Сценарії посилення захисту доступу до інформаційних ресурсів і активів компанії.
безпечний доступ
Прийшов, побачив і ... не увійшов
Раніше озвучено, що використовуються за замовчуванням статичні паролі мають істотні недоліки, в першу чергу з точки зору інформаційної безпеки. Дійсно, прості паролі легко можуть бути скомпрометовані - підглянуті при введенні або підібрані зловмисником. Складні ж паролі (коли в організації застосовується сувора політика) важко запам'ятовувати, в результаті співробітники залишають записки з паролями в доступних для читання місцях або використовують легко підбираються комбінації, наприклад клавіатурні послідовності.
Введення складних паролів і їх періодична зміна викликають очевидні труднощі у користувачів, що призводить до блокувань їх облікових записів і додаткового навантаження на службу технічної підтримки. Низька безпека, нераціональне використання людських ресурсів в компанії - передумови прийняття рішення замовників переглянути підхід до організації управління доступом.
Саме правильний напрямок пошуку рішення в даному випадку - це надійна двухфакторная аутентифікація.
Коли компроміс виправданий
Компроміс з точки зору інформаційної безпеки цілком виправданий, в разі якщо зовнішній периметр інфраструктури компанії захищений за допомогою безконтактних карт СКУД і замовник, зваживши вищезгадані критерії (безпека, наявність карт і сукупна вартість), прийняв рішення використовувати карти в якості аутентифікатор для логічного доступу до корпоративних ресурсів.
Практичний приклад: системний пароль замість PIN-коду як другий фактор аутентифікації
Реалізація двофакторної аутентифікації по безконтактними картками в продукті 2FA one, в якому можна налаштувати конфігурацію, коли в якості другого фактора замість звичайного PIN-коду буде використовуватися стандартний системний пароль співробітника в домені.
Переваги рішення:
• Користувачам не треба запам'ятовувати і вводити нові статичні дані (PIN-код), що найбільш правильно з точки зору логіки функціонування системи: доменні паролі все одно будуть перевірятися на системному рівні в процесі входу в Windows.
• Послаблення політики складності системних паролів, оскільки деяке зниження безпеки буде компенсовано додатковим фактором аутентифікації - прикладеної до зчитувача картою.
• Відключення примусової періодичної зміни доменних паролів.
Як це працює?
Використання системних паролів в якості PIN-коду від безконтактних карт доступу і їх випуск можна організувати повністю на стороні оператора без фізичної присутності власника карти. Послідовність операцій випуску виключає можливий несанкціонований доступ до PIN-коду співробітника з боку недобросовісного оператора.
• Оператор випуску прив'язує карту до конкретного співробітника на адміністративному порталі та персонализирует її без введення PIN-коду або пароля, приклавши картку до підключеного USB-зчитувача. Випущена карта може бути доставлена власникові будь-яким способом.
• Для входу на робочу станцію співробітник повинен буде докласти свою картку до зчитувача і ввести свій звичайний пароль. Додаткова настройка: при видаленні карти з зчитувача відбувається блокування сеансу користувача, розблокування робочої станції відбувається після повторного дотику карт з введенням PIN-коду / пароля.
Як екстреного входу в систему (або розблокування заблокованої картки на цьому етапі) в рішенні передбачена резервна аутентифікація по контрольних питань.
Середня оцінка цієї статті: 5 (голосів: 2)
Ваша оцінка: