Comments 30
> решение о внедрении 2FA в организации, и поняли как их заинтересовать.
Жаль, что вы сначала не пояснили что вы имеете ввиду под 2FA (поскольку увы вариаций и фантазий на эту тему у всех миллион), и зачем это нужно по-вашему.
Но в блоке «Как работает двухактная аутентификация» мы как раз и описали, что рассматриваем вариант комбинации использования USB-токена / смарт-карты (владение) и PIN-кода от нее (знание).
Вот, Windows Hello for Business сейчас активно разворачиваю и внедряю.
Благо на Win10 уже основной парк клиентских устройств. Устройство, как второй фактор — доступный компромисс. Не полноценный 2FA, конечно, но лучше, чем только пароли.
Правильно ли я понимаю, что поскольку временные затраты на внедрение 2FA со смарт-картами/токенами и на внедрение Windows Hello for Business примерно равны, то бизнес просто не хочет закупать токены?
Нигде не могу найти: а Windows Hello поддерживается на терминальных серверах MS, или речь идет только об авторизации на ПК под управлением Win10?
Вот представьте, что вы внедрили супер-систему DLP или контроля сотрудников. И увидели как сотрудник слил (сливает) базу клиентов.
СБ вызывает его к себе, а он сходу «ничего не делал, меня взломали». И доказать обратное вы не сможете. Может он и правда ни в чем не виноват, и вы только зря накажете лояльного сотрудника…
А вот если токены внедрены, то в ответ на «меня взломали», СБ тут же попросит показать токен. Если токен у сотрудника, то никакого взлома быть не могло. Если токена нет, то сразу вопрос — почему раньше не заявил об утере. А значит виноват.
Так что при внедрении систем контроля от слива информации, использование двухфакторной аутентификации обязательно вдвойне!
В итоге контроля, как часто бывает, нет (особенно с учётом того что реально важную информацию иногда в голове вынести могут), а проблемы у всех пользователей, начиная с забыл карту / поопуск заканчивая тем что к ПО для смарткарт доверия не больше чем к файлу с торрента а его ещё и на личный комп воткнуть надо и только под win/mac для удалёнки :(
ПО для смарткарт проходит процедуру сертификации ФСТЭК и ФСБ. И втыкают его обычно не на личный комп, а на рабочий, принадлежащий работодателю.
Увы мир не такой идеальный, так всё ПО под линукс серттфицированно, под какую систему? К сожалению в реальном мире бывает так, что у нас тут снйчас win7 и macOS, а то, что будет дальше, как повезёт.., в итоге появляется система удалённого доступа (да не с пк компании, а именно с личного) и в ней всё хорошо, кроме того что ПО доступно только для двух версиях ОС не говоря о том что т.к. внедрение было давно, а ПО не обновлялось а клиеньские модули свободно не распостраняются.
p.s. именно поэтому добавил ниже про токены, это самое простое решение, похожее имено на ключ от квартиры.
p.s. оптимально из опыта — токен — генератор пинкодов (автономный,), самое страшное — держать таблетку при включении/перезагрузке.
Что там потом делается управляется другими средствами. И регламентируется отдельно.
— не нужна, потому что маленькая команда
— нужна, команда большая.
Я Работал как в маленькой, так и в большой компании и считаю что необходимость 2FA зависит от большего количества факторов чем описано в статье. В первую очередь от кол-ва сотрудников. К тому же в большинстве случаев в маленьких компаниях VPN работает на основа сертификатов., те привязан к тому компьютеру куда сотрудник поставил ключ и это можно считать как 2FA. Если у компании нету авторизации из Интернета — нету необходимости и в 2FA.
Что же касается хранение сертификатов на машинах с клиентом VPN, то тут множество вопросов к защищенности такого хранения. Токен — хранилище защишенное, компьютер — нет.
А большая команда в то же время может заниматься полной фигнёй.
Так что не размер имеет значение.
Парольной защиты я считаю там достаточно, если компания не Банковского типа (работал с маленькой кред организацией).
Токен в маленьких компаниях рентабелен только для совершения банковских операций, поэтому он есть обычно только у буха и директора. Остальным сотрудникам не имеет смысла заводить токены.
Зачем офис менеджеру токен, логисту, продавцу?
Токен в маленьких компаниях рентабелен только для совершения банковских операций, поэтому он есть обычно только у буха и директора. Остальным сотрудникам не имеет смысла заводить токены.
Вы путаете квалифицированную электронную подпись (именно ключи ЭП и хранятся на токене директора и главбуха) и двухфакторную аутентификацию.
Необходимость в квалифицированной ЭП действительно есть у небольшого количества сотрудников, а вот 2FA должна быть в каждой организации, где пароль можно украсть.
Я бы посмотрел чуть дальше. Злоумышленник вполне может угнать слабо защищенную учетку менеджера и затем поднять полномочия при помощи эксплойтов. Это как бы один аргумент.
Второй аргумент — ответственность за действия, выполняемые в системе. Бывают такие «дружные» коллективы, где спят и видят, как бы подставить коллегу.
Ну можно еще аргументов подогнать
Что касается вашего мнения что 2FA нужна визде — тут я с вами все равно не согласен.
В мелких организация она не нужна. Слишком мал выхлоп. Все сотрудники все равно проходят через охрану. Если ваши директора нанимают сотрдников-варюг — это человеческий фактор. Если он варюга он и токен вместе с паролем стянет.
Да и даже если человек пойдет на обед — сотрудники не вытаскивают токен из машины. Такие сотрудники и пароль спокойно сольют.
Я так бухгалтера тролил из-за банковского токена (ЭЦП внутри токена — все равно токен), она токен не вытаскивает из ПК
Те же кто вытаскивает токен — у них пароль не украдешь, они внимательные.
Вы лучше своих сотрудников учите береч аккаунт, и вседа быть на стороже, а не суйте им 2FA.
Да и даже если человек пойдет на обед — сотрудники не вытаскивают токен из машины
Если использовать смарт-карту для 2FA еще и как электронный пропуск для СКУД, то выйти из офиса, оставив карту подключенную к ПК, уже будет невозможно
«пропуск для СКУД,» ооо, фантазии. Я в большой компании то не видел такого.
но все равно, главное — ответсвенные сотрудники. Если сотрудник-варюга — у него и СКУД, и 2FA и пароль официально уже есть.
«пропуск для СКУД,» ооо, фантазии. Я в большой компании то не видел такого
Примеров, кстати, очень много.
В чем, собственно, сложность? Есть смарт-карта, в ней одновременно и чип и RFID. С точки зрения RFID она ничем не отличается от обычных карт-пропусков для СКУД и настраивается точно так же. То есть для СБ все равно какие карты закупать и настраивать.
Герои двухфакторной аутентификации, или как «походить в чужих ботинках»