Многофакторного счастья вам в Новом Году!

Мы хотим поздравить вас с Новым Годом и пожелать всем Многофакторного счастья!  которое по аналогии с одноименным термином из области информационной безопасности означает комбинацию из трех факторов:  1) То что мы знаем и кем являемся  2) что-то что у нас есть из материальных благ и 3) и кто-то с кем мы можем поделиться первым и вторым фактором для обретения настоящего счастья. 

Наши планы на 2019 год

  • Корпоративный Менеджер паролей с функцией двух-факторной либо одно-факторной аутентификации  при помощи USB\RFID ключа и хранением учетных данных в Active Directory.  Все это позволить заменить пароли на аппаратные ключи для того чтобы избавить сотрудников от лишней ответственности, усилить защиту и котроль учетных данных от утечки и злоумышленников.
  • Шифрование папок и файлов в Google Drive для персональных использования, чтобы запретить облачным службам читать ваши файлы и отслеживать ваши интересы.
  • Реализацию принципа взаимозаменяемых факторов аутентификации для Rohos Logon Key. Это позволит комбинировать различные типы устройств двух-факторной аутентификации на одном ПК, в одной сети Active Directory, для одной учетной записи. 
  • Реализацию принципа строгой двух-факторной аутентификации для контроля Привилегированных Учетных записей в сети Active Directory. Это означает применение методов аутентификации основанных на криптографии: Одноразовых паролей и FIDO U2F ключей. 

Жизнь в Active Directory после mimikadz

Начиная с 2012 года, с появлением утилиты mimikadz протокол Kerberos, Activе Directory и компания MS в частности  подверглась беспрецедентной критике со стороны исследователей, ИБ профессионалов и хакеров. Новые открытия в деталях реализации протокола Kerberos и обслуживающих его под-систем безопасности открыли ряд особенностей:

  1. В сети Active Directory есть два типа мандатов (credentials) это Пароль и Хэш пароля. Оба вида могут быть использованы для аутентификации. Пароль используется как Пользователем так и Сервисами. Имея только Хэш можно также его использовать на низком уровне чтобы произвести аутентификацию и доступ к Службам. 
  2. Защищать следует оба вида Мандатов от утечки. Поскольку Хеш может быть использовать даже за пределами сети AD.
  3. Поскольку Kerberos реализует принцип Single Sign On  — у него нет встроенной возможности двух-факторной аутентификации. Kerberos проверяет хеш пароля или Сертификат, но не оба мандата одновременно. 
  4. Защита от утечки и использования хешей — это комплекс мер. 
  5. Microsoft представила Azure Multi-Factor Authentication Server — отдельное приложение как способ двух-факторной аутентификации, где дополнительный фактор проверяется отдельно от kerberos и храниться в ldap каталоге, то что мы уже давно реализовали в Rohos Logon Key. Решение от Microsoft расчитано на масштаб предприятия с филиалами, требует наличия полной инфраструктуры AD, высокой квалификации Администраторов и и как следствие высоких затрат на обслуживание.

Напомним, что с помощью применения Смарт-карт можно добиться только Строгой Аутентификации — это когда используются криптографические протоколы на открытых ключах и принцип запрос-ответ. То что смарт-карта сама по себе защищена ПИН кодом не означает что kerberos или сеть AD реализует двух-факторную аутентификацию.  Проверку PIN кода делает карта, а проверку подписи PKI сертификата делает kerberos — это две разные сущности. Хотя в теории оба фактора должны быть проверенны одной системой.

Предпочтения малого бизнеса в вопросах двух-факторной аутентификации

За последние пять лет основные предпочтения наших клиентов  в вопросах двух-факторной аутентификации были следующими:

  • Для рядовых сотрудников и пользователей в Active Directory — заменить сложный пароль на физический ключ. Либо Ключ + простой ПИН код.  По сути это означает использование однофакторной аутентификации как средство для решения проблемы паролей.
  • Усиленный контроль привилегированных учетных записей при помощи двух-факторной аутентификации на базе аппаратных Ключей. Проверка USB Ключа + Windows пароля для всех видов операций. 
  • Строгая Двух-факторная аутентификация для удаленного доступа. 

В виду ограниченных ресурсов малый бизнес предпочитает решения с малой ценой инвестирования.  Наше ПО Rohos Logon Key позволяет гибко настроить требуемый способ двух-факторной аутентификации на рабочих станциях в среде Active Directory так и без нее а также на Терминальных Серверах. Узнать больше. 

С Новым годом!