Смарт-карты от Аладдина

Ранее я тестировал смарт-карты от компании Аладдин и считыватели Athena (которые предлагает Аладдин).

Все работает вполне неплохо. Но в процессе эксплуатации выявился один интересный момент.

Карта стоит порядка 600 рублей (с чипом EM-Marine и сертифицированная ФСТЭК). Соответственно портить ее путем печатания на ней фотографии и ФИО сотрудника весьма накладно. Если сотрудник уволился, то карту можно просто выкинуть. Т.к. новые фото и ФИО не напечатаешь. 

Выходит достаточно накладно. Соответственно, чтобы сэкономить, логично использовать тонкие пластиковые наклейки. На них можно печатать необходимую информацию и при необходимости наклейку можно снять и выбросить, а карту использовать повторно. 

Однако при наклеивании на карту этой тонкой пластиковой наклейки толщина карты увеличивается буквально на полмиллиметра. И карта уже не входит в считыватель Athena. Причем втиснуть ее все таки можно, но данные с чипа не читаются. 

Разобрав считыватель я обнаружил внутри пластиковую конструкцию, в которую входит смарт-карта. 

Щель в данной конструкции точно соответствует толщине карты. И при использовании наклейки карта уже не может пройти в тонкую щель. Если применить силу, то в конструкции открываются защелки и карта входит. 

Но дойти до конца ей не позволяют небольшие выступы.

Пришлось на наклейке вырезать небольшие углубления напротив соответствующих выступов в считывателе. 

После такой доработки карта заработала. Только теперь в считыватель она входит с небольшим усилием.

Столкнувшись с такой проблемой, решил поискать альтернативные считыватели. В результате протестировал считыватель ACR38U-A1.

В нем использована другая система удержания карты и проблем с наклейкой не возникло. 

Таким образом, для себя определил следующий комплект:

- сертифицированная смарт-карта от Aladdin

- считыватель ACR38U-A1.

Смарт-карты от Аладдина и Windows7

Ранее я писал, что выбираю и тестирую систему двухфакторной аутентификации на базе смарт-карт. Так вот недавно, с директором по ИТ, мы тестировали продукт от Алладина. Ставили Network Logon на Windows7. При этом использованный компьютер был не в домене. Выяснились несколько особенностей. В частности, сделать вход только по смарт-карте так, как написано в инструкции нельзя. По крайней мере у нас не получилось. Звонок в поддержку Аладдина не прояснил ситуации. Девушка упорно сообщала, что вся процедура написана в инструкции. На наше замечание, что описанная процедура не работает, она сообщала:"Но ведь в инструкции написано, значит работает.". Забавно. Но в конце концов с помощью лома и какой то матери, а также с помощью правки реестра мы своего добились. Но выяснилось, что если у вас есть учетные данные в нескольких доменах и вы хотите эти учетные данные записать на смарт-карту, то ничего не выйдет. При запуске wizard'а он автоматически подставляет текущий домен (т.е. тот в котором находится компьютер, на котором запущен wizard). В инструкции написано, что можно исправить реестр и тогда такой подстановки не будет. Однако на Windows7 это не срабатывает (что в общем то и написано в инструкции). Поэтому пришлось директору идти на мой компьютер (который входит в основной домен) и на нем запускать wizard и прописывать свою учетную запись для другого домена в свою смарт-карту. 

В общем и целом мы победили. Однако в ходе установки и проверки возникла мысль. Ведь Windows7 умеет работать со смарт-картами самостоятельно. И теоретически, если подключить совместимый считыватель и смарт-карту, то можно работать и без использования всяких Network Logon и т.д. Но смарт-карты от Алладина не распознаются Windows7 как совместимые. 

Мы обратились к коллегам с этим вопросом и те предложили попробовать другую смарт-карту и считыватель. А именно эти смарт-карту и считыватель. И даже любезно предоставили один комплект на тестирование. Единственно, этот комплект не сертифицирован. Но нам никто не мешает в нужных местах использовать сертифицированное решение от Аладина, а для остальных использовать другие карты. Тем более, что цены примерно одинаковые. Так что по результатам напишу.

Rutoken и eToken

Чуть ранее, на выставке INFOBEZ, я общался с представителями Рутокен. И выдвинул предположение о том, что стоимость их ключей больше стоимости ключей Аладдина. Вчера решил посмотреть и оказалось, что ключи Рутокен дешевле. В частности, по официальным данным с сайта:

eToken PRO (Java)/72K USB-ключ eToken PRO (Java), защищённая память 72КБ 

(1 - 1000 шт) -  991р. 

(1000+ шт)   -  921р. 

eToken PRO (Java)/72K/CERT-1883 USB-ключ eToken PRO (Java), защищённая память 72КБ, сертификат ФСТЭК №1883    

(1 - 1000 шт)  - 1 060р.  

(1000+ шт)     - 1 007р.  

Рутокен 32 Кб  (1-199 шт) 770 руб

                            (200-499)   704 руб

                            (500-999)   681 руб

Рутокен 64 Кб  (1-199 шт) 784 руб

                            (200-499) 717 руб

                            (500-999) 693 руб

Рутокен 128 Кб (1-199 шт) 986 руб

                             (200-499) 925 руб

                             (500-999)  звоните

Рутокен 32Кб (серт ФСТЭК)  (1-199 шт) 827 руб

                                                      (200-499) 760 руб

                                                      (500-999) 736 руб

Рутокен 64Кб (серт ФСТЭК)  (1-199 шт) 841 руб

                                                      (200-499) 773 руб

                                                      (500-999) 748 руб

Получается по стоимости чистого железа Рутокен дешевле. Интересно было бы посмотреть решение в целом. Т.е. железо + ПО в пересчете на одно рабочее место. Если будет время и возможность надо будет посмотреть. Должно быть интересно.

Двухфакторная аутентификация в Google

На днях включил в Gmail функцию двухфакторной аутентификации с помощью одноразовых паролей (one time password - OTP). Процесс активации выглядит достаточно просто. Можно получать коды на телефон в виде СМС, или воспользоваться программкой для смартфона Iphone/Android. Про Symbian не помню... Но думаю, что тоже есть. Я выбрал смартфон. Ставится небольшая программка, которая генерирует разовые коды. Срок жизни кода 1 минута. На начальном этапе необходимо активировать генератор кодов и синхронизировать с сервером. После этого, необходимо создать пароли для сервисов не умеющих работать с OTP (например приложение для GMail на смартфон). GMail создает пароль длиной символов 20, который необходимо ввести в программу один раз. И все. Для случая когда нет телефона или он неисправен, предлагается предоставить альтернативный номер мобильного для СМС и распечатать спецкоды на бумажку. 

В целом мне сервис понравился. Да появилось лишнее действие на входе, но как мне кажется стало более безопасно. Код спрашивают на входе в GMail, Blogger. В других местах не знаю, не пробовал. В общем рекомендую всем. 

Вот бы такую штуку сделали для банк клиентов.... Часть банков уже использует OTP токены. Но многие считают их дорогими. Мне кажется для таких подошел бы программное решение как у Google.

Вход по отпечатку пальца и персональные данные

В ходе рассмотрения вопросов внедрения двухфакторной аутентификации у руководства возникло предложение: "А зачем нам смарт-карты? Пользователь их может забыть или потерять. Давайте сразу отпечаток пальца! Всегда с собой, безопасность обеспечивает, факторов два. Красота.". В ходе дальнейшего обсуждения выдвигались тезисы, что биометрия выйдет дороже. Но, руководитель (все таки 21 век) тут же зашел в Интернет и нашел китайский сканер за 500 руб. На доводы о том, что это непонятное устройство от непонятного производителя. Не известен состав поставки, надежность, уровень ошибок 1 и 2 рода и т.д. Было сказано:"Зато 500 руб. А карты еще и менять нужно, т.к. они ломаются.". Тогда в ход пошел ФЗ №152. Ведь получается, что мы обрабатываем персональные биометрические данные. И соответственно должны их защищать сертифицированными средствами. А средства эти стоят денег. Ну и т.д.

Уже после встречи у меня возник вопрос, будут ли теперь в РФ развиваться биометрические системы аутентификации в свете ФЗ №152? 

Или может не все так плохо? Нужно еще раз изучить закон.

Человеческий фактор

Был как то случай. Зафиксировал несанкционированный вход на WEB сервер. Стали разбираться. По всему получается. что зашли через ошибки phpMyAdmin. Подобрали пароль к учеткам. Потом залили backdoor на php. После этого стали творить всякие безобразия. В ходе проверки выяснилось, что администратор сервера не выполнял требования парольной политики. Пароль от учетной записи администратора был простым, из списка часто используемых паролей. Написал администратору сменить пароли всех учетных записей. Через некоторое время проверил. Пароль сменил только на root. На остальных пароль не менял. Да и на root опять поставил пароль из списка часто используемых. Пришлось ругаться и объяснять, что он не прав. И что все может плохо кончиться. Вот только не уверен. что он все понял. И вот здесь я начал задумываться о системах типа Balabit Shell Control Box. Чтобы как то контролировать процесс.  Или двухфакторную аутентификацию. 

В целом в жизни все как всегда "Сапожник без сапог". Надеюсь. что таких администраторов все таки меньшинство.

Двухфакторная аутентификация

На днях решили совместно с кадрами внедрить универсальную карту сотрудника. Т.е. взять смарт-карту с RFID и сделать ее пропуском в здание (RFID+фотография и ФИО), пропуском в ЛВС, скидочной картой в своих магазинах. В будущем возможно еще что то прикрутим. Пока рассматриваем карты Aladdin-RD. Я с ними давно работал, впечатления положительные. В свое время на одном из мест работы  пытались реализовать связку СКУД+MS AD. Т.е. если сотрудник не вошел в здание, то его учетка блокирована. Как только вошел учетка разблокировалась. Причем в то время это делалось таким образом. СКУД записывал в таблицу список сотрудников и напротив каждого стоял признак "Вошел-вышел". В AD с периодом 5 минут запускался скрипт, который опрашивал таблицу и на основе признака блокировал или разблокировал учетку пользователя. В целом пока пользователь прошел через проходную и дошел до места, учтека успевала разблокироваться. Был один ньюанс с командированными в филиалы. Он в здание не вошел, а в домен входил, т.к. домен единый. Но как то мы это решили. Сейчас уже не помню. Может и на теперешнем месте попробуем нечто такое.

А еще со временем планируем развернуть Single-sign on. В общем планов громадье. Лишь бы денег дали.