Biasanya, dengan frasa “otentikasi multi-faktor”, orang pertama-tama memanggil kembali kode SMS yang datang saat Anda membayar dengan kartu pembelian online. Agak jarang terlintas dalam pikiran flash drive dengan angka, token.
Hari ini saya akan berbicara tentang metode lain otentikasi multi-faktor dan tugas-tugas yang mereka bantu selesaikan oleh perusahaan. Saya akan berbicara tentang contoh solusi Gemalto Safenet Authentication Service (SAS), yang ada dalam format layanan cloud dan versi on-premise yang disertifikasi oleh FSTEC.
Semua orang secara kasar memahami apa itu otentikasi multi-faktor: inilah saat selain kata sandi (faktor pengetahuan), Anda perlu memasukkan faktor konfirmasi tambahan. Ada dua di antaranya:
- faktor kepemilikan (apa yang saya miliki): kode dari SMS, email, aplikasi seluler, kunci USB dan banyak lagi.
- faktor properti (siapa saya): sidik jari, iris.
Biasanya, di dalam perusahaan, otentikasi multi-faktor digunakan untuk melindungi terhadap akses VDI yang tidak sah, portal web (OWA, berbagai ServiceDesk, Confluence, Microsoft IIS), VPN, aplikasi cloud (Office 365, Salesforce).
Di bawah ini adalah beberapa contoh tugas apa yang dapat diselesaikan dengan menggunakan Layanan Otentikasi SafeNet.
Tantangan: Kepatuhan dengan PCI DSSOtentikasi multifaktor adalah salah satu persyaratan
standar PCI DSS (klausul 8.3.). Selain itu, standar mengharuskan otentikasi multi-faktor menjadi satu langkah: kata sandi dan faktor kedua harus dimasukkan dalam bidang yang sama. Jika penyerang mencoba untuk mengambil alih akun dan membuat kesalahan saat masuk, ia tidak akan mengerti di mana kesalahan itu dibuat - dalam kata sandi atau token.
Solusi: PIN Multi-Faktor Satu Langkah + Otentikasi OTPSkema otentikasi berbasis SafeNet ini diterapkan di platform IaaS kami yang sesuai dengan persyaratan PCI DSS dan 152- -
Cloud-152 . Administrator platform Cloud-152 meneruskannya untuk mengakses segmen manajemen. Untuk otorisasi, Anda harus memasukkan PIN dan OTP dalam satu bidang, yang dilengkapi dengan pemberitahuan push di aplikasi seluler Mobile Pass.
Ini adalah bagaimana otentikasi untuk administrator Cloud-152 di sisi DataLine terlihat.
* Seharusnya ada tangkapan layar dari SafeNet Mobile Pass, tetapi aplikasi memblokir tangkapan layar.Tantangan: otentikasi dua faktor untuk karyawan tanpa ponsel cerdas dan Internet selulerPerusahaan bermaksud untuk memperkenalkan otentikasi dua faktor untuk mengakses workstation. Perusahaan ini memiliki jaringan kantor yang tersebar di seluruh Rusia, banyak karyawan memiliki internet seluler yang tidak stabil atau tidak ada smartphone sama sekali. Ternyata pemberitahuan Push dari aplikasi seluler sebagai faktor kedua tidak akan berfungsi. SMS dan token fisik hilang karena biaya tinggi.
Solusi: gunakan GrIDSure sebagai faktor keduaGrIDSure adalah kata sandi satu kali (OTP). Ini terdiri dari tabel dengan karakter dan pola yang ditetapkan pengguna saat mengatur otentikasi. Untuk otorisasi, pengguna memilih karakter dari tabel sesuai dengan pola ini dan masuk sebagai faktor kedua.
Tabel dengan karakter yang diterima pengguna saat mengotorisasi ke workstation.
Selanjutnya, pengguna cukup mengikuti pola yang dipilih. Misalnya, seperti ini.Sebagai karakter, Anda dapat menggunakan angka, huruf, dan karakter khusus. Ukuran tabel dapat disesuaikan: bisa berupa tabel 5 dengan 5 atau lebih.
Dengan setiap upaya otentikasi, tabel diperbarui, sehingga kata sandi ini tidak dapat disikat.
Gridsure juga tidak memerlukan aplikasi seluler, dan karenanya smartphone dengan Internet seluler. GrIDSure ditampilkan pada antarmuka dan perangkat yang sama dengan layanan yang dilindungi.
Tujuan: melindungi layanan web dari serangan brute forceOtentikasi multi-faktor berbasis SafeNet dapat digunakan untuk melindungi layanan web yang diterbitkan di Internet, seperti Outlook Web App (OWA). Safenet mendukung protokol RADIUS dan SAML, sehingga mudah diintegrasikan dengan Microsoft Outlook, Office 365, Saleforce, Dropbox, Apache, dll.
Jika penyerang mengetahui email, maka ia akan dapat menyerang layanan tersebut dengan menebak kata sandi. Tujuan dari serangan semacam itu mungkin tidak selalu untuk menangkap akun, tetapi untuk memblokirnya. Secara teori, Anda dapat memblokir seluruh surat perusahaan.
Solusi: menggunakan OTP sebagai faktor keduaDi sini Anda dapat menggunakan GrIDSure atau Mobile Pass sebagai faktor kedua.
Tugas: otomatisasi penerbitan dan pemeliharaan tokenSebuah perusahaan dengan jaringan cabang terdistribusi untuk 20 ribu karyawan sudah menggunakan otentikasi dua faktor dengan GrIDSure sebagai faktor kedua.
Masalahnya adalah bahwa administrator harus menghabiskan banyak waktu untuk pemeliharaan token: lepaskan yang baru, atur ulang pola, dll.
Solusi: gunakan portal swalayanSafeNet memiliki portal swalayan yang membantu mengotomatiskan operasi rutin dan mengurangi beban pada administrator.
Di portal swalayan, pengguna dapat meninggalkan semua informasi yang diperlukan untuk mengeluarkan token. Administrator hanya dapat mengonfirmasinya dan mengirim tautan ke pembentukan token. Jika pengguna lupa jalur mana yang ia pilih untuk GrIDSure, maka sekali lagi ia dapat mengatur ulang secara mandiri di sini dan menetapkan yang baru.
Tugas: Pengaturan akses ke workstationCall center memiliki 200 pekerja shift. Untuk menghemat sumber daya, dua karyawan memiliki satu workstation. Anda perlu mengonfigurasi akses sehingga tidak ada sesi kompetitif.
Solusi: Terapkan Kebijakan Token Login dan AksesSafeNet dapat diinstal pada setiap workstation dan melaluinya menetapkan kebijakan akses untuk waktu dan alamat IP. Jika pergantian karyawan belum dimulai, maka dia tidak akan bisa pergi ke stasiun kerjanya. Administrator akan dapat melacak ketika seorang karyawan masuk dan dari alamat IP mana dalam log.
Otentikasi multifaktor menjadi semakin relevan, karena kata sandi statis bahkan dengan sejumlah besar karakter tidak lagi menjadi hambatan yang sulit bagi penyerang.
Kecenderungan lain dalam arah ini adalah penggunaan token untuk mengakses beberapa sistem atau aplikasi perusahaan sekaligus (input SSO). Skenario seperti itu juga dapat diimplementasikan menggunakan SafeNet. Jika tertarik, saya akan memberi tahu Anda tentang dia di pos terpisah.