Двухфакторная аутентификация
Двухфакторная аутентификация — это метод идентификации пользователя в каком-либо сервисе при помощи запроса аутентификационных данных двух разных типов, что обеспечивает «двухслойную», а значит, более эффективную защиту аккаунта от несанкционированного проникновения. На практике это два ключа: одним вы владеете (телефон, на который приходит SMS с кодом или push-уведомление), другой запоминаете (обычные логин и пароль).
- Поддерживаемые Удостоверяющие центры: КриптоПро УЦ, Microsoft CA, Валидата УЦ;
-
Поддержка моделей съемных аппаратных носителей ключевой информации: ACOS, от ACS, HID Crescendo, от HID, ID-One Cosmo, от Bit4id, SCinterface от cryptovision GmbH, TicTok V2, V3 от CRYPTAS IT-Security GmbH, Рутокен от Актив, eToken и ID Prime от Thales Group (ex SafeNet и Gemalto), ESMART от ISBC, JaCarta от Аладдин Р.Д., Yubikey от Yubico, ePass от Feitian;
-
Поддерживаемые целевые системы: рабочие места с ОС Microsoft Windows, Microsoft Remote Desktop Server, Microsoft Internet Information Services, настольные приложения Windows, Web-приложения, VPN-Серверы, сервера приложений, виртуальные рабочие столы (VDI);
-
Поддерживаемые протоколы аутентификации: RADIUS, ADFS, SAML, OpenID Connect, OAuth 2.0, Kerberos.
Решение на основе Indeed AM и Indeed CM использует сочетание разных способов аутентификации, в том числе криптографические смарт-карты, носители закрытого ключа для ЭП.
Технологически эти продукты представляют собой две отдельные системы: система управления аутентификацией и система управления инфраструктурой открытых ключей. Между ними реализован обмен данными о пользователях, их действиях, присвоенных им аутентификаторах и выданных сертификатах.
Совместное использование продуктов Indeed AM и Indeed CM позволяет реализовать следующие задачи информационной безопасности:
-
Двухфакторная аутентификация во всех корпоративных ресурсах даже в тех, где не поддерживаются сценарии многофакторной аутентификации и используются только пароли, включая настольные приложения без встроенной поддержки Single Sign-On);
-
Реализация единого защищенного носителя для хранения сертификатов электронной подписи, хранения идентификационной и аутентификационной информации, а также для регистрации и идентификации в СКУД;
-
Контроль обращения и использования цифровых сертификатов и защищенных носителей;
-
Нейтрализация проблем и уязвимостей технологии парольной аутентификации.
С точки зрения пользователей, наличие единого устройства, используемого для идентификации и аутентификации, а также служащего корпоративным удостоверением, несет очевидные преимущества, исключающие затраты рабочего времени на непродуктивные вопросы:
-
Отсутствие необходимости “придумывания” новых паролей для всех корпоративных ресурсов;
-
Отсутствие риска забывания паролей и последующего простоя работы;
-
Единое универсальное защищенное устройство для всех задач управления доступом и хранения электронных подписей.
С точки зрения администраторов ИБ и ИТ, внедрение подобного технологического комплекса также несет выгоды:
-
Повышение уровня информационной безопасности за счет внедрения двухфакторной аутентификации;
-
Снятие ответственности за формирование и использование паролей с пользователей, соответственно, невозможности передачи и разглашения паролей;
-
Соблюдение требований к генерации паролей в целевых системах, не поддерживающих иные технологии аутентификации;
-
Отсутствие необходимости контроля соблюдения требований безопасности и обращения паролей;
-
Отсутствие затрат рабочего времени на сброс пользовательских паролей;
-
Единые консоли мониторинга и управления устройствами аутентификации и идентификации.