Решаемые задачи

  • Усиление парольной аутентификации пользователей при доступе к Web-ресурсам за счёт перехода к двухфакторной аутентификации с использованием токена
  • Избавление пользователей от необходимости запоминать сложные пароли. За счёт использования второго фактора аутентификации требования к сложности пароля могут быть существенно снижены
  • Использование одного устройства для доступа к различным ресурсам

Функциональные возможности

  • Аутентификация по стандарту FIDO U2F

Ключевые особенности

Токен JaCarta U2F обладает рядом особенностей, отличающих его от токенов, использующих альтернативные технологии аутентификации.

  • Самостоятельная регистрация пользователей – в отличие от систем аутентификации на основе традиционных PKI-токенов, в процессе регистрации токена JaCarta U2F на конкретном Web-ресурсе не требуется участия администратора. Для регистрации необходимо просто ввести логин и пароль, подключить токен к компьютеру и нажать на кнопку (тем самым подтвердив физическое присутствие пользователя за компьютером). В процессе регистрации пользователем своего U2F-токена на Web-ресурсе происходит генерация ключевой пары (открытый и закрытый ключ) без сертификата открытого ключа. Сгенерированная ключевая пара используется для дальнейшей аутентификации.
  • Концепция "один ко многим" – один токен может использоваться для доступа к множеству различных Web-ресурсов (количество ресурсов ограничено лишь объёмом памяти токена, используемой для хранения аутентификационных данных).
  • Защита от фишинга – каждый закрытый ключ, хранящийся в памяти токена и используемый для доступа к конкретному ресурсу, "связан" с адресом данного ресурса (URL). Таким образом, если злоумышленник попытается перенаправить пользователя на "поддельный" ресурс, пользователь не сможет пройти аутентификацию, так как закрытый ключ, соответствующий "поддельному" ресурсу, не будет найден.

Архитектура

Основные компоненты типового решения с поддержкой U2F-аутентификации на базе токена JaCarta U2F представлены ниже:

  1. Web-сервер – сервер, к ресурсам которого обращаются пользователи. На одном Web-сервере может быть установлено несколько Web-приложений. В качестве Web-сервера выступает, как правило, одно из доступных на рынке решений данного класса (например, Microsoft IIS, Apache, nginx и др.).
  2. Web-приложение – приложение (Web-сервис), реализующее конкретную прикладную логику. Например, Web-портал, личный кабинет клиента банка и т.п.
  3. U2F-сервер – приложение, реализующее серверную часть протокола U2F и обеспечивающее хранение информации, полученной в процессе регистрации и аутентификации. В качестве U2F-сервера может выступать либо готовое решение, созданное сторонними производителями, либо продукт собственной разработки. Web-приложение при получении запросов на регистрацию и аутентификацию пользователей обращается к U2F-серверу для проверки и сохранения полученных от пользователя данных.
  4. U2F-клиент – приложение, посредством которого пользователь взаимодействует с Web-сервисом (например, Web-браузер или мобильное приложение). U2F-клиент реализует клиентскую часть протокола U2F, взаимодействует с Web-сервером и U2F-токеном:
    • взаимодействие с Web-сервером осуществляется по протоколу HTTPS;
    • взаимодействие с U2F-токеном осуществляется по протоколу USB HID.
  5. Токен JaCarta U2F – устройство, используемое в качестве второго фактора аутентификации при доступе к Web-ресурсам и реализующее интерфейс USB HID.

Как это работает

Рассмотрим процесс аутентификации пользователя на онлайн-ресурсе с использованием токена JaCarta U2F (на самом низком уровне взаимодействие токена с компьютером в процессе регистрации токена и аутентификации пользователя осуществляется через HID-интерфейс и поэтому не требует установки драйверов – они уже есть в любой современной ОС: Windows, Linux, Mac OS X).

  1. Перед первым использованием токена JaCarta U2F его необходимо зарегистрировать в данном онлайн-сервисе. Если у пользователя уже есть учётная запись на сервере, то он должен сделать это самостоятельно из личного кабинета, не прибегая к помощи администратора сервиса. В процессе регистрации внутри токена генерируется новая пара "открытый-закрытый ключ", связанная только с данным онлайн-сервисом. Открытый ключ передается на сервер, а закрытый ключ никогда не покидает токен (безопасно хранится в памяти токена).
  2. Аутентификацию на Web-ресурсе пользователь, как и раньше, начинает с предъявления регистрационного имени и пароля. Если для данного пользователя в системе уже зарегистрирован токен JaCarta U2F, со стороны Web-ресурса поступит дополнительный запрос. Пользовательский браузер (Google Chrome) имеет встроенную поддержку протокола U2F: он "знает", что полученный запрос на U2F-аутентификацию надо направить на подключенный к компьютеру пользователя U2F-токен и "умеет" это делать безо всяких дополнительных плагинов и пр. Чтобы токен пользователя смог обработать запрос на аутентификацию, пользователь должен подтвердить своё присутствие за компьютером – для этого достаточно просто нажать на кнопку на корпусе JaCarta U2F. После этого появляется возможность использовать для аутентификации на целевом ресурсе ключевые пары, хранящиеся в памяти токена.
  3. В памяти токена JaCarta U2F хранятся закрытые ключи, уникальные для каждого Web-ресурса. Открытые ключи передаются и хранятся на сервере. На одном ресурсе можно зарегистрироваться несколько раз (например, с разными логинами). Ключевая пара соответствует конкретной регистрации пользователя. Поступивший со стороны сервера запрос на аутентификацию содержит идентификатор Web-ресурса, который поможет токену выбрать из всех ключевых пар именно ту, которая была сгенерирована именно для этого ресурса. С помощью закрытого ключа токен JaCarta U2F подписывает запрос на аутентификацию и возвращает его браузеру, который в свою очередь отправляет запрос на Web-ресурс для проверки подписи.
  4. В случае успешной проверки подписи пользователь считается авторизованным в онлайн-сервисе.

Использовать токен JaCarta U2F для доступа к Вашему аккаунту очень просто: нужно ввести логин, пароль, подключить токен к компьютеру и нажать на кнопку на корпусе токена. Один токен может использоваться для доступа к нескольким сервисам.

Начало работы

  1. В настоящее время использование токенов JaCarta U2F возможно только при работе из Web-браузера Google Chrome.
  2. Подключите токен к USB-порту Вашего компьютера. При первом подключении будет выполнен поиск и автоматическая установка необходимых драйверов. Это действие будет произведено один раз и при последующих подключениях JaCarta U2F к компьютеру повторяться не будет.
  3. После подключения и установки драйверов световой индикатор на корпусе токена начнёт гореть непрерывно.
  4. Токен готов к работе!
  5. Настройте токен для входа в Ваши существующие аккаунты Google или Dropbox.

Сервисы Google

Подключение токена осуществляется к Вашему существующему аккаунту Google. Для подключения необходимо выполнить ряд действий.

  1. Войдите в свой аккаунт Google.
  2. Перейдите на страницу настроек учётной записи, нажав на кнопку "Мой аккаунт" в верхнем правом углу страницы.
  3. Перейдите в раздел "Безопасность и вход".
  4. В разделе "Пароль и способ входа в аккаунт" перейдите по ссылке "Двухэтапная аутентификация".
  5. Нажмите на кнопку "Приступить к настройке" и следуйте инструкциям.
  6. В процессе настройки снимите флажок "Надёжный компьютер". В противном случае токен не будет использоваться при входе в аккаунт.
  7. Перейдите на закладку "Токены" и нажмите на кнопку "Добавить аппаратный токен".
  8. Подключите токен к USB-порту и дождитесь, пока световой индикатор на корпусе токена не начнёт гореть непрерывно.
  9. Нажмите на кнопку "Зарегистрировать", после чего световой индикатор начнёт мигать.
  10. Нажмите на кнопку на корпусе токена.
  11. Регистрация токена завершена!
  12. При последующем входе в аккаунт необходимо будет использовать зарегистрированный токен: ввести логин, пароль, подключить токен к компьютеру и нажать на кнопку.
  13. Впоследствии можно отменить "привязку" токена к Вашему аккаунту.

Сервис Dropbox

Подключение токена осуществляется к Вашему существующему аккаунту Dropbox. Для подключения необходимо выполнить ряд действий.

  1. Войдите в свой аккаунт Dropbox.
  2. Перейдите на страницу настроек учётной записи, нажав на ссылку с названием учётной записи в верхнем правом углу страницы, а затем нажмите на ссылку "Настройки".
  3. Перейдите в раздел "Безопасность".
  4. Нажмите на ссылку "Включить" напротив текста "Состояние" и следуйте инструкциям.
  5. Нажмите на ссылку "Добавить" напротив текста "Ключи безопасности".
  6. Введите пароль к Вашей учётной записи и следуйте инструкциям: необходимо будет подключить токен к USB-порту и нажать на кнопку после получения соответствующего приглашения.
  7. Регистрация токена завершена!
  8. При последующем входе в аккаунт необходимо будет использовать зарегистрированный токен: ввести логин, пароль, подключить токен к компьютеру и нажать на кнопку.
  9. Впоследствии можно отменить "привязку" токена к Вашему аккаунту.

Характеристики

Требования к компьютеру:

  • Наличие USB-порта.

Поддерживаемые операционные системы:

  • Microsoft Windows;
  • OS X;
  • Linux.

Поддерживаемые Web-браузеры:

  • Google Chrome версии 41 и выше.

Гарантия

Гарантийный срок составляет 12 месяцев со дня приобретения.

Посредством электронной формы, размещённой на Web-сайте компании, электронного письма на адрес support@aladdin.ru или устного обращения по телефону +7 (495) 223-00-01 Вы получаете:

  • консультативную помощь по установке, вопросам использования и функциональности продуктов;
  • аналитическую помощь в поиске и устранении причин, вызвавших ошибку;
  • предложение альтернативных путей для обхода ошибки и получения необходимых результатов.