Методы и системызащиты информации, информационная безопасность
Сабирзянова И.И., соискатель Национального исследовательского университета «Московский институт электронной техники»
ПРОГРАММНЫЙ МОДУЛЬ АВТОРИЗАЦИИ ПОЛЬЗОВАТЕЛЕЙ ПО SMS ДЛЯ СИСТЕМЫ УПРАВЛЕНИЯ КОНТЕНТОМ
Любой пользователь Интернета неоднократно сталкивался с необходимостью пройти авторизацию: это требуется для работы с почтовыми сервисами, в социальных сетях, на форумах и на других сайтах всевозможной направленности.
Разработка модуля для двухфакторной авторизации пользователей при помощи SMS-кода является актуальной в настоящее время. На сайтах под управлением 1С-Битрикс изначально предусмотрена авторизация при помощи многоразового пароля - простой и самый распространенный способ подтверждения прав пользователя, но не самый надежный. Для успешного прохождения авторизации обычно необходимо ввести правильные логин и пароль, указанные при регистрации в системе, после чего будет предоставлен доступ к определенному функционалу сайта. Использование паролей имеет ряд недостатков. Во-первых, зачастую пароли от учетных записей хранятся в явном виде (без криптографических преобразований) в системных файлах. Завладев ими, злоумышленник легко может получить доступ к конфиденциальной информации. Во-вторых, мошенники могут завладеть паролем, применив навыки социальной инженерии, либо подобрать пароль с помощью технических средств. Регулярно происходят взломы учетных записей пользователей на различных интернет-ресурсах. Известны случаи публикации базы данных с действительными логинами и паролями.
Решением этой проблемы является двухфакторная (или двухуровневая) авторизация. Этот метод заключается в том, что, помимо пароля, для доступа к аккаунту система запрашивает одноразовый код, который высылается на номер телефона пользователя по SMS. Таким образом, чтобы авторизоваться под чужой учетной записью, нужно не только знать пароль от нее, но и иметь доступ к телефону ее обладателя.
Двухфакторная авторизация по SMS также может служить эффективным средством уведомления владельца учетной записи о попытке злоумышленника получить доступ к ней. Например, если пользователю приходит SMS с кодом подтверждения, в то время как он не пытался войти в свою учетную запись, то это может быть сигналом о том, что кому-то стал известен пароль, и его срочно нужно менять.
В настоящее время уже существуют готовые решения этой задачи, как платные, так и бесплатные. Однако все они либо не рассчитаны для внедрения на сайты под управлением CMS 1С-Битрикс - профессиональной системой управления веб-проектами, либо недостаточно проработаны для удобного использования.
Разрабатываемый модуль должен обеспечивать выполнение следующих функций:
• двухфакторная авторизация пользователя при помощи SMS-кода;
• генерация одноразовых паролей для администраторов сайта;
• настройка групп пользователей, для которых осуществляется двухфакторная
авторизация;
• настройка правил генерации SMS-пароля.
Алгоритм решения задачи следующий. После ввода логина и пароля от учетной записи модуль генерирует одноразовый SMS-код и отправляется на номер телефона пользователя, указанный при регистрации. Затем пользователь вводит полученный код в специальное поле формы авторизации и, если введенный код оказался корректным, пользователь успешно авторизуется на сайте. В случае превышения лимита попыток авторизация данного пользователя временно блокируется. Для администраторов сайта будет предусмотрена возможность авторизоваться при помощи одноразового пароля вместо SMS-кода (например, если у него в данный момент нет доступа к телефону). Эти пароли он сможет сгенерировать в административной панели и запомнить.
Для удобства модуль будет иметь графический интерфейс с настройками генерации кодов в административной панели сайта.
Модуль реализуется на языке PHP на платформе Bitrix Framework.
Проект учитывает последующую масштабируемость модуля авторизации пользователей по SMS во всех редакциях продукта «1С-Битрикс: Управление сайтом».
Литература
1. Ричард Э.Смит. Аутентификация: от паролей до открытых ключей. — М.: Вильямс, 2002. - С. 432. - ISBN 0-201-61599-1.
2. А.А. Шелупанов, С.Л. Груздев, Ю.С. Нахаев. Аутентификация. Теория и практика обеспечения доступа к информационным ресурсам. — М.: Горячая линия - Телеком, 2009. — С. 552. — ISBN 978-5-9912-0110-0.
3. А.А. Гладких, В.Е. Дементьев Базовые принципы информационной безопасности вычислительных сетей. — Ульяновск: УлГТУ, 2009. — С. 156.
4. 1С-Битрикс Разработчикам - Центр поддержки разработчиков [Электронный ресурс]. - Режим доступа: http://dev.1c-bitrix.ru
5. Аутентификация и авторизация: новый взгляд [Электронный ресурс]. - Режим доступа: http://www.connect.ru/article.asp?id=4711
Для дальнейшего прочтения статьи необходимо приобрести полный текст. Статьи высылаются в формате PDF на указанную при оплате почту. Время доставки составляет менее 10 минут. Стоимость одной статьи — 150 рублей.