y"> · Максимальна кількість цифр;
· Мінімальна кількість цифр;
· Використання дублюються символів;
· Використання повторюваних символів;
· Використання послідовності символів;
· Використання першого символу у верхньому регістрі;
· Заборона використання зазначених символів.
За рахунок цього можна змусити додаток «підкорятися» корпоративній політиці складності паролів навіть у тому випадку, якщо сам додаток не оперує такими поняттями. Крім того, можливість використовувати окрему політику складності пароля для кожного додатка дозволяє враховувати специфіку додатки. Наприклад, може знадобитися обмежити довжину пароля або виключити будь-які символи, які не можуть бути використані в даному додатку.
Можливість автоматичної перегенерации паролів дозволяє не тільки автоматизувати процес зміни пароля, а й домогтися ситуації, коли користувач взагалі не знає свого пароля. Якщо користувач не знає свого пароля, то не може передати його або записати «про всяк випадок».
. 5 Фішинг і фарминг
Продовжуючи розглядати питання безпеки необхідно торкнутися теми фішингових та фармінгових атак (від англійського слова fishing - ловля риби, pharming). Суть першої атаки полягає в тому, що хакер тим чи іншим спосіб «підставляє» користувачу власне вікно введення ПДА або сторінку аутентифікації, яке зовні повністю ідентично оригінальному, за допомогою якого відбувається аутентифікація в додатку або web-ресурсі. В результаті користувач вводить свої дані, а вони, у свою чергу, стають доступні атакуючому і далі використовуються в цілях шахрайства. Другий тип атак зводиться до того, що користувач автоматично перенаправляється на хакерський, зовні абсолютно ідентичний атакується сайт, де вводяться дані зберігаються і використовуються таким же чином, як і в попередньому випадку. За допомогою цих атак може бути організований витік важливої ??комерційної інформації, а так само крадіжка особистих даних користувача, наприклад, використовуються для управління банківськими рахунками через Інтернет, номери кредитних карт при бронюванні квитків, здійсненні покупок і т.д.
Для запобігання таких атак на рівні додатків виконується перевірка контрольної суми перед початком підстановки ПДА. Якщо контрольна сума не збіглася, то підстановка ПДА не відбувається.
У разі роботи з web-додатками передбачений захист від подібних атак. Для цього виконується по-перше: перевірка URL активного вікна, а по-друге: перенаправлення на вказаний (відомий нам) URL. Крім того, може виконуватися і перевірка захищеності з'єднання, тобто, чи ведеться робота по SSL-протоколу.
Варто відзначити, що SecureLogin не тільки запобігає введення даних в «неправильне» вікно, але і може виконати SNMP-та/або SMTP-повідомлення, наприклад, адміністратору, що дозволить прийняти оперативні методи для аналізу ситуації і усунення виниклої небезпеки.
Механізм повідомлень може бути використаний і в будь-який інший довільної ситуації, наприклад, при аутентифікації для доступу до особливо важливих корпоративних даних. Також, за допомогою log-файлу або журналу подій операційної системи, при необхідності, можна проаналізувати активність користувача.
. 6 Використання смарт-карт і USB-ключів
працює з будь-якими персональними ідентифікаторами - смарт-картами і USB-ключами, які підтримують роботу за стандартом PKCS # 11. Це дозволяє використовувати SecureLogin як з картами і ключами ActivIdentity, так і з будь-якими іншими персональними ідентифікаторами, які вже задіяні в компанії. Тобто, SecureLogin не розглядається як деякий додаток до інфраструктурі ключів або смарт-карт певного виробника, навпаки - персональний ідентифікатор всього лише доповнює функціонал SecureLogin як сховище ПД
Рис.7. Завдання параметрів безпеки для Organization Unit. Використання смарт-карт.
Користувач проходить двухфакторную аутентифікацію (сама карта або ключ плюс PIN-код) при вході в Windows, а ПДА витягуються з ідентифікатора для підстановки у відповідні вікна. Цікавий той факт, що первинна аутентифікація в систему можлива як на базі цифрового сертифіката, збереженого на карті, а так і з використанням імені користувача/пароля, які разом з ПДА також зберігаються на карті (в тому випадку, якщо компанія не використовується PKI).
У разі використання PKI ПДА можуть зберігатися в AD, але при цьому шифруватися за допомогою цифрового сертифіката користувача: відкритий ключ використовується для шифрування ПДА, секретний (зберігається в захищеній пам'яті карти) - для розшифровки.
