Решение для двухфакторной аутентификации (2FA)

Зачем нужна 2FA?

В современном цифровом мире для обеспечения безопасности доступа в организации требуется нечто большее, чем просто надежные пароли. Такие решения, как двухфакторная аутентификация Active Directory (также известная как двухфакторная аутентификация или 2FA) - ключевая возможность многофакторной аутентификации (MFA) - теперь необходимы организациям любого размера. Поскольку киберугрозы становятся все более изощренными, для защиты конфиденциальных данных и критически важных систем уже недостаточно полагаться только на пароли. Добавляя дополнительный уровень безопасности посредством двухфакторной аутентификации или двухэтапной проверки, организации заставляют злоумышленника скомпрометировать не один, а два элемента, прежде чем получить доступ.

Пароли больше не могут считаться единственным надежным фактором аутентификации. Рассмотрим следующую статистику:

• Verizon утверждает, что 82 % утечек данных связаны с человеческими факторами, такими как социальная инженерия, ошибки и неправильное использование.[¹]
• По статистике паролей, опубликованной Dataprot, 51 % людей используют один и тот же пароль для рабочих и личных аккаунтов. Более того, 57 % людей, которые уже стали жертвами фишинговых атак, до сих пор не сменили свои пароли.[²]
• Многие печально известные кибератаки на крупные промышленные предприятия, такие как Colonial Pipeline и Ireland Health Service Executive, начинались с одного взломанного пароля.[³]

Без двухфакторной или двухшаговой аутентификации даже один слабый пароль создает серьезную уязвимость. Двухфакторная аутентификация решает эту проблему, применяя вторую проверку (например, одноразовый пароль, push-уведомление или биометрическое сканирование) наряду с паролем, что значительно снижает риск и повышает безопасность вашей организации.

Что такое усталость от 2FA?

Усталость от 2FA - это тенденция пользователя терять чувствительность из-за частых запросов на двухфакторную аутентификацию. Такая усталость особенно характерна для методов, которые запускают push-уведомления или требуют многократного ввода кода в течение дня. Риск безопасности: пользователи, испытывающие усталость от 2FA, могут начать без проверки одобрять запросы на аутентификацию или попытаться обойти систему для удобства, чем могут воспользоваться злоумышленники - это известно как атаки с усталостью от push-запросов, когда злоумышленники бомбардируют пользователей запросами на одобрение до тех пор, пока один из них не будет одобрен.

Рекомендации Обучите пользователей тщательно проверять каждый запрос и предлагайте разнообразные методы аутентификации, такие как биометрия или аппаратные ключи, чтобы обеспечить безопасность, не ставя под угрозу удобство пользователя.

Типы 2FA

Сегодня существуют различные методы 2FA, каждый из которых обладает своим собственным балансом безопасности и удобства. ADSelfService Plus поддерживает широкий спектр методов двухфакторной аутентификации, включая как базовые, так и расширенные варианты, что позволяет удовлетворить разнообразные потребности предприятий.

Вот наиболее часто используемые типы 2FA:

• SMS 2FA (двухфакторная аутентификация по SMS): во время входа в систему на зарегистрированное мобильное устройство пользователя посредством SMS отправляется уникальный одноразовый пароль.
• Одноразовый пароль на основе времени (TOTP): генерируется с помощью таких приложений, как Google Authenticator, Microsoft Authenticator или Zoho OneAuth.
• Проверка подлинности с помощью push-уведомления: при попытке входа в систему на мобильное приложение пользователя отправляется уведомление для подтверждения одним нажатием.
• Подтверждение по эл. почте: для подтверждения личности пользователю на электронную почту отправляется код безопасности.
• Биометрическая аутентификация: в качестве второго фактора используется распознавание отпечатков пальцев или лиц.
• Аппаратные аутентификаторы: включают YubiKey, RSA SecurID или смарт-карты для безопасной физической аутентификации.
• Контрольные вопросы: для подтверждения личности пользователи отвечают на предварительно настроенные вопросы.

SMS 2FA (двухфакторная аутентификация по SMS)

SMS 2FA - это простой и широко распространенный метод аутентификации, который добавляет второй этап проверки личности с помощью мобильного текстового сообщения. Вот как это работает с ADSelfService Plus:

1. Пользователь входит в систему, используя свой пароль.
2. ADSelfService Plus отправляет SMS с защищенным одноразовым паролем на зарегистрированный номер телефона пользователя.
3. Пользователь вводит одноразовый пароль, чтобы завершить вход.

Уязвимости SMS 2FA

SMS 2FA обеспечивает базовые удобства, но важно признать его уязвимости:

• Замена SIM-карты: злоумышленники используют методы социальной инженерии для переноса номера жертвы на свою SIM-карту, перехватывая SMS-код.
• Перехват СМС: вредоносное ПО или мошеннические приложения могут перехватывать входящие сообщения.
• Риск фишинга: пользователи могут быть обмануты и вынуждены вводить SMS-коды на мошеннических сайтах, что позволяет злоумышленникам получать доступ в режиме реального времени.
• Слабые стороны сети: для SMS-сообщений не применяется сквозное шифрование, что потенциально приводит к утечке данных через незащищенные сети.

Рекомендации Сочетайте SMS 2FA с более надежными альтернативами (например, приложениями для аутентификации или аппаратными токенами) для критически важных систем и информируйте пользователей о таких угрозах, как фишинг и подмена SIM-карт.

Распространенные методы обхода 2FA

Злоумышленники постоянно ищут новые способы обхода двухфакторной аутентификации. Наиболее распространенные методы обхода 2FA включают в себя следующие:

• Фишинговые прокси: поддельные сайты перехватывают настоящие пароли и коды 2FA, передавая их на законный сайт в режиме реального времени.
• Атака через посредника: скомпрометированные браузеры или сети используются для захвата и повторного использования токенов аутентификации.
• Подмена SIM-карт и социальная инженерия: как уже упоминалось, злоумышленники могут получать коды 2FA по SMS или посредством звонка.
• Вредоносное ПО: взломанные устройства могут считывать или перехватывать коды аутентификации, отправляемые по SMS, электронной почте или даже через уведомления в приложениях.
• Использование фактора усталости от 2FA: злоумышленники могут злоупотреблять усталостью пользователей от push-уведомлений, отправляя несколько запросов до тех пор, пока пользователь случайно или по неосторожности не одобрит один из них.

Рекомендации Обучите пользователей выявлять попытки фишинга, применять надежную аутентификацию с использованием программных или аппаратных токенов для конфиденциальных учетных записей, а также внедрять адаптивные политики риска, которые запускают дополнительную проверку в случае аномального поведения при входе в систему.

Собственные инструменты AD и ADSelfService Plus для 2FA

Собственные инструменты Active Directory обеспечивают либо ограниченную двухфакторную аутентификацию, либо не обеспечивают встроенную двухфакторную аутентификацию, в то время как ADSelfService Plus предлагает многофункциональные, централизованные и простые в управлении решения двухфакторной аутентификации для широкого спектра корпоративных потребностей.

Собственные инструменты не обеспечивают встроенную двухфакторную аутентификацию для большинства сценариев. Для организаций, ищущих лучшее решение 2FA, специальная платформа, такая как ADSelfService Plus, предлагает расширенное, простое в управлении и легко настраиваемое решение с поддержкой нескольких методов.

Как работает двухфакторная аутентификация с ADSelfService Plus?

Двухфакторная аутентификация ADSelfService Plus работает одинаково для входа в приложения и на конечные точки. Каждый раз, когда пользователь запрашивает доступ к определенному ресурсу, ему сначала необходимо подтвердить свою личность, используя первичный фактор аутентификации, которым обычно (но не всегда) является пароль. После завершения первичной аутентификации пользователю предлагается выполнить вторичную аутентификацию. После завершения вторичной аутентификации пользователям предоставляется доступ к соответствующему ресурсу.

На рисунке ниже иллюстрируется принцип работы двухфакторной аутентификации в ADSelfService Plus.

Комплексное решение 2FA

ManageEngine ADSelfService Plus предлагает комплексную, учитывающую контекст многофакторную аутентификацию (MFA) на конечных точках, которая позволяет защитить все точки контакта на вашем предприятии с помощью современных методов аутентификации, таких как биометрия, аппаратные токены и TOTP.

2FA для входа на компьютер

Обеспечьте безопасный доступ к компьютерам под управлением ОС Windows, macOS и Linux, используя двухфакторную аутентификацию Active Directory для входа пользователей в систему

2FA для входа на компьютер

Предоставьте пользователям возможность безопасного доступа к ИТ-ресурсам через VPN после прохождения строгой процедуры аутентификации с использованием передовых методов корпоративной аутентификации.

2FA для OWA  

Обеспечьте безопасный доступ к учетным записям OWA, развернув двухфакторную проверку подлинности Active Directory со строгими факторами проверки подлинности при входе в OWA.

2FA для оффлайн-доступа  

Защитите удаленных пользователей, работающих в автономном режиме, включив двухфакторную аутентификацию Active Directory для входа в систему на компьютерах Windows и macOS в автономном режиме.

2FA, ориентированная на компьютеры

Реализуйте 2FA на уровне компьютера, чтобы каждый пользователь, входящий в систему на конкретном компьютере, должен был подтвердить свою личность, независимо от индивидуальных политик пользователя или статуса регистрации.

2FA для корпоративных приложений  

Регулируйте доступ к корпоративным приложениям посредством единого входа, используя надежные аутентификаторы, такие как ключи доступа FIDO, YubiKey и биометрическую аутентификацию для пользователей Active Directory.

2FA для SSPR  

Разрешите пользователям самостоятельно сбрасывать пароли Active Directory (SSPR) и самостоятельно разблокировать учетную запись только после проверки личности пользователя с использованием типов двухфакторной аутентификации, поддерживаемых SSPR.

Ниже приведены некоторые методы двухфакторной аутентификации, которые предлагает ADSelfService Plus:

Что делает решение 2FA лучшим?

Лучшее решение 2FA сочетает в себе надежность, безопасность, удобство для пользователя и гибкость. Ключевые возможности включают:

Широкий спектр методов аутентификации: поддержка SMS, приложений аутентификации, биометрии, аппаратных токенов и других элементов управления.

Беспроблемная интеграция: работает на всех конечных точках (Windows, macOS, Linux), VPN, в веб-приложениях и рабочих процессах самообслуживания.

Централизованное управление: единая политика и регистрация для всех пользователей.

Самообслуживание для пользователей: простая регистрация и устранение неполадок снижают нагрузку на ИТ-отдел.

Строгие функции обеспечения соответствия: журналы аудита и отчетность помогают соблюдать такие стандарты, как GDPR, HIPAA и NIST.

ADSelfService Plus является примером лучшего решения 2FA, предлагая более 20 методов аутентификации, детальный контроль политик и комплексную поддержку корпоративных требований.

Основные преимущества внедрения 2FA с помощью ADSelfService Plus

Включение двухфакторной проверки подлинности с помощью ADSelfService Plus обеспечивает вашей организации многочисленные преимущества, напрямую устраняя распространенные проблемы ИТ-безопасности:

• Непревзойденная безопасность. Значительно снижает риск любых атак с использованием паролей, включая фишинг, подбор паролей и подмену учетных данных, делая скомпрометированные учетные данные бесполезными без второго фактора.
• Снижение рисков внутренних атак. Обеспечивает необходимый уровень безопасности от взлома внутренних учетных записей, случайных неверных настроек или злоумышленников, пытающихся получить доступ путем повышения уровня прав.
• Защита критически важных ресурсов. Защитите конфиденциальные данные, критически важные бизнес-приложения и системы, интегрированные с вашей инфраструктурой AD и зависящие от нее.
• Гибкие методы проверки подлинности. Поддержка широкого спектра факторов, включая биометрию, push-уведомления, одноразовые пароли с ограниченным сроком действия (TOTP), ключи безопасности (например, YubiKey) и многое другое.
• Адаптивные политики безопасности. Реализуйте политики условного доступа на основе местоположения пользователя, надежности устройства или времени доступа, добавив интеллектуальный уровень защиты.

Внедрение двухфакторной аутентификации с правильным сочетанием технологий широко признано золотым стандартом безопасности персональных данных. Используя лучшее решение 2FA, вы обеспечиваете не только соответствие требованиям, но и долгосрочное спокойствие для своего бизнеса и пользователей.

Цитаты:

1. Отчет о расследовании утечек данных Verizon, 2023 г.
2. Dataprot: статистика паролей, 2022 г.
3. Публичные сообщения о киберинцидентах в Colonial Pipeline и HSE в Ирландии