- что-то, что вы знаете (smth you know), например пароль, пассфраза, секретное рукопожатие или девичья фамилия вашей матери;
- что-то, что у вас есть (smth you have), например пользовательский сертификат, токен, смарт-карта или бедж;
- что-то чем вы есть (smth you are), вернее какая-то из ваших биологических характеристик, например рисунок сетчатки глаза или отпечаток пальца.
Теоретически, пароль является наименее "сильным" (но при этом самым дешевым) фактором аутентификации. Его можно подслушать, поднюхать или извлечь при помощи утюга и паяльника. Из-за этого вся эта возня с периодической сменой паролей, требованиям к их сложности и запретам сохранять и передавать в незашифрованном виде.
Для усиления аутентификации к ней добавляют второй (а иногда и третий) фактор. Все в кино видели, как при входе в супер-мега-секретный бункер огенты проходят распознание голоса, подставляют глаза под ядовито-зеленые лучи сканеров и проводят магнитными картами по щелям магнитных замков? Внедрение подобных систем обходится не дешево и доступно большим компаниям и государственным учреждениям. Что же делать частным лицам и микро-бизнесу, чтобы защитить себя от последствий терморектального криптоанализа ?
Для рядового пользователя весьма полезным может оказаться веб-ресурс Personal Identity Portal от компании Verisign. Сайт пока в "бете", но уже довольно популярен. Система совмещает в себе функционал провайдера OpenID (username.pip.verisignlabs.com), безопасного файлового хранилища (File Vault), собственно средств публикации персональной информации и (самое вкусное!) механизма централизованного логона во множество сайтов. О последнем подробнее.
Этот чудо-веб-single-sign-on реализован в виде (а) хранилища учетных записей (username, password, URL), (б) ссылки (обычно на панели закладок) на JavaScript-функцию, которая
распознает сайт в текущей вкладке браузера и подставляет в поля формы аутентификации нужные учетные данные из хранилища, а также (в) удобной и гибкой системы аутентификации в самом PIP, которая включает в себя использование таких факторов:
- логина и пароля - то, что мы знаем;
- специально генерированного (VeriSign все-таки =) сертификата в браузере - то, что у нас есть (но мы можем потерять это вместе с компьютером);
- и на закуску - программного или аппаратного (на выбор) токена VeriSign Identity Protection . Я предпочитаю пользоваться его программной реализацией в виде J2ME приложения на мобильном телефоне.
Пользоваться или нет этим ресурсом - ваше личное дело, альтернатива всегда под рукой. Но попробовать я советую каждому.
Также приходилось мне иметь дело со схемой аутентификации, в которой были одновременно задействованы (1) учетные данные пользователя, (2) временные пользовательские сертификаты и (3) одноразовые пароли, высылаемые в виде SMS на зарегистрированные номера мобильных телефонов. На первый взгляд выглядит запутанно и сложно в использовании, но это мнение ошибочно. Суровые ветераны "органов" за 50 довольно эффективно пользуются такой системой для доступа в корпоративную сеть через SSL VPN.
Описанная схема реализуется в продукте Multifa SecureAuth и использует двухфакторную аутентификацию. Двухфакторную, потому что и пароль доменного пользователя, и одноразовый пароль - это раз (относятся к "smth you know"), а сертификат и мобильный телефон - это два ("smth you have"). Такой инструмент может пригодиться небольшой компании с внушительным количеством путешествующих сотрудников (road warriors), требующих регулярного доступа к корпоративной сети.
