Подтвердите личность: как работает многофакторная аутентификация в MULTIFACTOR

Не так давно пароли и логины для входа в корпоративную систему писали на стикере и клеили рядом с компьютером, а удаленки и вовсе не было — по соображениям безопаности. Конечно, технологии не стоят на месте, но обычного пароля тоже недостаточно, каким бы сложным он ни был, поскольку все чаще происходят разные взломы и фишинговые атаки, которые приносят финансовые и репутационные потери.

Пожалуй, один из главных и наиболее доступных инструментов, который может спасти вашу компанию от утечек — двухфакторная аутентификация, например, MULTIFACTOR. Это российская система, разработанная компанией МУЛЬТИФАКТОР, для многофакторной аутентификации и контроля удаленных подключений (RDP, VPN, VDI, SSH и др.). MULTIFACTOR можно интегрировать всего за несколько часов. Система снижает риски несанкционированного доступа к вашим учетным записям или данным на 99%. В статье рассказываем, какие есть особенности у этой платформы и как она обеспечивает SSO, 2FA и отказоустойчивость.

Почему пароли нас подводят, а многофакторка — спасает

Большинство взломов и утечек происходят просто потому, что кто-то из сотрудников поставил, например, пароль Dima1990 — конечно, его легко подобрали. Или другой сценарий: у сотрудницы стоит одинаковый пароль на все случаи жизни, и неважно, для работы или для личных сервисов. Даже если вы просите коллег менять пароли раз в квартал, максимум, что они сделают — добавят + или еще несколько цифр.

Только представьте: хакеры получили доступ к данным компании через одного из сотрудников, у которого стоял пароль вроде qwerty1234, да еще и на всех его аккаунтах. Сначала хакеры взломали социальные сети, а потом подобрали пароль к корпоративному профилю и украли личные данные клиентов. Ущерб — миллионы рублей, штрафы и суды.

Защитить от этого может многофакторная аутентификация (MFA). Всего существует три типа факторов:

1. То, что известно — логин и пароль.
2. То, что есть — устройство (телефон, USB-токен).
3. То, чем является пользователь — биометрические данные (отпечаток пальца, лицо, сетчатка глаза).

Первый фактор наиболее уязвим, а биометрия же обеспечивает максимальную защиту (хотя были случаи, когда тот же TouchID или FaceID могли разблокировать другие люди).

Многофакторка же — подход, при котором для входа требуется не только пароль, но и второй фактор. Например, подтверждение через телефон, биометрию или токен. Факторы доставляются по разным каналам, так что даже если пароль украден, хакер не получит доступ.

Как устроен MULTIFACTOR

MULTIFACTOR работает как SaaS, вычислительные мощности находятся в трех дата-центрах в России — DataLine, Selectel и LinxCloud. Это инфраструктура с сертификацией PCI DSS Level 1 и ISO/IEC 27001:2005, резервированием 2N и каналами до 40 Гб/с. От DDoS защищает оборудование NGENIX, которое фильтрует вредоносный трафик. Уровень доступности — 99.99%: данные в реальном времени отображаются на статус-странице.

На стороне клиента нужны только три компонента: служба каталогов, например, российская MultiDirectory или Active Directory, RADIUS-адаптер и портал самообслуживания. RADIUS-адаптер принимает запросы по протоколу RADIUS (например, для Check Point VPN, RDP, Citrix), проверяет логин и пароль в AD или NPS, а второй фактор подтверждается через MULTIFACTOR Cloud. Требования минимальны: 4 ядра ЦП, 4 ГБ ОЗУ, Windows Server 2012+. Портал самообслуживания ещё легче: 1 ядро, 2 ГБ ОЗУ. Все компоненты — с открытым исходным кодом.

Интеграция занимает пару часов: установите агенты, настройте ресурсы по инструкциям из базы знаний, и система готова. Для защиты сайтов MULTIFACTOR генерирует JWT-токен, который проверяется после двухфакторной аутентификации. Консоль администратора позволяет добавлять ресурсы — серверы, сайты, межсетевые экраны — через интуитивный интерфейс, а ключи API для интеграции создаются автоматически.

Как MULTIFACTOR защищает ваши системы

MULTIFACTOR — полноценная система, которая делает вашу IT-инфраструктуру надежнее. Она защищает все: от VPN и серверов до облачных приложений и рабочих станций. Система работает по модели «нулевого доверия», где каждый доступ подтверждается с нуля, и предлагает технические возможности для любого бизнеса — от стартапа до корпорации.

Аутентификация

MULTIFACTOR поддерживает ключевые протоколы: RADIUS, LDAP, SAML и OpenID Connect/OAuth. Это значит, что она без проблем интегрируется с вашим LDAP-провайдером, межсетевые экраны вроде Check Point, Cisco или UserGate, облачные платформы (VMware vCloud, Huawei Cloud), VDI (Citrix, VMware Horizon), протоколы удаленного доступа (RPD) и приложения, такие как G Suite, Trello или Salesforce. Также можно по 2fa защитить доступ по SSH или Linux logon (GUI) и закрыть команду SUDO.

Администраторы могут настраивать политики доступа с большой точностью: разрешать вход только с офисных IP, по будням или с 9 до 18. Например, разработчики могут подключаться к серверам в рабочее время, а менеджеры — к CRM из локальной сети.

Для пользователей доступно шесть способов аутентификации, чтобы каждый выбирает удобный.

• Мобильное приложение Multifactor (iOS и Android). Сотрудник сканирует QR-код для регистрации, а потом подтверждает вход через push-уведомление одним касанием. 
• Бот @MultifactorBot в Telegram позволяет подтвердить вход через сообщение.
• Для более традиционных сценариев есть СМС/Звонки.
• OTP-токены (аппаратные и программные) через Rutoken, ЯКлюч и другие системы.
• U2F/FIDO-токены. 
• Биометрия (Face ID, отпечаток пальца).

Cистема очень конфиденциальна: она маскирует логины в уведомлениях, чтобы соответствовать законам о защите данных — это важно для компаний с сотрудниками за границей. Также есть возможность подменять логин любым другим атрибутом из LDAP-провайдера — это еще больше повышает безопасность, так как в облако MULTIFACTOR не передается фактический логин. А поддержка биометрии и токенов делает аутентификацию не только удобной, но и защищенной.

Единый вход и самообслуживание

MULTIFACTOR поддерживает единый вход (SSO), объединяя учетные записи под одним логином. Сотрудник входит один раз и получает доступ к почте, CRM, облачным сервисам без повторного ввода пароля. SSO работает с Active Directory и популярными облачными платформами — это соответствует многим стандартам, включая PCI DSS и требования импортозамещения. Плюс сокращает нагрузку на IT-отдел, который больше не тратит часы на восстановление паролей.

В MULTIFACTOR также есть Портал самообслуживания (SSP). В нем пользователи могут самостоятельно настроить второй фактор или поменять пароли после аутентификации. Администраторы управляют всем через личный кабинет: пользователи, группы, ресурсы, политики — всё в одном интуитивном интерфейсе. Например, можно настроить, чтобы доступ к серверам был только у определенной группы. Плюс SSP интегрируется с Active Directory, MultiDirectory — службой каталогов от компании МУЛЬТИФАКТОР — и другими системами.

Аудит, алерты и API для разработчиков

Каждая попытка входа — успешная или нет — фиксируется в журнале аудита, доступном в личном кабинете. Если кто-то пытается зайти с нового устройства, с подозрительного IP или слишком часто ошибается с паролем, система информирует об этом в ЛК, добавляя проблемной учетной записи плашку «Антиспам» . В журналы записывается все: IP, страна, результат аутентификации — так IT-отдел может быстро понять, что произошел инцидент.

Для компаний, которые хотят встроить MFA в свои продукты, MULTIFACTOR предлагает REST API. Через него можно регистрировать пользователей, создавать запросы на аутентификацию, генерировать ссылки для настройки второго фактора или управлять доступом. Например, разработчик SaaS-продукта может интегрировать MFA, чтобы клиенты подтверждали вход через брендированное приложение. Документация API подробная, а интеграция занимает пару часов.

Какие есть преимущества

MULTIFACTOR выделяется не только функционалом, но и подходом. Система поддерживает зарубежные (Windows, Linux) и отечественные ОС (ALT Linux, Astra Linux, РЕД ОС), включая модули вроде PAM для Linux, Winlogon, Keycloak и Outlook Web Access. У разработок открытый код, поэтому платформа прозрачная. Плюс система внесена в реестр российского ПО (№7046).

Более того, MULTIFACTOR покрывает 99% аппаратно-программных конфигураций, от межсетевых экранов до облачных приложений. SSO работает даже там, где его не было изначально, а inline enrollment упрощает подключение новых пользователей. По оценке разработчиков, стоимость владения в десятки раз ниже, чем у глобальных enterprise-решений, особенно с учётом затрат на внедрение и поддержку. А одно из главных преимуществ состоит в том, что MULTIFACTOR снижает риски несанкционированного доступа на 99%.

Итоги

MULTIFACTOR — полностью российское решение, которое поддерживает несколько методов аутентификации и интегрируется со многими системами. Плюс у пользователя есть возможность самостоятельно настроить удобный способ авторизации — через бота в Telegram, пуш или веб. У системы открытый код, мощные протоколы, гибкий API и надежная инфраструктура, поэтому за сохранность данных можно не переживать.

Реклама. Рекламодатель: ООО «МУЛЬТИФАКТОР», ИНН: 9725026066. erid: 2W5zFGdihZS