Методи аутентифікації без пароля

Відсутність паролів забезпечує захист від атак шляхом перебору і частково нівелює ефективність фішингових атак. Оскільки облікові дані не підробляються - підвищується рівень кібербезпеки та покращується зручність роботи.

Ще один момент – запам'ятовувати сотні паролів може бути непросто. Часто ми бачимо, як користувачі використовують один і той самий пароль для кількох платформ або програм, або, що ще гірше, використовують свої особисті паролі в ресурсах підприємства.

Запам'ятовування всіх паролів для різних програм також може бути складним завданням для працівників. У разі забудькуватості співробітники часто скидають свої паролі, при цьому неякісний процес відновлення пароля може збільшити вектор атаки. При періодичній зміні паролів - замість того щоб створювати нові, співробітники часто додають або змінюють спеціальні символи або цифри, створюючи таким чином паролі, що легко запам'ятовуються, але стають менш складними.

Безпарольна автентифікація частково вирішує ці проблеми. Нижче наведено три методи безпарольної аутентифікації, які можна застосувати для доступу за допомогою SSH.

1. Аутентифікація на основі сертифікатів

За допомогою сертифікатів автентифікація здійснюється лише на основі цифрових підписів.

Цей метод використовує центр сертифікації (ЦС), де користувач перевіряється за сертифікатом, підписаним обраним і довіреним ЦС.

Сертифікат SSH – це відкритий ключ, призначений довіреним центром сертифікації. При підключенні SSH клієнт надає сертифікат серверу SSH, де він перевіряється за допомогою відкритого ключа ЦС. ЦС також перевіряє термін дії сертифіката та може перевірити додаткову інформацію про клієнта. Після схвалення перевірки доступ надається користувачеві.

Однією з переваг автентифікації на основі сертифікатів є додаткове введенням інформації про користувача, що дозволяє адміністраторам вводити більше необхідної інформації в процесі перевірки. Крім того, короткий цикл дії сертифіката підвищує загальну безпеку, оскільки потребує оновлення та підтримує весь доступ в актуальному стані.

2. Аутентифікація на основі хоста

Аутентифікація на основі сертифікатів або ключів SSH відрізняється від використання аутентифікації на основі хоста, яка корисна для керування кластерами.

Щоб увімкнути аутентифікацію на основі хоста, необхідно підготувати SSH-клієнт та SSH-сервер. На стороні клієнта мають бути налаштовані два файли, і має бути створено один ключ хоста.

 Хост-файли:

 /etc/ssh/ssh_known_hosts

/etc/ssh/ssh_config

Host-ключ:

/etc/ssh/ssh_host_rsa_key

Потім слід ввести в налаштування клієнта відкриті ключі сервера та налагодити загальносистемну конфігурацію для клієнта. Після налаштування та створення на потрібній клієнтській системі - обліковий запис, матиме повну автентифікацію.

Для аутентифікації на основі хоста необхідно змінити три файли на цільовому сервері:

 /etc/shosts.equiv

/etc/ssh/ssh_known_hosts

/etc/ssh/sshd_config

Ці файли повинні бути включені для дозволу автентифікації на основі хоста та використовуватися для отримання відкритих ключів.

Після включення необхідно зареєструвати дозволену клієнтську систему на цільовому сервері та заповнити сервер відкритими ключами клієнта. Далі можна застосувати цей процес для цільового сервера.

Іншими словами, SSH-клієнти вимагають підпису від сервера SSH.

Це відбувається на етапі автентифікації, що підписується закритим ключем хоста клієнта. Перевіряється ім'я хоста клієнта, потім підпис від відкритого ключа і далі надається клієнту доступ до SSH-серверу.

Деякі з переваг автентифікації на основі хоста – використання кількох або великих груп серверів\машин для одного користувача, де єдиний процес автентифікації надасть доступ до всіх груп. Ще однією перевагою є надання прав адміністратора для доступу до сервера без розкриття чи спільного використання ключів адміністратора.

3. Аутентифікація за допомогою ключа SSH

Завдяки криптографічній стійкості ключі SSH стійкі до перебору та можуть захистити облікові дані.

Закритий ключ зберігається у клієнта в секреті, а відкритий ключ є спільним і може використовуватися для шифрування повідомлень, які можуть розшифрувати закритий ключ.

Після створення пари відкритого та закритого ключів відкритий ключ міститься у файл authorized_key на цільовому сервері. Це пов'язує обліковий запис користувача з відкритим ключем.

На етапі аутентифікації сервер генерує повідомлення, зашифроване відкритим ключем, і відправляє його SSH-клієнту, який розшифровується за допомогою закритого ключа користувача (SSH-клієнт).

Переваги автентифікації за ключем SSH можуть полягати в практичності застосування при меншій кількості серверів та користувачів та в тому, що її можна легко налаштувати для клієнтів та серверів SSH.

Хоча слід пам'ятати, що ротація ключів може стати проблемою, а управління ключами може вимагати додаткових процедур безпеки.

Виходячи із завдань, найкраще спробувати всі типи безпарольних методів аутентифікації та подивитися, який з них підходить більше.

З питань проведення індивідуальної демонстрації, пілотного тестування рішення Fudo і організації партнерських тренінгів звертайтеся, будь ласка:  [email protected], +38 073 168 08 65.

Джерело: https://bit.ly/3NwEoan