2х факторная аутентификация

Всем известен традиционный способ входа при помощи имени пользователя и пароля. Он используется повсеместно, несмотря на массу присущих ему проблем. Например, простой пароль легко подобрать, а «хороший» пароль сложнее запомнить; пароли подвержены фишингу, а также краже при помощи технических средств или методами «социальной инженерии». Пароль, выписанный на стикере и приклеенный к монитору, давно стал своеобразным символом. Каким образом можно усилить безопасность, не усложняя жизнь пользователей?

Пароль — это ответ на вопрос «что ты знаешь?». Добавим второй вопрос: «чем ты обладаешь?» Иными словами, пользователь должен будет доказать обладание неким физическим предметом, «вторым фактором», отсюда и название — «двухфакторная аутентификация», или «2FA». В современной практике это смартфон, смарт-карта, электронный брелок или USB-ключ. При этом пароль может быть сокращён, например, до 4-значного PIN-кода, так что пользователю будет проще запомнить его. Злоумышленнику же надо будет завладеть как паролем, так и физическим устройством, что на порядок усложняет задачу. Результат — для пользователя процесс упрощается, а надёжность защиты информации становится выше.

Этот подход уже успешно используется гигантами индустрии, такими как Google и Facebook, банками и телеком-компаниями. Мы знаем, как подключить двухфакторную аутентификацию к той системе, которую вы используете в своём бизнесе каждый день. Мы предлагаем услуги по интеграции и сопровождению 2FA-решений, а также наш собственный продукт Acutus Server, уникальный тем, что он поддерживает одновременно все виды 2FA, перечисленные выше.

Всем известен традиционный способ входа при помощи имени пользователя и пароля. Он используется повсеместно, несмотря на массу присущих ему проблем. Например, простой пароль легко подобрать, а «хороший» пароль сложнее запомнить; пароли подвержены фишингу, а также краже при помощи технических средств или методами «социальной инженерии». Пароль, выписанный на стикере и приклеенный к монитору, давно стал своеобразным символом. Каким образом можно усилить безопасность, не усложняя жизнь пользователей?

Пароль — это ответ на вопрос «что ты знаешь?». Добавим второй вопрос: «чем ты обладаешь?» Иными словами, пользователь должен будет доказать обладание неким физическим предметом, «вторым фактором», отсюда и название — «двухфакторная аутентификация», или «2FA». В современной практике это смартфон, смарт-карта, электронный брелок или USB-ключ. При этом пароль может быть сокращён, например, до 4-значного PIN-кода, так что пользователю будет проще запомнить его. Злоумышленнику же надо будет завладеть как паролем, так и физическим устройством, что на порядок усложняет задачу. Результат — для пользователя процесс упрощается, а надёжность защиты информации становится выше.

Этот подход уже успешно используется гигантами индустрии, такими как Google и Facebook, банками и телеком-компаниями. Мы знаем, как подключить двухфакторную аутентификацию к той системе, которую вы используете в своём бизнесе каждый день. Мы предлагаем услуги по интеграции и сопровождению 2FA-решений, а также наш собственный продукт Acutus Server, уникальный тем, что он поддерживает одновременно все виды 2FA, перечисленные выше.

2х-факторная аутентификация в 1C с помощью KeyCloak

В последнее время возможность удаленной работы сотрудников приобретает большую актуальность. Одним из подходов организации удаленной работы является переход на WEB-ориентированные сервисы. При этом немаловажным аспектом является безопасность доступа к подобным сервисам. Одним из способов обеспечения безопасности является подключение дополнительных факторов аутентификаци, например с помощью генерации одноразовых паролей (OTP).

Начиная с версии 8.3.17 платформа 1С поддерживает аутентификацию с использованием протокола OpenID Connect 1,2,3. В качестве сервера, предоставляющего поддержку протокола OpenID Connect, а также поддержку аутентификации с использованием одноразовых паролей, нами выбран сервис KeyCloak 4KeyCloak — это продукт компании Red Hat, Inc. с открытым исходным кодом для управления аутентификацией и авторизацией, предназначенное для защиты современных приложений и сервисов с возможностью организации единой точки входа (SSO).

Для защиты сервиса 1С, опубликованного в WEB используется связка 1С и KeyCloak. Для корректной работы пользователь заводится в обе системы. При входе на начальную страницу 1С перенаправляет запросы аутентификации на страницу KeyCloak, где пользователь проходит аутентификацию. При этом могут быть подключены дополнительные факторы аутентификации, такой как TOTP. После успешной аутентификации в KeyCloak, пользователь перенаправляется в 1С. Параметры доступа пользователей настраиваются непосредственно в самой системе 1С.

Ссылки

  1. OpenID Connect — это протокол аутентификации, построенный поверх фреймворка авторизации OAuth 2.0.
  2. 1С:ИТС 6.2.8.5. Аутентификация с помощью OpenID Connect
  3. 1С:ИТС Приложение 3. Описание и расположение служебных файлов, 3.17.9. Элемент <openidconnect>
  4. OpenID Connect in KeyCloak
  5. 2х-факторная аутентификация в 1C с помощью KeyCloak