И вновь о спорахна профессиональную тему. В этот раз предлагаю обсудить тему использования средств 2х-факторной аутентификации в корпоративной среде.
Сколько уже писалось о недостатках комбинации логин/пароль как механизма аутентификации, но пароли по-прежнему повсюду и похоже что в ближайшей перспективе своих позиций не потеряют. А вот 2х-факторная аутентификация так и не находит широкого применения. Давайте рассмотрим возможные аргументы.
Аргументы "за":
- Более надежная аутентификация, позволяющая в т.ч. бороться с атаками MitM, подбором паролей и проч.;
- Возможность обеспечить неотказуемость пользователя от выполненных им действий (ну или по крайней мере повысить вероятность того, что совершенное действие действительно было выполнено пользователем, предъявившим идентификатор);
- Пользователям не нужно заморачиваться с запоминанием паролей, их регулярной сменой и другими смежными вопросами;
- Более простой способ обеспечить соответствие различным законодательным и отраслевым требованиям (PCI DSS, СТО БР, 152-ФЗ и др.)
Аргументы "против":
- Более дорогостоящее решение;
- Токены, карточки и тому подобные средства 2х-факторной аутентификации могут быть утеряны, оставлены дома (или в других местах) или повреждены, что сделает невозможным работу пользователя (до получения нового идентификатора);
- Не все приложения поддерживают 2х-факторную аутентификацию, а значит полный отказ от паролей подчас невозможен, стоит ли тогда заморачиваться ?
Думаю что многие смогут добавить к этому списку еще ряд своих. Что скажете, коллеги ? Стоит ли по вашему мнению игра свеч ? На мой взгляд все другие аргументы кроме финансового вполне устранимы и не должны быть препятствием к внедрению 2х-факторной аутентфикации.
