Инфраструктуры открытых ключей (Полянская) - страница 11
Преимущества системы SSO заметны пользователям с первого взгляда: отпадает необходимость запоминать множество паролей и тратить время на аутентификацию при входе в каждую конкретную систему ( см. рис. 1.3). Этим, однако, достоинства системы SSO не ограничиваются. Во-первых, правильно внедренная система SSO оказывает положительное влияние на безопасность: пользователи регистрируются на своих локальных компьютерах, пароли реже "путешествуют" по сети, и выше вероятность, что единственный пароль, выбранный пользователем, будет "хорошим". Во-вторых, однократная регистрация не просто удобна для пользователей, но также снижает нагрузку на централизованную службу поддержки информации о регистрации и обслуживания паролей (плановая или внеплановая смена паролей, работа с забытыми паролями и пр.), которая уязвима к атакам.
Рис. 1.3. Защищенная однократная регистрация
Естественно, определенная доля риска имеется и при внедрении системы SSO (одна процедура обеспечивает доступ ко всем системам), поскольку создается единая точка отказа в защите сети. Однако системы SSO, как правило, хорошо защищены от несанкционированного доступа; к тому же дополнительную защиту создают средства физической аутентификации [42].
Прозрачность для конечных пользователей
Жизненно важным свойством всеобъемлющей инфраструктуры является ее почти полная прозрачность для пользователей. Такой прозрачностью обладает, например, инфраструктура сетевых коммуникаций, большинству пользователей которой необязательно знать о тонкостях сетевых технологий, или уже приводимая в качестве примера инфраструктура электросетей, многим пользователям которой не нужно беспокоиться об уровне напряжения или мощности электрического тока.
Сервисы инфраструктуры для пользователей можно сравнить с "черным ящиком". Правильно спроектированная инфраструктура безопасности должна обладать теми же свойствами: вся технология обеспечения безопасности должна быть виртуально скрыта от пользователей и не требовать никакого ручного вмешательства, знания ключей и алгоритмов, а ошибки пользователей не должны приводить к серьезной компрометации безопасности. Другими словами, идея прозрачностиинфраструктуры безопасности может быть выражена следующим образом: средства обеспечения безопасности не должны мешать пользователям выполнять работу. Безопасность не должна требовать от пользователей никаких специальных знаний и процедур, а также ощутимо затруднять и замедлять их деятельность. Инфраструктура должна выполнять все задания, имеющие отношение к безопасности, способом, полностью прозрачным для пользователей.