Решаемые задачи
- Усиление парольной аутентификации пользователей при доступе к информационным ресурсам за счёт перехода от запоминаемых к одноразовым паролям. Использование одноразовых паролей решает такие проблемы компрометации паролей, как перехват данных, вводимых пользователем с клавиатуры, кража запоминаемых паролей, "подглядывание из-за спины" и пр.
- Усиление парольной аутентификации пользователей при доступе к информационным ресурсам за счёт перехода к двухфакторной аутентификации с использованием токена. Генерируемый токеном одноразовый пароль может использоваться совместно с запоминаемым паролем.
- Избавление пользователей от необходимости запоминать сложные пароли. Пароли генерируются и хранятся в токене.
- Избавление пользователей от возможных ошибок, возникающих при ручном вводе паролей и адресов Web-ресурсов. Пароли автоматически подставляются в формы ввода при нажатии на кнопку. Запуск Web-браузера и переход по сохранённому адресу также осуществляются при нажатии на кнопку.
Функциональные возможности
- Генерация до трёх независимых одноразовых паролей (по однократному, двойному или длительному нажатию на кнопку).
- Поддержка четырёх различных алгоритмов генерации одноразовых паролей (алгоритмы генерации OTP по событию, согласно RFC 4226).
- Генерация и защищённое хранение до трёх многоразовых паролей необходимого уровня сложности (по однократному, двойному или длительному нажатию на кнопку).
- Защищённое хранение до трёх адресов Web-ресурсов, запуск Web-браузера и переход по сохранённому адресу по нажатию кнопки (по однократному, двойному или длительному нажатию на кнопку).
- Генерация паролей и хранение адресов Web-ресурсов выполняется в защищённой микросхеме смарт-карты на борту токена.
Ключевые особенности
- Механическая кнопка для генерации паролей, запуска Web-браузера и подтверждения присутствия человека за ПК.
- Автоматическая подстановка паролей в поля экранных форм по нажатию кнопки.
- Двухчиповая конструкция:
- микроконтроллер, отвечающий за коммуникации с ПК, взаимодействие с пользователем и выполняющий роль межсетевого экрана для команд APDU;
- смарт-карта, реализующая функции безопасности (генерация одноразовых паролей, генерация и хранение многоразового пароля).
- Поддержка интерфейсов HID, CCID с возможностью одновременного использования обоих интерфейсов и переключения между ними в процессе работы.
- Токен можно использовать на любых устройствах, оснащённых USB-портом Type A Female и допускающих использование USB-клавиатур.
- Отсутствие внутренних элементов питания – питание осуществляется от порта USB.
- Поддержка любых ОС Microsoft Windows, Linux, Mac OS X, Google Android, Apple iOS (через Camera Connection Kit).
- Для использования токена не требуется установки дополнительных драйверов и программного обеспечения (ввод одноразовых паролей происходит по HID-интерфейсу).
- Поддержка токена в системах централизованного управления и учёта – JaCarta Management System (JMS), SafeNet Authentication Manager (SAM), Token Management System (TMS).
- Cерверное ПО для проверки OTP: JaCarta Authentication Service (JAS), SafeNet Authentication Manager (SAM), SafeNet Authentication Manager Express, SafeNet Authentication Engine, LinOTP, FreeRADIUS и пр.
- Один токен может быть использован для доступа к нескольким различным ресурсам ("один ко многим").
Слоты JaCarta WebPass
В JaCarta WebPass для хранения информации используются три независимых слота. В зависимости от номера слота в нём может храниться:
- одноразовый пароль, генерируемый пользователем по заданному при инициализации алгоритму;
- многоразовый пароль, который генерируется в соответствии с критериями качества, заданными при инициализации;
- URL-адрес защищённого ресурса.
Количество активных слотов и конфигурация каждого из них задаётся при настройке параметров токена JaCarta WebPass. Список возможных конфигураций для каждого слота (1,2,3) представлен в таблице ниже.
Возможная конфигурация слота
- Одноразовый пароль (OTP) с синхронизацией по событию в соответствии со стандартом RFC 4226. В зависимости от настроек, заданных во время инициализации JaCarta WebPass, одноразовые пароли (OTP) могут формироваться с использованием следующих алгоритмов хеширования*:
- HMAC-SHA1 (вектор инициализации – 160 бит) длина одноразового пароля – 6 символов;
- HMAC-SHA256 (вектор инициализации – 256 бит) длина одноразового пароля – 6 символов;
- HMAC-SHA256 (вектор инициализации – 256 бит) длина одноразового пароля – 7 символов;
- HMAC-SHA256 (вектор инициализации – 256 бит) длина одноразового пароля – 8 символов.
- URL-адрес защищённого ресурса, предназначенный для подстановки в адресную строку браузера.
- Постоянный пароль, предназначенный для доступа к защищённым ресурсам:
- настройки качества постоянного пароля задаются на этапе инициализации слота.
* На этапе инициализации существует возможность задать дополнительное постоянное значение, которое будет автоматически подставляться перед значением одноразового пароля. Таким образом, итоговое значение подставляемого пароля будет содержать больше символов, чем значение собственно одноразового пароля.
Конфигурирование и инициализация JaCarta WebPass
Конфигурирование и инициализация токена JaCarta WebPass осуществляется средствами программного обеспечения Единый Клиент JaCarta.
Системные требования для использования JaCarta WebPass
Требования для подсоединения к стационарному компьютеру |
|
Требования для работы с устройствами под управления операционной системы Google Android |
|
Требования для работы с устройствами под управлением операционной системой Apple iOS | Переходник Camera Connection Kit |
Программное обеспечение для инициализации и настройки параметров работы JaCarta WebPass | Единый Клиент JaCarta |
Системы управления жизненным циклом электронных ключей |
|
Особенности работы с различными операционными системами
Google Android
USB-токен JaCarta WebPass представляется операционной системе как физическая клавиатура, поэтому возможна ситуация, в которой после присоединения к мобильному устройству токена JaCarta WebPass отключится возможность ввода с экранной сенсорной клавиатуры.
Чтобы снова включить возможность использования экранной клавиатуры, необходимо выполнить представленную ниже процедуру. Эти действия необходимо выполнить только один раз – при дальнейших подключениях JaCarta WebPass к мобильному устройству возможность использования экранной клавиатуры будет сохраняться.
Mac OS X
Т.к. JaCarta WebPass представляется системе как физическая клавиатура, при подсоединении этого токена к компьютеру может возникнуть окно Ассистент настройки клавиатуры с сообщением, что подсоединённая клавиатура не может быть идентифицирована.
В этом случае просто закройте отобразившееся окно. Это действие необходимо выполнить только один раз – в дальнейшем при подключении JaCarta WebPass это окно отображаться не будет.
Microsoft Windows
При первом подключении токена JaCarta WebPass к компьютеру будет выполнен поиск драйвера, необходимого для работы с токеном. Это действие будет произведено один раз и при последующих подключениях JaCarta WebPass к компьютеру повторяться не будет.
Световая индикация состояний JaCarta WebPass
JaCarta WebPass оснащён световым (светодиодным) индикатором состояния, который активируется при подсоединении токена к компьютеру или мобильному устройству:
- светодиод горит непрерывно – подсоединённый токен в данный момент находится в режиме ожидания и готов к работе;
- светодиод мигает часто – на подсоединённом токене в данный момент выполняется операция (например, создаётся сложный постоянный пароль);
- светодиод мигает медленно – при работе токена обнаружена ошибка.
Автоматическая подстановка паролей
Ниже представлена процедура подстановки постоянного пароля на примере входа в учётную запись "Яндекс.Почта".
- Подключите токен JaCarta WebPass к компьютеру или мобильному устройству. Если вы используете мобильное устройство под управлением операционной системы Apple iOS, отобразится окно подтверждения – нажмите OK, чтобы закрыть его.
- Дождитесь, пока световой индикатор на электронном ключе станет гореть непрерывно.
- Откройте страницу (или окно) нужного вам защищённого ресурса и вызовите форму входа.
- В соответствующее поле введите своё имя пользователя (в настоящем примере имя пользователя следует вводить в поле Логин).
- Переместите курсор в поле ввода пароля (в настоящем примере – поле Пароль).
- В зависимости от того, в какой слот электронного ключа был записан пароль, выполните следующие действия.
Убедитесь в том, что включена английская раскладка клавиатуры. В противном случае пароль будет введён с использованием символов русского алфавита.
Используемый слот Действия Слот 1 Один раз нажмите на кнопку на корпусе токена JaCarta WebPass Слот 2 Выполните двойное нажатие на кнопку на корпусе токена JaCarta WebPass (аналогично двойному щелчку мыши) Слот 3 Выполните длительное нажатие на кнопку на корпусе токена JaCarta WebPass - Пароль отобразится в поле, в котором был установлен курсор.
- Подтвердите вход в систему (в настоящем примере: щёлкнув на кнопке Вход под формой ввода имени пользователя и пароля).
Переход на Web-страницу защищённого ресурса
Чтобы открыть страницу защищённого ресурса, URL-адрес которого хранится в памяти электронного ключа JaCarta WebPass, выполните следующие действия.
- Подключите токен JaCarta WebPass к компьютеру или мобильному устройству. Если вы используете мобильное устройство под управлением операционной системы Apple iOS, отобразится окно подтверждения – нажмите OK, чтобы закрыть его.
- Дождитесь, пока световой индикатор на электронном ключе станет гореть непрерывно.
- В зависимости от того, в какой слот электронного ключа был записан необходимый URL-адрес, выполните следующие действия.
Используемый слот Действия Слот 1 Один раз нажмите на кнопку на корпусе токена JaCarta WebPass Слот 2 Выполните двойное нажатие на кнопку на корпусе токена JaCarta WebPass (аналогично двойному щелчку мыши) Слот 3 Выполните длительное нажатие на кнопку на корпусе токена JaCarta WebPass
На экране отобразится окно браузера по умолчанию (если был запущен, появится новое окно или вкладка) – переход на страницу, URL-адрес которой сохранён в памяти JaCarta WebPass, будет осуществлён автоматически.