Глава 22. Хранение секретов
ти, переносимая память сама превращается в ключ. Тот, у кого есть ключ, ав-
томатически получает доступ к системе, поэтому переносимую память нужно
хранить в безопасном месте.
22.4
Идентификатор безопасности
Более удачное (и более дорогостоящее) решение — это использование ус-
тройства, названного
идентификатором безопасности (secure token)
. Это ма-
ленький компьютер, который пользователь может носить с собой. Внешний
вид идентификатора безопасности может варьироваться в широких преде-
лах — от смарт-карты (которая выглядит в точности как кредитная карта)
до приборов iButton, USB-устройств или карт формата PCMCIA. Главны-
ми особенностями такого устройства являются наличие энергонезависимой
памяти (т.е. памяти, которая сохраняет свои данные после выключения ком-
пьютера) и центрального процессора.
Идентификатор безопасности функционирует аналогично портативному
хранилищу данных, однако имеет ряд улучшений в плане безопасности.
В частности, доступ к ключам, хранящимся в таком устройстве, может быть
ограничен паролем или каким-либо другим способом. Прежде чем идентифи-
катор безопасности позволит вам применить ключ, вы должны предоставить
ему правильный пароль. При этом идентификатор безопасности сам может
защитить себя от злоумышленников, пытающихся подобрать пароль, блоки-
руя доступ после трех или пяти неудачных попыток ввода. Разумеется, неко-
торые пользователи то и дело ошибаются при вводе пароля. Для восстановле-
ния доступа к системе таких горе-пользователей применяются специальные,
гораздо более длинные ключи или идентификационные фразы с более высо-
кой степенью энтропии.
Как видите, подобные системы обеспечивают многоуровневую защиту
данных. Прежде всего пользователь защищает идентификатор физически;
например, он может хранить его в кошельке или на брелке. Чтобы добраться
к данным, злоумышленник должен украсть сам идентификатор или по край-
ней мере получить к нему какой-нибудь доступ. Затем ему придется либо
физически взломать идентификатор и извлечь из него данные, либо узнать
пароль, чтобы разблокировать идентификатор. Для усложнения физической
атаки подобные устройства часто делают устойчивыми к несанкционирован-
ному вмешательству
3
.
3
Такие идентификаторы устойчивы к несанкционированному вмешательству, но отнюдь
не защищены от него полностью. Физический взлом устройств возможен всегда; вопрос
лишь в том, во сколько он обойдется.
22.5. Безопасный пользовательский интерфейс
377
На сегодняшний момент идентификаторы безопасности являются одним
из лучших и самых практичных методов хранения секретных ключей. Они
относительно недороги и имеют довольно небольшой размер, что позволяет
носить их с собой.
Одна из проблем практического применения идентификаторов безопасно-
сти — халатное поведение пользователей. Они то и дело оставляют свой иден-
тификатор безопасности подключенным к компьютеру, когда уходят на обед
или деловую встречу. Поскольку пользователям ужасно не хочется повторно
вводить пароль, их система будет настроена таким образом, чтобы послуш-
но предоставлять доступ к данным на протяжении многих часов с момента
последнего ввода пароля. В подобной ситуации злоумышленнику достаточно
подойти к компьютеру и воспользоваться секретными ключами, хранящими-
ся в идентификаторе.
Вы можете попробовать решить эту проблему путем обучения. Среди лю-
бимых средств воздействия на сознание пользователей можно назвать видео-
презентации “Корпоративная безопасность в офисе”, отвратительные и совсем
не смешные плакаты “Возьмите свои смарт-карты с собой на обед”, а также
лекции на тему “Если я еще когда-нибудь увижу смарт-карту вставленной
в компьютер, хозяин которого ушел покурить, он прослушает эту лекцию еще
50 раз”. Впрочем, существуют и другие пути решения этой проблемы. Сде-
лайте так, чтобы идентификатор безопасности был ключом не только к сек-
ретным данным, но и к дверям офиса. Теперь пользователь будет вынужден
брать идентификатор с собой, чтобы попасть обратно в офис. Настройте ав-
томат, продающий кофе, таким образом, чтобы он выдавал стаканчик с кофе
только при наличии идентификатора безопасности. Это не позволит пользо-
вателям оставлять идентификаторы подключенными к компьютеру на время
своего отсутствия. Иногда безопасность системы полностью обеспечивается
подобными примитивными мерами, но они оказываются гораздо эффектив-
нее многочисленных плакатов, правил и призывов.
22.5
Безопасный пользовательский интерфейс
Несмотря на бесспорные достоинства, идентификатор безопасности имеет
один существенный недостаток. Пароль, который используется для доступа
к содержимому идентификатора, должен вводиться в компьютер или дру-
гое аналогичное устройство. Это не составит проблемы, если мы полностью
доверяем своему компьютеру, однако, как известно, компьютеры не настоль-
ко хорошо защищены, чтобы можно было на них надеяться. Действительно,
смысл хранения секретных ключей за пределами компьютера состоит именно
в том, что мы не совсем ему доверяем. Можно достичь более высокого уровня
378
Достарыңызбен бөлісу: |