От илюзия за сигурност към реална защита: подходът на Ajax към потребителското удостоверяване

Удостоверяването - процесът на проверка на самоличността на потребителя - представлява първата и най-критична защитна линия срещу неоторизиран достъп до всеки защитен обект. Традиционните методи за удостоверяване чрез карти за достъп, кодове или смартфони често имат пропуски в сигурността и създават фалшиво чувство за защита.

Тази статия анализира често срещаните слабости в конвенционалните методи за удостоверяване и показва как Ajax внедрява модерни технологии за устойчивост срещу клониране, прихващане и физически саботаж.

Обяснение на технологиите за безконтактно удостоверяване

Днешният пазар за контрол на физическия достъп предлага удобни безконтактни методи за удостоверяване, които заменят традиционните физически ключове. Тези решения се различават по своята архитектура и принципи на работа. Ето технологиите, които се използват на пазара в момента.

RFID: началната точка на безконтактното удостоверяване

RFID (Radio Frequency Identification) технологията използва радиовълни за автоматично четене и предаване на данни от RFID тагове. Тя се прилага широко в различни индустрии - от логистика и търговия на дребно до здравеопазване и финанси. В системите за сигурност RFID осигурява удобна алтернатива на физическите ключове.

Една RFID система се състои от:

• RFID таг - съдържа уникален идентификатор.
• RFID четец - генерира радиовълни за захранване на пасивните тагове и получаване на информация.
• Антена - позволява комуникацията между тага и четеца.
• Система за управление - обработва получените данни.

Стандартната RFID система работи чрез опростени протоколи за идентификация, което я прави податлива на пробиви. Когато RFID таг - като карта за достъп или ключодържател - се доближи до радиочестотното поле на четеца, той отговаря чрез предаване на своя уникален ID, обикновено с минимално или никакво криптиране. Този процес на еднопосочно удостоверяване няма стабилна проверка. Това означава, че системата не може ефективно да определи дали комуникира с автентично устройство.

Нападателите се възползват от тази слабост при проверката, като клонират устройства. Те крадат идентификационните данни на ключодържателя или картата без физически контакт. Достатъчно е само да доближат евтино устройство за клониране до джоба или чантата на човек и да запишат сигналите. След като бъдат заловени, тези сигнали могат да бъдат възпроизведени пред четците, за да се получи неоторизиран достъп.

MIFARE Classic: широко разпространен, но уязвим метод

Когато уязвимостите на основните RFID системи станаха очевидни, се появиха по-модерни технологии за повишаване на сигурността. Едно от най-разпространените решения беше MIFARE Classic - серия безконтактни смарт карти, въведени в средата на 90-те години. Първоначално разглеждана като по-сигурна алтернатива на базовите RFID тагове, MIFARE Classic стана изключително популярна в системите за контрол на достъпа в целия свят. Въпреки това нейният алгоритъм за криптиране вече се счита за уязвим към съвременните техники за атака.

Всяка карта съдържа RFID таг, който използва патентования 48-битов шифър CRYPTO1. В продължение на много години нейната сигурност се основаваше на принципа „сигурност чрез неяснота“. Процесът на удостоверяване в MIFARE Classic включва механизъм „предизвикателство-отговор“, при който картата и четецът обменят криптирани данни, за да проверят самоличността на потребителя. MIFARE Classic обаче използва статични модели на криптиране, което означава, че те остават същите веднъж след като системата е настроена. В много случаи едни и същи ключове за сигурност се споделят между множество карти в рамките на един обект.

Въпреки че MIFARE Classic предлага по-добро криптиране от базовите RFID тагове, изследванията показват, че нападателите могат да прихващат данни, обменяни между картите и четците, да улавят криптираната комуникация и да използват специални инструменти за дешифрирането им. Това позволява клониране на идентификационните данни за достъп просто чрез присъствие в безжичния обхват на валидна карта по време на удостоверяване. Освен това базовите RFID и MIFARE Classic технологии нямат специфична защита срещу атаки по странични канали (side-channel attacks) - методи, при които нападателите анализират времеви модели, консумация на енергия или електромагнитни емисии, за да извлекат ключове за сигурност и да дешифрират чувствителни данни.

Технология DESFire: некомпрометираният златен стандарт за сигурност

За да преодолее ограниченията в сигурността на RFID и MIFARE Classic, NXP Semiconductors разработи MIFARE DESFire - следващо поколение технология за безконтактни смарт карти. Името „DESFire“ се отнася до стандарта за криптиране на данни (DES) и основните характеристики на картата (Fast, Innovative, Reliable, and Enhanced).

MIFARE DESFire се използва широко за електронни портфейли, контрол на достъпа, корпоративни лични карти, транспорт или билети за стадиони, където сигурната защита и високата скорост на транзакциите са еднакво важни.

DESFire използва многослоен подход към сигурността:

• Усъвършенствана криптография. DESFire прилага международно признати стандарти за криптиране, включително AES.
• Защитена архитектура на паметта. Картите DESFire съдържат специализиран криптографски копроцесор, който изпълнява всички операции по криптиране, без да излага на риск ключовете или критичните данни.
• Взаимно удостоверяване. И картата, и четецът проверяват автентичността си един на друг преди обмена на данни.
• Защита срещу атаки по странични канали. Архитектурата на DESFire включва специализирани вериги, които поддържат постоянна консумация на енергия за предотвратяване на атаки чрез енергиен анализ, рандомизирано време за обработка за предотвратяване на анализ на времеви модели и електромагнитно екраниране за минимизиране на излъчванията, които могат да бъдат прихванати.
• Изолация на приложенията. Една карта DESFire може безопасно да хоства множество приложения с пълно разделение, предотвратявайки вероятността пробиви в сигурността на едно приложение да засегнат останалите.

Ключови разлики между трите технологии:

Решения на Ajax за безконтактно удостоверяване

След като анализира силните и слабите страни на различните технологии за безконтактно удостоверяване, Ajax Systems приема само най-модерните налични методи. За своите карти Pass и ключодържатели Tag, компанията разчита на технологията MIFARE DESFire, комбинирана с AES криптиране - същият алгоритъм, на който се доверяват за защита на правителствени и финансови данни по целия свят. Тази комбинация осигурява стабилна основа за проверка на самоличността, защитавайки идентификационните данни от опити за неоторизирано дублиране през целия им жизнен цикъл. Превъзхождайки 48-битовите ключове, използвани в системите MIFARE Classic, AES криптирането създава изключително голям брой възможни комбинации от ключове, което прави опитите за неоторизиран достъп изключително трудни при настоящите изчислителни технологии.

Разгледайте клавиатурите на Ajax, поддържащи технологията DESFire:

Ajax - KeyPad Plus - Безжична Сензорна LED Клавиатура с Вграден Четец за Безконтактни Карти, Бяла

Ajax - KeyPad Plus - Безжична Сензорна LED Клавиатура с Вграден Четец за Безконтактни Карти, Черна

Ajax - KeyPad TouchScreen - Безжична Клавиатура със Сензорен Дисплей и Вграден Четец за Безконтактни Карти, Bluetooth (BLE), Бяла

Ajax - KeyPad TouchScreen - Безжична Клавиатура със Сензорен Дисплей и Вграден Четец за Безконтактни Карти, Bluetooth (BLE), Черна

Освен криптирането, Ajax предлага и функции за дистанционен достъп. Администраторите на системата за сигурност могат лесно да коригират правата за достъп в движение чрез мобилното приложение на Ajax. Това е особено удобно в спешни ситуации: ако карта или ключодържател бъдат изгубени, правата за достъп могат да бъдат отнети, временно спрени или променени само с няколко кликвания.

Ajax - Pass - Безконтактна RFID Карта, Бяла

Ajax - Pass - Безконтактна RFID Карта, Черна

Ajax - Tag - Безконтактен RFID Ключодържател, Бял

Ajax - Tag - Безконтактен RFID Ключодържател, Черен

Мобилно удостоверяване със смартфон

Днешните решения за удостоверяване все по-често използват устройствата, които потребителите вече носят със себе си - техните смартфони - превръщайки ги в сигурни цифрови идентификационни данни.

Bluetooth технология

Bluetooth е една от най-широко използваните технологии за мобилно удостоверяване днес. Този протокол за безжична комуникация позволява на устройствата да обменят данни между смартфони и четци на къси разстояния, което го прави подходящ за използване в системи за сигурност и приложения за контрол на достъпа. Въпреки това, когато се внедряват без правилна конфигурация, базовите Bluetooth системи могат да имат затруднения при определянето дали телефонът е някъде наблизо или действително е близо до четеца. Такива неточности могат да доведат до проблеми със сигурността или използваемостта.

BLE технология

За да се справят с ограниченията на стандартния Bluetooth, индустрията прие Bluetooth Low Energy (BLE) - олекотена версия на традиционния Bluetooth, която предлага значителни предимства в сравнение със своя предшественик:

• По-ниска консумация на енергия: позволява по-дълъг живот на батерията за безжичните клавиатури и намалено използване на енергия от линията за кабелните.
• Бързо установяване на връзка: минимизира закъсненията при удостоверяване.
• Подобрени протоколи за сигурност: защитават предаването на данни.
• Съвместимост с най-новите смартфони: прави интеграцията безпроблемна.

Как работи BLE удостоверяването в устройствата на Ajax

Внедряването на BLE технологията в устройствата на Ajax позволява многофакторно удостоверяване. Клавиатурите на Ajax използват многостепенен, криптиран процес на проверка с прецизна детекция на близост и взаимно удостоверяване както на смартфона, така и на клавиатурата. Това гарантира, че чувствителната информация се обменя само с доверени устройства, повишавайки сигурността в сравнение със системи, които просто откриват всеки Bluetooth сигнал в обхвата.

Как работи BLE удостоверяването в устройствата на Ajax

Архитектура на сигурността на Ajax BLE връзката

• Криптиране от край до край (End-to-end). Системата криптира данните на всеки етап от предаването - от смартфон към клавиатура и след това от клавиатурата към централен модул, използвайки отделни протоколи за криптиране.
• Уникално криптиране за всяко устройство. Всяка клавиатура и потребителски смартфон в системата използват различни параметри за криптиране, така че компрометирането на едно устройство не излага на риск цялата система.
• Защита чрез изтичане на сесията (Session timeout). Системата автоматично променя обменяните данни за удостоверяване после определени периоди, което ограничава времето, налично за всякакви опити за обратен инженеринг.
• Лесни актуализации на сигурността. Ajax е внедрил софтуерна актуализация по въздуха (OTA) за своите устройства, за да адресира нови уязвимости и да подобри механизмите за сигурност на BLE връзката без намеса на потребителя.

Разгледайте клавиатурите на Ajax, поддържащи BLE технология за удостоверяване чрез смартфон:

Ajax - KeyPad TouchScreen - Безжична Клавиатура със Сензорен Дисплей и Вграден Четец за Безконтактни Карти, Bluetooth (BLE), Бяла

Ajax - KeyPad TouchScreen - Безжична Клавиатура със Сензорен Дисплей и Вграден Четец за Безконтактни Карти, Bluetooth (BLE), Черна

Кодова сигурност

Докато безконтактните идентификатори и мобилното удостоверяване продължават да набират популярност, PIN кодовете остават фундаментални за много системи за сигурност. Въпреки широкото им разпространение, те не са имунизирани срещу компрометиране.

Често срещани уязвимости в кодовите системи

• Предвидими избори

Хората обикновено използват значими дати, последователни числа или повтарящи се цифри - избори, които са много по-лесни за предвиждане от произволните комбинации. Всъщност 20-те най-често срещани кода представляват близо 27% от всички въвеждания.

• Човешки фактор

На работните места кодовете за достъп често се споделят за удобство. Служителите могат да ги записват, да ги използват повторно в различни системи или да ги разкрият при случаен разговор или по погрешка. Нападателите могат също да използват публично достъпни лични данни. Това поведение създава неконтролирани точки на достъп, които заобикалят формалния контрол.

• Податливост на brute force (груба сила)

Много системи за сигурност нямат стабилна защита срещу систематично налучкване на кодове. Ако липсват механизми за блокиране, те са уязвими на систематично отгатване. Четирицифрените PIN кодове предлагат само 10 000 комбинации, число, което лесно се изчерпва чрез упорити опити или автоматизирани методи.

• Неадекватен мониторинг

Кодовите системи често нямат всеобхватни възможности за одит за откриване на подозрителни модели на активност. Неуспешните опити често остават незабелязани, което позволява на атаките да продължат до успех. Липсата на записи усложнява както превенцията, така и разследването.

Подход за удостоверяване с код по начина на Ajax

Обмисленият подход към удостоверяването с код съчетава силна защита с лесна употреба. Клавиатурите на Ajax поддържат няколко типа кодове за достъп:

• Кодове за клавиатура (един на клавиатура): общ код, настроен за клавиатурата. Идеален за прости обекти като ваканционни къщи, гаражи или складове, където само един или няколко доверени души се нуждаят от достъп и не се изисква детайлно проследяване.
• Потребителски кодове: индивидуални кодове за достъп, конфигурирани за всеки потребител на системата в неговото мобилно приложение на Ajax. Те са идеални както за домакинства, така и за работни места, където няколко души се нуждаят от редовен достъп и трябва да имат собствен акаунт в Ajax с персонализирани разрешения. С персоналните кодове администраторите могат да задават прецизни нива на достъп до конкретни зони и да проследяват кой кога е влязъл - поддържайки детайлни логове на взаимодействията със системата.
• Кодове за нерегистрирани потребители: кодове, създадени от администратор за лица, които се нуждаят от временен или ограничен достъп без необходимост от акаунт в Ajax. Тези кодове са перфектни за почистващ персонал, техническа поддръжка, градинари или брокери на недвижими имоти, които се нуждаят от физически достъп до помещенията, но не трябва да имат видимост към конфигурацията или данните на системата за сигурност.
• RRU код: кодът за достъп, конфигуриран от администратор за екипите за бързо реагиране. Той им позволява достъп до обекта след получаване на аларма, когато собственикът не е вкъщи. Кодът е активен само след аларма и остава валиден за определен период.

Удобни и сигурни опции за удостоверяване за всеки потребител

Функцията за код под принуда позволява на потребителите да изпратят тиха аларма, ако са принудени да въведат код под натиск. Кодът позволява на потребителите да информират мониторинговата компания за принудително дезактивиране на системата, като това не се показва чрез алармена сирена или мобилното приложение на Ajax. Тази функция осигурява критичен слой на безопасност за потребители, изправени пред потенциално опасни сценарии.

Клавиатурите на Ajax не съхраняват потребителски кодове. Когато потребителят въведе кода, той се изпраща към централния модул в криптиран вид и централният модул го проверява. Кодовете в централния модул се съхраняват сигурно в хеширан вид, а централният модул на Ajax използва операционната система в реално време OS Malevich, която осигурява имунитет срещу вируси и кибератаки.

Клавиатурата блокира достъпа след три неуспешни опита за въвеждане на правилния код и незабавно предупреждава потребителите и мониторинговата станция. Това предотвратява brute-force атаки и сигнализира за подозрителна активност своевременно.

Многофакторно удостоверяване като задължително условие

Разчитането само на един фактор за удостоверяване - независимо дали е карта, код или смартфон - създава критична точка на отказ. Картите могат да бъдат изгубени или откраднати, кодовете - налучкани или разкрити, а дори и идентификационните данни на мобилните телефони имат известни уязвимости. Веднъж компрометиран, този единствен фактор дава пълен достъп.

Въздействието на потенциални пробиви надхвърля непосредствените загуби. Организациите са изправени пред разходи за реагиране при инциденти, правни действия, регулаторни глоби и дългосрочни щети върху доверието на клиентите. Публичното излагане на такива предотвратими проблеми може сериозно да навреди на репутацията на компанията и да подкопае доверието на заинтересованите страни. Ето защо напредничавите организации приемат многофакторно удостоверяване.

В Ajax Systems двуфакторното удостоверяване е златен стандарт. Така системата има функция, наречена Потвърждение на оторизацията с парола, която изисква от потребителите да завършат две стъпки на проверка:

• Представяне на валиден физически идентификатор (Pass, Tag или смартфон).
• Въвеждане на валиден код за потвърждаване на самоличността. Тази стъпка на проверка гарантира, че дори ако идентификаторът бъде изгубен или откраднат, той не може да бъде използван без съответния код.

Такъв комбиниран подход за удостоверяване е идеален за обекти с висок риск, офиси, финансови институции, критична инфраструктура и дори жилищни имоти. Той позволява на системата да изисква двойно удостоверяване за критични действия по сигурността като дезактивиране на системата, като същевременно поддържа еднофакторен достъп за рутинно влизане.

Управление на правата за достъп

Ефективната сигурност изисква не само силни методи за удостоверяване, но и ефикасно управление на правата за достъп. Конвенционалните системи обикновено разчитат на директно програмиране на контролери и идентификатори на място, което често влияе както върху ефективността на сигурността, така и върху административната ефективност. Честите проблеми включват:

• Ограничена мащабируемост. Промените трябва да се правят на място, устройство по устройство.
• Забавена реакция при промени. Актуализирането на правата за достъп за множество потребители или зони може да отнеме много време.
• Рискове за сигурността. Изгубени или откраднати идентификационни данни изискват ръчна намеса за отнемане на достъпа, оставяйки потенциални пропуски в сигурността.

В традиционните системи, когато идентификационните данни за достъп бъдат изгубени или откраднати, реакцията е процес с високи усилия. Служителите трябва да уведомят персонала по сигурността, който след това трябва физически да препрограмира системите, за да отнеме достъпа. Целият процес обикновено отнема дни, а не минути, създавайки разширени периоди на уязвимост. Междувременно много организации също така издават временни идентификационни данни, които често заобикалят нормалните протоколи за сигурност и създават допълнителни предизвикателства пред сигурността. Освен това, без централизирано управление, организациите се борят да поддържат точни записи за това кои идентификационни данни са били отнети и кога.

Управление на достъпа чрез мобилно приложение на Ajax

Ajax Systems предлага модерен подход, който комбинира облачна технология с приложения за мобилни устройства и настолни компютри. С Ajax PRO Desktop и Ajax PRO: Tool for Engineers, компаниите за мониторинг и вътрешните отдели по сигурност получават удобни и ефективни инструменти за управление на правата за достъп.

• Незабавно дистанционно управление на правата за достъп. Администраторите могат да променят правата за достъп в реално време чрез приложенията на Ajax за мобилни устройства и настолни компютри. Когато идентификационните данни бъдат компрометирани или изгубени, те могат дистанционно да премахнат карти, ключодържатели и смартфони в рамките на минути. Това елиминира прозореца на уязвимост и нуждата от посещения на техници на място. Когато потребителските роли се променят - например служител е повишен и сега се нуждае от достъп до нови групи за сигурност - разрешенията могат да бъдат коригирани незабавно от мобилното приложение. Администраторите могат също да управляват кодове за нерегистрирани потребители, кодове за клавиатура и кодове под принуда. Потребителските кодове остават редактируеми от потребителите, докато другите кодове са напълно контролирани от администраторите.
• Оптимизирано управление на потребителите. Добавянето или премахването на потребители изисква само няколко докосвания в приложенията на Ajax. Системата поддържа уникална идентификация за всеки идентификатор, свързвайки конкретни имена и ID-та към всеки потребител за прецизно проследяване. Известията в реално време държат администраторите информирани за всички промени.
• Бързо и гъвкаво записване на идентификатори. Добавянето на нови безконтактни карти, ключодържатели или идентификационни данни за смартфони е бързо и лесно. Едно устройство може да управлява до 13 пространства, което е идеално за разпределени мрежи за сигурност като търговски вериги или корпоративни кампуси. Идентификаторите също могат да бъдат преформатирани и преназначавани: когато служител напусне, същата карта или ключодържател може да бъде сигурно изчистен и издаден на нов член на екипа без нужда от подмяна на хардуера. Тази гъвкавост намалява разходите и опростява инвентара.
• Интеграция на мобилно приложение. Администраторите могат да управляват целия обект от своите смартфони: да преглеждат логове, да променят разрешения или да реагират на събития по сигурността от всяко място с интернет свързаност. Мобилното приложение осигурява интуитивен интерфейс, който прави сложния контрол на правата за достъп достъпен дори за нетехнически потребители.

Практически препоръки за подобрена сигурност при удостоверяване

• Внедрете множество фактори за удостоверяване. Използвайте поне два отделни механизма за удостоверяване - физически достъп, цифрови токени или мобилно удостоверяване. Тази излишност създава допълнителен слой на защита срещу заплахи за системата.
• Провеждайте редовни одити на достъпа. Преглеждайте правата за достъп и логовете на системата ежемесечно, за да идентифицирате необичайни модели. Редовният мониторинг разкрива потенциални пробиви в сигурността.
• Обучавайте потребителите за правилно удостоверяване. Обучавайте потребителите да избягват споделянето на идентификационни данни, да сменят кодовете често и да боравят правилно с физическите токени. Осведомеността на потребителите намалява риска от компрометирани идентификационни данни.
• Диверсифицирайте контрола на достъпа. Прилагайте различни изисквания за удостоверяване въз основа на нивото на чувствителност. Критичните зони изискват по-обширна проверка.
• Активирайте известия за необичайни опити за влизане. Конфигурирайте системата да уведомява администраторите за множество неуспешни опити за влизане. Незабавните известия позволяват бърза реакция.
• Слоен подход към удостоверяването. Прилагайте различни методи за удостоверяване за различни зони. Това гарантира, че компрометирането в една област не засяга целия обект. Например, активирайте байпас режим. В този случай, ако външна клавиатура задейства забавяне на влизането/излизането, се изисква допълнително дезактивиране с клавиатурата, инсталирана вътре. Това двустепенно удостоверяване създава стабилен контролно-пропускателен пункт, тъй като нарушителите ще трябва да пробият двата слоя за удостоверяване на различни места.

Заключение

Съвременните решения за сигурност изискват всеобхватен подход, който балансира защитата с използваемостта. Ajax Systems се справя с това предизвикателство чрез внедряване на високосигурната технология DESFire, усъвършенствано удостоверяване чрез смартфони на базата на BLE и многофакторна оторизация. Възможностите за дистанционно управление на системата позволяват на администраторите да реагират незабавно на проблеми със сигурността, като същевременно поддържат оперативна ефективност.

Тъй като технологиите за удостоверяване продължават да се развиват, ключов фактор става адаптивността - способността за актуализиране на защитата, коригиране на правилата за достъп и мащабиране на системите без подмяна на хардуера или прекъсване на работата. Организациите, които внедряват слоести и конфигурируеми модели за сигурност, могат да поддържат дългосрочна здравина на системата дори при появата на нови заплахи. Ajax Systems демонстрира как добре обмислената архитектура поддържа растежа, опростява администрацията и поддържа надеждността на контрола на достъпа в постоянно променяща се среда.