Управление токеном на экране входа что это
Перейти к содержимому

Управление токеном на экране входа что это

  • автор:

Что такое двухфакторная аутентификация?

Двухфакторная аутентификация (2FA) — это метод аутентификации, требующий от пользователя предоставить ровно два фактора проверки для получения доступа к веб-сайту, приложению или ресурсу. Двухфакторная аутентификация — это подмножество многофакторной аутентификации, которое требует по меньшей мере двух форм аутентификации. Организации используют двухфакторную аутентификацию для добавления дополнительного уровня защиты от распространенных схем атак, таких как фишинг, социальная инженерия и атаки методом подбора пароля.

Зачем нужна двухфакторная аутентификация?

В наши дни утечка данных является более распространенным явлением, и она оказывает тревожное воздействие на бизнес во всем мире, нанося ущерб на сумму более 2 триллионов долл. США в год. В ходе работы организаций над защитой цифровой инфраструктуры и активов становится очевидно, что однофакторной аутентификации (и особенно аутентификации на основе пароля) далеко не достаточно. Пароли легко взломать, особенно из-за плохой гигиены паролей, а также потому, что они редко меняются, используются в разных учетных записях, часто используются совместно и нередко хранятся в незащищенном месте.

Сегодня в работе почти каждого предприятия возникает необходимость добавить второй фактор для аутентификации пользователей.

От каких угроз защищает двухфакторная аутентификация?

Двухфакторная аутентификация обеспечивает дополнительный уровень защиты от многих наиболее распространенных типов киберугроз, в том числе перечисленных ниже.

  • Украденные пароли. Как упоминалось выше, плохая гигиена паролей позволяет легко красть пароли. В системе двухфакторной аутентификации одного лишь украденного пароля еще недостаточно для взлома учетной записи.
  • Атаки методом подбора (взлом пароля). Вычислительные мощности становятся все более доступными, и хакеры их используют для случайной генерации паролей до тех пор, пока они не взломают код. Однако взлом второго фактора таким же способом невозможен.
  • Фишинг. Фишинг остается одним из наиболее распространенных и эффективных способов кражи учетных данных пользователей. Двухфакторная аутентификация защищает от несанкционированного доступа в случае кражи имени пользователя и пароля путем фишинговой атаки.
  • Социальная инженерия. Умные хакеры все чаще используют социальные сети для совершения атак, обманом заставляя пользователей добровольно предоставить свои учетные данные. Но без второго фактора хакер не сможет получить доступ к учетной записи.

Как работает двухфакторная аутентификация

Базовый процесс входа с помощью двухфакторной аутентификации уже знаком почти всем. Конкретные шаги отличаются в зависимости от используемых факторов, однако суть процесса заключается в следующем:

  1. Приложение или веб-сайт предлагает пользователю войти в систему.
  2. Пользователь предъявляет первый фактор. Этот первый фактор почти всегда является тем, что пользователь «знает», например сочетанием его имени и пароля или одноразовым паролем, сгенерированным аппаратным токеном или приложением для смартфона.
  3. Сайт или приложение проверяет первый фактор, а затем предлагает пользователю предъявить второй фактор. Этот второй фактор обычно является тем, что пользователь «имеет», например маркером безопасности, идентификационной картой, приложением для смартфона и т. д.
  4. После того как сайт или приложение подтвердит второй фактор, пользователю будет предоставлен доступ.

Какие бывают примеры двухфакторной аутентификации?

Аутентификаторы и токены аутентификации делятся на четыре основные категории: то, что у вас есть; то, что вы знаете; то, кем вы являетесь; то, где вы находитесь.

  • То, что у вас есть. Карта физического доступа, смартфон или другое устройство, цифровой сертификат.
  • То, что вы знаете. PIN-код или пароль.
  • То, кем вы являетесь. Биометрические данные, например отпечатки пальцев или снимки сетчатки.

Классическое сочетание имени пользователя и пароля формально является рудиментарной формой двухфакторной аутентификации. Но поскольку имя пользователя и пароль попадают в категорию «то, что вы знаете», это сочетание легче скомпрометировать.

История аутентификаторов и факторов

Аппаратные токены

Аппаратные токены — это небольшие физические устройства, которые пользователи предъявляют для получения доступа к ресурсу. Аппаратные токены могут быть подключенными (например, USB, смарт-карта, брелоки одноразовых паролей) или бесконтактными (например, токены Bluetooth). Эти токены пользователь носит с собой. В самой первой версии современной двухфакторной аутентификации, введенной в 1993 году RSA, использовалось портативное устройство с крошечным экраном, где отображались случайно сгенерированные числа, которые сопоставлялись с алгоритмом для подтверждения личности держателя устройства. Аппаратные токены также могут быть утеряны или украдены.

Токены на основе SMS

С распространением мобильных телефонов широкую популярность быстро получила двухфакторная аутентификация на основе SMS-сообщений. Пользователь вводит имя, а затем получает одноразовый пароль (OTP) в SMS (текстовом сообщении). В похожем варианте для предоставления одноразового пароля используется голосовой вызов на сотовый телефон. В обоих случаях передачу одноразового пароля относительно легко взломать, из-за чего такая форма двухфакторной аутентификации считается не самой надежной.

Токены на основе приложений

С появлением смартфонов и других умных мобильных устройств широкую популярность получила двухфакторная аутентификация на основе приложений. Пользователи устанавливают приложение на свое устройство (также его можно использовать на компьютере). При входе в систему приложение предоставляет «программный токен», например одноразовый пароль, который отображается на устройстве и должен быть введен на экране входа в систему. Поскольку программный токен генерируется приложением на устройстве, это исключает риск перехвата одноразового пароля или программного токена при передаче.

Push-уведомления

В методе двухфакторной аутентификации через push-уведомление — возможно, самом простом и удобном — пользователя не просят ввести программный токен. Вместо этого сайт или приложение напрямую отправляет push-уведомление на мобильное устройство пользователя. Уведомление оповещает пользователя о попытке аутентификации и просит пользователя подтвердить или отклонить доступ одним щелчком мыши или касанием. Этот метод двухфакторной аутентификации очень безопасен и чрезвычайно удобен, но он зависит от подключения к Интернету.

Беспарольные аутентификаторы

Сейчас появились новые типы доступных аутентификаторов, в том числе беспарольных, например с использованием токенов FIDO, биометрических систем и цифровых учетных данных на основе PKI для аутентификации.

2FA в сравнении с MFA: в чем разница?

При двухфакторной аутентификации (2FA) пользователь должен предъявить аутентификаторы двух типов, а при многофакторной аутентификации (MFA) — аутентификаторы не менее чем двух типов. Это означает, что все системы двухфакторной аутентификации являются системами многофакторной аутентификации, но не все системы многофакторной аутентификации являются системами двухфакторной аутентификации. Для многофакторной аутентификации может потребоваться любая комбинация аутентификаторов и токенов аутентификации, чтобы получить доступ к ресурсу, приложению или веб-сайту, тогда как в случае с двухфакторной аутентификацией для доступа к ресурсу требуется только два предопределенных аутентификатора. В зависимости от потребностей организации двухфакторная аутентификация может стать тем решением, которое позволит обеспечить повышенный уровень безопасности и одновременно беспрепятственный доступ для конечных пользователей.

Как выбрать правильные факторы для двухфакторной аутентификации

Различные типы факторов, которые могут использоваться для двухфакторной аутентификации, обсуждаются выше. Но каждый тип аутентификатора включает в себя целый ряд различных вариантов, и при этом постоянно выходят новые технологии. Как выбрать факторы, которые следует использовать для протокола двухфакторной аутентификации? Далее приводится несколько вопросов, которые помогут выбрать правильный вариант.

  • Вы хотите, чтобы аутентификация была прозрачной для пользователя?
  • Вы хотите, чтобы пользователь носил физическое устройство или проходил аутентификацию онлайн?
  • Вы хотите, чтобы веб-сайт также проходил аутентификацию для пользователя?
  • Насколько конфиденциальной является информация, которую вы защищаете, и каков связанный с этим риск?
  • Является ли физический доступ к офисам, лабораториям или другим помещениям (связь с ними) одним из требований пользователей?

Entrust предоставляет экспертные рекомендации для повышения уровня безопасности с помощью высоконадежной многофакторной аутентификации. Мы поддерживаем самый широкий спектр аутентификаторов безопасности 2FA, давая возможность выбрать оптимальный вариант, соответствующий вашим требованиям и задачам с точки зрения безопасности. Что еще более важно, Entrust может предоставить экспертные консультации, чтобы помочь выбрать правильные варианты и упростить переход на высоконадежную двухфакторную аутентификацию.

Варианты использования двухфакторной аутентификации

Двухфакторная аутентификация является наиболее распространенной формой многофакторной аутентификации, что делает ее идеальным выбором для использования в тех случаях, когда доступ к данным необходим множеству людей. Например, в медицинских приложениях обычно используется двухфакторная аутентификация, поскольку она позволяет врачам и другому лечащему персоналу по требованию получать доступ к конфиденциальным данным пациентов, часто с личных устройств.

Аналогично банковские и финансовые приложения с двухфакторной аутентификацией могут помочь защитить данные счета от фишинговых атак и социальной инженерии, обеспечив потребителям возможность пользоваться услугами мобильного банкинга.

Отрасли, где находит применение двухфакторная аутентификация:

  • Здравоохранение
  • Банковское дело.
  • Решения для розничной торговли.
  • Высшее образование.
  • Социальные сети.
  • Государственные и федеральные учреждения.

Каковы угрозы и риски двухфакторной аутентификации?

Есть несколько способов, которыми хакеры могут попытаться взломать системы много- и двухфакторной аутентификации. Они перечислены ниже.

  • Социальная инженерия. Хакеры, занимающиеся социальной инженерией, выдают себя за законное лицо, которое запрашивает информацию, позволяющую установить личность.
  • Технические атаки. К числу технических атак относятся вредоносные и троянские программы.
  • Физическая кража. Злоумышленник, который физически завладел смартфоном или другим мобильным устройством, может представлять угрозу для двухфакторной аутентификации.
  • Взлом через восстановление учетной записи. Поскольку сброс пароля часто происходит в обход двухфакторной аутентификации, хакеры иногда могут взломать такую систему лишь с помощью имени пользователя.

Достаточно ли безопасна двухфакторная аутентификация?

Двухфакторная аутентификация обеспечивает намного более высокий уровень защиты по сравнению с однофакторной аутентификацией, особенно традиционной аутентификацией на основе пароля со всеми ее недостатками, обусловленными человеческим фактором. Она достаточно безопасна, но сегодня именно многофакторная аутентификация (MFA) считается фактическим стандартном аутентификации пользователей. Нормативно-правовые требования, например стандарт безопасности данных индустрии платежных карт (PCI DSS), также заменили двухфакторную аутентификацию на многофакторную, и правительственные органы делают многофакторную аутентификацию обязательной во всех федеральных учреждениях. Многофакторная аутентификация дает возможность добавлять больше форм-факторов (не паролей) для повышения безопасности. Использование биометрических данных для аутентификации пользователя в сочетании с верификацией устройства и добавлением контекстных элементов управления, основанных на рисках, позволяет оценить степень риска пользователя и устройства перед предоставлением доступа. Многофакторная аутентификация с использованием средств беспарольного доступа и адаптивной аутентификации на основе рисков — это верный шаг на пути к повышению безопасности.

Каковы наиболее распространенные аутентификаторы, или токены аутентификации?

  • Прозрачный метод аутентификации
  • Аутентификация физическим форм-фактором
  • Аутентификация нефизическим форм-фактором

Прозрачные аутентификаторы, проверяющие пользователей без их повседневного участия.

  • Цифровые сертификаты
  • IP-геолокация
  • Аутентификация устройств

Материальные устройства, которые пользователи носят с собой и используют при аутентификации.

  • Токены с одноразовым паролем (OTP)
  • Карта с дисплеем
  • Матричная аутентификация
  • Список одноразовых секретных кодов
  • Биометрические данные

Способы проверки личности пользователя без необходимости носить с собой дополнительное физическое устройство.

  • Аутентификация на основе знания
  • Аутентификация по внешнему каналу
  • Интеллектуальные учетные данные для мобильной аутентификации
  • Программные SMS-токены

Управление токенами в консоли auth.as

Обращаем ваше внимание, что мы постоянно улучшаем пользовательский интерфейс и если вы видите некие нестыковки описания с системой, вероятнее всего у вас устаревшая документация, скачайте последнюю версию!

Токен — физическое устройство или мобильное приложение для платформы Android и iOS для создания одноразового пароля, используемого как второй фактор при входе в систему (это может быть веб-приложение, Citrix-сервер, Виртуальный десктоп, VPN сервис, что угодно).

В сервисе auth.as нет разницы между типами физических устройств (форм-факторов) и мобильных приложениях. Различия только в используемых алгоритмах: EventBased или TimeBased.

Интерфейс токенов

Для доступа к интерфейсу управления токенами необходимо выбрать пункт “Устройства” в разделе “Управление” главного меню сервиса:

После этого отобразится табличное представление со списком доступных токенов вашего домена (или выбранного домена в случае использования учётной записи с ролью “Администратор компании”):

Создание нового токена

В сервисе auth.as поддерживаются два типа токенов: физические и мобильные.

  • Физические токены представляют собой устройства, выполненные в разных форм-факторах. Это могут быть брелоки, пластиковые карты или другие варианты. Нами поддерживаются физические токены только с EventBased-алгоритмом. На сегодняшний день это генераторы производства Safenet и HID.
  • Мобильные токены — это приложения нашего сервиса для двух платформ: Android и iOS с возможностью установки их через AppStore и Google Play или через внутренний корпоративный магазин приложений. Наши мобильные приложения поддерживают оба алгоритма: EventBased и TimeBased.

Выбор алгоритма осуществляется в момент создания мобильного устройства:

  • Ссылка на мобильное приложение для Android 4.x: https://play.google.com/store/apps/details?id=com.rcntec.android.auth_as.app
  • Ссылка на мобильное приложение для iOS (iPhone, iPad, iPod Touch): https://itunes.apple.com/ru/app/auth.as-token/id946496202?mt=8

Для перехода в интерфейс создания нового токена необходимо воспользоваться кнопкой “Добавить устройство” и в ниспадающем меню выбрать нужный тип токена. Давайте рассмотрим оба случая.

Создание физического токена

В представленном на изображении интерфейсе вам надо будет заполнить минимальный набор параметров для создания физического токена. Давайте их разберём.

  • Поле “Домен” Доступно только для пользователя с роль “Администратор компании”.
  • Поле “Заводской номер (seed)” Уникальный идентификатор токена. Для физического токена присваивается на производстве и должен быть передан вам во время приобретения устройства. Вводится в шестнадцатеричном формате, например: “DEADBEEF”.
  • Поле “Серийный номер” Описание токена на английском языке. Можно указать фамилию пользователя или любые другие идентификационные данные. Используется для поиска по токенам в интерфейсе создания пользователя.
  • Поле “Назначить токен пользователю” Открывает дополнительные поля для выбора существующего пользователя.

В верхнее поле необходимо ввести часть имени пользователя и по этим введённым данным сработает автоматическое заполнение с выбором из существующих пользователей:

Если у введённого вами пользователя уже имеется токен, в интерфейсе поиска это будет представлено следующим образом:

Screen Shot 2015-06-23 at 17.16.54.png

После выбора пользователя вам необходимо будет взять физический токен и два раза последовательно создать для него пароли (нажатием на соответствующую кнопку на устройстве), которые вам нужно будет ввести в эти текстовые поля:

Сервис автоматически рассчитает текущее значение счётчика по введённым кодам и обновит информацию в базе данных токена.

Для чего необходимо рассчитывать значение счётчика? Это значение необходимо для успешного входа пользователя. Алгоритм EventBased напрямую завязан на внутренний счётчик (число) внутри вашего физического устройства, поэтому случайные несколько нажатий на кнопку создания пароля может повлечь собой рассинхронизацию счётчика с auth.as. Настоятельно рекомендуем донести до владельцев физических токенов информацию, что многократное использование устройства без входов в веб-интерфейс или любое связанное с нашим сервисом приложение делает невозможным дальнейший вход. Для нивелирования подобных проблем, при использовании физических генераторов, мы вычисляем 10 последовательностей вперед, для Вашего токена, от известной нашему сервису, и если одна из 10 совпадает с введенной, считаем что пароль введен верно и используем далее уже новую введенную как текущую.

Если вы введёте некорректные значения двух кодов или введёте их не в той последовательности, сервис уведомит вас об этом:

После успешного добавления токена пользователю ему автоматически будет направлено электронное сообщение с информацией о назначенном токене.

Создание мобильного токена

Создание мобильного токена с алгоритмом EventBased практически не отличается от рассмотренного выше способа за исключением одной особенности: не нужно вводить два последовательных кода. Они автоматически будут импортированы в приложение. Поэтому давайте рассмотрим создание мобильного токена с TimeBased-алгоритмом.

В табличном представлении токенов вашего домена воспользуйтесь кнопкой “Добавить устройство” и выберите в нём пункт “Мобильное”. На экране отобразится похожая форма из предыдущего раздела этой инструкции:

Аналогично и предыдущему пункту выбор домена будет доступен только для пользователей с ролью “Администратор компании”.

  • Поле “Алгоритм” Используется для выбора между двумя типами алгоритмов: EventBased и TimeBased.По-умолчанию предлагается TimeBased, как наиболее удобный для мобильных устройств. При использовании TimeBased-токенов, ключевым фактором является текущее время на мобильном устройстве — оно автоматически синхронизируется приложением через Интернет, таким образом приложение и сервис используют одинаковое время. Обратите внимание: В случае если интернет на мобильном устройстве не доступен, возможны проблемы при несовпадении времени сервиса и устройства более чем на 25-30 секунд. Обращаем ваше внимание: приложение “auth.as: token” не вносит изменения в работу вашей операционной системы. И, тем более, мы не изменяем настройки синхронизации времени.
  • Как вы могли уже обратить внимание, при создании мобильного токена мы не запрашиваем ввод поля “Заводской номер (seed)”, т.к. его попросту не может быть у виртуального устройства. Вместо этого мы автоматически создаём этот уникальный код и сохраняем вместе с устройством. Seed используется для расчёта пароля.
  • Поле “Блокировать код после использования” Это поле мы уже рассматривали в инструкции по добавлению пользователей, здесь оно работает идентично, позволяя указать данную опцию на любом из этапов создания токена или пользователя. Суть опции простая: алгоритм TimeBased работает таким образом, что создаваемый пароль действует до 30 секунд. Если после успешного использования этого пароля кто-то случайно или намеренно перехватит (или подсмотрит) его, наш сервис не пропустит повторную попытку входа с этим паролем и не истёкшим сроком действия. Чтобы такого не случилось, мы добавили дополнительную опцию в настройки мобильного токена, которая после успешного входа с паролем EventBased-токена блокирует его до истечения срока его действия. Это дополнительно защищает вашу учётную запись.
  • Поле “Серийный номер” Вводите сюда нужную вам информацию об этом токене.
  • Поле “Логин пользователя” Используется для “привязки” мобильного токена пользователю. В отличие от физического токена (который можно создать и сохранить в базу данных без привязки к пользователю), мобильный токен нельзя создать “на будущее”.

После создания мобильного токена и “привязки” его к пользователю на электронную почту (из профиля пользователя) будет направлено письмо с информацией и всеми необходимыми ссылками. В письме содержится ссылка на веб-страницу на которой содержится QR-код который используется для удобного импорта настроек токена в мобильное приложение. Данная страница содержит в себе данные, которые, в случае несанкционированного доступа к ним, позволят обойти второй фактор аутентификации — cообщите пользователю, чтобы не передавал никому это письмо и ссылку на эту страницу. Со своей стороны мы сделали чтобы страница была доступна один раз и только 10 минут (этого времени должно хватить на установку приложения и импорт настроек через QR-код), после просмотра или доступа к ней придётся запрашивать доступ к ней по новой, через веб-интерфейс auth.as.

Сайт Auth.as использует «cookies» для обеспечения работоспособности и наилучшей функциональности. Находясь на этом сайте, Вы выражаете свое согласие с Политикой Конфиденциальности и Политикой Cookies.

Токены ЭЦП

Токен — общее название носителя ключей для электронной цифровой подписи, которая необходима для подтверждения юридической значимости документа, его неизменности в дальнейшем. На практике его часто называют носителем ЭЦП, аппаратным либо программным ключом.

Визуально он обычно представляет собой флешку, особенность которой — в наличии защищенной карты памяти объемом в пределах 128 кб. Последняя выступает в качестве элемента двухфакторной аутентификации пользователя, когда, кроме пароля, пользователю необходимо подключить и физически сам токен. Использование двухфакторной аутентификации сегодня считается значительно надежнее, чем традиционная пара логин/пароль, с точки зрения обеспечения надежности и сложности взлома.

Разновидности носителей электронной подписи

Сегодня в России сертифицировано для использования в качестве носителей ЭЦП несколько наименований токенов (ниже будут рассмотрены все виды отдельно и более подробно):

  • Рутокен;
  • E-токен;
  • JaCarta LT;
  • Esmart USB;
  • ключевой носитель R301 Форос;
  • JaCarta-2 SE.

Носители ЭЦП Рутокен

Носители ЭЦП Джакарта

Семейства носителей ЭЦП – Рутокен

«Рутокен» — торговый бренд российского разработчика «Актив», занимающегося разработкой и производством продуктов в области защиты информации. Токены компании имеют, в зависимости от типа, сертификаты ФСТЭК и ФСБ, что подтверждает безопасность и соответствие криптографических алгоритмов требованиям стандартов в сфере безопасности. Сейчас в линейку продуктов «Рутокен» входит большой перечень вариантов для решения задач по идентификации владельцев для использования в системах оборота документации, безопасности, контроля доступа.

К основным моделям «Рутокен» сегодня относятся

Универсальное решение для хранения ключей и сертификатов для ЭЦП без права их последующего экспорта на другие носители в системах клиент-банк. Устройство оказалось первым в России, которое получило сертификат ФСБ на соответствие обновленным стандартам в сфере криптографической безопасности. Особенность продукта — в отсутствии необходимости устанавливать дополнительно криптопровайдер и специальные драйверы при использовании современных операционных систем.

Решение рассчитано на использование в корпоративных сетях государственных организаций и учреждений, благодаря наличию криптографических алгоритмов, соответствующих требованиям регулирующих органов.

Особенность устройства — в возможности заверения ЭЦП документов на девайсах под управлением операционных систем на мобильных устройствах iOS, Android за счет подключения через Bluetooth, HID-устройства или разъем micro-USB.

Решение позволяет перед подписанием документа ЭЦП визуализировать его на экране монитора, а также имеет дополнительную защиту от фишинга, атак с подменой страницы непосредственно при подписи.

Токен позволяет подписывать документы ЭЦП, дополнительной опцией устройства стало наличие Flash-памяти объемом до 64 ГБ, наличие сертификата ФСБ о соответствии всем требованиям класса КС2.

Универсальное решение для хранения ключей для ЭЦП, паролей, иных данных. Токен представляет облегченную версию, поэтому для корректной работы дополнительно необходим криптопровайдер и комплект драйверов. Последние можно скачать с официального сайта или получить в удостоверяющем центре при получении подписи.

Могут быть использованы одновременно для хранения ключей ЭЦП и аутентификации владельца устройства в системах удаленного доступа.

Дополнительно компания «Актив» предлагает токены для безопасного доступа и создания VPN-каналов для защищенной от посторонних действий работы с программами 1С, корпоративной почтой, удаленными файлами. Отдельную группу продуктов составляют решения для безопасной двухфакторной аутентификации на различных Web- и Saas-сервисах. Реализовано это на базе как токенов, так и специальных плагинов для совершения электронной подписи.

Носитель электронной подписи eToken

«Е-токен» — мировой бренд, принадлежащий компании Thales/Gemalto, специализирующейся в том числе на разработке и производстве решений для персональных средств аутентификации. Продукты компании сегодня имеют сертификаты ФСТЭК и ФСБ, что позволяет их использовать для хранения ЭЦП любого типа и применять для подписи отчетов, ведения переписки, участия в тендерах и для других целей.

Особенность токенов — в широком выборе форм-факторов, где пользователю предоставлен выбор между классическими вариантами в виде USB-накопителей, а также смарт-картами, ОТР-токенами, виртуальными эмуляторами смарт-карт.

Носитель электронной подписи JaCarta

Для повышения безопасности имеются ключи с генераторами одноразовых паролей.

Токен в корпусе USB, который может быть использован для хранения контейнеров для всех популярных поставщиков криптографического ПО («КриптоПРО», VipNet и другие). Решение можно использовать для хранения ЭЦП, средств доступа к программному обеспечению иных разработчиков. Дополнительной особенностью токена стало наличие запоминающегося стильного дизайна в форме навесного замка. Также доступен форм-фактор в виде смарт-карты, что упрощает интеграцию решения в системы контроля доступа на режимных объектах.

Это сертифицированная ФСБ и ФСТЭК USB флешка для ключа эцп, предназначенная для работы в ЕГАИС. Преимущества носителя: прочный корпус, защита от статического электричества, комфортное использование за счет небольшого выступания корпуса из компьютера.

JaCarta-2 SE было представлено компанией «Алладин» на профильной выставке в 2017 году. Визуально токен имеет, в зависимости от исполнения, вид смарт-карты, USB-накопителя, которые выполнены в классическом для компании черном цвете с оранжевой каймой. Сегодня решение сертифицировано по последним требованиям ФСБ, что подтверждает высокую степень криптографической безопасности и наличие полного набора функций. Среди особенностей и дополнений, внедренных при разработке JaCarta-2 SE, отметим:

  • наличие защиты от взлома и клонирования, которое охватывает весь перечень известных типов атак со стороны злоумышленников;
  • возможность создания дополнительного PIN-кода, который можно задать отдельно и использовать в качестве еще одной опции для повышения безопасности при вводе обычного пользовательского пароля токена;
  • внедрение защиты от атак на PIN-код и полного блокирования устройства за счет введения механизма автоматического восстановления с течением времени;
  • отсутствие необходимости установки криптопровайдера для корректной работы (комплект драйверов можно скачать с сайта производителя либо получить в удостоверяющем центре при оформлении ЭЦП).

Ключевой носитель Esmart USB

  • Esmart USB

Сертифицированные носители ЭЦП, которые могут быть использованы для хранения электронной подписи любого типа. Токен можно использовать для сдачи отчетности и отправки документов в государственные органы, участия в торгах, хранения сертификатов для работы в специальных электронных системах, работы в сетях удаленного защищенного доступа VPN, с корпоративной почтой. Решение полностью совместимо с ключевыми партнерскими продуктами: «КриптоПРО», «КриптоАРМ», «Сигнал-КОМ», «ИнфоТеКС», «Ред ОС» и некоторыми иными. Токен полностью совместим со всеми основными операционными системами: Windows (начиная с версии XP), Linux, Mac OS.

Носитель ЭЦП R301 Форос

Ключевой носитель R301 Форос выпускает компания «СмартПарк». Решение имеет сертификат совместимости с «КриптоПРО», обеспечивает надежную защиту ключей электронной подписи, сертификатов криптографического параметра. Особенность токена — в наличии прочного алюминиевого корпуса, что повышает защиту от механических повреждений. Главные характеристики носителя R301 Форос:

  • объем защищенной памяти — 80 килобайт;
  • количество контейнеров для хранения ЭЦП — 6 штук;
  • число попыток для некорректного ввода пароля пользователя/администратора — 5/15;
  • возможность разблокировки/восстановления пароля — есть;
  • функция для свободного удаления контейнера с ЭЦП — нет.

Какой носитель ЭЦП выбрать и где приобрести

Конкретный выбор между токенами при покупке и оформлении ЭЦП зависит от следующих факторов:

  • количество используемых ЭЦП (желательно брать с запасом из-за необходимости ежегодно обновлять сертификаты);
  • специфика применения (необходима ли дополнительная Flash-память, будет ли использоваться токен в системах контроля доступа);
  • личные предпочтения в плане внешнего вида и бренда.

Одновременно для обеспечения информационной безопасности, предотвращения потери данных важно учитывать следующие моменты:

  • приобретайте токен и ЭЦП в авторизованных удостоверяющих центрах;
  • поддерживайте на должном уровне грамотность персонала, который будет работать с токеном;
  • соблюдайте перечень простейших правил хранения ключей для предотвращения их хищения, компрометации паролей.

Подобрать подходящий носитель ЭЦП и оформить ЭЦП любого типа на выгодных условиях можно в удостоверяющем центре АО «Калуга Астрал». Все работы по формированию сертификатов будут выполнены не позднее двух дней с момента подачи заявки (также доступна возможность ускоренного выпуска — в течение 1-2 часов). Специалисты нашего удостоверяющего центра помогут подобрать подходящий сертификат с учетом специфики вашей работы.

Продукты по направлению

Электронная подпись для участия в торгах, работы на государственных порталах и электронного документооборота

Защищенный носитель для генерации и хранения ключей шифрования и электронной подписи

Защищенный носитель закрытых ключей электронной подписи для электронного документооборота

Вход в учетную запись Майкрософт с помощью Windows Hello или ключа безопасности

Если вам надоело вспоминать или сбрасывать пароль, попробуйте использовать Windows Hello или ключ безопасности, совместимый с платформой FIDO 2, для входа в свою учетную запись Майкрософт. Для этого вам понадобится только устройство с Windows 11 и браузер Microsoft Edge. (Эта функция пока недоступна для консолей Xbox и телефонов.)

Что такое Windows Hello?

Windows Hello — это персонализированный способ входа с помощью функции распознавания лица, отпечатка пальца или ПИН-кода. Windows Hello можно использовать для входа на устройство с экрана блокировки и для входа в учетную запись в Интернете.

Что такое ключ безопасности?

Ключ безопасности — это физическое устройство, которое можно использовать вместо имени пользователя и пароля для входа в систему. Это может быть USB-ключ, который можно хранить в связке ключей, или NFC-устройство, например смартфон или карточка доступа. Он используется в дополнение к отпечатку пальца или ПИН-коду, поэтому даже если кто-либо получит ваш ключ безопасности, он не сможет войти в систему без вашего ПИН-кода или отпечатка пальца.

Ключи безопасности обычно можно приобрести в розничных магазинах, где продаются периферийные устройства для компьютеров.

Совет: Иногда можно услышать ключи безопасности, называемые ключами FIDO2. FIDO расшифровывается как Fast IDentity Online, а стандарты устанавливаются и управляются альянсом FIDO.

Как выполнить вход с помощью Windows Hello

Выполните описанные ниже действия, чтобы настроить Windows Hello, а затем войдите в свою учетную запись Майкрософт в браузере Microsoft Edge.

  1. Нажмите Пуск >Параметры >Учетные записи >Варианты входа.
  2. В разделе Варианты входа выберите элемент Windows Hello, который нужно добавить.
Чтобы добавить Windows Hello в качестве способа входа для своей учетной записи Майкрософт:
  1. Откройте страницу учетной записи Майкрософт и выполните вход обычным способом.
  2. Выберите Безопасность >Расширенные параметры безопасности.
  3. Нажмите Добавьте новый способ входа или проверки.
  4. Выберите Используйте компьютер с Windows.
  5. Следуйте инструкциям по настройке Windows Hello в качестве способа входа в систему.

Как выполнить вход с помощью ключа безопасности

Существуют различные типы ключей безопасности, например USB-ключ, который подключается к устройству, или NFC-ключ, которым нужно коснуться NFC-сканера. Обязательно ознакомьтесь с типом своего ключа безопасности, прочитав прилагающееся к нему руководство от производителя.

Вход в Windows
  1. Перейдите в раздел Пуск >Параметры >Учетные записи >параметры входа.
  2. Выберите Ключ безопасности.
  3. Выберите Управление и следуйте инструкциям.
Чтобы добавить ключ безопасности в качестве метода входа в учетную запись Майкрософт, выполните приведенные далее действия.
  1. Откройте страницу учетной записи Майкрософт и выполните вход обычным способом.
  2. Выберите Безопасность >Расширенные параметры безопасности.
  3. Нажмите Добавьте новый способ входа или проверки.
  4. Выберите Использовать ключ безопасности.
  5. Определите тип ключа (USB или NFC) и нажмите Далее.
  6. Запустится процесс настройки, в ходе которого нужно будет вставить ключ или коснуться им устройства.
  7. Создайте ПИН-код (или введите существующий ПИН-код, если вы его уже создали).
  8. Выполните следующее действие, коснувшись кнопки или золотого диска на своем ключе (или прочтите руководство, чтобы узнать, какое действие требуется).
  9. Присвойте ключу безопасности имя, чтобы его можно было отличить от других ключей.
  10. Выйдите из своей учетной записи и откройте Microsoft Edge, выберите Использовать Windows Hello или ключ безопасности, затем вставьте ключ или коснитесь им устройства, чтобы выполнить вход.

Примечание: Производитель ключа безопасности может предоставить программное обеспечение, которое позволяет управлять ключом, например менять ПИН-код или создавать отпечаток пальца.

Как выполнить вход с помощью Windows Hello

Выполните описанные ниже действия, чтобы настроить Windows Hello, а затем войдите в свою учетную запись Майкрософт в браузере Microsoft Edge.

  1. Перейдите в меню Пуск и выберите Параметры .
  2. Перейдите в раздел Учетные записи >Варианты входа.
  3. В разделе Управление входом в устройство выберите пункт Windows Hello, чтобы добавить его.

Важно: Для входа с помощью лица требуется совместимая с Hello камера. Для входа с помощью отпечатка пальца на устройстве должно быть устройство считывания отпечатков пальцев.

Если ваше устройство не поставляются с одним из них, вы можете приобрести его, который может быть подключен к вашему устройству через USB у любого из ряда популярных розничных торговцев.

Чтобы добавить Windows Hello в качестве способа входа для своей учетной записи Майкрософт:

  1. Откройте страницу учетной записи Майкрософт и выполните вход обычным способом.
  2. Выберите Безопасность >Расширенные параметры безопасности
  3. Нажмите Добавьте новый способ входа или проверки
  4. Выберите Используйте компьютер с Windows
  5. Следуйте инструкциям в диалоговых окнах, чтобы настроить Windows Hello как способ входа в систему.
Как выполнить вход с помощью ключа безопасности

Существуют различные типы ключей безопасности, например USB-ключ, который подключается к устройству, или NFC-ключ, которым нужно коснуться NFC-сканера. Обязательно ознакомьтесь с типом своего ключа безопасности, прочитав прилагающееся к нему руководство от производителя.

  1. Откройте страницу учетной записи Майкрософт и выполните вход обычным способом.
  2. Выберите Безопасность >Расширенные параметры безопасности
  3. Нажмите Добавьте новый способ входа или проверки
  4. Выберите Использовать ключ безопасности
  5. Определите тип ключа (USB или NFC) и нажмите Далее.
  6. Запустится процесс настройки, в ходе которого нужно будет вставить ключ или коснуться им устройства.
  7. Создайте ПИН-код (или введите существующий ПИН-код, если вы его уже создали).
  8. Выполните следующее действие, коснувшись кнопки или золотого диска на своем ключе (или прочтите руководство, чтобы узнать, какое действие требуется).
  9. Присвойте ключу безопасности имя, чтобы его можно было отличить от других ключей.
  10. Выйдите из своей учетной записи и откройте Microsoft Edge, выберите Использовать Windows Hello или ключ безопасности, затем вставьте ключ или коснитесь им устройства, чтобы выполнить вход.

Примечание: Производитель ключа безопасности может предоставить программное обеспечение, которое поможет вам управлять ключом, например путем изменения ПИН-кода или регистрации отпечатка пальца.

Управление ключами

Выполните описанные ниже действия, чтобы удалить ключи, настроенные для вашей учетной записи.

  1. Откройте страницу учетной записи Майкрософт и выполните вход обычным способом.
  2. Выберите Безопасность >Расширенные параметры безопасности. Управляйте ключами безопасности в разделе Способы подтверждения вашей личности.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *