защита двуфакторной аутентификацией

Защита почты двуфакторной аутентифакцией

Большое число взломов почтовых ящиков известных людей, о которых пишет пресса, и широкое обсуждение данных фактов выявили достаточное количество людей, заботящихся о безопасности своих данных. Именно им и адресована эта статья.

Что такое двухфакторная аутентификация и как она поможет?

Двухфакторная аутентификация — это метод идентификации с помощью данных двух разных типов. Обычно первый тип — это имя пользователя и пароль, а вот второй тип —  SMS или программа на смартфоне, ОТП устройство или сертификат.

SMS

Как работает двухфакторная аутентификация по SMS — достаточно много информации в интернете.

На мой взгляд, если потенциальная монетизация взлома вашего аккаунта не превышает 1000$, то такая защита вполне приемлема. В случае же если вы хотите защитить данные, представляющие большую ценность, то SMS не совсем подходящий способ. Может так случится, что ваш мобильный телефон будет похищен или заменена SIM, и, к тому времени как вы это заметите, вся ваша переписка уже будет скачана злоумышленником с сервера. Все помнят публикацию переписки Навального из учетной записи Gmail, которая была защищена подобным образом. Недавняя атака на пользователей мобильного клиента сбербанка наглядно продемонстрировала уязвимость этого способа.

Так же существенными минусами этого метода являются крайнее неудобство использования для защиты почты, проблемы для путешествующих и меняющих SIM карты и т.п.

Мобильное приложение

Аутентификация через мобильное приложение решает проблему защиты SIM карты от копирования или похищения и удобнее для путешествующих. Но остальные проблемы остаются.

OTP

ОТП (One Time Password) устройства предоставляют, наверное, самую высокую степень защиты из всех способов. Особенно надежны те устройства, на которых необходимо ввести ПИН код перед использованием. Не зря все заботящиеся о своей репутации банки используют только их для клиентских финансовых операций.

Главным минусом является то, что для повседневной работы с почтой их не очень удобно использовать.

Защита с помощью сертификата

Данная технология позволяет ограничить доступ к почте с учетными данными пользователя только с авторизованных устройств путем установки на устройства пользователя специального сертификата.

К сожалению, эта технология не решает вопрос защиты в случае кражи ноутбука или телефона пользователя. Однако, применение шифрования дисков в сочетании с датчиком отпечатка пальцев полностью решает вопрос защиты ноутбука, а при получении злоумышленником доступа к почте с мобильного телефона, ущерб будет несоизмеримо меньше чем при скачивании с сервера всей почты. Естественно, средства шифрования и защиты мобильных устройств могут свести ущерб от этой угрозы к нулю.

Главным плюсом этой технологии является ее прозрачность для пользователя. После установки сертификата на устройство, пользователь может работать как обычно, не вводя никаких кодов. При этом даже в случае компроментации пароля, использовать его можно будет только на авторизованных устройствах.

Сертификаты могут быть как привязаны к USB токену (популярное решение у Российских банков), так и к пользовательскому устройству – на наш взгляд, более подходящее решение для корпоративных пользователей.

Естественно, данная технология применима только для корпоративной почты и является одним из компонентов в комплексе мер по защите информации.

Итак, что же можно защищать — почту на MS Exchange Server и клиентов, работающих с ней по active Sync и OWA. К огромному сожалению, MS Outlook в текущей версии не поддерживает данное решение.

Технически, двухфакторная аутентификация с использованием сертификата опирается на корпоративную инфраструктуру открытых ключей (PKI). Чтобы предоставить устройству доступ, системный администратор устанавливает выписанный пользователю сертификат, содержащий приватный ключ без возможности экспорта.  После этой операции пользователь уже может использовать веб интерфейс Exchange (OWA). Перейдя по соответствующей ссылке, пользователь получает запрос сертификата как первого фактора аутентификация, после чего вводит свои учетные данные в вэб-форме как второй фактор и получает доступ к своей учетной записи.

Чтобы иметь возможность использовать двухфакторную аутентификацию, мобильные устройства должны поддерживать протокол ActiveSync 12 и выше. На данный момент его поддерживают устройства:

  • Apple iPhone/iPad с версией iOS 6.x и выше
  • смартфоны и планшеты на Android 4.1.2 и выше
  • устройства с Windows Phone 7 и выше

Системный администратор предприятия, при помощи iPhone Configuration Utility (iPCU), устанавливает на устройства Apple заранее подготовленный профиль, содержащий все необходимые данные учетной записи и сертификаты пользователя и центра сертификации.

На устройствах под управлением Android и Windows Phone администратор устанавливает подготовленные цепочки сертификатов и производит настройку учетной записи пользователя, указывая, каким сертификатом пользователь будет авторизоваться. Для больших организаций процесс может быть автоматизирован при помощи выделенного Mobile Device Management (MDM) ПО, которое может управлять устройствами на различных платформах, например, BES 12.