Многофакторного счастья вам в Новом Году!
Мы хотим поздравить вас с Новым Годом и пожелать всем Многофакторного счастья! которое по аналогии с одноименным термином из области информационной безопасности означает комбинацию из трех факторов: 1) То что мы знаем и кем являемся 2) что-то что у нас есть из материальных благ и 3) и кто-то с кем мы можем поделиться первым и вторым фактором для обретения настоящего счастья.
Наши планы на 2019 год
- Корпоративный Менеджер паролей с функцией двух-факторной либо одно-факторной аутентификации при помощи USB\RFID ключа и хранением учетных данных в Active Directory. Все это позволить заменить пароли на аппаратные ключи для того чтобы избавить сотрудников от лишней ответственности, усилить защиту и котроль учетных данных от утечки и злоумышленников.
- Шифрование папок и файлов в Google Drive для персональных использования, чтобы запретить облачным службам читать ваши файлы и отслеживать ваши интересы.
- Реализацию принципа взаимозаменяемых факторов аутентификации для Rohos Logon Key. Это позволит комбинировать различные типы устройств двух-факторной аутентификации на одном ПК, в одной сети Active Directory, для одной учетной записи.
- Реализацию принципа строгой двух-факторной аутентификации для контроля Привилегированных Учетных записей в сети Active Directory. Это означает применение методов аутентификации основанных на криптографии: Одноразовых паролей и FIDO U2F ключей.
Жизнь в Active Directory после mimikadz
Начиная с 2012 года, с появлением утилиты mimikadz протокол Kerberos, Activе Directory и компания MS в частности подверглась беспрецедентной критике со стороны исследователей, ИБ профессионалов и хакеров. Новые открытия в деталях реализации протокола Kerberos и обслуживающих его под-систем безопасности открыли ряд особенностей:
- В сети Active Directory есть два типа мандатов (credentials) это Пароль и Хэш пароля. Оба вида могут быть использованы для аутентификации. Пароль используется как Пользователем так и Сервисами. Имея только Хэш можно также его использовать на низком уровне чтобы произвести аутентификацию и доступ к Службам.
- Защищать следует оба вида Мандатов от утечки. Поскольку Хеш может быть использовать даже за пределами сети AD.
- Поскольку Kerberos реализует принцип Single Sign On — у него нет встроенной возможности двух-факторной аутентификации. Kerberos проверяет хеш пароля или Сертификат, но не оба мандата одновременно.
- Защита от утечки и использования хешей — это комплекс мер.
- Microsoft представила Azure Multi-Factor Authentication Server — отдельное приложение как способ двух-факторной аутентификации, где дополнительный фактор проверяется отдельно от kerberos и храниться в ldap каталоге, то что мы уже давно реализовали в Rohos Logon Key. Решение от Microsoft расчитано на масштаб предприятия с филиалами, требует наличия полной инфраструктуры AD, высокой квалификации Администраторов и и как следствие высоких затрат на обслуживание.
Напомним, что с помощью применения Смарт-карт можно добиться только Строгой Аутентификации — это когда используются криптографические протоколы на открытых ключах и принцип запрос-ответ. То что смарт-карта сама по себе защищена ПИН кодом не означает что kerberos или сеть AD реализует двух-факторную аутентификацию. Проверку PIN кода делает карта, а проверку подписи PKI сертификата делает kerberos — это две разные сущности. Хотя в теории оба фактора должны быть проверенны одной системой.
Предпочтения малого бизнеса в вопросах двух-факторной аутентификации
За последние пять лет основные предпочтения наших клиентов в вопросах двух-факторной аутентификации были следующими:
- Для рядовых сотрудников и пользователей в Active Directory — заменить сложный пароль на физический ключ. Либо Ключ + простой ПИН код. По сути это означает использование однофакторной аутентификации как средство для решения проблемы паролей.
- Усиленный контроль привилегированных учетных записей при помощи двух-факторной аутентификации на базе аппаратных Ключей. Проверка USB Ключа + Windows пароля для всех видов операций.
- Строгая Двух-факторная аутентификация для удаленного доступа.
В виду ограниченных ресурсов малый бизнес предпочитает решения с малой ценой инвестирования. Наше ПО Rohos Logon Key позволяет гибко настроить требуемый способ двух-факторной аутентификации на рабочих станциях в среде Active Directory так и без нее а также на Терминальных Серверах. Узнать больше.
С Новым годом!