С помощью программного обеспечения, выпущенного компанией RSA Security в начале сентября, владельцы мобильных телефонов смогут получать доступ к своим разделам на Web-узлах и регистрироваться в тех корпоративных сетях, где используется система аутентификации RSA SecurID. Руководство RSA надеется расширить сферу применения SecurID, выведя эту систему за рамки корпоративного рынка и обеспечив аутентификацию пользовательских транзакций через Web. «Однако для освоения потребительского рынка придется преодолеть ряд серьезных препятствий, — отметила Сара Кент, возглавляющая в RSA направление разработки бизнес-продуктов для стран Европы, Среднего Востока и Африки. — Одним из них является отсутствие необходимого абонентского оборудования».
Аутентификация с помощью SecurID осуществляется в два этапа: сначала система проверяет имеющийся у пользователя электронный жетон, а затем запрашивает пароль, который хранится в памяти абонентского устройства. Получения правильного результата только на одном из этапов проверки недостаточно для предоставления доступа.
В качестве контрольных жетонов предполагается использовать смарт-карты, электронные брелки либо программные приложения, запускаемые на ноутбуке или карманном компьютере. Изучая возможность доставки электронных жетонов пользователям без развертывания дополнительного оборудования, представители RSA пришли к выводу, что лучше всего для этих целей подходит мобильный телефон. «В Европе и Азии люди носят с собой мобильные телефоны постоянно, и человек, получающий доступ к Internet, как правило, одновременно является и владельцем мобильного телефона», — пояснила Кент.
Поставки нового продукта RSA Mobile должны начаться в конце сентября. В это программное обеспечение входят серверный компонент и модуль для подключения к сети мобильных телефонов GSM, а также передачи текстовых сообщений SMS. Никакого дополнительного аппаратного и программного обеспечения конечным пользователям не требуется. Представители RSA назвали такое решение «системой, не оставляющей следов».
Схема предоставления доступа зарегистрированному пользователю такова. Посетитель Web-сайта, располагающий средствами RSA Mobile, вводит свои имя и пароль обычным способом. После этого система ищет номер телефона, соответствующий имени абонента, и пересылает на него одноразовый код доступа в виде сообщения SMS. Пользователь вводит код доступа и подключается к требуемому ресурсу.
Впрочем, есть опасения, что задержки при доставке текстовых сообщений, содержащих код доступа, сделают систему неудобной. Однако проведенные RSA испытания показали, что в 90% случаев код доступа доставляется по назначению менее чем за 8 с. В будущих версиях программного обеспечения доставка кода, возможно, будет осуществляться при помощи электронной почты или каких-либо иных портативных телекоммуникационных устройств, например BlackBerry, предлагаемого компанией Research in Motion.
Прототипы новой системы аутентификации успешно прошли испытания в Австралии, Дании, Франции, Германии, Гонконге, Италии, Новой Зеландии, Великобритании и США. Однако до сих пор отсутствует интерфейс между RSA Mobile и японской службой мобильной передачи данных I-mode. Дело в том, что в японских мобильных сетях не поддерживается стандарт SMS, который получил повсеместное распространение в сетях GSM европейских стран и Америки.
Цены на программное обеспечение RSA Mobile будут обнародованы в ближайшее время. А пока лишь указывается, что стоимость подключения к сети мобильных телефонов и тарифы на передачу сообщений, содержащих коды доступа, должны обсуждаться непосредственно с оператором мобильной связи.
Крупные организации (например, банки) уже сейчас заключают соглашения с операторами мобильных сетей — преимущественно для того, чтобы осуществлять рассылку клиентам уведомлений (с помощью сообщений SMS) о текущем состоянии их счетов. Небольшие компании могут обсудить возможность подключения непосредственно с телекоммуникационным оператором или при посредничестве промежуточных служб, специализирующихся на интеграции корпоративных и мобильных сетей общего пользования (таких, как шведская Red Message).
Программное обеспечение RSA Mobile прежде всего ориентировано на корпоративных пользователей, которые станут применять его в интересах своих сотрудников и клиентов. «Но сетевые операторы и поставщики информационных сервисов также могли бы использовать эти средства, развертывая с их помощью дополнительные услуги», — подчеркнула Кент.