Comments 30
КПДВ 4,3 Мб это немного за гранью добра и зла…
> Под катом мы расскажем как попытались представить себя на месте лиц принимающих
> решение о внедрении 2FA в организации, и поняли как их заинтересовать.
Жаль, что вы сначала не пояснили что вы имеете ввиду под 2FA (поскольку увы вариаций и фантазий на эту тему у всех миллион), и зачем это нужно по-вашему.
> решение о внедрении 2FA в организации, и поняли как их заинтересовать.
Жаль, что вы сначала не пояснили что вы имеете ввиду под 2FA (поскольку увы вариаций и фантазий на эту тему у всех миллион), и зачем это нужно по-вашему.
Вариаций действительно очень много, например фактор обладания может реализовываться с помощью различных аппаратных устройств (USB-токен, OTP-токен, смартфон и пр.). Также могут быть совершенно различные комбинации трех факторов.
Но в блоке «Как работает двухактная аутентификация» мы как раз и описали, что рассматриваем вариант комбинации использования USB-токена / смарт-карты (владение) и PIN-кода от нее (знание).
Но в блоке «Как работает двухактная аутентификация» мы как раз и описали, что рассматриваем вариант комбинации использования USB-токена / смарт-карты (владение) и PIN-кода от нее (знание).
Бизнес очень туго идёт на финансирование двухфакторки, даже инциденты ИБ пытается объяснить всем чем угодно, кроме реального источника проблемы.
Вот, Windows Hello for Business сейчас активно разворачиваю и внедряю.
Благо на Win10 уже основной парк клиентских устройств. Устройство, как второй фактор — доступный компромисс. Не полноценный 2FA, конечно, но лучше, чем только пароли.
Вот, Windows Hello for Business сейчас активно разворачиваю и внедряю.
Благо на Win10 уже основной парк клиентских устройств. Устройство, как второй фактор — доступный компромисс. Не полноценный 2FA, конечно, но лучше, чем только пароли.
Большое спасибо за комментарий!
Правильно ли я понимаю, что поскольку временные затраты на внедрение 2FA со смарт-картами/токенами и на внедрение Windows Hello for Business примерно равны, то бизнес просто не хочет закупать токены?
Правильно ли я понимаю, что поскольку временные затраты на внедрение 2FA со смарт-картами/токенами и на внедрение Windows Hello for Business примерно равны, то бизнес просто не хочет закупать токены?
Нигде не могу найти: а Windows Hello поддерживается на терминальных серверах MS, или речь идет только об авторизации на ПК под управлением Win10?
Еще статистику надо смотреть, от каких факторов больше вреда, от украденных паролей или от слива информации своими же сотрудниками. Если от сотрудников, то никакие токены не помогут.
— Токены не про слив, а про защиту контура.
Кстати, очень хороший вопрос.
Вот представьте, что вы внедрили супер-систему DLP или контроля сотрудников. И увидели как сотрудник слил (сливает) базу клиентов.
СБ вызывает его к себе, а он сходу «ничего не делал, меня взломали». И доказать обратное вы не сможете. Может он и правда ни в чем не виноват, и вы только зря накажете лояльного сотрудника…
А вот если токены внедрены, то в ответ на «меня взломали», СБ тут же попросит показать токен. Если токен у сотрудника, то никакого взлома быть не могло. Если токена нет, то сразу вопрос — почему раньше не заявил об утере. А значит виноват.
Так что при внедрении систем контроля от слива информации, использование двухфакторной аутентификации обязательно вдвойне!
Вот представьте, что вы внедрили супер-систему DLP или контроля сотрудников. И увидели как сотрудник слил (сливает) базу клиентов.
СБ вызывает его к себе, а он сходу «ничего не делал, меня взломали». И доказать обратное вы не сможете. Может он и правда ни в чем не виноват, и вы только зря накажете лояльного сотрудника…
А вот если токены внедрены, то в ответ на «меня взломали», СБ тут же попросит показать токен. Если токен у сотрудника, то никакого взлома быть не могло. Если токена нет, то сразу вопрос — почему раньше не заявил об утере. А значит виноват.
Так что при внедрении систем контроля от слива информации, использование двухфакторной аутентификации обязательно вдвойне!
В итоге контроля, как часто бывает, нет (особенно с учётом того что реально важную информацию иногда в голове вынести могут), а проблемы у всех пользователей, начиная с забыл карту / поопуск заканчивая тем что к ПО для смарткарт доверия не больше чем к файлу с торрента а его ещё и на личный комп воткнуть надо и только под win/mac для удалёнки :(
Знаете, носить ключи от квартиры тоже не особо удобно. Но я что-то не слышал, чтобы дверь под этим предлогом оставляли не запертой.
ПО для смарткарт проходит процедуру сертификации ФСТЭК и ФСБ. И втыкают его обычно не на личный комп, а на рабочий, принадлежащий работодателю.
ПО для смарткарт проходит процедуру сертификации ФСТЭК и ФСБ. И втыкают его обычно не на личный комп, а на рабочий, принадлежащий работодателю.
Увы мир не такой идеальный, так всё ПО под линукс серттфицированно, под какую систему? К сожалению в реальном мире бывает так, что у нас тут снйчас win7 и macOS, а то, что будет дальше, как повезёт.., в итоге появляется система удалённого доступа (да не с пк компании, а именно с личного) и в ней всё хорошо, кроме того что ПО доступно только для двух версиях ОС не говоря о том что т.к. внедрение было давно, а ПО не обновлялось а клиеньские модули свободно не распостраняются.
p.s. именно поэтому добавил ниже про токены, это самое простое решение, похожее имено на ключ от квартиры.
p.s. оптимально из опыта — токен — генератор пинкодов (автономный,), самое страшное — держать таблетку при включении/перезагрузке.
Ситуация. Зашёл с токеном, а потом в фоне троян «слил» базу. Какие будут «доказательства» у СБ? Токены усложняют компрометацию первичной аутентификации. Т.е. вход в контур.
Что там потом делается управляется другими средствами. И регламентируется отдельно.
Что там потом делается управляется другими средствами. И регламентируется отдельно.
А почему в голосовании нету вариантов?
— не нужна, потому что маленькая команда
— нужна, команда большая.
Я Работал как в маленькой, так и в большой компании и считаю что необходимость 2FA зависит от большего количества факторов чем описано в статье. В первую очередь от кол-ва сотрудников. К тому же в большинстве случаев в маленьких компаниях VPN работает на основа сертификатов., те привязан к тому компьютеру куда сотрудник поставил ключ и это можно считать как 2FA. Если у компании нету авторизации из Интернета — нету необходимости и в 2FA.
— не нужна, потому что маленькая команда
— нужна, команда большая.
Я Работал как в маленькой, так и в большой компании и считаю что необходимость 2FA зависит от большего количества факторов чем описано в статье. В первую очередь от кол-ва сотрудников. К тому же в большинстве случаев в маленьких компаниях VPN работает на основа сертификатов., те привязан к тому компьютеру куда сотрудник поставил ключ и это можно считать как 2FA. Если у компании нету авторизации из Интернета — нету необходимости и в 2FA.
В маленьких компаниях нет необходимости в 2FA даже в случае работы из офиса, если все компьютеры всегда на виду. Но если есть хоть малейшая возможность, что все разом уйдут на обед, а один придет пораньше и сольет информацию с чужого компьютера — но надо использовать токены.
Что же касается хранение сертификатов на машинах с клиентом VPN, то тут множество вопросов к защищенности такого хранения. Токен — хранилище защишенное, компьютер — нет.
Что же касается хранение сертификатов на машинах с клиентом VPN, то тут множество вопросов к защищенности такого хранения. Токен — хранилище защишенное, компьютер — нет.
Маленькая команда — это не критерий, на мой взгляд. Мне представляется, что главным критерием нужно считать цену инцидента, связанного с угоном учетной записи. В маленьких командах тоже могут работать с очень чувствительными данными, а цена инцидента — потеря бизнеса.
А большая команда в то же время может заниматься полной фигнёй.
Так что не размер имеет значение.
А большая команда в то же время может заниматься полной фигнёй.
Так что не размер имеет значение.
маленьких компаниях нет необходимости в 2FA в принципе.
Парольной защиты я считаю там достаточно, если компания не Банковского типа (работал с маленькой кред организацией).
Токен в маленьких компаниях рентабелен только для совершения банковских операций, поэтому он есть обычно только у буха и директора. Остальным сотрудникам не имеет смысла заводить токены.
Зачем офис менеджеру токен, логисту, продавцу?
Парольной защиты я считаю там достаточно, если компания не Банковского типа (работал с маленькой кред организацией).
Токен в маленьких компаниях рентабелен только для совершения банковских операций, поэтому он есть обычно только у буха и директора. Остальным сотрудникам не имеет смысла заводить токены.
Зачем офис менеджеру токен, логисту, продавцу?
Токен в маленьких компаниях рентабелен только для совершения банковских операций, поэтому он есть обычно только у буха и директора. Остальным сотрудникам не имеет смысла заводить токены.
Вы путаете квалифицированную электронную подпись (именно ключи ЭП и хранятся на токене директора и главбуха) и двухфакторную аутентификацию.
Необходимость в квалифицированной ЭП действительно есть у небольшого количества сотрудников, а вот 2FA должна быть в каждой организации, где пароль можно украсть.
Про маленькие команды я написал выше.
Я бы посмотрел чуть дальше. Злоумышленник вполне может угнать слабо защищенную учетку менеджера и затем поднять полномочия при помощи эксплойтов. Это как бы один аргумент.
Второй аргумент — ответственность за действия, выполняемые в системе. Бывают такие «дружные» коллективы, где спят и видят, как бы подставить коллегу.
Ну можно еще аргументов подогнать
Я бы посмотрел чуть дальше. Злоумышленник вполне может угнать слабо защищенную учетку менеджера и затем поднять полномочия при помощи эксплойтов. Это как бы один аргумент.
Второй аргумент — ответственность за действия, выполняемые в системе. Бывают такие «дружные» коллективы, где спят и видят, как бы подставить коллегу.
Ну можно еще аргументов подогнать
Для предотвращения утечки паролей мы использвали токены, пару раз, как тест. Т.е токен использовался вместо пароля.
Что касается вашего мнения что 2FA нужна визде — тут я с вами все равно не согласен.
В мелких организация она не нужна. Слишком мал выхлоп. Все сотрудники все равно проходят через охрану. Если ваши директора нанимают сотрдников-варюг — это человеческий фактор. Если он варюга он и токен вместе с паролем стянет.
Да и даже если человек пойдет на обед — сотрудники не вытаскивают токен из машины. Такие сотрудники и пароль спокойно сольют.
Я так бухгалтера тролил из-за банковского токена (ЭЦП внутри токена — все равно токен), она токен не вытаскивает из ПК
Те же кто вытаскивает токен — у них пароль не украдешь, они внимательные.
Вы лучше своих сотрудников учите береч аккаунт, и вседа быть на стороже, а не суйте им 2FA.
Что касается вашего мнения что 2FA нужна визде — тут я с вами все равно не согласен.
В мелких организация она не нужна. Слишком мал выхлоп. Все сотрудники все равно проходят через охрану. Если ваши директора нанимают сотрдников-варюг — это человеческий фактор. Если он варюга он и токен вместе с паролем стянет.
Да и даже если человек пойдет на обед — сотрудники не вытаскивают токен из машины. Такие сотрудники и пароль спокойно сольют.
Я так бухгалтера тролил из-за банковского токена (ЭЦП внутри токена — все равно токен), она токен не вытаскивает из ПК
Те же кто вытаскивает токен — у них пароль не украдешь, они внимательные.
Вы лучше своих сотрудников учите береч аккаунт, и вседа быть на стороже, а не суйте им 2FA.
Да и даже если человек пойдет на обед — сотрудники не вытаскивают токен из машины
Если использовать смарт-карту для 2FA еще и как электронный пропуск для СКУД, то выйти из офиса, оставив карту подключенную к ПК, уже будет невозможно
«если компания не Банковского типа (работал с маленькой кред организацией).» про это я писал выше.
«пропуск для СКУД,» ооо, фантазии. Я в большой компании то не видел такого.
но все равно, главное — ответсвенные сотрудники. Если сотрудник-варюга — у него и СКУД, и 2FA и пароль официально уже есть.
«пропуск для СКУД,» ооо, фантазии. Я в большой компании то не видел такого.
но все равно, главное — ответсвенные сотрудники. Если сотрудник-варюга — у него и СКУД, и 2FA и пароль официально уже есть.
«пропуск для СКУД,» ооо, фантазии. Я в большой компании то не видел такого
Примеров, кстати, очень много.
В чем, собственно, сложность? Есть смарт-карта, в ней одновременно и чип и RFID. С точки зрения RFID она ничем не отличается от обычных карт-пропусков для СКУД и настраивается точно так же. То есть для СБ все равно какие карты закупать и настраивать.
Sign up to leave a comment.
Герои двухфакторной аутентификации, или как «походить в чужих ботинках»