Выбор двухфакторной аутентификации (2FA): на что стоит обратить внимание
Киберпреступники всё чаще стали вести охоту на учетные данные пользователей. Их успеху способствует несколько факторов. Во-первых, однообразность паролей и редкое обновление этих паролей, в результате чего их не сложно скомпроментировать. Во-вторых, участившиеся случаи фишинга и невнимательные сотрудники, которые оставляют на фишинговых страницах свои данные.
Заполучив конфиденциальную информацию, злоумышленник обязательно воспользуется ею, зачастую – с финансовой выгодой для себя. Да, получение личных данных может окончиться шуткой, но, как правило, подобные действия выполняются с корыстной целью.
Имея на руках учетные данные пользователя, злоумышленник может:
- скачать коммерческую информацию,
- внести изменения во внутренние документы или распоряжения,
- изменить сведения для личной выгоды,
- несанкционированно изменить привилегии других пользователей.
Пример стандартной схемы аутентификации:
- Пользователь хочет получить доступ к CRM-системе.
- Он переходит по ссылке, вводит данные учетной записи.
- Пользователь получает доступ. Это всё.
И даже в такой простой схеме есть уязвимое место: пользователь может перейти по фишинговый ссылке и оставить учетные данные там. После этого злоумышленник может воспользоваться ими для входа в корпоративную CRM-систему и остаться незамеченным.
Если речь идет об учетных данных пользователя с правами администратора, то цена ошибки возрастает, поскольку это напрямую повлияет на финансовые и репутационные риски всей компании.
Чтобы избежать этих рисков, необходимо использовать решения для двухфакторной аутентификации. Решения двухфакторной аутентификации имеют несколько названий – Two Factor Authentication (сокращенно 2FA) или её еще называют мульти-факторная аутентификация (Multi-factor Authentication, MFA).
Для чего нужна двухфакторная аутентификация?
2FA требуется для защиты данных с помощью двух элементов или этапов:
- Знание (логин, пароль).
- Владение (отпечаток пальца или другая биометрия, электронный ключ безопасности / токен, одноразовый код).
Двухфакторная аутентификация стала неотъемлемой частью нашей online-жизни. У каждого из нас есть учётная запись электронной почты или аккаунт в VK, или в Facebook. Для таких сервисов двухфакторная аутентификация должна быть обязательной. Если вы до сих пор ей не пользуетесь, то пора пройти в настройки безопасности и включить её.
Стоит отметить, что часто двухфакторную авторизацию путают с двухэтапной. В первом случае факторы авторизации обязательно должны быть различны, как мы и описывали – знание и владение. Пароль + PIN код не является двухфакторной авторизацией, это пример двухэтапной авторизации. Хотя двухэтапная авторизация может быть двухфакторной, но не всегда наоборот.
Виды технологий двухфакторной аутентификации
Пароль SMS – один из самых простых видов двухфакторки. Стоит помнить, что данный тип имеет высокие риски. СМС сообщения не шифруются, а телефон можно потерять.
Приложение-аутентификатор – похожий вид на СМС, но отправка кода происходит по зашифрованному соединению HTTPS и перехватить информацию практически невозможно. Если на приложение установлен вход по отпечатку пальца, PIN-коду или Face Id, это добавит третий фактор, обеспечив защиту в случае кражи телефона.
Биометрическая аутентификация – подтверждение личности пользователя посредством идентификации биометрических данных, таких как отпечаток пальца, радужная оболочка глаза и др. Для этого требуется дополнительное ПО или оборудование.
Аппаратные токены (ключи) – это носители в виде USB-флешек, хранящих сертификат или генерирующих одноразовый пароль.
Как правило, современные приложения поддерживают Push-аутентификацию. Но какие решения лучше подойдут для бизнес-сегмента? Дальше мы рассмотрим двухфакторную аутентификацию для компаний.
Решения двухфакторной аутентификации для бизнеса
Любая организация хочет самое надежное, удобное и непревзойденное решение для обеспечения информационной безопасности. Но для разных задач и условий необходимо свое решение. Там, где одно справляется хорошо, другое идеально.
Решения двухфакторной аутентификации для бизнеса можно встретить в виде отдельных инструментов, так и в составе таких классов решений, как IAM (Identity Access Management) или NGFW (Next Generation Firewall).
Опыт интегратора Cloud Networks показывает, что выбор всегда зависит от задач, требований и инфраструктурных особенностей. Различные кейсы внедрений показали нам, что самое главное – найти все нюансы инфраструктуры, предусмотреть развитие, учесть взаимосвязи. И тогда выбрать своё идеальное решение из различных 2FA становится проще простого.
Обзор решений двухфакторной авторизации для бизнеса
Рынок многофакторной аутентификации не маленький, команда Cloud Networks решала разные задачи и готова поделиться опытом. Стоит рассмотреть продукты для разных компаний (от SMB до Enterprise), способные качественно повысить уровень защиты:
- Fortinet FortiAuthenticator
- ESET Secure Authentication
- Cisco DUO
- Silverfort
- Мультифактор
- JaCarta Authentication Server (JAS) от Аладдин Р.Д.
- One Identity
Fortinet FortiAuthenticator
Данное решение часто занимает высокие места в тестированиях и имеет много положительных отзывов.
Fortinet FortiAuthenticator прост в использовании и настройке, а техническая поддержка на высоком уровне. Решение поддерживает все современные типы токенов: физические, одноразовые пароли (One Time Password), собственное приложение iOS и Android, сторонние приложения (Google Authenticator и т. д.).
Разворачивается On-Premise в виде hardware-сервера или виртуальной машины.
Есть плагины для NGINX, благодаря которым решение удобно интегрируется с современными Web-ресурсами собственной разработки.
ESET Secure Authentication
Награды AV-Comparatives не обходят стороной это самостоятельное решение.
Мы сильно выделяем наличие SDK, позволяющее интегрировать данный продукт в собственные решения. Например, внутренние порталы или продукты, включающие личные кабинеты пользователей и т. п.
Сервер управления устанавливается на Windows Server. Имеет мобильное приложение и Push-уведомления. Приложение поддерживает встроенную биометрию iOS и Android.
Для управления решением используется web-консоль.
Cisco DUO
Фактически является многофакторной авторизацией.
Облачная реализация центра управления. Включает возможность проводить оценку доверия пользователя. Входит в концепцию нулевого доверия (Zero Trust).
Решение проводит оценку риска устройства по различным критериям: версии браузера, операционные системы, включенные функции защиты, получение root-прав. При доступном интернет-соединении возможен способ авторизации через push-уведомления, в том числе и на умные часы.
Silverfort
Решение помогает легко реализовать концепцию нулевого доверия для IoT-устройств, файловых ресурсов, гипервизоров и т. д., там, где другие из коробки не заработают.
Silverfort работает на основе оценки уровня риска. Самообучаемые модели ИИ. Не требует прокси серверов или агентов. 2FA, например, для PsExec и PowerShell.
On-premise решение в виде виртуальной машины. Интуитивно понятный, стильный интерфейс центра управления.
Мультифактор
Российское облачное решение. Базируется в дата-центре DataLine. Классная возможность работы с мессенджером Telegram.
Среди других решений, пожалуй, одно из самых «дружелюбных» к интеграции со вторыми факторами, токенами, приложениями, touch ID ноутбука.
Присутствует замена стандартного входа с помощью компонента Windows Logon. Легкая самостоятельная настройка второго фактора аутентификации пользователями через браузер, что позволяет быстро внедрить защиту постфактум, например из-за перевода на удаленную работу.
JaCarta Authentication Server (JAS) от Аладдин Р.Д.
Российское локальное решение, сертифицированное ФСТЭК.
Компания Аладдин Р. Д. уже зарекомендовала себя, как поставщика токенов авторизации широкого спектра с использованием системы централизованного управления. Их продукт по двухфакторной авторизации имеет уникальную разработку: использование одноразового QR-кода при добавлении пользователя в систему.
Решение не требует развертывания PKI-инфраструктуры.
One Identity
Локальное решение, отличительной чертой которого является глубокая интеграция с Active Directory, что позволяет хранить учетные данные, роли и правила в AD, выполнять резервное копирование с применением текущих средств, используемых для AD и легко масштабировать инструмент с ростом AD.
Решение поддерживает все типы токенов, имеет SDK. Отличается простым интерфейсом и встроенным функционалом Help desk, для быстрого решения проблем и задач с токенами. Простая и удобная ценовая модель (лицензия по пользователям).
Лицензирование включает в себя все агенты, портал самообслуживания, 1 год технической поддержки. Стоимости поддержки токенов нет.
Оставьте свою почту, и мы отправим на нее сравнительную таблицу по 2FA
Заключение
Решений много и все они по-своему хороши. Ключевыми факторами при выборе являются:
- подробный анализ инфраструктуры,
- поиск ключевых особенностей,
- соответствие требованиям внутренних политик информационной безопасности компании.
И, конечно же, важно выбирать по функциональным критериям. Но не всегда есть время и ресурсы для того, чтобы тестировать несколько решений единовременно или подряд. Для удобства выбора мы составили сравнительную таблицу, в которой постарались отразить разносторонние критерии шести решений.
