Сценарии двухфакторной аутентификации. Какой выбрать?

За последние пару месяцев двухфакторная аутентификация перестала быть неким опциональным решением и перешла в разряд «must have» для любой компании. Причем кто-то столкнулся с задачей внедрения 2FA впервые, а кому-то понадобилось экстренно масштабировать систему, и она не выдержала. Согласитесь, действовать и в том, и другом случае проще, когда у вас есть примеры успешно реализованных проектов.

Поэтому мы подготовили для вас подборку удачных, на наш взгляд, примеров, которые наглядно иллюстрируют, что выбор сценария аутентификации зависит от ваших бизнес-задач.

1. На производстве 

Предпосылки

В исходных условиях процесс доступа в систему занимал достаточно много времени. Для смены пользователя «на лету» приходилось ждать, пока первый сотрудник выйдет из своей сессии, а второй сможет зайти. При этом зачастую производственный персонал вводил учетные данные прямо в перчатках, что было крайне неудобно.

Сотрудники нередко забывали свои прикладные учётные данные, т. к. они отличались от системных. Это создавало повышенную нагрузку на службу поддержки. Случалось, что привилегированные пользователи обменивались своими паролями для несанкционированного замещения друг друга, что создавало дополнительные риски утечки данных.

Задачи:

• Сделать доступ в систему и рабочие приложения более быстрым и удобным, желательно с использованием текущих карт доступа сотрудников;
• Снизить нагрузку на службу поддержки из-за инцидентов с забытыми паролями;
• Технически исключить несанкционированное замещение друг друга со стороны привилегированных пользователей;
• Обеспечить работоспособность системы без дополнительных вложений.

Решение

Все ПК переведены в режим общих рабочих станций («Киоск») и организован вход на них, и далее в рабочие приложения, по текущим картам доступа HID Prox, без ввода каких-либо учётных данных с клавиатуры. Для смены пользователя достаточно убрать со считывателя карту одного сотрудника и приложить карту другого. При этом выполняется простое переключение пользователей в дежурной сессии, без выхода и входа в неё, и, соответственно, практически без задержки.

Для привилегированных пользователей вход на рабочие станции, и далее в приложения, выполняется по картам HID Prox и по лицу. Теперь для авторизации в системе требуется личное присутствие сотрудника, при этом, воспользоваться фотографией коллеги тоже не получится. Таким образом, обмен учетными данными и несанкционированное замещение друг друга технически исключены.

В случае модернизации СКУД и перехода на более современный и защищённый формат карт доступа (например, HID iClass), потребуется только дополнительная настройка конфигурации системы, без необходимости замены считывателей и приобретения дополнительных лицензий.

2. Для IT-компании

Дано: небольшая IT-компания, около сотни доменных рабочих станций – офисных ПК и служебных ноутбуков для дистанционной работы. Вход в систему производится по системным логину и паролю. Дистанционный доступ предоставляется через подключение ноутбуков к корпоративной сети посредством VPN.

Предпосылки

В компании было выявлено несколько инцидентов кражи паролей в офисе. Кроме того, высокие риски компрометации системных паролей при удаленном формате работы, в поездках. Строгая корпоративная политика в отношении паролей спровоцировала сотрудников записывать свои пароли на бумаге, а также увеличила количество обращений в службу поддержки по поводу забытых паролей.

Задачи:

• Организовать безопасный и удобный доступ сотрудников к ПК как в офисе, так и вне его;
• Снизить число обращений в службу поддержки по поводу забытых паролей.

Решение

Выбран гибридный сценарий аутентификации сотрудников с учётом специфики режима работы. В офисе на все рабочие места установлены настольные биометрические считыватели, для входа достаточно приложить палец к считывателю. Удаленный доступ организован на базе генерации одноразовых паролей в специальном мобильном приложении. При этом использование личного смартфона гарантирует присутствие самого пользователя за ноутбуком и не требует покупки дополнительного оборудования.

В результате снижен риск несанкционированного доступа к конфиденциальным данным за счёт исключения кражи системных паролей, которые теперь не требуется вводить для входа в систему, а также уменьшена нагрузка на службу поддержки из-за забытых паролей.

При обновлении парка служебных ноутбуков рекомендовано приобретать модели со встроенными биометрическими считывателями. Это позволит и при удаленном доступе входить по отпечатку пальца, что является более надежным и удобным методом аутентификации. Для этого потребуется только дополнительная настройка конфигурации системы, без приобретения дополнительных лицензий.

3. В банке

Дано: крупный банк, с доменной архитектурой для сотрудников внутри организации, запланирован перевод большей части персонала на дистанционный режим работы из дома. Доступ к конфиденциальной информации и корпоративным ресурсам планируется реализовать через защищённое VPN-соединение с домашних ПК и ноутбуков сотрудников.

Предпосылки

При работе сотрудников из дома высоки риски компрометации системных паролей при их вводе для активации VPN-соединения. При этом приобретение дополнительного пользовательского оборудования или добавление какого-либо клиентского ПО (кроме корпоративного VPN-клиента) для защиты дистанционного доступа не рассматриваются по причине неудобства разворачивания и высоких затрат.

Задачи:

• Исключить ввод системного пароля и обеспечить высокий уровень защиты и удобства дистанционного доступа, без приобретения и установки дополнительного ПО и оборудования;
• Обеспечить дополнительную защиту при условно-рискованных обстоятельствах доступа (нерабочее время, смена пользователя, перезагрузка системы, изменение сетевого адреса ПК и др.);
• Предусмотреть альтернативный метод активации VPN-соединения при отсутствии доступа к дополнительным средствам аутентификации.

Решение:

Удаленный доступ на рабочие станции реализован с помощью Push-подтверждений или одноразовых паролей. При активации защищенного VPN-соединения с домашнего ПК или ноутбука, пользователю на личный смартфон приходит Push-уведомление с запросом на подтверждение или отклонение доступа с помощью простого свайпа, который невозможно сэмулировать посредством шпионского ПО.

При отсутствии интернета на смартфоне пользователя и, соответственно, невозможности принять Push-уведомление, для активации VPN-соединения может быть использован одноразовый пароль, сгенерированный в том же мобильном приложении в режиме оффлайн.

Система настроена на автоматическое определение условно-рискованных параметров доступа, таких как вход в нерабочие часы и выходные, смена пользователя или перезагрузка системы на ПК с момента последнего входа с него, отсутствие сетевого адреса ПК в белом списке. В этих случаях для подтверждения личности сотрудника у него будет дополнительно запрошен известный только ему PIN-код в качестве второго фактора аутентификации.

При отсутствии доступа ко смартфону, в качестве альтернативного метода аутентификации предусмотрен вариант использования ответов на контрольные вопросы, которые известны только самому пользователю и были зарегистрированы заранее.

В заключение

Надо сказать, что во всех приведённых сценариях заказчикам требовалось исключительно On-Premise решение, без необходимости какого-либо доступа в Интернет со стороны компонентов системы. Частичное исключение допущено только в третьем примере, где для поддержки Push-уведомлений согласован доступ к Push-сервисам Apple и Google. Даже в этом случае, передача каких-либо конфиденциальных данных полностью исключена.

Каждый из предложенных сценариев можно реализовать на платформе HID DigitalPersona. Хотите узнать подробнее о решении? 
Смотрите видео с вебинара или оставляйте заявку на проведение демонстрации.

Запросить демонстрацию