Проблематика

По данным компании Microsoft, около 1 200 000 корпоративных учётных записей было взломано за январь 2020 года. 99.9% из них из защиты имели только пароль. Никакой многофакторной аутентификации. Это почти 0.5% всех корпоративных учётных записей в мире.

Чем плохи пароли?

Современные подходы к взлому ставят под сомнение целесообразность защиты в целом, если в качестве защиты учетной записи предлагается только пароль. По статистике публичных баз с утечками учетных записей, примерно треть (2.2 млрд. уникальных записей в базе) населения земли имеет хотя бы одну скомпрометированную учетную запись.

Не стоит забывать про непрерывное развития подходов и ПО, направленных на кражу пользовательских учетных данных: кейлоггеры, трояны, фишинг, социальную инженерию, неизвестные (0day) даже антивирусам и экспертам по кибербезопасности уязвимости.

Можно ли доверить корпоративную безопасность паролям? Для решения этой проблемы существует проверенное средство – дополнительный фактор аутентификации. Им может быть одноразовый пароль (OTP), биометрическая характеристика или PKI-токен.

SMS-коды в качестве 2-го фактора безопасны?

Эксперты NIST решили не рекомендовать SMS в качестве второго фактора аутентификации и запланировали убрать этот способ из будущих изданий руководства по цифровой идентификации личности. Для пользователей Android можно нехитрым способом скрыть отображаемый в SMS код, так, чтобы владелец телефона даже не заподозрил неладное.

Безопасны ли открытые решения для генерации OTP (Google Authenticator)?

Можно воспользоваться открытыми бесплатными приложениями вроде Google Authenticator или Яндекс Ключ, но такое решение для защиты учётных записей имеет один недостаток: оно не защищает учётные записи.

Все данные для OTP-генератора передаются в открытом виде, не имеют срока давности и не требуют целевой атаки для перехвата. Обнаружить факт перехвата передаваемых пользователю данных невозможно.

Назначение

Aladdin 2FA – мобильное приложение для генерации одноразовых паролей, позволяющее расширить возможности сервера аутентификации JaCarta Authentication Server (JAS)

На стадии регистрации пользовательского средства 2х факторной аутентификации, в качестве которого может быть использовано мобильное приложение, пользователю передается секрет. Этот секрет – все, что нужно для получения одноразовых кодов (OTP), которые используются как 2й фактор при аутентификации. Обычно этот секрет передается в открытом виде (в QR-коде) по почте либо отображая на веб-странице.

В Aladdin 2FA реализована защита передаваемого пользователю секрета. Aladdin 2FA передаёт секрет иначе, чем это делают открытые системы – секрет передаётся по зашифрованному каналу, в ответ на запрос от пользователя. Вместо секрета пользователь получает приглашение на регистрацию. Приглашением можно воспользоваться только один раз.

Обеспеченные меры не позволят злоумышленнику вмешаться в процедуру регистрации пользователя для перехвата его секрета.

Где используется

Преимущества

  • Безопасность решения – защищенная, единоразовая передача секрета пользователю
  • Легко использовать – для применения просто запустить приложение и ввести защитный пин-код
  • Проще, чем PKI – не требует развёртывания PKI инфраструктуры
  • Дешевле, чем PKI – не требует парка аппаратных токенов
  • Много сценариев работы – Работает как средства 2х факторной аутентификации с RDP, VPN, VDI и другими

Технические подробности

Параметр Значение
Поддерживаемые алгоритмы генерации OTP
  • RFC 4226 + HMAC-SHA-1 (6 цифр)
  • RFC 4226 + HMAC-SHA-256 (6 цифр)
  • RFC 4226 + HMAC-SHA-256 (7 цифр)
  • RFC 4226 + HMAC-SHA-256 (8 цифр)
  • RFC 6238 + HMAC-SHA-256 (6 цифр)
  • RFC 6238 + HMAC-SHA-256 (7 цифр)
  • RFC 6238 + HMAC-SHA-256 (8 цифр)
  • RFC 6238 + HMAC-SHA-1 (6 цифр)
  • RFC 6238 + HMAC-SHA-1 (7 цифр)
  • RFC 6238 + HMAC-SHA-1 (8 цифр)
  • RFC 6238 + HMAC-SHA-512 (6 цифр)
  • RFC 6238 + HMAC-SHA-512 (7 цифр)
  • RFC 6238 + HMAC-SHA-512 (8 цифр)
Поддерживаемые протоколы интеграции с прикладным ПО
  • Remote Authentication in Dial-In User Service (RADIUS)
  • Representational State Transfer (REST)
  • Windows Communication Foundation (WCF)
  • Web Services Federation (WS-Federation)
  • Active Directory Federation Services

Серверная компонента (коннектор для JAS)

Microsoft Windows x64

  • Microsoft Windows Server 2008 R2
  • Microsoft Windows Server 2012 R2
  • Microsoft Windows Server 2016
  • Microsoft Windows Server 2019

Linux x64

  • Ubuntu 18.04.4 LTS
  • Astra Linux 1.6

Мобильное приложение

  • iOS 12 и выше
  • Android 8 и выше

Версия JAS

JAS 3.7 и выше

Скачайте Aladdin 2FA