Идеальная система аутентификации создает максимум препятствий для злоумышленников и минимум — для легитимных пользователей. Но на практике приходится искать компромисс между надежностью и удобством, например, устанавливать требования к паролям по длине и сложности. Классические технологии единого входа (SSO), среди которых SAML, OIDC и Kerberos закрывают часть этих вопросов: упрощают доступ для сотрудников и централизуют аутентификацию в определенные системы, однако имеют собственные недостатки — в первую очередь, они связаны многообразием систем, используемых в реальных enterprise-инфраструктурах, длительностью сессии и других аспектах, о которых мы поговорим в статье. Меня зовут Дмитрий Грудинин, я владелец линейки продуктов Avanpost Access, и сегодня я на примере нашей технологии Avanpost Unified SSO расскажу, как решить эти проблемы.

Немного цифр

В этом году команда крупного американского телекома изучила более 22 тыс. утечек, произошедших в компаниях из 139 стран. Информацию о киберинцидентах собирали по внутренним и открытым источникам, а также от партнеров — например, судебных экспертов и брокеров, занимающихся киберстрахованием. Анализ показал, что при атаках на инфраструктуру злоумышленники чаще всего выбирали путь наименьшего сопротивления, и их главной целью становились учетные данные. Так, согласно отчету, 88% атак на веб-приложения осуществлялись с использованием украденных логинов и паролей. При этом значительная часть скомпрометированных комбинаций не отвечала даже минимальным требованиям к сложности [неудивительно, что количество успешных брутфорс-атак с перебором паролей выросло втрое по сравнению с прошлым годом].

За последние годы ассортимент решений по аппаратной аутентификации существенно расширился. На сегодня подавляющее большинство устройств пользователей поддерживают FIDO Passkeys, FIDO WebAuthn и много чего еще интересного, что позволяет по-новому взглянуть на привычную аппаратку. Несмотря на это, в корпоративном сегменте наблюдается рост популярности идеи использования СКУД-карточек для аутентификации одношаговой, двухшаговой и даже многофакторной. О причинах роста популярности СКУД мы можем только догадываться, но эта тенденция вызывает у нас опасения. 

Совершенно понятно, почему использование одной и той же карты для доступа сотрудников в помещение и для входа в ИС выглядит привлекательно с точки зрения пользователей и руководителей в организациях. У сотрудников уже есть карты, никому ничего не нужно выдавать дополнительно, не требуется создавать новую базу данных. Казалось бы, можно использовать уже внедренные решения для того, чтобы повысить защищенность доступа к информационным системам, а также обеспечить комфорт для самих сотрудников.

Однако на практике такой подход связан с массой нюансов, которые сводят на нет все меры безопасности и даже создают иллюзорное ощущение защиты, как при однофакторном входе через RFID, так и при использовании пропуска в качестве второго фактора аутентификации.

Привет, Хабр! На связи Дмитрий Грудинин. Современные корпоративные веб-приложения и облачные сервисы в обязательном порядке требуют безопасной аутентификации и авторизации пользователей.

Как правило, для этого используются протоколы: SAML 2.0 или OpenID Connect (OIDC) на базе OAuth. Оба решают схожие задачи, связанные с делегированием ответственности за верификацию  пользователя стороннему доверенному провайдеру. При этом оба протокола скрывают за собой обширный арсенал различных вариантов использования, к тому же OIDC постоянно расширяется. 

В данной статье мы рассмотрим сценарий использования протокола SAML так сказать «for dummies». Идея статьи – без излишеств рассказать о том, что на самом деле нужно знать в SAML. И не рассказывать о том, без чего можно прекрасно обойтись.

Привет, Хабр! На связи Дмитрий Грудинин, ваш гуру многофакторной аутентификации.  Почва для размышления на сегодня: легко ли уследить за правами доступа, когда в компании работают тысячи сотрудников, используется множество ролей, а количество систем насчитывает десятки, и даже сотни?.. 

Рынок решений по ИБ предлагает 100500 аббревиатур:  IDM, IAM, IAG, DAG, etc. Давайте вспомним (ну или запомним) самые распространенные из них:

PAM (Privileged Access Management):