СОИБ. Проектирование. Усиленная аутентификация
Допустим, что вы уже осознали всю опасность использования классических паролей, например, прочитав эту заметку,
решили внедрять усиленную аутентификацию по сертификатам или однократным
паролям, в качестве дополнительного устройства аутентификации выбрали например,
eToken или телефон,
в качестве системы управления усиленной аутентификацией выбрали например, SafeNet Authentication Manager, SAM (бывший TMS).
Достаточно ли этого, чтобы отказаться
от использования классических “слабых” паролей в рамках всех ключевых
корпоративных приложений и сервисов?
Сразу ответить «Да» не получится,
нужно провести небольшой анализ.
Кроме самого устройства аутентификации
eToken в процессе аутентификации участвует
так-же “сервер аутентификации” или “сервис аутентификации” который и проверяет
подлинность пользователя. Напомню, что SAM – система управления аутентификацией, не участвует в процессе
аутентификации, т. е. не является “сервисом аутентификации” (исключение –
аутентификация в облачных приложениях и специальный сервис аутентификации по
однократным паролям).
Давайте посмотрим какие в нашей сети используются сервисы аутентификации
и поддерживают ли они усиленную аутентификацию:
Из приведенной выше таблицы видно что
в ряде случаев возможностей существующих/втроенных сервисов аутентификации
недостаточно и требуется использование специализированных сервисов
аутентификации, о которых я напишу в следующих заметках.
Комментарии
а если сервер безопасности упадёт? а если специалист уволиться?
с паролями же всё просто и удобно..
Если риски небольшие - например потерять всю личную информацию за пару лет - то можно начать с бесплатных возможностей = телефон (или сертификат на флешке) + встроенные функции сервисов.
Если риски большие, корпоративных приложений много, пользователей много - то и безопасность не может стоить мало.
С паролями ни какого удобства, просто ими пользуются от безвыходности.