Смарт-карты
Компании все более интенсивно ищут пути повышения безопасности своих сетевых ресурсов. Одним из наиболее распространенных методов для решения этой задачи становится использование смарт-карт. Применение смарт-карт является относительно простым способ защиты, значительно затрудняющим несанкционированный доступ к сети. Поэтому в Windows 2000 включена встроенная поддержка обеспечения безопасности с помощью смарт-карт.
Смарт-карты, обычно обладающие размером кредитной карты, обеспечивают защищенное хранение сертификатов и закрытых ключей пользователей. Таким образом, предоставляется очень надежное средство для аутентификации пользователей, интерактивного входа, подписывания кода и безопасной электронной почты. Смарт-карта содержит чип, на котором хранятся закрытый ключ пользователя, учетные данные для входа и сертификат открытых ключей, используемый для различных целей, таких как цифровые подписи и шифрование данных.
Смарт-карты надежнее паролей по следующим причинам:
- Для аутентификации пользователя нужен физический объект, карта.
- Карта используется с персональным идентификационным номером (Personal identification number, PIN), гарантирующим ее применение только законным обладателем.
- Риск похищения учетных данных практически отсутствует, так как извлечь ключ, хранящийся на карте, физически невозможно.
- Без карты нельзя получить доступ к защищенным ресурсам.
- В сети не передаются пароли или иная подобным образом используемая информация.
Использование смарт-карт более эффективно в сравнении с аутентификацией программными средствами, поскольку прежде чем пользователь получит доступ к ресурсу, ему необходимо предъявить физический объект (карту) и продемонстрировать знание закрытой информации (PIN-кода карты). Таким образом, обеспечивается аутентификация по двум факторам. Использование смарт-карт для аутентификации пользователей является оптимальным решением, если необходимо обеспечить дополнительную безопасность, как, например, при предоставлении доступа к бухгалтерским программам компании.
Вместо ввода пароля пользователь вставляет карту в устройство, присоединенное к компьютеру, и набирает PIN-код карты. Центр распространения ключей на контроллере домена Windows 2000 осуществляет аутентификацию пользователя с помощью закрытого ключа и сертификата, хранящихся на смарт-карте, а затем выдает билет TGT. С этого момента при подключениях, выполняемых пользователем в рамках данной сессии, используется аутентификация Kerberos, как это было описано выше.