И вновь о спорах на профессиональную тему. В этот раз предлагаю обсудить тему использования средств 2х-факторной аутентификации в корпоративной среде.
Сколько уже писалось о недостатках комбинации логин/пароль как механизма аутентификации, но пароли по-прежнему повсюду и похоже что в ближайшей перспективе своих позиций не потеряют. А вот 2х-факторная аутентификация так и не находит широкого применения. Давайте рассмотрим возможные аргументы.
Аргументы "за":
- Более надежная аутентификация, позволяющая в т.ч. бороться с атаками MitM, подбором паролей и проч.;
- Возможность обеспечить неотказуемость пользователя от выполненных им действий (ну или по крайней мере повысить вероятность того, что совершенное действие действительно было выполнено пользователем, предъявившим идентификатор);
- Пользователям не нужно заморачиваться с запоминанием паролей, их регулярной сменой и другими смежными вопросами;
- Более простой способ обеспечить соответствие различным законодательным и отраслевым требованиям (PCI DSS, СТО БР, 152-ФЗ и др.)
Аргументы "против":
- Более дорогостоящее решение;
- Токены, карточки и тому подобные средства 2х-факторной аутентификации могут быть утеряны, оставлены дома (или в других местах) или повреждены, что сделает невозможным работу пользователя (до получения нового идентификатора);
- Не все приложения поддерживают 2х-факторную аутентификацию, а значит полный отказ от паролей подчас невозможен, стоит ли тогда заморачиваться ?
Думаю что многие смогут добавить к этому списку еще ряд своих. Что скажете, коллеги ? Стоит ли по вашему мнению игра свеч ? На мой взгляд все другие аргументы кроме финансового вполне устранимы и не должны быть препятствием к внедрению 2х-факторной аутентфикации.
Facebook
==> Связаться со мной <==
"Возможность обеспечить неотказуемость пользователя от выполненных им действий"
ОтветитьУдалитьЗдесь одним только ключем не обойтись, нужен комплекс орг мер. Плюс должны быть невозможны создание дубликата ключа и штатной работа при отсутствии ключа.
"Пользователям не нужно заморачиваться с запоминанием паролей, их регулярной сменой и другими смежными вопросами"
Все равно надо. Но процесс значительно упрощается. Если говорить о токенах, то изначально для работы с ними нужен был 4-цифровой пин-код (по сути упрощенный пароль), чуть позже (видимо для ликвидации расхождения с нормативными документами) длина пин-кода увеличилась до 6 цифр. Плюс остается пароль для входа в ОС (пользователь его может и не знать), но его смена будет происходить не так часто как это было бы без использования токена.
В плюсы добавил бы еще и возможность использования ключей для решения дополнительных задач: СКУД, SSO-решения, хранение сертификата ключа подписи и др.
По поводу утери - есть ключи с RFID метками, есть специализированные ключи, которые не могут быть использованы за границами объекта, можно организовать учет и ежедневную выдачу/сдачу ключей. Сам ключ должен быть "габаритным", миниатюрные ключи легче потерять/забыть.
"Не все приложения поддерживают 2х-факторную аутентификацию"
SSO-решения, например Avanpost.
Я согласен с тем, что по-настоящему серьезным ограничением является цена, но при правильном внедрении польза очень ощутима. Особенно, если связать смарт-карты с СКУД организации и правильно развернуть SSO. В этом случае довольно легко показать возврат инвестиций.
ОтветитьУдалитьПока стоимость токенов не сравняется со стоимостью флешек, т.е. пока они не станут стоить копейки (а они должны стоить копейки), а тажке пока их поддержка не будет всегда, везде и всюду, вот тогда 2-х факторность станет восстребована.
ОтветитьУдалитьА сейчас это больше развод, чем эффективность.
Игра стоит свеч. Но лучше использовать такую связку: у обычные пользователей смарткарты, к которым еще прикручен СКУД, а у админов отдельные USB-токены.
ОтветитьУдалить