El mes pasado, todos y cada uno escriben que 2FA (autenticación de dos factores) está en peligro debido a las páginas falsas de calidad. En realidad, el título del artículo parodia una de esas publicaciones en Habré. Por supuesto, los 2FA son diferentes. En algunos bancos europeos "especialmente avanzados", aún puede obtener una hoja con códigos TAN únicos.
Pero desde hace varios años, la industria no se ha detenido, y en lugar de que los códigos TAN / PIN únicos lleguen por SMS o mediante aplicaciones como RSA Token, Steam Guard, Google Authenticator, hay otras opciones.
Aquí está el video, estamos interesados en el primer escenario. Que esta pasando
Brevemente
- El usuario inicia sesión en la aplicación. La aplicación no se autentica a sí misma: redirige al usuario a su sistema de control de acceso.
- El sistema de control de acceso (IAM - Identity & Access Management, SSO - Single Sign On) activa la aplicación Single Sign On en el teléfono inteligente del usuario.
- El usuario ve en la pantalla del teléfono inteligente que ha llegado una solicitud (quién, dónde, etc.), está autenticada y permite el acceso
- El sistema IAM recibe una luz verde y devuelve al usuario a la aplicación, al tiempo que aplica el permiso de acceso.
Preguntas
- P1: ¿Dónde ingresó el usuario algo en su computadora?
- P2: ¿A dónde van las páginas falsas en una formación amigable?
Entiendo que ahora pueden surgir otras preguntas, por lo tanto
Más detalles
1. El usuario inicia sesión en la aplicación. La aplicación no se autentica a sí misma: redirige al usuario a su sistema de control de acceso.* Esto funciona no solo para sitios web, sino también para aplicaciones de escritorio y móviles. Un ejemplo típico en un entorno empresarial: aplicaciones de MS Office 2013+ (en
realidad 2010+, pero todo estaba muy torcido allí ).
* Los estándares y protocolos para la integración con los sistemas IAM / SSO (SAML, OAuth, OpenID Connect) durante muchos años, detrás de ellos están gigantes como Google, Facebook y representantes de la comunidad OpenSource. Hay toneladas de bibliotecas, SDK, etc. Entonces solo el perezoso no se integra.
* La integración implica el intercambio de certificados entre SSO / IAM y la aplicación: buena suerte en la falsificación
2. El sistema de control de acceso (IAM - Identity & Access Management, SSO - Single Sign On) activa la aplicación para Single Sign On en el teléfono inteligente del usuario.* Los sistemas normales y avanzados permiten configuraciones flexibles de 2FA
- por aplicación (correo / finanzas - importante, horario de gimnasio corporativo - posible sin 2FA),
- por tipo de autenticación en la aplicación de autenticación (correo - dedo / PIN, finanzas - contraseña larga completa)
- contexto, etc. (Rango de IP: internamente desde la oficina o desde el aeropuerto; desde qué dispositivo, si el dispositivo es corporativo; cumple con la Política de cumplimiento, etc.).
* De esta manera puedes implementar escenarios interesantes. Por ejemplo, el mismo acceso a una aplicación financiera:
- Computadora portátil corporativa en la oficina: SSO a través del certificado, el usuario simplemente inicia sesión sin preguntas, pero solo si la computadora portátil ha pasado la prueba de certificación de salud (antivirus, firewall, etc., sin suscripción, que todo está bien)
- La misma computadora portátil fuera de la oficina (en casa, mientras viaja) - 2FA
- [opcional] La misma computadora portátil fuera de la oficina en la VPN - contraseña
- Portátil propio: se deniega el acceso, e incluso conocer la contraseña y el cliente VPN instalado no ayudarán , porque El sistema MDM empresarial está conectado a las comprobaciones.
- Pero puede ver el horario del gimnasio corporativo desde su computadora portátil / teléfono, pero a través de 2FA
- Y si lo desea desde su propio y sin 2FA, registre el dispositivo en MDM corporativo ( con la separación de privado y corporativo ) y luego es posible sin 2FA
3. El usuario ve en la pantalla del teléfono inteligente que ha llegado una solicitud (quién, dónde, etc.), se autentica y permite el acceso* Tenga en cuenta que con este enfoque, el usuario, incluso en una fiesta corporativa de Año Nuevo, verá de inmediato si alguien está intentando acceder a sus recursos.
Pero en lugar de arrancarte el pelo, es suficiente simplemente rechazar la solicitud de acceso y continuar
bebiendo culturalmente, y después de la seguridad de la información, lo resolverá.
* Además, la contraseña de usuario real no aparece en ningún lado y no se escribe nada en la página web / aplicación, ya sea falsa o real
4. El sistema IAM recibe una luz verde y devuelve al usuario a la aplicación, adjuntando un permiso de acceso en paralelo.* El permiso (Afirmación SAML) está firmado por el EDS del sistema IAM y es válido solo para esta sesión, simplemente no falsifique
* El permiso puede contener parámetros de acceso adicionales: rol, restricciones (cerrar ciertas secciones del portal), una ventana temporal para la reautenticación, etc.
* Y que también es muy útil (pero debe ser compatible en ambos lados) - Aprovisionamiento justo a tiempo - es decir creación dinámica de cuentas en la aplicación.
Si 10 personas vinieron a la empresa y todos necesitan crear 10 cuentas, ¿cuál es la probabilidad de que los administradores se equivoquen en algún lugar y cuánto arreglar? Usando JIT Provisioning, la aplicación recibe datos del sistema IAM y crea todo automáticamente. Un buen ejemplo es Salesforce.
En conclusión
El tema puede desarrollarse durante mucho tiempo. Hay muchas opciones Es importante que todo lo anterior no sea espacio, sino cosas bastante reales que cualquier organización puede permitirse de 1 a 100,000 personas.
Naturalmente, si hay muchas aplicaciones viejas y torpes, entonces todo será más complicado, pero en escenarios típicos, las fechas de implementación <1 mes son reales.
Un matiz importante es que el sistema IAM debe poder trabajar con MDM (un sistema para administrar dispositivos móviles, incluidas computadoras portátiles / PC); de lo contrario, no se puede garantizar un nivel de seguridad adecuado (mientras se mantiene un nivel sensato de simplicidad).
Las dos soluciones más grandes (según Gartner MQ 2018):
* Microsoft Azure AD Premium P2 + Intune o MS 365 E3 / E5Se adapta perfectamente al formato de las organizaciones (especialmente las grandes) que están implementando Office 365 o se están moviendo a la nube de Azure, hay un par de dificultades en las licencias (como una tarifa separada para 2FA por cada autenticación en paquetes separados), que se compensa con un montón de diversas integraciones con otros productos de MS y Azure (incluidas aplicaciones móviles), análisis, IA, etc.
Alternativamente, MS ADFS (Servicios de federación de Active Directory) le permite implementar mucho usted mismo y sin una nube (incluido lo que Azure aún no sabe cómo hacer, pero literalmente debe coser una colcha de retazos, integrando y apoyando varios productos de diferentes proveedores)
* VMware WorkSpace ONEEn 2014, VMware compró el líder absoluto (hasta hoy, incluido MQ 2018) del mercado MDM / EMM AirWatch y amplió su funcionalidad con sus soluciones.
No hay tantos giros como Microsoft, pero funciona no solo en la nube, más oportunidades de integración, más plataformas compatibles (y a menudo más funcionalidad - Mac, Android) ecosistema (no enfocado en Microsoft, como Intune / AzureAD, muchas integraciones con proveedores especializados seguridad, inteligencia de amenazas, gestión de amenazas), la concesión de licencias es más simple y, como resultado, las organizaciones pequeñas pueden pagar chips "adultos" sin recargo.
Ambas soluciones son compatibles con Windows 10 Modern Management. El protocolo MDM para Win10 fue desarrollado (hasta donde yo sé) usando AirWatch.
En general, es hora de redondear. Creo que los agujeros en la historia aún permanecen. Si tiene preguntas, pregunte. Feliz año nuevo