Система принятия решений для многофакторной аутентификации
Летом 2016 года представители компании Microsoft обращались к нам по поводу возможного сотрудничества на тему «driving companion device framework ecosystem in Windows 10. That allows a companion device to unlock Windows PC…». Реальная цель обращения осталась непонятна, поскольку общение прекратилось также неожиданно как и началось со стороны MS.
Но остался очевидным факт, что наши старания были замечены и возможно Rohos Logon Key повлиял на архитектуру системы аутентификации Windows Hello, которую мы сейчас видим в Windows 10/Azure, на базе разных методов двух-факторной аутентификации, различных устройств и правил. Идею которую в 2013 году мы одни из первых в мире реализовали для доступа в Mac OS X была оценена и теперь реализована в Windows 10.
Многофакторная аутентификация на основе принятия решений
Сейчас очевидно что Двух-Факторная Аутентификация (ДФА или МФА) это насущная необходимость. И то что такие гиганты как Google/Apple/Microsoft и другие используют МФА у себя внутр, а также в своих продуктах это подтверждает. Но реальность такова, что многофакторная аутентификация может усложнить жизнь всем если ее применять одинаково для всех и в каждом варианте доступа. А вариантов уже много, например удаленный доступ «из Вне», удаленный доступ из периметра локальной сети», физический доступ используя консоль оператора либо служебный сетевой доступ от имени учетной записи, доступ для чтения с мобильного приложения, или доступ с нового устройства. Модель угроз отличается и в случае доступа в рамках периметра безопасности сети может быть уменьшена. Это позволит не усложнять аутентификацию, избежать непредвиденной нагрузки для рядовых сотрудников (операторов), и как следствие уменьшить количество человеческого фактора. Например существуют такие инфраструктуры где модель угроз для пользовательских учетных записей позволяет использовать «слабые» методы аутентификации основанные на RFID картах (EM-Marin, HID, Legic, Hitag).
Таким образом современная система Многофакторной аутентификации для промышленных сред должна учитывать фактическую модель угроз и человеческий фактор, а также включать поддержку принятия решения о методе аутентификации на основе правил, как минимум.
Предположим вы выбрали дополнительный метод\устройство для аутентификации, но данный метод может морально «устареть» либо «поломаться» у пользователя. Возможно необходимо предусмотреть возможность использования нескольких методов параллельно, ну либо их быструю взаимозаменяемость. И делать это необходимо еще на этапе внедрения систем аутентификации. Например если ты потерял\забыл свой ключ\брелок\телефон то пользователь должен иметь возможность использовать альтернативный дополнительный фактор для аутентификации — Вопрос Ответ или аутентификация через Email. Или другой пример когда Google начала постепенно мигрировать с Одноразовых Паролей на FIDO U2F стандарт, также подтверждает эту необходимость. В замкнутых промышленных инфраструктурах критического значения важность данного принципа еще предстоит оценить в будущем.
На наш взгляд, будущее развитие систем многофакторной аутентификации будет происходить в двух направлениях 1) динамическая взаимозаменяемость второго фактора аутентификации и 2) поддержка принятия решений применения конкретного фактора аутентификации в конкретном контексте доступа и типа учетной записи.
Взаимозаменяемость МФА означает усложнение архитектуры системы. С другой стороны это должно привести к уменьшению нагрузки для пользователей. И еще из последствий можно упомянуть полное отсутствие привязки к определенному поставщику или даже к целой технологии МФА, что хорошо для участников рынка МФА в целом, поскольку это ускорит внедрение новых видов МФА и уменьшит риски от использования устаревших МФА. И чтобы этого достичь необходимо глубокое понимание возможностей и ограничений средств аутентификации. Следовательно новые методы оценки эффективности и рисков в МФА системах должны быть предложены и изучены.
Rohos Logon Key предлагает решение в обоих направлениях:
- Разнообразие вторых факторов аутентификации: RFID Карты, Ключи, Одноразовые Пароли, ПИН код, Q/A ответы.
- Список правил для поддержки принятия решения МФА: контекст доступа, тип учетной записи. Различные уровни МФА включая Одно-факторную аутентификацию — идентификация пользователя аппаратным ключем вместо пароля (RFID карты).