Dostęp do systemów informatycznych musi być w jakiś sposób kontrolowany – to znaczy musimy wiedzieć, że osoba, która chce „wejść” to osoba uprawniona, której jawnie takie prawo zostało nadane. Należy się więc w jakiś sposób przedstawić. Oczywiście podajemy swój identyfikator – w tym przypadku tzw. login, a swoją autentyczność potwierdzamy zazwyczaj za pomocą czegoś tajnego – czyli hasła. Hasło jest z założenia znane tylko nam, więc taka para „użytkownik – hasło” od zawsze stosowana była w systemach IT do potwierdzenia tożsamości.

I przez lata nie stanowiło to większego problemu. Dlaczego teraz jest inaczej? Najistotniejsze jest to, że systemy IT stały się otwarte. Kiedyś, aby zalogować się do systemu firmy, musieliśmy udać się do biura, aby uruchomić swój komputer i się zalogować. I samo wejście do biura stanowiło już autentykację. Musieliśmy posiadać klucz lub zostać dopuszczonym przez strażnika, dopiero potem następowała druga weryfikacja – czyli logowanie za pomocą użytkownika i hasła.

Obecnie nie wyobrażamy sobie, aby nie mieć dostępu do poczty, programu ERP, czy plików z dowolnego miejsca na świecie. Tym samym potrzeba pracy zdalnej automatycznie zlikwidowała jeden czynnik uwierzytelniania. Pozostała sama para użytkownik/hasło ze wszystkimi swoimi słabościami.

Autentykacja wieloskładnikowa

MFA/2FA (Multi-factor authentication/Two-factor authentication) przywraca ideę konieczności dodatkowej autentykacji. Zazwyczaj jest ona wykonana za pomocą jednorazowego potwierdzenia – tzw. „tokena”, którego otrzymujemy z urządzenia będącego w naszym osobistym posiadaniu.

Poniżej przedstawię jedno z rozwiązań autentykacji MFA/2FA i tym samym jedno z moich ulubionych. Dlaczego? Dlatego, że jest to rozwiązanie otwarte – przede wszystkim w kontekście integracji z różnymi systemami. O ile bardzo popularne narzędzia zazwyczaj potrafią obsłużyć tylko produkty własne – np. VPN lub pakiet biurowy, to OpenOTP działa praktycznie ze wszystkim. Poniżej przedstawiam architekturę systemu:

Możemy zintegrować jedno rozwiązanie MFA z takimi urządzeniami i oprogramowaniem jak:

• urządzenia sieciowe (routery, switche, koncentratory VPN) za pomocą np. RADIUS lub LDAPS
• logowania do systemów MS Windows oraz Linux poprzez agentów autentykacji
• farmy terminalowe MS Remote Desktop Services
• aplikacje www
• Microsoft ADFS (Active Directory Federation Services)
• shell SSH

Za pomocą wbudowanego RADIUS Bridge oraz LDAP Bridge, możemy zdefiniować różne typy wprowadzania tokenów, a dla urządzeń nieprzystosowanych do używania MFA stosować tryb wprowadzania hasło + token w jednym ciągu znaków, tym samym integrując autentykację wieloskładnikową w wysłużonych urządzeniach naszej serwerowni.

Oczywiście rozwiązanie OpenOTP w pełni integruje się z Microsoft Active Directory, OpenLDAP, Novell lub buduje swoją własną bazę LDAP.

Jak wygląda użycie tokena? Mamy dwie możliwości: token, czyli ciąg cyfr, które przepisujemy z ekranu telefonu, lub push, czyli pojawiająca się notyfikacja na telefonie, którą zatwierdzamy bądź nie.

Licencjonowanie OpenOTP – tutaj występuje model miesięcznej opłaty za token w cenie bardzo konkurencyjnej do najbardziej rozpoznawalnych rozwiązań. Dodatkowo co bardzo istotne – do 25 użytkowników rozwiązanie jest bezpłatne. Możemy dzięki temu wprowadzić w pierwszym kroku rozwiązanie MFA dla kluczowych dostępów firmy – na przykład dostępów dla administratorów.

OpenOTP to rozwiązanie bardzo często wdrażane przez ITPunkt. Posiadamy duże doświadczenie w integracji tego systemu z przeróżnymi urządzeniami Klientów, jak również w specyficznych środowiskach informatycznych.

Aby uzyskać więcej informacji, skontaktuj się z nami poprzez poniższy formularz lub napisz na: eksperci@itpunkt.pl