Общее сравнение решений двухфакторной аутентификации Duo Security и Protectimus вы найдете в статье “Duo Security vs Protectimus”. В ней мы рассматриваем функции и технологии, используемые в Duo и Protectimus, доступность решений в облаке и on-premise, возможности по интеграции и цены, а также касаемся средств доставки одноразовых паролей, которые предлагают обе компании.
Здесь же мы опишем все способы аутентификации, доступные клиентам Duo и Protectimus, более подробно и разберемся со слабыми и сильными сторонами каждого варианта.
Для удобства навигации по статье, воспользуйтесь этой таблицей.
Duo Security
2FA приложение Duo Mobile
Duo Push
Гордость Duo Security. Push нотификации появились в стремлении сделать процедуру двухфакторной аутентификации максимально простой. Вместо того, чтобы открывать приложение для генерации одноразовых паролей, искать временный пароль к нужному сервису, а потом вводить 6 цифр в окно ввода одноразового пароля, пользователю нужно только разблокировать смартфон и нажать на кнопку “Approve”. Еще один плюс — если злоумышленник попытается войти в аккаунт пользователя, тот увидит Push уведомление и сможет заблокировать доступ, нажав на кнопку “Deny”. Приложение Duo Mobile синхронизируется со смарт-часами и пользователи могут получать Push-нотификации прямо на часы. Очень удобно. Основные минусы — вы не сможете аутентифицироваться без доступа к интернету и придется использовать личный телефон для корпоративных целей.
HOTP & TOTP
Приложение Duo Mobile умеет генерировать одноразовые пароли только по алгоритмам HOTP и TOTP (обратите внимание, TOTP токены могут рассинхронизироваться по времени с сервером, возможности синхронизации в Duo Mobile нет). HOTP пароли используются для входа в аккаунт под защитой сервиса двухфакторной аутентификации Duo, если пользователь не может получить Push. Поддержка алгоритма TOTP реализована для того чтобы приложение можно было использовать также для аутентификации в сторонних сервисах никак не связанных с Duo Security — Google, Dropbox, GitHub и т.д.
Аппаратные токены
HOTP токены
Сервис двухфакторной аутентификации Duo Security поддерживает аппаратные HOTP (HMAC-based One-time Password algorithm) токены любых производителей, а также продает свои HOTP токены. Следует отметить, что хоть использование HOTP алгоритма и соответствует стандартам OATH (Initiative for Open Authentication), все же этот алгоритм устарел и не может считаться достаточно безопасным, особенно если мы говорим об аппаратных токенах. Переменной в алгоритме генерации одноразовых паролей HOTP служит счетчик, и если у злоумышленника появляется возможность даже на несколько минут получить токен в свои руки, он сможет записать несколько значений одноразовых паролей наперед и использовать их в любое удобное время. Реальный пользователь при этом может на время потерять доступ к аккаунту, так как токен рассинхронизируется с сервером аутентификации.
TOTP токены
К сервису двухфакторной аутентификации Duo Security можно подключать аппаратные TOTP токены сторонних производителей. Но Duo не рекомендует использовать TOTP токены, так как в этом сервисе не реализована возможность синхронизации токенов и сервера по времени.
U2F токены
Сервис двухфакторной аутентификации Duo Security поддерживает U2F (Universal 2nd Factor) стандарт, разработанный FIDO (Fast IDentity Online) альянсом в 2013 году. Аппаратные токены U2F подключаются к компьютеру через USB разъем и активируются при нажатии кнопки, расположенной на токене. Самый известный пример таких токенов — Yubikey. Это довольно удобный способ аутентификации, но у таких аппаратных токенов есть 3 недостатка:
- U2F токены часто забывают в компьютерах;
- Для использования такого токена нужен USB разъем, а, например, на планшете его может не быть;
- Если токен подключается к устройству, можно найти способ заразить такое устройство вирусом или взломать его.
SMS аутентификация
Если у пользователя нет возможности или желания использовать приложение, Duo вышлет одноразовый пароль в SMS. Преимущества и недостатки SMS аутентификации известны давно. Преимущества: доставлять временные пароли в SMS удобно; для подключения SMS аутентификации администратору достаточно знать номер телефона пользователя, а от самого пользователя не требуется никаких действий. Основной недостаток — SMS аутентификация просто небезопасна. SMS сообщения часто передаются в незашифрованном виде, сотовые сети уязвимы и SMS-сообщения легко перехватить, есть высокий риск подмены SIM-карты или заражения смартфона вирусом, способным перехватывать пароли. Недавно Reddit взломали именно потому, что там все еще использовали SMS аутентификацию.
Голосовые вызовы
Этот способ аутентификации предусмотрен для тех случаев, когда пользователь не может или не хочет использовать ни приложение, ни аппаратные токены, ни SMS. Duo может позвонить на любой номер, как мобильный, так и стационарный, а пользователю нужно будет нажать на нужную кнопку в телефоне. Из плюсов — это удобно и решает проблему отсутствия интернета. Если у вас есть доступ к стационарному проводному телефону, вы всегда сможете пройти аутентификацию. Но насколько это безопасно? Если звонок будет поступать на смартфон, то известны сотни вирусов, которые умеют брать трубку и нажимать на нужную кнопку в тайне от пользователя.
Бэкап коды
Если вы потеряли доступ к токену, войти в свой аккаунт, защищенный системой двухфакторной аутентификации Duo, можно с помощью бэкап кодов. Так Duo избавляет администраторов от лишней головной боли. Но помните, бэкап коды — это всегда дополнительная уязвимость. Если эта информация попадет в руки злоумышленнику (а ведь достаточно только сделать фото или скопировать файл с бэкап кодами), то он получит доступ к аккаунту жертвы. У злоумышленника будет очень много времени, чтобы выведать пароль, ведь второй фактор в виде бэкап кодов остается актуальным далеко не 30 секунд.
Protectimus
2FA приложение Protectimus Smart
Push нотификации
Push нотификации в Protectimus Smart работают по тому же принципу, что и у Duo. При входе на сайт пользователю нужно всего лишь нажать на кнопку “Подтвердить”. Людям не нравится двухфакторная аутентификация именно потому что для входа аккаунт нужны дополнительные действия. Push уведомления делают MFA проще. Главный плюс Push нотификаций — это удобство, а минус — невозможность аутентифицироваться, если нет доступа к интернету. (Функция в разработке.)
HOTP & TOTP & OCRA
Приложение Protectimus Smart поддерживает все 3 алгоритма генерации одноразовых паролей OATH — HOTP, TOTP и OCRA. Это делает приложение универсальным. Оно подходит как для работы с сервисом Протектимус, так и для любого другого стороннего решения 2FA. Приложение работает автономно, как и аппаратный токен, доступ к интернету или какой-либо другой сети не требуется.
Подпись данных CWYS
Благодаря алгоритму OCRA, приложение Protectimus Smart поддерживает функцию подписи данных CWYS (Confirm What You See). Одноразовые пароли генерируются на основании текущих данных транзакции пользователя и будут бесполезны для злоумышленника в случае перехвата.
Важно отметить, что 2FA приложение Protectimus Smart можно дополнительно защитить PIN-кодом или отпечатком пальца. Также можно выбрать длину одноразового пароля — 6 или 8 символов (в зависимости от требований системы), использовать приложение на русском или английском языке, сделать бэкап для всех токенов.
Аппаратные токены
HOTP & TOTP & OCRA токены
Клиентам Protectimus доступны OATH сертифицированные аппаратные токены HOTP, TOTP и OCRA с предустановленными секретными ключами. Аппаратные токены более надежны, чем все остальные способы доставки одноразовых паролей. Они работают автономно и не подвержены вирусам, исключена возможность перехвата OTP при доставке. Кроме того, бесконтактные токены Protectimus невозможно забыть в USB разъеме (как это часто случается с U2F токенами). OCRA токены позволяют достичь особого уровня безопасности, поскольку переменной в алгоритме OCRA каждый раз выступает новое значение, актуальное только для одной транзакции. Наши токены могут использоваться как непосредственно с сервисом Protectimus, так и с другими системами двухфакторной аутентификации, если администратор может внести туда секретные ключи.
Перепрошиваемые TOTP токены
Аппаратные TOTP токены Protectimus Slim NFC уникальны потому, что пользователь (или администратор) может сам прошить секретный ключ в этот токен. Все, что нужно для прошивки токена — Android смартфон с поддержкой технологии NFC. Приложение для прошивки Protectimus TOTP Burner бесплатно доступно на Google Play.
Это самый безопасный способ генерации одноразовых паролей, известный на сегодняшний день. Такой OTP токен обладает всеми преимуществами стандартных токенов (работает автономно и не подвержен вирусам или перехвату OTP). Но и секретные ключи при этом не известны никому, кроме конечного пользователя (в отличие от обычной ситуации, когда секретные ключи передают с завода-производителя поставщику, а от поставщика конечному клиенту).
Перепрошиваемые токены возможно подключить практически к любому сервису, если в нем поддерживается двухфакторная аутентификация. Токены Protectimus Slim NFC часто заказывают для индивидуального использования или для замены приложений в компаниях, где уже есть рабочая система двухфакторной аутентификации, но нет аппаратных токенов.
Итак, преимуществ у перепрошиваемых токенов уйма: надежность, универсальность, возможность перепрошить и переподключить к другому ресурсу. Недостаток один — приложение для прошивки доступно только для смартфонов на Android.
Поддержка токенов сторонних производителей
Если у клиентов есть аппаратные HOTP, TOTP или OCRA токены и секретные ключи от этих токенов, мы даем возможность подключить их к нашей системе. Это касается любых токенов любых производителей. То же правило распространяется и на программные токены.
SMS аутентификация
SMS аутентификация — явление устаревшее, но удобное. Минусы данного способа аутентификации следующие: сообщения передаются в незашифрованном виде и могут быть перехвачены, злоумышленники могут подменить SIM-карту или заразить смартфон вирусом, который считывает одноразовые пароли, к тому же, это самый дорогой вариант, так как клиенту приходится дополнительно оплачивать доставку SMS сообщений. Куда надежнее и дешевле использовать чат-боты в мессенджерах, о чем мы напишем ниже.
Тем не менее, некоторые клиенты до сих пор отказываются от любых других способов доставки одноразовых паролей кроме SMS, поэтому мы оставляем эту опцию доступной. А чтобы сделать двухфакторную аутентификацию по SMS более безопасной, можно подключить функцию подписи данных CWYS.
Возможность подключить собственного SMS провайдера в on-premise платформе. Если у клиента есть выгодный контракт с каким-либо SMS провайдером и он выбирает SMS-доставку временных паролей, то возможно легко подключить данного провайдера к on-premise платформе Protectimus через SMPP.
Email аутентификация
Доставлять одноразовые пароли по электронной почте так же удобно, как и отправлять SMS, но это еще и бесплатно. Чтобы настроить аутентификацию по email, администратору нужно знать только адреса электронной почты пользователей.
Но, опять же, это не самый лучший способ 2FA с точки зрения безопасности. Вся защита сводится к уровню защиты доступа к email. Да и устройство, на котором пользователь будет входить в свой ящик и открывать письмо с одноразовым паролем может быть заражено вирусом.
Protectimus Bot
Доставка одноразовых паролей с помощью чат-ботов в мессенджерах. На сегодня, Protectimus — единственная компания, которая предоставляет такую возможность. Пользователю не нужно устанавливать никаких дополнительных приложений, все уже есть в его любимом мессенджере. Нужно только подключить чат-бота Protectimus Bot в Telegram, Viber, Facebook Messenger или другом мессенджере, которым вы пользуетесь, и Protectimus будет отправлять запросы на подтверждение действия прямо туда.
По сути, все так же удобно, как и с Push-нотификациями. Пользователю нужно нажать на кнопку “Accept”, чтобы подтвердить действие, или “Deny” чтобы запретить аутентификацию.
Более того, с помощью чат-ботов клиент может отправлять своим пользователям любые дополнительные уведомления и получать от них обратную связь.
Мессенджеры намного лучше защищены от взлома, чем SMS, все сообщения шифруются, приложение можно дополнительно защитить PIN-кодом или биометрией, в зависимости от возможностей телефона, а также включить двухфакторную аутентификацию на доступ к самому мессенджеру. Из недостатков — нужен доступ к сети интернет и самоконтроль, чтобы не оставить мессенджер открытым на нескольких устройствах сразу.
Выводы
Оба сервиса двухфакторной аутентификации предоставляют своим пользователям широкий выбор средств доставки / генерации одноразовых паролей.
Важно отметить, что все средства доставки одноразовых паролей, которые предлагает Protectimus, соответствуют стандартам отраслевой инициативы OATH (Initiative for Open Authentication).
Решение двухфакторной аутентификации Duo, в свою очередь, работает по другому принципу, используя асимметричную криптографию, поэтому не все способы аутентификации Duo соответствуют стандартам OATH. Больше об этом различии читайте в статье “Duo Security vs Protectimus” в разделе “Технологии”.
Duo поддерживает SMS сообщения, голосовые вызовы, аппаратные HOTP токены и U2F токены, но в основном пользователи выбирают Duo именно благодаря их мобильному приложению с функцией Push нотификаций.
Protectimus, в отличии от Duo, не поддерживает U2F токены и голосовые вызовы, но предлагает другие более современные альтернативы: перепрошиваемые аппаратные TOTP токены Protectimus Slim NFC и доставку одноразовых паролей в мессенджерах.
Функции | Duo | Protectimus |
| Push нотификации | да | да |
| 2FA приложение | да | да |
| Аппаратные HOTP токены | да | да |
| Аппаратные TOTP токены | да1 | да |
| Аппаратные OCRA токены | нет | да |
| Аппаратные U2F токены | да | нет |
| SMS | да | да |
| нет | да | |
| Голосовые вызовы | да | нет |
| Чат-боты в мессенджерах | нет | да2 |
| Бэкап коды | да | нет |
- ↑К сервису двухфакторной аутентификации Duo Security можно подключать аппаратные TOTP токены сторонних производителей. Но Duo не рекомендует использовать TOTP токены, так как в этом сервисе не реализована возможность синхронизации токенов и сервера по времени.
- ↑На данный момент чат-боты Protectimus Bot доступны в Telegram, Viber, Facebook Messenger.
Читайте также
- Duo Security vs Protectimusй
- Duo Security vs Protectimus: Функционал
- Как работает двухфакторная аутентификация
- Одноразовые пароли: алгоритмы генерации и обзор основных видов токенов
- Аппаратный или программный токен — какой выбрать
- Эволюция средств двухфакторной аутентификации
- Двухфакторная аутентификация при помощи фоновых шумов — надежно или нет?
- Подпись данных в деталях
Источник фото и лого: duo.com
Subscribe To Our Newsletter
Join our mailing list to receive the latest news and updates from our team.
Подпишитесь на нашу рассылку!
Подпишитесь на нашу рассылку и получайте последние новости из мира информационной безопасности от блога Protectimus.
Спасибо за подписку на нашу рассылку!