правами адміністратора;
2. двічі клацніть SecurLogon - 2.0.0.55.msi;
3. з'явиться вікно майстра установки eToken SecurLogon (рис. 11);
4. натисніть кнопку "Next", з'явиться ліцензійну угоду eToken Enterprise;
5. прочитайте угоду, натисніть кнопку "I accept" (Приймаю), а потім кнопку "Next";
6. в кінці установки проводиться перезавантаження.

Автоматична генерація пароля

При записи профілю користувача в пам'ять eToken пароль може генеруватися автоматично або вводитися вручну. При автоматичної генерації формується випадковий, довжиною до 128 символів, пароль. При цьому користувач не знатиме свій пароль і не зможе увійти в мережу без ключа eToken. Вимога використання тільки автоматично згенерованих паролів може бути налаштоване як обов'язкове.

Використання eToken SecurLogon

eToken SecurLogon дозволяє користувачам реєструватися в Windows 2000 / XP / 2003 за допомогою eToken з записаним в пам'яті за допомогою пароля.

Зміна пароля

Ви можете змінити пароль Windows після входу в систему за допомогою eToken.
Для того щоб змінити пароль після входу в систему за допомогою eToken:
1. Увійдіть, використовуючи eToken;
2. натисніть "CTRL + ALT + DEL", з'явиться вікно "Безпека Windows / Windows Security";
3. Клацніть кнопку "Зміна пароля / Change Password", якщо поточний пароль був створений вручну, то з'явиться вікно "Зміна пароля / Change Password", але якщо поточний пароль був створений випадковим чином, то переходимо до пункту 5;
4. Введіть новий пароль у полях "Новий пароль / New Password" і "Підтвердження / Confirm New Password" і натисніть кнопку "OK";
5. Якщо поточний пароль був створений випадковим чином, то і новий пароль буде створений автоматично;
6. в діалоговому вікні введіть PIN-код eToken і натисніть кнопку "OK"
7. з'явиться вікно з підтверджуючим повідомленням.

Захист сеансу користувача

Ви можете використовувати eToken для забезпечення безпеки вашого робочого сеансу.

Блокування вашої робочої станції

Ви можете забезпечувати безпеку вашого комп'ютера, не виходячи з системи, шляхом блокування комп'ютера. При від'єднанні eToken від порту USB або кабелю (після вдалої реєстрації) операційна система автоматично заблокує ваш комп'ютер.

Для того щоб розблокувати ваш комп'ютер:

Коли ваш комп'ютер заблокований, з'являється вікно "Блокування комп'ютера Computer Locked". Підключіть eToken до порту USB або кабелю. У вікні введіть PIN-код в поле "eToken Password" і натисніть кнопку "OK" - комп'ютер розблоковано.

Примітка: в разі натискання "CTRL + ALT + DEL" і введення пароля комп'ютер буде розблоковано без використання eToken.