Выбор двухфакторной аутентификации (2FA): на что стоит обратить внимание

Cloud Networks > Аналитика > Выбор двухфакторной аутентификации (2FA): на что стоит обратить внимание
03.02.2022

Выбор двухфакторной аутентификации (2FA): на что стоит обратить внимание

Киберпреступники всё чаще стали вести охоту на учетные данные пользователей. Их успеху способствует несколько факторов. Во-первых, однообразность паролей и редкое обновление этих паролей, в результате чего их не сложно скомпроментировать. Во-вторых, участившиеся случаи фишинга и невнимательные сотрудники, которые оставляют на фишинговых страницах свои данные.

Заполучив конфиденциальную информацию, злоумышленник обязательно воспользуется ею, зачастую – с финансовой выгодой для себя. Да, получение личных данных может окончиться шуткой, но, как правило, подобные действия выполняются с корыстной целью.

Имея на руках учетные данные пользователя, злоумышленник может:

  • скачать коммерческую информацию,
  • внести изменения во внутренние документы или распоряжения,
  • изменить сведения для личной выгоды,
  • несанкционированно изменить привилегии других пользователей.

Пример стандартной схемы аутентификации:

  1. Пользователь хочет получить доступ к CRM-системе.
  2. Он переходит по ссылке, вводит данные учетной записи.
  3. Пользователь получает доступ. Это всё.

И даже в такой простой схеме есть уязвимое место: пользователь может перейти по фишинговый ссылке и оставить учетные данные там. После этого злоумышленник может воспользоваться ими для входа в корпоративную CRM-систему и остаться незамеченным.

Если речь идет об учетных данных пользователя с правами администратора, то цена ошибки возрастает, поскольку это напрямую повлияет на финансовые и репутационные риски всей компании.

Чтобы избежать этих рисков, необходимо использовать решения для двухфакторной аутентификации. Решения двухфакторной аутентификации имеют несколько названий – Two Factor Authentication (сокращенно 2FA) или её еще называют мульти-факторная аутентификация (Multi-factor Authentication, MFA).

 

Для чего нужна двухфакторная аутентификация?

2FA требуется для защиты данных с помощью двух элементов или этапов:

  1. Знание (логин, пароль).
  2. Владение (отпечаток пальца или другая биометрия, электронный ключ безопасности / токен, одноразовый код).

Двухфакторная аутентификация стала неотъемлемой частью нашей online-жизни. У каждого из нас есть учётная запись электронной почты или аккаунт в VK, или в Facebook. Для таких сервисов двухфакторная аутентификация должна быть обязательной. Если вы до сих пор ей не пользуетесь, то пора пройти в настройки безопасности и включить её.

Стоит отметить, что часто двухфакторную авторизацию путают с двухэтапной. В первом случае факторы авторизации обязательно должны быть различны, как мы и описывали – знание и владение. Пароль + PIN код не является двухфакторной авторизацией, это пример двухэтапной авторизации. Хотя двухэтапная авторизация может быть двухфакторной, но не всегда наоборот.

 

Виды технологий двухфакторной аутентификации

Пароль SMS – один из самых простых видов двухфакторки. Стоит помнить, что данный тип имеет высокие риски. СМС сообщения не шифруются, а телефон можно потерять.

Приложение-аутентификатор – похожий вид на СМС, но отправка кода происходит по зашифрованному соединению HTTPS и перехватить информацию практически невозможно. Если на приложение установлен вход по отпечатку пальца, PIN-коду или Face Id, это добавит третий фактор, обеспечив защиту в случае кражи телефона.

Биометрическая аутентификация – подтверждение личности пользователя посредством идентификации биометрических данных, таких как отпечаток пальца, радужная оболочка глаза и др. Для этого требуется дополнительное ПО или оборудование.

Аппаратные токены (ключи) – это носители в виде USB-флешек, хранящих сертификат или генерирующих одноразовый пароль.

Как правило, современные приложения поддерживают Push-аутентификацию. Но какие решения лучше подойдут для бизнес-сегмента? Дальше мы рассмотрим двухфакторную аутентификацию для компаний.

 

Решения двухфакторной аутентификации для бизнеса

Любая организация хочет самое надежное, удобное и непревзойденное решение для обеспечения информационной безопасности. Но для разных задач и условий необходимо свое решение. Там, где одно справляется хорошо, другое идеально.

Решения двухфакторной аутентификации для бизнеса можно встретить в виде отдельных инструментов, так и в составе таких классов решений, как IAM (Identity Access Management) или NGFW (Next Generation Firewall).

Опыт интегратора Cloud Networks показывает, что выбор всегда зависит от задач, требований и инфраструктурных особенностей. Различные кейсы внедрений показали нам, что самое главное – найти все нюансы инфраструктуры, предусмотреть развитие, учесть взаимосвязи. И тогда выбрать своё идеальное решение из различных 2FA становится проще простого.

 

Обзор решений двухфакторной авторизации для бизнеса

Рынок многофакторной аутентификации не маленький, команда Cloud Networks решала разные задачи и готова поделиться опытом. Стоит рассмотреть продукты для разных компаний (от SMB до Enterprise), способные качественно повысить уровень защиты:

  • Fortinet FortiAuthenticator
  • ESET Secure Authentication
  • Cisco DUO
  • Silverfort
  • Мультифактор
  • JaCarta Authentication Server (JAS) от Аладдин Р.Д.
  • One Identity

Fortinet FortiAuthenticator

Данное решение часто занимает высокие места в тестированиях и имеет много положительных отзывов.

Fortinet FortiAuthenticator прост в использовании и настройке, а техническая поддержка на высоком уровне. Решение поддерживает все современные типы токенов: физические, одноразовые пароли (One Time Password), собственное приложение iOS и Android, сторонние приложения (Google Authenticator и т. д.).

Разворачивается On-Premise в виде hardware-сервера или виртуальной машины.

Есть плагины для NGINX, благодаря которым решение удобно интегрируется с современными Web-ресурсами собственной разработки.

ESET Secure Authentication

Награды AV-Comparatives не обходят стороной это самостоятельное решение.

Мы сильно выделяем наличие SDK, позволяющее интегрировать данный продукт в собственные решения. Например, внутренние порталы или продукты, включающие личные кабинеты пользователей и т. п.

Сервер управления устанавливается на Windows Server. Имеет мобильное приложение и Push-уведомления. Приложение поддерживает встроенную биометрию iOS и Android.

Для управления решением используется web-консоль.

Cisco DUO

Фактически является многофакторной авторизацией.

Облачная реализация центра управления. Включает возможность проводить оценку доверия пользователя. Входит в концепцию нулевого доверия (Zero Trust).

Решение проводит оценку риска устройства по различным критериям: версии браузера, операционные системы, включенные функции защиты, получение root-прав. При доступном интернет-соединении возможен способ авторизации через push-уведомления, в том числе и на умные часы.

Silverfort

Решение помогает легко реализовать концепцию нулевого доверия для IoT-устройств, файловых ресурсов, гипервизоров и т. д., там, где другие из коробки не заработают.

Silverfort работает на основе оценки уровня риска. Самообучаемые модели ИИ. Не требует прокси серверов или агентов. 2FA, например, для PsExec и PowerShell.

On-premise решение в виде виртуальной машины. Интуитивно понятный, стильный интерфейс центра управления.

Мультифактор

Российское облачное решение. Базируется в дата-центре DataLine. Классная возможность работы с мессенджером Telegram.

Среди других решений, пожалуй, одно из самых «дружелюбных» к интеграции со вторыми факторами, токенами, приложениями, touch ID ноутбука.

Присутствует замена стандартного входа с помощью компонента Windows Logon. Легкая самостоятельная настройка второго фактора аутентификации пользователями через браузер, что позволяет быстро внедрить защиту постфактум, например из-за перевода на удаленную работу.

JaCarta Authentication Server (JAS) от Аладдин Р.Д.

Российское локальное решение, сертифицированное ФСТЭК.

Компания Аладдин Р. Д. уже зарекомендовала себя, как поставщика токенов авторизации широкого спектра с использованием системы централизованного управления. Их продукт по двухфакторной авторизации имеет уникальную разработку: использование одноразового QR-кода при добавлении пользователя в систему.

Решение не требует развертывания PKI-инфраструктуры.

One Identity

Локальное решение, отличительной чертой которого является глубокая интеграция с Active Directory, что позволяет хранить учетные данные, роли и правила в AD, выполнять резервное копирование с применением текущих средств, используемых для AD и легко масштабировать инструмент с ростом AD.

Решение поддерживает все типы токенов, имеет SDK. Отличается простым интерфейсом и встроенным функционалом Help desk, для быстрого решения проблем и задач с токенами. Простая и удобная ценовая модель (лицензия по пользователям).

Лицензирование включает в себя все агенты, портал самообслуживания, 1 год технической поддержки. Стоимости поддержки токенов нет.

Оставьте свою почту, и мы отправим на нее сравнительную таблицу по 2FA

Сравнение 2FA

Заключение

Решений много и все они по-своему хороши. Ключевыми факторами при выборе являются:

  • подробный анализ инфраструктуры,
  • поиск ключевых особенностей,
  • соответствие требованиям внутренних политик информационной безопасности компании.

И, конечно же, важно выбирать по функциональным критериям. Но не всегда есть время и ресурсы для того, чтобы тестировать несколько решений единовременно или подряд. Для удобства выбора мы составили сравнительную таблицу, в которой постарались отразить разносторонние критерии шести решений.

Выбор двухфакторной аутентификации (2FA): на что стоит обратить внимание - 1

Подберем подходящее решение за 5 минут онлайн

Пройдите опрос, который поможет с выбором подходящего продукта. А при необходимости наши специалисты готовы проконсультировать по вопросам выбора, настройки и внедрения решений двухфакторной аутентификации.

    2FA
    Мы не передадим ваши данные третьим лицам и не будем донимать спамом
    to-top