Аутентификация без пароля обеспечивает надежную защиту кибербезопасности. Пароли могут быть подвержены фишингу, вредоносному ПО или другим нарушениям или утечкам. Избавление от паролей обеспечивает немедленную защиту от атак методом перебора или фишинговых атак. Поскольку учетные данные не подделываются, аутентификация без пароля укрепляет процесс аутентификации, повышает уровень кибербезопасности и улучшает удобство работы пользователей.
Поддерживать и запоминать сотни паролей может быть непросто. Часто мы видим, как пользователи используют один и тот же пароль для нескольких платформ или приложений, или, что еще хуже, используют свои личные пароли в ресурсах предприятия. Если любой из паролей скомпрометирован, это часто приводит к краже учетных данных или взлому, что дает злоумышленникам преимущество в доступе к конфиденциальным учетным записям, данным клиентов, шпионажу или любым другим злонамеренным действиям.
Более того, запоминание всех паролей для различных приложений также может быть сложной задачей для сотрудников. В случае забывчивости сотрудники часто сбрасывают свои пароли, а некачественный или слабый процесс восстановления пароля может увеличить вектор атаки, что часто увеличивает стоимость управления паролями. Помимо этого, общепринятой практикой является периодическая смена паролей. Вместо того чтобы создавать новые, сотрудники часто добавляют или изменяют специальные символы или цифры в существующих паролях, создавая таким образом легко запоминающиеся пароли, которые не так сложны.
Внедрение беспарольной аутентификации может снизить затраты на хранение и обслуживание баз данных паролей. Ниже приведены три метода беспарольной аутентификации, которые можно применить для доступа к SSH.
1. Аутентификация на основе сертификатов
Традиционные методы аутентификации требуют ввода имени пользователя и пароля для подтверждения личности, но аутентификация на основе сертификатов расширяет процесс аутентификации на основе цифровых подписей. Этот метод использует центр сертификации (ЦС), где пользователь проверяется по его сертификату, подписанному выбранным и доверенным ЦС.
Сертификат SSH — это открытый ключ, назначенный доверенным центром сертификации. При подключении по SSH клиент предоставляет сертификат серверу SSH, где он проверяется с помощью открытого ключа ЦС. ЦС также проверяет срок действия сертификата и может проверить дополнительную информацию о клиенте. После одобрения проверки доступ предоставляется пользователю.
Некоторые из преимуществ аутентификации на основе сертификатов – дополнительный ввод информации о пользователе, что позволяет администраторам вводить больше необходимой информации в процессе проверки. Кроме того, короткий цикл действия сертификата повышает общую безопасность. Например, сертификаты с коротким сроком действия требуют обновления, что еще больше расширяет процесс аутентификации и поддерживает весь доступ в актуальном состоянии.
2. Аутентификация на основе хоста
В то время как аутентификация на основе сертификатов или ключей SSH используется на уровне пользователя, аутентификация на основе хоста используется на уровне хоста. Этот тип аутентификации позволяет аутентифицировать хосты некоторым или всем пользователям хоста. Аутентификация на основе хостов очень полезна для управления кластерами.
Чтобы включить аутентификацию на основе хоста, необходимо подготовить SSH-клиент и SSH-сервер. На стороне клиента должны быть настроены два файла, и должен быть создан один ключ хоста.
Хост-файлы:
/etc/ssh/ssh_known_hosts
/etc/ssh/ssh_config
Host-ключ:
/etc/ssh/ssh_host_rsa_key
Затем введите в настройки клиента открытые ключи сервера и настройте общесистемную конфигурацию для клиента. После этого можно настроить личные ключи хоста клиентской системы. После настройки и создания на нужной клиентской системе учетная запись, входящая в одну из этих систем, будет иметь полную аутентификацию.
На стороне сервера, для аутентификации на основе хоста, необходимо изменить три файла на целевом сервере:
/etc/shosts.equiv
/etc/ssh/ssh_known_hosts
/etc/ssh/sshd_config
Эти файлы должны быть включены для разрешения аутентификации на основе хоста и используются для получения открытых ключей хоста от клиента и включения аутентификации на основе хоста. После включения необходимо зарегистрировать разрешенную клиентскую систему на целевом сервере и заполнить сервер открытыми ключами клиента. После этого вы можете применить тот же процесс общесистемной настройки для целевого сервера, что и для клиентской стороны.
Короче говоря, SSH-клиенты требуют подписи от сервера SSH. Это происходит на этапе аутентификации, которая подписывается закрытым ключом хоста клиента. Проверяется имя хоста клиента, а затем подпись от открытого ключа хоста клиента. Предоставление клиенту доступа к SSH-серверу.
Некоторые из преимуществ аутентификации на основе хоста – использование для нескольких или больших групп серверов или машин для одного пользователя, где единый процесс аутентификации предоставит доступ ко всем группам. Еще одним преимуществом является предоставление прав администратора для доступа к серверу без раскрытия или совместного использования ключей администратора.
3. Аутентификация ключа SSH
Аутентификация с помощью ключей SSH основана на инфраструктуре открытых и закрытых ключей. Благодаря криптографической стойкости ключи SSH устойчивы к вредоносным атакам, таким как перебор, и могут защитить учетные данные. Закрытый ключ хранится у клиента в секрете, а открытый ключ является общим и может использоваться для шифрования сообщений, которые может расшифровать закрытый ключ.
После создания пары открытого и закрытого ключей открытый ключ помещается в файл authorized_key на целевом сервере. Это связывает учетную запись пользователя с открытым ключом. На этапе аутентификации сервер генерирует сообщение, зашифрованное открытым ключом, и отправляет его SSH-клиенту, которое расшифровывается с помощью закрытого ключа пользователя (SSH-клиент).
Преимущества аутентификации по ключу SSH могут заключаться в практичности применения при меньшем количестве серверов и пользователей и в том, что ее можно легко настроить для клиентов и серверов SSH. Хотя следует помнить, что ротация ключей может стать проблемой, а управление ключами может создать дополнительные процедуры безопасности, которые необходимо рассмотреть.
Исходя из задач и запросов каждой организации, лучше всего попробовать все типы беспарольных методов аутентификации и посмотреть, какой из них подходит для вашей инфраструктуры!
Источник: https://bit.ly/3NwEoan
