Способы единого входа в компьютер
Опубликовано: 09.10.2023
Способы единого входа в компьютер
Вход в персональный компьютер – занятие, которое затрагивает многих людей практически каждый день. Имя пользователя часто заполняется заранее, теперь все, что вам нужно сделать, это запомнить правильный пароль... Неправильный. Ой, CapsLock включен или язык клавиатуры изменен или NumLock не включен. Наверное, каждый из нас сталкивался с этим в какой-то момент, в самый неподходящий момент, когда необходимо быстро отправить электронное письмо, заполнить данные в соответствующем документе и т. д. И кроме того, согласно политике компании, нам приходится регулярно менять пароли, что приводит только к одному — максимально простой смене символов, которую допускает политика компании, чтобы мы по-прежнему хорошо запоминали пароль. Почему нам приходится так часто менять пароль и почему он должен быть таким длинным, содержать цифры, специальные символы и т. д.? Якобы охрана. Но является ли это настоящей безопасностью?
Мы осмеливаемся сказать «нет». И как показывает опыт, мы не одиноки. XXI век наступил, уже прошла половина второго десятилетия его существования. Существуют инструменты, которые позволят нам безопасно войти в систему, и нет необходимости в большом количестве сумасшедших и изнурительных нажатий на клавиатуру. Многофакторная аутентификация – вот в чем дело.
Если отбросить (не)удобство написания «безопасного» пароля, то пароль — это то, что мы ЗНАЕМ. Таким образом, мы можем его забыть или его может узнать кто-то другой (есть много успешных способов получить пароль от пользователя - будь то кейлоггеры или простая социальная инженерия). В обоих случаях это угроза безопасности, и поэтому руководство компании должно максимально устранить ее. Риск можно снизить, например, за счет развертывания ПО для так называемого Единый вход или единый вход пользователя. Речь идет не только об основном пароле для системы, но и для других приложений, которые мы используем (CRM, бухгалтерия, электронная почта компании...). Благодаря (Enterprise) SSO все пароли хранятся в зашифрованном виде в защищенной программе. Кроме того, он может полностью автоматически авторизовать нас в приложениях, будь то интранет или веб. E-SSO обычно устанавливается в качестве клиента на компьютере пользователя (в настоящее время также на смартфоне). Если нет возможности установить клиент (у многих пользователей нет, например, корпоративного компьютера), существуют также продукты, позволяющие получить доступ к веб-приложениям компании через защищенный шлюз (и опять же, достаточно только первоначального входа в систему). Этот принцип используется, например. также некоторые банки за их интернет-банкинг и последующий автоматический доступ к соответствующим службам клиентов. Пользователь получает доступ только через обычный веб-браузер. В сочетании с другими методами аутентификации это оптимальная система защиты данных доступа. Более высокий уровень безопасности возможен за счет добавления еще одного фактора, например. что-то у нас ЕСТЬ. Обычно это смарт-карта, USB-ключ, RFID-карта и т. д. Сразу же безопасность намного сильнее. Злоумышленнику необходимо добраться до этой штуки. Так что есть большая вероятность, что мы уже знаем об утрате и сообщили об этом. Таким образом, активированы механизмы безопасности (блокировка в справочной службе или у системного администратора), которые предотвратят доступ злоумышленника. Также популярен ввод одноразового пароля в качестве вторичной аутентификации. И то либо в виде СМС на заранее введенный номер телефона, электронную почту, либо менее известными способами, включающими сканирование зашифрованного QR-кода с помощью специального приложения на мобильном телефоне (метод QRentry). После сканирования вы получите код, который введете в соответствующую форму либо для входа на рабочую станцию, либо на сайт. Третий фактор аутентификации — это то, чем мы ЕСТЬ. Биометрические данные, привязанные к собственному телу. Чаще всего для идентификации человека используют палец, глаз или все лицо. Считыватели, встроенные во многие профессиональные ноутбуки, доступны для обычных отпечатков пальцев. Конечно, вы также можете купить внешние считыватели (например, встроенные в клавиатуру). Далее, в пальце есть считыватели отпечатков пальцев кровотока. Это более высокая и строгая форма безопасности (больше не требуется несколько отпечатков пальцев), поскольку в некоторых случаях обычный отпечаток пальца может быть подделан. Профессиональные считыватели сетчатки и радужной оболочки глаза снова в основном являются внешними (мы не говорим о функции в Windows 10), и то же самое касается сканирования маски лица. Для каждой из категорий на рынке есть несколько устоявшихся поставщиков самих устройств. Итак, у нас есть три способа подтвердить чью-либо личность. Мы лишь выберем подходящую комбинацию устройств и, таким образом, получим высокую безопасность, нас похвалит начальство... Нет, есть еще несколько вещей, о которых нам придется подумать при выборе. Обязательно нужно выбирать специалистов, которые порекомендуют подходящие комбинации безопасности именно для наших условий (соотношение цены и качества) и, главное, знают, как их правильно развернуть. Нередко логический подход сочетается и с физическим. Карта с RFID используется для доступа и перемещения по зданию или помещению, чип затем используется для аутентификации пользователя на рабочем месте, на принтере для печати документов и т.д. Также возможен импорт электронной подписи в чип карты с целью сокращения объема бумажных документов, обращающихся в нашей организации. Если мы в более крупной компании, необходимо автоматизировать как можно больше процессов, связанных с авторизацией доступа – этим занимается так называемый Управление идентификацией и доступом. Для размещения чиповых карт необходимо построить так называемую Инфраструктура открытых ключей, нам приходится управлять большим количеством карт через качественную систему управления картами, для каждого решения требуется сервисная поддержка и так далее. Но ко всему этому вас подготовят настоящие специалисты. Чтобы повысить безопасность организации, часто необходимо внедрять новые технологии. Еще на этапе подготовки очень важно заручиться поддержкой и других отделов! Все инструменты, даже те, что обеспечивают повышенную безопасность, доступны вам и вашим сотрудникам. Это всегда сбалансированное взаимодействие производителя аппаратного обеспечения, поставщика ПО, собственных отделов, таких как ИТ, безопасности, кадров и системного интегратора. Разумеется, что касается технологической части единого входа в «компьютер», компания должна подумать и о технологической части. Процессуальная часть включает в себя управление системами, на которых установлена система Enterprise «Single Sign On» (E-SSO), а также часть, которая занимается управлением идентификационными данными, авторизациями и паролями. Проще всего это объяснить на простом примере нового сотрудника отдела кадров. Процесс должен обрабатывать создание его личности и сообщать, куда новый сотрудник отдела кадров должен иметь доступ, а куда он не может иметь доступа. Далее представим, что сотрудник отдела кадров переходит внутри компании в другой отдел, например. маркетинг. Затем процесс должен обрабатывать удаление разрешений отдела кадров и назначение разрешений на продажу. Чтобы замкнуть цикл, наш фиктивный сотрудник покидает компанию, а это означает, что процесс должен обеспечить удаление всего доступа, который имел наш сотрудник. Решение, описанное в предыдущих пунктах, значительно упрощает выполнение процесса. Потому что E-SSO может выполнять все действия, описанные выше, за «несколько» кликов, т. е. создавать, изменять и удалять удостоверения/авторизации во всех системах организации вместо того, чтобы администраторам приходилось удалять несколько доступов в нескольких системах. Кроме того, он может легко выполнять регулярную проверку доступа и авторизации, что является важным, но часто игнорируемым действием при управлении доступом. Передовые продукты E-SSO, представленные на рынке, могут работать с отчетами в дополнение к вышеперечисленному. Отчетность, которая может включать все необходимые уровни в процессе: от сотрудника, менеджера, айтишников до C-уровня компании. Прежде всего, в сфере безопасности важно отметить, что E-SSO должна иметь возможность сотрудничать с так называемыми Решение SIEM (Управление инцидентами и событиями безопасности). Основная причина – возможность контролировать доступ к системам компании 24/7 и возможность адекватно реагировать на инциденты безопасности ИТ (хакерские атаки). Последний элемент, на котором все стоит и рушится, как я люблю говорить, — это люди/сотрудники на всех уровнях. Лучший E-SSO — тот, который действительно упрощает жизнь сотрудникам, чтобы им не приходилось «придумывать». Конечно, было бы несправедливо не упомянуть о том, что обучение сотрудников в области ИТ-безопасности необходимо на регулярной основе. Ондржей Фишер Менеджер по продукту EVIDIAN Чехия и Словакия ATOS IT-решения и услуги, стр. р. о. Зарегистрируйтесь на осеннюю ITAPA 2023