SecurID
SecurID — это технология двухфакторной аутентификации (2FA), разработанная компанией RSA Security (подразделение Dell Technologies, с 2020 года — независимая компания). Она предназначена для обеспечения безопасного доступа к корпоративным сетям, веб-приложениям, VPN и другим защищённым ресурсам. Основой технологии является использование одноразовых паролей (OTP), генерируемых аппаратными токенами, мобильными приложениями или программными клиентами.
История
Технология SecurID была создана в 1986 году компанией Security Dynamics Technologies (позднее переименована в RSA Security). Первоначально она представляла собой аппаратный токен — небольшое устройство с дисплеем, которое каждые 60 секунд генерировало новый шестизначный код. В 1994 году RSA Security была приобретена корпорацией EMC, а в 2016 году — Dell Technologies. В 2020 году RSA Security была продана консорциуму инвесторов (Symphony Technology Group, Ontario Teachers' Pension Plan и другие) и стала независимой компанией.
В 2011 году технология SecurID подверглась серьёзной атаке: хакеры получили доступ к базе данных RSA, содержащей информацию о токенах. Это привело к компрометации некоторых корпоративных систем, включая сети Lockheed Martin. В ответ RSA Security модернизировала систему, внедрив дополнительные меры защиты, включая использование программных токенов и биометрической аутентификации.
Принцип работы
SecurID основана на алгоритме синхронизации времени (Time-based One-Time Password, TOTP). Каждый токен (аппаратный или программный) содержит уникальный секретный ключ, который синхронизирован с сервером аутентификации RSA Authentication Manager. Каждые 60 секунд токен генерирует новый одноразовый пароль на основе текущего времени и секретного ключа. Пользователь вводит этот пароль вместе с персональным идентификатором (PIN-кодом) или именем пользователя и паролем.
Компоненты системы
- RSA Authentication Manager — центральный сервер, управляющий токенами, политиками безопасности и аутентификацией. Он хранит базу данных секретных ключей и синхронизирует время с токенами.
- Аппаратный токен — компактное устройство (брелок, карта или USB-ключ), которое генерирует OTP. Модели различаются по форм-фактору, сроку службы батареи (от 3 до 5 лет) и степени защиты от пыли и влаги (IP67).
- Программный токен — мобильное приложение (RSA SecurID Token) для iOS и Android, которое генерирует OTP на смартфоне. Также доступны версии для настольных ОС (Windows, macOS).
- RSA SecurID App — мобильное приложение, которое может работать как программный токен, а также поддерживает push-уведомления для подтверждения входа.
- RSA SecurID Cloud — облачная версия сервиса, предоставляющая аутентификацию как услугу (SaaS) для малых и средних предприятий.
Виды аутентификации
SecurID поддерживает несколько режимов аутентификации:
- Двухфакторная аутентификация (2FA) — пользователь вводит имя/пароль и одноразовый код с токена.
- Многофакторная аутентификация (MFA) — дополнительно может использоваться биометрия (отпечаток пальца, Face ID) или геолокация.
- Аутентификация без пароля (Passwordless) — пользователь вводит только PIN-код и одноразовый код, без традиционного пароля.
- Push-аутентификация — пользователь получает push-уведомление на мобильное устройство и подтверждает вход одним касанием.
Применение
SecurID используется в корпоративном и государственном секторах для защиты доступа к:
- Корпоративным сетям (VPN, удалённый доступ).
- Веб-приложениям и порталам (через SAML, OAuth, OpenID Connect).
- Облачным сервисам (Microsoft 365, AWS, Google Workspace).
- Системам управления базами данных и критической инфраструктуре.
- Финансовым и банковским системам (в том числе для онлайн-банкинга).
По данным RSA Security, технология используется более чем в 30 000 организаций по всему миру, включая правительственные учреждения, банки, энергетические компании и военные структуры. В России технология SecurID применяется в ряде крупных банков и промышленных предприятий, однако с 2022 года, в связи с санкционными ограничениями, поставки новых аппаратных токенов в РФ были приостановлены.
Критика и уязвимости
Основные критические замечания в адрес SecurID:
- Атака 2011 года — утечка базы данных токенов привела к компрометации многих корпоративных систем. RSA Security была вынуждена заменить токены для тысяч клиентов.
- Зависимость от синхронизации времени — если часы токена и сервера расходятся, аутентификация может быть заблокирована. Требуется ручная или автоматическая синхронизация.
- Стоимость — аппаратные токены стоят дорого (от 20 до 50 долларов за штуку), а лицензия на сервер Authentication Manager может стоить десятки тысяч долларов.
- Устаревание — в эпоху смартфонов и биометрии аппаратные токены считаются менее удобными по сравнению с программными решениями (например, Google Authenticator, Microsoft Authenticator).
- Отсутствие поддержки в РФ — с 2022 года RSA Security не предоставляет обновления и техническую поддержку для российских клиентов, что вынуждает их переходить на альтернативные решения (например, «КриптоПро» или «Аладдин Р.Д.»).
Альтернативы
На рынке существуют конкурирующие решения для двухфакторной аутентификации:
- Google Authenticator — бесплатный программный токен, использующий TOTP.
- Microsoft Authenticator — поддерживает push-уведомления и биометрию.
- YubiKey — аппаратный USB-ключ с поддержкой FIDO2, U2F и OTP.
- Duo Security (Cisco) — облачная платформа MFA с поддержкой push, SMS и биометрии.
- «КриптоПро» — российский аналог, поддерживающий ГОСТ-криптографию и сертифицированный ФСБ.
Интересные факты
- Первый аппаратный токен SecurID весил около 100 граммов и имел размеры кредитной карты.
- В 2012 году RSA Security выпустила токен в форме USB-накопителя, который одновременно мог использоваться для хранения данных.
- Алгоритм TOTP, используемый в SecurID, был стандартизирован в 2011 году как RFC 6238.
- В 2020 году RSA Security объявила о прекращении поддержки аппаратных токенов в пользу программных решений и облачных сервисов.
Источники
- RSA Security. «SecurID: Two-Factor Authentication». Официальная документация.
- RFC 6238. «TOTP: Time-Based One-Time Password Algorithm». Internet Engineering Task Force, 2011.
- «RSA SecurID: A History of Innovation». RSA Security, 2020.
- «The 2011 RSA SecurID Breach: A Case Study». Journal of Cybersecurity, 2015.
- «Сравнение систем двухфакторной аутентификации». CNews, 2023.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →