Коды в sms небезопасны

Введение

Когда я говорил семье или друзьям, что я «работаю в identity», они часто предполагали, что это означает, что я работал в правительстве, в организации выдающей водительские права, или что я помогал людям разрешать мошенничество с кредитными картами.

Однако ни то, ни другое не было правдой. Ранее я работал в компании Auth0,, которая управляет цифровой идентификацией. (Сейчас я являюсь участником программы Auth0 Ambassadors и являюсь экспертом Google Developer по SPPI: Security, Privacy, Payments, and Identity — безопасность, конфиденциальность, платежи и идентификация.)

Цифровая идентификация

Цифровая идентификация это набор атрибутов, которые определяют отдельного пользователя в контексте функции, предоставляемой конкретным приложением.

Что это значит?

Скажем, вы управляете компанией по продаже обуви онлайн. Цифровой идентификацией пользователей вашего приложения может быть номер их кредитной карты, адрес доставки и история покупок. Их цифровая идентификация зависит от вашего приложения.

Это приводит нас к …

Аутентификация

В широком смысле, аутентификация относится к процессу проверки того, что пользователь является тем, кем он себя заявляет.

Как только система сможет установить это, мы приходим к …

Стандарты

Вы можете вспомнить, что я упомянул, что аутентификация основывается на четко определенных стандартах. Но откуда эти стандарты берутся?

Есть много разных стандартов и организаций, которые управляют работой Интернета. Два органа, которые представляют для нас особый интерес в контексте аутентификации и авторизации, — это Инженерная рабочая группа по Интернету (Internet Engineering Task Force — IETF) и Фонд OpenID (OpenID Foundation — OIDF).

IETF (Internet Engineering Task Force)

IETF — это большое открытое международное сообщество сетевых инженеров, операторов, поставщиков и исследователей, которые занимаются развитием интернет-архитектуры и бесперебойной работой интернета.

OIDF (OpenID Foundation)

OIDF — это некоммерческая международная организация людей и компаний, которые стремятся обеспечить, продвигать и защищать технологии OpenID.

Теперь, когда нам известны спецификации и кто их пишет, давайте вернемся к авторизации и поговорим о:

OAuth 2.0

OAuth 2.0 является одной из наиболее часто упоминаемых спецификаций, когда речь идет о сети, а также часто неправильно представленной или неправильно понятой.

OAuth не является спецификацией аутентификации. OAuth имеет дело с делегированной авторизацией. Помните, что аутентификация — это проверка личности пользователя. Авторизация касается предоставления или отказа в доступе к ресурсам. OAuth 2.0 предоставляет доступ к приложениям от имени пользователей.

Как было до OAuth

Чтобы понять цель OAuth, нам нужно вернуться назад во времени. OAuth 1.0 был создан в декабре 2007 года. До этого, если нам требовался доступ к сторонним ресурсам, это выглядело так:

Допустим, вы использовали приложение под названием HireMe123. HireMe123 хочет настроить событие календаря (например, встречу на собеседование) от вашего имени (пользователя). HireMe123 не имеет собственного календаря; поэтому нужно использовать другой сервис под названием MyCalApp для добавления событий.

После того, как вы вошли в HireMe123, HireMe123 запросит у вас ваши учетные данные для входа в MyCalApp. Вы должны ввести свое имя пользователя и пароль на сайте HireMe123.

Затем HireMe123 используя ваш логин получить доступ к API MyCalApp, и затем сможет создавать события календаря с использованием ваших учетных данных.

Совместное использование учетных данных — это плохо!

Этот подход основывался на совместном использовании личных учетных данных пользователя из одного приложения с совершенно другим приложением, и это не очень хорошо.

Так как, HireMe123 поставил на карту защиты вашей учетной записи MyCalApp гораздо меньше. Если HireMe123 не защитит ваши учетные данные MyCalApp надлежащим образом, и они в конечном итоге будут украдены или взломаны, кто-то сможет написать несколько неприятных статей в блоге, но HireMe123 как бы останется в стороне.

HireMe123 также получает слишком большой доступ к MyCalApp от вашего имени. HireMe123 получает все те же привелегии, что и вы, потому что он использовал ваши учетные данные для получения этого доступа. Это означает, что HireMe123 может читать все ваши события календаря, редактировать их, изменять настройки и т. д.

Введение

Как отличить специалиста по безопасности от обычного человека? Специалист по безопасности знает разницу между идентификацией, аутентификацией и авторизацией. Неудивительно, впрочем, что эти слова пытаются использовать как синонимы, поскольку все три понятия являются частями одного общего процесса. Первое постепенно перетекает во второе, а второе служит отправной точкой для третьего, так что на первый взгляд не всегда ясно, где заканчивается один этап и начинается следующий. Однако суть каждого из них выделяется четко и ясно.

Аутентификация заслуживает особого внимания, когда речь идет о защите, поскольку ее задача – удостовериться, что пользователь действительно является тем, за кого себя выдает. На третьем шаге процесса авторизация выдаст ему полномочия для действий в информационной системе, и если эти права достанутся постороннему человеку, то последствия могут быть весьма печальны. Соответственно, идет постоянный поиск таких решений, которые с безупречной надежностью отличали бы нужного пользователя от всех остальных.

Российское общество и государство довольно давно информатизируются, догоняя восточные страны и оставляя позади западные. Чем больше сторон жизни людей уходит в информационные системы, тем больше становится нагрузка на средства аутентификации. Важные данные граждан, взаимодействующих с «электронным правительством» или с банками, естественным образом становятся интересны злоумышленникам; органы власти, в свою очередь, закономерно реагируют и выдвигают строгие требования к безопасности таких систем, чтобы не терять контроль над ситуацией и гарантировать людям защищенность их сведений.

Именно поэтому выбор и методов аутентификации в целом, и конкретных решений для их реализации уже не ограничивается только эргономикой и расчетом рисков: влиятельным фактором становится законодательная регуляция, причем со стороны не только государственных нормативных актов, но и отраслевых стандартов. Еще два года назад появился первый прототип ГОСТа по идентификации и аутентификации, что свидетельствует о внимании государства к таким вопросам и о намерении их решать.

Обратимся к существующим методам аутентификации и освежим в памяти то, насколько они соответствуют требованиям времени – в том числе применительно к отечественной специфике.

Выучить больше

Серия видеороликов Learn Identity в документах Auth0 — это лекционная часть нового учебного курса по найму для инженеров в Auth0, представленного главным архитектором Витторио Берточчи. Если вы хотите лично узнать, как это делается в Auth0, она абсолютно бесплатна и доступна для всех.

Спецификации OAuth 2.0 и OpenID Connect являются сложными, но как только вы ознакомитесь с терминологией и получите базовые знания об идентификации, они будут полезны, информативны и станут намного более удобочитаемыми. Почитать их можно здесь: The OAuth 2.0 Authorization Framework и OpenID Connect Specifications..

JWT.io — это ресурс о JSON Web Token, который предоставляет инструмент отладчика и каталог библиотек подписи/проверки JWT для различных технологий.

OpenID Connect Playground — это отладчик, который позволяет разработчикам шаг за шагом исследовать и тестировать вызовы и ответы .

Как убрать ошибку аутентификации?

Существуют разные причины, по которым сетевые устройства не могут идентифицировать друг друга. Самая банальная из них — неправильное введение пароля при подключении

Если же с этим проблем нет, то стоит обратить внимание на другие варианты. Их несколько:

1. Ошибка аутентификации часто происходит из-за несовместимости вариантов шифрования сети. Они могут быть выставлены неправильно. Для этого придется войти в настройки роутера и переключить используемый тип шифрования данных на поддерживаемый телефоном.
2. Еще одна причина – неподходящий режим работы сети Wi-Fi. Здесь важную роль играет максимально возможная скорость передачи данных. Некоторые смартфоны не поддерживают высокоскоростные режимы, из-за чего и происходит ошибка. Вместо параметра «b/g/n» нужно попробовать установить «b/g».
3. Часто в настройках роутера вводят пароль с ошибкой, после чего не получается подключить телефон или планшет к сети. Чтобы исключить эту проблему, рекомендуется задать новый пароль, состоящий только из цифр. Его всегда можно поменять в случае необходимости обратно.
4. Иногда аутентификация пользователя невозможна из-за программной ошибки в определенной версии операционной системы Android. Проверить это можно, если полностью отключить шифрование данных в настройках. Если будет выявлено именно это, то придется обновить версию Андроид.

Как подключить двухфакторную аутентификацию во «ВКонтакте»

Зайдите в «Настройки» → Во вкладке «Безопасность» выберите «Подтверждение входа» → «Подключить». Дальше нужно будет ввести свой пароль, ввести последние цифры номера, с которого на ваш телефон поступит звонок, и функция подтверждения входа будет подключена. При желании можно выбрать аутентификацию через приложения для генерации кодов, а также распечатать или записать резервные коды.

В приложении:

Зайдите в «Настройки» (в приложении они находятся в меню в нижней части экрана) → выберите «Управление аккаунтом VK Connect» → «Безопасность и вход» → «Подтверждение входа».

Далее, как и в полной версии, выбираете способ подтверждения входа и восстановления доступа.

Ошибки аутентификации при подключении к беспроводным сетям

Подключаясь к беспроводной сети, пользователь также проходит через процесс аутентификации. Существует несколько способов проверки подлинности такого типа. Они зависят от настроек роутера, количества абонентов, вида беспроводной сети (домашняя, общественная, корпоративная). Чаще всего используется тип шифрования WPA-PSKWPA2-PSK2 mixed. Он является достаточно защищенным и подходит для применения в различных видах сетей. Для большей безопасности многие частные организации используют шифрование, где каждый пользователь имеет индивидуальный пароль, привязанный к ПК.

Ошибки аутентификации чаще всего возникает при несоответствии вида шифрования и набранной парольной фразы. Пути решения проблемы будут отличаться для пользователей ПК и владельцев мобильных телефонов.

Как убрать ошибки аутентификации на компьютере

Если после введения ключевой фразы вы получаете уведомление об ошибке аутентификации, то в первую очередь вам необходимо проверить следующее:

• правильность написания ключевой фразы (возможно, была допущена ошибка или включена неверная раскладка);
• отключен ли Caps Lock;
• верно ли выбрана беспроводная сеть, к которой вы подключаетесь.

Как узнать пароль от Wi-Fi?

Если вы забыли свою парольную фразу, то узнать ее можно в настройках роутера. Для этого подключитесь к нему при помощи кабеля и откройте любой интернет-браузер. Напишите IP маршрутизатора в адресной строке. Посмотреть его можно в инструкции или на корпусе роутера. Еще один способ узнать IP-адрес — использовать командную строку. Для этого используйте комбинацию Win+R и в появившемся окне введите команду «CMD». Запустится командная строка, где вам необходимо будет ввести «ipconfig». Строка «Основной шлюз» является требуемым IP-адресом.

Введите IP-адрес в адресной строке браузера. В появившемся окне введите логин и пароль для входа (по умолчанию admin и admin соответственно). В меню выберите пункт «Расширенные настройки» и перейдите в подраздел «Wi-Fi». Найдите параметры безопасности — именно здесь можно обнаружить тип шифрования, название сети и пароль.

Пароль введен правильно, но войти в сеть не удается

Аутентификация может не состояться при сбое самого роутера. Решается простой перезагрузкой девайса. В таких ситуациях также рекомендуется проверить канал роутера. Для этого в настройках WiFi перейдите в раздел «Основные настройки», а там — в подпункт «Канал». Желательно установить значение «Автоматически».

Если и это не помогло, то необходимо проверить Wi-Fi-адаптер компьютера. Проверьте наличие и правильность работы драйверов в вашем диспетчере устройств. Перейдите во вкладку «сетевые адаптеры» и найдите свой Wi-Fi модуль. Если рядом с устройством есть восклицательный знак, значит его работа некорректна — отсутствуют или не работают драйвера. Переустановите их, и проблема с аутентификацией должна решиться.

Проблемы с аутентификацией на мобильном устройстве

Процесс аутентификации на мобильном девайсе происходит следующим образом:

1. Устройство производит поиск сетей, после чего владелец телефона или планшета выбирает необходимый Wi-Fi.
2. Пользователь вводит пароль беспроводной сети.
3. Статус соединения изменяется: подключение, аутентификация, сохранено (с указанием вида шифрования сети).

Что значит уведомление «Ошибка аутентификации»? Данное сообщение показывает, что проблема кроется в неправильно введенном пароле или параметрах безопасности роутера. Неработающий Wi-Fi после уведомления «Сохранено» свидетельствует о неполадках самой беспроводной сети.

Как исправить?

Прежде чем изменять параметры роутера, убедитесь, что пароль введен правильно, у вас не включен Caps Lock или кириллица/латынь. Только после этого обращайтесь к настройкам Wi-Fi:

• убедитесь, что режим Wi-Fi сети поддерживается — попробуйте переключить его на 802.11 b/g;
• смените регион — попробуйте переключить Россию на США и обратно;
• измените тип шифрования: если у вас стоит WPA2-Personal, то замените его на WPA с шифрованием AES;
• если ошибка аутентификации сочетается со слабым сигналом беспроводной сети, то попробуйте выбрать свободный канал и расширить его на 20 МГц.

Еще один вариант, который может вам помочь — это специальное приложение для устройств Android — Wi-Fi Fixer (доступен для скачивания в Google Play). Оно автоматически исправляет ошибки беспроводной сети и позволяет вам подключиться к роутеру при ошибке аутентификации.

What is Authentication

Authentication is the process whereby the system identifies legitimate users from unauthorized users. It is the process in which a user identifies his/her self to the system. How effective an authentication process is, is determined by the authentication protocols and mechanisms being used. Windows Server 2003 provides a few different authentication types which can be used to verify the identities of network users, including:

• Kerberos authentication protocol

• NT LAN Manager (NTLM) authentication protocol

• Secure Sockets Layer/Transport Security Layer (SSL/TLS)

• Digest authentication

• Smart cards

• Virtual Private Networking (VPN) and Remote Access Services (RAS)

The Kerberos version 5 authentication protocol is the default authentication type for a Windows Server 2003 environment. Kerberos version 5 makes use of a ‘ticket’ strategy to authenticate valid network users, and provides mutual authentication between users and resources. Windows Server 2003 supports the NTLM authentication protocol to provide compatibility for the earlier operating systems (OSs) such as for Windows NT 4 compatibility. Secure Sockets Layer/Transport Security Layer (SSL/TLS) and digest authentication is typically used for Web applications. SSL/TLS is based on X.509 public-key certificates, and enables mutual authentication between the client and server.

A few authentication features introduced with Windows Server 2003 are outlined below:

• Windows Server 2003 includes support for smart cards, as well as support for a few different multifactor authentication mechanisms. Windows Server 2003 can also support a number of authentication protocols, such as NTLM, NTLMv2, and Kerberos version 5.

• With Windows Server 2003 Active Directory, the Active Directory directory service stores the security credentials, such as the passwords of users, which are used for the authentication process. Active Directory directory service can store security credentials for each authentication protocol. The service also enables users to log on to computers in an Active Directory environment that contains multiple domains and forests.

• A user can log on to any computer through a single domain account. This is known as single sign-on. A user basically only needs to log on to a domain account once, and with one password. The sign-on security information of the user is stored in Active Directory. Whenever a user attempts to access a resource within a domain, network authentication takes place.

The remainder of this Article focuses on the different authentication types which you can implement to enforce an authentication strategy within your environment.

Internet Authentication Service (IAS)

The Internet Authentication Service (IAS) functions as a remote Authentication Dial-In User Service (RADIUS) server, and can be used to manage the login process of users by providing the following key features:

• Management of user authentication: IAS can be used for dial-up and VPN access, and for wireless access.

• The IAS service provides the RADIUS protocol which it utilizes to pass authentication and authorization requests to the proper Active Directory domain.

• Verification of the user to access network resources

• Tracking of user activity

Internet Authentication Service (IAS) is supported in the following editions of Windows Server 2003:

• Windows Server 2003 Standard Edition

• Windows Server 2003 Enterprise Edition

• Windows Server 2003 Datacenter Edition

The default authentication protocols supported by IAS are:

• Point-to-Point Protocol (PPP): The following PPP protocols are supported by IAS:

  • EAP-MD5

  • Extensible Authentication Protocol-Transport Level Security (EAP-TLS)

  Although EAP-TLS is considered the strongest remote access services authentication method, it can only be used when clients are running Windows 2000, Windows XP or Windows Server 2003. EAP-TLS utilizes public key certificate based authentication to provide authentication for wireless connections.

• Extensible Authentication Protocol (EAP): The following EAP protocols are supported by IAS:

  • Password Authentication Protocol (PAP): Windows Server 2003 supports PAP for backward compatibility. With PAP, user information (user name and password) is transmitted in clear text.

  • Challenge Handshake Authentication Protocol (CHAP): CHAP encrypts the user name and password of the user through MD5 encryption. A requirement of CHAP is that user password information has to be stored using reversible encryption in Active Directory.

  • Microsoft Challenge Handshake Authentication Protocol (MS-CHAP): MS-CHAP provides better security than that provided by CHAP. The passwords of users do not have to be stored using reversible encryption.

  • Microsoft Challenge Handshake Authentication Protocol version 2 (MS-CHAP version 2): MS-CHAP version 2 includes the security capability of mutual authentication. Mutual authentication occurs when the server and client both verify the identity of each other. MS-CHAP version 2 utilizes separate encryption keys for sending and receiving security information.

Once IAS has authenticated the user, it can use a few authorization methods to verify that the authenticated user is permitted to access the network resource(s) he/she is requesting to access. This includes the following:

• Automatic Number Identification/Calling Line Identification (ANI/CLI): With ANI/CLI, authorization is determined by the number which the user is calling from.

• Dialed Number Identification Service (DNIS): Authorization is determined by examining the phone number which the caller is using.

• Remote access policies: Remote access policies can be used to allow or deny network connection attempts, based on conditions such as group membership details, time of day, time of week, the access number being used, and other conditions. You can also use remote access policies to control the amount of time which aremote access client can be connected to the network. You can specify an encryption level which a remote access client should use to access network resources.

• Guest authorization: Guest authorization enables users to perform limited tasks, without needing to provide user credentials (user name and password).

Wireless clients can use certificates, smart cards, and a user name or password to authenticate to an IAS server. Before a wireless client can connect to your corporate network, you need to define the following:

• Create a remote access policy for the wireless users which permits these users to access the corporate network. The remote access policy should include:

  • The access method

  • User and group information

  • The authentication method

  • The policy encryption method

  • The appropriate permissions

• All Wireless APs should be added on the IAS server as RADIUS clients. This ensures that login information can be forwarded to IAS.

The events which occur when wireless clients requests network access are outlined below.

1. The Wireless AP requests authentication information from the wireless client.

2. The wireless client then passes this information to the Wireless AP. The Wireless AP forwards the information to IAS.

3. When the information IAS receives is valid, it passes an encrypted authentication key to the Wireless AP.

4. The Wireless AP next utilizes the encrypted authentication key to create a session with the wireless client.

Токены доступа

Токены доступа (Access Token) используются для предоставления доступа к ресурсам. С токеном доступа, выданным сервером авторизации MyCalApp, HireMe123 может получить доступ к API MyCalApp.

В отличие от токенов ID, которые OIDC объявляет как веб-токены JSON, токены доступа не имеют определенного формата. Они не должны быть (и не обязательно) JWT. Однако во многих решениях для идентификации используются JWT как маркеры доступа, поскольку есть готовый формат и он обеспечивает хорошую проверку.

В итоге HireMe123 получает два токена от сервера авторизации MyCalApp: токен идентификации (Token ID) (если проверка пользователя прошла успешна) и токен доступа (Access Token) для доступа к ресурсам конечному пользователю.

Токены доступа прозрачны для клиента

Токены доступа предназначены для API ресурса, и важно, чтобы они были прозрачны для клиента. Зачем?. Токены доступа могут измениться в любое время

У них должно быть короткое время истечения, поэтому пользователь может часто получать новые. Они также могут быть переизданы для доступа к различным API или использования разных разрешений. Клиентское приложение никогда не должно содержать код, который опирается на содержимое токена доступа. Код, который делает это, был бы хрупким и почти гарантированно сломался

Токены доступа могут измениться в любое время. У них должно быть короткое время истечения, поэтому пользователь может часто получать новые. Они также могут быть переизданы для доступа к различным API или использования разных разрешений. Клиентское приложение никогда не должно содержать код, который опирается на содержимое токена доступа. Код, который делает это, был бы хрупким и почти гарантированно сломался.

Как можно подтвердить свою личность?

Большинство приложений и сервисов предлагают пользователю на выбор такие варианты двойной аутентификации:

• Ввести код, который пользователь получает в SMS или email, после того, как он ввел логин и пароль. Это самый распространенный и простой способ, но у него есть свои недостатки: например, SMS с паролем могут перехватить через уязвимость в протоколе , через который они передаются.
• Ввести код, который генерируется в отдельном приложении-аутентификаторе. Специалисты называют этот способ более надежным , к тому же он остается доступен пользователю, даже если у него нет мобильной связи. Чтобы им воспользоваться, нужно сначала установить одно из таких приложений (например, Google Authenticator, Twilio Authy, Duo Mobile, «Яндекс.Ключ»), а потом выбрать в меню нужного сервиса (например, Facebook) вариант двойной аутентификации через приложение. На экране появится QR-код, который нужно будет отсканировать через это приложение — и им сразу можно пользоваться.
• Многие сервисы (например, Facebook и «ВКонтакте») также генерируют для пользователя некоторое количество резервных кодов, которые он может использовать в случае, если у него не будет мобильной связи или он потеряет телефон. Для этого нужно заранее распечатать или сохранить эти коды в надежном месте.

Кроме того, есть еще несколько видов подтверждения входа, которые используют реже:

• Физический ключ безопасности: это устройство в виде USB-флэшки (для использования со смартфоном ее иногда оборудуют NFC и Bluetooth-интерфейсами) . Такой ключ можно использовать для входа в те же соцсети, но столь серьезный подход, скорее, имеет смысл для хранения очень важных данных.
• Подтверждение личности с помощью биометрии. Этот способ пока не используется в широко распространенных сервисах типа соцсетей.

Гарантирует ли двухфакторная аутентификация абсолютную безопасность?

«В идеале второй фактор для входа должен приходить пользователю на другое устройство, не на то, с которого осуществляется вход в учетную запись, — говорит старший эксперт по кибербезопасности «Лаборатории Касперского» Денис Легезо. — Риск появляется при использовании одного и того же устройства и для входа в учетную запись, и для получения одноразового пароля. Если атакующие смогли заразить это устройство определенными видами троянцев, то считать одноразовый пароль защищенным больше не получится. Но по сравнению со сценарием, когда пользователь вовсе не включает двухфакторную аутентификацию, даже вариант с одним устройством выглядит несравненно лучше».

Что, если второе устройство потеряли?

Обычно сервисы всегда предусматривают некий альтернативный способ аутентификации. Но иногда пользователю в таких случаях приходится обратиться в службу поддержки.

Custom Authentication

You can create your custom authentication by following Create a Custom Authenticator tutorial.

Note that it’s also possible to customize the right management system, see Security Module for more details.

Custom Authentication using a Groovy script in a wiki page

Start by specifying you want to use the Groovy Authenticator:

xwiki.authentication.authclass = com.xpn.xwiki.user.impl.xwiki.GroovyAuthServiceImpl

Then add another configuration parameter to specify in which wiki page the authenticator is:

xwiki.authentication.groovy.pagename = MySpace.MyPage

Then put some Groovy code in a wiki page that returns a XWikiAuthService object.

Basic Authentication

XWiki supports basic access authentication, a method designed to allow a web browser or other client programs to provide credentials — in the form of a user name and password — when making a request. You can get authenticated against an XWiki server with the basic authentication protocol using the following URL scheme:

https://username:password@mywiki.xwiki.comxwikibinviewMainWebHome?basicauth=1

Be careful that if you use the HTTP protocol your password will be sent in clear over the network and is thus very unsafe. When using basic authentication you should make sure your wiki is configured to use HTTPS.

Функциональные возможности и системные требования ESET Secure Authentication

В ESET Secure Authentication 2.8 можно выделить следующие основные функции:

• Защита двухфакторной аутентификацией доступа к офисным приложениям Microsoft. Таких как: Microsoft Exchange Server 2007 (Outlook Web Access — Exchange Client Access Server) (64-разрядная версия); Microsoft Exchange Server 2010, 2013, 2016, 2019 (Outlook Web App — Exchange Client Access Server); Microsoft Dynamics CRM 2011, 2013, 2015, 2016; Microsoft SharePoint Server 2010, 2013, 2016, 2019; Microsoft SharePoint Foundation 2010, 2013.
• Защита двухфакторной аутентификацией доступа к удаленному рабочему столу, при использовании платформы VMware Horizon View и Citrix XenApp.
• Защита двухфакторной аутентификацией входа в операционную систему Microsoft Windows.
• Добавление двухфакторной аутентификации в аутентификацию виртуальной частной сетей компании (VPN), при использовании таких платформ как: Barracuda, Cisco ASA, Citrix Access Gateway, Citrix NetScaler, Check Point Software, Cyberoam, F5 FirePass, Fortinet FortiGate, Juniper, Palo Alto, SonicWall. Добавление двухфакторной аутентификации в пользовательские приложения, например, «1С:Предприятие».
• Защита входа двухфакторной аутентификацией в облачные сервисы, такие как Office 365 и Google G Suite.
• Управление пользователями и тонкая настройка отдельных модулей ESA.
• Поддержка любых аппаратных токенов, поддерживающих стандарт OATH.
• Подтверждение аутентификации пользователя при помощи push‑сообщений.

ESET Secure Authentication не требовательна к системным ресурсам. Основные требования предъявляются к платформе, на которую будет интегрироваться клиентская и серверная части продукта. Поддерживаемые платформы для установки серверной и клиентской части указаны в таблице 1.

Таблица 1. Перечень поддерживаемых платформ, необходимый для инициализации клиентской и серверной части ESET Secure Authentication 2.8

	Поддерживаемые платформы
Клиентская часть ESET Secure Authentication 2.50	с iOS 8 до iOS 12; с Android 4.1 до Android 9.0 (сервисы Google Play начиная с версии 10.2.6); с Windows Phone 8.1 до Windows 10 Mobile.
Серверная часть ESET Secure Authentication 2.8	Windows Server 2008, 2008 R2, 2012, 2012 R2, 2012 Essentials, 2012 R2 Essentials, 2016, 2016 Essentials 2019, 2019 Essentials; Windows Small Business Server 2008, 2011.

Для корректной работы каждого компонента, входящего в состав ESA, необходимо наличие определенных предустановленных системных элементов. Перечень таких элементов представлен в таблице 2.

Таблица 2. Необходимые системные элементы для корректного функционирования отдельных компонентов ESET Secure Authentication 2.8

	Необходимые элементы системы
Модуль ESA Web Application	Windows Server 2008 или версия новее, либо Windows 7 или более новая версия; .NET Framework версия 4.5; Internet Information Services 7 или версия новее
Модуль ESA Remote Desktop	Windows Server 2008 или версия новее, либо Windows 7 или более новая версия; (в обоих случаях поддерживаются только 64-разрядные операционные системы); Протокол Remote Desktop (RDP); Веб‑доступ к удаленному рабочему столу Microsoft; Веб‑доступ к службам терминалов Microsoft; удаленный веб‑доступ Microsoft; .NET Framework версия 4.5
Модуль ESA Windows Login	Windows 7, 8, 8.1, 10 (включая обновление Fall Creators или Redstone 3); Windows Server 2008 R2 или версия новее; .NET Framework версия 4.5
Сервер защиты ESA RADIUS Server	Windows Server 2008 или версия новее; .NET Framework версия 4.5
Служба ESA Authentication Service	Windows Server 2008 или версия новее; .NET Framework версия 4.5
Средство управления ESA Management Tools	Windows 7 или версия новее, либо Windows Server 2008 или более новая версия; средства администрирования удаленного сервера Windows; служба доменов Active Directory; Java SE 11 или OpenJDK 11; .NET Framework версия 4.7.2

Виды аутентификации

Пользователи интернета в моем представлении подразделяются на оптимистов и параноиков. Оптимисты не заморачиваются кодами и сложными паролями. Фамилия, дата рождения или слово “qwerty” вполне могут стать их паролем от аккаунта в соцсети или электронной почты. Главное, чтобы было легко запомнить.

Параноики придумывают сложные пароли, шифры и коды, выходят в интернет только со своих устройств и через проверенные сети, пароли хранят у жены в чулке. Они всегда обеспокоены безопасностью.

Если вы относитесь к оптимистам, то я должна вас предупредить. В интернете, как и в реальной жизни, довольно много желающих воспользоваться вашим простодушием, украсть коды доступа, взломать аккаунт, снять деньги со счета. Для этого уже придумано множество технических средств и способов развода.

Поэтому системы аутентификации постоянно совершенствуются, чтобы уменьшить шансы злоумышленников. С другой стороны, каждый сервис, сайт, приложение стремится к тому, чтобы пользователям было удобно и приятно.

Со временем для разных случаев появились такие виды аутентификации:

• С помощью пароля, специального слова или кода. Этот вариант используется очень часто и в целом обеспечивает достаточную простоту доступа к программам и сервисам, но в последнее время часто является недостаточным. Появляется все больше программ для подбора паролей и все больше хитростей для их выманивания у пользователей.
• С помощью специального устройства, физического носителя. Примерами могут служить банковская карта, электронная подпись, ключи для входа в онлайн-банк предприятия. Это распространенный тип аутентификации, но, к сожалению, физический носитель также могут украсть.

• С помощью биометрических данных. Это может быть ваш голос, лицо, отпечаток пальцев, сетчатка глаза. Этот вариант считается наиболее надежным, но систем, которые его используют, не так уж много, и стоят они дорого.
• Сквозная. В данном случае проверку нужно пройти в одной программе, а пользоваться можно несколькими сервисами и приложениями без необходимости каждый раз авторизовываться. Примером может служить вход в Google-аккаунт. Войдя в него, вы автоматически получаете доступ к облачному хранилищу, почте, своему YouTube-каналу и другим сервисам.

Как видите, есть разные виды аутентификации для разных программ и случаев. Использовать нужно один из них или несколько вместе в зависимости от целей и задач.

Заключение

Предложенная классификация процессов аутентификации может использоваться при выборе конкретных технологий и средств ИА, применяемых при проектировании и эксплуатации информационных систем различного класса. Безусловно, выбор конкретных механизмов аутентификации должен основываться на анализе рисков для рассматриваемой информационной системы. Результаты данной статьи также могут быть использованы при разработке математических моделей процессов аутентификации для аналитического исследования надёжности и качества аутентификации и предоставления доступа к различным информационным системам, содержащим информацию, в том числе, ограниченного доступа.