Як це працює
Що таке двофакторна автентифікація?
Двофакторна автентифікація (2FA/MFA) – це механізм безпеки, який забезпечує додатковий рівень захисту онлайн-акаунтів. Двофакторна автентифікація передбачає використання додаткового фактора, такого як смартфон або апаратний OTP-токен, для підтвердження особи користувача.
Завдяки цьому додатковому фактору неавторизовані особи не зможуть отримати доступ до облікового запису, навіть якщо пароль було зламано. Це забезпечує кращий захист та зменшує небезпеку несанкціонованого доступу до облікового запису.
Як працює двофакторна автентифікація?
Коли користувач намагається увійти до свого облікового запису, йому, як зазвичай, пропонується ввести пароль. Однак замість того, щоб одразу отримати доступ, він повинен також надати додатковий метод автентифікації. Цей другий спосіб підтвердження особи – одноразовий пароль, згенерований за допомогою 2FA-застосунку або апаратного OTP-токену. OTP-пароль також може бути доставлений через чат-бот у застосунку для обміну повідомленнями, SMS або електронною поштою.
- Користувач вводить пароль.
- Користувач надає одноразовий код з апаратного OTP-токену або телефону.
- Одноразовий код надсилається через API до Protectimus.
- Protectimus перевіряє одноразовий код у режимі реального часу, і ваша система миттєво отримує позитивну або негативну відповідь.
- Якщо обидва паролі правильні, користувач отримує доступ до свого облікового запису.
Для чого використовується двофакторна автентифікація?
Зі зростанням кількості онлайн-загроз, таких як фішинг, соціальна інженерія, хакерські атаки та крадіжка персональних даних, недостатньо лише покладатися на паролі для захисту конфіденційної інформації. Хакери часто отримують доступ до паролів шляхом крадіжки, вгадування або злому без відома користувача.
Саме тут і з’являється двофакторна автентифікація. 2FA додає додатковий рівень захисту, значно ускладнюючи доступ до облікого запису стороннім особам, навіть якщо паролі скомпрометовані. Одноразові паролі, що використовуються як другий рівень захисту, є унікальними і дійсні лише протягом короткого періоду, зазвичай 30 секунд.
Більше того, якщо ви використовуєте 2FA чат-боти в месенджерах, push, електронну пошту або SMS як другий фактор автентифікації, користувачі негайно отримують сповіщення на свій телефон у разі виявлення спроби несанкціонованого входу.
Які методи багатофакторної автентифікації ми підтримуємо?
Ми пропонуємо кілька методів багатофакторної автентифікації, щоб ви могли обрати найзручніший та найнадійніший для ваших користувачів.
Перейдіть у розділ Токени, щоб отримати додаткову інформацію.
- 2FA застосунок на iOS Protectimus SMART OTP;
- 2FA додаток застосунок на Android Protectimus SMART OTP;
- Апаратні OTP-токены з можливістю програмування Protectimus SLIM і Protectimus FLEX;
- Класичні апаратні OTP-токени Protectimus TWO і Protectimus SHARK;
- Чат-боти в месенджерах Messenger, Telegram і Viber;
- SMS-автентифікація;
- Автентифікація по електронній пошті;
- Пуш-сповіщення.
Які алгоритми автентифікації ми використовуємо?
Рішення двофакторної автентифікації Protectimus підтримує всі основні алгоритми Ініціативи відкритої автентифікації (OATH) — HOTP, TOTP та OCRA. Як член-координатор цієї ініціативи, ми гарантуємо, що наше MFA-рішення є відкритим, безпечним і простим у використанні завдяки використанню стандартів OATH.
- HOTP (HMAC-based One-Time Password) – це алгоритм, що генерує одноразові паролі на основі секретного ключа та лічильника подій.
- TOTP (Time-based One-Time Password) генерує OTP-коди на основі секретного ключа та поточного часу. Пароль TOTP діє лише протягом короткого періоду, зазвичай 30 секунд, після чого автоматично генерується новий.
- OCRA (OATH Challenge-Response Algorithm) – це алгоритм, який поєднує виклик (випадково згенероване значення) та секретний ключ для генерації одноразового пароля. Цей алгоритм дуже універсальний і використовується як для автентифікації при вході в систему, так і для перевірки транзакцій. Функція підпису даних Protectimus, “Підтвердьте, що ви бачите” (Confirm What You See або CWYS), ґрунтується на алгоритмі OCRA. Функція CWYS дозволяє перевіряти та підписувати дані й транзакції.
Як налаштувати багатофакторну автентифікацію?
Перші кроки:
- Зареєструйтеся в Хмарному сервісі Protectimus або завантажте та встановіть Локальну платформу Protectimus.
- Активуйте API в один клік.
- Додайте користувачів або синхронізуйте 2FA систему Protectimus з AD/LDAP.
- Додайте токени та призначте їх користувачам.
- Інтегруйте Protectimus у вашу інфраструктуру за допомогою існуючих плагінів, бібліотек для основних мов програмування або добре документованого API.
Більше інформації можна знайти у розділах Інтеграції та Інструкції.
База знань
Що таке одноразовий пароль (OTP)?
Сьогодні, коли користувачі комп’ютерів та Інтернету шукають найкращий спосіб захистити свої дані від зламу, перше, що спадає на думку, — це автентифікація за одноразовими паролями (OTP). Отже, що таке OTP-пароль? Абревіатура «OTP» означає «одноразовий пароль» – інструмент, що застосовується для реалізації алгоритмів багатофакторної автентифікації. Protectimus забезпечує надійний захист ваших даних за допомогою двофакторної автентифікації та спеціально розроблених токенів, що генерують одноразові паролі (OTP).
Наскільки важливими є одноразові паролі (OTP) для захисту даних користувачів?
На кожному веб-сайті, де зберігаються дані, зазвичай пропонується створити пароль як елемент процесу автентифікації. Багато хто думає, що з унікальним паролем вся важлива інформація безумовно захищена. Однак, унікальність паролів користувачів викликає великі сумніви. Більшість паролів логічні: ви використовуєте дати, цифри, прізвища, щоб захистити свою інформацію. Такі паролі можна легко підглянути, вкрасти або навіть вгадати. Але користувачі можуть використовувати одноразові паролі, щоб захистити найважливіші дані від витоку, оскільки OTP-пароль діє лише один раз.
Як згенерувати одноразовий пароль?
Нарешті, ви робите крок до максимального захисту свого проекту, інтегруючи багатофакторну автентифікацію за одноразовими паролями. Єдине питання – як отримати одноразовий пароль. Для генерації одноразових паролів потрібен простий, але ефективний інструмент — OTP-токен. У якості OTP-токена може використовуватися як спеціально створений пристрій, так і ваш смартфон. Отже, ось 3 кроки для налаштування OTP-автентифікації: зареєструйтеся у сервісі Protectimus, налаштуйте автентифікацію за допомогою найбільш підходящого типу токенів і отримуйте унікальні OTP щоразу, коли вам потрібно буде пройти автентифікацію.
Як працюють токени для генерації OTP?
Токен, або генератор одноразових паролів, – це пристрій або програма, яка використовує алгоритм генерації OTP для створення одноразових паролів на запит користувача. Зазвичай апаратні токени є зручним рішенням для OTP, оскільки вони є автономними пристроями, які не потребують доступу до жодної мережі. Апаратні токени, що використовуються для автентифікації за допомогою одноразового пароля, можуть використовувати різні алгоритми, наприклад, алгоритм, який використовує змінну часу для створення одноразових паролів (TOTP – time based one time password), та інші.
Чи можна отримати одноразові паролі без підключення до інтернету?
Існує багато способів отримати одноразовий пароль для автентифікації. Однак вони винайдені для виконання одного головного завдання – забезпечення захисту ваших даних. Ви можете отримувати одноразові паролі різними способами: через апаратні або програмні токени, для простих чи складних завдань, з доступом до Інтернету або без нього. Як правило, вам не потрібно бути онлайн, щоб отримати OTP, якщо у вас є токен. У Protectimus всі апаратні та програмні токени призначені для генерації паролів в режимі офлайн: TWO, SLIM, FLEX, SHARK та SMART.
