Записи с меткой Двухфакторная авторизация

0

Защита от несанкционированного доступа к сети

Вам наверняка знакома такая ситуация: кто-то из сотрудников отправился в отпуск или командировку, и его дела нужно передать другому. Для передачи той части дел, которая связана с работой за компьютером, доверенному лицу чаще всего просто сообщают пароль временно отсутствующего коллеги.

Проблема в том, что, возвратившись на работу, сотрудник забывает сменить свой пароль.

Далее, в любой компании порой возникает потребность в организации удаленной работы. Причин может быть множество: командировки линейного персонала и руководства, болезни, внештатные ситуации и т.п. Решить эту проблему позволяет удаленный доступ, например с использованием технологии Microsoft Remote Desktop Services.

Для авторизации пользователя при входе на «удаленный рабочий стол» обычно используется тот же самый пароль, что и в офисе.

Смоделируем ситуацию. Руководитель на время отпуска передал свой пароль подчиненному, а по возвращении забыл его сменить. При этом у руководителя есть удаленный доступ (он – доверенное лицо компании). Подобное встречается в крупных компаниях сплошь и рядом.

Таким образом подчиненный получает доступ к документам своего начальника, и даже удаленный доступ. А если у подчиненного недостаточно прав, скажем для доступа в интернет, пароль руководителя становится его вторым паролем.

Через некоторое время подчиненный увольняется, его учетную запись блокируют (что на самом деле не так уж и важно: ведь у него нет удаленного доступа, а служба охраны не пустит его в помещение компании без пропуска). Но пароль начальника остается у уволенного сотрудника! И вот бывший сотрудник компании сидит в офисе конкурента с удаленным доступом к своему старому месту работы, да еще и с правами своего бывшего руководителя!

Согласитесь, риски утечки конфиденциальной информации велики? Ведь это гораздо опаснее, чем разовое хищение документов, поскольку все новые наработки компании в данном случае мгновенно становятся достоянием конкурентов.

К сожалению, административные методы не помогают решить проблему: все равно рано или поздно пароль понадобится передать, а врожденная человеческая лень довершит дело – пароль станет известен не только владельцу. Каков же выход?

Ответ прост: так называемая двухфакторная авторизация, или смарт-карты. Их аналогом являются токены – ключи USB со встроенной смарт-картой и блоком управления (который в первом случае находится в считывателе смарт-карт). Токены, помимо знания секрета (пароля), предполагают наличие у человека некоторого предмета (самого токена). Как знание пароля без токена, так и наличие токена без пароля – бесполезны. Вот что нам это дает.

  1. Потеря сотрудником токена не останется незамеченной службой безопасности, поскольку уже на следующий день он не сможет зайти в систему под своей учетной записью. Ему придется обратиться к администратору сети, который заблокирует старый токен и создаст для сотрудника новый.
  2. Несколько людей не смогут одновременно работать под одним именем: действующий токен – только один, и одновременно он может быть подключен только к одному компьютеру.
  3. Потеря токена, в отличие от потери пароля, не страшна, так как количество вводов пароля на токене ограничено (как правило не более 10 попыток), после чего он блокируется, а записывать пароль на бумаге не нужно (обычно это 4-значное число, которое легко запомнить). И даже при потере токена с приложенным листком с паролем риск минимален: сотрудник все равно в скором времени обратится к администратору (см. пункт 1).
  4. Упрощается процедура подключения: пользователю не требуется помнить написание своего логина и заучивать длинные пароли – достаточно простого пароля из 4-6 цифр. Информация о пользователе, которому принадлежит токен, записана на самом токене.
  5. Существуют модели токенов, совмещенные с магнитными картами доступа в помещение (устанавливаемыми на дверях), что позволяет иметь один небольшой брелок для доступа к любым данным компании. Вдобавок это вынудит сотрудников, покидающих свое рабочее место даже на короткое время, брать токены с собой, а извлечение токена приводит к блокировке компьютера. А это значит, что никто не сможет незаметно покопаться в документах сотрудника во время обеденного перерыва.
  6. На одном токене может храниться несколько сертификатов доступа, что, например, позволит дополнительно организовать шифрование электронной почты или разместить на токене сертификаты банк-клиентов.

Внедрение системы осуществляется, как правило, за один день. До тех пор пока все сотрудники не обзаведутся токенами, вы можете совмещать использование токенов и обычных паролей. Стоимость одного брелка начинается от 750 рублей (в зависимости от модели). Согласитесь, это совсем небольшие затраты, но они могут защитить компанию от крупных неприятностей.

www.prosperity-systems.ru