Обычно при фразе “многофакторная аутентификация” люди в первую очередь вспоминают про смс-коды, которые приходят, когда оплачиваешь картой онлайн-покупки. Чуть реже на ум приходит флешка с цифрами, токен.

Сегодня я расскажу про другие способы многофакторной аутентификации и задачи, которые они помогают решить компании. Рассказывать буду на примере решения Gemalto Safenet Authentication Service (SAS), которое существует в формате облачного сервиса и on-premise версии, сертифицированной ФСТЭК.

Все примерно представляют, что такое многофакторная аутентификация: это когда помимо пароля (фактор знания) нужно ввести дополнительный подтверждающий фактор. Их два:

  • фактор владения (то, что у меня есть): коды из смс, email, мобильных приложений, USB-ключи и прочее.
  • фактор свойства (то, чем я являюсь): отпечатки пальцев, радужка глаза.



Обычно внутри компании многофакторную аутентификацию используют для защиты от несанкционированного доступа VDI, web-порталы (OWA, разные ServiceDesk, Confluence, Microsoft IIS), VPN, облачные приложения (Office 365, Salesforce).

Ниже приведу несколько примеров того, какие задачи можно решить с помощью SafeNet Authentication Service.

Задача: соблюдение стандарта PCI DSS
Многофакторная аутентификация – одно из требований стандарта PCI DSS (п. 8.3.). Более того, стандарт требует, чтобы многофакторная аутентификация была одноэтапной: пароль и второй фактор должны вводиться в одном поле. Если злоумышленник попробует завладеть учеткой и ошибется при вводе, ему будет непонятно, где была допущена ошибка – в пароле или токене.

Решение: одноэтапная многофакторная аутентификация по схеме PIN + OTP
Такая схема аутентификации на базе SafeNet реализована в нашей IaaS-платформе, соответствующей требованиям PCI DSS и 152-ФЗ, – Cloud-152. Ее проходят администраторы платформы Cloud-152 для доступа к management-сегменту. Для авторизации нужно ввести в одном поле PIN и OTP, который приходит push-уведомлением в мобильном приложении Mobile Pass.


Так выглядит авторизация для администраторов Cloud-152 со стороны DataLine.

*Здесь должен был быть скриншот с SafeNet Mobile Pass, но приложение блокирует скриншоты.


Задача: двухфакторная аутентификация для сотрудников без смартфона и мобильного интернета
Компания собирается внедрять двухфакторную аутентификацию для входа на рабочие станции. У компании распределенная сеть офисов по всей России, у многих сотрудников нестабильный мобильный интернет или вообще нет смартфона. Получается, что Push-уведомления от мобильных приложений в качестве второго фактора не подойдут. СМС и физические токены отпадают из-за дороговизны.

Решение: использование в качестве второго фактора GrIDSure
GrIDSure – это одноразовый пароль (OTP). Он состоит из таблицы с символами и паттерна, который пользователь сам задает при настройке аутентификации. Для авторизации пользователь выбирает символы из таблицы по этому паттерну и вводит в качестве второго фактора.


Таблица с символами, которую пользователь получает при авторизации на рабочие станции.


Дальше пользователь просто следует выбранному паттерну. Например, вот такому.

В качестве символов можно использовать цифры, буквы и спецсимволы. Размер таблицы настраивается: это может быть таблица 5 на 5 или больше.

При каждой попытке аутентификации таблица обновляется, поэтому такой пароль не забрутфорсить.

С Gridsure также не нужно мобильное приложение, и следовательно, смартфон с мобильным интернетом. GrIDSure отображается в том же интерфейсе и устройстве, что и защищаемый сервис.

Задача: защита веб-сервиса от атаки методом перебора
Многофакторную аутентификацию на базе SafeNet можно использовать для защиты веб-сервисов, опубликованных в интернете, например, Outlook Web App (OWA). Safenet поддерживает RADIUS и SAML-протоколы, поэтому легко интегрируется с сервисами Microsoft Outlook, Office 365, Saleforce, Dropbox, Apache и т.д.

Если злоумышленник знает email’ы, то он сможет атаковать такие сервисы с помощью перебора паролей. Целью такой атаки не всегда может быть захват учетки, а ее блокировка. В теории можно заблокировать всей компании почту.

Решение: использование OTP в качестве второго фактора
Тут можно использовать GrIDSure или Mobile Pass в качестве второго фактора.

Задача: автоматизация выдачи и обслуживания токенов
В компании с распределенной сетью отделений на 20 тысяч сотрудников уже используют двухфакторную аутентификацию с GrIDSure в качестве второго фактора.

Проблема в том, что администраторам приходится тратить много времени на обслуживание токенов: выпускать новые, сбрасывать паттерны и т. д.

Решение: использование портала самообслуживания
В SafeNet есть портал самообслуживания, который поможет автоматизировать рутинные операции и снизить нагрузку на администраторов.

На портале самообслуживания пользователь может оставить всю информацию, необходимую для выпуска токена. Администратору остается только подтвердить ее и отправить ссылку на формирование токена. Если пользователь забыл, какую траекторию выбрал для GrIDSure, то опять-таки самостоятельно может сбросить ее здесь и задать новую.



Задач: Регламентирование доступа к рабочим станциям
В call-центре работают 200 сотрудников посменно. Для экономии ресурсов на двух сотрудников приходится одна рабочая станция. Нужно настроить доступы так, чтобы не было конкурентных сессий.

Решение: внедрение входа по токенам и политики доступа
SafeNet можно установить на каждую рабочую станцию и через него задать политики доступа по времени и IP-адресам. Если смена сотрудника еще не началась, то он не сможет зайти на свою рабочую станцию. Администратор сможет проследить, когда тот или иной сотрудник заходил в систему и с какого IP-адреса в журнале.



Многофакторная аутентификация становится все актуальнее, так как статический пароль даже с большим количеством символов – уже не сложное препятствие на пути злоумышленника.
Еще одна из тенденций в этом направлении – использование токена для доступа сразу к нескольким системам или приложениям компании (SSO-вход). Такой сценарий также можно реализовать с помощью SafeNet. Если интересно, расскажу про него в отдельном посте.

Комментарии (6)


  1. Victor_koly
    31.10.2019 10:57

    чтобы многофакторная аутентификация была одноэтапной: пароль и второй фактор должны вводиться в одном поле.

    Интересное требование. А я вот в веб-банкинге одном видел, что стало уже наоборот. Сначала вводите телефон. Потом оно видимо проверяет, что есть такой клиент. Тогда уже то поле пропадает, появляется поле для пароля. И самая жуткая для безопасности штука — можно настроить так, что сайт посчитает «Вы зашли из привычного места» и никаких звонков/SMS для подтверждения не будет.


    1. avbykov Автор
      31.10.2019 11:43

      Интересное требование. А я вот в веб-банкинге одном видел, что стало уже наоборот. Сначала вводите телефон. Потом оно видимо проверяет, что есть такой клиент. Тогда уже то поле пропадает, появляется поле для пароля.

      Не знаю насколько тот сегмент банкинга, о котором вы говорите, попадает под PCI DSS, но на такой случай у них есть подробное пояснение, чем различается Multi-Factor (многофакторная) и Multi-step (многоэтапная) аутентификация. В этом случае, это явно второе.

      И самая жуткая для безопасности штука — можно настроить так, что сайт посчитает «Вы зашли из привычного места» и никаких звонков/SMS для подтверждения не будет.

      Абсолютно согласен. Такие настройки упрощают MITM атаки. Например, с помощью известного многим инструмента EvilGinx. При настройке всегда отключаем функцию «Remember me» и подобные. Это, конечно, тратит немного времени пользователя, но оправдывает себя в контексте безопасности.


      1. Victor_koly
        31.10.2019 12:12

        Функции «запомнить пароль» там конечно нет и в Хроме я вроде как видел сайт банкинга в категории «никогда не сохранять пароли».
        Но, по идее иногда все же использовать телефон приходится. Может раз в месяц или просто IP провайдер меняет.


        1. avbykov Автор
          31.10.2019 13:44

          Хороший подарок для злоумышленника. Достаточно заполучить «печеньки» и 2-FA уже не будет препятствием.
          P.S. категорически против такой настройки.


  1. Lestok
    01.11.2019 11:11

    ...Многофакторную аутентификацию на базе SafeNet можно использовать для защиты веб-сервисов, опубликованных в интернете...
    Есть ли такие аналогичные сервисы на русском языке?


    1. avbykov Автор
      01.11.2019 11:12

      Добрый день!
      Лично я не встречал, но нас устроил тот факт, что почти весь интерфейс в Safenet кастомизируется и позволяет заменить текст на свой, в том числе на русский.