Из российских разработчиков аутентификационных продуктовотдельный интерес представляет опыт компании «Арсиэнтек». Механизмдвухфакторной аутентификации позволяет сохранить данные намного надежнее, чемтрадиционные пароли. Информация защищена одноразовым паролем, который имеетвремя жизни всего 30 секунд, из-за чего его практически невозможно подобрать. Компанияразработала с нуля сервис AUTH.AS, обеспечивающий генерацию и проверку переменных паролей. Разработанное ПО включает в себя как сервернуючасть, так и клиентскую на мобильных устройствах.

Курс государства на импортозамещение и специфика направленияИБ требуют создания отечественного продукта, обладающего более широкимфункционалом и отвечающего более жестким требованиям по масштабируемости, чем доступныедля покупки зарубежные решения. AUTH.AS тут пришелся как нельзя кстати.

Идея на стороне

Замысел созданиясервиса защиты информации возник у разработчиков в 2014 г., как единственныйпуть, после внедрения и нескольких лет эксплуатации систем двухфакторной аутентификациина основе продуктов двух западных вендоров. Заказчиком выступала крупнаяроссийская территориально-распределенная компания. Масштаб проекта поражалвоображение: предполагалось подключение нескольких десятков тысячпользователей, для 10 тыс. из них необходимо было обеспечить возможность одновременногодоступа к системе.

«Внедрениеоказалось очень трудоемким, – вспоминает генеральный директор компании «Арсиэнтек»ДенисНештун. – Если в рамкахдемонстрации все было хорошо, то в процессе тестирования перед переводом в эксплуатацию всплыл фундаментальный недостаток – система была абсолютно не масштабируемой».

Выяснилось, чторешение на основе западной разработки способно обеспечить всего лишь пятьаутентификаций в секунду. Естественно, для заказчика со многими тысячамипользователей такая пропускная способность неприемлема. Около года инженеры «Арсиэнтека»плотно работали с вендором, помогаярешать проблему. Аналогичные решения других производителей тоже оказались не масштабируемыми.

Если делать, то лучшее

Российские разработчикиподошли к задаче творчески и с изрядной долей перфекционизма. Они не стремилисьсоздать аналог имеющихся систем двухфакторной аутентификации, им нужен былболее эффективный и многофункциональный продукт. «Получив опыт работы с западными продуктами по двухфакторной аутентификации, мы отлично представлялиих возможности и недостатки, – говорит Денис Нештун. – Все решения того временине отвечали требованиям по масштабированию, их было трудно настроить и у них отсутствовалимобильные клиенты. Мы понимали, что если хочется сделать хорошо – надо создатьсобственный продукт».

Чтобы добитьсявысокой производительности, разработчики построили ядро системы на основетехнологии, которая позволяет работать в активном режиме даже в случае удаленияодной или нескольких точек присутствия.

Изначальносистема проектировалась для высоконагруженных облаков, то есть с возможностьюобслуживать большое количество пользователей одновременно. На один небольшойвиртуальный сервер приходится до 1000 аутентификаций в секунду, при этомсистема является горизонтально масштабируемой. Заказчик может параллельноподключать любое количество серверов, наращивая производительность. Такаямодель удобна как для больших компаний, так и для небольшого бизнеса с перспективой роста.

Разработка AUTH.AS (означает «Authentication As Service», «аутентификация как услуга») занялаоколо года, и в августе 2015 г. готовый продукт был выведен на рынок. Решениеобладает простым и интуитивно понятным интерфейсом, доступно в режиме 24х7,пользователь имеет полный контроль над процессом аутентификации своихприложений. Что особенно важно, сервис не требует хранения паролей на своейстороне – таким образом ликвидирован возможный канал утечек. Также AUTH.AS обладает удобным API для встраивания в работу приложений и поддерживает протоколы интеграции с внешними системами.

В случае когда у Заказчикаустановлены жесткие требования по использованию исключительно аппаратныхтокенов система AUTH.AS можетбыть проинтегрирована с любыми существующими на рынке OTP-токенами.

Мобильная защита

В 2014 г., когданачалась разработка продукта AUTH.AS, у заказчиков резко выросла потребностьиспользовать вместо классических аппаратных токенов мобильные телефоны. Дело в том, что технология генерации одноразовых паролей появилась на рынке в товремя, когда смартфоны только начинали широкое распространение на рынке, и вендоры не озаботились созданием мобильных клиентов. Поэтому необходимо былокак можно скорее ответить на запросы рынка. Специалисты «Арсиэнтек»параллельно с созданием сервернойчасти системы готовили приложение для устройств на платформах iOS и Android, которое позволяет генерироватьодноразовые пароли.

В AUTH.AS реализованы ряд принципиально новыхфункций для подобного класса решений. Например, новый продукт поддерживает синхронизациюпо времени, и теперь можно не бояться, что ваш смартфон, на котором «убежали»часы, сгенерирует неправильный пароль. Приложения запоминают смещения времени и помогают синхронизировать его даже тогда, когда устройство не имеет доступа в Сеть.

«Одну из функциймы назвали TrueOne-TimePassword, благодаря ей сгенерированные пароли действительномогут использоваться только один раз. Если аутентификация в системе прошла с помощью переменного пароля, то backend,то есть серверная сторона, которая отвечает за проверку паролей, второй раз в течение полуминуты не пропустит пользователя. Таким образом, это закрывает тууязвимость, когда кто-то подсмотрел пароль и тут же попытался на своемкомпьютере по нему залогиниться», – объясняет Денис Нештун.

В третьей версиимобильного приложения реализована многопрофильность, благодаря которой можногенерировать пароли для нескольких сервисов. Улучшена синхронизациянастроек и профилей между всеми устройствами с единым AppleID (прииспользовании опции хранилища iCloud).

Кроме того,отметим, что в приложениях AUTH.AS, бесплатно доступных на AppStore и GooglePlay, есть поддержка мобильных устройств с биометрической идентификацией, то есть оснащенных сканером отпечатков пальцев.

Бизнес-модель

AUTH.AS предоставляется в виде облачного сервисаили как коробочный продукт. При этом базовый функционал из облака доступенбесплатно, что является отличным предложением для компаний СМБ с числомпользователей до 10. Для корпоративных клиентов сервис предлагается по подпискестоимостью p99 на одного пользователя в месяц.

Зайдя на сайт AUTH.AS, можно заказать на свой телефон коддоступа к пробной версии сервиса и проверить возможности разработки. Для продвижения сервиса в регионы производитель заключил партнерское соглашение с несколькимикрупнейшими дистрибуторами ПО.

Полностью свой

В сентябре 2016г. продукт AUTH.AS внесен в реестр отечественного ПО,созданного с целью расширения использования российских программных продуктов. Компания«Арсиэнтек»получила из МинкомсвязиРоссии подтверждение того, что продукт полностью соответствует критериямотечественного ПО, создан в России и отечественными разработчиками. «При этоммы работаем над тем, чтобы продукт был интересен не только в России, – отмечаетДенис Нештун. – Мы убеждены, что правильное импортозамещение – это предлагатьрынку именно качественные продукты. При этом отечественное ПО должнопродвигаться не только на основе протекционистских мер, а иметь реальные преимуществанад тем, что уже есть на рынке. Мы считаем, что наш продукт данным критериямотвечает».

Практически всезаказчики AUTH.AS– территориально распределенные компании.Это объясняется тем, что ограничение доступа к информации прежде всего связанос удаленной работой пользователей. Сейчас проходит несколько масштабныхвнедрений продукта. Названия заказчиков в «Арсиэнтек» не раскрывают, но отмечают, что среди нихесть крупные банки.