RSA SecurID
RSA SecurID — это торговая марка аппаратных и программных средств двухфакторной аутентификации, разработанных и продаваемых компанией RSA Security LLC (подразделение корпорации Dell Technologies). Основное назначение технологии — обеспечение повышенной защиты доступа к корпоративным информационным системам, веб-приложениям и сетевым ресурсам за счёт использования одноразового динамического пароля (OTP), который генерируется через определённые промежутки времени (обычно 30 или 60 секунд) и является уникальным для каждого сеанса аутентификации.
История
Технология RSA SecurID была разработана в середине 1980-х годов американским учёным и предпринимателем Кеннетом Вайсом (Kenneth Weiss) совместно с математиком Дереком Бруксом (Derek Brooks). В 1986 году была основана компания Security Dynamics Technologies, Inc., которая в 1989 году выпустила первый коммерческий продукт под названием SecurID. В 1994 году компания была переименована в RSA Security (название получила по аббревиатуре фамилий основателей криптосистемы RSA — Rivest, Shamir, Adleman). В 2006 году RSA Security была приобретена корпорацией EMC за 2,1 миллиарда долларов США. В 2016 году EMC была поглощена Dell Technologies, и RSA стала частью подразделения Dell EMC. В 2020 году компания RSA Security была продана консорциуму инвесторов (STG, Symphony Technology Group, Ontario Teachers’ Pension Plan и др.) за 2,075 миллиарда долларов, выделившись в самостоятельную структуру.
Первоначально SecurID представлял собой небольшое аппаратное устройство — токен (аппаратный ключ), на дисплее которого отображался шести- или восьмизначный код, меняющийся каждые 60 секунд. Впоследствии появились программные реализации (софт-токены) для мобильных устройств, настольных компьютеров и смарт-карт. Начиная с 2010-х годов RSA перешла к облачной платформе RSA SecurID Access, которая объединяет аппаратные токены, мобильные приложения, биометрию и адаптивную аутентификацию на основе анализа рисков.
Принцип работы
RSA SecurID основан на синхронизации времени между токеном (или программным клиентом) и сервером аутентификации (RSA Authentication Manager). Каждое устройство содержит уникальный секретный ключ (seed), который записывается в память токена на этапе производства и одновременно загружается в базу данных сервера. Генерация одноразового пароля происходит по алгоритму, который использует текущее время (с точностью до секунд) и секретный ключ. Сервер, зная секретный ключ и текущее время, вычисляет ожидаемый код и сравнивает его с кодом, введённым пользователем. Допускается небольшая погрешность во времени (обычно до 2–3 минут) для компенсации рассинхронизации.
Процесс аутентификации с использованием RSA SecurID включает два этапа:
- Пользователь вводит свой персональный идентификатор (PIN-код), который известен только ему.
- Пользователь вводит текущее значение OTP, отображаемое на токене или в приложении.
Комбинация PIN-кода и одноразового пароля образует так называемый passcode (код доступа), который передаётся на сервер. Сервер проверяет соответствие введённого кода ожидаемому значению, а также валидность PIN-кода. Если оба параметра совпадают, пользователь получает доступ к ресурсу.
Виды токенов
RSA SecurID выпускается в нескольких форм-факторах:
Аппаратные токены
- Классический токен (RSA SecurID 700) — небольшое устройство с ЖК-дисплеем, на котором отображается одноразовый код. Имеет кнопку для запроса кода (в некоторых моделях). Работает от встроенной батарейки, срок службы — около 3–5 лет.
- Токен с USB-интерфейсом (RSA SecurID 900) — подключается к компьютеру через USB-порт и автоматически вводит код в поле ввода пароля. Может также использоваться как обычный токен с дисплеем.
- Токен в формате смарт-карты (RSA SecurID 800) — вставляется в считыватель смарт-карт, поддерживает стандарты ISO 7816. Используется в корпоративных системах с высокой степенью защиты.
Программные токены (софт-токены)
- RSA SecurID Software Token — приложение для мобильных устройств (iOS, Android) или настольных компьютеров (Windows, macOS), которое эмулирует работу аппаратного токена. Код генерируется на устройстве пользователя.
- RSA SecurID Token для браузера — расширение для веб-браузеров, которое автоматически заполняет поле OTP при входе на защищённые сайты.
- RSA SecurID для виртуальных машин — программный токен, работающий в виртуальной среде (например, VMware, Hyper-V).
Облачные и гибридные решения
С 2015 года RSA предлагает облачную платформу RSA SecurID Access, которая включает:
- облачный сервер аутентификации (RSA Cloud Authentication Service);
- поддержку мультифакторной аутентификации (MFA) с использованием OTP, push-уведомлений, биометрии (отпечаток пальца, распознавание лица);
- адаптивную аутентификацию (risk-based authentication) — система анализирует поведение пользователя, местоположение, устройство и время входа, и в зависимости от уровня риска может запросить дополнительный фактор или предоставить доступ без него.
Применение
RSA SecurID широко используется в корпоративном секторе, государственных учреждениях, финансовых организациях и оборонных структурах для защиты удалённого доступа к информационным системам. Основные области применения:
- VPN-доступ — защита подключений к корпоративным сетям через протоколы IPsec, SSL VPN (например, Cisco AnyConnect, Pulse Secure).
- Веб-порталы — аутентификация на корпоративных сайтах, порталах для сотрудников, клиентов и партнёров.
- Системы управления доступом — интеграция с Microsoft Active Directory, LDAP, RADIUS, TACACS+.
- Облачные сервисы — защита доступа к Microsoft 365, Salesforce, Google Workspace, AWS, Azure и другим облачным платформам.
- Критическая инфраструктура — защита систем управления производственными процессами (SCADA), энергетики, транспорта.
По оценкам RSA, на 2023 год продуктами SecurID пользуются более 25 000 организаций по всему миру, включая правительства 45 стран, 90% крупнейших банков США и многие компании из списка Fortune 500.
Критика и уязвимости
Несмотря на широкое распространение, RSA SecurID неоднократно подвергался критике и становился объектом атак:
- Атака на RSA в 2011 году — в марте 2011 года компания RSA объявила, что стала жертвой сложной кибератаки (Advanced Persistent Threat, APT), в результате которой злоумышленники получили доступ к информации, связанной с продуктом SecurID. Хотя RSA заявляла, что украденные данные не позволяют напрямую скомпрометировать токены, впоследствии была зафиксирована атака на компанию Lockheed Martin, где злоумышленники использовали информацию, полученную в результате взлома RSA. После этого инцидента RSA предложила бесплатную замену токенов для наиболее критичных клиентов.
- Уязвимость к фишингу — одноразовый пароль, генерируемый токеном, может быть перехвачен злоумышленником в реальном времени (например, через поддельный сайт, имитирующий страницу входа). Для защиты от таких атак RSA рекомендует использовать дополнительный фактор (например, push-уведомление) или адаптивную аутентификацию.
- Проблемы синхронизации времени — если часы на токене или сервере расходятся более чем на допустимый интервал, аутентификация становится невозможной. Для решения этой проблемы RSA предоставляет утилиты для ручной или автоматической синхронизации.
- Сложность администрирования — управление большим количеством токенов (замена батарей, отзыв утерянных устройств, синхронизация) требует значительных административных усилий.
Интересные факты
- Алгоритм генерации OTP в RSA SecurID является закрытым (проприетарным). Долгое время компания не публиковала подробностей о криптографической основе, что вызывало критику со стороны специалистов по безопасности. В 2015 году RSA опубликовала спецификацию алгоритма (RSA SecurID OTP Algorithm) в открытом доступе.
- Аппаратные токены RSA SecurID используются в системах управления государственными секретами в ряде стран, включая Россию (в рамках сертифицированных решений для защиты государственной тайны).
- В 2012 году RSA выпустила токен, встроенный в корпус USB-накопителя (RSA SecurID 900), который одновременно служит устройством хранения данных и генератором OTP.
- Стоимость одного аппаратного токена составляет от 30 до 100 долларов США в зависимости от модели и объёма закупки. Программные токены обычно распространяются по подписке (от 2 до 10 долларов на пользователя в месяц).
Источники
- RSA Security LLC. «RSA SecurID: Product Documentation». — 2023.
- RSA Security LLC. «RSA SecurID OTP Algorithm Specification». — 2015.
- Schneier, B. «Applied Cryptography». — John Wiley & Sons, 1996.
- «RSA SecurID breach: what happened and what it means» // Computerworld, 2011.
- «Lockheed Martin breach linked to RSA SecurID» // The New York Times, 2011.
- Dell Technologies. «RSA SecurID Access: Product Overview». — 2020.
- Федеральная служба по техническому и экспортному контролю (ФСТЭК России). «Сертифицированные средства криптографической защиты информации». — 2022.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →