Geekly articles weekly

Otentikasi Dua Faktor (2FA) Tahan Phishing

Bulan lalu, semua orang menulis bahwa 2FA (otentikasi dua faktor) dalam bahaya karena kualitas halaman palsu. Sebenarnya, judul artikel memarodikan salah satu posting seperti itu di Habré. Tentu saja, 2FA berbeda. Di beberapa bank Eropa "sangat maju", Anda masih bisa mendapatkan daun dengan kode TAN satu kali.

Tetapi selama beberapa tahun sekarang, industri ini tidak berhenti, dan alih-alih kode TAN / PIN satu kali datang melalui SMS atau melalui aplikasi seperti RSA Token, Steam Guard, Google Authenticator, ada opsi lain.

Ini videonya, kami tertarik dengan skenario pertama. Apa yang sedang terjadi



Secara singkat


  1. Pengguna masuk ke aplikasi. Aplikasi tidak mengotentikasi sendiri - itu mengarahkan pengguna ke sistem kontrol aksesnya.
  2. Sistem kontrol akses (IAM - Identity & Access Management, SSO - Single Sign On) mengaktifkan aplikasi Single Sign On pada ponsel cerdas pengguna.
  3. Pengguna melihat pada layar ponsel cerdas bahwa permintaan telah tiba (siapa, di mana, dll.), Diautentikasi dan memungkinkan akses
  4. Sistem IAM menerima lampu hijau dan mengembalikan pengguna ke aplikasi, melampirkan izin akses secara paralel.

Pertanyaan


  • T1: Di mana pengguna memasukkan sesuatu ke komputernya?
  • T2: Ke mana halaman palsu masuk dalam formasi yang bersahabat?

Saya mengerti bahwa sekarang pertanyaan lain mungkin muncul

Lebih detail


1. Pengguna masuk ke aplikasi. Aplikasi tidak mengotentikasi sendiri - itu mengarahkan pengguna ke sistem kontrol aksesnya.

* Ini berfungsi tidak hanya untuk situs web, tetapi juga untuk aplikasi desktop dan seluler. Contoh khas dalam lingkungan bisnis: aplikasi dari MS Office 2013+ ( sebenarnya 2010+, tetapi semuanya sangat bengkok di sana ).

* Standar dan protokol untuk integrasi dengan sistem IAM / SSO (SAML, OAuth, OpenID Connect) selama bertahun-tahun, di belakang mereka adalah raksasa seperti Google, Facebook dan perwakilan dari komunitas OpenSource. Ada banyak perpustakaan, SDK, dll. Jadi hanya yang malas tidak berintegrasi.

* Integrasi melibatkan pertukaran sertifikat antara SSO / IAM dan aplikasi - semoga sukses palsu

2. Sistem kontrol akses (IAM - Identity & Access Management, SSO - Single Sign On) mengaktifkan aplikasi Single Sign On pada smartphone pengguna.
* Sistem normal dan lanjutan memungkinkan pengaturan 2FA yang fleksibel

  • melalui aplikasi (surat / keuangan - penting, jadwal gym perusahaan - mungkin tanpa 2FA),
  • berdasarkan jenis otentikasi dalam aplikasi autentikator (surat - jari / PIN, keuangan - kata sandi penuh panjang)
  • konteks, dll. (Rentang IP - secara internal dari kantor atau dari bandara; dari perangkat mana, apakah perangkat itu perusahaan; apakah itu mematuhi Kebijakan Kepatuhan, dll.).

* Dengan cara ini Anda dapat menerapkan skenario yang menarik. Misalnya, akses yang sama ke aplikasi keuangan:

  • Laptop korporat di kantor - SSO melalui sertifikat, pengguna cukup masuk tanpa pertanyaan, tetapi hanya jika laptop tersebut telah lulus tes Health Attestation (antivirus, firewall, dll., Berhenti berlangganan, bahwa semuanya OK)
  • Laptop yang sama di luar kantor (di rumah, saat bepergian) - 2FA
  • [opsional] Laptop yang sama di luar kantor di VPN - kata sandi
  • Laptop sendiri - akses ditolak, dan bahkan mengetahui kata sandi dan klien VPN yang diinstal tidak akan membantu , karena sistem MDM perusahaan terhubung ke cek.
  • Tetapi Anda dapat melihat jadwal gym perusahaan dari laptop / telepon Anda - tetapi melalui 2FA
  • Dan jika Anda ingin dari Anda sendiri dan tanpa 2FA - daftarkan perangkat dalam MDM perusahaan ( dengan pemisahan pribadi dan perusahaan ) dan kemudian dimungkinkan tanpa 2FA

3. Pengguna melihat pada layar ponsel cerdas bahwa permintaan telah tiba (siapa, di mana, dll.), Diautentikasi dan memungkinkan akses

* Harap dicatat bahwa dengan pendekatan ini, pengguna, bahkan di pesta Tahun Baru korporat, akan segera melihat apakah seseorang mencoba mengakses sumber dayanya.

Tetapi alih-alih merobek rambut Anda, itu sudah cukup untuk sekadar menolak permintaan akses dan terus minum secara budaya, dan setelah keamanan informasi, itu akan mengetahuinya.

* Juga, kata sandi pengguna asli tidak muncul di mana pun, dan tidak ada yang tertulis di halaman web / aplikasi - palsu atau nyata

4. Sistem IAM menerima lampu hijau dan mengembalikan pengguna ke aplikasi, melampirkan izin akses secara paralel.

* Izin (Pernyataan SAML) ditandatangani oleh EDS sistem IAM dan hanya berlaku untuk sesi ini - hanya saja jangan palsu

* Izin dapat berisi parameter akses tambahan: peran, pembatasan (menutup bagian tertentu dari portal), jendela sementara untuk autauthentikasi, dll.

* Dan yang juga sangat berguna (tetapi harus didukung di kedua sisi) - Tepat waktu Penyediaan - yaitu pembuatan akun dinamis dalam aplikasi.

Jika 10 orang datang ke perusahaan, dan semua orang perlu membuat 10 akun - bagaimana kemungkinan admin akan mengacau di suatu tempat dan berapa banyak yang harus diperbaiki? Menggunakan JIT Provisioning, aplikasi menerima data dari sistem IAM dan secara otomatis membuat semuanya. Contoh yang baik adalah Salesforce.

Kesimpulannya


Topik tersebut dapat dikembangkan untuk waktu yang lama. Ada banyak pilihan. Adalah penting bahwa semua hal di atas bukanlah ruang, tetapi hal-hal yang cukup nyata yang dapat dimiliki organisasi mana pun dari 1 hingga 100.000 orang.

Tentu, jika ada banyak aplikasi lama yang canggung, maka semuanya akan menjadi lebih rumit, tetapi dalam skenario tipikal, tanggal implementasi <1 bulan adalah nyata.

Nuansa penting adalah bahwa sistem IAM harus dapat bekerja dengan MDM (sistem untuk mengelola perangkat seluler, termasuk laptop / PC) - jika tidak, tingkat keamanan yang tepat tidak dapat dipastikan (sambil mempertahankan tingkat kesederhanaan yang waras).

Dua solusi terbesar (menurut Gartner MQ 2018):

* Microsoft Azure AD Premium P2 + Intune atau MS 365 E3 / E5

Ini sangat cocok dengan format organisasi (terutama yang besar) yang menerapkan Office 365 atau pindah ke Azure cloud, ada beberapa jebakan dalam lisensi (seperti biaya terpisah untuk 2FA untuk setiap otentikasi dalam paket terpisah), yang dikompensasi oleh banyak integrasi dengan produk MS dan Azure lainnya (termasuk aplikasi seluler), analytics, AI, dll.

Atau, MS ADFS (Active Directory Federation Services) memungkinkan Anda untuk mengimplementasikan banyak hal sendiri dan tanpa cloud (termasuk yang Azure masih tidak tahu bagaimana melakukannya, tetapi Anda harus benar-benar menjahit selimut tambal sulam, mengintegrasikan dan mendukung berbagai produk dari vendor yang berbeda

* VMware WorkSpace ONE

Pada tahun 2014, VMware membeli pemimpin absolut (hingga hari ini, termasuk MQ 2018) dari pasar MDM / EMM AirWatch dan memperluas fungsionalitasnya dengan solusinya.

Tidak ada banyak tikungan seperti Microsoft, tetapi ia bekerja tidak hanya di cloud, lebih banyak peluang integrasi, lebih banyak platform yang didukung (dan seringkali lebih banyak fungsi - Mac, Android) ekosistem (tidak fokus pada Microsoft, seperti Intune / AzureAD, banyak integrasi dengan vendor khusus keamanan, Ancaman Intelijen, Manajemen Ancaman), perizinan lebih sederhana dan, sebagai hasilnya, organisasi kecil dapat membeli chip "dewasa" tanpa biaya tambahan.

Kedua solusi mendukung Windows 10 Modern Management. Protokol MDM untuk Win10 dikembangkan (sejauh yang saya tahu) menggunakan AirWatch.

Secara umum, saatnya untuk mengakhiri. Saya pikir lubang dalam cerita masih ada. Jika Anda memiliki pertanyaan, tanyakan. Selamat Tahun Baru!

Source: https://habr.com/ru/post/id434044/

More articles:


All Articles