19 Сентября, 2012

Столкновение взглядов: 2х факторная аутентификация

Александр Бондаренко
И вновь о спорах на профессиональную тему. В этот раз предлагаю обсудить тему использования средств 2х-факторной аутентификации в корпоративной среде.

Сколько уже писалось о недостатках комбинации логин/пароль как механизма аутентификации, но пароли по-прежнему повсюду и похоже что в ближайшей перспективе своих позиций не потеряют.  А вот 2х-факторная аутентификация так и не находит широкого применения. Давайте рассмотрим возможные аргументы.   

Аргументы "за":
  • Более надежная аутентификация, позволяющая в т.ч. бороться с атаками MitM, подбором паролей и проч.;
  • Возможность обеспечить неотказуемость пользователя от выполненных им действий (ну или по крайней мере повысить вероятность того, что совершенное действие действительно было выполнено пользователем, предъявившим идентификатор);
  • Пользователям не нужно заморачиваться с запоминанием паролей, их регулярной сменой и другими смежными вопросами;
  • Более простой способ обеспечить соответствие различным законодательным и отраслевым требованиям (PCI DSS, СТО БР, 152-ФЗ и др.) 

Аргументы "против":
  • Более дорогостоящее решение;
  • Токены, карточки и тому подобные средства 2х-факторной аутентификации могут быть утеряны, оставлены дома (или в других местах) или повреждены, что сделает невозможным работу пользователя (до получения нового идентификатора);
  • Не все приложения поддерживают 2х-факторную аутентификацию, а значит полный отказ от паролей подчас невозможен, стоит ли тогда заморачиваться ?
Думаю что многие смогут добавить к этому списку еще ряд своих. Что скажете, коллеги ? Стоит ли по вашему мнению игра свеч ?  На мой взгляд все другие аргументы кроме финансового вполне устранимы и не должны быть препятствием к внедрению 2х-факторной аутентфикации.
или введите имя

CAPTCHA
19 Сентября, 2012
2 из 3 "противоаргументов" устраняются при использовании ESSO-систем (по поводу утери ключевого носителя и по поводу взаимодейсмтвия с приложениями) фактически ESSO - это система-прослойка между двухфакторной аутентификацией и различными приложениями с кучей дополнительного функционала. первоначальная авторизация пользователя производится двухфакторным методом именно в ESSO, и уже ESSO взаимодействует с прикладными системами, выбирая из своей базы соответствующие данному пользователю и конкретной системе учетные данные. обычно там-же в ESSO происходит и все управление ключевыми носителями, привязка учетных данных, генерация паролей, блокировка, назначение ролей и т.д. правда при этом уровень цен гораздо выше, чем при использовании просто двухфакторной аутентификации.
0 |
  • Поделиться
  • Ссылка
20 Сентября, 2012
Актуально !!!
Щас сам биюся над тем же вопросом выдаю всем временые акаунты так они вообще не регяться думают типа так всегда будет )))) а временые акаунты удаляються дабы не засорять сервер (((( сам голову щас ломаю что делать ключи что ли какие то придумывать
0 |
  • Поделиться
  • Ссылка