Информационное письмо
Образец оформления статьи
Анкета автора
29.04.2015

Анализ способов повышения надежности аутентификации пользователя в ОС Windows

Боховко Александр Геннадьевич
Магистрант Санкт-Петербургского государственного экономического университета, г. Санкт-Петербург, РФ
Аннотация: Описывается ряд недостатков стандартного способа аутентификации операционной системы Windows, представленной в виде пары логин-пароль. Проводится анализ аппаратных и программных средств способных повысить безопасность процесса аутентификации пользователя в операционной системе Windows и защитить систему от несанкционированного доступа.
Ключевые слова: аутентификация пользователей, двухфакторная аутентификация, операционная система Windows, смарт-карта, OTP-токен
Электронная версия
Скачать (500.3 Kb)

Операционная система Windows является самой популярной в настоящее время. По данным исследования компании Net Applications [1] под управлением ОС Windows работает более чем 91% всех персональных компьютеров. Возникает логичный вопрос защиты информационной системы, основанной на ОС Windows.

Первая линия обороны или “проходная” – это идентификация и аутентификация пользователей в системе. В ОС Windows она представлена в виде пары «логин-пароль». Пароль, при не соблюдении парольных политик, является самым слабым средством проверки подлинности субъекта. Это связано с тем, что парольная аутентификация основана на запоминании субъектом секретной информации. В качестве такой секретной информации в большинстве случаев пользователь системы выбирает короткую последовательность легко запоминаемых и подбираемых данных, так как хранить множество длинных паролей, состоящих из произвольного набора символов, в голове тяжело. В тех случаях, когда пароль все-таки удовлетворяет парольным политикам, то зачастую он записывается на бумагу и хранится где-то рядом с компьютером. Отсюда возникает трудность в сохранении баланса между удобством пароля для пользователя и его надежностью. Однако, парольная аутентификация является самой простой для реализации, дешевой и популярной в настоящее время, не смотря на все ее недостатки. Помимо халатного отношения пользователей, недостатками парольной аутентификации являются: возможность кражи пароля, возможность подсмотреть, подобрать и угадать пароль, возможность заставить пользователя открыть пароль, используя физическое принуждение. Все эти недостатки паролей позволяют осуществить несанкционированный доступ к информации различного уровня конфиденциальности. Поэтому стандартная процедура аутентификации ОС Windows по паре «логин-пароль» должна быть заменена многофакторной аутентификацией или системой защиты информации от несанкционированного доступа, которые существенно повышают безопасность системы, но не делают ее защищенной на 100%.

Перед тем как предложить варианты замены пароля многофакторной аутентификацией, нужно упомянуть о некоторой особенности архитектуры Windows. Это функция залипания клавиш (sethc.exe), созданная для пользователей, которым тяжело нажимать несколько клавиш одновременно. Вызывается пятикратным нажатием клавиши Shift и позволяет открывать командную строку с правами администратора. Заметим, что это работает до входа пользователя в систему. Однако предварительно требуется подменить файл sethc.exe на файл командной строки. После чего при многократном нажатии клавиши Shift перед входом в ОС Windows запускается командная строка, в которой можно легко выполнять любые команды. Данный метод может использоваться злоумышленником, который получил доступ к чужому компьютеру, не зависимо от версии операционной системы: XP, 7, 8, Server 2003, Server 2008. Поэтому нужно отключить эту функцию в настройках Windows, чтобы средства на усиление аутентификации пользователей в Windows не были потрачены впустую, так как многофакторная аутентификация не закрывает эту брешь в архитектуре Windows. Настроить залипание клавиш в ОС Windows можно несколькими способами: используя «Панель управления» и внесением изменений в реестр:

1. С помощью «Панели управления» (для ОС Windows 7): открываем «Пуск», далее «Панель управления», выбираем просмотр категорий «Мелкие значки», находим и открываем пункт «Центр специальных возможностей», выбираем «Облегчение работы с клавиатурой», в разделе «Упростить набор текста» снимаем флажок «Включить залипание клавиш». После чего нажимаем ОК и выходим из «Панели управления».

Однако, когда пользователь вносит изменения в «Панели управления», эти изменения применяются только для текущего пользователя и самое важное это то, что эти изменения работают только после того, как пользователь уже вошел в систему. При регистрации в системе используются настройки по умолчанию. Поэтому более надежный вариант решения этой проблемы – внесение изменений в реестр.

2. Изменение реестра системы: необходимо открыть реестр и выбрать раздел HKEY_USERS и далее перейти .DEFAULT\Control Panel\Accessibility\StickyKeys. По умолчанию у параметра Flags стоит значение 2, которое нужно заменить на 506. После чего необходимо перезагрузить систему и настройки вступят в силу.

После того, как проблема с залипанием клавиш в ОС Windows решена, можно переходить к построению многофакторной системы аутентификации пользователей. 

Аутентификация пользователей в ОС Windows может быть реализована с помощью следующих факторов:

  • на основе знания чего-либо: пароль, PIN-код;
  • на основе обладания чем-либо: USB-ключ, смарт-карта;
  • биометрические характеристики человека: отпечаток пальца, голос, сетчатка глаза.

Компанией по обеспечению информационной безопасности и защиты конфиденциальных данных “Аладдин Р.Д” предлагается большое количество аппаратных и программных решений [2].

Варианты двухфакторной аутентификации для ОС Windows на основе аппаратных решений компании “Аладдин Р.Д.”: 

1. Смарт-карта (чем обладает пользователь) + отпечаток пальца (часть самого пользователя)

В качестве аппаратного решения, компания “Аладдин Р.Д.” предлагает биометрический смарт-карт ридер ASEDrive llle Bio Keyboard [3] (рис.1).

Рис.1. Смарт-карт ридер ASEDrive llle Bio Keyboard

Рис.1. Смарт-карт ридер ASEDrive llle Bio Keyboard

Данный продукт, по словам разработчика, позволит создать систему с многофакторной аутентификацией, при этом, не загромождая рабочее пространство. Реализованная в данном смарт-карт ридере технология биометрического контроля позволяет использовать до десяти отпечатков, что дает возможность не задумываться какой палец нужно приложить к сканеру для входа. Большим плюсом является тот факт, что биометрический контроль может быть использован совместно с PIN-кодом, соответственно делая систему аутентификации трехфакторной и более надежной. Шаблоны отпечатков пальцев хранятся и сравниваются непосредственно внутри чипа смарт-карты, а не на компьютере, что существенно повышает уровень безопасности при входе в систему. Данное решение освобождает пользователя от запоминания длинных, сложных паролей и делает вход в систему для него более удобным и надежным, а так же снижает риск несанкционированного доступа в систему. 

2. OTP-токен (чем обладает пользователь) + PIN-код (что знает пользователь) eToken PASS – генератор одноразовых паролей от “Аладдин Р.Д.” [4] (рис.2). 

Рис.2. eToken PASS

Рис.2. eToken PASS

Чтобы рассчитать значение одноразового пароля на вход токена подаются два параметра: какой-то секретный ключ (в нашем случае это может быть PIN-код) и текущее значение счетчика (количественный учет прохождения аутентификации текущим пользователем). Само начальное значение хранится в токене, а так же на сервере в системе eToken TMS. Увеличение счетчика токена происходит при каждой генерации одноразового пароля, увеличение счетчика сервера происходит при удачной попытке аутентификации по одноразовому паролю. При рассинхронизации значений на токене и сервере, администратор вручную может легко это исправить.

Для того чтобы увеличить безопасность система eToken TMS предоставляет возможность использования дополнительного значения – OTP PIN. В таком случае для успешной аутентификации пользователю помимо имени пользователя и одноразового пароля, необходимо ввести дополнительное секретное значение OTP PIN. Оно задается при назначении устройства пользователю.

Этот метод имеет ряд преимуществ: 

  • от пользователя не требуют запоминать сложные и длинные пароли, необходимо лишь сгенерировать одноразовый пароль OTP-токеном, при необходимости активировав его с помощью PIN-кода;
  • метод является более безопасным в отличие от стандартной аутентификации ОС Windows, так как при краже или потере генератора одноразовых паролей, злоумышленник должен будет подобрать PIN-код, при этом стоит сказать, что после нескольких неправильных вводов PIN-кода OTP-токен блокируется и на время прекращает свою работу;
  • нет необходимости покупать дополнительно считыватели, как в случае со смарт-картами, соответственно это более бюджетный вариант;
  • соблюдение требований безопасности, в случае если пользователю запрещено использовать порты USB. 

Предложенные методы многофакторной аутентификации для ОС Windows помогут в значительной степени защитить систему от несанкционированного доступа. Однако не стоит забывать об особенностях архитектуры самой системы, в частности упомянутой выше функции «Залипание клавиш», а так же о влиянии человеческого фактора, который играет важную роль в процессе аутентификации.

Список литературы:

  1. Market Share Statistics for Internet Technologies [Электронный ресурс]. URL: https://www.netmarketshare.com/ (дата обращения: 17.04.2015)
  2. Каталог продуктов компании «Аладдин Р.Д.» [Электронный ресурс]. URL: http://www.aladdin-rd.ru/solutions/(дата обращения: 14.04.2015)
  3. Биометрический смарт-карт ридер ASEDrive IIIe Bio Keyboard [Электронный ресурс]. URL: http://www.aladdin-rd.ru/catalog/card_readers/ASEDrive_Keyboard_Bio (дата обращения: 14.04.2015)
  4. eToken PASS [Электронный ресурс]. URL: http://www.aladdin-rd.ru/catalog/etoken/pass/ (дата обраще¬ния: 14.04.2015).