24.05.2006

Обзор рынка средств многофакторной аутентификации

КомпьютерПресс, №5/2006, Алексей Доля

Бурный рост секторов рынка систем "3А" (аутентификация, авторизация, безопасное администрирование) и средств строгой аутентификации привел к появлению множества различных типов аппаратных и программных идентификаторов, а также их гибридных модификаций. Заказчик, желающий внедрить систему многофакторной аутентификации, сегодня оказывается перед нелегким выбором. Тенденции объединения физической и логической аутентификации, интеграции решений для создания единой точки входа и системы управления идентификацией лишь усугубляют проблему выбора. В этой статье мы постараемся помочь заказчику разобраться с представленными на рынке решениями и сделать правильный выбор.

Одной из наиболее опасных угроз ИТ-безопасности сегодня является несанкционированный доступ к конфиденциальной информации. Согласно исследованию Института компьютерной безопасности США и ФБР (см. "CSI/FBI Computer Crime and Security Survey 2005"), в прошлом году 55% компаний зарегистрировали инциденты, связанные с неправомочным доступом к данным. Более того, каждая фирма потеряла в 2005 году вследствие неавторизованного доступа в среднем 303 тыс. долл., причем по сравнению с 2004 годом убытки увеличились в 6 раз.

Бизнес сразу же отреагировал на возросшую опасность угроз. По данным IDC (см. "Russia Security Software 2005-2009 Forecast and 2004 Vendor Shares"), российские компании не только увечили инвестиции в ИТ-безопасность на 32,7%, но и в значительной мере направили свои усилия на внедрение систем "3А" (аутентификация, авторизация, безопасное администрирование).

Сегмент рынка систем "3А" за год вырос на 83%. Такая динамика вполне объяснима: средства сильной аутентификации, лежащие в основе всей концепции "3А", позволяют защитить компанию от целого комплекса угроз ИТ-безопасности — это и несанкционированный доступ к информации, и неправомочный доступ к корпоративной сети со стороны служащих, и мошенничество, и утечки данных вследствие кражи мобильных устройств или действий персонала и т.д., а ведь известно, что каждая из этих угроз ежегодно наносит громадный ущерб.

В основе сильной аутентификации лежит двух или трехфакторный процесс проверки, по результатам которого пользователю может быть предоставлен доступ к запрашиваемым ресурсам. В первом случае служащий должен доказать, что он знает пароль или PIN и имеет определенный персональный идентификатор (электронный ключ или смарт-карту), а во втором случае пользователь предъявляет еще один тип идентификационных данных,  например, биометрические данные.

Использование средств многофакторной аутентификации в немалой степени снижает роль паролей, и в этом проявляется еще одно преимущество строгой аппаратной аутентификации, так как, по некоторым оценкам, сегодня пользователям требуется помнить около 15 различных паролей для доступа к учетным записям. Вследствие информационной перегруженности служащие, чтобы не забыть пароли, записывают их на бумаге, что снижает уровень безопасности из-за компрометации пароля. Забывание паролей наносит фирмам серьезный финансовый ущерб. Так, исследование Burton Group (см. "Enterprise Single Sign-on: Access Gateway to Applications") показало, что каждый звонок в компьютерную службу помощи обходится компании в 25-50 долл., а от 35 до 50% всех обращений приходится именно на забывчивых сотрудников. Таким образом, использование усиленной или двухфакторной аутентификации позволяет не только снизить риски ИТ-безопасности, но и оптимизировать внутренние процессы компании вследствие уменьшения прямых финансовых потерь.

Как уже было сказано, высокая эффективность средств многофакторной аутентификации привела к стремительному росту рынка систем "3А". Изобилие представленных решений требует от заказчиков соответствующей компетентности, ведь каждый предлагаемый тип персонального идентификатора характеризуется своими достоинствами и недостатками, а следовательно, и сценариями использования. К тому же бурное развитие данного сегмента рынка уже в ближайшие годы приведет к тому, что часть продвигаемых сегодня аппаратных идентификаторов останется за бортом. Таким образом, отдавая предпочтение тому или иному решению сегодня, заказчик должен учитывать не только текущие потребности организации, но и будущие.

Типы персональных средств аутентификации

В настоящее время на рынке представлено немало персональных идентификаторов, различающихся как по техническим возможностям и функциональности, так и по форм-фактору. Рассмотрим их подробнее.

USB-токены

Процесс двухфакторной аутентификации с использованием USB-токенов проходит в два этапа: пользователь подключает это небольшое устройство в USB-порт компьютера и вводит PIN-код. Преимуществом данного типа средств аутентификации является высокая мобильность, так как USB-порты имеются на каждой рабочей станции и на любом ноутбуке.

При этом применение отдельного физического устройства, которое способно обеспечить безопасное хранение высокочувствительных данных (ключей шифрования, цифровых сертификатов и т.д.), позволяет реализовать безопасный локальный или удаленный вход в вычислительную сеть, шифрование файлов на ноутбуках, рабочих станциях и серверах, управление правами пользователя и осуществление безопасных транзакций.

Смарт-карты

Эти устройства, внешне напоминающие кредитную карту, содержат защищенный микропроцессор, позволяющий выполнять криптографические операции. Для успешной аутентификации требуется вставить смарт-карту в считывающее устройство и ввести пароль. В отличие от USB-токенов, смарт-карты обеспечивают значительно большую безопасность хранения ключей и профилей пользователя. Смарт-карты оптимальны для использования в инфраструктуре открытых ключей (PKI), так как осуществляют хранение ключевого материала и сертификатов пользователей в самом устройстве, а секретный ключ пользователя не попадает во враждебную внешнюю среду. Однако смарт-карты обладают серьезным недостатком — низкой мобильностью, поскольку для работы с ними требуется считывающее устройство.

USB-токены со встроенным чипом

От смарт-карт данный тип персонального идентификатора отличается только формфактором. USB-токены со встроенным чипом обладают всеми преимуществами смарт-карт, связанными с безопасным хранением конфиденциальных сведений и осуществлением криптографических операций прямо внутри токена, но лишены их основного недостатка, то есть не требуют специального считывающего устройства. Полифункциональность токенов обеспечивает широкие возможности их применения — от строгой аутентификации и организации безопасного локального или удаленного входа в вычислительную сеть до построения на основе токенов систем юридически важного электронного документооборота, организации защищенных каналов передачи данных, управления правами пользователя, осуществления безопасных транзакций и др.

OTP-токены

Технология OTP (One Time Password) подразумевает использование одноразовых паролей, которые генерируются с помощью токена. Для этого служит секретный ключ пользователя, размещенный как внутри OTP-токена, так и на сервере аутентификации. Для того чтобы получить доступ к необходимым ресурсам, сотрудник должен ввести пароль, созданный с помощью OTP-токена. Этот пароль сравнивается со значением, сгенерированным на сервере аутентификации, после чего выносится решение о предоставлении доступа. Преимуществом такого подхода является то, что пользователю не требуется соединять токен с компьютером (в отличие от вышеперечисленных типов идентификаторов). Однако количество приложений ИТ-безопасности, которые поддерживают возможность работы с OTP-токенами, сегодня намного меньше, чем для USB-токенов (как с чипом, так и без) и смарт-карт. Недостатком OTP-токенов является ограниченное время жизни этих устройств (три-четыре года), так как автономность работы предполагает использование батарейки.

Гибридные токены

Эти устройства, сочетающие в себе функциональность двух типов устройств — USB-токенов со встроенным чипом и OTP-токенов, — появились на рынке относительно недавно. С их помощью можно организовать процесс как двухфакторной аутентификации с подключением к USB-порту, так и бесконтактной аутентификации в тех случаях, когда USB-порт недоступен (например, в Интернет-кафе). Заметим, что гибридные смарт-карты, обладающие функциональностью USB- и OTP-токенов, а также имеющие встроенный чип, соответствуют наивысшему уровню гибкости и безопасности.

Программные токены

В данном случае роль токена играет программное обеспечение, которое генерирует одноразовые пароли, применяемые наряду с обычными паролями для многофакторной аутентификации. На основании секретного ключа программа-токен генерирует одноразовый пароль, который отображается на экране компьютера или мобильного устройства и должен быть использован для аутентификации. Но поскольку токеном является программа, записанная на рабочей станции, мобильном компьютере или сотовом телефоне, то ни о каком безопасном хранении ключевой информации речи не идет. Таким образом, данный способ безопаснее по сравнению с обычными паролями, но намного слабее применения аппаратных идентификаторов.



Продукт Основные преимущества Основные недостатки

USB-токены Мобильность-токен можно использовать на любом компьютере, где есть USB-порт. Поддержка большого числа ИТ-безопасности. Очевидная принадллежность токена пользователю Требуется установка ПО пользователя

Смарт-карты Высокий уровень безопасности. Компактность. Поддержка большого числа приложений Требуется установка ПО пользователя. Требуется считывающее устройство

USB-токены со встроенным чипом Высокий уровень безопасности. Мобильность. Поддержка большого числа приложений. Очевидная принадлежность токена пользователю Не требуется установка ПО пользователя

OTP-токены Мобильность. Легкость в использовании. Не требуется установка ПО пользователя Ограниченный круг поддерживаемых приложений. Требуется сервер аутентификации. Ограниченное время эксплуатации в связи с использованием батарейки

Гибридные токены Мобильность. Поддержка большого числа приложений. Не требуется установка ПО пользователя для применения одноразовых паролей (OTP). Очевидная принадлежность токена пользователю Ограниченное время эксплуатации в связи с использованием батарейки (кроме тех случаев, когда пользователь может заменить батарейку самостоятельно)

Программные токены Не требуется аппаратное устройство Секретный ключ слабо защищен. Ограниченный круг поддерживаемых приложений. Требуется сервер аутентификации



Российский рынок многофакторной аутентификации

Для российского рынка средств сильной аутентификации характерна очень небольшая распространенность OTP-токенов, которые занимают более половины общемирового сегмента персональных идентификаторов. Сегодня поставки этих устройств идут главным образом в российские представительства крупных западных компаний, головные офисы и вся ИТ-инфраструктура которых изначально были построены на OTP-токенах.
Основным фактором, сдерживающим развитие российского рынка OTP-токенов, является высокая стоимость владения (Total Cost of Ownership, TCO) и короткий жизненный цикл. Встроенной батарейки обычно хватает на три-четыре года, после чего заказчик вынужден менять устройство, оплачивая порядка 70% его начальной стоимости. Рассмотрим в качестве примера популярный на Западе OTP-токен RSA SecurID. Стоимость решения для 500 пользователей, куда входят основной сервер и сервер-репликатор, программное обеспечение и сами персональные идентификаторы, составляет 76 тыс. долл. (один токен SecurID стоит 79 долл.). Вдобавок ежегодно на поддержку, по данным дилеров, придется тратить еще 6,6 тыс. долл. Таким образом, в целом решение обойдется в 82,6 тыс. долл., а стоимость одного рабочего места, оборудованного ОТР-токеном, составит не менее165 долл.

Для сравнения возьмем еще один электронный ключ с генератором одноразовых паролей — eToken NG_OTP от компании Aladdin. В этом случае схема расчета на одно рабочее место несколько иная: серверы аутентификации приобретать не нужно, достаточно иметь серверную версию Windows, которой оснащено сейчас подавляющее число локальных сетей предприятий. Стоимость универсальной системы управления всеми средствами аутентификации (в том числе и разнотипными) в масштабе предприятия (eToken TMS) составит около 4 тыс. долл. (серверная лицензия), а общая цена на 500 токенов (при цене одного устройства 67 долл.) равна 33,5 тыс. долл. Прибавим сюда пользовательскую лицензию для каждого токена: 24 долл. — до 500 пользователей и 19 долл. — свыше 500. Таким образом, стоимость одного рабочего места с интегрированной системой строгой аутентификации по одноразовым паролям составит 99 долл,. а при расчете на 501 пользователя — 94 долл.

Однако, даже несмотря на эту разницу, стоимость защиты одного рабочего места с помощью "стандартного" токена, то есть без ОТР, значительно ниже. Например, для того же eToken PRO, самого популярного в линейке Aladdin USB-токена со встроенным чипом, рассчитанная по той же формуле стоимость одного рабочего места составляет всего 47 долл.

Таким образом, российский рынок персональных идентификаторов значительно отличается от мирового и состоит в основном из USB-токенов со встроенным чипом — на их долю приходится примерно 80-85% рынка. Впрочем, именно USB-токены со встроенным чипом являются сегодня наиболее эффективным средством сильной аутентификации. Так, аналитики ведущих консалтинговых компаний, например IDC и Gartner, считают, что к 2008 году большая часть всего рынка персональных идентификаторов будет приходиться именно на USB-токены со встроенным чипом. Кроме того, компания Gartner назвала USB-токены со встроенным чипом лучшим инвестиционным вложением в обеспечение безопасного доступа к данным в 2005 году.

По внутренним данным Aladdin-Russia, лидером отечественного рынка USB-токенов со встроенным чипом является российская компания Aladdin (70%), за ней с серьезным отставанием следуют Rainbow Technologies (25%) и "Актив" (5%).


Критерии выбора

Конкретный тип персонального идентификатора (будь то смарт-карта или USB-токен со встроенным чипом) играет важную роль в системе "3А". Однако для окончательного решения необходимо учитывать и другие параметры. Прежде всего следует отметить, что огромное значение имеет комплексность системы "3А". Современные решения позволяют значительно повысить эффективность и расширить сферу применения строгой аутентификации. Например, продукты лидеров рынка дают возможность организовать управление идентичностью, политиками безопасности, корпоративными данными и приложениями. Устройства, оснащенные чипом смарт-карты, оптимальны для использования в информационно-вычислительных сетях, где уже развернута инфраструктура PKI, или в сетях, где планируется ее внедрение. Дополнительное применение USB-токенов с имплантированной RFID-меткой позволяет интегрировать процессы логической и физической аутентификации.


Инвестируя в средства многофакторной аутентификации, компаниям следует обратить серьезное внимание не только на текущие нужды, но и на будущие потребности. В частности, может возникнуть необходимость в удаленном доступе к информационным ресурсам организации, и в этом случае нужно отдать предпочтение наиболее мобильному средству авторизованного доступа.

Если часть персонала компании использует мобильные компьютеры для работы вне офиса, то в состав комплексного решения должны обязательно входить продукты для защиты портативных устройств, в том числе для шифрования конфиденциальной информации.

Актуальными могут стать вопросы применения цифровой подписи и совершения безопасных транзакций, поэтому очень важно, чтобы решение поддерживало максимально широкий диапазон приложений ИТ-безопасности, а это в значительной мере зависит от конкретного поставщика системы "3А". Хотя не все производители рынка способны обеспечить поддержку своих персональных идентификаторов в большом числе приложений, крупные разработчики предлагают клиентам достаточно обширный ассортимент программного обеспечения — для удовлетворения почти всех потребностей. В частности, Aladdin поставляет USB-токены со встроенным чипом, которые могут взаимодействовать с более чем 150 приложениями.

Таким образом, всесторонне продуманный, экономически и организационно обоснованный подход к выбору конкретного решения сильной аутентификации с учетом перспектив развития позволяет компании не только построить эффективную и управляемую систему ИТ-безопасности, но и одновременно охватить целый комплекс смежных задач: физическую безопасность, защиту мобильных устройств, управление идентичностью и т.д.