Токен сам имеет сертификат ФСБ и ФСТЭК.
Что касается операционных систем, то для 2FA обычно используются модули, входящие в состав самой ОС, а значит сертифицированные в составе ОС,
На самом деле доступ упрощается!
Вставить токен и ввести простой PIN-код на мой взгляд гораздо проще, чем вводить сложный пароль.
И потом — ключи тоже усложняют доступ домой, но открытыми мы двери почему-то не оставляем…
В маленьких компаниях нет необходимости в 2FA даже в случае работы из офиса, если все компьютеры всегда на виду. Но если есть хоть малейшая возможность, что все разом уйдут на обед, а один придет пораньше и сольет информацию с чужого компьютера — но надо использовать токены.
Что же касается хранение сертификатов на машинах с клиентом VPN, то тут множество вопросов к защищенности такого хранения. Токен — хранилище защишенное, компьютер — нет.
Ну таинственную «Главную Установку» включает не главный технолог (скорее уж, главный инженер). Более того, если мы говорим про НПЗ, то там большинство производств — непрерывные.
Но если не придираться к словам, то в случае забывания токена дома, сотрудник может либо обратиться с сисадмину и тот выдаст новый, либо возьмет новый чистый токен и через консоль самообслуживания выпишет себе новый сертификат.
В обоих случаях временные затраты — минут 20. Если сотрудник забудет пропуск (равная вероятность с забыванием токена), то временный он будет получать дольше.
При этом для больших компаний в том числе из-за подобных ситуаций стоит внедрить систему управления сертификатами и токенами (типа Рутокен KeyBox)/
Отсутствие троянов должно гарантировать антивирусное ПО.
Нет единого суперсредства, которое полностью защищает организацию в плане ИБ. Есть блоки, каждый из которых обязателен и отвечает за свою область.
Знаете, носить ключи от квартиры тоже не особо удобно. Но я что-то не слышал, чтобы дверь под этим предлогом оставляли не запертой.
ПО для смарткарт проходит процедуру сертификации ФСТЭК и ФСБ. И втыкают его обычно не на личный комп, а на рабочий, принадлежащий работодателю.
Кстати, очень хороший вопрос.
Вот представьте, что вы внедрили супер-систему DLP или контроля сотрудников. И увидели как сотрудник слил (сливает) базу клиентов.
СБ вызывает его к себе, а он сходу «ничего не делал, меня взломали». И доказать обратное вы не сможете. Может он и правда ни в чем не виноват, и вы только зря накажете лояльного сотрудника…
А вот если токены внедрены, то в ответ на «меня взломали», СБ тут же попросит показать токен. Если токен у сотрудника, то никакого взлома быть не могло. Если токена нет, то сразу вопрос — почему раньше не заявил об утере. А значит виноват.
Так что при внедрении систем контроля от слива информации, использование двухфакторной аутентификации обязательно вдвойне!
Большое спасибо за комментарий!
Правильно ли я понимаю, что поскольку временные затраты на внедрение 2FA со смарт-картами/токенами и на внедрение Windows Hello for Business примерно равны, то бизнес просто не хочет закупать токены?
Вариаций действительно очень много, например фактор обладания может реализовываться с помощью различных аппаратных устройств (USB-токен, OTP-токен, смартфон и пр.). Также могут быть совершенно различные комбинации трех факторов.
Но в блоке «Как работает двухактная аутентификация» мы как раз и описали, что рассматриваем вариант комбинации использования USB-токена / смарт-карты (владение) и PIN-кода от нее (знание).
Оффтопик: в Калифорнии любые устройства на лобовухе запрещены, стекло ничего не должно закрывать. Поэтому даже в прежние времена там навигаторы крепились на уровне магнитолы.
Да уж, 2GB — это очень стремно…
Дело в том, что производители таких девайсов часто не понимают, что срок их жизни обычно намного дольше обычных смартфонов и планшетов.
В 2014 году купил себе Subaru Forester, там в подарок шло головное устройство на Android (еще 4.4). 4 года прошло, машину менять не вижу смысла, «голову» поменял, если бы это было так просто, но увы это не так.
А программы за 4 года стали куда как требовательней к ресурсам. Вот уже и оперативка забита, да и встроенный гигабайт (всего один!) памяти. А с флэшки 4.4 далеко не все приложения умеет запускать.
Так что Яндексу бы тоже делать устройства «про запас» или предусмотреть возможность апгрейда памяти + процессора.
А почему это «ошибка» инженеров?
У меня есть версия, что перед ними поставили задачу, чтобы люди чаще меняли старые компы. Маки прошлых поколений были слишком надежны (мой Air работает с 2012 года и менять его нет смысла), компания недополучала прибыль.
А теперь ноуты будут ломаться после завершения гарантийного срока. Люди будут либо покупать запчасти, новые новые Маки.
Сработает ли это? Если люди привержены марке, то да.
Что касается операционных систем, то для 2FA обычно используются модули, входящие в состав самой ОС, а значит сертифицированные в составе ОС,
Вставить токен и ввести простой PIN-код на мой взгляд гораздо проще, чем вводить сложный пароль.
И потом — ключи тоже усложняют доступ домой, но открытыми мы двери почему-то не оставляем…
Что же касается хранение сертификатов на машинах с клиентом VPN, то тут множество вопросов к защищенности такого хранения. Токен — хранилище защишенное, компьютер — нет.
Но если не придираться к словам, то в случае забывания токена дома, сотрудник может либо обратиться с сисадмину и тот выдаст новый, либо возьмет новый чистый токен и через консоль самообслуживания выпишет себе новый сертификат.
В обоих случаях временные затраты — минут 20. Если сотрудник забудет пропуск (равная вероятность с забыванием токена), то временный он будет получать дольше.
При этом для больших компаний в том числе из-за подобных ситуаций стоит внедрить систему управления сертификатами и токенами (типа Рутокен KeyBox)/
Нет единого суперсредства, которое полностью защищает организацию в плане ИБ. Есть блоки, каждый из которых обязателен и отвечает за свою область.
ПО для смарткарт проходит процедуру сертификации ФСТЭК и ФСБ. И втыкают его обычно не на личный комп, а на рабочий, принадлежащий работодателю.
Вот представьте, что вы внедрили супер-систему DLP или контроля сотрудников. И увидели как сотрудник слил (сливает) базу клиентов.
СБ вызывает его к себе, а он сходу «ничего не делал, меня взломали». И доказать обратное вы не сможете. Может он и правда ни в чем не виноват, и вы только зря накажете лояльного сотрудника…
А вот если токены внедрены, то в ответ на «меня взломали», СБ тут же попросит показать токен. Если токен у сотрудника, то никакого взлома быть не могло. Если токена нет, то сразу вопрос — почему раньше не заявил об утере. А значит виноват.
Так что при внедрении систем контроля от слива информации, использование двухфакторной аутентификации обязательно вдвойне!
Правильно ли я понимаю, что поскольку временные затраты на внедрение 2FA со смарт-картами/токенами и на внедрение Windows Hello for Business примерно равны, то бизнес просто не хочет закупать токены?
Но в блоке «Как работает двухактная аутентификация» мы как раз и описали, что рассматриваем вариант комбинации использования USB-токена / смарт-карты (владение) и PIN-кода от нее (знание).
Дело в том, что производители таких девайсов часто не понимают, что срок их жизни обычно намного дольше обычных смартфонов и планшетов.
В 2014 году купил себе Subaru Forester, там в подарок шло головное устройство на Android (еще 4.4). 4 года прошло, машину менять не вижу смысла, «голову» поменял, если бы это было так просто, но увы это не так.
А программы за 4 года стали куда как требовательней к ресурсам. Вот уже и оперативка забита, да и встроенный гигабайт (всего один!) памяти. А с флэшки 4.4 далеко не все приложения умеет запускать.
Так что Яндексу бы тоже делать устройства «про запас» или предусмотреть возможность апгрейда памяти + процессора.
У меня есть версия, что перед ними поставили задачу, чтобы люди чаще меняли старые компы. Маки прошлых поколений были слишком надежны (мой Air работает с 2012 года и менять его нет смысла), компания недополучала прибыль.
А теперь ноуты будут ломаться после завершения гарантийного срока. Люди будут либо покупать запчасти, новые новые Маки.
Сработает ли это? Если люди привержены марке, то да.