Инфоберег. Будущее аутентификации - сегодня
TRANSCRIPT
![Page 1: Инфоберег. Будущее аутентификации - сегодня](https://reader034.vdocuments.mx/reader034/viewer/2022050721/557f6771d8b42aab368b4810/html5/thumbnails/1.jpg)
Будущее аутентификации - сегодня
Евгений Царев
Глава представительства
Swivel Secure
![Page 3: Инфоберег. Будущее аутентификации - сегодня](https://reader034.vdocuments.mx/reader034/viewer/2022050721/557f6771d8b42aab368b4810/html5/thumbnails/3.jpg)
www.swivelsecure.com
Привычные способы аутентификации
• Высокая стоимость инфраструктуры и управления ей. Необходимость замены/обновления токенов)
• Неудобны для пользователей (их забывают, теряют и т.п.)
• Неприменимы для масштабных B2B и B2C приложений
• Сложные правила провоцируют частое использование одинаковых паролей в разных приложениях
• Необходимость наличия системы управления изменениями паролей
• Сложности управления при нерегулярном использовании или использовании третьей стороной
• Непрактичны для приложений более низкой критичности
Токены
• Пароли в социальных сетях и корпоративных приложениях часто идентичны
Пароли
![Page 4: Инфоберег. Будущее аутентификации - сегодня](https://reader034.vdocuments.mx/reader034/viewer/2022050721/557f6771d8b42aab368b4810/html5/thumbnails/4.jpg)
www.swivelsecure.com
Платформа аутентификации Swivel
• Представляет собой серверное решение (физические или виртуальное), позволяющее использовать различные способы аутентификации при доступе к различным системам и приложениям.
• Включает в себя более 50 вариантов аутентификации к сотням систем.
• В качестве каналов аутентификации используется: классический веб-браузер, SMS, мобильное приложение (для всех популярных платформ) и голосовой вызов.
• Имеется интеграция для VPN-систем, веб-приложений, облачных решений и рабочих станций.
![Page 5: Инфоберег. Будущее аутентификации - сегодня](https://reader034.vdocuments.mx/reader034/viewer/2022050721/557f6771d8b42aab368b4810/html5/thumbnails/5.jpg)
www.swivelsecure.com
Сертификация ФСТЭК
• Имеется решение ФСТЭК на сертификацию продукта
• Готовятся документы на сертификацию по ТУ и НДВ 4 в системе ФСТЭК
• Ориентировочная дата получения сертификатов: ноябрь 2013
![Page 7: Инфоберег. Будущее аутентификации - сегодня](https://reader034.vdocuments.mx/reader034/viewer/2022050721/557f6771d8b42aab368b4810/html5/thumbnails/7.jpg)
www.swivelsecure.com
SMS
• При попытке доступа к системе или приложению платформа генерирует SMS-сообщение, содержащее OTC (one time code), либо Security string, из которой вычисляется OTC по заранее известному пользователю PIN-коду.
• Сообщение отправляется заранее или по запросу• Сообщения могут настраиваться• Возможна работа с использованием или без PINsafe технологии• Система очень гибко настраивается. В частности возможна отправка нескольких строк в одном
SMS-сообщении (до 5 строк в сообщении)• Каждая строка имеет метку с номером• Веб-страница, на которой находится пользователь, содержит информацию какую строку
использовать
![Page 8: Инфоберег. Будущее аутентификации - сегодня](https://reader034.vdocuments.mx/reader034/viewer/2022050721/557f6771d8b42aab368b4810/html5/thumbnails/8.jpg)
www.swivelsecure.com
Мобильные приложения
• Получать Security string возможно с использованием мобильного приложения
• На основе Security string пользователь вычисляет OTC по известному только ему PIN
• Приложения разработаны под все популярные мобильные платформы и доступны для скачивания самим пользователем
• Приложение содержит до 99 Security string
• Пользователь может пополнить число строк в любое время
• PIN никогда не используется
• Нет SMS сообщений
• Номер мобильного телефона не запрашивается
![Page 9: Инфоберег. Будущее аутентификации - сегодня](https://reader034.vdocuments.mx/reader034/viewer/2022050721/557f6771d8b42aab368b4810/html5/thumbnails/9.jpg)
www.swivelsecure.com
Виды аутентификации
Помимо двухфакторной аутентификации Swivel развивает направление усиленной аутентификации
UNP1Пара логин\пароль. Данный вид аутентификации не отличается высоким уровнем безопасности. Не является достаточным для систем удаленного доступа и облачных сервисов.
Особый вид аутентификации от Swivel, основанный на использовании изображения. Повышает стойкость и безопасность процесса UNP, но без полноценной двухфакторной аутентификации
2FA3Двухфакторная аутентификация. Отличается высоким уровнем безопасности, используется для защиты высококритичных систем и сервисов.
![Page 10: Инфоберег. Будущее аутентификации - сегодня](https://reader034.vdocuments.mx/reader034/viewer/2022050721/557f6771d8b42aab368b4810/html5/thumbnails/10.jpg)
www.swivelsecure.com
Технология TURing• При входе в приложение Платформа выдает
10-тизначную Security string, которая отображается в браузере
• На основе своего PIN’а и Security string пользователь вычисляет код для аутентификации (OTC)
• Технология имеет защиту от атак перебора (bruteforce) и других автоматизированных атак
Технология PINpad• При входе в приложение Платформа выдает
10-тизначную Security string, которая отображается в браузере в виде сот
• Соты могут отображаться в любом дизайне• Пользователь вводит свой PIN с
использованием мыши • На сервер уходит сгенерированный OTC• Технология имеет защиту от атак перебора
(bruteforce) и других автоматизированных атак
Усиленная аутентификация
demouser
****
![Page 11: Инфоберег. Будущее аутентификации - сегодня](https://reader034.vdocuments.mx/reader034/viewer/2022050721/557f6771d8b42aab368b4810/html5/thumbnails/11.jpg)
www.swivelsecure.com
Применения Swivel: VPN
• SSL VPN
• IPSec
• RADIUS
• XML API
• AD Integration
• База знаний Swivel:https://kb.swivelsecure.com/wiki/index.php/Category:Integration
![Page 13: Инфоберег. Будущее аутентификации - сегодня](https://reader034.vdocuments.mx/reader034/viewer/2022050721/557f6771d8b42aab368b4810/html5/thumbnails/13.jpg)
www.swivelsecure.com
Применения Swivel: Веб-приложения
Web:• Swivel позволяет обеспечить защиту
любого сайта• Работает в любом браузере • Готовые решения для IIS и ISA• OWA
SharePoint:• SharePoint• Гибкое развертывание на SharePoint Applications• Создает ‘Claims Token’• SharePoint защищается посредством .NET http
фильтра
Domain\user name:
Password:
One-Time Code:
![Page 14: Инфоберег. Будущее аутентификации - сегодня](https://reader034.vdocuments.mx/reader034/viewer/2022050721/557f6771d8b42aab368b4810/html5/thumbnails/14.jpg)
www.swivelsecure.com
Применение Swivel: VDI и Desktop
• Terminal Service 2008
• Windows Desktop:• GINA• Credentials Provider
• VDI• Citrix• VM View 5.1
• Windows taskbar application
![Page 15: Инфоберег. Будущее аутентификации - сегодня](https://reader034.vdocuments.mx/reader034/viewer/2022050721/557f6771d8b42aab368b4810/html5/thumbnails/15.jpg)
www.swivelsecure.com
Применения Swivel: Облака
• SAML• Возможна усиленная и двухфакторная аутентификация
• Совместимо с ADFS• Одобрено Microsoft
• Microsoft Azure• Identity kept local
![Page 17: Инфоберег. Будущее аутентификации - сегодня](https://reader034.vdocuments.mx/reader034/viewer/2022050721/557f6771d8b42aab368b4810/html5/thumbnails/17.jpg)
www.swivelsecure.com
«Традиционная модель»• Используется для аутентификации при удаленном доступе
• Взаимодействие между сервером аутентификации и внутренними ресурсами
• Все взаимодействие в DMZ
• Все элементы подконтрольны компании
DMZВнутренние ресурсы
Интернет
![Page 18: Инфоберег. Будущее аутентификации - сегодня](https://reader034.vdocuments.mx/reader034/viewer/2022050721/557f6771d8b42aab368b4810/html5/thumbnails/18.jpg)
www.swivelsecure.com
«Федеративная модель»• Взаимодействие между облачным сервисом и Identity Provider (IdP)
• Взаимодействие через Интернет
• Аутентификация на стороне компании, подконтрольна компании, а сервис расположен на стороне облачного провайдера
DMZ
Интернет
ldP
![Page 19: Инфоберег. Будущее аутентификации - сегодня](https://reader034.vdocuments.mx/reader034/viewer/2022050721/557f6771d8b42aab368b4810/html5/thumbnails/19.jpg)
www.swivelsecure.com
«Гибридная модель»• Комбинация двух моделей
• Применяется сегодня
• Та самая «Единственная платформа аутентификации, которая нужна»
• Схема сегодня устраивает почти всех. Что дальше?
DMZВнутренние ресурсы
Интернет
ldP
![Page 20: Инфоберег. Будущее аутентификации - сегодня](https://reader034.vdocuments.mx/reader034/viewer/2022050721/557f6771d8b42aab368b4810/html5/thumbnails/20.jpg)
www.swivelsecure.com
Интерфейс общения с пользователем• У предприятий самые разные требования к этому элементу
• Главное требования – высокая гибкость настройки для администратора и пользователя
• Та самая «Единственная страница аутентификации, которая нужна»
DMZВнутренние ресурсы
Интернет
ldP
Портал аутентификации
![Page 21: Инфоберег. Будущее аутентификации - сегодня](https://reader034.vdocuments.mx/reader034/viewer/2022050721/557f6771d8b42aab368b4810/html5/thumbnails/21.jpg)
www.swivelsecure.com
Строится по «федеративной модели»• Решения SAML, ADFS, OpenID, Open Auth собираются в единый модуль (Портал
аутентификации)
• Все запросы на доступ проходят через Портал аутентификации
SAMLldP
ADFSSTS
OpenAuth
Интернет
Портал аутентификации пользователя
![Page 22: Инфоберег. Будущее аутентификации - сегодня](https://reader034.vdocuments.mx/reader034/viewer/2022050721/557f6771d8b42aab368b4810/html5/thumbnails/22.jpg)
www.swivelsecure.com
«Будущая» схема бестокенной аутентификации
DMZ
Интернет
Портал аутентификации
![Page 23: Инфоберег. Будущее аутентификации - сегодня](https://reader034.vdocuments.mx/reader034/viewer/2022050721/557f6771d8b42aab368b4810/html5/thumbnails/23.jpg)
Спасибо за внимание!