Comments 15
А почему бы просто не использовать сертификаты (пару RSA ключей в токене)? Это же более универсальное решение, так как подходит "для всего".
Я не автор, но предположу, что инфраструктура выпуска, хранения, учета и отзыва RSA-ключей немного сложнее внедрения готового решения + их надо как-то выпустить и безопасно доставить пользователю изначально и пре перевыпуске, а смартфон для СМС и телеграм у него уже есть, поэтому так снижается нагрузка на администраторов и упрощается процедура в целом, за счет самообслуживания. Объяснить про смски паре самых "информационно-неграмотных" проще, чем выпустить ключи на всех. Хотя я все равно вас поддерживаю, и тоже за сертификаты. Вначале труда больше, но надежнее.
Совершенно верно, здесь суть именно в удобстве для конечных пользователей.
Так речь же об сетевом устройстве (Traffic Inspector Next Generation). С ним должны работать лютые админы в толстых серых свитерах вроде как. Ну и тем удобнее будет хардный ключ.
Насколько я понимаю, речь не только об аутентификации администратора в консоль управления девайсом, а обо всех пользователях организации для доступа к прокси и внутренней сети (VPN). И второй фактор благодаря этому модулю они смогут подключить сами, на портале самообслуживания, без участия админа. Отдельный вопрос, почему это сделано только сейчас, и почему раньше не было хотя бы 2FA с RSA
Хотелось бы услышать автора, потому что у меня сложилось не однозначное мнение.
В TING был раньше и сейчас есть ещё один вариант двухфакторной аутентификации. Это расширенная аутентификация, в рамках которой пользователь вводит не только свой постоянный пароль от локальной учетной записи, но и ограниченный по сроку действия одноразовый пароль (Time-based One-Time Password).
Хочется больше технических подробностей, как именно реализована эта двухфакторная аутентификация для веб-прокси? Интересно именно применение для ноутбуков в не очень безопасных Ethernet-сетях (в гостевой сети)
Будет ли работать на ноутбуках, которые не в домене Active Directory ?
Логин и пароль (не код) передаются по сети в открытом виде?
После успешной 2FA привязка идет только к IP-адресу компьютера? (Можно ли перехватить сессию не зная кода?)
Добрый день, касаемо заданных вопросов:
1) Будет работать на ноутбуках не в домене, если включить аутентификацию по LDAP. У пользователя будет запрашиваться логин и пароль. После чего на телефон в Телеграме придёт второй фактор.
2) Да, логин и пароль передаются в открытом виде.
3) Успешная 2FA привязывается к сессии.
Какой протокол используется в вашей реализации 2FA?
Протоколы RADIUS и LDAP
https://ting-docs.smart-soft.ru/proxy_multifactor.html
Что в вашей реализации сделано кастомного (своего), чего нет в имеющихся готовых решениях (Free Dadius или Active Directory)?
В Active Directory не поддерживается двухфаторная аутентификация. И наш Traffic Inspector Next Generation - это не только AD. У нас поддерживается аутентификация RADIUS, а ещё мы добавили интеграцию с multifactor.ru
Важный фактор. Зачем нужна и как работает двухфакторная аутентификация в Traffic Inspector Next Generation