Заключение

Проблема строгой аутентификации пользователей веб-порталов и облачных сервисов на сегодняшний день является весьма актуальной. В будущем ее острота будет только расти. Это объясняется переносом в Интернет и все большим и большим распространением критически важных сервисов, предназначенных для управления персональными или корпоративными финансовыми потоками, участия в юридически значимом документообороте и пр.

Решить ее можно путем создания системы двухфакторной аутентификации, когда пользователь для подтверждения своей личности должен предъявить два доказательства, например, наличие личного цифрового сертификата и пароль для доступа к нему. Реализовать ее можно по-разному. Наиболее распространены варианты, когда закрытый ключ цифрового сертификата хранится на локальном жестком диске компьютера (в специальном хранилище браузера) или на обычной "флешке". Однако, они уязвимы для многих атак, а, потому, не отвечают современным представлениям об информационной безопасности.

Выходом из этой ситуации может служить применение токенов и смарт-карт. Обладая защищенной памятью для хранения закрытых ключей, они устойчивы к взлому, и, при сегодняшнем уровне развития технологий, позволяют гарантировать безопасность даже при краже или утере. Естественно, для того, чтобы организовать двухфакторную авторизацию на веб-портале или в облачном сервисе, подойдет не любой токен. Для этого необходимо, чтобы разработчики предусмотрели такую возможность и обеспечили программную поддержку решения, как со стороны сервера, так и со стороны клиента.

Впрочем, нужно понимать, что веб-порталы и облачные сервисы сами по себе позволяют экономить организациям немалые средства. И потратить часть (причем очень небольшую часть) из этих денег на обеспечение высокой степени безопасности гораздо лучше, чем позволить злоумышленникам получить доступ к банковским счетам или подписать от имени компании нежелательные документы.

Список использованных источников

1. «PKCS #11 v2.11 Draft 1: Cryptographic Token Interface Standard», RSA Laboratories,ноябрь 2000г.

2. «Двухфакторная Аутентификация на веб-порталах и облачных сервисах», Марат Давлетханов, http://www.anti-malware.ru/

3. Федеральное агентство по техническому регулированию и метрологии (РОССТАНДАРТ), http://www.gost.ru/