среда, 19 сентября 2012 г.

Столкновение взглядов: 2х факторная аутентификация

И вновь о спорах на профессиональную тему. В этот раз предлагаю обсудить тему использования средств 2х-факторной аутентификации в корпоративной среде.

Сколько уже писалось о недостатках комбинации логин/пароль как механизма аутентификации, но пароли по-прежнему повсюду и похоже что в ближайшей перспективе своих позиций не потеряют.  А вот 2х-факторная аутентификация так и не находит широкого применения. Давайте рассмотрим возможные аргументы.   

Аргументы "за":
  • Более надежная аутентификация, позволяющая в т.ч. бороться с атаками MitM, подбором паролей и проч.;
  • Возможность обеспечить неотказуемость пользователя от выполненных им действий (ну или по крайней мере повысить вероятность того, что совершенное действие действительно было выполнено пользователем, предъявившим идентификатор);
  • Пользователям не нужно заморачиваться с запоминанием паролей, их регулярной сменой и другими смежными вопросами;
  • Более простой способ обеспечить соответствие различным законодательным и отраслевым требованиям (PCI DSS, СТО БР, 152-ФЗ и др.) 

Аргументы "против":
  • Более дорогостоящее решение;
  • Токены, карточки и тому подобные средства 2х-факторной аутентификации могут быть утеряны, оставлены дома (или в других местах) или повреждены, что сделает невозможным работу пользователя (до получения нового идентификатора);
  • Не все приложения поддерживают 2х-факторную аутентификацию, а значит полный отказ от паролей подчас невозможен, стоит ли тогда заморачиваться ?
Думаю что многие смогут добавить к этому списку еще ряд своих. Что скажете, коллеги ? Стоит ли по вашему мнению игра свеч ?  На мой взгляд все другие аргументы кроме финансового вполне устранимы и не должны быть препятствием к внедрению 2х-факторной аутентфикации.

4 комментария:

  1. "Возможность обеспечить неотказуемость пользователя от выполненных им действий"
    Здесь одним только ключем не обойтись, нужен комплекс орг мер. Плюс должны быть невозможны создание дубликата ключа и штатной работа при отсутствии ключа.

    "Пользователям не нужно заморачиваться с запоминанием паролей, их регулярной сменой и другими смежными вопросами"
    Все равно надо. Но процесс значительно упрощается. Если говорить о токенах, то изначально для работы с ними нужен был 4-цифровой пин-код (по сути упрощенный пароль), чуть позже (видимо для ликвидации расхождения с нормативными документами) длина пин-кода увеличилась до 6 цифр. Плюс остается пароль для входа в ОС (пользователь его может и не знать), но его смена будет происходить не так часто как это было бы без использования токена.

    В плюсы добавил бы еще и возможность использования ключей для решения дополнительных задач: СКУД, SSO-решения, хранение сертификата ключа подписи и др.

    По поводу утери - есть ключи с RFID метками, есть специализированные ключи, которые не могут быть использованы за границами объекта, можно организовать учет и ежедневную выдачу/сдачу ключей. Сам ключ должен быть "габаритным", миниатюрные ключи легче потерять/забыть.

    "Не все приложения поддерживают 2х-факторную аутентификацию"
    SSO-решения, например Avanpost.

    ОтветитьУдалить
  2. Я согласен с тем, что по-настоящему серьезным ограничением является цена, но при правильном внедрении польза очень ощутима. Особенно, если связать смарт-карты с СКУД организации и правильно развернуть SSO. В этом случае довольно легко показать возврат инвестиций.

    ОтветитьУдалить
  3. Пока стоимость токенов не сравняется со стоимостью флешек, т.е. пока они не станут стоить копейки (а они должны стоить копейки), а тажке пока их поддержка не будет всегда, везде и всюду, вот тогда 2-х факторность станет восстребована.
    А сейчас это больше развод, чем эффективность.

    ОтветитьУдалить
  4. Игра стоит свеч. Но лучше использовать такую связку: у обычные пользователей смарткарты, к которым еще прикручен СКУД, а у админов отдельные USB-токены.

    ОтветитьУдалить