Двухфакторная аутентификация
Одной из наиболее важных задач информационной безопасности является обеспечение соответствия между человеком за компьютером и той учетной записью, которой он пользуется (аутентификация). Именно на гарантии такого соответствия основываются права доступа и полномочия в информационных системах, назначаемые учетной записи при условии, что в любой момент времени ею пользуется конкретный сотрудник.
Существуют несколько способов атак на аутентификационную информацию (имя учетной записи и пароль).
-
Подсмотреть пароль при его вводе
-
Угадать пароль
-
Перехватить пароль при его передаче
-
Обнаружить пароль в месте его хранения
Для снижения успешности таких атак увеличивают сложность пароля, а при хранении и передаче использую шифрование. Но это не исключает того факта, что его можно подсмотреть или угадать, либо же просто забыть. Таким образом, увеличение сложности пароля может спровоцировать сотрудника на нарушение правил его хранения, а злоумышленника на изменение способа атаки либо поиск места хранения пароля.
При удаленной работе вероятность нарушения конфиденциальности своих аутентификационных данных возникает многократно.
Для нейтрализации подобных угроз используется, кроме пароля, второй фактор аутентификации, например одноразовый пароль, который по запросу сотрудника генерируется в момент аутентификации. Одноразовый пароль имеет срок действия несколько минут, поэтому даже если будет перехвачен или подсмотрен, не может быть использован вторично. Для следующего подключения сотрудника к корпоративным ресурсам будет использоваться другой одноразовый пароль.
Компания ВСС предлагает использовать хорошо зарекомендовавшее себя средство для двухфакторной аутентификации компании Protectimus. Одноразовые пароли Protectimus могут быть доставлены пользователю несколькими способами.
-
Пароль сгенерирован в приложении на смартфоне. Такое приложение можно бесплатно скачать на iPhone или Android и заранее синхронизировать с сервером Protectimus, установленным в корпоративной сети
-
Пароль прислан сотруднику по электронной почте
-
Пароль сгенерирован на специальном брелоке, заранее синхронизированным с сервером Protectimus
Таким образом, чтобы пройти успешную аутентификацию, недостаточно знать пароль от учетной записи, нужно еще иметь у себя что-то дополнительно: смартфон, брелок или доступ к электронной почте.