Строгая аутентификация, или криптографическая аутентификация – это процесс аутентификации субъекта информационной системы, реализуемый с помощью криптографических алгоритмов и протоколов.

Основной идеей строгой аутентификации является то, что аутентифицируемая сторона в процессе обмена сообщениями с сервером аутентификации отправляет ему некоторые сообщения, которые защищены от фальсификации со стороны злоумышленников с помощью криптографических преобразований.

С применением зарубежных криптоалгоритмов

JaCarta PKI

USB-токены и смарт-карты с аппаратной реализацией зарубежных криптоалгоритмов (AES, DES, 3DES, RSA, SHA и др.) для двухфакторной аутентификации

С применением российских криптоалгоритмов

JaCarta-2 ГОСТ

USB-токены и смарт-карты для строгой аутентификации и электронной подписи с использованием новых российских криптоалгоритмов ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012

С применением российских и зарубежных криптоалгоритмов (комбинированные, универсальные)

JaCarta-2 PKI/ГОСТ

USB-токены и смарт-карты с аппаратной реализацией российских криптоалгоритмов ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012

С применением биометрии

JaCarta PKI/BIO

USB-токен/смарт-карта для строгой двух- и трёхфакторной аутентификации пользователей с применением биометрии

JaCarta-2 PKI/BIO/ГОСТ

USB-токены и смарт-карты с аппаратной реализацией новых российских криптоалгоритмов ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012 с применением биометрии

Для ЕГАИС

JaCarta-2 SE

USB-токены для строгой двухфакторной аутентификации пользователей в специализированных системах (например, ЕГАИС) с применением российских и зарубежных алгоритмов

Для корпоративных и социальных проектов

Электронное удостоверение JaCarta

Универсальная смарт-карта JaСarta, объединяющая в себе функциональность нескольких карт и пропусков: cтрогая аутентификация, работа с электронной подписью, идентификация сотрудника и зарплатная карта

Для защиты аккаунтов и онлайн-сервисов

JaCarta U2F

USB-токены для строгой аутентификации в онлайн-сервисах по стандарту FIDO U2F

Для организаций, уже использующих eToken PRO

JaCarta PRO

USB-токены и смарт-карты для обеспечения строгой двухфакторной аутентификации в организациях, уже эксплуатирующих токены eToken PRO (Java)

JaCarta-2 PRO/ГОСТ

USB-токены и смарт-карты с аппаратной реализацией российских криптоалгоритмов ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012

С дополнительной Flash-памятью

JaCarta PKI/Flash

Комбинированные PKI-токены с дополнительной Flash-памятью

Прикладное ПО для строгой аутентификации и электронной подписи

JC-WebClient

Прикладное ПО для строгой аутентификации и электронной подписи для Web-приложений и облачных сервисов

JC-Mobile

Защищённое приложение для строгой аутентификации и электронной подписи для мобильных устройств

"Антифрод-терминал"

Защищённое компактное электронное устройство для безопасного выполнения процедуры аутентификации и подтверждения операций с электронной подписью в недоверенной среде

Применение строгой аутентификации

Строгая аутентификация значительно снижает риск атаки злоумышленников и является весьма действенной мерой борьбы с несанкционированным доступом к данным и ресурсам информационной системы.

Где желательно и даже необходимо использовать строгую аутентификацию/область применения

  • Малый и средний бизнес
  • Крупные промышленные и торговые предприятия
  • Банки и страховые компании, МФЦ
  • Образовательные и медицинские организации
  • Предприятия критической информационной инфраструктуры (КИИ)
  • Органы государственного управления

Три фактора аутентификации субъектов информационной системы

  • Исключительное знание чего-либо — общий секрет между субъектом проверки и сервером аутентификации (пароль, ответы на секретные вопросы и т.д.).
  • Владение некоторым уникальным материальным объектом — физический ключ к замку, механическое или электронное устройство, которым обладает только пользователь (мобильный телефон, специальное электронное устройство, смарт-карта, аппаратный криптографический ключ и т. д.).
  • Неотъемлемость биометрических признаков — уникальные биометрические данные пользователя (фото, отпечаток пальца, рисунок радужки глаза, голос, ЭКГ, типичное поведение и т.д.).

Классификация видов аутентификации

По количеству сторон, активно участвующих в процессе аутентификации, аутентификация может быть:

  • односторонней, при которой лишь одна из взаимодействующих сторон является активной, типичным примером такой аутентификации является однонаправленный протокол SSL, в котором требуется проверка сертификата только на стороне клиента;
  • двухсторонней (например, вариант протокола SSL, когда проверяются сертификаты как серверной, так и клиентских сторон);
  • трёхсторонней, когда к двум взаимодействующим сторонам добавляется доверенная третья сторона (например, широко применяемый в корпоративных системах протокол Kerberos).

По количеству используемых факторов аутентификацию можно разделить на следующие классы:

  • однофакторная (или простая) аутентификация, например, аутентификация пользователей электронной почты с помощью пароля;
  • двухфакторная, как правило, вторым фактором является одноразовый пароль или электронная подпись, формируемые с помощью электронного носителя, в котором хранится закрытый ключ аутентифицируемого субъекта, а первым фактором является знание имени и пароля пользователя системы, кроме того, в качестве дополнительного элемента второго фактора аутентификации выступает знание субъектом PIN-кода, позволяющего воспользоваться аппаратным модулем с закрытым ключом для заверения сообщений при обмене;
  • многофакторная, при которой к перечисленным выше двум факторам аутентификации добавляются, как правило, ещё и некоторые биометрические характеристики субъекта аутентификации, например, отпечаток пальца, запись голоса, фотография лица, рисунок сетчатки глаза или радужной оболочки, клавиатурный почерк при вводе пароля и т.д.

При организации любой системы строгой аутентификации обычно предусматривается использование, как минимум, двухфакторной схемы аутентификации, поскольку закрытый ключ для оформления ответа на запрос сервера для получения доступа к информации или другим ресурсам системы необходимо безопасно хранить на защищённых ключевых носителях (USB-токены, смарт-карты и т.д.).

Двухфакторная аутентификация является самой распространённой схемой аутентификации как в организациях, так и в различных сервисах. Тем не менее двухфакторная аутентификация не является панацеей от взлома аккаунта, но она создаёт достаточно надёжный барьер для злоумышленников.

Итак, двухфакторная аутентификация — это система доступа, основанная на двух "ключах": один из них является физическим устройством — вы владеете им (телефон/смартфон, на который приходит SMS с кодом), второй "ключ" — ваши знания логина и пароля.