Сторонние средства обеспечения безопасности
Аппаратные средства аутентификации
Иногда требуется ограничить доступ к областям веб-сайта или точно идентифицировать пользователя перед предоставлением ему важной информации. Это осуществляется указанием имени и пароля, соответствующих учетной записи в базе данных или в Active Directory, если сервер является частью домена Windows. Эти меры безопасности являются достаточными, если содержимое, к которому осуществляется аутентифицируемый доступ, не имеет особой важности, но что если пользователь захочет попасть в папку с котировками ценных бумаг или медицинской информацией? Парольную защиту принято считать слабой вследствие того, что пользователи могут обмениваться паролями и не соблюдать их секретность. Реализация удаленной аутентификации не обеспечивает должной уверенности в правильности идентификации пользователей и их прав доступа. Более основательная система аутентификации пользователей, запрашивающих данные с сервера, должна быть, по крайней мере, двухфакторной.
Под двухфакторной аутентификацией подразумевается комбинация любых двух элементов, перечисленных ниже:
- то, что вы знаете: имя пользователя, пароль или PIN;
- то, чем вы владеете: маркер доступа, карта или ключ;
- то, что подтверждает вашу личность: отпечаток пальца или подпись.
Применение двухфакторной аутентификации к сотрудникам, осуществляющим доступ к важной информации, например, к разработчикам, является еще одной мерой безопасности. В то время как биометрические методы идентификации (отпечатки пальцев и сканирование сетчатки глаза) по-прежнему остаются относительно дорогими, применение интеллектуальных устройств, таких как смарт-карты или USB-устройства, на сегодняшний день является выгодным решением с точки зрения цены, которое обеспечивает и высокий уровень аутентификации пользователей. Пользователь должен не только знать PIN для получения доступа к аутентификационным данным, хранимым на устройстве, но и иметь устройство аутентификации при себе. Большая часть устройств хранит цифровые сертификаты и открытые/секретные ключи для использования в инфраструктуре PKI или, как в случае с iKey, обеспечивает использование менее дорогого, но эффективного вида аутентификации пользователей. Как правило, ключи пользователей хранятся на жестком диске их компьютеров, что сразу же снижает уровень безопасности всей системы; сохраняя ключи на интеллектуальном устройстве, вы повышаете общий уровень безопасности и качество процесса аутентификации.
Маркеры доступа
Устройства безопасности USB подключаются к любому стандартному порту USB, объединяя свойства смарт-карты и считывателя, кроме этого, они имеют небольшой размер и помещаются в футляре для ключей (см. рис. 9.7). Эти устройства с технологической точки зрения идентичны смарт-картам, за исключением формы и интерфейса. Ведущими производителями интеллектуальных устройств являются следующие компании:
- Alladin (whttp://ww.ealaddin.com);
- Eutron, Itema Group (http://www.eutron.com);
- Rainbow Technologies, Inc. (http://www.rainbow.com);
- SchlumbergerSema (www1.slb.com/cmartcards/).
Средства биометрической аутентификации не следует игнорировать, так как их стоимость становится все более приемлемой. Биометрические устройства делают безопасность менее обременительной для пользователей (это еще одно преимущество, так как пользователи в своем большинстве стараются избегать мер безопасности, затрудняющих работу). Если вы заинтересованы в биометрической аутентификации сотрудников, обладающих специальными привилегиями на сервере, можем порекомендовать использование оптической мыши MagicSecure с дактилоскопическим устройством от компании Eutron; это устройство обеспечивает удобную трехфакторную аутентификацию (см. рис. 9.8).