27 June 2011

К вопросу о двухфакторной аутентификации с помощью мобильных устройств

Блог компании Symantec corporate blog


Пролистывал на днях статьи на Хабре, и невольно в голову пришла навязчивая идея, что слишком много в последнее время совпадений…… Не смог от нее избавиться и набросал пару строк.

Итак, что с чем совпало?

Читая обсуждение на Хабре на тему открытого письма одного известного безопасника другому известному соучредителю соц.сетей, ловил себя на мысли, насколько противоположные мнения у комментировавших насчет безопасности и удобства использования сети. Одно порадовало, плюсами в основном отмечали сторонников необходимости поддержания достойного уровня безопасности. Особенное внимание я обратил на идею двухфакторной аутентификации с помощью мобильных устройств…

В это же время наткнулся на статью про то, как мы в Symantec едим собственную стряпню…

И ровно в настоящий момент в рамках этой программы у нас идет процесс внедрения в собственную корпоративную сеть одного из наших недавно купленных сервисов: VeriSign Identity Protection, сокращенно VIP, который как раз таки служит для двухфакторной аутентификации, как раз таки с помощью мобильных устройств.
Сложив все в кучу, решил набросать пару слов на тему этой весьма интересной технологии, к сожалению пока мало известной в России.

Итак, что же это за зверь такой, VIP?


Если в двух словах, то VIP – это услуга, позволяющая провести двухфакторную аутентификацию с помощью одноразового пароля. В VIP используется синхронизация по времени между генератором одноразовых паролей и службой проверки правильности пароля. При этом важной отличительной особенностью VIP является возможность использования одного профиля как внутри компании, так и для аутентификации во внешних приложениях. Если упростить, то схема выглядит аутентификации выглядит примерно следующим образом:



Возвращаясь к вопросу открытого письма, где предлагалось использование мобильных устройств для двухфакторной аутентификации… Кто-то даже предполагал, что это крайне сложно организовать. На самом деле нет, другое дело, что это дополнительные затраты, а на кого они лягут?
Возвращаясь к технологии: с помощью VIP это можно легко организовать (двухфакторную аутентификацию с использованием мобильных телефонов). В качестве генератора одноразовых паролей можно использовать как аппаратные устройства (токены, карты и т.д.), так и приложение на мобильном телефоне. Думаю, что многие из Вас со мной согласятся, что последний вариант куда удобнее, т.к. мобильный телефон всегда с собой, при этом нет необходимости дополнительных затратах на покупку оборудования, транспортировку, обслуживание и т.д.

Другой вопрос, кто будет платить за эту возможность?


Для пользователей эта радость абсолютно бесплатна. И это хорошая новость.
Кстати, если кто-то хочет посмотреть как выглядит данное приложение, то заходите на сайт m.verisign.com, скачивайте приложение и будьте счастливым обладателем одноразовых паролей.
Для тех, то не захочет качать, но хочет увидеть:


Итак, в случае если одноразовый пароль используется для аутентификации на публичном ресурсе, то этот ресурс платит за использование услуги.
Если одноразовые пароли используются внутри компании, то платит компания, где это используется.
Где же его использовать?

Если используете ebay или paypal, то можно там. В принципе, есть сайт, где можно найти все публичные ресурсы, на которых возможна аутентификация по этим одноразовым паролям.
Также можно использовать одноразовые пароли внутри компаний, самый типичный сценарий — подключение через VPN.

Кстати, если Вы являетесь обладателем публичного ресурса и хотите предоставить возможность своим пользователям аутентифицироваться с помощью одноразовых паролей, то милости просим присоединяться к нам. Процедура интеграции с VIP крайне проста.

К чему я это все?


Вопрос безопасности обычных паролей стар, как мир, но при этом большинство компаний все еще не используют средств многофакторной аутентификации. Причины обычно: дорого, неудобно, сложно и т.д.
Есть решения, которые позволяют сделать аутентификацию надежной, при этом удобной и не особо дорогой. А если смотреть не на первоначальную стоимость, а на совокупную стоимость владения, то я бы сказал и вовсе «дешевой».

Т.ч. не так страшен черт, как его малюют, и не так сложна многофакторная аутентификация, как ее многие представляют.
Tags:двухфакторная аутентификацияVeriSignSymantec
Hubs: Блог компании Symantec corporate blog
+15
11.3k 20
Comments 50