Новостная лента
Истории клиентов Protectimus: 2FA для Volet
Volet — популярная платежная система для удобных международных платежей и операций с криптовалютами. Услугами платежной системы Volet пользуются миллионы людей по всему миру Наша компания Volet сотрудничает с Protectimus c 2015 года и мы в высшей степени довольны результатом этого сотрудничества. За прошедшие годы мы получили огромный положительный опыт совместной работы. Нас сопровождали на каждом этапе, начиная с интеграции и заканчивая дополнительными задачами, с которыми мы иногда обращаемся к команде Protectimus, в силу специфики нашей работы, и нас слышат, подсказывают и безусловно всегда идут навстречу. Ни для кого не секрет, что SMS авторизация и аутентификация в современных реалиях уже не безопасна. И когда пришло время отказаться от SMS, в Protectimus предложили использовать для доставки одноразовых паролей мессенджеры, и это реально проще, дешевле и безопаснее. За всё время сотрудничества мы получаем сервис в формате 24/7, а служба поддержки выше всяческих похвал. Исходя из выше сказанного, я и наша компания уверены, что наша инфраструктура и пользователи надежно защищены. Protectimus дает нам то, что нельзя купить за деньги — не ощущение безопасности, а реальную безопасность. Очень рекомендую к внедрению. Директор по информационной безопасности Volet, Артем Ш. Ключевые задачи по внедрению 2FA Администраторы платежной системы Volet поставили перед провайдером двухфакторной аутентификации следующие задачи Защитить учетные записи сотрудников компании Volet. Защитить учетные записи конечных пользователей платежной системы. Обеспечить дополнительный уровень защиты от фишинга и подмены данных. Обеспечить возможность выбора разных видов токенов для конечных пользователей Volet. Организовать адресную доставку аппаратных токенов пользователям платежной системы. Найти способ доставки одноразовых паролей, который будет таким же удобным для конечного пользователя как SMS, но при этом более безопасным и менее затратным. Для решения перечисленных задач были выбраны следующие продукты Protectimus Облачный сервис двухфакторной аутентификации (2FA) Protectimus Cloud Service; Разделение пользователей по группам с помощью ресурсов; Географические фильтры; Функция ограничения доступа по IP; Функция подписи данных CWYS (Confirm What You See); Классические аппаратные токены Protectimus Two; Приложение для генерации одноразовых паролей Protectimus Smart OTP (iOS и Android); Доставка одноразовых паролей через чат-боты Protectimus Bot в Telegram, Facebook Messenger, Viber. Поставленные задачи и результаты Провести интеграцию по API Интеграция с сервисом двухфакторной аутентификации Protectimus по API доступна даже для бесплатного тарифа. Команда Protectimus готова подключится и помочь с интеграцией, если это необходимо. Документация по интеграции через API находится в открытом доступе на сайте Protectimus Задать разные правила двухфакторной аутентификации (2FA) для учетных записей сотрудников компании и учетных записей пользователей платежной системы В сервисе двухфакторной аутентификации Protectimus можно разделить пользователей на группы с помощью ресурсов. Администраторы Volet создали несколько ресурсов — один для конечных пользователей, второй для сотрудников компании. На этих ресурсах заданы разные правила безопасности Например, для сотрудников активированы географические фильтры, фильтрация по IP, им назначены только аппаратные токены. В то же время на ресурсе с конечными пользователями Volet фильтры не используются, но активирована функция подписи данных CWYS и у пользователей есть возможность выбора одного из 3-х видов токенов: аппаратный, 2FA приложение или чат-боты Protectimus Bot. Обеспечить дополнительный уровень защиты от фишинга и подмены данных Для дополнительной защиты от фишинга, подмены данных, автозаливов, атак человек-посередине используется функция подписи данных CWYS (Confirm What You See). Одноразовые пароли генерируются на основании данных транзакции — суммы перевода, валюты, данных о получателе и т.д. Такой одноразовый пароль действителен только для той транзакции, которую осуществляет пользователь. Даже если OTP пароль перехватят, он не сработает для подписи другой операции Обеспечить возможность выбора разных видов токенов для...
далееАппаратный TOTP токен для Office 365: как подключить
В этой статье мы покажем, как подключить аппаратный TOTP токен для двухфакторной аутентификации в Microsoft Office 365, если у вас нет премиум-лицензии Microsoft Azure. Для этого подходит программируемый TOTP токен для Office 365 Protectimus Slim или Protectimus Flex. Эти OTP токены подключаются по тому же принципу, что и приложения для двухфакторной аутентификации (Google Authanticator и другие). Заказать аппаратный токен для Office 365 Аппаратные OTP токены для Office 365: Protectimus Slim и Flex Azure AD предлагает несколько стандартных способов входа с использованием двухфакторной аутентификации: Можно использовать мобильное приложение для генерации одноразовых паролей;Система может отправлять вам SMS-сообщения с одноразовыми паролями;Можно выбрать телефонный звонок для авторизации входа;И, наконец, самый надежный способ — вы можете использовать аппаратный TOTP токен для двухфакторной аутентификации в Microsoft Office 365, хотя сам Microsoft не предоставляет аппаратные OTP токены, но есть возможность подключить к Office 365 программируемые MFA токены Protectimus Slim и Protectimus Flex. Protectimus Flex Protectimus Slim Программируемый аппаратный TOTP токен это более надежная замена мобильному 2FA приложению. Токены Protectimus Slim NFC и Protectimus Flex — самые популярные OATH токены для Office 365. Это автономные устройства, они работают без подключения к Интернету или любой другой сети, поэтому OTP пароли, сгенерированные аппаратным OTP токеном, невозможно перехватить при доставке. Protectimus Slim и Protectimus Flex перепрошиваются. Это значит, что одно устройство можно отключить от одного ресурса и подключить для двухфакторной аутентификации на другом ресурсе. Прошивка осуществляется через NFC (Near Field Communication). Protectimus Flex отличается от аппаратного токена для Office 365 Protectimus Slim только дизайном. Protectimus Flex выглядит как брелок, а Protectimus Slim — как пластиковая карта формата мини или банковского размера ID1. Чтобы защитить доступ к Office 365 с помощью аппаратного OATH токена Protectimus, нужна базовая подписка на Office 365 с двухфакторной аутентификацией и телефон Android с поддержкой NFC. Премиум-лицензия Azure не требуется. | Читайте также: Прошиваемые TOTP токены Protectimus Slim NFC: ответы на часто задаваемые вопросы Как подключить аппаратный TOTP токен к Office 365 MFA Подключить аппаратной TOTP токен для двухфакторной аутентификации в Office 365 достаточно легко, шаги, описанные ниже, очень точно описывают процесс. Загрузите приложение Protectimus TOTP Burner на телефон Android с поддержкой NFC.Перейдите на страницу регистрации и войдите в свой аккаунт в Office 365.Перейдите на страницу настроек Office 365 https://myaccount.microsoft.com/?ref=MeControlПерейдите во вкладку Сведения для защиты. Нажмите на Добавить метод входа. Выберите Приложение для проверки подлинности из выпадающего списка и нажмите Добавить. Выберите вариант Я хочу использовать другое приложение для проверки подлинности. Откройте приложение Protectimus TOTP Burner на своем телефоне, убедитесь, что NFC включен, нажмите Далее. Теперь вы видите QR-код с секретным ключом. Необходимо отсканировать этот QR-код с помощью приложения Protectimus TOTP Burner и добавить его в аппаратный токен Protectimus Slim или Protectimus Flex через NFC. Запустите приложение Protectimus TOTP Burner и нажмите кнопку Прошивка токена. Затем нажмите Сканировать и отсканируйте QR-код. Когда QR-код успешно отсканирован, включите аппаратный TOTP токен Protectimus Flex или Protectimus Slim и поднесите его к телефону. Держите OTP токен как можно ближе к телефону в пределах досягаемости антенны NFC и нажмите Продолжить, чтобы добавить секретный ключ в токен. После того, как секретный ключ будет успешно добавлен в ваш аппаратный OATH токен для Office 365, останется только завершить выпуск токена в Office 365. Вернитесь на страницу настройки в Office 365, нажмите Далее и введите одноразовый пароль, сгенерированный аппаратным токеном, который вы только что настроили. Затем снова нажмите Далее. Вот и все, теперь вы будете входить...
далееИстории клиентов Protectimus: 2FA для DXC Technology
DXC Technology — международная IT корпорация, включающая более 70 компаний из разных стран и более 130 000 сотрудников. Предоставляет услуги в сфере IT консалтинга, обслуживания корпоративной IT техники, системной интеграции. Protectimus предоставляет услуги двухфакторной аутентификации итальянскому подразделению DXC Technology — Xchanging Italy. Мы выбрали решение Protectimus благодаря их уникальной технологии Dynamic Strong Password Authentication (DSPA). Protectimus DSPA интегрируется напрямую с Active Directory, поэтому с помощью этого продукта мы одним махом добавили 2FA на все сервисы, которые нужно было защитить. Мы уже год пользуемся платформой двухфакторной аутентификации Protectimus и довольны этим продуктом. Mauro S., Главный инженер по информационным технологиям в Xchanging Italy a DXC Technology Ключевые задачи Xchanging Italy a DXC Technology по внедрению 2FA Компания Xchanging Italy, которая входит в группу DXC Technology, использует решение двухфакторной аутентификации Protectimus для защиты доступа практически ко всему корпоративному программному обеспечению, которое использует их персонал. При выборе поставщика двухфакторной аутентификации, IT инженеры DXC Technology искали решение, которое соответствовало бы двум критериям: позволяло защитить доступ сразу ко всем системам, которые используются сотрудниками компании для работы;подключалось и настраивалось бы относительно легко, IT отдел DXC Technology хотел избежать трудоемкого процесса интеграции двухфакторной аутентификации с каждым ПО отдельно и установки дополнительных программ на компьютеры работников. Обоим требованиям отвечает уникальная разработка Protectimus — решение Protectimus Dynamic Strong Password Authentication (DSPA). Protectimus DSPA интегрируется непосредственно с Active Directory, превращая пароли пользователей, которые хранятся в AD, в динамические двухфакторные пароли. Такой динамический двухфакторный пароль (например, Pa$$code987654) состоит из двух частей: стандартного пароля (Pa$$code) и временного TOTP пароля (987654). Временный TOTP пароль постоянно меняется согласно заданному администратором интервалу времени, кратному 30 секундам. Чтобы получить одноразовый пароль, каждый раз при входе в свою учетную запись пользователю необходим TOTP токен. Таким образом, Protectimus DSPA позволяет добавить двухфакторную аутентификацию на все сервисы, подключенные к Active Directory, сразу. Более подробно о технологии Protectimus DSPA мы расскажем ниже. Компания Xchanging Italy DXC Technology хотела решить ряд задач Защитить доступ ко всему программному обеспечению, которым пользуются сотрудники компании.Провести интеграцию двухфакторной аутентификации в свою корпоративную инфраструктуру быстро и эффективно.Развернуть серверы двухфакторной аутентификации в своем окружении, чтобы не передавать информацию о пользователях третьей стороне и обеспечить максимальную защиту и отказоустойчивость 2FA системы. Для решения перечисленных задач были выбраны следующие продукты Protectimus Локальная платформа двухфакторной аутентификации Protectimus On-Premise Platform.Решение Protectimus DSPA для интеграции 2FA напрямую с Active Directory.2FA приложение для генерации одноразовых паролей Protectimus SMART OTP.Портал самообслуживания пользователей Protectimus, через который конечные пользователи Xchanging Italy выпускают и подключают OTP токены к своим корпоративным учетным записям. Поставленные задачи и результаты Защитить доступ ко всему корпоративному ПО с помощью двухфакторной аутентификации Уникальная технология Protectimus DSPA идеально подошла для решения этой задачи. Интеграция двухфакторной аутентификации происходит сразу на уровне хранилища пользователей (в данном случае Active Directory). К паролям пользователей в Active Directory добавляется динамическая часть, после чего для входа в каждый из сервисов, который обращается к AD для проверки паролей, пользователям нужно вводить двухфакторный пароль. Такой двухфакторный динамический пароль состоит из двух частей: Обычного пароля пользователя, который хранился в Active Directory и до интеграции с Protectimus. Эта часть двухфакторного пароля не меняется.Одноразового пароля, основанного на времени (TOTP пароля). Эта часть двухфакторного пароля меняется с периодичностью, установленной администратором, от 30 секунд и более. Двухфакторный динамический пароль, созданный с помощью компонента Protectimus DSPA, будет выглядеть примерно так — Pa$$code987654, где Pa$$code — пароль пользователя в AD, который не меняется, а 987654 — одноразовый пароль, сгенерированный...
далееИстории клиентов Protectimus: 2FA для SICIM
Компания SICIM – мировой лидер в области проектирования и строительства трубопроводов, насосных станций и установок, промышленных зданий и других объектов для нефтегазового сектора Мы начали сотрудничество с Protectimus в 2021 году. На данный момент оценка работы компании 10 из 10. Важным фактором при выборе именно этого поставщика двухфакторной аутентификации стала возможность кастомизации системы под наш проект. Нам нужно было защитить две системы (Roundcube + Fortigate Vpn Client) одним физическим токеном для каждого пользователя. После того, как мы созвонились с командой Protectimus и объяснили задачу, для нас бесплатно реализовали необходимый функционал и помогли настроить систему так, как мы того хотели. Проблем с работой токенов и серверной части за время сотрудничества не возникало. Все работает хорошо. Cristian G, Системный администратор в компании SICIM Ключевые задачи SICIM по внедрению 2FA Компания SICIM использует решение двухфакторной аутентификации (2FA) Protectimus для защиты доступа к корпоративным учетным записям по VPN, а также для защиты корпоративной электронной почты сотрудников. Для SICIM было важно найти поставщика двухфакторной аутентификации, который учитывает индивидуальные пожелания клиента, готов помогать с интеграцией, и при необходимости доработает свою систему под нужды SICIM. Кастомизация продуктов двухфакторной аутентификации Protectimus под требования клиента – один из наших профилей, поэтому мы с радостью пошли на встречу SICIM и добавили необходимый функционал в облачный сервис Protectimus. Рассмотрим проект по внедрению двухфакторной аутентификации для SICIM более детально. Компания SICIM хотела решить ряд задач Защитить доступ к корпоративным ресурсам при подключении по VPN.Защитить доступ к электронной почте сотрудников.Подключить аппаратные токены двухфакторной аутентификации.Настроить систему двухфакторной аутентификации так, чтобы сотрудники смогли использовать один и тот же аппаратный 2FA токен и для входа в свою электронную почту и для подключения к корпоративной учетной записи по VPN. Для решения перечисленных задач были выбраны следующие продукты Protectimus Облачный сервис двухфакторной аутентификации Protectimus Cloud Service;Компонент Protectimus RProxy для интеграции с VPN клиентом по RADIUS;Компонент Protectimus Rouncube для интеграции с почтовым клиентом;Программируемые аппаратные OTP токены Protectimus Flex;Внедрена дополнительная функция – возможность создавать алиасы пользователей. Это позволило использовать один токен для аутентификации на двух разных ресурсах. Поставленные задачи и результаты Защитить доступ к корпоративным ресурсам SICIM при подключении по VPN (Fortigate VPN Client) Для интеграции решения двухфакторной аутентификации Protectimus c Fortigate VPN Client был использован компонент Protectimus RADIUS 2FA, который позволяет подключить 2FA сервис или платформу Protectimus к любому устройству, если оно поддерживает протокол RADIUS. Документация по интеграции 2FA по протоколу RADIUS доступна здесь. Защитить доступ к электронной почте сотрудников SICIM (Roundcube) Для интеграции решения двухфакторной аутентификации Protectimus c почтовым клиентом Roundcube был использован компонент Protectimus Roundcube 2FA. Этот плагин помогает настроить 2FA при входе веб-клиент для работы с электронной почтой Roundcube всего за 15 минут. Инструкция по интеграции доступна здесь. Подключить аппаратные OTP токены Компания SICIM выбрала самые современные и надежные средства генерации временных паролей — аппаратные TOTP токены Protectimus Flex, которые прошиваются по NFC. Клиент может сам добавлять секретные ключи в такие токены. Для этого необходим только смартфон на Android с поддержкой NFC. Клиенты Protectimus могут выбирать из нескольких типов OTP токенов и средств доставки одноразовых паролей: разные модели аппаратных 2FA токенов (классические Protectimus Two или программируемые Protectimus Flex и Protectimus Slim NFC), 2FA приложение на iOS или Android, доставка временных паролей в Telegram, Viber, Facebook Messenger, по SMS или по электронной почте. Есть возможность активировать только один способ аутентификации, или использовать одновременно несколько вариантов. Список доступных методов OTP аутентификаторов доступен здесь. Настроить систему двухфакторной аутентификации так,...
далееАппаратные OATH токены для Azure MFA
Аппаратные TOTP токены для Azure MFA могут быть двух видов: Классические аппаратные токены с предустановленными секретными ключами — такие как Protectimus Two. Для подключения классических OATH токенов к Azure нужна лицензия Azure AD Premium P1 или P2.Программируемые аппаратные токены для Azure MFA Protectimus Slim NFC и Protectimus Flex, которые подключаются вместо приложения Microsoft Authenticator. Эти токены можно использовать без Premium подписки. В этой статье мы расскажем, как подключить каждый из этих токенов к Azur. Все три типа токенов для Azure MFA можно приобрести здесь. Купить аппаратный токен для Azure MFA Классические OATH токены для Azure MFA В настоящее время Azure AD поддерживает OTP токены с секретными ключами длиной не более 128 символов и сроком действия одноразовых паролей 30 или 60 секунд. Токены Protectimus Two соответствуют этим требованиям. После того, как вы закажите и получите OATH токены Proectimus Two, а также секретные ключи к ним, необходимо будет добавить токены в сервис Azure. Как это сделать описано в пошаговом руководстве ниже: Шаг 1. Подготовьте CSV файл, в котором указаны имя пользователя в формате UPN (User Principal Name), серийный номер токена (serial number), секретный ключ (secret key), интервал времени (timeinterval), производитель и модель аппаратного токена для Azure AD MFA (manufacturer, model). Результат должен выглядеть примерно так, обратите внимание, верхняя строка обязательна: Шаг 2. После того, как CSV файл будет создан и правильно оформлен, его необходимо загрузить в Azure. Войдите в свою учетную запись в портале Microsoft Azure, перейдите во вкладку Azure Active Directory, затем выбрать Группа безопасности и перейти во вкладку MFA. На странице MFA (Многофакторная идентификация — Начало работы) выберите OATH-токены (OATH tokens) и нажмите кнопку Отправка (Upload). Загрузите ваш CSV файл. Процесс загрузки может занять несколько минут. Шаг 3. Нажмите кнопку Обновить (Refresh). Если CSV-файл был успешно загружен, вы увидите список аппаратных токенов, если в файле допущена ошибка, вы получите уведомление об этом. Если файл загружен успешно: Если файл загружен с ошибкой: Шаг 4. Теперь вам нужно активировать аппаратный OTP токен для двухфакторной аутентификации в Azure. Если вы загрузили несколько токенов, нужно будет активировать их один за другим. Нажмите кнопку Активировать (Activate) в последнем столбце справа и введите пароль, сгенерированный соответствующим OATH токеном для Azure MFA. После этого нажмите кнопку OK. Шаг 5. Как только ваш одноразовый пароль пройдет проверку на сервере двухфакторной аутентификации, вы получите сообщение об успешной активации токена. Также в соответствующем столбце — Активирован (Activated) — появится галочка. Теперь ваш токен успешно активирован и его можно использовать для входа. Шаг 6. Настройки двухфакторной аутентификации в учетной записи пользователя. OATH-токены будут автоматически назначены пользователю в качестве основного метода двухфакторной аутентификации. Обратите внимание! Вы можете использовать несколько методов 2FA одновременно. Например, можно добавить приложение для двухфакторной аутентификации в качестве альтернативного метода. При входе в систему вам будет предложено ввести код из приложения для двухфакторной аутентификации или аппаратного токена. В этом случае оба одноразовых пароля (и из аппаратного токена, и из 2FA приложения) сработают при вводе в это поле: Если вы хотите использовать только аппаратный токен для двухфакторной аутентификации в Azure, войдите в свою учетную запись и деактивируйте другие методы двухфакторной аутентификации. Перейдите на страницу настроек https://myaccount.microsoft.com/?ref=MeControlПерейдите во вкладку Сведения для защиты.Удалите методы двухфакторной аутентификации, которые вам не нужны. Программируемые аппаратные токены для Azure MFA Как уже было упомянуто выше, для использования классических аппаратных токенов с Microsoft Azure MFA необходима Premium подписка, которая стоит от 6 евро в месяц за одного пользователя....
далееGoogle Authenticator vs Protectimus
Часто нас просят сравнить решение двухфакторной аутентификации Protectimus с Google Authenticator и рассказать чем мы лучше. Постараемся дать ответ в этой статье. Прежде всего, нужно понимать, что Google Authenticator — это только приложение для генерации одноразовых паролей. Один из наших токенов — Protectimus Smart OTP — является аналогом данного приложения. Но в любой системе аутентификации главное не OTP токен, который генерирует одноразовые пароли, а серверная часть, которая их проверяет. В отличие от Google Authenticator, Protectimus — это полноценное комплексное решение двухфакторной аутентификации, подключив которое вы раз и навсегда решите вопрос с защитой учетных записей своих сотрудников и/или пользователей от несанкционированного доступа. Когда мы получаем запрос с просьбой сравнить Protectimus и Google Authenticator, то понимаем, что серверную часть клиент планирует разработать самостоятельно, хотя еще сомневается. Поэтому мы также расскажем об основных преимуществах самостоятельной разработки серверной части решения 2FA и о трудностях с которыми вы обязательно столкнетесь. Зарегистрируйтесь в облачном сервисе Protectimus и получите $25 на счет Краткое содержание статьи для удобной навигации: Как построена любая система двухфакторной аутентификацииЧто такое Google AuthenticatorЧто такое ProtectimusСерверная часть: SAAS или On-premiseOTP токены: физические или программныеДополнительные функции решения MFA ProtectimusПреимущества и риски разработки серверной части собственными силамиПодводя итог Как построена любая система двухфакторной аутентификации Основа каждой системы двухфакторной аутентификации — MFA сервер. Именно серверная часть анализирует одноразовые пароли, которые вводят пользователи, и разрешает или запрещает доступ к ресурсу. Кроме анализа OTP, серверная часть может поддерживать дополнительные функции защиты данных, например, в сервисе двухфакторной аутентификации Protectimus — это возможность ограничить доступ в зависимости от географического местонахождения пользователя и времени входа в аккаунт, а также ограничение доступа по IP. Вторая обязательная составляющая любого решения двухфакторной аутентификации — MFA токены (аутентификаторы). Устройства для генерации одноразовых паролей, которые пользователи должны всегда иметь при себе, чтобы в нужный момент сгенерировать или получить код для входа в учетную запись. Аутентификаторы могут быть разных форм и видов (аппаратные, программные, SMS, email, чат-боты в мессенджерах), один из возможных вариантов — приложением Google Authenticator. Подробно о принципах генерации и проверки одноразовых паролей по алгоритмам двухфакторной аутентификации HOTP, TOTP и OCRA читайте здесь. Что такое Google Authenticator Google Authenticator — это один из видов MFA токенов, приложение для генерации одноразовых паролей по алгоритмам TOTP или HOTP, доступное бесплатно на Android и iOS. То есть это одна из необходимых составляющих системы двухфакторной аутентификации, но не полноценная система. Наши OTP токены, как и Google Authenticator, являются генераторами временных кодов, то есть лишь частью решения, так как необходим еще и сервер, который будет проверять сгенерированные пароли. К слову, мы поддерживаем Google Authenticator, Вы можете использовать его с нашим решением вместо физических токенов. Также у нас есть более продвинутый бесплатный аналог: программный токен Protectimus Smart OTP. Для полноты картины: мы также поддерживаем токены других производителей, построенных по стандартам OATH, и можем отправлять одноразовые коды по SMS, e-mail или через чат-боты в мессенджерах Telegram, Viber, Messenger. | Читайте также: Эволюция средств двухфакторной аутентификации Что такое Protectimus Protectimus — это полноценное решение двухфакторной аутентификации, которое включает как серверную часть, так и большой выбор OTP токенов. Серверная часть доступна как в виде облачного сервиса (SAAS), так и в виде платформы, которую клиент устанавливает на собственном сервере или в частном облаке (On-premise). Вы сможете быстро интегрировать решение двухфакторной аутентификации Protectimus в свою систему используя: готовые плагины (ADFS, OWA, RADIUS, RoundCube, Winlogon);SDK для популярных языков программирования (PHP, Python, Java);напрямую API. Список доступных OTP токенов...
далееУдаленная работа: инструкция по переходу на удаленку в условиях пандемии COVID-19
В этой статье собрано все, что нужно знать об удаленной работе. Мы делимся собственным опытом и рассказываем как организовать удаленный доступ к корпоративным ресурсам, как защитить учетные записи пользователей, которые работают удаленно, какими инструментами пользоваться для общения и постановки задач и как правильно выстроить коммуникацию с удаленной командой. Удаленная работа в ситуации пандемии — не просто тренд. Сегодня, когда количество зараженных коронавирусом COVID-19 растет в геометрической прогрессии, а лекарство или вакцину от вируса еще не изобрели, единственное средство борьбы с эпидемией — это социальное дистанцирование. Многие страны уже ввели карантин. Закрылись аэропорты, вокзалы, школы, рестораны, фитнес центры, ТРЦ, салоны красоты, а в некоторых случаях даже парки и детские площадки. Отменены концерты, лекции и конференции. В такой ситуации большинство частных и государственных компаний вынуждены переводить своих сотрудников на удаленку, если сфера деятельности это позволяет. Мы предлагаем владельцам бизнеса отнестись к переходу команд на удаленную работу как к возможности изучить новые инструменты и оптимизировать ресурсы. В условиях неминуемого экономического кризиса нужно использовать все доступные средства, чтобы адаптироваться к сложным условиям рынка и вырваться вперед. При этом особое внимание нужно уделить безопасности. Удаленное подключение к компьютеру — это дополнительное окно возможностей для злоумышленника. Мы расскажем чего стоит опасаться, как составить политики безопасности для удаленных работников и как настроить удаленный доступ к рабочим компьютерам с учетом возможных угроз. Двухфакторная аутентификация для Windows и RDP Краткое содержание статьи: С чего начать? Настройка удаленного доступа Подключение к удаленному рабочему столу через RDP Настройка двухфакторной аутентификации для RDP Обязательные инструменты для удаленной работы Облачные сервисы для совместной работы Мессенджеры Таск-менеджеры и CRM Инструменты для видео-звонков, презентаций и конференций Угрозы информационной безопасности при удаленной работе Возможность утечки конфиденциальной информации Возможность заражения корпоративной сети вредоносным ПО Возможность несанкционированного входа в корпоративную сеть Кибербезопасность при удаленной работе: как защититься от перечисленных угроз Защита удаленного подключения Двухфакторная аутентификация Выбор OTP токенов Политики безопасности С чего начать? Продумайте какой техникой будут пользоваться сотрудники для удаленной работы. Если человек использует рабочий ноутбук, пусть забирает его домой на время карантина. Если сотрудники работают на стационарных машинах, необходимо настроить удаленный доступ к компьютеру. Позаботьтесь о защите удаленного соединения и защите учетных записей пользователей на рабочих компьютерах. Проконтролируйте, чтобы сотрудники установили надежные пароли и активировали двухфакторную аутентификацию во всех сервисах, которые они используют для работы. Подключите двухфакторную аутентификацию для Windows и Microsoft RDP. Подготовьте пакет программного обеспечения для общения, работы с документами, постановки и контроля выполнения задач, а также для презентаций в онлайн-режиме. Скорее всего, вы уже используете большую часть из перечисленных инструментов, но если чего-то не хватает, необходимо будет выбрать и установить это ПО на компьютерах всех сотрудников. Пропишите политики безопасности при работе с домашнего компьютера. Проведите обязательный тренинг по основам информационной безопасности. Возможно, кто-то из сотрудников еще не знает что такое фишинг и социальная инженерия, почему нельзя подключаться к незнакомой точке Wi-Fi и почему нельзя хранить логин и пароль в файлике на рабочем столе. Вы должны сделать все, чтобы свести к минимуму возможность утечки данных. Настройка удаленного доступа Выбор программы для удаленного доступа зависит от операционной системы, которая установлена на рабочей машине пользователя. Windows. Если вы используете Windows, организовать подключение к удаленному рабочему столу лучше всего через RDP (Remote Desktop Protocol, то есть протокол удаленного рабочего стола). Для этого воспользуйтесь встроенной программой Microsoft Remote Desktop (доступно в Windows Professional, Enterprise, Ultimate). Если вы используйте другие редакции Windows, подойдет Microsoft Remote Assistance. MacOS. Используйте...
далееПрошиваемые TOTP токены Protectimus Slim NFC: ответы на часто задаваемые вопросы
Первые программируемые TOTP токены Protectimus Slim NFC были выпущены всего пару лет назад. За это время мы получили сотни заказов, а вместе с тем и сотни вопросов о том, как работают перепрошиваемые токены, чем они отличаются от классических, как запрограммировать токен, безопасно ли использовать такие OTP токены. В этой статье я расскажу о принципе работы классических аппаратных токенов и перепрошиваемых токенов, пошагово объясню как запрограммировать OTP токен Protectimus Slim NFC и отвечу на все популярные вопросы. Заказать токен Protectimus Slim NFC Для вашего удобства, краткое содержание статьи: Как работают TOTP токены?Как сервер аутентификации проверяет одноразовые пароли?Чем классические TOTP токены отличаются от программируемых?Почему перепрошиваемые TOTP токены лучше всех остальных?Как понять к какому сервису подойдет токен Protectimus Slim NFC?Как прошить токен Protectimus Slim NFC?Часто задаваемые вопросы Как работают TOTP токены? TOTP расшифровывается как Time-Based One-time Password — одноразовый пароль, основанный на времени. Соответственно, при генерации одноразовых паролей по алгоритму TOTP используется два параметра: Секретный ключ (shared secret). Уникальный код длиной, как правило, около 16-32 символов в Base32.Текущий интервал времени (обычно 30 или 60 секунд). Моментом начала отсчета интервалов времени считается Unix-время (полночь с 31.12.1969 на 01.01.1970 года по UTC). То есть, если токен поддерживает интервал времени 30 секунд, то количество секунд, прошедших с полуночи 1 января 1970, делится на 30, и полученное число используется для генерации одноразового пароля. OTP токен обрабатывает эти два значения по алгоритму TOTP (RFC 6238), результат хешируется, хеш обрезается до последних 6-ти (иногда 8-ми) цифр и выводится на дисплей токена. Так мы получаем одноразовый пароль, основанный на времени. Как сервер аутентификации проверяет одноразовые пароли? Чтобы сервер двухфакторной аутентификации мог проверить одноразовый пароль и разрешить или запретить доступ к учетной записи, ему должны быть известны те же вводные — тот же интервал времени и секретный ключ. Интервал времени. На любом сервере есть часы, а значит и возможность вычислить текущий интервал времени.Секретный ключ. Здесь есть два варианта: Или администратор загружает на сервер файл в формате csv с заранее заданными секретными ключами (так подключаются классические токены с предустановленными секретными ключами)Или секретные ключи генерируются самим сервером (так подключаются приложения для генерации одноразовых паролей такие как Protectimus Smart или Google Authenticator, а также прошиваемые аппаратные TOTP токены). Это и подводят нас к объяснению разницы между классическими и программируемыми аппаратными токенами. Классические TOTP токеныПрограммируемые TOTP токеныВ классических OTP токенах секретный ключ уже вшит при производстве и его нельзя изменить.В программируемых токенах секретный ключ изначально не задан, пользователь может добавить в токен секретный ключ, сгенерированный сервером аутентификации, как в мобильный аутентификатор. Чем классические TOTP токены отличаются от программируемых? Классические TOTP токены Классические аппаратные TOTP токены (Protectimus Two) — это OTP токены с предустановленными секретными ключами. Чтобы использовать такие токены, у клиента должна быть возможность загрузить секретные ключи на сервер. Если клиент планирует использовать классические OTP токены со сторонним сервисом двухфакторной аутентификации (например защитить Azure MFA или Sophos XG), мы передаем ему секретные ключи в зашифрованном виде. Если классические OTP токены будут использоваться с облачным сервисом Protectimus, мы добавляем секретные ключи сразу на сервер двухфакторной аутентификации Protectimus, поскольку это более безопасно и удобно. Программируемые TOTP токены Прошиваемые аппаратные TOTP токены (Protectimus Slim NFC) — отличное решение, если у вас нет доступа к серверу аутентификации и возможности загрузить csv файл с секретными ключами. Для прошивки секретного ключа используется Android смартфон с поддержкой технологии NFC и приложение Protectimus TOTP Burner. Сервер генерирует QR-код с секретным ключом и предлагает...
далееКак защититься от взлома электронной почты
Мы практически перестали писать бумажные письма. Те самые — на хрустящих новеньких листах. Львиная доля корреспонденции сейчас пересылается через интернет при помощи электронной почты. И это не столько личная переписка — та, в основном, ведется в разнообразных мессенджерах, в режиме интерактивного диалога, — сколько деловые письма, зачастую содержащие информацию, не предназначенную для чужих любопытных глаз. Поэтому защита от взлома электронной почты чрезвычайно важна. Предупрежден — значит вооружен: как хакеры могут взломать ваш email По номеру телефона. Если к почте “привязан” номер телефона и он известен взломщику, может использоваться следующая схема. Хакер обращается в почтовую службу для сброса пароля, указав телефон пользователя. На этот номер от почтового сервиса приходит SMS с просьбой подтвердить изменение пароля и кодом для этого. Мошенник в свою очередь отправляет сообщение, якобы от имени почты, с требованием указать этот код. Если хозяин почтового ящика не заметит разницы в адресе отправителя двух SMS, то код подтверждения уйдет хакеру, а тот уже использует его для своих целей. Воспользоваться трояном. Внедрить на компьютер жертвы троянский вирус — один из самых удобных для хакера способов взломать почту. Рассылается зловред обычно в виде ссылки в электронном письме. Единственная трудность — убедить пользователя по этой ссылке перейти. Поскольку обещания “халявы”, которые раньше широко использовались, сейчас срабатывают только на самых наивных, то кибермошенники вынуждены были поменять стиль атаки. Теперь зараженное вирусом послание может выглядеть как письмо от провайдера или банка: с печатями, логотипами и предложением скачать файл с новыми правилами или установить программу-клиент для удобства осуществления расчетов. Трояны постоянно совершенствуются и далеко не все из них определяются антивирусами. Получить физический доступ к чужому компьютеру. Имея возможность хотя бы на короткое время остаться “наедине” с компьютером жертвы, злоумышленник может установить на него кейлоггер либо программу для восстановления паролей. В первом случае в специальный файл записывается все, что пользователь вводит с клавиатуры (и пароли в том числе), а потом эти данные отсылаются по электронной почте на нужный хакеру адрес. При использовании программ для восстановления паролей (которые, как правило, не вызывают тревоги у антивирусов) можно сразу получить готовые данные. Существует еще более простой вариант того, как взломать электронную почту, даже без применения специальных программ. Достаточно скопировать каталог Cookies и потом проанализировать в поисках паролей. Правда, это может сработать только если пароли хранятся в браузере — но именно так и поступает большинство пользователей. Использовать социальную инженерию. Одним из громких скандалов последнего времени стала история со взломом почты директора ЦРУ Дж.Бреннана. Удивляет то, что почтовый ящик главы разведывательного ведомства был вскрыт обычным подростком, не имеющим глубоких технических познаний. Представившись сотрудником техподдержки, юный хакер связался с сотовым оператором и уточнил детали учетной записи Бреннана. Потом он от имени хозяина аккаунта позвонил в службу поддержки почтового сервиса и попросил сбросить пароль. Поскольку необходимая информация уже была получена в ходе предыдущего звонка (номер аккаунта, номер телефона, PIN-код и т. д.), такая просьба не вызвала никаких подозрений. Этот случай стал примером того, как взломать почту, зная основные данные аккаунта жертвы. Больше о социальной инженерии читайте здесь. Фишинг. Применяется достаточно часто — и не только для взлома почты, но и во многих других случаях. Создается поддельная страница входа в тот сервис, пароль от которого собирается получить злоумышленник, с доменным именем, похожим на “образец”. Затем пользователю с этого адреса отправляют письмо, якобы от администрации — например, о том, что почтовый ящик будет заблокирован и, чтобы этого избежать, нужно подтвердить пароль. Больше о фишинге читайте...
далее2FA боты в мессенджерах vs SMS аутентификация
В этой статье мы расскажем как работают 2FA боты (двухфакторная аутентификация через чат-ботов в мессенджерах), рассмотрим плюсы и минусы этого способа доставки одноразовых паролей, и разберемся что лучше — боты или SMS. Содержание: Как появился OTP токен Protectimus Bot Как работает двухфакторная аутентификация через чат-ботов 2FA боты — плюсы и минусы SMS аутентификация — плюсы и минусы Подводим итог: 3 причины отказаться от SMS аутентификации в пользу чат-ботов для MFA Как появились 2FA боты — OTP токен Protectimus Bot Однажды один из клиентов Protectimus (платежная система с 2 000 000 активных пользователей) поставил задачу — разработать способ доставки одноразовых паролей, который будет таким же удобным, как SMS аутентификация, но более безопасным и дешевым. Дело в том, что каждый месяц этот клиент тратил около $30 000 на оплату услуг SMS-провайдера и хотел снизить расходы. Через SMS доставлялись одноразовые пароли и системные уведомления (нотификации о поступлении или снятии средств со счета, информационные сообщения и т.п.). Решением задачи стала двухфакторная аутентификация с помощью чат-ботов в мессенджерах. Через чат-ботов Protectimus Bot в Telegram, Viber или Facebook Messenger можно бесплатно доставлять как одноразовые пароли, так и любые уведомления. И теперь наш клиент экономит на SMS около $20 000 ежемесячно. 2FA боты в мессенджерах решают большинство проблем, присущих SMS аутентификации: во-первых, это более безопасно, а во-вторых, БЕСПЛАТНО! Кроме того, использовать чат-боты почти так же удобно как SMS, а ведь SMS аутентификацию только за удобство и ценят. Узнайте больше о Protectimus Bot Как работает двухфакторная аутентификация через чат-ботов На данный момент 2FA боты ProtectimusBot доступны в трех мессенджерах: Facebook Messenger Telegram Viber Как правило, у человека, который пользуется смартфоном, уже установлен хоть один из этих мессенджеров. Когда пользователь подключает двухфакторную аутентификацию, он: Выбирает любой из указанных мессенджеров, находит там Protectimus Bot. Запрашивает свой уникальный ID с помощью команды /getid. Вводит полученный ID в системе, которую планирует защитить. Дальше сервис двухфакторной аутентификации Protectimus создает токен и отправляет пользователю одноразовый пароль через чат-бота. Пользователь подтверждает, что получил одноразовый пароль, введя его в соответствующую форму, чем и завершается процесс выпуска токена. Дальше все одноразовые пароли и сервисные сообщения будут приходить через чат-бота. Как для конечного пользователя, так и для нашего клиента двухфакторная аутентификация с помощью 2FA ботов бесплатна. Пример того, как происходит выпуск токена Protectimus Bot, продемонстрирован в видео ниже. Коснемся технической части. Программный токен в виде чат-бота поддерживает любой алгоритм двухфакторной аутентификации — HOTP, TOTP и OCRA. Благодаря этому, 2FA боты ProtectimusBot поддерживают и функцию подписи данных CWYS (Confirm What You See). Подпись данных подразумевает генерацию одноразовых паролей на основе данных об операции пользователя, например, могут использоваться данные транзакции: сумма, валюта, получатель, время и т.п. Это незаменимая функция для платежных систем и банков. Таким OTP паролем невозможно подписать нелегальную транзакцию даже если злоумышленник перехватит его. На данный момент только четыре токена Protectimus поддерживают функцию CWYS: приложение Protectimus Smart, а также Protectimus Mail, Protectimus SMS и чат-боты. | Читайте также: Информационная безопасность в FinTech: 10 инструментов для защиты платежной Чат-боты для 2FA vs SMS аутентификация 2FA боты — плюсы и минусы Плюсы Чат-боты для двухфакторной аутентификации доступны бесплатно как для клиента, так и для конечного пользователя. Через 2FA бота Protectimus Bot можно доставлять как одноразовые пароли, так и другие сообщения и уведомления. Сообщения в мессенджерах передаются в зашифрованном виде, если кто-то и перехватит одноразовый пароль, то не успеет его расшифровать. Вход в мессенджер, который используется для доставки OTP, защищен...
далее