учебный год 2023 / ИТ - лекция-апрель

Предлагаю рассмотреть две системы аутентификации, которые реализуют множество методов аутентификации на базе динамических данных.

Entrust IdentityGuard.

Оптимально решение для систем электронных платежей.

Основой Entrust IdentityGuard является Entrust IdentityGuard Server, который, собственно, выполняет аутентификацию пользователей, управление данными пользователя и их данными аутентификации.

Реализуемые методы аутентификации с использованием:

• Генераторов одноразовых паролей (OTP, one-time password)

• Подписи транзакций на базе OTP в режиме запрос-ответ

• Одноразового пароля, высылаемого по SMS

• Табличного метода

• Списка одноразовых паролей (как вырожденный табличный метод)

• Секретных вопросов

• Аутентификация компьютера

Рассмотрим более подробно наиболее интересные методы.

Генерируемые одноразовые пароли.

В основе этого метода лежит использование аппаратного генератора одноразовых паролей. При желании можно ввести дополнительный уровень защиты в виде использования статического PIN.

 

Статический PIN является дополнением к коду динамическому и защищает от использования генератора в случае кражи/потери.

Генераторы, имеющие встроенную клавиатуру, используемую для ввода PIN-кода, работают в двух режимах: запрос (простая генерация) и запрос-ответ (генерация на основе полученных от сервера значений), а также в режиме подписи транзакций. Такие генераторы также могут использовать в режиме взаимной аутентификации.

 

Табличная аутентификация.

Интересный и экономически выгодный метод, реализующий, в том числе, и взаимную аутентификацию.

Суть метода. Пользователь имеет таблицу (или сетку, так как в оригинале метод называется grid — сетка). Каждая ячейка содержит некоторое количество символов. Значения указанных системой ячеек являются информацией, используемой для аутентификации (секретом).

Процесс аутентификации:

• Entrust IdentityGuard генерирует запрос (номера ячеек, значения которых необходимо указать)

• Пользователь вводит требуемые значения.

• Entrust IdentityGuard проверяет введенные значения.

Табличный метод позволяет реализовать взаимную аутентификацию. То есть предоставить пользователю некоторую информацию, которая позволит удостовериться в том, что данные запрашиваются именно с оригинального ресурса, а не с фишингового двойника.

Структура таблицы может быть сконфигурирована персонально для каждой групп пользователей. Метод формирования запроса и срок использования карты также настраивается.

Entrust IdentityGuard поддерживает разные варианты выпуска таблиц. Поддерживается конвейерный способ генераций, который подразумевает предварительную генерацию таблиц с последующей привязкой к пользователю. Стоит отметить, что стоимость выпуска и доставки карты пользователю может быть фактически сведена к нулю, так как таблица может быть отпечатана просто на бумаге или вообще отправлена по электронной почте в виде графического файла.

Список паролей.

Это некоторая модификация табличного метода. Пользователю предоставляется список паролей, сгенерированный случайным образом. Каждый пароль может быть использован только один раз.

Высылаемый PIN.

Эта концепция предполагает генерацию одноразового пароля Entrust IdentityGuard по запросу пользователя, например, автоматически при прохождении первого этапа аутентификации.

Сгенерированный PIN отправляется пользователю, например, в виде SMS, электронного письма и звонка на зарегистрированный номер.

ActivIdentity 4TRESS Authentication Server

Оптимальное решение для банков, предоставляющих услуги АБС.

Так как деление областей применения на банки, предоставляющие услуги АБС, и платежные системы весьма условно, и с точки зрения аутентификации мало чем отличается, поясним, что именно делает это решение привлекательным именно для банков.

В первую очередь — это возможность реализации многоканальности. Вполне понятно, что аутентификация пользователя может происходить не только при использовании АБС, но и, например, при обращении в центр телефонного обслуживания: в этом случае оператор также должен удостовериться в том, что звонящий является тем, за кого себя выдает. Кроме того, на базе ActivIdentity 4TRESS Authentication Server возможно построение модели внутрикорпоративной аутентификации, то есть сотрудников — операторов, операционистов, клерков в корпоративных системах.

Второй момент — это перечень реализуемых методов аутентификации:

• Генераторы одноразовых паролей (OTP, one-time password)

• Подпись транзакций на базе OTP в режиме запрос-ответ

• Одноразовые паролей, генерируемые банковской пластиковой EMV-картой (MsaterCard EMV CAP, Visa EMV DPA)

• Подпись транзакций на базе банковской пластиковой EMV-карты (MasterCard EMV CAP, Visa EMV DPA)

• Цифровых сертификатов (с использованием смарт-карт)

• Секретных вопросов.

ActivIdentity 4TRESS Authentication Server основан на сервис-ориентированной архитектуре (SOA, Service Oriented Architecture), что позволяет при необходимости подключить к системе любой другой метод аутентификации, не внося изменений в уже существующую информационную структуру. Это особо интересно в случаях, когда АБС уже использует какие-либо методы, и стоит задача перехода на более надежные модели. В этом случае существующие системы интегрируются в 4TRESS AS как подсистемы, что позволяет выполнить плавную миграцию.

В контексте банковского применения особо стоит отметить метод, использующий EMV-карты. Чипованные карты (EuroCard, MssterCard, Visa), выпускаемые банками для платежей в магазинах, снятия денег в банкоматах, а также выполнения интернет-платежей, полностью готовы для генерации одноразовых паролей и подписи транзакций. Для этого пользователю необходимо всего лишь иметь устройство — Solo Reader, которое не требует подключения к компьютеру. Со стороны банка проверку OTP и подписи транзакции выполняет рассматриваемый здесь ActivIdentity 4TRESS Authentication Server (сертифицирован платежными системами MasterCrad и Visa, а также EMV).

Этот метод аутентификации интересен еще и тем, что карта, как говорилось, уже готова для генерации OTP, то есть регистрация и выпуск аутентификация в АБС выполняется практически автоматически.

Еще один вариант аутентификации на базе одноразовых паролей — это использование DisplayCard. Обычной банковской карты, в которую встроен генератор одноразовых паролей. Такая концепция очень привлекательная для конечного пользователя, так как не требует для аутентификации в АБС вообще ничего, кроме пластиковой карточки, которая уже используется для снятия денег в банкомате и платежей в магазинах.

Собственно, что получаем в качестве сухого остатка?

Платежная система получает гибкую систему аутентификации. Важным моментом является именно гибкость, которая позволяет реализовать подходящий вариант аутентификации для каждой обслуживаемой группы пользователей на базе единой системы. При этом стоит отметить такую особенность, как участие самого пользователя в процессе выбора, что психологически приводит его к более ответственному и серьезному отношению: пользователь начинает осознавать важность происходящего, а это важный шаг, который, совместно с реализуемыми техническими методами, начинает реально противостоять описанным выше угрозам. Итак, результат: клиент остается довольным и при своих деньгах, а платежная система (банк) - при своих клиентах.