Продукты

Двухфакторная аутентификация

Двухфакторная аутентификация (2FA) – это метод проверки подлинности пользователя, основанный на двух факторах:
   - знание чего-либо (логин и пароль);
   - владение чем-либо (устройство аутентификации, например, токен, смарт-карта, мобильный телефон, на который может быть получено SMS и т.д.).
В последнее время именно этот способ аутентификации стал наиболее распространенным в корпоративном и SMB секторах. Применяемая с незапамятных времен парольная защита имеет много уязвимостей и увеличивает риски для бизнеса. Простой пароль можно узнать методами полного перебора (brute force), социальной инженерии, фишинга, взлома баз данных и т.д., а сложный пароль можно просто забыть.
Какие же виды двухфакторной аутентификации сейчас применяются в корпоративном секторе? Это ассиметричная аутентификация на базе PKI (инфраструктуры открытых ключей) или симметричная аутентификация на основе одноразовых паролей (OTP, One-Time Password). 2FA на базе PKI работает следующим образом: закрытый ключ известен только владельцу, а удостоверяющий центр выпускает сертификат открытого ключа, который передается свободно. При использовании метода OTP, генерация одноразового пароля происходит одновременно на сервере аутентификации и на токене пользователя (он может быть как аппаратным, так и программным).
При выборе способа аутентификации служба ИБ должна руководствоваться:
   -требуемым значением уровня безопасности;
   -стоимостью системы двухфакторной аутентификации;
   -сложностью внедрения в ИТ-инфраструктуру компании;
   -нормативными документами регуляторов.
Рассмотрим, как работает программно-аппаратный комплекс для обеспечения двухфакторной аутентификации на базе OTP. В состав такого комплекса входит серверное ПО и токены пользователей. Интеграция с сервисами, на которых используется 2FA, осуществляется с помощью специальных агентов или по протоколам RADIUS (Remote Authentication in Dial-In User Service) и SAML 2.0 (Security assertion markup language). Для того чтобы сопоставить конкретного пользователя с токеном, применяется облегчённый протокол доступа к каталогам (LDAP), при этом в базе данных сервера хранится только информация о пользователе, а не пароль и хэш.  Для доступа к большинству известных облачных сервисов используется SAML 2.0 и технология единого входа (SSO, SingleSignOn), вообще для таких решений существуют облачные сервисы аутентификации. С помощью API  специалисты могут интегрировать 2FA на базе OTP в собственные корпоративные приложения.
Применяются следующие виды генераторов одноразовых паролей:
   -аппаратные генераторы в виде брелоков различного дизайна или смарт-карты, которые формируют значение одноразового пароля с синхронизацией по событию;
   -двухрежимные «калькуляторы» (режимы «синхронизация по событию» и “challenge–response”)
   -генераторы OTP c доставкой в виде SMS;
   -программные генераторы, которые инсталлируются в ОС, в том числе и на мобильные ОС;
   -токены GrIDsure, разработанные на основе принципа матрицы ячеек и выбора пользователем случайной траектории движения по ней (PIP, Personal identification pattern).
Специалисты компании «ITCS» помогут выбрать программно-аппаратный комплекс для двухфакторной аутентификации и развернут его на Вашем предприятии.

Заполните форму, чтобы заказать один из наших продуктов,
и наши специалисты свяждутся с вами