Network World, США

Консорциум OATH предлагает открытый алгоритм аутентификации

Предприятия все чаще сталкиваются с необходимостью поддерживать обмен данными по сети таким образом, чтобы не допустить кражу этих данных или неавторизованный доступ к ним. Для того чтобы решить эту задачу, организации должны иметь возможность устанавливать идентичность удаленного субъекта с большой степенью уверенности. Консорциум Initiative for Open Authentication (OATH) разрабатывает технологию, которая позволит выполнять строгую аутентификацию всех пользователей на всех устройствах во всех сетях, — алгоритм поддержки однократных паролей.

Эталонная архитектура OATH формирует техническую платформу для открытой аутентификации и определяет планы организаций — членов OATH и их клиентов на пути создания общеотраслевого, всеобъемлющего стандарта. Описание архитектуры охватывает четыре основных направления: клиентская платформа, платформа проверки подлинности, выделение ресурсов клиентам и общая модель данных.

Одним из первых достижений консорциума стало создание открытого и бесплатного алгоритма поддержки однократных паролей HOTP (сокращение от HMAC OTP). Именно этот алгоритм OATH предлагает для создания параметров доступа One-Time Password (OTP). Он использует имеющиеся готовые компоненты, такие как Hashed Message Authentication Codekey (HMAC) и Secure Hash Algorithm-1 (SHA-1), и генерирует серию однократно используемых паролей на основе секретного ключа, которым обмениваются клиент и сервер. При создании этого алгоритма преследовалась также цель добиться возможности его использования в уже существующих устройствах, таких как SIM-карты, карты флэш-памяти и другие устройства, подключаемые по USB, и мобильные телефоны, в силу чего этот алгоритм ориентирован на события.

Важно отметить, что разработчики эталонной архитектуры OATH признают, что не существует универсальных решений, поэтому эта архитектура поддерживает дополнительные методы аутентификации, которые могут быть, а могут и не быть определены в OATH. Разработчики могут выбирать компоненты OATH, которые они хотят реализовать.

Для того чтобы сгенерировать значение OTP, удаленному субъекту нужен клиент, который реализует OATH HOTP. Можно реализовать клиент OTP, использующий исходный код, который предлагается в RFC 4226. С другой стороны, существуют устройства, выпускаемые несколькими производителями OATH — автономные аппаратные OTP-ключи, смарт-карты, флэш-память, SIM-карты и мобильные телефоны.

Для аутентификации сетевой объект должен послать приложению не только имя пользователя и пароль, но и OTP. Это позволяет выполнять аутентификацию по двум факторам (тому, что вы помните — пароль, и тому, что у вас есть — клиент HOTP). Поскольку OTP, как правило, представляет собой число из шести цифр, его можно посылать приложению, используя существующие методы и протоколы.

Наконец, приложению необходимо проверить имя пользователя и пароль, посланные удаленным субъектом, сравнив их с хранимой информацией о пользователе (как правило, размещенной в каталоге LDAP), и проверить значение OTP. Эталонная архитектура OATH поддерживает использование протокола RADIUS, широко применяемого в сетевых системах для проверки корректности OTP.

После того как приложение удостоверяется в подлинности параметров доступа пользователя с высокой степенью надежности (используя два фактора), удаленному субъекту будет предоставлен доступ к запрашиваемому ресурсу. Такой механизм позволяет эффективно предотвращать неавторизованный доступ к данным или кражу информации.

Подход OTP требует, чтобы пользователь каждый раз генерировал и использовал разные пароли. В силу этого невозможно подсмотреть или украсть пароль, а затем воспользоваться им для доступа.

OATH ставит своей целью помочь пользователям снизить затраты и упростить внедрение строгой аутентификации на предприятиях и в Internet. К участию в своей работе OATH активно приглашает всех, кто придерживается такой же точки зрения на открытую аутентификацию.