Новиков А.Л.
ОРГАНИЗАЦИЯ МНОГОФАКТОРНОЙ АУТЕНТИФИКАЦИИ ПОЛЬЗОВАТЕЛЕЙ В КОРПОРАТИВНОЙ СЕТИ *
Аннотация:
существует множество вариантов обхода защиты корпоративной сети, в особенности, если аутентификация пользователей в данной сети – однофакторная. Многофакторная аутентификация, в свою очередь, позволяет добавить дополнительные уровни защиты и заметно усложнить любые попытки нарушителя получить доступ к данным компании. Объектом исследования является проведение тестирования разработанной системы многофакторной аутентификации, анализ уровня сложности пароля и токена, необходимого для обеспечения надежного входа в систему. Раскрываются проблемы, связанные с расчетом вероятности успешной атаки методом подбора пароля. Были изучены отечественные и зарубежные научные источники по теме надежной аутентификации пользователей. В результате установлено, какими характеристиками должна обладать разработанная система аутентификации. Практическая значимость заключается в применении разработанной системы на реальной практике, например, в небольшой корпоративной сети с установленными веб-серверами и серверами баз данных внутри офисного здания
Ключевые слова:
аутентификация, сетевые технологии, brute-force атаки, кибербезопасность, авторизация
УДК 044.77
Новиков А.Л.
магистр, студент образовательной программы
«Компьютерные системы и сети»
Национальный исследовательский университет
«Высшая школа экономики»,
подразделение «Московский институт электроники и математики
им. А.Н. Тихонова»
(г. Москва, Россия)
ОРГАНИЗАЦИЯ МНОГОФАКТОРНОЙ АУТЕНТИФИКАЦИИ ПОЛЬЗОВАТЕЛЕЙ В КОРПОРАТИВНОЙ СЕТИ
Аннотация: существует множество вариантов обхода защиты корпоративной сети, в особенности, если аутентификация пользователей в данной сети – однофакторная. Многофакторная аутентификация, в свою очередь, позволяет добавить дополнительные уровни защиты и заметно усложнить любые попытки нарушителя получить доступ к данным компании. Объектом исследования является проведение тестирования разработанной системы многофакторной аутентификации, анализ уровня сложности пароля и токена, необходимого для обеспечения надежного входа в систему. Раскрываются проблемы, связанные с расчетом вероятности успешной атаки методом подбора пароля. Были изучены отечественные и зарубежные научные источники по теме надежной аутентификации пользователей. В результате установлено, какими характеристиками должна обладать разработанная система аутентификации. Практическая значимость заключается в применении разработанной системы на реальной практике, например, в небольшой корпоративной сети с установленными веб-серверами и серверами баз данных внутри офисного здания.
Ключевые слова: аутентификация, сетевые технологии, brute-force атаки, кибербезопасность, авторизация.
Вступление
Актуальность работы заключается в обеспечении сохранности данных в корпоративной сети с помощью многоуровневой системы аутентификации. Данная система должна подразумевать не только наличие пароля у пользователей сети, но и безопасную передачу данных между сетевыми устройствами, например, маршрутизаторами и коммутаторами. Кроме того, для входа пользователей в сеть могут потребоваться дополнительные меры безопасности, в совокупности образующие систему многофакторной аутентификации.
Стандарт «ГОСТ Р ИСО/МЭК 15408-1-2002» [1, C. 9], внесённый Гостехкомиссией России 1 апреля 2004 года, описывает связь между основными субъектами и объектами обеспечения безопасности. В стандарте отмечается, что безопасность, в первую очередь, является защитой активов от угроз. Разработчики стандарта утверждают, что необходимо учитывать все виды угроз, но в области безопасности наибольшее внимание следует уделять угрозам, связанными с действием человека. Ниже представлена взаимосвязь между высокоуровневыми концепциями безопасности (Рис. 1).
Рис. 1. Понятия безопасности и их взаимосвязь
В процессе исследовательской работы была создана система многофакторной делегированной аутентификации пользователей, обеспечивающая защищенный доступ пользователей к данным в корпоративной сети. В качестве основной проблемы исследования выступали анализ уровня защищенности разработанной системы аутентификации и изучение возможностей ее модернизации.
Обзор литературы
Виды аутентификаций. Аутентификация охватывает множество различных областей «гиперсвязанного мира», включая онлайн-платежи, связь, управление правами доступа и т. д. В исследовательской работе [2, C. 2] анализируется информация об эволюции систем аутентификации в сторону многофакторной аутентификации, начиная с описания однофакторной аутентификации, затрагивая схемы двухфакторной аутентификации. Кроме того, в данной работе утверждается, что многофакторная аутентификация будет использоваться непосредственно при взаимодействии с человеком, обеспечивая быструю, удобную и надежную аутентификацию для доступа к сервисам корпоративной сети.
Аутентификация остается фундаментальной защитой от несанкционированного доступа к устройству или любому другому конфиденциальному приложению как в автономном, так и в онлайн-режиме. Раньше транзакции удостоверялись прежде всего физическим присутствием, например, с помощью восковой печати. Ближе к настоящему времени, с развитием технологий стало понятно, что валидация, основанная только на идентификации отправителя, не всегда адекватна и достаточно безопасна.
Первоначально для аутентификации субъекта использовался только один фактор. К тому времени однофакторная или же односторонняя аутентификация (single-factor authentication, SFA) использовалось практически повсеместно из-за ее простоты и удобства для пользователя [3, C. 16]. В качестве примера можно привести использование пароля или PIN-кода для подтверждения владения идентификатором пользователя. Судя по всему, это самый слабый уровень аутентификации. Поделившись паролем, можно немедленно скомпрометировать учетную запись. Более того, неавторизованный пользователь также может попытаться получить доступ, используя перебор по словарю, радужные таблицы поиска или методы социальной инженерии. Как правило, при использовании этого типа аутентификации учитываются минимальные требования к сложности пароля.
Мировой IT-рынок быстро пришел к осознанию того, что аутентификация только с одним фактором не может обеспечить адекватный уровень защиты из-за ряда угроз безопасности. В качестве следующего шага в развитии системы аутентификации была предложена двухфакторная аутентификация (two-factor authentication, 2FA), которая объединяет репрезентативные данные (комбинацию имени пользователя и пароля) с фактором личного владения, например, смарт-картой или телефоном [4, C. 6]. Сегодня доступны три типа факторных групп для подключения человека с установленными учетными данными:
Впоследствии была предложена многофакторная аутентификация (multi-factor authentication, MFA) для обеспечения более высокого уровня безопасности и облегчения непрерывной защиты вычислительных устройств, а также других критически важных сервисов от несанкционированного доступа за счет использования более двух категорий учетных данных. По большей части MFA основан на биометрии, которая представляет собой автоматическое распознавание людей на основе их поведенческих и биологических характеристик [5, С. 695]. Этот шаг обеспечил повышенный уровень безопасности, поскольку от пользователей требовалось представить доказательства своей личности, которые зависят от двух или более различных факторов. Развитие методов аутентификации от однофакторной до многофакторной продемонстрирована ниже (Рис. 2).
Рис. 2. Развитие методов аутентификации от однофакторной до многофакторной
Brute-force атаки. Кроме того, в научной работе [6, C. 5] авторы разрабатывают систему многофакторной аутентификации пользователей в рамках мобильного приложения. Авторы оценивают систему с точки зрения простоты и производительности против различных типов атак. Система случайным образом выбирает два из трех этапов аутентификации, которые необходимо пройти для успешного входа в систему. На первом этапе пользователь выбирает правильный шаблон ячеек из сетки ячеек. На втором этапе пользователь выбирает пять символов из десяти в соответствии с числовым кодом, созданным при регистрации. Последний этап представляет пользователю два контрольных вопроса, на которые он должен ответить. Кроме того, авторы математически оценивают систему, чтобы измерить ее устойчивость к атакам методом перебора (brute-force).
Предполагая наихудший сценарий атаки методом перебора, пытающийся использовать все комбинации каждые 120 секунд путем захвата набора символов, присутствующего в сетке, вероятность будет очень низкой. Комбинации по вероятности связаны с выбором определенного количества элементов из большего набора и перестановкой, когда порядок имеет значение. Перестановки могут допускать повторение. Чтобы вычислить общее количество перестановок с повторениями, авторы используют формулу
Номер журнала Вестник науки №6 (63) том 1
Ссылка для цитирования:
Новиков А.Л. ОРГАНИЗАЦИЯ МНОГОФАКТОРНОЙ АУТЕНТИФИКАЦИИ ПОЛЬЗОВАТЕЛЕЙ В КОРПОРАТИВНОЙ СЕТИ // Вестник науки №6 (63) том 1. С. 912 - 924. 2023 г. ISSN 2712-8849 // Электронный ресурс: https://www.вестник-науки.рф/article/8697 (дата обращения: 19.05.2024 г.)
Вестник науки СМИ ЭЛ № ФС 77 - 84401 © 2023. 16+