Le mois dernier, tout le monde écrit que 2FA (authentification à deux facteurs) est en danger en raison de fausses pages de qualité. En fait, le titre de l'article parodie l'un de ces messages sur Habré. Bien sûr, les 2FA sont différents. Dans certaines banques européennes "particulièrement avancées", vous pouvez toujours vous procurer une feuille avec des codes TAN uniques.
Mais depuis plusieurs années, l'industrie n'est pas restée immobile, et au lieu de codes TAN / PIN uniques arrivant par SMS ou via des applications telles que RSA Token, Steam Guard, Google Authenticator, il existe d'autres options.
Voici la vidéo, nous nous intéressons au tout premier scénario. Que se passe-t-il?
Brièvement
- L'utilisateur se connecte à l'application. L'application ne s'authentifie pas - elle redirige l'utilisateur vers son système de contrôle d'accès.
- Le système de contrôle d'accès (IAM - Identity & Access Management, SSO - Single Sign On) active l'application Single Sign On sur le smartphone de l'utilisateur.
- L'utilisateur voit sur l'écran du smartphone qu'une demande est arrivée (qui, où, etc.), est authentifiée et autorise l'accès
- Le système IAM reçoit un feu vert et renvoie l'utilisateur à l'application, tout en appliquant simultanément l'autorisation d'accès.
Des questions
- Q1: Où l'utilisateur a-t-il entré quelque chose dans son ordinateur?
- Q2: Où vont les fausses pages dans une formation amicale?.
Je comprends que maintenant d’autres questions peuvent se poser, donc
Plus de détails
1. L'utilisateur se connecte à l'application. L'application ne s'authentifie pas - elle redirige l'utilisateur vers son système de contrôle d'accès.* Cela fonctionne non seulement pour les sites Web, mais aussi pour les applications de bureau et mobiles. Un exemple typique dans un environnement professionnel: les applications de MS Office 2013+ (en
fait 2010+, mais tout était très tordu là-bas ).
* Normes et protocoles d'intégration avec les systèmes IAM / SSO (SAML, OAuth, OpenID Connect) depuis de nombreuses années, derrière eux se trouvent des géants tels que Google, Facebook et des représentants de la communauté OpenSource. Il y a des tonnes de bibliothèques, SDK, etc. Donc, seul le paresseux ne s'intègre pas.
* L'intégration implique l'échange de certificats entre SSO / IAM et l'application - bonne chance en faux
2. Le système de contrôle d'accès (IAM - Identity & Access Management, SSO - Single Sign On) active l'application de Single Sign On sur le smartphone de l'utilisateur.* Les systèmes normaux et avancés permettent des paramètres 2FA flexibles
- par demande (mail / finance - important, horaire gym corporatif - possible sans 2FA),
- par type d'authentification dans l'application d'authentification (mail - doigt / PIN, finance - mot de passe long complet)
- contexte, etc. (Plage IP - en interne du bureau ou de l'aéroport; à partir de quel appareil, que l'appareil soit d'entreprise; est-il conforme à la politique de conformité, etc.).
* De cette façon, vous pouvez implémenter des scénarios intéressants. Par exemple, le même accès à une application financière:
- Ordinateur portable d'entreprise au bureau - SSO via un certificat, l'utilisateur se connecte simplement sans question, mais uniquement si l'ordinateur portable a réussi le test d'attestation d'intégrité (antivirus, pare-feu, etc., non abonné, que tout est OK)
- Le même ordinateur portable à l'extérieur du bureau (à la maison, en déplacement) - 2FA
- [facultatif] Le même ordinateur portable en dehors du bureau dans le VPN - mot de passe
- Propre ordinateur portable - l'accès est refusé, et même connaître le mot de passe et le client VPN installé n'aidera pas , car le système MDM d'entreprise est connecté aux contrôles.
- Mais vous pouvez voir le calendrier du gymnase d'entreprise depuis votre ordinateur portable / téléphone - mais via 2FA
- Et si vous le souhaitez par vous-même et sans 2FA - enregistrez l'appareil dans le MDM d'entreprise ( avec la séparation du privé et de l'entreprise ) et alors c'est possible sans 2FA
3. L'utilisateur voit sur l'écran du smartphone qu'une demande est arrivée (qui, où, etc.), est authentifié et autorise l'accès* Veuillez noter qu'avec cette approche, l'utilisateur, même lors d'une fête d'entreprise du Nouvel An, verra immédiatement si quelqu'un essaie d'accéder à ses ressources.
Mais au lieu de vous arracher les cheveux, il suffit de simplement rejeter la demande d'accès et de continuer à
boire culturellement, et après la sécurité de l'information, il le découvrira.
* De plus, le vrai mot de passe utilisateur n'apparaît nulle part, et rien n'est écrit sur la page Web / l'application - faux ou réel
4. Le système IAM reçoit un feu vert et renvoie l'utilisateur à l'application, en y attachant une autorisation d'accès en parallèle.* L'autorisation (SAML Assertion) est signée par l'EDS du système IAM et n'est valable que pour cette session - ne faites pas semblant
* L'autorisation peut contenir des paramètres d'accès supplémentaires: rôle, restrictions (fermeture de certaines sections du portail), une fenêtre temporaire pour la réauthentification, etc.
* Et qui est également très utile (mais devrait être pris en charge des deux côtés) - Provisioning juste à temps - c'est-à-dire création de compte dynamique dans l'application.
Si 10 personnes sont venues dans l'entreprise et que tout le monde doit créer 10 comptes - quelle est la probabilité que les administrateurs foutent quelque part et combien puis-je réparer? Grâce à JIT Provisioning, l'application reçoit les données du système IAM et crée automatiquement tout. Un bon exemple est Salesforce.
En conclusion
Le sujet peut être développé pendant longtemps. Il existe de nombreuses options. Il est important que tout ce qui précède ne soit pas de l'espace, mais des choses bien réelles que toute organisation peut se permettre de 1 à 100 000 personnes.
Naturellement, s'il y a beaucoup d'anciennes applications maladroites, alors tout sera plus compliqué, mais dans des scénarios typiques, les dates de mise en œuvre <1 mois sont réelles.
Une nuance importante est que le système IAM doit pouvoir fonctionner avec MDM (un système de gestion des appareils mobiles, y compris les ordinateurs portables / PC) - sinon, un niveau de sécurité approprié ne peut pas être assuré (tout en maintenant un niveau de simplicité sain).
Les deux plus grandes solutions (selon Gartner MQ 2018):
* Microsoft Azure AD Premium P2 + Intune ou MS 365 E3 / E5Il s'intègre parfaitement dans le format des organisations (en particulier les grandes) qui mettent en œuvre Office 365 ou qui migrent vers le cloud Azure, il y a quelques pièges dans les licences (comme des frais distincts pour 2FA pour chaque authentification dans des packages séparés), qui sont compensés par un tas de diverses intégrations avec d'autres produits MS et Azure (y compris les applications mobiles), l'analyse, l'IA, etc.
Alternativement, MS ADFS (Active Directory Federation Services) vous permet d'implémenter beaucoup vous-même et sans cloud (y compris ce qu'Azure ne sait toujours pas comment faire, mais vous devez littéralement assembler une courtepointe patchwork, intégrant et prenant en charge divers produits de différents fournisseurs
* VMware WorkSpace ONEEn 2014, VMware a acheté le leader absolu (à ce jour, y compris MQ 2018) du marché MDM / EMM AirWatch et a étendu ses fonctionnalités avec ses solutions.
Il n'y a pas autant de rebondissements que Microsoft, mais cela fonctionne non seulement dans le cloud, plus d'opportunités d'intégration, plus de plateformes prises en charge (et souvent plus de fonctionnalités - Mac, Android) écosystème (pas axé sur Microsoft, comme Intune / AzureAD, beaucoup d'intégrations avec des fournisseurs spécialisés sécurité, Threat Intelligence, Threat Management), les licences sont plus simples et, par conséquent, les petites organisations peuvent se permettre des puces "adultes" sans supplément.
Les deux solutions prennent en charge la gestion moderne de Windows 10. Le protocole MDM pour Win10 a été développé (pour autant que je sache) à l'aide d'AirWatch.
En général, il est temps d'arrêter. Je pense que les trous dans l'histoire demeurent. Si vous avez des questions, posez-les. Bonne année!