• auth.as / Поддержка / Общие сведения и термины wiki Auth.as

    Общие сведения и термины wiki Auth.as

    • Предпосылки к переходу на двухфакторную аутентификацию
      В современном мире информация является самым ценным ресурсом, которым располагают компании. Это накладывает повышенные требования к обеспечению 
безопасности и контролю доступа к информационным системам. Большинство современных систем и приложений подразумевают удалённый̆ доступ сотрудников к информации и работу с ней в поле, при этом нередки случаи утечки информации через кражу учётных данных пользователей, перехват сетевых данных в незащищенных сетях. Чтобы сделать доступ к информационным ресурсам безопасным, требуется применение новых подходов. На сегодняшний день, самым простым и удобным в повседневном использовании решением, является выбор в пользу второго фактора аутентификации.
    • Аутентификация
      Не путать с “Авторизацией”. В нашем случае — процедура проверки подлинности пользователя, путём сравнения введённого им пароля с паролем, сохранённым в базе данных пользователей. Можно провести аналогию с удостоверением личности гражданина по паспорту – факт того, что личность не выдает себя за другого;
    • Авторизация
      Не путать с “Аутентификацией”. Предоставление пользователю прав на выполнение определённых действий; а также процесс проверки (подтверждения) данных прав при попытке выполнения этих действий. Можно провести аналогию со штампом о прописке в паспорте — это значит, что предъявитель имеет право проживать по указанному адресу.
    • Двухфакторная аутентификация
      Все прекрасно знают, что такое имя пользователя (логин) и пароль — это учётные данные пользователя для доступа к интернет-банку, производственной системе или к почтовому ящику – это первый фактор аутентификации, и все опасаются того, что эти данные станут известны посторонним лицам. Второй фактор — это дополнительный пароль, который генерируется на устройстве, физически и логически независимом от целевой системы.
    • Токен

      В нашем случае, это некий генератор переменных паролей. Различают 2 вида токенов:

      • Аппаратный токен — компактное устройство в виде брелока или компактного калькулятора, предназначенное для генерации переменных паролей. Работает автономно от батареек, требует специальной синхронизации с сервисом.
      • Виртуальный токен — мобильное приложение с упрощенной процедурой синхронизации, и дополнительными функциями защиты. Работает также автономно, в современных условиях более предпочтительно в использовании, чем аппаратный токен: проще ввести в работу, проще восстановить, проще управлять, дешевле.
    • Виды паролей при двухфакторной аутентификации
      • SMS-сообщения, которые могут быть перехвачены или не дойти до адресата; и ещё они стоят денег;
      • Скетч-карты с одноразовыми паролями, которые пользователи для удобства хранят в компьютере, предварительно переписав их все, выпуск которых тоже не бесплатен, а логистика приносит дополнительные неудобства;
      • Разнообразные физические ключи-хранилища сертификатов и сессионные калькуляторы — они более надежны , но крайне неудобны в использовании и также не бесплатны;
      • Биометрические системы аутентификации — надежны, но крайне дороги и не удобны и, главное, не повсеместны.
      • Генераторы переменных паролей (физические токены, мобильные приложения) — очень гибкий, удобный, независимый и распространенный способ получения пароля второго фактора. Представьте себе пароль, который в определенный, не слишком долгий, момент времени может иметь только одно, известное серверу и клиенту, значение. Перехват такого пароля невозможен - он не передается, он локально генерируется по известному клиентскому устройству и серверу алгоритму.
    • HOTP (Hash-based message authentication code-based One-Time Password algorithm)
      Один из вариантов генерации переменных паролей — на основе разделяемого секретного ключа и независимых от времени счётчиков (RFC4226).
    • TOTP (Time-based One-Time Password algorithm)
      Один из вариантов генерации переменных паролей — на основе разделяемого секретного ключа и зависимости от времени вычисления (RFC6238). В нашей системе используется временной интервал в 30 секунд для генерации переменных паролей.
    • HTTPS API
      Один из самых удобных и гибких способов работы с сервисом AUTH.AS является программный интерфейс API, работающий по протоколу HTTP c криптозащитой на базе SSL. (HTTPS). Основное назначение API — принимать запросы на авторизацию и отвечать на них. Расширенный набор функций включает в себя также управление пользовательскими учетными данными (создание, удаление, блокировка пользователей). Использование HTTPS обеспечивает безопасную передачу сетевого трафика без потери производительности сервиса.
    • RADIUS
      Протокол для реализации аутентификации, авторизации и сбора сведений об использованных ресурсах, разработанный для передачи сведений между центральной платформой и оборудованием. Позволяет таким устройствам, как маршрутизаторы и сетевые экраны Cisco, взаимодействовать с сервисом AUTH.AS напрямую. В отличие от API, который является программируемым интерфейсом, RADIUS — стандартизированный протокол что гарантирует совместимость со всеми устройствами, поддерживающими RADIUS, Например Citrix, Juniper, Microsoft, VMware и многие другие.
    • LDAP
      Протокол для доступа к службе каталогов Active Directory, которая повсеместно используется в решениях компании Microsoft. LDAP — относительно простой протокол позволяющий производить операции аутентификации, поиска и сравнения  а также операции добавления, изменения или удаления записей в инфраструктуре AD. Сервис AUTH.AS может работать с каталогом пользователей по протоколу LDAP, избавляя тем самым администратора от ручной работы по переносу списка пользователей в консоль управления AUTH.AS. Взаимодействие API по LDAP рекомендуется вести также по защищенному протоколу SSL.
    • True OTP
      Это механизм, который не позволяет использовать Time-Based переменные пароли повторно. В обычных системах, до истечения временного интервала, пароль будет действителен и приниматься, что даёт шансы злоумышленнику воспользоваться перехваченными учётными данными.
    • Удалённый LOG-server
      Помимо стандартного журналирования всех событий на наш собственный сервер, дополнительно доступна опция Режима дистанционного журналирования, которая позволяет отправлять все события на специализированные системы контроля, системы мониторинга и хранилища журналов.
    • SMS-информирование
      Обеспечьте себе дополнительную безопасность, и оперативно получайте на свой телефон все события связанные с авторизацией вашей учетной записи. Актуально для пользователей с привилегированным уровнем доступа. Также может использоваться для самостоятельной привязки, отвязки, блокировки или разблокировки своего токена.
    • LazySync
      Данная функция даёт возможность (не останавливая работу пользователей) в фоновом режиме синхронизировать Event-Based (HOTP) токены.