Comments 8
чтобы многофакторная аутентификация была одноэтапной: пароль и второй фактор должны вводиться в одном поле.
Интересное требование. А я вот в веб-банкинге одном видел, что стало уже наоборот. Сначала вводите телефон. Потом оно видимо проверяет, что есть такой клиент. Тогда уже то поле пропадает, появляется поле для пароля. И самая жуткая для безопасности штука — можно настроить так, что сайт посчитает «Вы зашли из привычного места» и никаких звонков/SMS для подтверждения не будет.
Интересное требование. А я вот в веб-банкинге одном видел, что стало уже наоборот. Сначала вводите телефон. Потом оно видимо проверяет, что есть такой клиент. Тогда уже то поле пропадает, появляется поле для пароля.
Не знаю насколько тот сегмент банкинга, о котором вы говорите, попадает под PCI DSS, но на такой случай у них есть подробное пояснение, чем различается Multi-Factor (многофакторная) и Multi-step (многоэтапная) аутентификация. В этом случае, это явно второе.
И самая жуткая для безопасности штука — можно настроить так, что сайт посчитает «Вы зашли из привычного места» и никаких звонков/SMS для подтверждения не будет.
Абсолютно согласен. Такие настройки упрощают MITM атаки. Например, с помощью известного многим инструмента EvilGinx. При настройке всегда отключаем функцию «Remember me» и подобные. Это, конечно, тратит немного времени пользователя, но оправдывает себя в контексте безопасности.
...Многофакторную аутентификацию на базе SafeNet можно использовать для защиты веб-сервисов, опубликованных в интернете...Есть ли такие аналогичные сервисы на русском языке?
Если пользователь забыл, какую траекторию выбрал для GrIDSure, то опять-таки самостоятельно может сбросить ее здесь и задать новую
Как в этом случае происходит смена данной траектории? Как осуществляется вход в портал самообслуживания? Я к тому, что может быть злоумышленнику легче будет войти в портал и сменить траекторию, а потом по ней войти.
Как в этом случае происходит смена данной траектории? Как осуществляется вход в портал самообслуживания? Я к тому, что может быть злоумышленнику легче будет войти в портал и сменить траекторию, а потом по ней войти.
Зайти на портал можно по токену. Соответственно, если токен потерян/забыт и т.д. зайти у пользователя или злоумышленника не выйдет. А вот отправить запрос на выпуск нового токена можно. Но запрос проходит три уровня подтверждения в самом сервисе, а высылается новый токен непосредственно пользователю.
Поэтому в теории, чтобы сделать подобное, злоумышленнику придётся полностью украсть личность пользователя, да ещё и узнать PIN (обычно используется политика PIN+GridSure), который знает только пользователь, а также убедить 3 лица, ответственных за подтверждение перевыпуска в том, что он не злоумышленник.
В принципе, реально, идеальных систем не существует, но задача не из простых.
Да и функция с порталом опциональна, для бОльшего контроля её можно отключить.
Поэтому в теории, чтобы сделать подобное, злоумышленнику придётся полностью украсть личность пользователя, да ещё и узнать PIN (обычно используется политика PIN+GridSure), который знает только пользователь, а также убедить 3 лица, ответственных за подтверждение перевыпуска в том, что он не злоумышленник.
В принципе, реально, идеальных систем не существует, но задача не из простых.
Да и функция с порталом опциональна, для бОльшего контроля её можно отключить.
Sign up to leave a comment.
Не только смс и токен: многофакторная аутентификация на базе SafeNet Authentication Service