Технология аутентификации при помощи SMS
Автор Anton Shlykov, Last modified by Anton Shlykov на 21 апреля 2016 10:12 AM

Введение

Технология  аутентификации через SMS базируется на принципе одноразового пароля. Преимущество одноразового пароля по сравнению со статическим паролем состоит в том, что пароль невозможно использовать повторно. Таким образом, злоумышленник, перехвативший данные из успешной сессии аутентификации, не может использовать скопированный пароль для получения доступа к защищаемой информационной системе.

Примером использования одноразового пароля является аутентификация с помощью аппаратных и программных токенов и PIN кодов.  Однако у этих методов есть свои минусы  - при использовании аппаратного токена пользователям необходимо иметь при себе отдельное устройство, а при использовании программного токена нужно загружать специальное приложение на устройство.

Распространённая технология, используемая для доставки одноразовых паролей — это SMS.

SMS (англ. Short Message Service — служба коротких сообщений) — технология, позволяющая осуществлять приём и передачу коротких текстовых сообщений сотовым телефоном.

SMS — это повсеместный канал связи, который имеется во всех телефонах и используется большим количеством клиентов. Следовательно, SMS сообщения, обладая низкой себестоимостью, имеют наибольший потенциал для всех потребителей. Токены, смарт-карты и другие традиционные методы аутентификации гораздо более дороги для реализации и для использования.

Принцип работы

Для начала необходимо зарегистрировать номер телефона на сервере организации, к ресурсам которой мы хотим получить доступ. После чего при попытке аутентификации на зарегистрированный номер телефона придет СМС с одноразовым паролем для входа в систему.

Возможен и другой вариант. Помимо регистрации номера телефона необходимо знать специальный код. При успешном вводе этого когда на зарегистрированный номер телефона придет СМС  с одноразовым паролем для входа в систему.

В качестве примера рассмотрим алгоритм аутентификации через СМС - RSA Mobile.

Доставка атрибутов одноразового пароля через СМС на мобильный телефон основана на двух основных программных компонентах: сервер аутентификации и агент, устанавливаемый на защищаемый ресурс. Для подключения к GSM-сети и передачи текстовых сообщений SMS по протоколу SMPP используется специальный plug-in. Никакого дополнительного аппаратного и программного обеспечения на рабочем месте конечных пользователей не требуется.

GSM (от названия группы Groupe Spécial Mobile, позже переименован в Global System for Mobile Communications) (русск. СПС-900) — глобальный цифровой стандарт для мобильной сотовой связи.

Short message peer-to-peer protocol (SMPP) — протокол, описывающий взаимодействие конечного клиента с SMS-сервером (SMSC).

Схема предоставления доступа зарегистрированному пользователю весьма проста. При входе на Web-портал, защищенный средствами RSA Mobile, вводится имя и пароль, после этого система ищет номер телефона, соответствующий имени абонента, и пересылает на него одноразовый код доступа в виде сообщения SMS. Пользователь вводит код и получает доступ к требуемому ресурсу. Проведенные испытания показали, что код доступа доставляется по назначению менее чем за 6 секунд.

Программное обеспечение RSA Mobile, прежде всего, ориентировано на корпоративных пользователей, которые могут применять его в интересах своих сотрудников и клиентов.

Преимущества аутентификации через СМС

  • Нет необходимости иметь с собой специальное устройство или устанавливать какое-либо программное обеспечение.

  • Изначально система однофакторная. Однако возможны реализации построенные на основе двухфакторной аутентификации.

  • Одноразовый пароль действует только в течение одного сеанса.

(1 голос(а))
Эта статья полезна
Эта статья бесполезна

Комментарии (0)
Добавить новый комментарий
 
 
Полное имя:
Email:
Комментарии: