两因素身份验证（2FA）防网络钓鱼

上个月，每个人和杂物写到2FA（两因素身份验证）由于高质量的伪造页面而处于危险之中。 实际上，该文章的标题嘲讽了哈布雷（Habré）上的此类帖子之一。 当然，2FA有所不同。 在某些“特别先进”的欧洲银行中，您仍然可以拥有一次性TAN编码。

但是几年来，该行业并没有停滞不前，除了通过SMS或通过RSA Token，Steam Guard，Google Authenticator等应用程序获得一次性TAN / PIN码之外，还有其他选择。

这是视频，我们对第一种情况感兴趣。 这是怎么回事？

简要地

1. 用户登录到应用程序。 该应用程序不会对其自身进行身份验证-会将用户重定向到其访问控制系统。
2. 访问控制系统（IAM-身份和访问管理，SSO-单一登录）激活用户智能手机上的“单一登录”应用程序。
3. 用户在智能手机屏幕上看到请求已到达（谁，在哪里等），已通过身份验证并允许访问
4. IAM系统会亮绿灯，并让用户返回到应用程序，同时附加访问权限。

问题

• 问题1：用户在哪里向计算机输入内容？
• 问题2：伪造页面在哪里形成友好的排列？

我知道现在可能还会出现其他问题

更多细节

1.用户登录到应用程序。 该应用程序不会对其自身进行身份验证-会将用户重定向到其访问控制系统。

*这不仅适用于网站，而且适用于台式机和移动应用程序。 业务环境中的一个典型示例：MS Office 2013+（ 实际上是2010+）中的应用程序，但是那里的一切都很歪斜 。

*多年来与IAM / SSO系统（SAML，OAuth，OpenID Connect）集成的标准和协议，背后是Google，Facebook和OpenSource社区代表之类的巨头。 有大量的库，SDK等。 因此，只有懒惰的人不会整合。

*集成涉及SSO / IAM与应用程序之间的证书交换-祝您好运

2.访问控制系统（IAM-身份和访问管理，SSO-单一登录）激活用户智能手机上的“单一登录”应用程序。
*普通和高级系统允许灵活的2FA设置

• 根据应用（邮件/财务-重要，公司体育馆时间表-可能没有2FA），
• 根据身份验证器应用程序中的身份验证类型（邮件-手指/ PIN，财务-完整的长密码）
• 上下文等 （IP范围-在办公室或机场内部；从哪个设备开始，无论该设备是公司的设备；它是否符合《合规政策》等）。

*这样您就可以实现有趣的场景。 例如，对财务应用程序的相同访问：

• 办公室中的企业笔记本电脑-通过证书的SSO，用户只需登录即可毫无疑问，但前提是该笔记本电脑已通过健康证明测试（防病毒，防火墙等，已取消订阅，一切正常）
• 办公室外（在家中或外出时）使用同一台笔记本电脑-2FA
• [可选] VPN内办公室外的同一台笔记本电脑-密码
• 自己的笔记本电脑-拒绝访问， 甚至知道密码和已安装的VPN客户端也无济于事 ，因为 企业MDM系统已连接到支票。
• 但是您可以从笔记本电脑/手机上查看企业体育馆的日程安排-但可以通过2FA
• 而且，如果您自己拥有2FA，请在公司MDM中注册设备（ 私有和公司分开 ），然后不使用2FA也可以

3.用户在智能手机屏幕上看到请求已到达（谁，在哪里等），已通过身份验证并允许访问

*请注意，使用这种方法，即使在公司新年晚会上，用户也将立即查看是否有人正在尝试访问其资源。

但是，您不必花很多时间，只需拒绝访问请求并继续按文化喝酒 ，就可以在信息安全后将其解决。

*此外，真实用户密码不会出现在任何地方，并且不会向网页/应用程序写入任何内容-虚假或真实

4. IAM系统收到绿灯，并让用户返回到应用程序，同时附加访问权限。

*权限（SAML断言）由IAM系统的EDS签名，并且仅对此会话有效-请勿伪造

*权限可能包含其他访问参数：角色，限制（关闭门户的某些部分），用于重新认证的临时窗口等。

*这也是非常有用的（但应该在两面都得到支持）-及时置备-即 在应用程序中动态创建帐户。

如果有10个人来公司，每个人都需要创建10个帐户-管理员在某个地方搞砸的可能性是多少？然后修复多少？ 使用JIT Provisioning，该应用程序从IAM系统接收数据并自动创建所有内容。 一个很好的例子是Salesforce。

总结

该主题可以开发很长时间。 有很多选择。 重要的是，上述所有内容都不是空间，而是任何组织都能负担1至100,000个人的相当真实的东西。

自然，如果有很多笨拙的旧应用程序，那么一切都会更加复杂，但是在典型情况下，实现日期少于1个月是真实的。

一个重要的细微差别是，IAM系统必须能够与MDM（用于管理包括笔记本电脑/ PC在内的移动设备的系统）一起使用-否则，不能确保适当的安全级别（同时保持理智的简单性）。

两种最大的解决方案（根据Gartner MQ 2018）：

* Microsoft Azure AD Premium P2 + Intune或MS 365 E3 / E5

它完全适合于实现Office 365或迁移到Azure云的组织（尤其是大型组织）的格式，在许可方面存在一些陷阱（例如，在单独的程序包中为每个身份验证分别收取2FA的费用），这可以通过与其他MS和Azure产品进行的各种集成来补偿（包括移动应用程序），分析，人工智能等。

另外，MS ADFS（Active Directory联合身份验证服务）允许您自己实施很多工作，而无需云（包括Azure仍然不知道如何做的云），但是您必须从字面上拼凑拼布，集成和支持来自不同供应商的各种产品

* VMware WorkSpace ONE

2014年，VMware收购了MDM / EMM AirWatch市场的绝对领导者（包括MQ 2018在内），并通过其解决方案扩展了其功能。

没有像Microsoft那样多的曲折，但它不仅可以在云中运行，可以提供更多的集成机会，可以提供更多受支持的平台（通常还有更多功能-Mac，Android）生态系统（不像Intune / AzureAD那样专注于Microsoft，还可以与专门的供应商进行大量集成安全性，威胁情报，威胁管理），许可更简单，因此，小型组织可以负担“成人”芯片而无需支付额外费用。

两种解决方案均支持Windows 10现代管理。 据我所知，Win10的MDM协议是使用AirWatch开发的。

总的来说，是时候四舍五入了。 我认为故事中的漏洞仍然存在。 如有疑问，请提问。 新年快乐！