Использование только логина и пароля для аутентификации пользователя не всегда может быть надежным. Пароль может оказаться простым и быть подобран или подсмотрен; достаточно сложно вовремя понять, что пароль пользователя раскрыт и известен кому-либо другому, кроме его владельца.
Для обеспечения более сильной защиты применяется так называемая многофакторная аутентификация – то есть, аутентификация из нескольких шагов. Отличным примером средства многофакторной аутентификации являются смарт-карты, или другие устройства, схожие со смарт-картами, например, USB-ключи eToken.
Несомненное достоинство ключа eToken перед смарт-картой – он не требует специального считывателя, а просто вставляется в свободный порт USB.
Аутентификация по смарт-карте или ключу может использоваться при входе в Windows, при подключении к VPN или RDP, при подключении к Outlook Web App.
Требуется только, чтобы на компьютере пользователя находился драйвер для смарт-карт или USB-ключей.
Например, при входе в Outlook Web App – вместо окна ввода логина и пароля выводится запрос на выбор сертификата:
В смарт-карту или ключ может быть загружено несколько сертификатов, при этом один из них помечается как используемый по умолчанию. Некоторые программы – например Internet Explorer – позволяют выбрать нужный из всех найденных в смарт-карте сертификатов. Другие программы – например, клиент удаленного рабочего стола – не позволяют выбрать сертификат – выбирается только указанный по умолчанию.
Выбрав сертификат, пользователю необходимо ввести лишь пин-код для доступа к смарт-карте или USB-ключу. И – все, авторизация пройдена! Таким образом, смарт-карта является полной заменой логину и паролю, используемому при обычной аутентификации.
Использование смарт-карты при аутентификации на рабочую станцию в Windows регулируется групповой политикой, и так же политикой регулируется поведение системы при убирании смарт-карты из считывателя (или USB-ключа из порта). Система может никак не реагировать на вытаскивание смарт-карты, может автоматически блокировать (Lock) сеанс пользователя до установки смарт-карты обратно, и может завершать (Logoff) сеанс пользователя.
Несомненная польза смарт-карты в том, что аутентификация с ее помощью является многофакторной – требуется предоставить «что-то, что мы имеем», то есть саму смарт-карту, и «что-то, что мы знаем», то есть пин-код к ней. И к тому же, в отличие от просто пароля, утрату смарт-карты или ключа обнаружить гораздо легче, чем факт разглашения пароля. По факту утраты можно вовремя принять меры по отзыву сертификатов и запрета их использования для аутентификации.
).
