Основы персональной защиты в условиях кибервойны
Часть 1. Токенизация
В условиях кибервойны наше сообщество приняло решение об уделении особого внимания развитию знаний об ИБ среди непрофессионалов. В короткий период времени мы опубликуем несколько текстов, посвященных методам персональной ИБ. Например, часто бывает так, что один и тот же простейший пароль используется для различных сайтах. Только одна эта привычка может привести к печальным последствиям. Поэтому токенизация процессов должна стать первым шагом к персональной ИБ в условиях кибервойны.
Киберпреступления и новые схемы мошенничества сегодня в топе, а учитывая повсеместную цифровизацию, каждый может стать их жертвой. Мы уже неоднократно говорили о том, что нужно защищать себя самостоятельно. Если уж в случае обычного пользователя, который сёрфит интернет для развлечения, могут возникнуть угрозы, что и говорить о необходимости защиты данных при бизнес-процессах. Поэтому, конечно же, простую аутентификацию – то есть, процесс проверки пользователя, ответ на вопрос «это точно ты?» – лучше дополнить.
Что такое в принципе двойная аутентификация (2FA)?
Это усложнение доступа к данным. Вот есть у вас аккаунт на сайте, так вы настраиваете там 2FA: заходите с помощью логина/пароля, но дополнительно еще вводите код, который получили на привязанный к аккаунту телефон или почту. То есть, свою уникальность вы подтверждаете дважды.
Так вот, один из простых методов, когда все уже придумали за вас – аутентификация с помощью токенов. Грубо говоря, токен – это ваше удостоверение личности в виртуальном пространстве, местечко, где вы можете хранить ключи доступа.
Конечно, токены бывают разные. Это могут быть криптографические ключи, цифровая подпись или биометрические данные. Аппаратные токены и программные токены. Сегодня не будем особенно вдаваться в технические подробности, ненужные для стороннего пользователя, а постараемся ответить на вопрос: аппаратный токен или программный выбрать.
Разница в месте хранения и формате.
Аппаратный токен – это физический объект, небольшое устройство (выглядит как флешка или брелок), где находится сгенерированный ключ доступа.
Программный же токен – это небольшой алгоритм, программа, записанная куда-либо. Сгенерированный код может быть привязан к сеансу работы, клиенту.
Допустим, вы установили программу-токен. Алгоритм генерирует одноразовый пароль, подходящий только для конкретного пользователя, а если хотите, и времени использования.
И в том, и в другом случае токен – это лишь место нахождения дополнительного кода, сверившись с которым, система вас авторизует. Разница лишь в том, что у аппаратного есть осязаемая физическая оболочка, а программный находится внутри какого-либо устройства.
Если аппаратный чаще выглядит как флешка, программный же может находиться на смартфоне или другом устройстве (допустим, смарт-часы).
Ну и соответствующие характеристики к каждому виду токена прилагаются.
Скажем, программный формируется в считанные секунды, внутри смартфона памяти занимает не много (около 0,5 мб), и полностью отвечает современному стилю жизни, когда все твое при тебе, и очень многое из этого – в мобильном устройстве. Это очень удобно. К тому же, он обычно более чувствителен к настройкам: можно выбрать длину пароля и алгоритм генерации. Да и доступен он каждому: это обычное приложение, которое бесплатно скачивается на устройство. К сожалению, некоторые черты могут быть и недостатком: программный токен внутри устройства, внутри системы, и отсюда все вытекающие: его могут перехватить во время генерации, а устройство не защищено от внешних воздействий (про вирусы не забывайте, например).
Но вот аппаратному токену такое точно не грозит. Исходя из того, что злоумышленнику нужно изъять именно устройство, чтобы добыть данные, можно заявить, что такой формат безопаснее. Дополнительно токен можно запрограммировать на очистку памяти в случае покушения на содержимое. Можно сказать, что прошлый век – носить устройство с собой, когда все есть в телефоне, но можно рассматривать его как аксессуар. На замечание, что такой токен легко потерять, можно парировать – ну а смартфон не физический объект, который вам придется таскать с собой, но рисков будет больше? В общем, как посмотреть. Да, за аппаратный придется заплатить, но есть за что.
Программный, в отличие от аппаратного, гибче в применении: нужен новый код – его легко снова сгенерировать. С аппаратным так не прокатит.
Все же, в первую очередь нужно понять, зачем и почему вам нужен токен и, исходя из этого, определиться.
Допустим, у вас сотрудники на аутсорсе. Для каждого из них можно сгенерировать ключ, благодаря программному токену. А при прекращении сотрудничества такой ключ легко сделать недействительным – в отличие от аппаратного.
Но так бывает, что нужна двойная аутентификация там, где использование смартфонов ограничено, или организовать работу в специфические условиях – на промышленном объекте. Или, скажем, выиграли вы президентский грант, так доступ к счету будет по аппаратному токену, скорее всего. А если вы знакомы с банковской сферой, то хорошо знаете, что служба безопасности там зачастую ограничивает использование смартфонов.
В общем, для каждой задачи свой метод защиты. И оба по-своему хороши. В любом случае, стать частью токенизации России уже очевидная необходимость, нежели вопрос желания. В следующей части мы расскажем других стратегиях персональной ИБ в условиях кибервойны.