Решение задачи двухфакторной аутентификации

В современной модели угроз очевидно, что однофакторная парольная аутентификация не способна обеспечить адекватный уровень защиты. Главная задача, стоящая перед предприятиями при переходе к надежной двухфакторной аутентификации (2FA), — выбор и адаптация конкретных технологий аутентификации к IT-инфраструктуре компании. К сожалению, универсальной технологии не существует, любой выбор будет иметь преимущества и недостатки. Решение проблемы заключается в применении нескольких (как правило, двух-трех) технологий аутентификации в зависимости от контекста работы сотрудников.

Технологии аутентификации

Выбор технологий аутентификации состоит из оценки безопасности технологии, удобства использования, технической возможности применения, а также стоимости. Указанные показатели зависят от условий работы пользователей, целевых приложений, защищаемых двухфакторной аутентификацией и конечного устройства, на котором работает сотрудник.

Выбор технологии аутентификации

Сформулируем следующие критерии выбора системы двухфакторной аутентификации:

• Безопасность — на сколько технология аутентификация отвечает потребностями организации в области ИБ. Например, одноразовые пароли обеспечивают адекватный уровень защиты для большинства сценариев, с другой стороны, организация может быть вынуждена применять иные технологии для соответствия внешним требованиям, таким как требования регуляторов или отраслевые стандарты.
• Удобство использования — на сколько конечным пользователям будет комфортно применять ту или иную технологию в условиях их работы. Например, доступ к рабочему столу с использованием одноразовых паролей может быть не удобен, т.к. потребует генерировать и вводить пароль много раз в течение рабочего дня.
• Стоимость использования технологии аутентификации складывается из нескольких составляющих:
  • Стоимость внедрения определяет первоначальный затраты на приобретение необходимого программного и аппаратного обеспечения, а также на работы по развертыванию системы;
  • Возможность использования имеющегося парка устройств может существенно сэкономить стоимость внедрения, устранив необходимость приобретения аппаратной составляющей.
  • Стоимость владения определяет затраты на ежедневное использование технологии аутентификации: техническая поддержка, замена вышедших из строя устройств, стоимость SMS сообщений и др.
  • Сложность интеграции технологии аутентификации с целевыми информационными системами может существенно повлиять на стоимость внедрения технологии аутентификации, например, если целевые системы не поддерживают стандартные механизмы интеграции.

Сценарии использования 2FA

Ниже приведены распространенные примеры сценариев использования двухфакторной аутентификации.

Работа в офисе

Офисный режим работы за персональным компьютером или ноутбуком остается основным при работе с информационными системами и, как следствие, для него доступен широкоий спектр технологий строгой аутентификации. Одним из наиболее доступных и развитых методов двухфакторной аутентификации при работе на ПК является использование цифровых сертификатов и индивидуальных ключевых носителей — смарт-карт или USB-токенов. Технология основана на инфраструктуре открытых ключей (PKI) и обладает следующими преимуществами:

• Для аутентификации используется два фактора: устройство пользователя, где в защищенной памяти хранится закрытый ключ и PIN-код пользователя — сочетаются факторы “что пользователь имеет” и “что пользователь знает”.
• Применение цифровых сертификатов  — технология строгой аутентификации, в процессе аутентификации доменный пароль не используется и не передается по сети. PIN-код проверяется локально на борту смарт-карты.
• Технология аутентификации по сертификатам встроена в ОС Windows, что гарантирует совместимость со всеми версиями ОС и возможность работы “из коробки”.
• PIN-код может быть заменен на отпечаток пальца с помощью технологии match-on-card.
• Смарт-карты и сертификаты, кроме аутентификации, поддерживают операции электронной подписи документов и шифрования данных.
• Низкая стоимость владения — так как индустрия производства смарт-карт хорошо развита, стоимость устройств одна из самых низких среди технологий строгой аутентификации.

Смарт-карты и USB-токены с сертификатами используются для доступа в ОС и целевые приложения на ПК, в терминальном доступе, VDI или VPN. Для работы на мобильных устройствах доступны USB-токены в micro-исполнении.

Удаленный доступ через VPN, VDI

При удаленной работе сотрудники получают доступ к локальным ресурсом организации по средствам технологии VPN, виртуальных рабочих столов или удаленной доставки приложений. Когда пользователь работает на ПК, то использование цифровых сертификатов может являться по-прежнему удобной и поддерживаемой целевыми сервисами технологией двухфакторной аутентификации. Однако, применение цифровых сертификатов может быть ограничено когда целевой сервис не поддерживает работу с сертификатами или пользователь работает не на ПК, а на мобильном устройстве: планшете или смартфоне.

В таких сценариях универсальным способом аутентификации становятся технологии одноразовых паролей (One-Time Password, OTP). Одноразовый пароль может быть доставлен пользователю следующими способами: по SMS или email; сгенерирован на смартфоне или брелоке по стандартизованным алгоритмам OATH; или доставлен на смартфон с помощью push-сообщения. Одноразовые пароли работают как в двухфакторном режиме, когда пользователь сначала указывать статичный пароль, а потом ОТР, так и в однофакторном режиме, когда для успешной аутентификации достаточно предоставить только одноразовый пароль. Широкий выбор вариантов исполнения ОТР-технологии позволяет легко адаптировать ее к потребностям организации.

Еще одним удобным Out Of Band (OOB) способом аутентификации является применение специализированного приложения для смартфона. Такое приложение принимает от сервера аутентификации push-уведомления и запрашивает у пользователя подтверждение операции входа в целевую систему. Пользовательский сценарий при таком подходе может быть следующим: пользователь вводит логин и пароль в форму входа в целевое приложение и наживает “войти”; после этого на смартфон приходит запрос (push-уведомление) на подтверждение операции входа (в запросе, например, могут указываться дополнительные данные: название приложения, куда выполняется вход, IP-адреса и др.); пользователь нажимает на смартфоне “подтвердить” и получает доступ в систему. Такой подход удобнее для пользователя, т.к. не требует генерации и ввода одноразовых паролей, однако для его реализации необходим доступ в Интернет на смартфоне.

Доступ к опубликованным в Интернет ресурсам

Частно организации публикуют в Интернет отдельные сервисы для возможности доступа к ним пользователей из-за пределов сети предприятия с помощью ПК, планшета или смартфона. Как правило, такие сервисы предоставляют собой web- или мобильные приложения, что накладывает серьезные ограничения на использование двухфакторной аутентификации.

Аналогично предыдущему сценарию, оптимальным решением проблемы строгой аутентификации здесь будет являться применение технологий одноразовых паролей, либо специализированного приложения для смартфона.

Отдельно следует отметить, что для мобильного режима работы актуально применение системы аутентификации, включающей в себя традиционные факторы аутентификации и дополнительные данные: IP-адрес пользователя; устройство, с которого осуществляется доступ; день недели и текущее время; частота получения доступа и др. Такой подход учитывает контекст работы пользователя (т.н. context-based authentication), что позволяет усилить защищенность опубликованных ресурсов и вовремя блокировать в случае аномальной активности пользователя.

Продукты компании «Индид»

Ниже приведен перечень продуктов, которые реализуют технологии двухфакторной аутентификации, описанные выше.

Indeed Card Management

Централизованная система управления жизненным циклом ключевых носителей (смарт-карт и USB-ключей) и цифровых сертификатов. Indeed Card Management снижает расходы на использование PKI-инфраструктуры и повышает эффективность ее использования за счет применения централизованных политики использования смарт-карт и сертификатов, автоматизации рутинных операций и предоставления пользователям сервиса самообслуживания.

Indeed Enterprise Authentication

Универсальная система аутентификации, предназначенная для организации строгой и двухфакторной аутентификации в информационных системах, используемых на предприятиях: ОС, web- и мобильные приложения, VPN, VDI, SAML-совместимые приложения и др. Поддерживается также технология Enterprise Single Sign-On.

Indeed AirKey Enterprise

Виртуальная смарт-карта представляет собой программную реализацию классической смарт-карты, что позволяет использовать Indeed AirKey Enterprise в любых сценариях, доступных классическим картам. При этом организация не несет дополнительных затрат на аппаратные носители. Инфраструктура виртуальных смарт-карт управляется централизованно администратором системы, включая удаленную доставку карты на ПК пользователя и уничтожение карты.