19.05.2015

Анализ способов повышения надёжности аутентификации пользователя в ОС Windows

Интернет-портал cyberleninka.ru, май, 2015
Статья с упоминанием аппаратных и программных решений по обеспечению информационной безопасности и защиты конфиденциальных данных от компании "Аладдин Р.Д."

Операционная система Windows является самой популярной в настоящее время. По данным исследования компании Net Applications [1] под управлением ОС Windows работает более чем 91% всех персональных компьютеров. Возникает логичный вопрос защиты информационной системы, основанной на ОС Windows.

Первая линия обороны или "проходная" - это идентификация и аутентификация пользователей в системе. В ОС Windows она представлена в виде пары "логин-пароль". Пароль, при не соблюдении парольных политик, является самым слабым средством проверки подлинности субъекта. Это связано с тем, что парольная аутентификация основана на запоминании субъектом секретной информации. В качестве такой секретной информации в большинстве случаев пользователь системы выбирает короткую последовательность легко запоминаемых и подбираемых данных, так как хранить множество длинных паролей, состоящих из произвольного набора символов, в голове тяжело. В тех случаях, когда пароль всё-таки удовлетворяет парольным политикам, то зачастую он записывается на бумагу и хранится где-то рядом с компьютером. Отсюда возникает трудность в сохранении баланса между удобством пароля для пользователя и его надёжностью. Однако, парольная аутентификация является самой простой для реализации, дешёвой и популярной в настоящее время, не смотря на все её недостатки.

Помимо халатного отношения пользователей, недостатками парольной аутентификации являются: возможность кражи пароля, возможность подсмотреть, подобрать и угадать пароль, возможность заставить пользователя открыть пароль, используя физическое принуждение. Все эти недостатки паролей позволяют осуществить несанкционированный доступ к информации различного уровня конфиденциальности. Поэтому стандартная процедура аутентификации ОС Windows по паре "логин-пароль" должна быть заменена многофакторной аутентификацией или системой защиты информации от несанкционированного доступа, которые существенно повышают безопасность системы, но не делают её защищённой на 100%.

Перед тем как предложить варианты замены пароля многофакторной аутентификацией, нужно упомянуть о некоторой особенности архитектуры Windows. Это функция залипания клавиш (sethc.exe), созданная для пользователей, которым тяжело нажимать несколько клавиш одновременно. Вызывается пятикратным нажатием клавиши Shift и позволяет открывать командную строку с правами администратора. Заметим, что это работает до входа пользователя в систему. Однако предварительно требуется подменить файл sethc.exe на файл командной строки. После чего при многократном нажатии клавиши Shift перед входом в ОС Windows запускается командная строка, в которой можно легко выполнять любые команды. Данный метод может использоваться злоумышленником, который получил доступ к чужому компьютеру, не зависимо от версии операционной системы: XP, 7, 8, Server 2003, Server 2008. Поэтому нужно отключить эту функцию в настройках Windows, чтобы средства на усиление аутентификации пользователей в Windows не были потрачены впустую, так как многофакторная аутентификация не закрывает эту брешь в архитектуре Windows.

Настроить залипание клавиш в ОС Windows можно несколькими способами: используя "Панель управления" и внесением изменений в реестр:

  1. С помощью "Панели управления" (для ОС Windows 7): открываем "Пуск", далее "Панель управления", выбираем просмотр категорий "Мелкие значки", находим и открываем пункт "Центр специальных возможностей", выбираем "Облегчение работы с клавиатурой", в разделе "Упростить набор текста" снимаем флажок "Включить залипание клавиш". После чего нажимаем ОК и выходим из "Панели управления". Однако, когда пользователь вносит изменения в "Панели управления", эти изменения применяются только для текущего пользователя и самое важное это то, что эти изменения работают только после того, как пользователь уже вошёл в систему. При регистрации в системе используются настройки по умолчанию. Поэтому более надёжный вариант решения этой проблемы - внесение изменений в реестр.
  2. Изменение реестра системы: необходимо открыть реестр и выбрать раздел HKEY_USERS и далее перейти .DEFAULT\Control Panel\Accessibility\StickyKeys. По умолчанию у параметра Flags стоит значение 2, которое нужно заменить на 506. После чего необходимо перезагрузить систему и настройки вступят в силу. После того, как проблема с залипанием клавиш в ОС Windows решена, можно переходить к построению многофакторной системы аутентификации пользователей.

Аутентификация пользователей в ОС Windows может быть реализована с помощью следующих факторов:

  • на основе знания чего-либо: пароль, PIN-код;
  • на основе обладания чем-либо: USB-ключ, смарт-карта;
  • биометрические характеристики человека: отпечаток пальца, голос, сетчатка глаза.

Компанией по обеспечению информационной безопасности и защиты конфиденциальных данных "Аладдин Р.Д" предлагается большое количество аппаратных и программных решений [2].

Варианты двухфакторной аутентификации для ОС Windows на основе аппаратных решений компании "Аладдин Р.Д.":

  1. Смарт-карта (чем обладает пользователь) + отпечаток пальца (часть самого пользователя). В качестве аппаратного решения, компания "Аладдин Р.Д." предлагает биометрический смарт-карт ридер ASEDrive llle Bio Keyboard [3].

    Данный продукт, по словам разработчика, позволит создать систему с многофакторной аутентификацией, при этом, не загромождая рабочее пространство. Реализованная в данном смарт-карт ридере технология биометрического контроля позволяет использовать до десяти отпечатков, что даёт возможность не задумываться какой палец нужно приложить к сканеру для входа. Большим плюсом является тот факт, что биометрический контроль может быть использован совместно с PIN-кодом, соответственно делая систему аутентификации трехфакторной и более надёжной. Шаблоны отпечатков пальцев хранятся и сравниваются непосредственно внутри чипа смарт-карты, а не на компьютере, что существенно повышает уровень безопасности при входе в систему. Данное решение освобождает пользователя от запоминания длинных, сложных паролей и делает вход в систему для него более удобным и надёжным, а так же снижает риск несанкционированного доступа в систему.

  2. OTP-токен (чем обладает пользователь) + PIN-код (что знает пользователь) eToken PASS - генератор одноразовых паролей от "Аладдин Р.Д." [4].

    Чтобы рассчитать значение одноразового пароля на вход токена подаются два параметра: какой-то секретный ключ (в нашем случае это может быть PIN-код) и текущее значение счётчика (количественный учёт прохождения аутентификации текущим пользователем). Само начальное значение хранится в токене, а так же на сервере в системе eToken TMS. Увеличение счётчика токена происходит при каждой генерации одноразового пароля, увеличение счётчика сервера происходит при удачной попытке аутентификации по одноразовому паролю. При рассинхронизации значений на токене и сервере, администратор вручную может легко это исправить.

    Для того чтобы увеличить безопасность система eToken TMS предоставляет возможность использования дополнительного значения - OTP PIN. В таком случае для успешной аутентификации пользователю помимо имени пользователя и одноразового пароля, необходимо ввести дополнительное секретное значение OTP PIN. Оно задается при назначении устройства пользователю.

Этот метод имеет ряд преимуществ:

  • от пользователя не требуют запоминать сложные и длинные пароли, необходимо лишь сгенерировать одноразовый пароль OTP-токеном, при необходимости активировав его с помощью PIN-кода;
  • метод является более безопасным в отличие от стандартной аутентификации ОС Windows, так как при краже или потере генератора одноразовых паролей, злоумышленник должен будет подобрать PIN-код, при этом стоит сказать, что после нескольких неправильных вводов PIN-кода OTP-токен блокируется и на время прекращает свою работу;
  • нет необходимости покупать дополнительно считыватели, как в случае со смарт-картами, соответственно это более бюджетный вариант;
  • соблюдение требований безопасности, в случае если пользователю запрещено использовать порты USB.

Предложенные методы многофакторной аутентификации для ОС Windows помогут в значительной степени защитить систему от несанкционированного доступа. Однако не стоит забывать об особенностях архитектуры самой системы, в частности упомянутой выше функции "Залипание клавиш", а так же о влиянии человеческого фактора, который играет важную роль в процессе аутентификации.

Список литературы:

  1. Market Share Statistics for Internet Technologies [Электронный ресурс]. URL: https://www.netmarketshare.com/ (дата обращения: 17.04.2015)
  2. Каталог продуктов компании "Аладдин Р.Д." [Электронный ресурс]. URL: http://www.aladdin-rd.ru/solutions/(дата обращения: 14.04.2015)
  3. Биометрический смарт-карт ридер ASEDrive IIIe Bio Keyboard [Электронный ресурс]. URL: http://www.aladdin-rd.ru/catalog/card_readers/ASEDrive_Keyboard_Bio (дата обращения: 14.04.2015)
  4. eToken PASS [Электронный ресурс]. URL: http://www.aladdin- rd.ru/catalog/etoken/pass/ (дата обращения: 14.04.2015).