مصادقة ثنائية عامل (2FA) مقاومة للخداع

في الشهر الماضي ، كتب الجميع والمتنوعون أن 2FA (مصادقة ثنائية) في خطر بسبب جودة الصفحات المزيفة. في الواقع ، فإن عنوان المقال يستهزئ بواحدة من هذه المنشورات على حبري. بالطبع ، 2FAs مختلفة. في بعض البنوك الأوروبية "المتقدمة بشكل خاص" ، لا يزال بإمكانك الحصول على ورقة بها رموز TAN لمرة واحدة.

لكن لعدة سنوات حتى الآن ، لم تقف الصناعة ثابتة ، وبدلاً من رموز TAN / PIN لمرة واحدة التي تصل عبر الرسائل القصيرة أو عبر تطبيقات مثل RSA Token و Steam Guard و Google Authenticator ، هناك خيارات أخرى.

هذا هو الفيديو ، نحن مهتمون بالسيناريو الأول. ما الذي يحدث؟

لفترة وجيزة

1. يقوم المستخدم بتسجيل الدخول إلى التطبيق. لا يصادق التطبيق على نفسه - يعيد توجيه المستخدم إلى نظام التحكم في الوصول الخاص به.
2. يقوم نظام التحكم في الوصول (IAM - إدارة الهوية والوصول ، SSO - الدخول الموحد) بتنشيط تطبيق الدخول الموحد على الهاتف الذكي للمستخدم.
3. يرى المستخدم على شاشة الهاتف الذكي أن طلبًا قد وصل (من وأين ، وما إلى ذلك) ، تمت مصادقته ويسمح بالوصول إليه
4. يتلقى نظام IAM الضوء الأخضر ويعيد المستخدم إلى التطبيق ، مع إرفاق إذن وصول بالتوازي.

أسئلة

• Q1: أين المستخدم إدخال شيء في جهاز الكمبيوتر الخاص به؟
• Q2: أين الصفحات وهمية في تشكيل ودية؟

أنا أفهم أنه الآن قد تنشأ أسئلة أخرى ، لذلك

مزيد من التفاصيل

1. يقوم المستخدم بتسجيل الدخول إلى التطبيق. لا يصادق التطبيق على نفسه - يعيد توجيه المستخدم إلى نظام التحكم في الوصول الخاص به.

* هذا لا يعمل فقط مع المواقع الإلكترونية ، ولكن أيضًا لتطبيقات سطح المكتب والهواتف المحمولة. مثال نموذجي في بيئة العمل: التطبيقات من MS Office 2013+ (في الواقع 2010+ ، ولكن كل شيء كان ملتوية للغاية هناك ).

* توجد معايير وبروتوكولات للتكامل مع أنظمة IAM / SSO (SAML و OAuth و OpenID Connect) منذ سنوات عديدة ، مثل عمالقة Google و Facebook وممثلو مجتمع OpenSource وراءهم. هناك الكثير من المكتبات ، SDKs ، إلخ. لذلك فقط واحد كسول لا يدمج.

* التكامل ينطوي على تبادل الشهادات بين SSO / IAM والتطبيق - حظا سعيدا في وهمية

2. يقوم نظام التحكم في الوصول (IAM - إدارة الهوية والوصول ، SSO - الدخول الموحد) بتنشيط تطبيق الدخول الموحد على الهاتف الذكي للمستخدم.
* الأنظمة العادية والمتقدمة تسمح بإعدادات 2FA المرنة

• عن طريق التطبيق (البريد / التمويل - مهم ، جدول الصالة الرياضية للشركات - ممكن دون 2FA) ،
• حسب نوع المصادقة في تطبيق المصادقة (البريد - الإصبع / رقم التعريف الشخصي ، التمويل - كلمة المرور الطويلة الكاملة)
• السياق ، الخ (نطاق IP - داخليًا من المكتب أو من المطار ؛ ومن أي جهاز ، سواء كان الجهاز مشتركًا ؛ هل يتوافق مع سياسة الامتثال ، وما إلى ذلك).

* بهذه الطريقة يمكنك تنفيذ سيناريوهات مثيرة للاهتمام. على سبيل المثال ، نفس الوصول إلى تطبيق مالي:

• كمبيوتر محمول للشركات في المكتب - SSO من خلال الشهادة ، يقوم المستخدم ببساطة بتسجيل الدخول دون سؤال ، ولكن فقط إذا اجتاز الكمبيوتر المحمول اختبار Health Attestation (مكافحة الفيروسات ، وجدار الحماية ، وما إلى ذلك ، غير مشترك ، أن كل شيء على ما يرام)
• الكمبيوتر المحمول نفسه خارج المكتب (في المنزل ، أثناء التنقل) - 2FA
• [اختياري] الكمبيوتر المحمول نفسه خارج المكتب في VPN - كلمة المرور
• الكمبيوتر المحمول - تم رفض الوصول ، وحتى معرفة كلمة المرور وعميل VPN المثبت لن يساعد ، لأنه يتم توصيل نظام MDM المؤسسة إلى الشيكات.
• ولكن يمكنك الاطلاع على الجدول الزمني لصالة الألعاب الرياضية للشركات من جهاز الكمبيوتر المحمول / الهاتف الخاص بك - ولكن من خلال 2FA
• وإذا كنت تريد من تلقاء نفسها ودون 2FA - سجل الجهاز في MDM للشركات ( مع الفصل بين القطاعين العام والخاص ) ومن ثم فمن الممكن دون 2FA

3. يرى المستخدم على شاشة الهاتف الذكي أن طلبًا قد وصل (من وأين ، وما إلى ذلك) ، تمت مصادقته ويسمح بالوصول إليه

* يرجى ملاحظة أنه مع هذا النهج ، فإن المستخدم ، حتى في حفلة رأس السنة الجديدة للشركة ، سيرى على الفور ما إذا كان شخص ما يحاول الوصول إلى موارده.

لكن بدلاً من تمزيق شعرك ، يكفي رفض طلب الوصول والاستمرار في شربه ثقافيًا ، وبعد أمن المعلومات ، سيتم اكتشافه.

* أيضًا ، لا تظهر كلمة مرور المستخدم الحقيقي في أي مكان ، ولا تتم كتابة أي شيء على صفحة / تطبيق الويب - مزيف أو حقيقي

4. يتلقى نظام IAM الضوء الأخضر ويعيد المستخدم إلى التطبيق ، مع إرفاق إذن وصول بالتوازي.

* يتم التوقيع على الإذن (تأكيد SAML) من قِبل EDS لنظام IAM وهو صالح فقط لهذه الجلسة - لا تزيف

* قد يحتوي الإذن على معلمات وصول إضافية: الدور والقيود (إغلاق أقسام معينة من البوابة) ، ونافذة مؤقتة لإعادة المصادقة ، إلخ.

* وهو أيضًا مفيد جدًا (ولكن يجب دعمه من كلا الجانبين) - في الوقت المناسب تموين - أي إنشاء حساب ديناميكي في التطبيق.

إذا جاء 10 أشخاص إلى الشركة ، وكان الجميع بحاجة إلى إنشاء 10 حسابات - ما هو احتمال أن يصل المشرفون إلى مكان ما وكيف يمكن إصلاحه بعد ذلك؟ باستخدام JIT Provisioning ، يتلقى التطبيق البيانات من نظام IAM ويقوم تلقائيًا بإنشاء كل شيء. مثال جيد هو Salesforce.

في الختام

يمكن تطوير الموضوع لفترة طويلة. هناك العديد من الخيارات. من المهم أن يكون كل ما سبق ليس مساحة ، ولكنه أشياء حقيقية يمكن أن تتحملها أي منظمة من 1 إلى 100.000 شخص.

بطبيعة الحال ، إذا كان هناك الكثير من التطبيقات القديمة الخرقاء ، فسيكون كل شيء أكثر تعقيدًا ، ولكن في السيناريوهات النموذجية ، تكون تواريخ التنفيذ <شهر واحد حقيقية.

فارق بسيط هو أن نظام IAM يجب أن يكون قادرًا على العمل مع MDM (نظام لإدارة الأجهزة المحمولة ، بما في ذلك أجهزة الكمبيوتر المحمولة / أجهزة الكمبيوتر) - وإلا ، لا يمكن ضمان مستوى مناسب من الأمان (مع الحفاظ على مستوى معقول من البساطة).

الحلان الأكبر (وفقًا لـ Gartner MQ 2018):

* Microsoft Azure AD Premium P2 + Intune أو MS 365 E3 / E5

يتلاءم بشكل مثالي مع تنسيق المؤسسات (خاصة الكبيرة منها) التي تقوم بتنفيذ Office 365 أو الانتقال إلى السحابة Azure ، وهناك بعض المزالق في الترخيص (مثل رسوم منفصلة عن 2FA لكل مصادقة في حزم منفصلة) ، والتي يتم تعويضها بمجموعة من التكاملات المختلفة مع منتجات MS و Azure الأخرى (بما في ذلك تطبيقات الهاتف المحمول) ، التحليلات ، الذكاء الاصطناعى ، إلخ.

بدلاً من ذلك ، يسمح لك MS ADFS (خدمات اتحاد Active Directory) بتطبيق الكثير بنفسك وبدون وجود سحابة (بما في ذلك تلك التي لا تزال Azure لا تعرف كيفية القيام بها ، ولكن عليك فعليًا خياطة لحاف مزخرف ودمج ودعم المنتجات المختلفة من مختلف البائعين

* برنامج VMware Workspace واحد

في عام 2014 ، اشترت VMware الشركة الرائدة المطلقة (حتى يومنا هذا ، بما في ذلك MQ 2018) لسوق MDM / EMM AirWatch وسعت نطاق وظائفها مع حلولها.

ليس هناك الكثير من التحولات مثل Microsoft ، ولكنها لا تعمل فقط في السحابة ، والمزيد من فرص التكامل ، والمزيد من الأنظمة الأساسية المدعومة (وغالبًا ما تكون وظائف أكثر - Mac ، Android) النظام البيئي (لا تركز على Microsoft ، مثل Intune / AzureAD ، الكثير من التكامل مع البائعين المتخصصين الأمن ، تهديدات الاستخبارات ، إدارة التهديدات) ، الترخيص هو أبسط ، ونتيجة لذلك ، يمكن للمؤسسات الصغيرة تحمل رقاقات "الكبار" دون تكلفة إضافية.

يدعم كلا الحلين Windows 10 Modern Management. تم تطوير بروتوكول MDM لنظام Win10 (حسب علمي) باستخدام AirWatch.

بشكل عام ، لقد حان وقت التقريب. أعتقد أن الثقوب في القصة لا تزال قائمة. إذا كان لديك أسئلة ، اسأل. سنة جديدة سعيدة!