Работаем с менеджером паролей eToken Web Sign-On

 

         На практике часто встречается ситуация, когда необходимо использовать множество идентификаторов (логинов) и связанных с ними паролей при работе с разными сайтами сети Интернет. Использовать один сложный пароль для доступа ко всем ресурсами нельзя по соображениям безопасности, тоже самое относится и к варианту использования множества слабых, но легких для запоминания паролей, построенных, например, по следующей схеме: yan02101968YAN,  google02101968GOOGLE. В основе такой схемы, как Вы видите,   лежит принцип – в средине день, месяц и год рождения, а слева и справа название или часть названия того сайта для которого был создан пароль. Злоумышленник, поняв схему генерации пароля, без труда сможет его подобрать. Конечно, при желании можно запомнить вот такой сложный пароль R8&#tFDWuuweREW81jsdsag, но выучить хотя бы десяток таких паролей совсем не просто. Поэтому многие люди используют для доступа на сайты один и тот же пароль, а злоумышленники противопоставляют им метод, называемый  “Атака на золотой пароль”.  Суть его проста, узнай каким либо образом пароль, который используется для доступа к одному из ресурсов, а затем попробуй этот же пароль на других сайтах, где  был зарегистрирован пользователь.  Метод часто срабатывает, так как при регистрации на разных сайтах некоторые люди  используют не только одинаковые идентификаторы (ники), что в принципе вполне допустимо,  но и  одинаковые пароли, что делать по соображениям безопасности совершенно не рекомендуется нельзя. 
        Когда для работы необходимо помнить десятки имен  вебсайтов, логины и пароли для доступа, то приходится эту информацию где-то хранить. Неудобные и не слишком безопасные варианты – распечатка и исходный текст, сохраненный на каком либо носителе (желательно внешнем, например, на флешке).  Когда работаешь за личным компьютером  дома, то это вариант не самый лучший, но вполне приемлемый. Значительно хуже, когда доступ в Интернет осуществляется из так называемой небезопасной среды. Например, с компьютера, на котором работаешь не только ты один. Или, когда путешествуешь со своим ноутбуком и есть определенная вероятность, что злоумышленник может получить физический доступ к компьютеру или носителю  с важной информацией. Файл можно зашифровать, но процесс расшифровки занимает время, кроме того доступ к стертому файлу при желании иногда можно получить, воспользовавшись утилитами восстановления информации. Хорошо было бы иметь для веббраузера плагин, позволяющий сохранять на надежном носителе список необходимых ссылок (как в пункте “Избранное”  Internet Explorer)  и связанную со ссылкой информацию, подставляемую  в форму на  странице. Например, те же самые логин и пароль, но не обязательно,  может быть и другая конфиденциальная информация: ИНН, номер паспорта или кредитной карты и так далее. Написать такую программу-дополнение, встраиваемую в веббраузер, относительно просто и потому она не будет стоить слишком дорого, что не относится к специализированному аппаратному носителю для защиты конфиденциальных данных.
    Сейчас я расскажу Вам о программе eToken Web Sign-On, которой пользуюсь постоянно для комфортной работы с конфиденциальной информацией (
http://www.aladdin-rd.ru/catalog/etoken_products/wso/). Стоимость базового комплекта eToken Web Sign On от Aladdin Software Security R.D на момент написания данного текста составляет, 1862 рубля. В комплект входят: аппаратный ключ eToken Pro/32K, лицензия на использование eToken Web Sign-On на 1 рабочее место и DVD-коробка, в которой вместе с диском программы находится все ранее перечисленное. Если у Вас уже есть ключ, можно купить только лицензию (177 рублей). Программа eToken Web Sign-On (WSO) является эффективным менеджером паролей, позволяющим безопасно хранить личные данные пользователя, используемые для доступа к веб-сайтам, в памяти электронного ключа eToken. Поддерживаются не только задачи безопасного хранения данных пользователя в защищенной памяти eToken и автоматического заполнения веб-форм, но  и генерация сложных паролей для доступа к веб-сайтам (минимальная длина пароля 1 символ, максимальная 128). Работая с программой, можно просматривать, редактировать, удалять данные, используемые для заполнения веб-форм, а также настраивать поведение браузера при доступе к выбранным веб-сайтам.  Обеспечивается автоматическая подстановка  логина и пароля и вход на сайт, но при желании для отдельных сайтов можно указать  только автоматическое заполнение формы без последующей отправки данных на сервер.
     Для предотвращения потери данных в случае повреждения или утраты ключа  eToken, данные пользователя можно экспортировать в защищенный паролем файл. Сохраненные данные из файла можно импортировать на этот же самый или  в другой ключ eToken. Возможно восстановление всех данных с архивной копии (то есть всех профилей), но поддерживается и вариант  выборочного восстановления профилей (то есть индивидуальных записей с информацией об адресе вебсайта, логине и пароле) из архивной копии. Необходимость в таком избранном восстановлении на eToken может возникнуть, например, в том случае, если все данные не получается сохранить на одном ключе и приходится создавать несколько архивных файлов для размещения всех используемых профилей. Такие действия иногда выполняют экономные пользователи, работающие с ключи eToken Pro 32 К с небольшим объемом защищенной памяти равной 32 килобайта, не желающие покупать для хранения профилей еще один ключ.
       Программа eToken Web Sign-On поддерживает работу со всем модельным рядом электронных ключей eToken, что позволяет выбирать и более современные модели ключей с большим объемом памяти. Например, можно выбрать электронный ключ eToken PRO (Java) 72K. 
eToken Web Sign-On  работает не только с USB-ключами, но со смарт-картами eToken. По своей сути USB-ключ eToken – это помещенный в герметически запаянный корпус считыватель смарт-карт с установленной в него смарт-картой eToken, которую физически нельзя извлечь из этого считывателя (обратите внимание на рисунок – видно, что кроме серийного номера устройства 0x0058beff  отображается еще и ID смарт-карты 550fb20c1232).

 
      Для работы с аппаратным устройство eToken на компьютере должно быть установлено ПО eToken PKI Client версии 5.0 или выше либо SafeNet Authentication Client версии 8.0. Дистрибутив и документацию по установке и работе eToken PKI Client самой последней выпушенной версии, то есть самой новой, можно найти на сайте
www.aladdin-rd.ru. Пакет комбинированной установки версии eToken Web Sign-On 5.2 (WSOPackage52.exe) включает облегченную версию ПО eToken PKI Client 5.1 SP1 (Lite). Это позволяет использовать полный функционал eToken Web Sign On 5.2, а также использовать для хранения имен пользователя и паролей, как аппаратные, так и программные eToken. Поддерживается несколько вариантов установки eToken Web Sign-On 5.2:  установка с помощью программы-мастера, установка в режиме командной строки,  комбинированные варианты установки.

(На рисунке – обращение к программе-плагину eToken Web Sign-On)

 
 
 
 

       Завершая свой небольшой рассказ о менеджере паролей eToken Web Sign-On, отмечу его основные достоинства и недостатки. Очевидное достоинство в том, что конфиденциальные данные надежно защищены. Не требуется запоминать или записывать где-то на бумаге важную конфиденциальную информацию – она надежно сохранена внутри аппаратного ключа eToken. Для работы с токеном необходимо ввести пин код.  Пин код Вы устанавливаете самостоятельно, и он может включать в себя не только цифры, но и символы. Замечу, что так же самостоятельно Вы можете установить максимальное число попыток неправильного ввода пин-кода, но максимальное значение неправильных попыток не может превышать 15. Такое ограничение не позволяет злоумышленнику использовать автоматизированную программу подбора пин-кода. Надежность хранения конфиденциальных данных и удобство в работе компенсируют имеющиеся недостатки, о которых следует сказать несколько слов. Во-первых, достаточно высокая стоимость самого аппаратного устройства. Справедливости ради следует отметить, что есть такая сущность, называемая виртуальный токен и в документации к программе eToken Web Sign-On упоминается “файл с расширением etv (программный eToken)”.  Виртуальный токен – «уникальное программное решение, позволяющее пользователю, находящемуся вне офиса, даже в случае утери / повреждения eToken продолжить работу с компьютером или получить безопасный доступ к ресурсам без снижения уровня защищенности». Во-вторых, eToken Web Sign-On надежно хранит конфиденциальную информацию в ключе eToken, но в процессе ввода данных в вебформу и при отправке их в Интернет данные могут быть перехвачены. Этот второй момент не является  недостатком eToken Web Sign-On, как таковым, но о нем следует помнить и понимать, что если вы установили  eToken Web Sign-On на компьютер, в оперативной памяти которого находится зловредная программа, перехватывающая пароли и другую информацию, вводимую в формы, то ваша информация будет перехвачена после извлечения ее из eToken. Другими словами, покупка достаточно дорогого аппаратного ключа eToken и установка для работы с ним eToken Web Sign-On, не отменяет необходимость прочих мер обеспечения информационной безопасности (использование антивируса, включение и правильная настройка фаервола и так далее).
  В настоящее время пользователи домашних компьютеров достаточно редко используют аппаратные токены (серии eToken, ruToken и др.)  для защиты конфиденциальных данных. Это объясняется не только относительно высокой стоимостью аппаратных средств, но и не слишком высоким уровнем развития в нашей стране систем, работающих с электронными деньгами.  Ключи типа eToken и ruToken идеально подходят для хранения электронных цифровых сертификатов и работе с электронной цифровой подписью (ЭЦП), но где сейчас может большинство граждан страны получить собственную ЭЦП и как ее использовать – вопрос открытый. Однако, планируемое развитие Электронного правительства (в утвержденной президентом РФ Стратегии развития информационного общества есть такой показатель: к 2015 г. 70% документооборота между госструктурами надо перевести в электронный вид.), рост электронной коммерции и дальнейшее развитие сети Интернет, все это будет способствовать более широкому использованию аппаратных средств обеспечения информационной безопасности.
   В рассказе я сознательно ограничился рассказом только о менеджере паролей, но аппаратный ключ eToken может использоваться и другими программами. Например, системой защиты конфиденциальной информации и персональных данных Secret Disk 4. С ее помощью можно создавать на компьютере зашифрованные диски (секретные диски), работать с которыми может только пользователь-владелец и его доверенные лица. Существуют программы позволяющие защищать базы данных, например, eToken SecurLogon для Oracle, или eToken для терминальных клиентов под управлением Windows CE, eToken для Cisco VPN, но это уже темы для отдельного обстоятельного разговора.

 

2 comments

  1. Незаменимый софт, если интернет — твоя работа. Копи-паст из .тхт замучал. Но если нарветесь на доброго хакера — пиши пропало =)

Comments are closed.