В прошлой статье мы рассказывали про защиту учетной записи при помощи двухфакторной аутентификации. Использование дополнительного требования для успешного прохождения аутентификации позволяет повысить безопасность важных учетных записей, но может использоваться далеко не везде. В частности при подключении к почтовому серверу по протоколам IMAP, POP3, CalDAV и Exchange ActiveSync двухфакторная аутентификация не поддерживается. Для защиты сервера от этого вектора атаки используются пароли приложений - отдельные пароли, по которым пользователь может аутентифицироваться при подключении к серверу из стороннего почтового клиента. Благодаря паролям приложений в том случае, если устройство или сам клиент будут скомпрометированы, в руках злоумышленников окажется не пароль учетной записи, с помощью которого они смогут получить доступ к основной учетной записи, а всего лишь один из паролей, предоставляющий доступ к ограниченному набору функций, и который можно легко отозвать, сохранив работоспособность других подключенных к данной учетной записи почтовых клиентов. В данной статье мы расскажем о том, как создавать, удалять и изменять пароли приложений в Carbonio.
Функциональность создания паролей приложений поддерживается только в коммерческой версии Carbonio.
Создание паролей приложений частично доступно пользователям. В настройках веб-клиента в разделе Auth они могут создавать дополнительные пароли для входа в клиентах с поддержкой Exchange ActiveSync, а также QR-коды для входа в мобильные приложения от Zextras.
Мобильный пароль Exchange ActiveSync
Для создания нового пароля EAS перейдите в раздел “Настройки - Auth - Exchange ActiveSync” и нажмите на кнопку “Новая аутентификация +”.
В открывшемся окне укажите название нового пароля. Это нужно для того, чтобы отличать пароли друг от друга в списке, если вы используете несколько устройств для подключения по EAS. Наиболее целесообразно называть пароли именами устройств, на которых вы их планируете использовать. Тогда в случае утери устройства вы легко и безошибочно сможете отозвать введенный на нем пароль.
После ввода названия пароля для EAS, сам пароль будет сгенерирован автоматически. Он не содержит спецсимволы и состоит только из цифр, а также заглавных и прописных букв. Это сделано намеренно для того, чтобы пароль был безопасным, но при этом его можно было бы легко ввести на клавиатуре смартфона.
В случае, если вы намерены использовать десктопный клиент для подключения по EAS или намерены отправить созданный пароль кому-либо, есть возможность скопировать его нажатием одной кнопки под самим паролем.
Обращаем ваше внимание, что после нажатия кнопки “Готово” вы больше не сможете просмотреть созданный пароль. Пользователь сможет только удалить его и впоследствии создать новый. В связи с этим рекомендуем закрывать окно с паролем только после того как он будет сохранен в надежном месте, либо введен непосредственно на устройстве.
Количество паролей приложений, которые можно создать для подключения по EAS не ограничено, поэтому не рекомендуем использовать один и тот же пароль на нескольких устройствах. Гораздо эффективнее будет создать разные пароли для разных устройств.
Для удаления пароля приложения просто выберите его в списке и нажмите кнопку “Удалить”. Почтовый клиент, который ранее осуществлял синхронизацию с почтовым сервером по данному паролю, больше не сможет успешно аутентифицироваться на нем, а администратор сможет удаленно стереть все данные на скомпрометированном устройстве при помощи функции Mobile Device Management.
QR-коды для мобильных приложений
Создать QR-код для входа в мобильные приложения Zextras также можно в настройках веб-клиента. Для этого перейдите в раздел “Настройки - Auth - Мобильное приложение” и нажмите на кнопку “Новая аутентификация +”.
Пользователям Carbonio доступны три приложения - Сarbonio Mail, Zextras Chats и Carbonio Files. Все они доступны как для Android, так и для iOS.
Для мобильной аутентификации вам также потребуется ввести ее описание. Как и в случае с EAS, предпочтительнее указать название устройства, на котором она будет использоваться. У пользователя нет необходимости выпускать отдельный QR-код для каждого мобильного приложения. Достаточно аутентифицироваться только в одном приложении, после чего вам станет доступен автоматический вход в другие приложения Carbonio с введенной вами учетной записью.
После нажатия кнопки “Создать пароль” появится QR-код, который, как и пароль для EAS можно увидеть только на этапе создания. Поэтому прежде чем нажимать на кнопку “Готово”, рекомендуем считать данный QR-код одним из приложений Carbonio на своём мобильным устройстве.
Для удаления созданного QR-кода достаточно просто выбрать его в списке и нажать на кнопку “Удалить”. После удаления все мобильные приложения, вход в которые осуществлялся с использованием данного QR-кода потребуют новой аутентификации.
Административное создание, удаление и изменение паролей приложений
Пароли приложений можно создавать не только сам пользователь, но и администратор при помощи командной строки. Делается это при помощи ветки команд carbonio auth credential. Среди них:
carbonio auth credential add - добавление нового пароля приложения;
carbonio auth credential delete - удаление существующего пароля приложения;
carbonio auth credential update - изменение существующего пароля приложения;
carbonio auth credential list - отображение существующих паролей приложений для учетной записи.
Для примера рассмотрим команду создания нового пароля приложения
carbonio auth credential add user@carbonio.local password Strong_Passw0rD label IMAP_Pass qrcode false service imap
В данном случае мы создали для пользователя user@carbonio.local пароль Strong_Passw0rD для входа по IMAP с названием IMAP_Pass без генерации QR-кода.
После того как пароль будет создан, пользователь user@carbonio.local сможет войти в любой IMAP-клиент при помощи него.
Для просмотра созданных паролей приложений используйте команду
carbonio auth credential list user@carbonio.local
В ее выводе будет содержаться информация о дате создания, названии, идентификаторе пароля, доступных по нему протоколах и т.д.
values
generated 0
created Wed 28 Dec 2022 at 07:53:13
label IMAP_Pass
id tBMGf
services Imap
hash vnhcmKkdK2qdAUOwcoZcYxx9J4R7SInudeR1gmk1iPs=
enabled true
algorithm SHA256
Для изменения ранее созданного пароля потребуется его идентификатор (В приведенном выше примере это tBMGf). Зная его, можно изменить ранее созданный пароль при помощи команды
carbonio auth credential update user@carbonio.local tBMGf label IMAP_POP3_Pass enabled true service imap,eas
В данном случае мы изменили название ранее созданного пароля с IMAP_Pass на IMAP_POP3_Pass, а также добавили к нему поддержку протокола POP3 и теперь пользователь сможет использовать его для входа не только в IMAP, но и в POP3-клиенты.
Также пароль приложения можно на время отключить. Для этого используется параметр enabled. К примеру команда
carbonio auth credential update user@carbonio.local tBMGf enabled false
отключит ранее созданный пароль приложения. В будущем его вновь можно будет включить изменив параметр enabled на true.
Для удаления пароля приложения также потребуется знать его идентификатор. После этого можно будет удалить его при помощи команды
carbonio auth credential delete user@carbonio.local tBMGf
Отметим, что создание пароля приложений в Carbonio не отменяет возможности входа через веб-клиент по основному паролю, однако в целях безопасности лучше всего будет использовать именно пароли приложений.
По вопросам тестирования, приобретения, предоставления лицензии и консультаций обращаться на почту sales@svzcloud.ru к эксклюзивному партнеру Zextras.
aborouhin
А я правильно понимаю, что реализовать ActiveSync с аналогом "Modern authentication" (перенаправление на внешнюю страницу ввода логина/пароля, где может быть MFA, SSO и пр.), как это работает с Exchange / Office365, - для стороннего почтового сервера невозможно (протоколы закрыты, иные причины)?
Zextras Автор
Добрый день, в Carbonio вход в учетную запись по ActiveSync возможен только по основному паролю или по выделенному паролю для EAS
aborouhin
Это я понял, интересно было бы узнать, почему так. Просто не сочли нужным реализовать или же это нереализуемо на стороне сервера никем, кроме Microsoft, в принципе.