Задать вопрос
Ответы пользователя по тегу Идентификация пользователей
  • Программы-аутентификаторы?

    nmk2002
    @nmk2002
    работаю в ИБ
    Тут есть сравнение аутентификаторов от Google, Microsoft и есть Personal Mobile от компании Nexus:
    Ответ написан
    Комментировать
  • Какие есть OTP на основе текста?

    nmk2002
    @nmk2002
    работаю в ИБ
    Есть алгоритм OATH OCRA (RFC 6287). Принцип такой:
    пользователь видит в браузере запрос сервера, вводит его в генераторе OTP и на генераторе отображается одноразовый пароль. Этот пароль пользователь вводит в браузере. Правда это совсем не то, что вы описали. Тут сам пароль генерируется на стороне клиента. Но, то что вы хотите не может быть безопасным. Одноразовые коды, которые получает пользователь по каналам SMS/push для их дальнешего прямого использования в качестве паролей должны быть рандомно сгенерированы, и должны не зависеть от входных данных. В противном случае вся ваша безопасность будет держаться на незнании/сложности вашего алгоритма. Жизнь доказала уже неоднократно, что "security through obscurity" это плохая защита.
    Раз уж вы рассматриваете канал push для взаимодействия с клиентом, то посмотрете на методы аутентификации и электронной подписи использующие смартфон, как токен. Только не OTP-токен, а криптографический токен с ассиметричными ключами. Все намного проще, чем может показаться на первый взгляд. При необходимости подписать документ (для аутентификации аналогично), пользователю на смартфон приходит push сообщение, по тапу на него открываются подробности транзакции, которые пользователь принимает и подписывает уже привычным ему способом (PIN, отпечаток, FaceID).
    Могу ответить на вопросы по такому софту или, если хотите, продемонстрировать реализацию такой аутентификации/подписи.
    Ответ написан
  • А как вы реализовываете кроссдоменную авторизацию?

    nmk2002
    @nmk2002
    работаю в ИБ
    Вы практически описали протокол SAML. То, что вы называете сервером авторизации, в терминологии SAML является Identity Provider (IdP). Остальные сервисы - Service Providers (SP).
    При попытке войти на один из SP вас редиректит на IdP для проверки, аутентифицированы вы уже или нет. Если да, то тут же происходит обратный редирект на SP с подписанными данными о вашей аутентифицированной сессии. Если вы не были аутентифицированы, то IdP сначала проверит ваши учетные данные (логин-пароль, OTP или что еще вы настроете), а потом так же произведет перенаправление браузера на SP с подписанной информацией о пользователе и статусе его сессии.
    В протоколе SAML реализован single logout.
    Ответ написан
  • Как настроить аутентификацию в домене AD с использованием карт Em-Marine (Болид)?

    nmk2002
    @nmk2002
    работаю в ИБ
    Карта RFID может быть использована только для идентификации. Не стоит аутентифицировать пользователей только на основании предоставляемого ID.

    Мне не приходилось работать с RFID ридерами, которые эмулируют клавиатуру. Можете пояснить, что именно они делают: эмулируют печать на клавиатуре 5-ти байт+enter? Что может быть в этих 5-ти байтах?
    Теоретически, если я правильно понимаю работу ридеров, то вы можете:
    Задать пользователям пароль, равный тем самым 5-ти байтам на их картах и им останется только ввести/выбрать логин и приложить карту.
    Это нельзя назвать аутентификацией, а скорее обход аутентификации.
    Ответ написан
  • В каких задачах может быть необходима групповая авторизация?

    nmk2002
    @nmk2002
    работаю в ИБ
    С чем мне приходилось сталкиваться на своем опыте:
    • работа с HSM (Hardware Security Module). Для доступа к нему требуется несколько ответственных людей, обычно топов компании.
    • изменение настроек сервера аутентификации - Cryptomathic Authenticator.
    • изменение настроек промышленного PKI - neXus Certificate Manager. А так же отзыв сертификатов и другие действия.


    Понятно, что есть еще куча подобных систем, которые требуют авторизации действий с ними сразу нескольких пользователей.
    Ответ написан
    1 комментарий
  • Допустима ли авторизация только по номеру телефона?

    nmk2002
    @nmk2002
    работаю в ИБ
    Полностью согласен с АртемЪ, что зависит от контекста.

    Что касается Viber и прочих сервисов, то там номер телефона не проверяется после однократной отправки кода подтверждения. Поэтому работать будет с другой симкой, если вы не переустановите приложения или не почистите их данные.
    Ответ написан
  • Двойная аутентификация пользователя при подключении по RDP?

    nmk2002
    @nmk2002
    работаю в ИБ
    Можно использовать сервер Nexus Hybrid Access Gateway. Он предоставляет функционал промышленного сервера аутентификации с различными методами аутентификации (OTP, СМС, сертификаты и пр.). После аутентификации можно получить доступ к удаленному рабочему столу прямо в браузере.
    Вообще nexus HAG хорошо вписывается в концепцию BYOD. Так как любое устройство (смартфон, планшет, ноутбук, ПК) после аутентифкации получает доступ ко всем предоставленным ресурсам, в т.ч. RDP. И все работает через браузер.
    Ответ написан
  • Какие есть решения для реализации Single Signe-On (сквозная/единая аутентификация)?

    nmk2002
    @nmk2002
    работаю в ИБ
    Не сталкивался с таким решением SSO.
    Если все приложения поддерживают аутентифкацию по сертификату, то самый удобный способ - использовать токен или смарт-карту.
    SSO, с которыми мне удалось поработать собирают пароли от разных приложений и хранят их в Active Directory. Таким образом, пользователь может воспользоваться функционалом SSO с любого ПК в сети, войдя в свою учетную запись.
    Ответ написан
  • Какой лучший способ аутентификации для портала госуслуг?

    nmk2002
    @nmk2002
    работаю в ИБ
    В ИБ вообще нет лучших и худших вариантов. Есть разные критерии оценки и разный контекст.
    Удобнее всего наверное использовать логин(СНИЛС кажется) и пароль. Но с точки зрения безопасности это не очень хорошо.
    Наибольшую защиту от возможных атак на ваш аккаунт даст использование смарт-карты для аутентификации. Кажется, она называется УЭК.
    Что лучше для вас - решайте сами.
    Ответ написан
    Комментировать