Обзор SafeNet Authentication Service, системы для внедрения корпоративного сервиса двухфакторной аутентификации


Обзор SafeNet Authentication Service, системы для внедрения корпоративного сервиса двухфакторной аутентификации

SafeNet Authentication Service — программный комплекс, позволяющий реализовать двухфакторную аутентификацию для доступа к корпоративным ресурсам с помощью одноразовых паролей, доставляемых пользователю большим количеством способов. Наряду с этим он поддерживает лёгкую масштабируемость, управление рисками и полноценный аудит. Также система обеспечивает полностью автоматизированную аутентификацию с гибкими возможностями для настройки токенов, адаптированными к потребностям конкретной организации, что существенно снижает общую стоимость эксплуатации. Программный комплекс предназначен для локальной установки, тогда как те же функции в облаке предоставляет сервис SafeNet Trusted Access.

Сертификат AM Test Lab

Номер сертификата: 313

Дата выдачи: 26.10.2020

Срок действия: 26.10.2025

Реестр сертифицированных продуктов »

 

  1. Введение
  2. Функциональные возможности SafeNet Authentication Service
    1. 2.1. Описание возможностей консоли управления SafeNet Authentication Service
  3. Архитектура SafeNet Authentication Service
  4. Системные требования SafeNet Authentication Service
  5. Сценарии использования SafeNet Authentication Service
    1. 5.1. Двухфакторная аутентификация с помощью аппаратного генератора одноразовых паролей
    2. 5.2. Двухфакторная аутентификация с помощью программного генератора одноразовых паролей
    3. 5.3. Двухфакторная аутентификация с помощью генератора одноразовых паролей через почтовые или SMS-сообщения
    4. 5.4. Двухфакторная аутентификация с помощью графического генератора одноразовых паролей
  6. Выводы

Введение

Пользовательские учётные данные являются значимой информацией, при этом абсолютно неважно, в какой точке инфраструктуры они могут быть получены злоумышленником. При отсутствии грамотно выстроенной системы аутентификации этап «горизонтального продвижения» (процесс, при котором киберпреступник распространяет своё влияние по сети жертвы) может завершиться успехом даже в том случае, если имеется несанкционированный доступ лишь к одной пользовательской или сервисной учётной записи.

Более того, атаки, направленные на получение учётных данных, входят в число самых распространённых в мире киберпреступности. Методы злоумышленников здесь могут быть самыми изощрёнными: от взлома веб-ресурсов (с последующей кражей баз учётных данных) и фишинговых рассылок до заражения вредоносными программами или подбора реквизитов для подключения к службам, доступным на сетевых периметрах организаций.

В случае если сервисы организации защищены с помощью различных механизмов двухфакторной аутентификации (2-Factor Authentication, 2FA), реализовать вышеописанные атаки злоумышленнику становится гораздо сложнее. Иными словами, когда он получает доступ к учётным данным, он не сможет успешно авторизоваться на каком-либо сервисе, т. к. у него нет доступа ко второму фактору аутентификации. Напомним, что двухфакторная аутентификация — это система доступа, основанная на двух элементах: один вы запоминаете (логин и пароль), а другим владеете (например, телефон, на который приходит SMS-сообщение с кодом). Аппаратное или программное обеспечение, отвечающее за второй фактор, в этом контексте называют токеном или аутентификатором.

При выборе продукта для 2FA необходимо учитывать такие критерии, как автоматизация синхронизации пользователей, составления отчётов, назначения и отзыва токенов, а также гибкость настройки, простота внедрения и управления. Соответствующие показатели эффективно сочетаются в программном комплексе SafeNet Authentication Service 3.11 (далее — «SAS») от компании Thales (до 2019 года SAS выпускала компания Gemalto), позволяющем защитить с помощью 2FA корпоративные приложения и сети, доступ к которым может осуществляться с любых устройств.

SAS включает в себя широкий набор аутентификаторов и позволяет автоматизировать процесс их назначения и отзыва исходя из того, какой пользовательской группе они принадлежат. Кроме того, программный комплекс обеспечивает лёгкую масштабируемость (поддерживается неограниченное количество пользователей без дополнительных затрат на инфраструктуру), быструю миграцию с существующих средств аутентификации и быстрое внедрение, а также управление рисками и аудит. В частности, SAS даёт возможность реализовать требуемое количество факторов аутентификации в зависимости от уровня секретности данных в защищаемом приложении, т. е. позволяет управлять доступом к электронным данным в зависимости от их бизнес-ценности. При всех этих преимуществах программный комплекс нетребователен к расходам на обслуживание, так что совокупная стоимость владения им снижается.

Видение SAS заключается в том, чтобы автоматизировать и свести к минимуму сложные и рутинные операции, связанные с двухфакторной аутентификацией пользователей. Это достигается благодаря:

  • снижению накладных расходов на ИТ-управление за счёт полностью автоматизированного администрирования жизненного цикла учётных записей, прав доступа и токенов, включая автоматические оповещения и составление отчётов;
  • широкому охвату вариантов использования с поддержкой VPN, VDI, облачных приложений, доступа к локальной сети и веб-порталам;
  • обширной экосистеме, обеспечивающей интеграцию с большинством корпоративных приложений;
  • общим службам с многоуровневой архитектурой, которые значительно упрощают управление политиками бухгалтерского учёта, выставления счетов, инвентаризации и безопасности для бизнес-единиц, отделов и дочерних компаний (при этом политики можно наследовать от более высоких уровней и при необходимости настраивать);
  • простой миграции со сторонних аутентификационных решений, позволяющей постепенно переходить на новую систему и защищать при этом текущие инвестиции организаций в систему удостоверения личности.

Процесс настройки SAS гибок и одновременно сложен, но на выходе организация получает полноценную систему аутентификации на любых пользовательских устройствах, которая не зависит от аппаратных или программных платформ и не требует использовать считыватели смарт-карт или USB-порты, необходимые для аппаратных токенов. Кроме того, программный комплекс позволяет масштабировать систему аутентификации до неограниченного числа пользователей, при этом не снижая, а усиливая функции аутентификации при организации доступа к корпоративным ресурсам.

Далее для краткости и простоты будем называть любую корпоративную программу или любой корпоративный сервис / портал / ресурс / удалённый рабочий стол, на которых планируется реализация двухфакторной аутентификации, просто «приложением».

Функциональные возможности SafeNet Authentication Service

SAS представляет собой программный комплекс для организации двухфакторной (многофакторной) аутентификации с помощью одноразовых паролей (One-Time Password, OTP). Одноразовые пароли применяются самостоятельно, заменяя при этом статические, либо могут использоваться совместно с последними для усиления защиты.

Программный комплекс поддерживает 4 типа аутентификаторов:

1. Аппаратные, характеризующиеся защищённой от внешних воздействий средой. Такие генераторы одноразовых паролей могут быть дополнительно защищены с помощью PIN-кода, однако имеют несколько недостатков: требуют непосредственной передачи пользователю и постоянного наличия при себе, а также могут быть подвергнуты физическому воздействию (при отсутствии PIN-кода генератор будет скомпрометирован, если попадёт в руки злоумышленника).

 

Рисунок 1. Аппаратные генераторы одноразовых паролей

Аппаратные генераторы одноразовых паролей

 

2. Программные с поддержкой технологии PUSH OTP, представляющие собой приложения, которые могут быть установлены на рабочую станцию или мобильное устройство. Когда пользователю поступает пуш-уведомление, он может ответить непосредственно в нём или нажать на него, чтобы загрузить дополнительные сведения о запросе в приложении MobilePASS+ и уже затем отреагировать. Чтобы исключить несанкционированный доступ при автоматической отправке одноразового пароля, приложение необходимо разблокировать — с помощью либо статического PIN-кода, либо биометрии (отпечатка пальца или FaceID). Принятие уведомления автоматически генерирует одноразовый пароль и отправляет его в SAS. После подтверждения аутентификации по OTP со стороны SAS доступ к запрашиваемому приложению предоставляется автоматически.

 

Рисунок 2. Программные генераторы одноразовых паролей

Программные генераторы одноразовых паролей

 

3. SMS / SMTP. Данная технология имеет как преимущества, заключающиеся в простоте для конечного пользователя, так и недостатки: уязвимый протокол SS7, который позволяет перехватить SMS-сообщения пользователей, а также возможность компрометации почтового ящика со стороны злоумышленника.

4. Графические. Принцип их работы состоит в следующем: активируя аутентификатор, пользователь видит графическую матрицу (каждая ячейка содержит уникальный символ), где он самостоятельно назначает и запоминает некую траекторию. В дальнейшем при подтверждении личности пользователю демонстрируется аналогичная матрица, содержащая повторяющиеся символы, и на основании траектории, которая была определена во время активации токена, пользователь самостоятельно формирует значение одноразового пароля.

 

Рисунок 3. Графический генератор одноразовых паролей

Графический генератор одноразовых паролей

 

SAS позволяет выполнить интеграцию с корпоративными приложениями одним из следующих способов:

  1. С помощью готовых агентов. Данный способ предназначен для ОС Windows; он позволяет организовать единообразную установку агентов и их конфигурирование через групповые политики.
  2. Посредством протокола RADIUS. RADIUS — стандартный протокол внешней аутентификации, который реализован во всех корпоративных сервисах. Он также позволяет проводить авторизацию пользователей путём возврата атрибутов.
  3. С помощью стандарта SAML (Active Directory Federation Service, ADFS), который даёт возможность не только настроить гибкий механизм аутентификации, но и организовать единую точку входа с поддержкой технологии однократной авторизации (Single Sign-On).

Программный комплекс предоставляет единый инструментарий для управления аутентификацией и может применяться при работе с любыми приложениями — как от Microsoft, так и от других производителей.

SAS позволяет автоматизировать назначение и отзыв аутентификаторов за счёт синхронизации с внешними источниками (Active Directory / LDAP / СУБД), а также процесс работы с отчётами, в том числе их выгрузку во внешние системы SIEM.

Все виды активности пользователей протоколируются в базе данных для выдачи предупреждений об изменениях уровня безопасности в режиме реального времени. Для соблюдения стандартов по борьбе с угрозами (SOX, PCI, HIPAA) в программном комплексе существует возможность автоматизировать аудит системы и составление отчётов о её соответствии предъявляемым к ней требованиям.

Работа с SAS со стороны администратора осуществляется из консоли управления, а со стороны пользователя — из портала самообслуживания. Ниже описаны основные возможности консоли управления SAS.

Описание возможностей консоли управления SafeNet Authentication Service

Консоль управления SAS содержит панель инструментов, через которую можно администрировать пользовательские сервисы и учётные записи, виртуальные серверы аутентификации, настройки безопасности, метрики аутентификации и оповещения.

Управление пользовательскими сервисами осуществляется через модуль «Сервисы» на вкладке «On-Boarding», где можно активировать и заблокировать учётную запись, определить её тип («service provider» или «subscriber») и вариант предоставляемого сервиса, а также сроки службы последнего.

Метрики отражают факты некорректного ввода пароля и общее количество результатов аутентификации на текущий день, неделю, предыдущую неделю, месяц и т. д.

Виртуальный сервер аутентификации работает на той же установке SAS, но настраивается независимо и управляется автономно. В SAS существует 2 типа виртуальных серверов:

  • «service provider» (поставщик услуг) — предоставляет функциональность аутентификации либо самой по себе, либо вкупе с созданием дочерних виртуальных серверов;
  • «subscriber» (абонент или подписчик) — способен только аутентифицировать, поэтому виртуальным сервером данного типа может пользоваться автономное подразделение организации.

На рисунке 5 представлены панель инструментов (обозначена цифрой 1) и элементы управления для конкретного виртуального сервера (обозначены цифрой 2).

Вкладка «Virtual Servers» предназначена для управления учётными записями виртуального сервера и пользователей, обеспечения пользователей токенами, гибкого конфигурирования учётных записей с точки зрения безопасности, формирования отчётов, настройки резервирования данных и многого другого.

 

Рисунок 4. Интерфейс консоли управления SafeNet Authentication Service

Интерфейс консоли управления SafeNet Authentication Service

 

Ниже изображён интерфейс виртуального сервера SAS.

 

Рисунок 5. Интерфейс виртуального сервера в консоли управления SafeNet Authentication Service

Интерфейс виртуального сервера в консоли управления SafeNet Authentication Service

 

На вкладке «Dashboard» представлены модули, которые позволяют управлять учётными записями, оповещениями и метриками, а также просматривать общую информацию.

 

Рисунок 6. Интерфейс вкладки «Dashboard» в консоли управления SafeNet Authentication Service

Интерфейс вкладки «Dashboard» в консоли управления SafeNet Authentication Service

 

На вкладке «Assignment» осуществляется управление всеми пользователями, их аутентификаторами и метриками. Поддерживаются ограничение доступа, добавление в группы общего и индивидуального назначения.

 

Рисунок 7. Интерфейс вкладки «Assignment» консоли управления SafeNet Authentication Service

Интерфейс вкладки «Assignment» консоли управления SafeNet Authentication Service

 

Рисунок 8. Интерфейс модуля «Tokens» в консоли управления SafeNet Authentication Service

Интерфейс модуля «Tokens» в консоли управления SafeNet Authentication Service

 

Вкладка «On-Boarding» позволяет создавать виртуальные серверы аутентификации, определять тип предоставляемого сервиса, размещать токены, а также добавлять операторов и узлы аутентификации (любое из корпоративных устройств / сервисов / приложений), которые отправляют запросы в SAS и контакты учётной записи.

 

Рисунок 9. Интерфейс вкладки «On-Boarding» в консоли управления SafeNet Authentication Service

Интерфейс вкладки «On-Boarding» в консоли управления SafeNet Authentication Service

 

Вкладка «Administration» поддерживает функциональность по управлению группами учётных записей, ролями, событиями и отчётами.

 

Рисунок 10. Интерфейс вкладки «Administration» в консоли управления SafeNet Authentication Service

Интерфейс вкладки «Administration» в консоли управления SafeNet Authentication Service

 

Как было сказано выше, SAS позволяет автоматизировать процесс создания и синхронизации пользователей.

Создать учётные записи можно с помощью модуля «Create User Shortcut» или посредством импорта из текстового файла.

 

Рисунок 11. Интерфейс вкладки «Create User Shortcut» в консоли управления SafeNet Authentication Service

Интерфейс вкладки «Create User Shortcut» в консоли управления SafeNet Authentication Service

 

Процесс создания пользователей автоматизируется за счёт синхронизации или интеграции с Active Directory / LDAP / СУБД (схемы представлены ниже).

 

Рисунок 12. Синхронизация SafeNet Authentication Service с LDAP с помощью агента

Синхронизация SafeNet Authentication Service с LDAP с помощью агента

 

Рисунок 13. Интеграция SafeNet Authentication Service с LDAP

Интеграция SafeNet Authentication Service с LDAP

 

Также, как мы отмечали ранее, в SAS автоматизирован процесс ведения отчётности. Отчёты могут формироваться по расписанию и доставляться без участия человека; доступна также возможность просматривать и скачивать их через пользовательский интерфейс.

 

Рисунок 14. Добавление получателя для формирования отчёта о событии

Добавление получателя для формирования отчёта о событии

 

Архитектура SafeNet Authentication Service

SAS поддерживает все типы генераторов одноразовых паролей: с синхронизацией по событию (формируется одноразовый пароль, который может использоваться один раз), по времени (формируется одноразовый пароль, который можно использовать только один раз и только в течение короткого промежутка времени), а также по технологии «запрос — ответ» (сервер формирует последовательность на основании идентификатора, предоставленного пользователю перед аутентификацией; сотрудник вводит эту последовательность («запрос») в генераторе одноразовых паролей, который в свою очередь формирует некий «ответ», который и будет выступать динамическим паролем для аутентификации).

Для интеграции в SAS применяются либо протоколы RADIUS / SAML, либо специализированные агенты — на тот случай, если приложения или устройства не поддерживают протокольный сценарий. В Linux / UNIX-системах интеграция реализована посредством агента, поддерживающего все аутентификаторы, либо через RADIUS-протокол, для чего выполняется установка соответствующего агента в операционной системе и в настройках PAM указывается требование о выполнении процедуры аутентификации через RADIUS-сервер.

Таким образом, SAS можно интегрировать в большинство современных инфраструктур или приложений.

Главными преимуществами архитектуры SAS являются:

  • поддержка принципа «Multi-tier multi-tenant», который позволяет создавать независимые серверы аутентификации на одной установке SAS,
  • синхронизация с Active Directory / LDAP / СУБД,
  • гибкая настройка параметров для каждого типа аутентификатора,
  • автоматизация процесса назначения и отзыва токена,
  • портал самообслуживания с возможностью индивидуализации.

 

Рисунок 15. Архитектура SafeNet Authentication Service

Архитектура SafeNet Authentication Service

 

Системные требования SafeNet Authentication Service

Ниже представлены системные требования к локальной установке SAS.

 

Таблица 1. Системные требования к серверной части SafeNet Authentication Service

Поддерживаемые ОС Windows Server 2008 R2 SP1 / 2012 / 2012 R2 / 2016 (64 бита) / 2019
Поддерживаемые базы данных PostgreSQL 9.6 (9.6.4); Microsoft SQL Server 2008 / 2012 / 2014 / 2016 / 2017
Поддерживаемые LDAP-директории Active Directory / Novell eDirectory 8.x / SunOne 5.3
Поддерживаемая архитектура 64 бита
Поддерживаемые RADIUS-протоколы PAP / MSCHAPv2 / CHAP
Дополнительные программные компоненты Internet Information Services (IIS) 8.5 / .NET 4.6.2 / .NET Framework 3.5 Features
Компоненты MySQL MySQL Connector 6.9.9
Процессоры 2,6 ГГц или выше
Память 16 ГБ оперативной памяти или выше
Дисковое пространство 300 МБ

 

Сценарии использования SafeNet Authentication Service

Как уже было сказано ранее, двухфакторная аутентификация может быть реализована совместно со стандартной процедурой подтверждения личности в корпоративном приложении (использование статического логина и пароля), к которому пользователь пытается получить доступ. При этом корпоративное приложение интегрируется со службой ADFS, к которой уже подключается SAS. В таком случае процесс выглядит следующим образом: пользователь заходит, например, на корпоративную почту и перенаправляется на панель входа SAS через ADFS, после чего генерирует одноразовый пароль при помощи мобильного приложения, аппаратного токена или графической матрицы, вводит основные логин и пароль от корпоративной почты, а также сгенерированный OTP. В случае успешной проверки одноразового пароля со стороны SAS сотрудник получает доступ к запрашиваемому приложению. Кроме того, SAS позволяет аутентифицироваться через мобильное приложение в режиме офлайн, но при условии, что пользователь хотя бы один раз проходил этот этап через сервер аутентификации.

В случае если приложение не предоставляет стандартной аутентификации, SAS позволяет выставить PIN-код. В данном случае пароль будет представлять собой конкатенацию PIN-кода, известного только сотруднику, и динамического значения одноразового пароля, который можно сформировать только при наличии пользовательского генератора OTP.

Рассмотрим каждый аутентификатор по отдельности. Для примера продемонстрируем процесс удалённого входа на рабочую станцию и сервер IIS, а также покажем принцип работы RADIUS-сервера через утилиту, позволяющую вручную формировать запросы к нему и анализировать соответствующие ответы (эмулятор RADIUS-клиента под названием NTRadPing).

Двухфакторная аутентификация с помощью аппаратного генератора одноразовых паролей

Как было сказано выше, аппаратные генераторы одноразовых паролей бывают трёх типов: с синхронизацией по событию и по времени, а также на основе технологии «запрос — ответ». Рассмотрим первые два варианта на примере со входом на сервер IIS.

Независимо от типа аутентификатора принцип работы одинаков: пользователь вводит логин и пароль от приложения, выбирает нужный тип из списка (выделено красным на рисунке 16), инициирует генерацию OTP и вводит результат в соответствующее поле.

Рассмотрим процедуру получения OTP с помощью аппаратных генераторов одноразовых паролей.

 

Рисунок 16. Панель входа на сервер IIS с помощью аппаратного токена с синхронизацией по событию

Панель входа на сервер IIS с помощью аппаратного токена с синхронизацией по событию

 

Сервер аутентификации SAS проверяет доступ и разрешает вход в запрашиваемое приложение (рис. 17).

 

Рисунок 17. Успешное прохождение двухфакторной аутентификации с помощью SAS

Успешное прохождение двухфакторной аутентификации с помощью SAS

 

Внешний вид аппаратного генератора одноразовых паролей с синхронизацией по событию (Gemalto OTP Display Card), выполненного в виде смарт-карты с дисплеем, представлен на рисунке 18.

 

Рисунок 18. Аппаратный генератор одноразовых паролей с синхронизацией по событию в виде смарт-карты с дисплеем

Аппаратный генератор одноразовых паролей с синхронизацией по событию в виде смарт-карты с дисплеем

 

Другая разновидность аппаратного генератора одноразовых паролей с синхронизацией по событию (eToken PASS) в виде пластмассового брелка представлена на рисунке 19.

 

Рисунок 19. Аппаратный генератор одноразовых паролей с синхронизацией по событию в виде пластмассового брелка

Аппаратный генератор одноразовых паролей с синхронизацией по событию в виде пластмассового брелка

 

Рисунок 20. Панель входа на сервер IIS с помощью аппаратного токена с синхронизацией по событию

Панель входа на сервер IIS с помощью аппаратного токена с синхронизацией по событию

 

Внешний вид аппаратного генератора одноразовых паролей eToken Pass с синхронизацией по времени представлен на рисунке 21.

 

Рисунок 21. Аппаратный генератор одноразовых паролей с синхронизацией по времени в виде пластмассового брелка

Аппаратный генератор одноразовых паролей с синхронизацией по времени в виде пластмассового брелка

 

Двухфакторная аутентификация с помощью программного генератора одноразовых паролей

Рассмотрим на примере процедуру двухфакторной аутентификации на сервере IIS (с помощью приложения MobilePASS от компании Thales) и на удалённом компьютере (посредством программы MobilePASS+, работающей через пуш-уведомления как в онлайн-, так и в офлайн-режиме). Для входа на сервер IIS дополнительно воспользуемся утилитой NTRadPing, которая позволяет вручную формировать запросы к RADIUS-серверу и анализировать полученные ответы.

Итак, в приложении MobilePASS генерируем OTP (рис. 22) и вставляем его в соответствующее поле в NTRadPing (рис. 23), после чего отправляем запрос на проверку подлинности.

 

Рисунок 22. Интерфейс программного обеспечения MobilePASS

Интерфейс программного обеспечения MobilePASS

 

Рисунок 23. Интерфейс программного обеспечения NTRadPing в связке с MobilePASS

Интерфейс программного обеспечения NTRadPing в связке с MobilePASS

 

После получения доступа от сервера аутентификации SAS необходимо сформировать новый OTP в MobilePASS и вставить его в форму (рис. 19).

 

Рисунок 24. Панель входа на сервер IIS с помощью программы MobilePASS

Панель входа на сервер IIS с помощью программы MobilePASS

 

Далее рассмотрим процесс двухфакторной аутентификации на удалённой рабочей станции с помощью приложения MobilePASS+, где в качестве аутентификатора выступает мобильное устройство. При инициировании входа мы получаем пуш-уведомление, а после разблокировки и нажатия на кнопку «Approve» (рис. 25) сервер аутентификации SAS проверяет подлинность и автоматически разрешает доступ к компьютеру.

 

Рисунок 25. Внешний вид программного генератора одноразового пароля с технологией PUSH OTP

Внешний вид программного генератора одноразового пароля с технологией PUSH OTP

 

Рисунок 26. Процедура двухфакторной аутентификации на удалённой рабочей станции с помощью технологии PUSH OTP

Процедура двухфакторной аутентификации на удалённой рабочей станции с помощью технологии PUSH OTP

 

Как было сказано ранее, мобильное приложение MobilePASS+ позволяет работать с ним даже в том случае, если интернет недоступен. Пользователю достаточно разблокировать приложение, сформировать OTP и использовать его для аутентификации.

 

Рисунок 27. Генерация OTP с помощью мобильного приложения MobilePASS+ в офлайн-режиме

Генерация OTP с помощью мобильного приложения MobilePASS+ в офлайн-режиме

 

Полученный OTP внесём в соответствующее поле в NTRadPing для проверки подлинности. После разрешения доступа (рис. 28) необходимо повторно сгенерировать OTP и пройти двухфакторную аутентификацию на сервере IIS.

 

Рисунок 28. Интерфейс программного обеспечения NTRadPing в связке с MobilePASS+

Интерфейс программного обеспечения NTRadPing в связке с MobilePASS+

 

Двухфакторная аутентификация с помощью генератора одноразовых паролей через почтовые или SMS-сообщения

Рассмотрим вход на сервер IIS с помощью OTP, полученного в почтовом сообщении, для чего потребуется почтовый клиент. Процедура отправки такого запроса на прохождение двухфакторной аутентификации изображена на рисунке 29.

 

Рисунок 29. Процедура двухфакторной аутентификации на сервере IIS с помощью почтового сообщения

Аппаратные генераторы одноразовых паролей

 

OTP в данном случае находится в теле почтового сообщения (рис. 30).

 

Рисунок 30. Приём OTP от сервера аутентификации SafeNet Authentication Service с помощью почтового клиента

Приём OTP от сервера аутентификации SafeNet Authentication Service с помощью почтового клиента

 

 

Рисунок 31. Процедура ввода OTP для прохождения аутентификации по второму фактору

Процедура ввода OTP для прохождения аутентификации по второму фактору

 

Двухфакторная аутентификация с помощью графического генератора одноразовых паролей

Одним из самых простых аутентификаторов является именно графический, т. к. он не требует установки и его нельзя повредить. Пользователю необходимо только запомнить траекторию в матрице.

 

Рисунок 32. Процедура двухфакторной аутентификации на сервере IIS с помощью графического генератора одноразовых паролей

Процедура двухфакторной аутентификации на сервере IIS с помощью графического генератора одноразовых паролей

 

Рисунок 33. Процедура ввода OTP по графической матрице

Процедура ввода OTP по графической матрице

 

Выводы

Программный комплекс SafeNet Authentication Service 3.11 предоставляет гибкий во всех отношениях механизм двухфакторной (многофакторной) аутентификации. Для интеграции с корпоративными приложениями или решениями ведущих вендоров используются готовые агенты либо протоколы RADIUS / SAML.

SafeNet Authentication Service отличается простотой использования, администрирования и интеграции, автоматизирует процесс присвоения генератора OTP, что позволяет инициировать определённый тип токенов для всех новых пользователей или группы сотрудников при помощи одного правила.

Поддержка множества разновидностей генераторов OTP в SafeNet Authentication Service позволяет выбирать конкретные их типы для индивидуальных нужд. Программный комплекс также поддерживает генераторы OTP сторонних производителей, за счёт чего возможна миграция на новую платформу с использованием приобретённых ранее аутентификаторов. Более того, он способен работать совместно с существующей системой аутентификации, что позволяет сохранить текущие вложения в неё, а также обеспечить единое представление об удостоверении личностей сотрудников во всех приложениях.

Исходя из вышесказанного, программный комплекс может быть использован во многих прикладных областях, таких как дистанционное банковское обслуживание (усиленная аутентификация при проверке авторизованного пользователя и обеспечение целостности транзакций), телекоммуникации (обеспечение необходимого уровня оперативности и доступности без ущерба для безопасности, контроль доступа авторизованных пользователей к биллинговой системе), медицина и фармация (обеспечение необходимого уровня безопасности при доступе к электронной картотеке пациентов / базе данных учёта препаратов), корпоративная безопасность (обеспечение защиты сервисов удалённого доступа, виртуальных частных сетей, корпоративных сетей и порталов) и множество прочих.

SAS делает аутентификацию простой и экономичной в реализации и управлении, устраняя многие традиционные «болевые точки» при построении системы подтверждения личности. В частности, SafeNet Authentication Service без труда закрывает вопросы синхронизации пользователей, назначения и отзыва токенов, составления отчётов, автоматического оповещения в случае нарушения безопасности, делегирования полномочий и многие другие, снижая при этом общие эксплуатационные расходы.

Хотя стоимость SAS можно назвать высокой, этот программный комплекс самодостаточен, т. е. не потребует дополнительных затрат и вложений. При этом в конечном итоге организация получает продукт масштаба предприятия без ограничений по функциональным возможностям, способный создать дополнительный эшелон защиты в виде многофакторной аутентификации.

Достоинства:

  • Автоматизация процессов синхронизации (посредством Active Directory / LDAP / СУБД), назначения и отзыва токенов, а также составления отчётов.
  • Поддержка обширной линейки аутентификаторов (аппаратных, программных, доставляемых с помощью SMS / SMTP и графических).
  • Реализация многоуровневой структуры с автономными областями управления за счёт виртуальных серверов аутентификации (принцип «Multi-tier multi-tenant»), неограниченная масштабируемость.
  • Портал самообслуживания для пользователей, который позволяет минимизировать работу администратора.
  • Двухфакторная аутентификация может быть использована как совместно со стандартными паролями, так и отдельно.
  • Неограниченный срок действия токенов, которые можно переинициализировать для новых пользователей, снизив общую стоимость владения.
  • Возможность присвоить сотруднику несколько токенов, тем самым позволив ему выполнять процедуру аутентификации с различных устройств.
  • Наличие SDK, позволяющего организациям интегрировать аутентификацию по OTP в свои решения, а также поддержка RADIUS, SAML, ADFS и специальных агентов для интеграции в различные операционные системы и корпоративные приложения.

Недостатки:

  • Нет русского интерфейса.
  • На момент написания обзора сертификат ФСТЭК России недействителен.

Реестр сертифицированных продуктов »

Записаться на демонстрацию
Запросить пробную версию
Запросить цены
Задать вопрос
Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любого продукта или сервиса по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.