Upload
-
View
5.319
Download
0
Embed Size (px)
Citation preview
Будущее аутентификации - сегодня
Евгений Царев
Глава представительства
Swivel Secure
www.swivelsecure.com
Привычные способы аутентификации
• Высокая стоимость инфраструктуры и управления ей. Необходимость замены/обновления токенов)
• Неудобны для пользователей (их забывают, теряют и т.п.)
• Неприменимы для масштабных B2B и B2C приложений
• Сложные правила провоцируют частое использование одинаковых паролей в разных приложениях
• Необходимость наличия системы управления изменениями паролей
• Сложности управления при нерегулярном использовании или использовании третьей стороной
• Непрактичны для приложений более низкой критичности
Токены
• Пароли в социальных сетях и корпоративных приложениях часто идентичны
Пароли
www.swivelsecure.com
Платформа аутентификации Swivel
• Представляет собой серверное решение (физические или виртуальное), позволяющее использовать различные способы аутентификации при доступе к различным системам и приложениям.
• Включает в себя более 50 вариантов аутентификации к сотням систем.
• В качестве каналов аутентификации используется: классический веб-браузер, SMS, мобильное приложение (для всех популярных платформ) и голосовой вызов.
• Имеется интеграция для VPN-систем, веб-приложений, облачных решений и рабочих станций.
www.swivelsecure.com
Сертификация ФСТЭК
• Имеется решение ФСТЭК на сертификацию продукта
• Готовятся документы на сертификацию по ТУ и НДВ 4 в системе ФСТЭК
• Ориентировочная дата получения сертификатов: ноябрь 2013
www.swivelsecure.com
SMS
• При попытке доступа к системе или приложению платформа генерирует SMS-сообщение, содержащее OTC (one time code), либо Security string, из которой вычисляется OTC по заранее известному пользователю PIN-коду.
• Сообщение отправляется заранее или по запросу• Сообщения могут настраиваться• Возможна работа с использованием или без PINsafe технологии• Система очень гибко настраивается. В частности возможна отправка нескольких строк в одном
SMS-сообщении (до 5 строк в сообщении)• Каждая строка имеет метку с номером• Веб-страница, на которой находится пользователь, содержит информацию какую строку
использовать
www.swivelsecure.com
Мобильные приложения
• Получать Security string возможно с использованием мобильного приложения
• На основе Security string пользователь вычисляет OTC по известному только ему PIN
• Приложения разработаны под все популярные мобильные платформы и доступны для скачивания самим пользователем
• Приложение содержит до 99 Security string
• Пользователь может пополнить число строк в любое время
• PIN никогда не используется
• Нет SMS сообщений
• Номер мобильного телефона не запрашивается
www.swivelsecure.com
Виды аутентификации
Помимо двухфакторной аутентификации Swivel развивает направление усиленной аутентификации
UNP1Пара логин\пароль. Данный вид аутентификации не отличается высоким уровнем безопасности. Не является достаточным для систем удаленного доступа и облачных сервисов.
Особый вид аутентификации от Swivel, основанный на использовании изображения. Повышает стойкость и безопасность процесса UNP, но без полноценной двухфакторной аутентификации
2FA3Двухфакторная аутентификация. Отличается высоким уровнем безопасности, используется для защиты высококритичных систем и сервисов.
www.swivelsecure.com
Технология TURing• При входе в приложение Платформа выдает
10-тизначную Security string, которая отображается в браузере
• На основе своего PIN’а и Security string пользователь вычисляет код для аутентификации (OTC)
• Технология имеет защиту от атак перебора (bruteforce) и других автоматизированных атак
Технология PINpad• При входе в приложение Платформа выдает
10-тизначную Security string, которая отображается в браузере в виде сот
• Соты могут отображаться в любом дизайне• Пользователь вводит свой PIN с
использованием мыши • На сервер уходит сгенерированный OTC• Технология имеет защиту от атак перебора
(bruteforce) и других автоматизированных атак
Усиленная аутентификация
demouser
****
www.swivelsecure.com
Применения Swivel: VPN
• SSL VPN
• IPSec
• RADIUS
• XML API
• AD Integration
• База знаний Swivel:https://kb.swivelsecure.com/wiki/index.php/Category:Integration
www.swivelsecure.com
Применения Swivel: Веб-приложения
Web:• Swivel позволяет обеспечить защиту
любого сайта• Работает в любом браузере • Готовые решения для IIS и ISA• OWA
SharePoint:• SharePoint• Гибкое развертывание на SharePoint Applications• Создает ‘Claims Token’• SharePoint защищается посредством .NET http
фильтра
Domain\user name:
Password:
One-Time Code:
www.swivelsecure.com
Применение Swivel: VDI и Desktop
• Terminal Service 2008
• Windows Desktop:• GINA• Credentials Provider
• VDI• Citrix• VM View 5.1
• Windows taskbar application
www.swivelsecure.com
Применения Swivel: Облака
• SAML• Возможна усиленная и двухфакторная аутентификация
• Совместимо с ADFS• Одобрено Microsoft
• Microsoft Azure• Identity kept local
www.swivelsecure.com
«Традиционная модель»• Используется для аутентификации при удаленном доступе
• Взаимодействие между сервером аутентификации и внутренними ресурсами
• Все взаимодействие в DMZ
• Все элементы подконтрольны компании
DMZВнутренние ресурсы
Интернет
www.swivelsecure.com
«Федеративная модель»• Взаимодействие между облачным сервисом и Identity Provider (IdP)
• Взаимодействие через Интернет
• Аутентификация на стороне компании, подконтрольна компании, а сервис расположен на стороне облачного провайдера
DMZ
Интернет
ldP
www.swivelsecure.com
«Гибридная модель»• Комбинация двух моделей
• Применяется сегодня
• Та самая «Единственная платформа аутентификации, которая нужна»
• Схема сегодня устраивает почти всех. Что дальше?
DMZВнутренние ресурсы
Интернет
ldP
www.swivelsecure.com
Интерфейс общения с пользователем• У предприятий самые разные требования к этому элементу
• Главное требования – высокая гибкость настройки для администратора и пользователя
• Та самая «Единственная страница аутентификации, которая нужна»
DMZВнутренние ресурсы
Интернет
ldP
Портал аутентификации
www.swivelsecure.com
Строится по «федеративной модели»• Решения SAML, ADFS, OpenID, Open Auth собираются в единый модуль (Портал
аутентификации)
• Все запросы на доступ проходят через Портал аутентификации
SAMLldP
ADFSSTS
OpenAuth
Интернет
Портал аутентификации пользователя
www.swivelsecure.com
«Будущая» схема бестокенной аутентификации
DMZ
Интернет
Портал аутентификации
Спасибо за внимание!