четверг, 9 августа 2012 г.

СОИБ. Проектирование. Усиленная аутентификация

В продолжение одной из предыдущих заметок об усиленной аутентификации.

Допустим, что вы уже осознали всю опасность использования классических паролей, например, прочитав эту заметку, решили внедрять усиленную аутентификацию по сертификатам или однократным паролям, в качестве дополнительного устройства аутентификации выбрали например, eToken или телефон, в качестве системы управления усиленной аутентификацией выбрали например, SafeNet Authentication Manager, SAM (бывший TMS).
Достаточно ли этого, чтобы отказаться от использования классических “слабых” паролей в рамках всех ключевых корпоративных приложений и сервисов?

Сразу ответить «Да» не получится, нужно провести небольшой анализ.

Кроме самого устройства аутентификации eToken в процессе аутентификации участвует так-же “сервер аутентификации” или “сервис аутентификации” который и проверяет подлинность пользователя. Напомню, что SAM – система управления аутентификацией, не участвует в процессе аутентификации, т. е. не является “сервисом аутентификации” (исключение – аутентификация в облачных приложениях и специальный сервис аутентификации по однократным паролям).

Давайте посмотрим какие в нашей сети используются сервисы аутентификации и поддерживают ли они усиленную аутентификацию:



Из приведенной выше таблицы видно что в ряде случаев возможностей существующих/втроенных сервисов аутентификации недостаточно и требуется использование специализированных сервисов аутентификации, о которых я напишу в следующих заметках.



2 комментария:

Артем Агеев комментирует...

частенько бывает, что совокупная стоимость владения системами усиленной аутентификации слишком высока для потребителя. Это ж надо ПО купить, железки, людей обучить..

а если сервер безопасности упадёт? а если специалист уволиться?

с паролями же всё просто и удобно..

Сергей Борисов комментирует...

Всё зависит от рисков и потребностей.

Если риски небольшие - например потерять всю личную информацию за пару лет - то можно начать с бесплатных возможностей = телефон (или сертификат на флешке) + встроенные функции сервисов.

Если риски большие, корпоративных приложений много, пользователей много - то и безопасность не может стоить мало.

С паролями ни какого удобства, просто ими пользуются от безвыходности.