Как выбрать стратегию аутентификации для информационных сервисов компании?
При выборе стратегии, следует представлять принципиальные различия технологий и их реализаций в плане адекватности решаемой задачи. Введя три основных критерия, которые позволяют различать технологии аутентификации - уровень безопасности, удобство использования и стоимостные параметры, можно рассмотреть "треугольник" технологий аутентификации:
Видно, что нет одновременно бесплатных, прозрачных для пользователя и абсолютно надежных технологий. Каждая занимает свое место на диаграмме.
Пароль
Наиболее распространенный способ и при этом весьма неудобный, так как требует запоминания или записи на бумагу. Стоимость реализации паролей низкая, но поддержка большого количества пользователей, требует высоких расходов на администрирование.
Идеальное применение: ограничение доступа к бесплатным сервисам.
Более высокую степень защищенности предоставляют двухфакторные (многофакторные) технологии аутентификации. Наличие двух факторов подразумевает что-то известное пользователю и что-то принадлежащее пользователю.
SecurID
Технология одноразовых паролей. Текущее значение части пароля вырабатывается с помощью специального алгоритма на небольшом брелке, карманном компьютере или мобильном телефоне. При аутентификации пользователь вводит значение на токене и свой PIN.
Идеальное применение: удаленный доступ к сервисам приложений, VPN или Web-порталу.
Mobile ID
Технология, реализующая схему Secure ID, но использующая доставку пароля в реальном времени по каналу мобильной связи, например SMS. Самый удобный способ, но зависящий от зоны покрытия.
Идеальное применение: удаленный доступ на портал, ресурсы торговых площадок, банковским аккаунтам.
Smart ID
Аутентификация с помощью смарткарты или USB-токена. Механизм основан на криптографии с открытыми ключами. Надежный и удобный способ. Но требует разворачивания инфраструктуры открытых ключей.
Идеальное применение: подпись и шифрование почты, защищенный документооборот, корпоративный Single-Sign-On или VPN доступ.
Биометрия
В качестве дополнительного фактора используется отпечаток пальца или сканирование радужной оболочки глаза. Самая дорогая технология.
Идеальное применение: вход на особо критичные ресурсы в сочетании с другими двумя факторами.
Представленные диаграммы дают лишь общую картину применимости. Для того чтобы более точно сравнить однофакторные и двухфакторные средства аутентификации, нужно ввести качественные критерии оценки, отражающие требования руководства (минимум издержек), корпоративные требования по безопасности и пожелания пользователей.
Методика выбора технологии
Количественной оценке можно подвергнуть каждую технологию аутентификации, если зафиксировать критерии.
Общая стоимость владения складывается из стоимости приобретения и внедрения, а также последующей поддержки инфраструктуры.
Корпоративные требования по безопасности складываются из требований к строгости аутентификации, возможности интеграции с существующими приложениями, надежности средства в перспективе ближайших лет и возможности использования в других приложениях в будущем.
Непосредственные пользователи системы заинтересованы в простоте и универсальности используемого средства.
Каждому средству аутентификации по каждому из критериев поставлены очки по шкале от 0 до 10 (например, более низкой стоимости соответствуют более высокие очки). Для выбора средства аутентификации остается лишь расставить приоритеты для каждого из критериев.
Расстановку весовых коэффициентов должны сделать руководители информационных служб компаний.
В качестве примера приведем таблицу с весовыми коэффициентами и очками, полученными различными средствами аутентификации. Лидирующие позиции занимают одноразовые пароли (на аппаратных токенах) и сертификаты открытых ключей (на USB токенах).