Letzten Monat schreiben alle und alle, dass 2FA (Zwei-Faktor-Authentifizierung) aufgrund von gefälschten Qualitätsseiten in Gefahr ist. Tatsächlich parodiert der Titel des Artikels einen solchen Beitrag auf Habré. Natürlich sind 2FAs unterschiedlich. In einigen "besonders fortgeschrittenen" europäischen Banken können Sie immer noch ein Blatt mit einmaligen TAN-Codes erhalten.
Aber seit einigen Jahren steht die Branche nicht mehr still. Statt einmaliger TAN / PIN-Codes, die per SMS oder über Anwendungen wie RSA Token, Steam Guard oder Google Authenticator eingehen, gibt es andere Möglichkeiten.
Hier ist das Video, wir interessieren uns für das allererste Szenario. Was ist los?
Kurz
- Der Benutzer meldet sich bei der Anwendung an. Die Anwendung authentifiziert sich nicht selbst - sie leitet den Benutzer zu seinem Zugriffskontrollsystem weiter.
- Das Zugriffskontrollsystem (IAM - Identity & Access Management, SSO - Single Sign On) aktiviert die Single Sign On-Anwendung auf dem Smartphone des Benutzers.
- Der Benutzer sieht auf dem Smartphone-Bildschirm, dass eine Anfrage eingegangen ist (wer, wo usw.), authentifiziert ist und den Zugriff ermöglicht
- Das IAM-System erhält grünes Licht und kehrt den Benutzer zur Anwendung zurück, wobei parallel eine Zugriffsberechtigung angehängt wird.
Fragen
- Q1: Wo hat der Benutzer etwas in seinen Computer eingegeben?
- F2: Wohin gehen gefälschte Seiten in einer freundlichen Formation?
Ich verstehe, dass sich jetzt andere Fragen stellen können
Weitere Details
1. Der Benutzer meldet sich bei der Anwendung an. Die Anwendung authentifiziert sich nicht selbst - sie leitet den Benutzer zu seinem Zugriffskontrollsystem weiter.* Dies funktioniert nicht nur für Websites, sondern auch für Desktop- und mobile Anwendungen. Ein typisches Beispiel in einer Geschäftsumgebung: Anwendungen von MS Office 2013+ (
eigentlich 2010+, aber dort war alles sehr schief ).
* Standards und Protokolle für die Integration in IAM / SSO-Systeme (SAML, OAuth, OpenID Connect) seit vielen Jahren, dahinter stehen Giganten wie Google, Facebook und Vertreter der OpenSource-Community. Es gibt Unmengen von Bibliotheken, SDKs usw. Also nur der Faule integriert sich nicht.
* Die Integration beinhaltet den Austausch von Zertifikaten zwischen SSO / IAM und der Anwendung - viel Glück bei Fälschungen
2. Das Zugriffskontrollsystem (IAM - Identity & Access Management, SSO - Single Sign On) aktiviert die Anwendung für Single Sign On auf dem Smartphone des Benutzers.* Normale und erweiterte Systeme ermöglichen flexible 2FA-Einstellungen
- auf Antrag (Post / Finanzen - wichtig, Fitnessplan für Unternehmen - ohne 2FA möglich),
- nach Art der Authentifizierung in der Authentifizierungsanwendung (Mail - Finger / PIN, Finanzen - vollständiges langes Passwort)
- Kontext usw. (IP-Bereich - intern vom Büro oder vom Flughafen; von welchem Gerät aus, unabhängig davon, ob es sich um ein Unternehmensgerät handelt; entspricht es den Compliance-Richtlinien usw.).
* Auf diese Weise können Sie interessante Szenarien implementieren. Zum Beispiel der gleiche Zugriff auf eine Finanzanwendung:
- Unternehmens-Laptop im Büro - SSO über ein Zertifikat, der Benutzer meldet sich einfach ohne Frage an, aber nur, wenn der Laptop den Health Attestation-Test bestanden hat (Antivirus, Firewall usw., abgemeldet, dass alles in Ordnung ist).
- Der gleiche Laptop außerhalb des Büros (zu Hause, unterwegs) - 2FA
- [optional] Derselbe Laptop außerhalb des Büros im VPN - Passwort
- Eigener Laptop - Zugriff wird verweigert, und selbst das Kennen des Kennworts und des installierten VPN-Clients hilft nicht weiter , weil Das Enterprise-MDM-System ist mit den Prüfungen verbunden.
- Sie können den Zeitplan des Fitnessstudios jedoch von Ihrem Laptop / Telefon aus anzeigen - jedoch über 2FA
- Und wenn Sie von sich aus und ohne 2FA möchten - registrieren Sie das Gerät im Unternehmens-MDM ( mit der Trennung von Privat und Unternehmen ) und dann ist es ohne 2FA möglich
3. Der Benutzer sieht auf dem Smartphone-Bildschirm, dass eine Anfrage eingegangen ist (wer, wo usw.), authentifiziert ist und den Zugriff ermöglicht* Bitte beachten Sie, dass der Benutzer bei diesem Ansatz selbst auf einer Neujahrsparty sofort sieht, ob jemand versucht, auf seine Ressourcen zuzugreifen.
Aber anstatt sich die Haare auszureißen, reicht es aus, die Anfrage nach Zugang einfach abzulehnen und weiterhin kulturell zu
trinken. Nach der Informationssicherheit wird dies herausgefunden.
* Außerdem wird das echte Benutzerkennwort nirgendwo angezeigt und es wird nichts auf die Webseite / Anwendung geschrieben - gefälscht oder echt
4. Das IAM-System erhält grünes Licht und kehrt den Benutzer zur Anwendung zurück, wobei parallel eine Zugriffsberechtigung angehängt wird.* Die Berechtigung (SAML Assertion) wird vom EDS des IAM-Systems signiert und ist nur für diese Sitzung gültig - nur keine Fälschung
* Die Berechtigung kann zusätzliche Zugriffsparameter enthalten: Rolle, Einschränkungen (Schließen bestimmter Abschnitte des Portals), ein temporäres Fenster für die erneute Authentifizierung usw.
* Und das ist auch sehr nützlich (sollte aber auf beiden Seiten unterstützt werden) - Just in Time Provisioning - d.h. dynamische Kontoerstellung in der Anwendung.
Wenn 10 Personen in das Unternehmen gekommen sind und jeder 10 Konten erstellen muss - wie hoch ist die Wahrscheinlichkeit, dass die Administratoren irgendwo Fehler machen und wie viel muss dann behoben werden? Mit JIT Provisioning empfängt die Anwendung Daten vom IAM-System und erstellt automatisch alles. Ein gutes Beispiel ist Salesforce.
Abschließend
Das Thema kann für eine lange Zeit entwickelt werden. Es gibt viele Möglichkeiten. Es ist wichtig, dass all das nicht Platz ist, sondern ganz reale Dinge, die sich jede Organisation von 1 bis 100.000 Menschen leisten kann.
Wenn es viele ungeschickte alte Anwendungen gibt, wird natürlich alles komplizierter, aber in typischen Szenarien sind Implementierungstermine <1 Monat real.
Eine wichtige Nuance ist, dass das IAM-System mit MDM (einem System zur Verwaltung mobiler Geräte, einschließlich Laptops / PCs) arbeiten kann. Andernfalls kann das richtige Sicherheitsniveau nicht gewährleistet werden (bei gleichbleibender Einfachheit).
Die zwei größten Lösungen (laut Gartner MQ 2018):
* Microsoft Azure AD Premium P2 + Intune oder MS 365 E3 / E5Es passt perfekt in das Format von Organisationen (insbesondere großen), die Office 365 implementieren oder in die Azure-Cloud wechseln. Die Lizenzierung weist einige Fallstricke auf (z. B. eine separate Gebühr für 2FA für jede Authentifizierung in separaten Paketen), die durch eine Reihe verschiedener Integrationen mit anderen MS- und Azure-Produkten ausgeglichen wird (einschließlich mobiler Anwendungen), Analytik, KI usw.
Alternativ können Sie mit MS ADFS (Active Directory Federation Services) viel selbst und ohne Cloud implementieren (einschließlich derjenigen, die Azure noch nicht kennt), aber Sie müssen buchstäblich einen Patchwork-Quilt zusammenfügen und verschiedene Produkte verschiedener Anbieter integrieren und unterstützen
* VMware WorkSpace ONEIm Jahr 2014 kaufte VMware den absoluten Marktführer (bis heute, einschließlich MQ 2018) des MDM / EMM AirWatch-Marktes und erweiterte seine Funktionalität mit seinen Lösungen.
Es gibt nicht so viele Wendungen wie Microsoft, aber es funktioniert nicht nur in der Cloud, es gibt mehr Integrationsmöglichkeiten, mehr unterstützte Plattformen (und oft mehr Funktionen - Mac, Android) als Ökosystem (nicht auf Microsoft ausgerichtet, wie Intune / AzureAD, viele Integrationen mit spezialisierten Anbietern) Sicherheit, Threat Intelligence, Threat Management), Lizenzierung ist einfacher und daher können sich kleine Unternehmen "erwachsene" Chips ohne Aufpreis leisten.
Beide Lösungen unterstützen Windows 10 Modern Management. Das MDM-Protokoll für Win10 wurde (soweit ich weiß) mit AirWatch entwickelt.
Im Allgemeinen ist es Zeit abzurunden. Ich denke, die Löcher in der Geschichte bleiben immer noch. Wenn Sie Fragen haben, fragen Sie. Frohes Neues Jahr!