ћерион Ќетворкс

9 минут

Ѕольшинство приложений и веб-администраций привыкли к тому, то клиенты вспоминают и ввод€т свои пароли каждый раз при входе в систему. ѕомимо того, что это т€готит клиентов, такой подход представл€ет угрозу безопасности, так как клиенты часто выбирают ненадежные пароли и повторно используют из во многих других администраци€х. Ёти проблемы решаютс€ на основе проверки на основе токенов (или токенов).  ак насчет того, чтобы посмотреть, как это помогает?


ќпределение токена

ћы должны начать с точных значений Ђтокеновї, которые в основном представл€ют собой измененные формы паролей или выражений, которые используютс€ дл€ проверки символов.

 огда происход€т какие-то обмены данных в »нтернете, токены аутентификации €вл€ютс€ очень полезными инструментами дл€ демонстрации своей личности во врем€ входа в систему, обновлений, покупок и других процессов. »нтересным в токенах €вл€етс€ то, что они могут быть последовательными, как при входе в систему, или могут быть более Ђфиктивнымиї, требу€ Ђконтактаї (дополнительного подтверждени€ или физического присутстви€), чтобы гарантировать, что вы тот, за кого себ€ выдаете, и что вам действительно можно войти.

“окены более безопасны, так как они не должны содержать информацию о клиенте и создаютс€ путем вычислений или выполнени€ программы. Ёто существенно лучше в сравнении с тем, что некоторые организации используют индивидуальные данные клиентов в качестве своего регистрационного номера, что позвол€ет злоумышленникам без особых усилий использовать в своих цел€х еще больше пользователей.  лиенты, которые используют некоторые частные данные дл€ своих паролей, беспомощны против тех, кто без особых усилий нашел их, просматрива€ страницы в социальных сет€х этих клиентов.


јутентификаци€ на основе токенов

“окены можно использовать дл€ многофакторной аутентификации (MFA - multi-factor authentication) и серверных протоколов, которые соедин€ют приложени€, API и веб-сайты.


¬ажность аутентификации на основе токена

ќтойдите в сторону от технологий дл€ того, чтобы рассмотреть проблему, которую вы пытаетесь решить. ¬ы просите законных пользователей подтвердить свою личность, чтобы не пропустить злоумышленников в вашу сеть (где они могут украсть данные, установить программы-вымогатели и т.д.). “ак как токен основан на закрытом ключе устройства, то, когда мы используем токен из приложени€, такого как PingID, брелка или ключа, который мы подключаем к нашему компьютеру, мы предотвращаем вмешательство внешних субъектов. Ђ«ачемї заключаетс€ в том, чтобы выбрать решение дл€ аутентификации на основе токенов, которое провер€ет пользователей, не создава€ конфликтов и безвыходных положений. ѕользователи довольны, а данные в безопасности, когда процесс проходит гладко.


јутентификаци€ на основе токена в действии

 лиентам могут быть предоставлены токены подтверждени€ различными способами, включа€ токены на базе оборудовани€, одноразовые пароли (обычно предоставл€емые с помощью мобильных телефонов) и токены, созданные с помощью программировани€ на основе стандарта JWT.

¬се токены хран€т характеристики и информацию о клиенте в безопасном виде. — учетом такого бесчисленного количества правил защиты информации, имеющимис€ на сегодн€шний день, токен также может провер€ть, что информаци€ достоверна и не была изменена, что €вл€етс€ основным условием безопасности. ќни также расшир€ют возможности клиентов, позвол€€ им входить в систему, не запомина€ пароли.

ѕодтверждение на основе токена обычно происходит в четыре этапа:

  1. “ребование Ц клиент требует доступ к защищенному ресурсу, который его интересует.  лиент изначально должен как-то отличитьс€ без использовани€ токена, например, воспользовавшись именем пользовател€ или секретной фразой.
  2. ѕодтверждение Ц проверка гарантирует, что сертификаты клиента €вл€ютс€ действительными и что клиент имеет соответствующие полномочи€ в указанной инфраструктуре.
  3. “окены Ц токен выдаетс€ инфраструктурой и передаетс€ клиенту. Ётот процесс включает в себ€ предоставление токенов клиенту за счет токена оборудовани€. Ёто происходит Ђза кулисамиї при генерации токенов, так как взаимодействие клиента происходит с сервером.
  4. ќпределение Ц токен фактически хранитс€ у клиентов, будь то в их программе или на их мобильном телефоне. Ёто дает им возможность в будущем проходить проверку без использовани€ сертификатов.
јутентификаци€ на основе токена в действии

ѕреимущества и недостатки аутентификации на основе токена

” такой процедуры есть свои преимущества и недостатки, как и у любого другого подхода или метода.

ѕреимущества

  • Ёффективность. ѕрограммные токены более эффективны и универсальны, чем фактические “окены. —ервер может создавать и провер€ть сколько угодно токенов в зависимости от ситуации, что упрощает масштабирование количества клиентов, обращающихс€ к вашему сайту или веб-приложению. ќни также не предполагают, что организации будут предоставл€ть своим клиентам фактические токены.
  • јдаптивность. ѕрограммные токены €вл€ютс€ гибкими в том смысле, что они могут быть задействованы на нескольких серверах и одновременно провер€ть различные сайты и приложени€. ќни часто используютс€ дл€ реализации системы единого входа (SSO - single sign-on), что упрощает работу клиентов, а также повышает безопасность.
  • Ѕезопасность. “окены JWT не фиксирует свое текущее состо€ние и должны быть подтверждены, когда закрытый ключ получен приложением на стороне сервера, которое их создало. ѕоэтому они считаютс€ надежным и безопасным методом проверки.

Ќедостатки

  • —компрометированный секретный ключ. Ќаличие всего одного ключа €вл€етс€ существенным недостатком в стандарте JWT. ¬ случае, если за ключом, как предполагалось, не след€т проектировщики и администраторы сайта, и он вдруг перехватываетс€ злоумышленниками, то конфиденциальна€ информаци€ может быть раскрыта. Ёто может позволить злоумышленникам имитировать клиентов и перехватывать встречи с клиентами, что трудно определить и остановить.
  • —лужебна€ информаци€. JWT намного больше стандартного токена встреч и заполн€етс€ по мере добавлени€ дополнительной информации о клиенте. ƒобавление дополнительной информации к маркеру может увеличить врем€ загрузки страницы за счет увеличени€ времени, необходимого дл€ организации встречи с клиентом.
  • ƒолговременна€ аутентификаци€ не идеальна. —истемы, позвол€ющие клиентам оставатьс€ в системе в течение длительного периода времени, не очень хороши. Ёти токены требуют посто€нной повторной проверки, что может раздражать клиентов. ’орошей альтернативой в этом случае €вл€етс€ использование токенов обновлени€ и их правильное хранение.  лиенты могут использовать токены обновлени€, чтобы оставатьс€ в сети в течение более длительных периодов времени без необходимости повторного подтверждени€.
јутентификаци€ на основе токена

Ќасколько безопасна аутентификаци€ на основе токена?

“ак как киберпреступность не стоит на месте, а развиваетс€, то специалистам по управлению следует посто€нно обновл€ть свои стратегии и механизмы обеспечени€ безопасности. ”частись атаки с использованием фишинга, физических сил и слов-ссылок с целью получени€ доступа. “еперь пароли не подход€т дл€ подтверждени€.

ѕроверка на основе токенов, в сочетании с другими стратеги€ми проверки, может стать еще более сложным преп€тствием, которое не позволит даже опытным хакерам воспользоватьс€ взломанными парол€ми. “окены должны быть извлечены из устройства, которое их создало (например, мобильного телефона или генератора ключей), что делает их на сегодн€шний день исключительно хорошей стратегией подтверждени€.

’от€ этапы проверки токенов имеют массу преимуществ, обычно это очень затратный процесс. “окены, хран€щиес€ в сотовых телефонах, можно использовать, но они могут оказатьс€ бесполезными из-за каких-либо дефектов гаджета. “окены можно спокойно перехватить, если предположить, что они были отправлены через сообщение. «лоумышленник может получить токены, хран€щиес€ на устройстве, если оно было потер€но или украдено.

“ем не менее, стоит помнить, что нельз€ полагатьс€ на стратегию однократной проверки. ѕроверка токена должна использоватьс€ дл€ двухфакторного или многофакторного подтверждени€.


“ипы токенов

1. јппаратный ключ (токен) (USB-ключ)

“окены оборудовани€ Ц это реальные устройства, которые после утверждени€ позвол€ют клиентам получать доступ к защищенным сет€м. »наче их называют токенами проверки или безопасности. “окен оборудовани€ используетс€ дл€ добавлени€ дополнительного уровн€ безопасности посредством двухфакторной или многофакторной проверки (2FA или MFA). ¬ладелец такого токена подключает его к системе или администрации, которую будет использовать.

ƒл€ того, чтобы обеспечить превосходное обслуживание клиентов и возможность адаптироватьс€, токены оборудовани€ поставл€ютс€ различных форм и размеров. —амые известные токены Ц USB-ключи или удаленные токены.

2. JWT Ц JSON веб-токен

Ётот тип €вл€етс€ открытым стандартом дл€ обработки данных JSON (RFC 7519). ќн подразумевает определенную бесплатную методологию дл€ безопасной передачи данных между сторонами. ƒл€ передачи данных между сторонами стандарт JWT использует объекты JSON. Ёти токены можно использовать дл€ подтверждени€, а также дл€ перемещени€ дополнительных данных о клиенте или записи.

JWT могут быть отправлены в виде URL-адресов, ограничений POST или заголовков HTTP и могут быть быстро переданы ввиду их небольшого размера. „тобы избежать различных информационных индексных запросов, JWT содержит всю основную информацию о компоненте. „тобы подтвердить токен, получателю JWT не нужно обращатьс€ к серверу.

JWT состоит из трех частей:

  • «аголовок, содержащий информацию о типе токена и использованном методе шифровани€.
  • ѕолезна€ нагрузка, содержаща€ возможности подтверждени€ нар€ду с дополнительной информацией о клиенте или записи.
  • ќтпечаток, объедин€ющий криптографический ключ, который можно использовать дл€ подтверждени€ полезности полезной нагрузки.
јутентификаци€ на основе JWT

3. “окен одноразового парол€ (OTP - One-Time Password)

Ёто защищенное оборудование или программное устройство, которое генерирует одноразовые пароли. „аще всего используютс€ индивидуальные идентификационные номер (PIN), которые представл€ют собой числовые коды от 4 до 12 цифр.

ќдноразовые пароли в большинстве случаев создаютс€ и получаютс€ с помощью мобильных телефонов. ѕосле подтверждени€ владени€ телефоном клиент может использовать приложение-аутентификатор дл€ создани€ одноразовых паролей. ¬ этом случае телефон выступает в роли генератора кода. OTP также можно отправл€ть с устройства через SMS.

ќбъедин€€ созданные системы проверок, одноразовые пароли дополн€ют проверку пользователей и паролей. “окены OTP создают PIN-коды одновременно или нет, в зависимости от сервера.

ќдновременные токены создают одноразовый пароль, использу€ ваш закрытый ключ и текущее врем€, а то врем€ как неодновременный использует механизм аутентификации Ђзапрос-ответї (CRAM - Challenge Response Authentication Mechanism), набор соглашений, в которых сервер задает вопрос, а токендолжен дать правильный ответ.

4. “окен API

Ётот тип токена служит полезным идентификатором дл€ приложений, запрашивающих доступ к вашей администрации. ѕриложение в этот момент использует токен API, созданный вашей администрацией, чтобы запросить доступ к вашей администрации. “окен API сравниваетс€ с тем, который вы сохранили дл€ проверки и предоставлени€ доступа. ¬рем€ от времени можно использовать идентификатор сессии, но это отдельный случай.

“окен программного интерфейса станов€тс€ все более безопасным вариантом, в отличие от отправки набора имени пользовател€ и парол€ по HTTP. OAuth2 Ц это одно из наиболее широко используемых на сегодн€шний день соглашений о безопасности API.


—кидки 50% в Merion Academy

¬ыбрать курс