Обзор рынка российских инструментов многофакторной аутентификации

Многофакторная аутентификация продолжает свой путь от дополнительной меры к статусу обязательного компонента корпоративной системы безопасности. От взлома или подбора пароля сотрудника, который недостаточно внимательно подошел к защите своего аккаунта, не спасут другие инструменты. Чем больше случаев такого доступа к корпоративным системам получают огласку, тем выше интерес компаний к инструментам многофакторной аутентификации.

На мировом рынке представлено множество инструментов этого класса: от крупнейших игроков с мировым именем до малоизвестных решений. Свои решения есть у Thales, Symantec, RSA, Fujitsu, Suprema, Google и других разработчиков. Обзор отечественных инструментов многофакторной аутентификации подготовлен компанией «МУЛЬТИФАКТОР» специально для Cyber Media.

Как работает многофакторная аутентификация

Чтобы лучше понять, как работает многофакторная аутентификация, необходимо вспомнить, в чем заключается стандартная однофакторная. Для входа на требуемый ресурс, пользователю необходимо указать имя (логин) и пароль, заданные при регистрации. Такая схема не лишена целого ряда рисков:

Пароль можно подобрать. Сотрудники нередко облегчают злоумышленникам задачу, используя одну комбинацию букв и цифр для нескольких ресурсов, имена и даты рождения детей и других родственников;
Аккаунт можно «угнать» через восстановление пароля. Такой способ возможен только в случае, если злоумышленник уже имеет авторизационные данные почты «жертвы». После смены пароля владелец теряет к нему доступ;
Пароль может быть случайно раскрыт. Для этого сотруднику достаточно хранить список с данными для входа на несколько разных ресурсов в ненадежном месте, или не защитить от случайных взглядов файл с паролями на компьютере.

Свести к минимуму риски, связанные с раскрытием пароля и попыткой входа на корпоративные ресурсы третьих лиц призвана система многофакторной аутентификации. Чтобы убедиться, что в аккаунт действительно входит сотрудник компании, а не злоумышленник крадет данные учетной записи, используется второй фактор. В качестве таковых могут выступать одноразовые пароли, запрос подтверждения через мобильное приложение или звонок на смартфон. В результате риск компрометации учетной записи если не сводятся к нулю, то точно сокращается в разы.

Где можно применять

Решения многофакторной аутентификации применяются при защите:

корпоративных сайтов;
почтовых программ;
сервисов операционных систем;
облачных сервисов;
виртуальных рабочих столов;
VPN-сервисов;
корпоративных приложений.

Таким образом с помощью одного инструмента компания полностью закрывает потребность в защите учетных записей сотрудников где бы то ни было. Такая универсальность является важным преимуществом решений многофакторной аутентификации.

Российский рынок инструментов многофакторной аутентификации

В настоящий момент отечественный рынок переживает настоящий бум развития инструментов многофакторной аутентификации. Несмотря на кажущуюся простоту, имеющиеся решения сильно различаются по функционалу, удобству и стоимости использования, поэтому требуют от ИБ-специалиста и собственника компании вдумчивого изучения и взвешенного выбора.

Мы проанализировали четыре инструмента многофакторной аутентификации:

Multifactor;
Indeed Access Manager (AM);
Аладдин Р.Д. JaCarta Authentication Server (JAS);
Avanpost FAM и Web SSO.

Все четыре решения входят в единый реестр российских программ для ЭВМ, то есть являются полностью отечественными разработками.

Multifactor

Multifactor – решение, созданное компанией «МУЛЬТИФАКТОР» для любого удаленного подключения: RDP, VPN, SSH и др и контроля доступа. Работает по принципу Zero Trust: не получает доступ и не хранит пароли пользователей на своей стороне. Таким образом решение снижает существующие риски, не создавая новых.

Инструмент отличает большое разнообразие возможностей для аутентификации. Пользователю доступно подтверждение через:

мобильное приложение Multifactor;
мессенджер Telegram;
биометрические данные;
одноразовые пароли посредством OTP-токенов;
SMS-сообщения;
звонки на смартфон;
приложение, генерирующее одноразовые коды по TOTP или HOTP алгоритмам.

Инструмент звонит и отправляет SMS через собственный шлюз, а также есть возможность отправлять через шлюзы заказчика. Важным преимуществом является возможность выбора способа аутентификации самим пользователем. Сначала администратор выбирает предпочтительные способы для компании, а затем каждый сотрудник регулирует настройки по своему вкусу. Для новичков в инструменте предусмотрена простая и быстрая регистрация в системе.

Multifactor не требует затрат на внедрение и инфраструктуру – CAPEX 0, а интеграция решения занимает от двух часов. Высокая доступность сервиса – аптайм 99,98%.

Решение может работать по одной из двух моделей развертывания на выбор: SaaS или Hybrid. Сервер аутентификации находится в Москве. Он оснащен резервным источником питания и имеет многоуровневый контроль доступа. Оператором инфраструктуры решения является «Ростелеком», а платформы — сама компания «МУЛЬТИФАКТОР». В сложившейся геополитической ситуации это обеспечивает уверенность в работоспособности решения независимо от внешних обстоятельств.

Решение подходит для установки как на устройства под управлением ОС Linux, так и ОС Windows. У Multifactor есть собственный RADIUS-агент (RADIUS Adapter), который может выступать как самостоятельный RADIUS-сервер и как прокси к другому RADIUS-серверу, например, Microsoft Network Policy Server (NPS).

Важной отличительной особенностью решения является собственная разработка MultiFactor Ldap Adapter, которой нет на рынке ни у одного производителя системы многофакторной аутентификации.

MultiFactor Ldap Adapter - LDAP proxy-сервер, разработанный и поддерживаемый компанией «МУЛЬТИФАКТОР» для двухфакторной аутентификации пользователей в приложениях, использующих LDAP аутентификацию. MultiFactor Ldap Adapter доступен вместе с исходным кодом, распространяется бесплатно для Windows и для Linux.

Основными функциями MultiFactor Ldap Adapter являются:

проксирование сетевого трафика по протоколу LDAP;
поиск запросов на аутентификацию и подтверждение вторым фактором на телефоне пользователя.

Основные возможности MultiFactor Ldap Adapter:

работа по протоколам LDAP и LDAPS (шифрованный TLS канал);
перехват запросов на аутентификацию, использующих механизмы Simple, Digital, NTLM;
пропуск запросов от сервисных учетных записей (Bind DN) без второго фактора;
настройка доступа на основе принадлежности пользователя к группе в Active Directory;
избирательное включение второго фактора на основе принадлежности пользователя к группе в Active Directory;
запись журналов в Syslog сервер или SIEM систему.

К ключевым преимуществам решения Multifactor также относится компонент RADIUS Adapter - Inline enrollment - настройка второго фактора в режиме диалога с пользователем, который позволяет значительно ускорить и упростить проект по внедрению 2FA в организации.

Технология позволяет максимально быстро и без трудозатрат защищать подключения к Cisco, FortiGate, CheckPoint, С-Терра, VMware Horizon, Citrix Gateway, SSH и другим системам для любого количества сотрудников.

Сервер аутентификации может обрабатывать до 2000 аутентификаций в секунду на одного тенанта, а один экземпляр RADIUS-агента в стандартной конфигурации – до 200 аутентификаций в секунду. Таким образом, даже в начале рабочего дня в крупной компании решение успешно справится с увеличенной нагрузкой.

Ключевые преимущества решения Multifactor:

Высокая доступность – аптайм сервиса 99,98%;
Круглосуточная техподдержка;
Отказоустойчивость – отказ облака «МУЛЬТИФАКТОР» не скажется на работе вашего бизнеса;
Безопасность инфраструктуры – облако Multifactor находится в дата-центрах DataLine в Москве с многоуровневой физической защитой, резервными интернет-каналами и источниками питания;
Масштабируемость – нет ограничений по количеству пользователей и ресурсов, подходит для компании любого масштаба;
CAPEX 0 – не требует затрат на внедрение и инфраструктуру;
Простая адаптация пользователей – понятный процесс подключения, удобный интерфейс;
Поддержка SSO (Single sign-on, единый вход);
Возможность добавить любую необходимую заказчику бизнес-логику.

Лицензия для инструмента Multifactor приобретается на каждого пользователя как минимум на месяц. Компания «МУЛЬТИФАКТОР» предоставляет корпоративные и партнерские тарифы.

Indeed Access Manager (AM)

Indeed Access Manager (AM) разработан компанией «Индид» для создания систем централизованного управления доступом пользователей к корпоративным информационным ресурсам. По заявлению разработчика, инструментом уже пользуются 999 тысяч человек. Решение подойдет для обеспечения надежного уровня защиты как к внутрикорпоративным ресурсам, так и для электронной почты, VPN, VDI и ряда других внешних ресурсов.

Инструмент устанавливается по модели On-Premise. Политики доступа инструмента позволяют присваивать пользователям три роли: администратор, оператор и инспектор. Делать это можно как во всей системе, так и в ее отдельных составляющих. При необходимости в Indeed AM Windows Logon также можно назначить заместителя для сотрудника на случай его отпуска или командировки. В этом случае заместитель сможет выполнить вход в операционную систему по своим идентификационным данным, но от имени замещаемого.

Интересная опция инструмента — возможность входа через Windows Logon для пользователя без сообщения ему пароля. Последний будет храниться в базе данных Indeed AM, однако осуществляющему вход сотруднику вводить его не потребуется. Это означает, что пароль нельзя никуда записать или кому-то передать. Сведений о возможности использования инструмента для Linux Logon в открытых источниках не найдено.

Пройти аутентификацию пользователь может через:

генерацию одноразовых паролей по протоколам OATH TOTP и HOTP;
биометрию посредством отпечатка пальцев, рисунка вен ладони или изображения лица;
бесконтактные RFID карты форматов EM-Marin, HID iClass, HID Proximity, Mifare;
мобильное приложение для iOS и Android с push-уведомлениями на базе Indeed Key;
криптографические смарт-карты и USB носители Рутокен, eToken, JaCarta и ряд других;
бесконтактные RFID карты для СКУД-систем.

Indeed Access Manager (AM) имеет опцию интеграции со СКУД (системами контроля и управления доступом). Это позволяет задать настройки аутентификации. Например, разрешить процедуру только при нахождении сотрудника внутри здания, из определенного кабинета или со всех компьютеров, установленных на этаже.

Аладдин JAS

Аладдин JAS – еще одно отечественное решение. JAS расшифровывается как JaCarta Authentication Server. Инструмент разработан компанией «Аладдин Р.Д.» и является частью платформы JaCarta Management System 3.7.

Инструмент позволяет пройти аутентификацию следующими способами:

одноразовые пароли через PUSH/OTP/SMS;
протокол U2F;
прикладное ПО для аутентификации по протоколам RADIUS, REST, WCF, ADFS и некоторым другим.

Для мобильных устройств у компании «Аладдин Р.Д.» есть собственное приложение Aladdin 2FA, доступное для скачивания на официальном сайте. Однако инструмент работает и со сторонними приложениями, такими как Google Authenticator и Яндекс.Ключ.

Аладдин JAS способен обеспечить защиту:

шлюзов удаленного доступа, которых в перечне не менее десятка (Microsoft, Citrix, Palo Alto, VMware, Ngate и другие);
облачных сервисов, корпоративных сайтов, мобильных приложений;
внутрикорпоративных систем — CRM, электронной почты и других;
Microsoft RDG (шлюзов для рабочих столов);
системы дистанционного банковского обслуживания.

Инструмент поставляется в варианте On-Premise. Также возможна работа в формате On-Cloud заказчика или провайдера. В комплект поставки Аладдин JAS входят средства управления токенами и пользователями, а также мониторинга, сервис аутентификации, плагины для Microsoft Network Policy Server (NPS), Microsoft Active Directory Federation Services (AD FS), Microsoft RDG. Таким образом приобретать дополнительное ПО не требуется — уже есть все необходимое.

Важным преимуществом является высокая производительность Аладдин JAS. Инструмент способен выдерживать до 5000 аутентификаций в секунду, то есть выбрать его может как совсем небольшая компания, так и гигантская корпорация. Решение имеет вертикальную масштабируемость — производительность процессора оказывает прямое влияние на производительность сервера JAS. Если одного сервера окажется недостаточно, то можно подключить несколько в одном кластере.

Avanpost FAM и Web SSO

В этом разделе рассмотрим сразу два продукта компании Аванпост: Avanpost FAM и Avanpost Web SSO. Avanpost FAM предназначен для аутентификации сотрудников в корпоративных ресурсах. Avanpost Web SSO обеспечивает аутентификацию клиентов в порталах и веб-приложениях.

Avanpost FAM

Avanpost FAM позволяет организовать адаптивную многофакторную аутентификацию с использованием SSO/SLO для всех типов корпоративных информационных систем: десктопных, мобильных, веб-приложений, API, инфраструктурных сервисов VPN, VDI и для рабочих станций и серверов под управлением Linux и Windows.

Интеграция возможна с использованием:

IDP-протоколов OpenID Connect, OAuth и SAML;
протокола RADIUS;
технологии Reverse Proxy для унаследованных веб-приложений;
технологии перехвата окон Enterprise SSO для унаследованных десктопных приложений;
Logon-провайдеров для Windows и Linux-систем (Credential Provider, PAM Linux).

Обширный набор интеграционных механизмов Avanpost FAM исключает проблему совместимости системы аутентификации и приложений, превращая ее в задачу выбора подходящей технологии подключения.

Многофакторная аутентификация возможна с использованием следующих факторов:

мобильное приложение Avanpost Authenticator для Android/iOS;
одноразовые пароли через SMS, e-mail и мессенджеры;
современная биометрия FIDO WebAuthn/U2F;
аппаратные факторы в виде токенов, биометрических считывателей, считывателей RFID-меток и других;
сертификаты SSL и электронные подписи;
push-уведомления в Telegram;
доменная и LDAP-аутентификация.

Avanpost Web SSO

Avanpost Web SSO обеспечивает безопасную единую аутентификацию клиентов в порталах и внешних приложениях.

Для аутентификации могут быть использованы:

мобильное приложение Avanpost Authenticator для Android/iOS;
одноразовые пароли через SMS, e-mail и мессенджеры;
современная биометрия FIDO WebAuthn/U2F;
сертификаты SSL и электронные подписи;
push-уведомления в Telegram.

Управление персональными данными и другими параметрами аккаунта доступно клиенту в самостоятельном режиме. Также можно настроить опции и для сброса пароля, восстановления доступа к аккаунту.

Многофактор (1).png

Выводы

Рассмотренные инструменты во многом идентичны по своим характеристикам. Однако, у них есть несколько ключевых отличий.

Multifactor предлагает SLA 99,98% и круглосуточную техподдержку сервиса с высокой отказоустойчивостью, а также предоставляет MultiFactor Ldap Adapter прокси-сервер собственной разработки, не имеющий аналогов на рынке. Поддержка 24/7 также доступна и клиентам Avanpost. Решение Multifactor также предлагает быструю, простую настройку системы от двух часов без дополнительных затрат.

У Avanpost FAM есть широкие возможности по интеграции с различными видами корпоративных информационных систем, гибкая многофакторная аутентификация и поддержка сложных многодоменных инфраструктур. Также Avanpost FAM отличается поддержкой механизма контроля сессий и развитой поддержкой протоколов OAuth 2.0/OpenID Connect и SAML 2.0.

Avanpost Web SSO является единственным решением класса Customer Identity Access Management (CIAM) среди рассматриваемых продуктов.

По производительности лидером является Аладдин JAS, способный выдержать более 5000 аутентификаций в секунду. У Multifactor этот показатель достигает 2000 аутентификаций в секунду.