Общие сведения и термины wiki Auth.as
-
Предпосылки к переходу на двухфакторную аутентификацию
В современном мире информация является самым ценным ресурсом, которым располагают компании. Это накладывает повышенные требования к обеспечению безопасности и контролю доступа к информационным системам. Большинство современных систем и приложений подразумевают удалённый̆ доступ сотрудников к информации и работу с ней в поле, при этом нередки случаи утечки информации через кражу учётных данных пользователей, перехват сетевых данных в незащищенных сетях. Чтобы сделать доступ к информационным ресурсам безопасным, требуется применение новых подходов. На сегодняшний день, самым простым и удобным в повседневном использовании решением, является выбор в пользу второго фактора аутентификации.
-
Аутентификация
Не путать с “Авторизацией”. В нашем случае — процедура проверки подлинности пользователя, путём сравнения введённого им пароля с паролем, сохранённым в базе данных пользователей. Можно провести аналогию с удостоверением личности гражданина по паспорту – факт того, что личность не выдает себя за другого;
-
Авторизация
Не путать с “Аутентификацией”. Предоставление пользователю прав на выполнение определённых действий; а также процесс проверки (подтверждения) данных прав при попытке выполнения этих действий. Можно провести аналогию со штампом о прописке в паспорте — это значит, что предъявитель имеет право проживать по указанному адресу.
-
Двухфакторная аутентификация
Все прекрасно знают, что такое имя пользователя (логин) и пароль — это учётные данные пользователя для доступа к интернет-банку, производственной системе или к почтовому ящику – это первый фактор аутентификации, и все опасаются того, что эти данные станут известны посторонним лицам. Второй фактор — это дополнительный пароль, который генерируется на устройстве, физически и логически независимом от целевой системы.
-
Токен
В нашем случае, это некий генератор переменных паролей. Различают 2 вида токенов:
- Аппаратный токен — компактное устройство в виде брелока или компактного калькулятора, предназначенное для генерации переменных паролей. Работает автономно от батареек, требует специальной синхронизации с сервисом.
- Виртуальный токен — мобильное приложение с упрощенной процедурой синхронизации, и дополнительными функциями защиты. Работает также автономно, в современных условиях более предпочтительно в использовании, чем аппаратный токен: проще ввести в работу, проще восстановить, проще управлять, дешевле.
-
Виды паролей при двухфакторной аутентификации
- SMS-сообщения, которые могут быть перехвачены или не дойти до адресата; и ещё они стоят денег;
- Скетч-карты с одноразовыми паролями, которые пользователи для удобства хранят в компьютере, предварительно переписав их все, выпуск которых тоже не бесплатен, а логистика приносит дополнительные неудобства;
- Разнообразные физические ключи-хранилища сертификатов и сессионные калькуляторы — они более надежны , но крайне неудобны в использовании и также не бесплатны;
- Биометрические системы аутентификации — надежны, но крайне дороги и не удобны и, главное, не повсеместны.
- Генераторы переменных паролей (физические токены, мобильные приложения) — очень гибкий, удобный, независимый и распространенный способ получения пароля второго фактора. Представьте себе пароль, который в определенный, не слишком долгий, момент времени может иметь только одно, известное серверу и клиенту, значение. Перехват такого пароля невозможен - он не передается, он локально генерируется по известному клиентскому устройству и серверу алгоритму.
-
HOTP (Hash-based message authentication code-based One-Time Password algorithm)
Один из вариантов генерации переменных паролей — на основе разделяемого секретного ключа и независимых от времени счётчиков (RFC4226).
-
TOTP (Time-based One-Time Password algorithm)
Один из вариантов генерации переменных паролей — на основе разделяемого секретного ключа и зависимости от времени вычисления (RFC6238). В нашей системе используется временной интервал в 30 секунд для генерации переменных паролей.
-
HTTPS API
Один из самых удобных и гибких способов работы с сервисом AUTH.AS является программный интерфейс API, работающий по протоколу HTTP c криптозащитой на базе SSL. (HTTPS). Основное назначение API — принимать запросы на авторизацию и отвечать на них. Расширенный набор функций включает в себя также управление пользовательскими учетными данными (создание, удаление, блокировка пользователей). Использование HTTPS обеспечивает безопасную передачу сетевого трафика без потери производительности сервиса.
-
RADIUS
Протокол для реализации аутентификации, авторизации и сбора сведений об использованных ресурсах, разработанный для передачи сведений между центральной платформой и оборудованием. Позволяет таким устройствам, как маршрутизаторы и сетевые экраны Cisco, взаимодействовать с сервисом AUTH.AS напрямую. В отличие от API, который является программируемым интерфейсом, RADIUS — стандартизированный протокол что гарантирует совместимость со всеми устройствами, поддерживающими RADIUS, Например Citrix, Juniper, Microsoft, VMware и многие другие.
-
LDAP
Протокол для доступа к службе каталогов Active Directory, которая повсеместно используется в решениях компании Microsoft. LDAP — относительно простой протокол позволяющий производить операции аутентификации, поиска и сравнения а также операции добавления, изменения или удаления записей в инфраструктуре AD. Сервис AUTH.AS может работать с каталогом пользователей по протоколу LDAP, избавляя тем самым администратора от ручной работы по переносу списка пользователей в консоль управления AUTH.AS. Взаимодействие API по LDAP рекомендуется вести также по защищенному протоколу SSL.
-
True OTP
Это механизм, который не позволяет использовать Time-Based переменные пароли повторно. В обычных системах, до истечения временного интервала, пароль будет действителен и приниматься, что даёт шансы злоумышленнику воспользоваться перехваченными учётными данными.
-
Удалённый LOG-server
Помимо стандартного журналирования всех событий на наш собственный сервер, дополнительно доступна опция Режима дистанционного журналирования, которая позволяет отправлять все события на специализированные системы контроля, системы мониторинга и хранилища журналов.
-
SMS-информирование
Обеспечьте себе дополнительную безопасность, и оперативно получайте на свой телефон все события связанные с авторизацией вашей учетной записи. Актуально для пользователей с привилегированным уровнем доступа. Также может использоваться для самостоятельной привязки, отвязки, блокировки или разблокировки своего токена.
-
LazySync
Данная функция даёт возможность (не останавливая работу пользователей) в фоновом режиме синхронизировать Event-Based (HOTP) токены.