Открыть сервис

SecurID

SecurID — это технология двухфакторной аутентификации (2FA), разработанная компанией RSA Security (подразделение Dell Technologies, с 2020 года — независимая компания). Она предназначена для обеспечения безопасного доступа к корпоративным сетям, веб-приложениям, VPN и другим защищённым ресурсам. Основой технологии является использование одноразовых паролей (OTP), генерируемых аппаратными токенами, мобильными приложениями или программными клиентами.

История

Технология SecurID была создана в 1986 году компанией Security Dynamics Technologies (позднее переименована в RSA Security). Первоначально она представляла собой аппаратный токен — небольшое устройство с дисплеем, которое каждые 60 секунд генерировало новый шестизначный код. В 1994 году RSA Security была приобретена корпорацией EMC, а в 2016 году — Dell Technologies. В 2020 году RSA Security была продана консорциуму инвесторов (Symphony Technology Group, Ontario Teachers' Pension Plan и другие) и стала независимой компанией.

В 2011 году технология SecurID подверглась серьёзной атаке: хакеры получили доступ к базе данных RSA, содержащей информацию о токенах. Это привело к компрометации некоторых корпоративных систем, включая сети Lockheed Martin. В ответ RSA Security модернизировала систему, внедрив дополнительные меры защиты, включая использование программных токенов и биометрической аутентификации.

Принцип работы

SecurID основана на алгоритме синхронизации времени (Time-based One-Time Password, TOTP). Каждый токен (аппаратный или программный) содержит уникальный секретный ключ, который синхронизирован с сервером аутентификации RSA Authentication Manager. Каждые 60 секунд токен генерирует новый одноразовый пароль на основе текущего времени и секретного ключа. Пользователь вводит этот пароль вместе с персональным идентификатором (PIN-кодом) или именем пользователя и паролем.

Компоненты системы

  • RSA Authentication Manager — центральный сервер, управляющий токенами, политиками безопасности и аутентификацией. Он хранит базу данных секретных ключей и синхронизирует время с токенами.
  • Аппаратный токен — компактное устройство (брелок, карта или USB-ключ), которое генерирует OTP. Модели различаются по форм-фактору, сроку службы батареи (от 3 до 5 лет) и степени защиты от пыли и влаги (IP67).
  • Программный токен — мобильное приложение (RSA SecurID Token) для iOS и Android, которое генерирует OTP на смартфоне. Также доступны версии для настольных ОС (Windows, macOS).
  • RSA SecurID App — мобильное приложение, которое может работать как программный токен, а также поддерживает push-уведомления для подтверждения входа.
  • RSA SecurID Cloudоблачная версия сервиса, предоставляющая аутентификацию как услугу (SaaS) для малых и средних предприятий.

Виды аутентификации

SecurID поддерживает несколько режимов аутентификации:

Применение

SecurID используется в корпоративном и государственном секторах для защиты доступа к:

  • Корпоративным сетям (VPN, удалённый доступ).
  • Веб-приложениям и порталам (через SAML, OAuth, OpenID Connect).
  • Облачным сервисам (Microsoft 365, AWS, Google Workspace).
  • Системам управления базами данных и критической инфраструктуре.
  • Финансовым и банковским системам (в том числе для онлайн-банкинга).

По данным RSA Security, технология используется более чем в 30 000 организаций по всему миру, включая правительственные учреждения, банки, энергетические компании и военные структуры. В России технология SecurID применяется в ряде крупных банков и промышленных предприятий, однако с 2022 года, в связи с санкционными ограничениями, поставки новых аппаратных токенов в РФ были приостановлены.

Критика и уязвимости

Основные критические замечания в адрес SecurID:

  • Атака 2011 года — утечка базы данных токенов привела к компрометации многих корпоративных систем. RSA Security была вынуждена заменить токены для тысяч клиентов.
  • Зависимость от синхронизации времени — если часы токена и сервера расходятся, аутентификация может быть заблокирована. Требуется ручная или автоматическая синхронизация.
  • Стоимость — аппаратные токены стоят дорого (от 20 до 50 долларов за штуку), а лицензия на сервер Authentication Manager может стоить десятки тысяч долларов.
  • Устаревание — в эпоху смартфонов и биометрии аппаратные токены считаются менее удобными по сравнению с программными решениями (например, Google Authenticator, Microsoft Authenticator).
  • Отсутствие поддержки в РФ — с 2022 года RSA Security не предоставляет обновления и техническую поддержку для российских клиентов, что вынуждает их переходить на альтернативные решения (например, «КриптоПро» или «Аладдин Р.Д.»).

Альтернативы

На рынке существуют конкурирующие решения для двухфакторной аутентификации:

  • Google Authenticator — бесплатный программный токен, использующий TOTP.
  • Microsoft Authenticator — поддерживает push-уведомления и биометрию.
  • YubiKey — аппаратный USB-ключ с поддержкой FIDO2, U2F и OTP.
  • Duo Security (Cisco) — облачная платформа MFA с поддержкой push, SMS и биометрии.
  • «КриптоПро» — российский аналог, поддерживающий ГОСТ-криптографию и сертифицированный ФСБ.

Интересные факты

  • Первый аппаратный токен SecurID весил около 100 граммов и имел размеры кредитной карты.
  • В 2012 году RSA Security выпустила токен в форме USB-накопителя, который одновременно мог использоваться для хранения данных.
  • Алгоритм TOTP, используемый в SecurID, был стандартизирован в 2011 году как RFC 6238.
  • В 2020 году RSA Security объявила о прекращении поддержки аппаратных токенов в пользу программных решений и облачных сервисов.

Источники

  • RSA Security. «SecurID: Two-Factor Authentication». Официальная документация.
  • RFC 6238. «TOTP: Time-Based One-Time Password Algorithm». Internet Engineering Task Force, 2011.
  • «RSA SecurID: A History of Innovation». RSA Security, 2020.
  • «The 2011 RSA SecurID Breach: A Case Study». Journal of Cybersecurity, 2015.
  • «Сравнение систем двухфакторной аутентификации». CNews, 2023.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →