Безопасность IIS

       

Аппаратные средства аутентификации


Иногда требуется ограничить доступ к областям веб-сайта или точно идентифицировать пользователя перед предоставлением ему важной информации. Это осуществляется указанием имени и пароля, соответствующих учетной записи в базе данных или в Active Directory, если сервер является частью домена Windows. Эти меры безопасности являются достаточными, если содержимое, к которому осуществляется аутентифицируемый доступ, не имеет особой важности, но что если пользователь захочет попасть в папку с котировками ценных бумаг или медицинской информацией? Парольную защиту принято считать слабой вследствие того, что пользователи могут обмениваться паролями и не соблюдать их секретность. Реализация удаленной аутентификации не обеспечивает должной уверенности в правильности идентификации пользователей и их прав доступа. Более основательная система аутентификации пользователей, запрашивающих данные с сервера, должна быть, по крайней мере, двухфакторной.

Под двухфакторной аутентификацией подразумевается комбинация любых двух элементов, перечисленных ниже:

  • то, что вы знаете: имя пользователя, пароль или PIN;
  • то, чем вы владеете: маркер доступа, карта или ключ;
  • то, что подтверждает вашу личность: отпечаток пальца или подпись.

Применение двухфакторной аутентификации к сотрудникам, осуществляющим доступ к важной информации, например, к разработчикам, является еще одной мерой безопасности. В то время как биометрические методы идентификации (отпечатки пальцев и сканирование сетчатки глаза) по-прежнему остаются относительно дорогими, применение интеллектуальных устройств, таких как смарт-карты или USB-устройства, на сегодняшний день является выгодным решением с точки зрения цены, которое обеспечивает и высокий уровень аутентификации пользователей. Пользователь должен не только знать PIN для получения доступа к аутентификационным данным, хранимым на устройстве, но и иметь устройство аутентификации при себе. Большая часть устройств хранит цифровые сертификаты и открытые/секретные ключи для использования в инфраструктуре PKI или, как в случае с iKey, обеспечивает использование менее дорогого, но эффективного вида аутентификации пользователей. Как правило, ключи пользователей хранятся на жестком диске их компьютеров, что сразу же снижает уровень безопасности всей системы; сохраняя ключи на интеллектуальном устройстве, вы повышаете общий уровень безопасности и качество процесса аутентификации.



Содержание раздела