Информационная безопасность начинается с аутентификации. Для доступа к разнообразным онлайн- и Web-сервисам, включая такие популярные, как Gmail и Dropbox, требуется аутентификация пользователей. В компании «Аладдин Р.Д.» разработали решение, которое не только упрощает эту процедуру, но и значительно усиливает безопасность.
Использование множества паролей неудобно и небезопасно. Международный альянс FIDO (Fast IDentity Online), который объединяет более 150 компаний и занимается разработкой стандартов строгой аутентификации для доступа к онлайн-ресурсам, предложил протокол под названием «Универсальный второй фактор» (Universal 2nd Factor, U2F), усиливающий парольную аутентификацию за счет использования внешнего устройства — USB-токена. С его помощью выполняется удобная и безопасная двухфакторная онлайн-аутентификация, причем один универсальный USB-токен обеспечивает доступ ко многим аккаунтам независимо от того, с какого устройства это делается. Такой токен можно применять при доступе к облачным и почтовым сервисам, файловым хостингам, видеохостингам, хостингам совместной разработки ИТ-проектов, электронным платежным системам и социальным сетям.
Новый токен JaCarta U2F, разработанный компанией «Аладдин Р.Д.» и обеспечивающиий аутентификацию по стандарту FIDO U2F, как раз и решает эти задачи. Теперь пароль может быть простым и легко запоминаемым — благодаря второму фактору аутентификация будет строгой и обеспечит высокий уровень безопасности. Дополнительное удобство — использование одного устройства для доступа к различным ресурсам и отсутствие сложной и дорогой в администрировании инфраструктуры PKI.
В отличие от систем аутентификации на основе токенов PKI, регистрация токена JaCarta U2F на Web-ресурсе происходит без участия администратора. Пользователь просто вводит логин и пароль, вставляет токен в порт USB и нажимает на нем кнопку, подтверждая свое физическое присутствие. В процессе регистрации на Web-ресурсе в памяти токена происходит генерация ключевой пары (открытый и закрытый ключи), связанной с данным ресурсом, без сертификата открытого ключа. Сгенерированная ключевая пара используется в процессе дальнейшей аутентификации. Чтобы данная схема работала, необходим браузер Chrome 4.1 и более поздних версий — он имеет встроенную поддержку U2F и не требует плагинов. Регистрироваться на ресурсе нужно только один раз. Не потребуются ни удостоверяющие центры, ни администрирование, ни лицензия ФСБ на СКЗИ. При этом управление упрощается.
На уровне протокола обеспечивается защита от фишинга и атак с незаконным посредником (man in the middle). Закрытый ключ в памяти токена связан с URL, и если злоумышленник попытается перенаправить пользователя на другой сайт, аутентификация не состоится — нужный ключ не будет найден. Кроме того, токен нельзя скопировать: его внутренний счетчик аутентификаций сверяется со счетчиком сервера. В случае утери токен придется заменить на новый и заново пройти все процедуры регистрации на тех же ресурсах.
Целевая аудитория JaCarta U2F не ограничивается коммерческими предприятиями. В компании «Аладдин Р.Д.» надеются, что продукт будет интересен широкой аудитории, и намерены заниматься развитием экосистемы JaCarta U2F, включая такие ее компоненты, как JaCarta Authentication Server (JAS v3) и инструменты для разработчиков. Будет осуществляться и сертификация сторонних решений. В ближайших планах — выпуск 1 млн токенов в 2016 году. U2F уже поддерживают многие популярные Web-сервисы и ресурсы, включая все сервисы Google, GitHub, WordPress, LastPass, Dropbox, Linux PAM и OpenSSH.
К сожалению, текущая версия JaCarta U2F не рассчитана на мобильные устройства, а ведь многие пользуются сервисами и на смартфонах или планшетах. Однако разработчики уже думают о возможности задействовать для этой цели технологию NFC или Bluetooth 4.
JaCarta U2F — это базовая модель с поддержкой стандарта U2F. Данный подход получит развитие в других продуктах компании. В их числе JaCarta WebPass (USB-токен с генератором одноразовых паролей, совместимый с eToken Pass) и JaCarta ГОСТ2 (USB-токен для работы с электронной подписью).