Geralmente, com a frase “autenticação multifatorial”, as pessoas lembram, antes de tudo, os códigos SMS que aparecem quando você paga com um cartão de compra on-line. Um pouco menos frequentemente vem à mente uma unidade flash com números, um símbolo.
Hoje vou falar sobre outros métodos de autenticação multifatorial e as tarefas que eles ajudam as empresas a resolver. Vou falar sobre o exemplo da solução Gemalto Safenet Authentication Service (SAS), que existe no formato de um serviço de nuvem e versão local certificada pelo FSTEC.
Todo mundo entende aproximadamente o que é autenticação multifator: é quando, além da senha (fator de conhecimento), você precisa inserir um fator adicional de confirmação. Existem dois deles:
- fator de propriedade (o que eu tenho): códigos de SMS, email, aplicativos móveis, chaves USB e muito mais.
- fator de propriedade (o que sou): impressões digitais, íris.
Normalmente, dentro de uma empresa, a autenticação multifator é usada para proteger contra acesso não autorizado VDI, portais da Web (OWA, vários ServiceDesk, Confluence, Microsoft IIS), VPN, aplicativos em nuvem (Office 365, Salesforce).
Abaixo estão alguns exemplos de quais tarefas podem ser resolvidas usando o Serviço de autenticação SafeNet.
Desafio: Conformidade com o PCI DSSA autenticação multifator é um dos requisitos do
padrão PCI DSS (seção 8.3.). Além disso, o padrão exige que a autenticação multifatorial seja uma etapa: a senha e o segundo fator devem ser inseridos no mesmo campo. Se um invasor tentar assumir a conta e cometer um erro ao entrar, ele não entenderá onde o erro foi cometido - na senha ou no token.
Solução: autenticação multifatorial PIN + OTP de uma etapaEsse esquema de autenticação baseado em SafeNet é implementado em nossa plataforma IaaS, que cumpre os requisitos do PCI DSS e 152-- -
Cloud-152 . Os administradores da plataforma Cloud-152 passam para acessar o segmento de gerenciamento. Para obter autorização, é necessário inserir o PIN e o OTP em um campo, que vem com uma notificação por push no aplicativo móvel Mobile Pass.
É assim que parece a autenticação para administradores do Cloud-152 no lado do DataLine.
* Deveria ter havido uma captura de tela do SafeNet Mobile Pass, mas o aplicativo bloqueia as capturas de tela.Desafio: autenticação de dois fatores para funcionários sem smartphone e Internet móvelA empresa pretende introduzir autenticação de dois fatores para acessar estações de trabalho. A empresa possui uma rede distribuída de escritórios em toda a Rússia, muitos funcionários têm Internet móvel instável ou nenhum smartphone. Acontece que as notificações por push de aplicativos móveis como um segundo fator não funcionarão. SMS e tokens físicos desaparecem devido ao alto custo.
Solução: use o GrIDSure como um segundo fatorGrIDSure é uma senha descartável (OTP). Consiste em uma tabela com caracteres e um padrão que o usuário define quando configura a autenticação. Para autorização, o usuário seleciona caracteres da tabela de acordo com esse padrão e entra como o segundo fator.
A tabela com caracteres que o usuário recebe ao autorizar para estações de trabalho.
Em seguida, o usuário simplesmente segue o padrão selecionado. Por exemplo, assim.Como caracteres, você pode usar números, letras e caracteres especiais. O tamanho da tabela é personalizável: pode ser uma tabela de 5 por 5 ou mais.
A cada tentativa de autenticação, a tabela é atualizada, portanto, essa senha não pode ser escovada.
O Gridsure também não precisa de um aplicativo móvel e, portanto, de um smartphone com Internet móvel. O GrIDSure é exibido na mesma interface e dispositivo que o serviço protegido.
Objetivo: proteger o serviço da Web contra ataques de força brutaA autenticação multifatorial baseada em SafeNet pode ser usada para proteger serviços web publicados na Internet, como o Outlook Web App (OWA). O Safenet suporta os protocolos RADIUS e SAML, para que se integre facilmente ao Microsoft Outlook, Office 365, Saleforce, Dropbox, Apache, etc.
Se um invasor souber emails, poderá atacar esses serviços por meio de suposição de senha. O objetivo de um ataque desse tipo nem sempre é capturar a conta, mas bloqueá-la. Em teoria, você pode bloquear todo o correio da empresa.
Solução: usando OTP como segundo fatorAqui você pode usar o GrIDSure ou o Mobile Pass como um segundo fator.
Tarefa: automação da emissão e manutenção de tokensUma empresa com uma rede distribuída de filiais para 20 mil funcionários já usa a autenticação de dois fatores com o GrIDSure como o segundo fator.
O problema é que os administradores precisam dedicar muito tempo à manutenção do token: liberar novos, redefinir padrões etc.
Solução: use o portal de autoatendimentoA SafeNet possui um portal de autoatendimento que ajuda a automatizar operações de rotina e reduzir a carga para os administradores.
No portal de autoatendimento, o usuário pode deixar todas as informações necessárias para emitir um token. O administrador pode apenas confirmar e enviar um link para a formação do token. Se o usuário esqueceu qual caminho ele escolheu para o GrIDSure, novamente ele pode redefini-lo independentemente aqui e definir um novo.
Tarefas: Regulamento de acesso às estações de trabalhoO call center tem 200 trabalhadores por turnos. Para economizar recursos, dois funcionários têm uma estação de trabalho. Você precisa configurar os acessos para que não haja sessões competitivas.
Solução: implementar políticas de logon e acesso ao tokenO SafeNet pode ser instalado em cada estação de trabalho e, por meio dele, definir políticas de acesso para horários e endereços IP. Se a mudança de funcionário ainda não tiver começado, ele não poderá ir para a estação de trabalho. O administrador poderá rastrear quando um funcionário efetuou login e a partir de qual endereço IP no log.
A autenticação multifator está se tornando cada vez mais relevante, pois uma senha estática, mesmo com um grande número de caracteres, não é mais um obstáculo difícil para um invasor.
Outra das tendências nessa direção é o uso de um token para acessar vários sistemas ou aplicativos da empresa ao mesmo tempo (entrada SSO). Esse cenário também pode ser implementado usando o SafeNet. Se estiver interessado, falarei sobre ele em uma postagem separada.