Аутентификация — основа информационной безопасности
Любая система защиты должна отличать «своих» от «чужих», поэтому одним из ее главных компонентов является аутентификация, которая обеспечивает эффективную работу защитных механизмов. Не стоит строить сложную защиту, если взломщик может быстро подобрать или перехватить пароли. По результатам исследований Computer Security Institute (см. диаграмму), кроме вирусов, значительные потери компаниям приносят несанкционированный доступ и кража конфиденциальной информации. В обоих случаях злоумышленникам требуется нарушить работу системы аутентификации. Проблема аутентификации активно обсуждалась на конференции «Информационная безопасность: честно, точно, объективно», которая прошла в рамках SofТool 2005.
Многие компании по-прежнему применяют аутентификацию при помощи пароля, но проверить, насколько надежны пароли пользователей, довольно трудно. Для этого предназначена, например, программа Proactive Password Auditor, которую продает российская компания Elcomsoft. Эта программа позволяет подбирать пароли посредством метода простого перебора с использованием словаря. Для его работы нужен только список хешей паролей, которые можно получить, в том числе из памяти. Компания предлагает загрузочную USB-память, с ее помощью можно собрать хеши паролей для дальнейшего аудита их на другой машине. Пользователи обычно выбирают простые запоминаемые пароли, и если оставить их без контроля, то через некоторое время может обнаружиться, что основная часть паролей состоит не более чем из семи символов, а ведь с современной техникой все такие пароли можно перебрать за полчаса. Для эффективной работы системы аутентификации необходимо периодически проверять, насколько сложно подобрать пароли пользователей.
Возможно, целесообразнее отказаться от парольной защиты и перейти на современные средства аутентификации, которые предполагают использование специальных устройств. Такие устройства вынуждено разрабатывать Российское государство, которому придется до второго квартала 2007 года ввести в строй систему выдачи электронных паспортов, а также других электронных документов. Сейчас разрабатывается единый стандарт паспортов с биометрическими данными человека, которые можно будет проверить на специально оборудованных терминалах. На эти нужды из российского бюджета будет выделено 14 млрд. руб. Сейчас уже построены пилотные зоны в Москве и Калининграде, где готовятся выдавать новые загранпаспорта. Эти устройства можно будет использовать и в корпоративных целях.
Во многих компаниях уже внедрена система аутентификации, которая применяется для физического доступа в помещения. Такие системы часто используют идентификационные карты, по которым охрана здания может установить личность человека. Теоретически эти же карточки можно применять и для организации доступа к информационной системе. В частности, такое решение под названием Protected Office предлагает российская компания «Астрософт». Эта разработка позволяет отслеживать ситуации, когда пользователь пытается подключиться к информационной системе, но еще не прошел в здание через систему контроля и управления доступом (СКУД). Понятно, что в этом случае доступ давать нельзя, даже если пользователь предоставил исчерпывающую аутентификационную информацию.
Причины атак
Организация Computer Security Institute провела опрос 639 компаний с целью проанализировать причины инцидентов с информационной безопасностью. Кроме вирусов, наиболее опасные последствия имеют несанкционированный доступ и кража конфиденциальной информации