Autenticação de dois fatores (2FA) resistente a phishing

No mês passado, todos escrevem que o 2FA (autenticação de dois fatores) está em perigo devido à qualidade de páginas falsas. Na verdade, o título do artigo parodia um desses posts em Habré. Obviamente, os 2FAs são diferentes. Em alguns bancos europeus "especialmente avançados", você ainda pode se apossar de uma folha com códigos TAN únicos.

Mas há vários anos, o setor não pára e, em vez de códigos TAN / PIN únicos chegarem via SMS ou através de aplicativos como RSA Token, Steam Guard, Google Authenticator, existem outras opções.

Aqui está o vídeo, estamos interessados ​​no primeiro cenário. O que está havendo?

Brevemente

1. O usuário efetua login no aplicativo. O aplicativo não se autentica - ele redireciona o usuário ao seu sistema de controle de acesso.
2. O sistema de controle de acesso (IAM - Gerenciamento de identidade e acesso, SSO - Logon único) ativa o aplicativo Logon único no smartphone do usuário.
3. O usuário vê na tela do smartphone que uma solicitação chegou (quem, onde, etc.), é autenticada e permite o acesso
4. O sistema IAM recebe uma luz verde e retorna o usuário ao aplicativo, enquanto aplica simultaneamente a permissão de acesso.

Perguntas

• T1: onde o usuário inseriu algo em seu computador?
• P2: Para onde vão as páginas falsas em uma formação amigável?

Entendo que agora outras questões possam surgir, portanto

Mais detalhes

1. O usuário efetua login no aplicativo. O aplicativo não se autentica - ele redireciona o usuário ao seu sistema de controle de acesso.

* Isso funciona não apenas para sites, mas também para aplicativos de desktop e móveis. Um exemplo típico em um ambiente de negócios: aplicativos do MS Office 2013+ ( na verdade 2010+, mas tudo estava muito torto ).

* Padrões e protocolos para integração com sistemas IAM / SSO (SAML, OAuth, OpenID Connect) por muitos anos, por trás deles estão gigantes como Google, Facebook e representantes da comunidade OpenSource. Existem toneladas de bibliotecas, SDKs etc. Portanto, apenas o preguiçoso não se integra.

* A integração envolve a troca de certificados entre SSO / IAM e o aplicativo - boa sorte em falsas

2. O sistema de controle de acesso (IAM - Gerenciamento de Identidade e Acesso, SSO - Logon Único) ativa o aplicativo para Logon Único no smartphone do usuário.
* Sistemas normais e avançados permitem configurações flexíveis de 2FA

• por inscrição (correio / finanças - importante, horário da academia corporativa - possível sem 2FA),
• por tipo de autenticação no aplicativo autenticador (email - dedo / PIN, finanças - senha longa completa)
• contexto etc. (Faixa de IP - internamente do escritório ou do aeroporto; de qual dispositivo, se é corporativo; está em conformidade com a Política de conformidade, etc.).

* Dessa forma, você pode implementar cenários interessantes. Por exemplo, o mesmo acesso a um aplicativo financeiro:

• Laptop corporativo no escritório - SSO por meio de um certificado, o usuário simplesmente efetua login sem questionar, mas somente se o laptop tiver passado no teste de Atestado de Integridade (antivírus, firewall, etc., sem inscrição, se tudo está OK)
• O mesmo laptop fora do escritório (em casa, em movimento) - 2FA
• [opcional] O mesmo laptop fora do escritório na VPN - senha
• Próprio laptop - o acesso é negado, e mesmo sabendo a senha e o cliente VPN instalado não ajudará , porque o sistema MDM corporativo está conectado às verificações.
• Mas você pode ver a programação da academia corporativa no seu laptop / telefone - mas através do 2FA
• E se você quiser do seu próprio país e sem o 2FA - registre o dispositivo no MDM corporativo ( com a separação de privado e corporativo ) e, em seguida, é possível sem o 2FA

3. O usuário vê na tela do smartphone que uma solicitação chegou (quem, onde etc.) é autenticada e permite o acesso

* Observe que, com essa abordagem, o usuário, mesmo em uma festa corporativa de Ano Novo, verá imediatamente se alguém está tentando acessar seus recursos.

Mas, em vez de arrancar os cabelos, basta rejeitar o pedido de acesso e continuar bebendo culturalmente; depois da segurança das informações, ele descobrirá.

* Além disso, a senha real do usuário não aparece em lugar algum e nada é gravado na página / aplicativo da Web - falso ou real

4. O sistema IAM recebe uma luz verde e retorna o usuário ao aplicativo, anexando uma permissão de acesso em paralelo.

* A permissão (SAML Assertion) é assinada pelo EDS do sistema IAM e é válida apenas para esta sessão - apenas não falsifique

* A permissão pode conter parâmetros de acesso adicionais: função, restrições (fechando determinadas seções do portal), uma janela temporária para nova autenticação, etc.

* E também é muito útil (mas deve ser suportado pelos dois lados) - Aprovisionamento just in time - ou seja, criação de conta dinâmica no aplicativo.

Se 10 pessoas vierem à empresa e todos precisarem criar 10 contas - qual é a probabilidade de os administradores estragarem em algum lugar e quanto corrigir? Usando o provisionamento JIT, o aplicativo recebe dados do sistema IAM e cria tudo automaticamente. Um bom exemplo é o Salesforce.

Em conclusão

O tópico pode ser desenvolvido por um longo tempo. Existem muitas opções. É importante que tudo isso não seja espaço, mas coisas bastante reais que qualquer organização pode pagar de 1 a 100.000 pessoas.

Naturalmente, se houver muitos aplicativos antigos desajeitados, tudo será mais complicado, mas em cenários típicos, as datas de implementação <1 mês são reais.

Uma nuance importante é que o sistema IAM deve ser capaz de trabalhar com o MDM (um sistema para gerenciar dispositivos móveis, incluindo laptops / PCs) - caso contrário, o nível adequado de segurança não pode ser garantido (mantendo um nível de simplicidade sadio).

As duas maiores soluções (de acordo com o Gartner MQ 2018):

* Microsoft Azure AD Premium P2 + Intune ou MS 365 E3 / E5

Ele se encaixa perfeitamente no formato das organizações (especialmente as grandes) que estão implementando o Office 365 ou migrando para a nuvem do Azure, existem algumas armadilhas no licenciamento (como uma taxa separada para 2FA para cada autenticação em pacotes separados), compensada por várias integrações com outros produtos MS e Azure (incluindo aplicativos móveis), análises, IA etc.

Como alternativa, o MS ADFS (Serviços de Federação do Active Directory) permite que você implemente muito você mesmo e sem uma nuvem (incluindo o que o Azure ainda não sabe fazer), mas você precisa literalmente costurar uma colcha de retalhos, integrando e dando suporte a vários produtos de diferentes fornecedores

* VMware WorkSpace ONE

Em 2014, a VMware comprou o líder absoluto (até hoje, incluindo o MQ 2018) do mercado MDM / EMM AirWatch e expandiu sua funcionalidade com suas soluções.

Não há tantas reviravoltas quanto a Microsoft, mas funciona não apenas na nuvem, mais oportunidades de integração, ecossistema de plataformas mais suportadas (e muitas vezes mais funcionalidades - Mac, Android) (não focado na Microsoft, como Intune / AzureAD, muitas integrações com fornecedores especializados) segurança, inteligência de ameaças, gerenciamento de ameaças), o licenciamento é mais simples e, como resultado, pequenas organizações podem pagar chips "adultos" sem custo adicional.

Ambas as soluções oferecem suporte ao Gerenciamento Moderno do Windows 10. O protocolo MDM para Win10 foi desenvolvido (tanto quanto eu sei) usando o AirWatch.

Em geral, é hora de terminar. Eu acho que os buracos na história ainda permanecem. Se você tiver dúvidas, pergunte. Feliz Ano Novo!