Строгая аутентификация, или криптографическая аутентификация – это процесс аутентификации субъекта информационной системы, реализуемый с помощью криптографических алгоритмов и протоколов.
Основной идеей строгой аутентификации является то, что аутентифицируемая сторона в процессе обмена сообщениями с сервером аутентификации отправляет ему некоторые сообщения, которые защищены от фальсификации со стороны злоумышленников с помощью криптографических преобразований.
С применением зарубежных криптоалгоритмов
JaCarta PKI
С применением российских криптоалгоритмов
JaCarta-2 ГОСТ
С применением российских и зарубежных криптоалгоритмов (комбинированные, универсальные)
JaCarta-2 PKI/ГОСТ
С применением биометрии
JaCarta PKI/BIO
JaCarta-2 PKI/BIO/ГОСТ
Для ЕГАИС
JaCarta-2 SE
Для корпоративных и социальных проектов
Электронное удостоверение JaCarta
Для защиты аккаунтов и онлайн-сервисов
JaCarta U2F
Для организаций, уже использующих eToken PRO
JaCarta PRO
JaCarta-2 PRO/ГОСТ
С дополнительной Flash-памятью
JaCarta PKI/Flash
Прикладное ПО для строгой аутентификации и электронной подписи
JC-WebClient
JC-Mobile
"Антифрод-терминал"
Применение строгой аутентификации
Строгая аутентификация значительно снижает риск атаки злоумышленников и является весьма действенной мерой борьбы с несанкционированным доступом к данным и ресурсам информационной системы.
Где желательно и даже необходимо использовать строгую аутентификацию/область применения
- Малый и средний бизнес
- Крупные промышленные и торговые предприятия
- Банки и страховые компании, МФЦ
- Образовательные и медицинские организации
- Предприятия критической информационной инфраструктуры (КИИ)
- Органы государственного управления
Три фактора аутентификации субъектов информационной системы
- Исключительное знание чего-либо — общий секрет между субъектом проверки и сервером аутентификации (пароль, ответы на секретные вопросы и т.д.).
- Владение некоторым уникальным материальным объектом — физический ключ к замку, механическое или электронное устройство, которым обладает только пользователь (мобильный телефон, специальное электронное устройство, смарт-карта, аппаратный криптографический ключ и т. д.).
- Неотъемлемость биометрических признаков — уникальные биометрические данные пользователя (фото, отпечаток пальца, рисунок радужки глаза, голос, ЭКГ, типичное поведение и т.д.).
Классификация видов аутентификации
По количеству сторон, активно участвующих в процессе аутентификации, аутентификация может быть:
- односторонней, при которой лишь одна из взаимодействующих сторон является активной, типичным примером такой аутентификации является однонаправленный протокол SSL, в котором требуется проверка сертификата только на стороне клиента;
- двухсторонней (например, вариант протокола SSL, когда проверяются сертификаты как серверной, так и клиентских сторон);
- трёхсторонней, когда к двум взаимодействующим сторонам добавляется доверенная третья сторона (например, широко применяемый в корпоративных системах протокол Kerberos).
По количеству используемых факторов аутентификацию можно разделить на следующие классы:
- однофакторная (или простая) аутентификация, например, аутентификация пользователей электронной почты с помощью пароля;
- двухфакторная, как правило, вторым фактором является одноразовый пароль или электронная подпись, формируемые с помощью электронного носителя, в котором хранится закрытый ключ аутентифицируемого субъекта, а первым фактором является знание имени и пароля пользователя системы, кроме того, в качестве дополнительного элемента второго фактора аутентификации выступает знание субъектом PIN-кода, позволяющего воспользоваться аппаратным модулем с закрытым ключом для заверения сообщений при обмене;
- многофакторная, при которой к перечисленным выше двум факторам аутентификации добавляются, как правило, ещё и некоторые биометрические характеристики субъекта аутентификации, например, отпечаток пальца, запись голоса, фотография лица, рисунок сетчатки глаза или радужной оболочки, клавиатурный почерк при вводе пароля и т.д.
При организации любой системы строгой аутентификации обычно предусматривается использование, как минимум, двухфакторной схемы аутентификации, поскольку закрытый ключ для оформления ответа на запрос сервера для получения доступа к информации или другим ресурсам системы необходимо безопасно хранить на защищённых ключевых носителях (USB-токены, смарт-карты и т.д.).
Двухфакторная аутентификация является самой распространённой схемой аутентификации как в организациях, так и в различных сервисах. Тем не менее двухфакторная аутентификация не является панацеей от взлома аккаунта, но она создаёт достаточно надёжный барьер для злоумышленников.
Итак, двухфакторная аутентификация — это система доступа, основанная на двух "ключах": один из них является физическим устройством — вы владеете им (телефон/смартфон, на который приходит SMS с кодом), второй "ключ" — ваши знания логина и пароля.