Comments 19
Очень по джедайски – наносим добро, не считаясь с мнением доброполучателя. Мы лучше его знаем что для него хорошо.
Привет!
Тут скорее наоборот, прежде чем предлагать нашим пользователям какие то решение по MFA, мы проводили глубокие интервью.
В частности мы провели более 60 глубоких интервью с нашими пользователями чтобы сделать схему вокруг ActiveSync протокола, без публикации в дикий интернет Exchange сервера
Если у тебя есть какие-то идеи - пиши! Можем обсудить детали реализации, или даже устроить созвон
По мотивам недавней статьи за соавторством Джорджа Мартина?)
Получается, красным командам так и не удавалось выполнить свою задачу?
Привет!
У нас были случае когда наших клиентов ломали до того как они внедрили Контур.ID.
Бывало даже такое, что прямо в момент подключения, наш внедренец видел, что нашего клиента пытаются брутфорсить прямо сейчас, до этого он даже такого не подозревал.
При подключенном Контур.ID, еще ни разу не было взломов.
Удивительная штука этот контур-айди. Вы серьезно считаете, что человек имеет только один e-mail, и связывает его с одним телефоном. Скажем, человек пользуется вашей Эльбой, и зарегал свой телефон и личную (ИП-ную) почту у вас. Ок. А затем на работе, где он по найму работает, купили ваш Контур.Talk, и там регают сотрудников на их корпоративную почту и их мобильные телефоны (тоже личные). И тут - ШТАНГА! - ваша волшебная безопасность ломает всем шаблон, потому что тот же номер нельзя привязать к разным эл. адресам.
Как по мне, детская ошибка. Как верить в смысле безопасности вам в остальном - ну вот никак не пойму!
Привет!
Ты абсолютно прав, есть такая проблема, более того, такая проблема есть во многих системах.
Мы боремся с ней так - у нас есть специальный механизм объединения учетных записей, естественно не автоматический, однако мы для наших пользователей умеем подсвечивать что у их учетные записи задвоились.
Более того, конкретно в Контур.ID, директор по безопасности, который управляет сотрудниками своей организации может увидеть это задвоение и принять меры.
Зашибись!
Мало того что у вас неправильно построена архитектура, так вы еще и добро причиняете безальтернативно.
Что значит "специальный механизм объединения учетных записей" ? Зачем личную учетку соединять с корпоративной? Или допустим специалист работает (оказывает услуги) в нескольких компаниях? Ему тоже объедените учетки?
Недорабатывают специалисты из red-team))
Когда-то потребовалось войти в аккаунт на одном из сайтов через публичный wifi. Сайт потребовал 2FA с подтверждением через email, в который конечно же нужно войти через тот же самый небезопасный wifi.
Т.е. по логике 2FA потенциально слить кому-нибудь данные одного аккаунта это небезопасно. Гораздо лучше слить логин и пароль от email, на который завязано до кучи других аккаунтов.
Привет!
Слушай, тут как-будто бы две разные проблемы. Веб-сервисы и приложения по умолчанию считают, что ты работает из доверенной для себя сети и доверенного устройства.
Если ты не доверяешь сети или своему устройству, лучше их не использовать для чувствительных данных вообще.
В твоем случае ситуация еще интересней, той сети в который ты находился ты доверяешь как бы на половину. Ты готов засветит свои креды на сайте, но не готов засветит креды почты.
И вот тут нюанс - разработчики сайта считают, что если ты входишь на их сайт значит по умолчанию находится в доверенной сети, поэтому и просят тебя еще воспользоваться сетью для 2ф.
Разработчики сайта не считают, что ты готов креды с их сайта слить, а креды от почты нет)
"Веб-сервисы и приложения по умолчанию считают, что ты работает из доверенной для себя сети и доверенного устройства. "
Это в каком мире? мне казалось что у нас повальный https как раз потому, что любая сеть недоверенная))
Вообще я не понял тезис про то, что пользователю подсовывают фейковую страницу, он пытается зайти, вводит логин и пароль, и получает необходимость подтвердить вторым фактором вход - что ему помешает подтвердить вход вторым фактором?)
Смешно. Ты считаешь, что пользюки будут замороачиваться с доверенной / не доверенной сетью? Ты им двухфакторкой жизнь усложнил, значит теперь это твоя головная боль, но точно не их.
Очень по-джедайски реализовывать MFA, завязываясь на работу 3rd party сервиса, который может быть не доступен/пребывать в невменяемом состоянии/заблокировать учётку по собственному убеждению/слить ваши данные налево и ещё 1000 и 1 сценарий неадекватной работы.
Есть же автономные механизмы, не требующие SMS/PUSH/web коллбеков (всё что может поломаться в неподходящий момент): WebAuthn/FIDO2, TOTP, да тот же RSA SecurID, зачем снова изобретать "облачные" велосипеды?
Ухх, интересная тема! Давай разбираться
WebAuthn/FIDO2, TOTP - это протоколы, которые описывают взаимодействия компонентами. Они не являются сами по себе готовыми технологиями.
RSA SecurID - это уже продукт, коммерческий и поставляется в виде on-prem инсталляции. Внутри у себя в частности использует TOTP коды например. Однако с ним есть беда, у него нет поддержки на территорий РФ, никаких гарантий вендор не дает.
Ну и само собой это не продукт из реестра отечественного ПО.
У нас в Kontur.ID активно используется TOTP коды, через собственное приложение и через другие приложения тоже, такие как Google Authenticator, Яндекс Ключ и другие.
Ты прав, в том что схема с пуш уведомление страдает надежность - тебе приходится зависеть облачного решения, если нет интернета - не войдешь. Это минус облачных решений в целом.
Мы в частности для таких случаев сделали on-prem инсталляция Kontur.ID, которая не зависит от облаков и работает чисто на TOTP кодах! (прямо как RSA SecurID).
Наши пользователи по желанию могут использовать и её. Это зависит от запросов.
В то же время у нас есть часть клиентов которые вообще не хотят on-prem решение, потому что так или иначе его приходится поддерживать своими силами.
Это вечный и сложной вопрос - облако или on-prem !
лучше открытых ключей ничего не придумали,
что бы получить доступ закинь отрытый ключ, если ключ злоумышленнику попадёт, например git позволяет всем их узнать, он ему ни чем не поможет, он позволяет определить что ты это ты, а другой вадать себя за тебя не смогёт.
Пароли, AD, mfa, контур это фиговые листочки которые так или иначе можно обойти.
Используй MFA, Люк: как второй фактор помогает защитить подключения
Да пребудет с вами сила, хабравчане! Меня зовут Кирилл Подсухин, я technical product manager в экосистеме для бизнеса Контур. Я вместе с командой разработал систему двухфакторной аутентификации Контур.ID.
Я часто представляю нашу команду как джедаев, которые борются с ситхами — злоумышленниками, которые пытаются завладеть логинами и паролями сотрудников. Преступники делают это кучей разных способов, а мы, как силы добра, им противостоим. Собственно, о том, какие существуют атаки и как двухфакторная аутентификация помогает нам защитить данные, я и хочу рассказать. Материал будет интересен ИБ-специалистам да и просто всем, кто хочет разобраться в вопросе получше.