การรับรองความถูกต้องด้วยสองปัจจัยในโดเมนโดยใช้โทเค็นและ MS CA การเชื่อมโยงรหัสผ่านแบบครั้งเดียวเพิ่มเติมกับหน้าต่างเข้าสู่ระบบ Windows

รหัสผ่านไม่ใช่วิธีการป้องกันที่เชื่อถือได้มากนัก บ่อยครั้งที่มีการใช้รหัสผ่านที่ง่ายและคาดเดาได้ง่าย หรือผู้ใช้ไม่ได้ตรวจสอบความปลอดภัยของรหัสผ่านเป็นพิเศษ (พวกเขาจะแจกจ่ายให้เพื่อนร่วมงาน เขียนลงในกระดาษ ฯลฯ) Microsoft ได้ใช้เทคโนโลยีมายาวนานซึ่งช่วยให้คุณสามารถใช้ SmartCard เพื่อเข้าสู่ระบบได้เช่น ตรวจสอบในระบบโดยใช้ใบรับรอง แต่ไม่จำเป็นต้องใช้สมาร์ทการ์ดโดยตรง เนื่องจากต้องใช้เครื่องอ่านด้วย ดังนั้นจึงง่ายกว่าที่จะแทนที่ด้วยโทเค็น USB พวกเขาจะอนุญาตให้คุณใช้การตรวจสอบสิทธิ์แบบสองปัจจัย: ปัจจัยแรกคือรหัสผ่านจากโทเค็น ปัจจัยที่สองคือใบรับรองบนโทเค็น ต่อไป โดยใช้ตัวอย่างของโทเค็น USB JaCarta และโดเมน Windows ฉันจะบอกวิธีใช้กลไกการตรวจสอบสิทธิ์นี้

ก่อนอื่น ใน AD เราจะสร้างกลุ่ม “g_EtokenAdmin” และบัญชี รายการ "ตัวแทนการลงทะเบียน" ที่เป็นส่วนหนึ่งของกลุ่มนี้ กลุ่มและผู้ใช้นี้จะจัดการผู้ออกใบรับรอง

นอกจากนี้เราจะติดตั้ง บริการเว็บเพื่อขอใบรับรอง

จากนั้นเลือกตัวเลือกสำหรับองค์กร เลือก Root CA (หากเป็นผู้ออกใบรับรองรายแรกในโดเมน)
สร้างคีย์ส่วนตัวใหม่ ความยาวคีย์สามารถปล่อยไว้เท่าเดิมได้ แต่อัลกอริทึมการแฮชจะดีกว่าถ้าเลือก SHA2 (SHA256)


ป้อนชื่อของ CA และเลือกช่วงเวลาที่มีผลบังคับใช้ของใบรับรองหลัก
เราปล่อยให้พารามิเตอร์ที่เหลือเป็นค่าเริ่มต้นและเริ่มกระบวนการติดตั้ง


หลังการติดตั้ง ให้ไปที่สแนปอินของผู้ออกใบรับรองและกำหนดค่าสิทธิ์ในเทมเพลต

เราจะสนใจเทมเพลตสองแบบ: ตัวแทนการลงทะเบียนและการเข้าสู่ระบบสมาร์ทการ์ด
ไปที่คุณสมบัติของเทมเพลตเหล่านี้และบนแท็บความปลอดภัยให้เพิ่มกลุ่ม “g_EtokenAdmin” ที่มีสิทธิ์อ่านและใช้

และจะปรากฏในรายการทั่วไปของเรา

ขั้นตอนต่อไปคือการกำหนดค่านโยบายกลุ่ม:
ก่อนอื่น เราจะแจ้งให้คอมพิวเตอร์ทุกเครื่องในโดเมนทราบเกี่ยวกับผู้ออกใบรับรองหลัก เพื่อดำเนินการนี้ เราจะเปลี่ยนนโยบายโดเมนเริ่มต้น
การกำหนดค่าคอมพิวเตอร์ -> นโยบาย -> การกำหนดค่า Windows -> การตั้งค่าความปลอดภัย -> นโยบายคีย์สาธารณะ -> ผู้ออกใบรับรองรูทที่เชื่อถือได้ -> นำเข้า


มาเลือกใบรับรองหลักของเราซึ่งอยู่ตามเส้นทาง: C:\Windows\System32\certsrv\CertEnroll ปิดนโยบายโดเมนเริ่มต้น
ในขั้นตอนถัดไป เราจะสร้างนโยบายสำหรับคอนเทนเนอร์ที่จะระบุคอมพิวเตอร์ที่มีการตรวจสอบสิทธิ์โทเค็น (สมาร์ทการ์ด)

ตามเส้นทาง: การกำหนดค่าคอมพิวเตอร์ -> นโยบาย -> การกำหนดค่า Windows -> การตั้งค่าความปลอดภัย -> นโยบายท้องถิ่น-> การตั้งค่าความปลอดภัย มากำหนดค่าพารามิเตอร์สองตัว "การเข้าสู่ระบบแบบโต้ตอบ: ต้องใช้สมาร์ทการ์ด" และ "การเข้าสู่ระบบแบบโต้ตอบ: ลักษณะการทำงานเมื่อถอดสมาร์ทการ์ด"

เพียงเท่านี้คุณก็สามารถสร้างใบรับรองไคลเอ็นต์และตรวจสอบการรับรองความถูกต้องโดยใช้โทเค็นได้แล้ว
เข้าสู่ระบบคอมพิวเตอร์ภายใต้บัญชี “ตัวแทนการลงทะเบียน” และเปิดเบราว์เซอร์โดยคลิกที่ลิงค์ http://Server_name_MS_CA/certsrv

เลือกคำขอใบรับรอง -> คำขอใบรับรองขั้นสูง -> สร้างและออกคำขอไปยัง CA นี้
หากคุณได้รับข้อผิดพลาดเช่น “ในการกรอกใบสมัครเพื่อรับใบรับรอง คุณต้องกำหนดค่าเว็บไซต์สำหรับ CA เพื่อใช้การรับรองความถูกต้อง HTTPS” จากนั้นคุณจะต้องผูกไซต์เข้ากับโปรโตคอล https บนเซิร์ฟเวอร์ IIS ที่ติดตั้ง MS CA .


มารับใบรับรองต่อไป โดยในหน้าที่เปิดขึ้น ให้เลือกเทมเพลต: “ตัวแทนการลงทะเบียน” แล้วคลิกปุ่มเพื่อออกและติดตั้งใบรับรอง


ขณะนี้ผู้ใช้ตัวแทนการลงทะเบียนสามารถออกใบรับรองให้กับผู้ใช้รายอื่นได้แล้ว ตัวอย่างเช่น ขอใบรับรองสำหรับการทดสอบผู้ใช้ เมื่อต้องการทำเช่นนี้ ให้เปิดคอนโซลการจัดการใบรับรอง certmgr.msc เนื่องจาก จะไม่สามารถเขียนใบรับรองไปยังโทเค็น USB ผ่านทางเว็บอินเตอร์เฟสได้
ในคอนโซลนี้ ในโฟลเดอร์ส่วนตัว เราจะส่งคำขอในนามของผู้ใช้รายอื่น


เพื่อเป็นลายเซ็น ให้เลือกใบรับรอง “ตัวแทนการลงทะเบียน” เท่านั้น และดำเนินการขั้นตอนต่อไป ซึ่งเราเลือกรายการ “เข้าสู่ระบบด้วยสมาร์ทการ์ด” แล้วคลิกรายละเอียดเพื่อเลือกผู้ให้บริการ crypto
ในกรณีของฉัน ฉันใช้โทเค็น JaCarta ดังนั้นจึงมีการติดตั้งผู้ให้บริการ crypto “Athena...” พร้อมกับไดรเวอร์:


ในขั้นตอนถัดไปเราเลือก ผู้ใช้โดเมนซึ่งเราออกใบรับรองแล้วคลิกที่ปุ่ม "แอปพลิเคชัน"

เราใส่โทเค็น ป้อนรหัส PIN และกระบวนการสร้างจะเริ่มต้นขึ้น เป็นผลให้เราควรเห็นกล่องโต้ตอบที่ระบุว่า "ความสำเร็จ"
หากกระบวนการไม่ประสบผลสำเร็จ อาจเป็นเทมเพลตสำหรับการขอรับใบรับรอง ในกรณีของฉัน จำเป็นต้องแก้ไขเล็กน้อย

มาเริ่มการทดสอบตรวจสอบการทำงานของโทเค็นบนคอมพิวเตอร์ที่อยู่ใน OU ด้วย นโยบายกลุ่มเข้าสู่ระบบโดยใช้สมาร์ทการ์ด
เมื่อเราพยายามเข้าสู่ระบบโดยใช้บัญชีด้วยรหัสผ่าน เราควรได้รับการปฏิเสธ เมื่อเราพยายามเข้าสู่ระบบด้วยสมาร์ทการ์ด (โทเค็น) เราจะได้รับแจ้งให้ป้อน PIN และควรเข้าสู่ระบบได้สำเร็จ

ปล.
1) หากการล็อคคอมพิวเตอร์อัตโนมัติหรือการออกจากระบบไม่ทำงานหลังจากลบโทเค็นแล้ว ให้ดูว่าบริการ "นโยบายการกำจัดสมาร์ทการ์ด" ทำงานอยู่หรือไม่
2) คุณสามารถเขียนไปยังโทเค็น (สร้างใบรับรอง) ได้ในเครื่องเท่านั้น โดยจะไม่ทำงานผ่าน RDP
3) หากคุณไม่สามารถเริ่มกระบวนการสร้างใบรับรองได้โดยใช้ แม่แบบมาตรฐาน“ เข้าสู่ระบบด้วยสมาร์ทการ์ด” สร้างสำเนาด้วยพารามิเตอร์ต่อไปนี้

เพียงเท่านี้ หากคุณมีคำถามใด ๆ ถาม ฉันจะพยายามช่วย

  • บทช่วยสอน

บางท่านคงเคยได้ยินเกี่ยวกับเหตุการณ์ที่เกิดขึ้นเมื่อไม่นานมานี้ ผู้ผลิตเซมิคอนดักเตอร์ในอเมริกา Allegro MicroSystem LLC ฟ้องอดีตผู้เชี่ยวชาญด้านไอทีฐานก่อวินาศกรรม Nimesh Patel ซึ่งทำงานให้กับบริษัทมาเป็นเวลา 14 ปี ได้ทำลายข้อมูลทางการเงินที่สำคัญในสัปดาห์แรกของปีงบประมาณใหม่


สิ่งนี้เกิดขึ้นได้อย่างไร?


สองสัปดาห์หลังจากการถูกไล่ออก Patel ได้เข้าไปในสำนักงานใหญ่ของบริษัทในเมืองวูสเตอร์ (แมสซาชูเซตส์ สหรัฐอเมริกา) เพื่อจับเครือข่าย Wi-Fi ขององค์กร Patel เข้าสู่ระบบเครือข่ายองค์กรโดยใช้ข้อมูลประจำตัวของอดีตเพื่อนร่วมงานและแล็ปท็อปที่ทำงาน จากนั้นเขาก็นำโค้ดไปใช้งานในโมดูล Oracle และตั้งโปรแกรมให้รันในวันที่ 1 เมษายน 2016 ซึ่งเป็นสัปดาห์แรกของโมดูลใหม่ ปีการเงิน- รหัสนี้มีจุดประสงค์เพื่อคัดลอกส่วนหัวหรือตัวชี้ไปยังตารางฐานข้อมูลแยกต่างหากและ การลบครั้งต่อไปพวกเขาจากโมดูล ตรงกับวันที่ 1 เมษายน ข้อมูลถูกลบออกจากระบบ และเนื่องจากผู้โจมตีเข้าสู่ระบบเครือข่าย Allegro อย่างถูกกฎหมาย การกระทำของเขาจึงไม่ถูกสังเกตเห็นในทันที


ประชาชนทั่วไปไม่ทราบรายละเอียด แต่เป็นไปได้มากว่าเหตุการณ์นี้เกิดขึ้นได้ส่วนใหญ่เนื่องมาจากการที่บริษัทใช้การตรวจสอบรหัสผ่านเพื่อเข้าถึงเครือข่าย แน่นอนว่ามีปัญหาด้านความปลอดภัยอื่น ๆ แต่เป็นรหัสผ่านที่ผู้ใช้สามารถขโมยได้โดยไม่มีใครสังเกตเห็นและความจริงของการขโมยรหัสผ่านจะไม่ถูกตรวจพบใน สถานการณ์กรณีที่ดีที่สุดจนถึงขั้นใช้ข้อมูลประจำตัวที่ถูกขโมยไป


การประยุกต์ใช้อย่างเข้มงวด การรับรองความถูกต้องด้วยสองปัจจัยและการห้ามใช้รหัสผ่านร่วมกับนโยบายความปลอดภัยที่มีความสามารถอาจช่วยได้หากไม่หลีกเลี่ยงการพัฒนาเหตุการณ์ที่อธิบายไว้จะทำให้การดำเนินการตามแผนดังกล่าวมีความซับซ้อนอย่างมาก


เราจะพูดถึงวิธีที่คุณสามารถเพิ่มระดับความปลอดภัยของบริษัทของคุณอย่างมีนัยสำคัญและป้องกันตัวเองจากเหตุการณ์ดังกล่าวได้อย่างไร คุณจะได้เรียนรู้วิธีตั้งค่าการรับรองความถูกต้องและการลงนามข้อมูลที่ละเอียดอ่อนโดยใช้โทเค็นและการเข้ารหัส (ทั้งในประเทศและต่างประเทศ)


ในบทความแรก เราจะอธิบายวิธีตั้งค่าการรับรองความถูกต้องด้วยสองปัจจัยที่รัดกุมโดยใช้ PKI เมื่อเข้าสู่ระบบโดเมน บัญชีบน Windows


ในบทความต่อไปนี้ เราจะบอกวิธีการตั้งค่า Bitlocker ปกป้องอีเมล และการจัดการเอกสารอย่างง่าย เราจะตั้งค่าร่วมกับคุณด้วย การเข้าถึงที่ปลอดภัยถึง ทรัพยากรขององค์กรและรักษาความปลอดภัยการเข้าถึงระยะไกลผ่าน VPN

การรับรองความถูกต้องด้วยสองปัจจัย

มีประสบการณ์ ผู้ดูแลระบบและทีมรักษาความปลอดภัยทราบดีว่าผู้ใช้มีความหละหลวมอย่างยิ่งในการปฏิบัติตามนโยบายความปลอดภัย พวกเขาอาจจดข้อมูลประจำตัวลงในกระดาษโน้ตและติดไว้ข้างคอมพิวเตอร์ แบ่งปันรหัสผ่านกับเพื่อนร่วมงาน และอื่นๆ สิ่งนี้เกิดขึ้นบ่อยครั้งโดยเฉพาะอย่างยิ่งเมื่อรหัสผ่านมีความซับซ้อน (ประกอบด้วยอักขระมากกว่า 6 ตัวและประกอบด้วยตัวอักษรที่มีตัวพิมพ์เล็ก ตัวเลข และอักขระพิเศษต่างกัน) และเป็นการยากที่จะจดจำ แต่นโยบายดังกล่าวถูกกำหนดโดยผู้ดูแลระบบด้วยเหตุผล นี่เป็นสิ่งจำเป็นเพื่อปกป้องบัญชีผู้ใช้จากการเดารหัสผ่านง่ายๆ โดยใช้พจนานุกรม นอกจากนี้ ผู้ดูแลระบบแนะนำให้เปลี่ยนรหัสผ่านอย่างน้อยหนึ่งครั้งทุกๆ 6 เดือน เพียงพิจารณาว่าในช่วงเวลานี้ในทางทฤษฎีมีความเป็นไปได้ที่จะใช้กำลังดุร้ายแม้กระทั่ง รหัสผ่านที่ซับซ้อน.


โปรดจำไว้ว่าการรับรองความถูกต้องคืออะไร ในกรณีของเรา นี่คือกระบวนการในการยืนยันความถูกต้องของวัตถุหรือวัตถุ การรับรองความถูกต้องของผู้ใช้เป็นกระบวนการยืนยันตัวตนของผู้ใช้


และการตรวจสอบสิทธิ์แบบสองปัจจัยคือการตรวจสอบสิทธิ์ที่คุณต้องใช้วิธีการที่แตกต่างกันอย่างน้อยสองวิธีเพื่อยืนยันตัวตนของคุณ


ตัวอย่างที่ง่ายที่สุดของการรับรองความถูกต้องด้วยสองปัจจัยในชีวิตจริงคือตู้เซฟที่มีการล็อคและการรวมกัน หากต้องการเปิดตู้เซฟคุณต้องรู้รหัสและมีกุญแจ

โทเค็นและสมาร์ทการ์ด

อาจเป็นวิธีที่น่าเชื่อถือที่สุดและง่ายที่สุดในการนำวิธีการตรวจสอบสิทธิ์แบบสองปัจจัยไปใช้คือการใช้โทเค็นการเข้ารหัสหรือสมาร์ทการ์ด โทเค็นคืออุปกรณ์ USB ที่เป็นทั้งเครื่องอ่านและสมาร์ทการ์ดในเวลาเดียวกัน ปัจจัยแรกในกรณีนี้คือการเป็นเจ้าของอุปกรณ์ และปัจจัยที่สองคือความรู้เกี่ยวกับรหัส PIN


ใช้โทเค็นหรือสมาร์ทการ์ดแล้วแต่สะดวกสำหรับคุณ แต่ในอดีต ผู้คนในรัสเซียคุ้นเคยกับการใช้โทเค็นมากกว่า เนื่องจากพวกเขาไม่จำเป็นต้องใช้เครื่องอ่านสมาร์ทการ์ดในตัวหรือภายนอก โทเค็นก็มีข้อเสียเช่นกัน ตัวอย่างเช่น คุณไม่สามารถพิมพ์ภาพถ่ายลงไปได้


ภาพถ่ายแสดงสมาร์ทการ์ดและเครื่องอ่านทั่วไป



อย่างไรก็ตาม กลับมาที่เรื่องความปลอดภัยขององค์กรกันดีกว่า


และเราจะเริ่มต้นด้วยโดเมน Windows เนื่องจากในบริษัทส่วนใหญ่ในรัสเซีย เครือข่ายองค์กรสร้างขึ้นรอบๆ มันอย่างแม่นยำ


ดังที่คุณทราบ นโยบายโดเมน Windows การตั้งค่าผู้ใช้ และการตั้งค่ากลุ่มใน Active Directory ให้และจำกัดการเข้าถึงแอปพลิเคชันและบริการเครือข่ายจำนวนมาก


ด้วยการปกป้องบัญชีโดเมน เราสามารถปกป้องทรัพยากรข้อมูลภายในส่วนใหญ่และในบางกรณีทั้งหมดได้

เหตุใดการตรวจสอบสิทธิ์แบบสองปัจจัยในโดเมนที่ใช้โทเค็นที่มีรหัส PIN จึงปลอดภัยกว่ารูปแบบรหัสผ่านปกติ

รหัส PIN เชื่อมโยงกับ อุปกรณ์เฉพาะในกรณีของเราเป็นโทเค็น การรู้รหัส PIN ด้วยตัวเองไม่ได้ให้อะไรเลย


ตัวอย่างเช่น รหัส PIN สำหรับโทเค็นสามารถกำหนดให้กับผู้อื่นทางโทรศัพท์ได้ และสิ่งนี้จะไม่ให้สิ่งใดแก่ผู้โจมตีหากคุณปฏิบัติต่อโทเค็นด้วยความระมัดระวังและไม่ปล่อยทิ้งไว้โดยไม่มีใครดูแล


ด้วยรหัสผ่าน สถานการณ์จะแตกต่างไปจากเดิมอย่างสิ้นเชิง หากผู้โจมตีหยิบ คาดเดา สอดแนม หรือครอบครองรหัสผ่านสำหรับบัญชีในโดเมนในทางอื่น เขาจะสามารถเข้าถึงทั้งสองโดเมนได้อย่างอิสระ ตัวเองและบริการอื่นๆ ของบริษัทที่ใช้บัญชีเดียวกันนี้


โทเค็นเป็นวัตถุทางกายภาพที่ไม่ซ้ำกันและไม่สามารถคัดลอกได้ เป็นของผู้ใช้ที่ถูกต้องตามกฎหมาย การรับรองความถูกต้องด้วยสองปัจจัยโดยใช้โทเค็นสามารถข้ามได้เมื่อผู้ดูแลระบบทิ้ง "ช่องโหว่" ไว้ในระบบโดยเจตนาหรือโดยไม่ตั้งใจเพื่อจุดประสงค์นี้เท่านั้น

ข้อดีของการเข้าสู่ระบบโดเมนโดยใช้โทเค็น

PIN โทเค็นนั้นง่ายต่อการจดจำเนื่องจากง่ายกว่ารหัสผ่านมาก ทุกคนคงเคยเห็นมาแล้วอย่างน้อยหนึ่งครั้งในชีวิตว่าผู้ใช้ “ผู้มีประสบการณ์” ล้มเหลวในการตรวจสอบสิทธิ์ในระบบอย่างเจ็บปวดหลังจากพยายามหลายครั้ง โดยจดจำและป้อนรหัสผ่าน “ปลอดภัย” ของตน


ไม่จำเป็นต้องเปลี่ยนรหัส PIN ตลอดเวลา เนื่องจากโทเค็นทนทานต่อการใช้ความรุนแรงของรหัส PIN ได้ดีกว่า หลังจากพยายามป้อนข้อมูลไม่สำเร็จจำนวนหนึ่ง โทเค็นจะถูกบล็อก


เมื่อใช้โทเค็น การเข้าสู่ระบบของผู้ใช้จะมีลักษณะดังนี้: หลังจากบูตคอมพิวเตอร์ เขาเพียงเสียบโทเค็นเข้ากับพอร์ต USB ของคอมพิวเตอร์ ป้อนตัวเลข 4-6 หลักแล้วกดปุ่ม Enter ความเร็วในการป้อนตัวเลข คนธรรมดาสูงกว่าความเร็วในการป้อนตัวอักษร ดังนั้นรหัส PIN จึงถูกป้อนเร็วขึ้น



โทเค็นช่วยแก้ปัญหา “การละทิ้งโต๊ะ” - เมื่อผู้ใช้ออกจากที่ทำงานและลืมออกจากระบบบัญชีของเขา

นโยบายโดเมนสามารถกำหนดค่าให้ล็อคคอมพิวเตอร์โดยอัตโนมัติเมื่อมีการดึงโทเค็น นอกจากนี้ โทเค็นยังสามารถติดตั้งแท็ก RFID เพื่อใช้ในการผ่านระหว่างสถานที่ของบริษัท ดังนั้นหากไม่รับโทเค็นจากที่ทำงาน พนักงานก็จะไม่สามารถเคลื่อนที่ไปทั่วอาณาเขตได้

ข้อเสียเราจะอยู่ที่ไหนถ้าไม่มีพวกเขา?

โทเค็นหรือสมาร์ทการ์ดไม่ฟรี (ตัดสินใจตามงบประมาณ)


สิ่งเหล่านี้จำเป็นต้องได้รับการพิจารณา บริหารจัดการ และบำรุงรักษา (แก้ไขโดยระบบการจัดการโทเค็นและสมาร์ทการ์ด)


บาง ระบบสารสนเทศอาจไม่รองรับการรับรองความถูกต้องโทเค็นนอกกรอบ (แก้ไขโดยระบบประเภทการลงชื่อเพียงครั้งเดียว - ออกแบบมาเพื่อจัดระเบียบความสามารถในการใช้บัญชีเดียวเพื่อเข้าถึงทรัพยากรในพื้นที่)

การตั้งค่าการรับรองความถูกต้องด้วยสองปัจจัยในโดเมน Windows

ส่วนทางทฤษฎี:


บริการ ไดเรกทอรีที่ใช้งานอยู่ไดเร็กทอรีรองรับการตรวจสอบสิทธิ์สมาร์ทการ์ดและโทเค็นตั้งแต่ Windows 2000 ซึ่งสร้างไว้ในส่วนขยาย PKINIT (การเริ่มต้นคีย์สาธารณะ) สำหรับโปรโตคอล Kerberos RFC 4556


โปรโตคอล Kerberos ได้รับการออกแบบมาเป็นพิเศษเพื่อให้มีการตรวจสอบสิทธิ์ผู้ใช้ที่เข้มงวด สามารถใช้การจัดเก็บข้อมูลการตรวจสอบสิทธิ์แบบรวมศูนย์และเป็นพื้นฐานสำหรับการสร้างกลไก Single Sing-On โปรโตคอลจะขึ้นอยู่กับตั๋วเอนทิตีหลัก



Ticket คือแพ็กเก็ตข้อมูลที่เข้ารหัสซึ่งออกโดยหน่วยงานตรวจสอบความถูกต้องที่เชื่อถือได้ ในแง่ของโปรโตคอล Kerberos - Key Distribution Center (KDC)


เมื่อผู้ใช้ดำเนินการตรวจสอบสิทธิ์หลักหลังจากตรวจสอบตัวตนของตนสำเร็จแล้ว KDC จะออกข้อมูลรับรองหลักของผู้ใช้สำหรับการเข้าถึงทรัพยากรเครือข่าย - Ticket Granting Ticket (TGT)


ในอนาคต เมื่อเข้าถึงทรัพยากรเครือข่ายแต่ละรายการ ผู้ใช้จะนำเสนอ TGT และรับข้อมูลประจำตัวจาก KDC สำหรับการเข้าถึงเครือข่ายเฉพาะ ทรัพยากรเครือข่าย- บริการออกบัตรโดยสาร (TGS)


ข้อดีอย่างหนึ่งของโปรโตคอล Kerberos ก็คือ ระดับสูงความปลอดภัยคือในระหว่างการโต้ตอบใด ๆ รหัสผ่านหรือค่าแฮชของรหัสผ่านจะไม่ถูกส่งในรูปแบบข้อความที่ชัดเจน


ส่วนขยาย PKINIT ช่วยให้คุณใช้การตรวจสอบสิทธิ์แบบสองปัจจัยโดยใช้โทเค็นหรือสมาร์ทการ์ดในระหว่างขั้นตอนการตรวจสอบสิทธิ์ล่วงหน้าของ Kerberos


สามารถเข้าสู่ระบบได้โดยใช้ทั้งบริการไดเรกทอรีโดเมนและ บริการท้องถิ่นแคตตาล็อก TGT ถูกสร้างขึ้นตาม ลายเซ็นอิเล็กทรอนิกส์ซึ่งคำนวณบนสมาร์ทการ์ดหรือโทเค็น


ตัวควบคุมโดเมนทั้งหมดต้องมี ใบรับรองที่ติดตั้งการตรวจสอบสิทธิ์ตัวควบคุมโดเมนหรือการตรวจสอบสิทธิ์ Kerberos เนื่องจากมีการนำกระบวนการตรวจสอบความถูกต้องร่วมกันของไคลเอนต์และเซิร์ฟเวอร์มาใช้


ฝึกฝน:


มาเริ่มตั้งค่ากันเลย


เราจะจัดทำขึ้นเพื่อให้คุณสามารถเข้าสู่โดเมนภายใต้บัญชีของคุณโดยการแสดงโทเค็นและรู้รหัส PIN เท่านั้น


สำหรับการสาธิต เราจะใช้ Rutoken EDS PKI ที่ผลิตโดยบริษัท Aktiv



ขั้นตอนที่ 1 - การตั้งค่าโดเมนก่อนอื่น มาติดตั้งบริการใบรับรองกันก่อน


ข้อสงวนสิทธิ์


บทความนี้ไม่ใช่บทช่วยสอนเกี่ยวกับการนำ PKI ขององค์กรไปใช้ ปัญหาของการออกแบบ การปรับใช้ และการใช้งาน PKI อย่างเหมาะสมไม่ได้ถูกกล่าวถึงที่นี่ เนื่องจากหัวข้อนี้มีมากมาย


ตัวควบคุมโดเมนทั้งหมดและคอมพิวเตอร์ไคลเอนต์ทั้งหมดภายในฟอเรสต์ที่มีการใช้โซลูชันดังกล่าวต้องเชื่อถือผู้ออกใบรับรองหลัก (ผู้ออกใบรับรอง)


งานของผู้ออกใบรับรองคือการยืนยันความถูกต้องของคีย์การเข้ารหัสโดยใช้ใบรับรองลายเซ็นอิเล็กทรอนิกส์


ในทางเทคนิคแล้ว ผู้ออกใบรับรองจะถูกนำไปใช้เป็นส่วนประกอบของบริการไดเรกทอรีร่วมซึ่งรับผิดชอบในการจัดการ คีย์เข้ารหัสผู้ใช้ คีย์สาธารณะและข้อมูลอื่น ๆ เกี่ยวกับผู้ใช้จะถูกจัดเก็บโดยหน่วยงานออกใบรับรองในรูปแบบของใบรับรองดิจิทัล


CA ที่ออกใบรับรองสำหรับการใช้สมาร์ทการ์ดหรือโทเค็นต้องถูกวางไว้ในพื้นที่เก็บข้อมูลของ NT Authority


ไปที่ตัวจัดการเซิร์ฟเวอร์แล้วเลือกเพิ่มบทบาทและคุณสมบัติ


เมื่อเพิ่มบทบาทของเซิร์ฟเวอร์ ให้เลือก "Active Directory Certificate Services" (Microsoft แนะนำอย่างยิ่งว่าอย่าทำเช่นนี้บนตัวควบคุมโดเมนเพื่อหลีกเลี่ยงปัญหาด้านประสิทธิภาพ) ในหน้าต่างที่เปิดขึ้น ให้เลือก "เพิ่มส่วนประกอบ" และเลือก "หน่วยงานรับรอง"


ในหน้าเพื่อยืนยันการติดตั้งส่วนประกอบให้คลิก "ติดตั้ง"


ขั้นตอนที่ 2 - การตั้งค่าการเข้าสู่ระบบโดเมนโดยใช้โทเค็น


ในการเข้าสู่ระบบ เราจำเป็นต้องมีใบรับรองที่มีการเข้าสู่ระบบสมาร์ทการ์ดและตัวระบุการรับรองความถูกต้องของไคลเอ็นต์


ใบรับรองสำหรับสมาร์ทการ์ดหรือโทเค็นต้องมี UPN ของผู้ใช้ (ส่วนต่อท้าย UPN) ตามค่าเริ่มต้น ส่วนต่อท้าย UPN สำหรับบัญชีคือชื่อ DNS ของโดเมนที่ประกอบด้วยบัญชีผู้ใช้


ต้องวางใบรับรองและคีย์ส่วนตัวไว้ในส่วนที่เหมาะสมของสมาร์ทการ์ดหรือโทเค็น และคีย์ส่วนตัวจะต้องอยู่ในพื้นที่ที่ปลอดภัยของหน่วยความจำของอุปกรณ์


ใบรับรองต้องระบุเส้นทางไปยังจุดแจกจ่ายรายการเพิกถอนใบรับรอง (จุดแจกจ่าย CRL) ไฟล์นี้ประกอบด้วยรายการใบรับรอง ซึ่งระบุหมายเลขซีเรียลของใบรับรอง วันที่เพิกถอน และเหตุผลในการเพิกถอน ใช้เพื่อสื่อสารข้อมูลเกี่ยวกับใบรับรองที่ถูกเพิกถอนไปยังผู้ใช้ คอมพิวเตอร์ และแอปพลิเคชันที่พยายามตรวจสอบความถูกต้องของใบรับรอง


มากำหนดค่าบริการใบรับรองที่ติดตั้งกัน ที่มุมขวาบน ให้คลิกที่สามเหลี่ยมสีเหลืองที่มีเครื่องหมายอัศเจรีย์ แล้วคลิก "กำหนดค่าบริการใบรับรอง..."



ในหน้าต่างข้อมูลประจำตัว ให้เลือกข้อมูลประจำตัวผู้ใช้ที่ต้องการเพื่อกำหนดค่าบทบาท เลือก "หน่วยงานออกใบรับรอง"


เลือก CA องค์กร


Enterprise CA ถูกรวมเข้ากับ AD พวกเขาเผยแพร่ใบรับรองและรายการเพิกถอนใบรับรองไปยัง AD


ระบุประเภทเป็น "Root CA"


ในขั้นตอนถัดไป เลือก “สร้างคีย์ส่วนตัวใหม่”


เลือกระยะเวลาที่ใบรับรองมีผลใช้ได้


ขั้นตอนที่ 3 - การเพิ่มเทมเพลตใบรับรอง


หากต้องการเพิ่มเทมเพลตใบรับรอง ให้เปิดแผงควบคุม เลือกเครื่องมือการดูแลระบบ และเปิดผู้ออกใบรับรอง


คลิกที่ชื่อโฟลเดอร์ “เทมเพลตใบรับรอง” เลือก “จัดการ”


คลิกที่ชื่อเทมเพลต “ผู้ใช้สมาร์ทการ์ด” และเลือก “คัดลอกเทมเพลต” ภาพหน้าจอต่อไปนี้แสดงการตั้งค่าในหน้าต่างคุณสมบัติเทมเพลตใหม่ที่คุณต้องเปลี่ยน


หาก “Aktiv ruToken CSP v1.0” ไม่อยู่ในรายชื่อซัพพลายเออร์ คุณจะต้องติดตั้งชุด “Rutoken Drivers for Windows”


ตั้งแต่ Windows Server 2008 R2 เป็นต้นไป คุณสามารถใช้ "Microsoft Base Smart Card Crypto Provider" แทนผู้ให้บริการพิเศษจากผู้ผลิตได้


สำหรับอุปกรณ์ Rutoken ไลบรารี "minidriver" ที่รองรับ "Microsoft Base Smart Card Crypto Provider" ได้รับการเผยแพร่ผ่าน Windows Update


คุณสามารถตรวจสอบว่ามีการติดตั้ง "minidriver" บนเซิร์ฟเวอร์ของคุณหรือไม่โดยเชื่อมต่อ Rutoken เข้ากับมันและค้นหาในตัวจัดการอุปกรณ์




หากไม่มี "minidriver" ด้วยเหตุผลบางประการ คุณสามารถติดตั้งได้โดยการติดตั้งชุด "Rutoken Drivers for Windows" จากนั้นใช้ "Microsoft Base Smart Card Crypto Provider"


ชุด “Rutoken Drivers for Windows” แจกจ่ายฟรีจากเว็บไซต์ Rutoken


เพิ่มเทมเพลตใหม่สองเทมเพลต "ตัวแทนการรับรอง" และ "ผู้ใช้ที่มี Rutoken"



ในหน้าต่าง Certificate Manager Snap-in ให้เลือกบัญชีผู้ใช้ของฉัน ในหน้าต่างเพิ่มหรือลบ Snap-In ให้ยืนยันการเพิ่มใบรับรอง


เลือกโฟลเดอร์ใบรับรอง




ขอใบรับรองใหม่ หน้าสำหรับลงทะเบียนใบรับรองจะเปิดขึ้น ในขั้นตอนการขอใบรับรอง ให้เลือกนโยบายการลงทะเบียน “ผู้ดูแลระบบ” และคลิก “ขอ”




ขอใบรับรองตัวแทนรับจดทะเบียนในลักษณะเดียวกัน


หากต้องการขอใบรับรองสำหรับผู้ใช้เฉพาะ ให้คลิก "ใบรับรอง" เลือก "ลงทะเบียนในนามของ..."



ในหน้าต่างคำขอใบรับรอง ให้เลือกช่องทำเครื่องหมาย "ผู้ใช้ที่มี Rutoken"


ตอนนี้คุณต้องเลือกผู้ใช้


ในช่อง "ป้อนชื่อของวัตถุที่เลือก" ให้ป้อนชื่อโดเมนของผู้ใช้แล้วคลิก "ตรวจสอบชื่อ"


ในหน้าต่างสำหรับเลือกผู้ใช้คลิก "แอปพลิเคชัน"


จากรายการแบบเลื่อนลง ให้เลือกชื่อโทเค็นแล้วป้อน PIN


เลือกใบรับรองสำหรับผู้ใช้รายอื่นในโดเมนในลักษณะเดียวกัน


ขั้นตอนที่ 4 - การตั้งค่าบัญชีผู้ใช้


หากต้องการกำหนดค่าบัญชี ให้เปิดรายชื่อผู้ใช้ AD และคอมพิวเตอร์


เลือก โฟลเดอร์ผู้ใช้และรายการ "คุณสมบัติ"



ไปที่แท็บ "บัญชี" ทำเครื่องหมายในช่อง "ต้องใช้สมาร์ทการ์ดสำหรับการเข้าสู่ระบบออนไลน์"


ตั้งค่านโยบายความปลอดภัย ในการดำเนินการนี้ ให้เปิดแผงควบคุมแล้วเลือก "การดูแลระบบ" เปิดเมนูเพื่อจัดการนโยบายกลุ่ม


ทางด้านซ้ายของหน้าต่างการจัดการนโยบายกลุ่ม คลิกนโยบายโดเมนเริ่มต้น และเลือกแก้ไข



ทางด้านซ้ายของหน้าต่าง Control Editor นโยบายกลุ่ม» เลือก “การตั้งค่าความปลอดภัย”



เปิดการเข้าสู่ระบบแบบโต้ตอบ: ต้องใช้นโยบายสมาร์ทการ์ด


บนแท็บ การตั้งค่านโยบายความปลอดภัย ให้เลือก กำหนด พารามิเตอร์ถัดไปนโยบาย" และ "เปิดใช้งาน"


เปิดนโยบายการเข้าสู่ระบบแบบโต้ตอบ: พฤติกรรมการกำจัดสมาร์ทการ์ด


บนแท็บ "การตั้งค่านโยบายความปลอดภัย" เลือกช่องทำเครื่องหมาย "กำหนดการตั้งค่านโยบายต่อไปนี้" และเลือก "ล็อคเวิร์กสเตชัน" จากรายการแบบเลื่อนลง


รีสตาร์ทคอมพิวเตอร์ของคุณ และครั้งต่อไปที่คุณพยายามตรวจสอบสิทธิ์ในโดเมน คุณจะสามารถใช้โทเค็นและรหัส PIN ของโทเค็นได้



มีการกำหนดค่าการรับรองความถูกต้องด้วยสองปัจจัยสำหรับการเข้าสู่ระบบโดเมน ซึ่งหมายถึงระดับความปลอดภัยสำหรับการเข้าสู่ระบบ โดเมนวินโดวส์โดยไม่ต้องใช้เงินจำนวนมหาศาลไปกับ เงินทุนเพิ่มเติมการป้องกัน ขณะนี้ หากไม่มีโทเค็น การเข้าสู่ระบบจึงเป็นไปไม่ได้ และผู้ใช้สามารถหายใจได้สะดวกและไม่ต้องกังวลกับรหัสผ่านที่ซับซ้อน


ขั้นตอนต่อไป - จดหมายที่ปลอดภัยอ่านเกี่ยวกับเรื่องนี้และการตั้งค่าการตรวจสอบสิทธิ์ที่ปลอดภัยในระบบอื่นในบทความถัดไปของเรา

แท็ก:

  • เซิร์ฟเวอร์ windows
  • พีเคไอ
  • รูโทเคน
  • การรับรองความถูกต้อง
เพิ่มแท็ก ฉันได้รับความคิดเห็นและคำชี้แจงที่ดีอย่างเหลือเชื่อจากเพื่อนที่ไม่ประสงค์ออกนาม:
1) ที่จุดเริ่มต้นของการตั้งค่าเซิร์ฟเวอร์ ให้ป้อนคำสั่ง:
multiotp.exe -debug -config default-request-prefix-pin=0 display-log=1 หลังจากนั้น ไม่จำเป็นต้องป้อนรหัสพินเมื่อตั้งค่าผู้ใช้ และบันทึกของการดำเนินการแต่ละรายการจะแสดงในคอนโซล

2) การใช้คำสั่งนี้คุณสามารถปรับเวลาแบนสำหรับผู้ใช้ที่ทำรหัสผ่านผิด (ค่าเริ่มต้น 30 วินาที):
multiotp.exe -debug -config ความล้มเหลวล่าช้าเวลา = 60
3) สิ่งที่จะเขียนไว้ในใบสมัคร Google Authenticatorตัวเลข 6 หลักที่สูงกว่าเรียกว่าผู้ออก สามารถเปลี่ยนจาก MultiOTP เริ่มต้นเป็นอย่างอื่นได้:
multiotp.exe -debug -config ผู้ออก = อื่น ๆ
4) หลังจากการดำเนินการเสร็จสิ้น คำสั่งในการสร้างผู้ใช้จะง่ายขึ้นเล็กน้อย:
multiotp.exe -debug - สร้างผู้ใช้ TOTP 12312312312312312321 6 (ฉันไม่ได้ตั้งเวลาอัปเดตหลักไว้ที่ 30 วินาที ดูเหมือนว่าจะเป็น 30 ตามค่าเริ่มต้น)

5) ผู้ใช้แต่ละคนสามารถเปลี่ยนคำอธิบายได้ (ข้อความใต้ตัวเลขในแอปพลิเคชัน Google รับรองความถูกต้อง):
multiotp.exe - ตั้งค่าคำอธิบายชื่อผู้ใช้ = 2
6) สามารถสร้างรหัส QR ได้โดยตรงในแอปพลิเคชัน:
multiotp.exe -ชื่อผู้ใช้ qrcode c:\multiotp\qrcode\user.png:\multiotp\qrcode\user.png
7) คุณสามารถใช้ได้ไม่เพียงแต่ TOTP เท่านั้น แต่ยังสามารถใช้ HOTP ได้ด้วย (ไม่ใช่ เวลาปัจจุบันและค่าของตัวนับส่วนเพิ่ม):
multiotp.exe -debug - สร้างชื่อผู้ใช้ HOTP 12312312312312312321 6

วันนี้เราจะบอกคุณว่าคุณสามารถตั้งค่าการตรวจสอบสิทธิ์แบบสองปัจจัยและเข้ารหัสข้อมูลสำคัญได้อย่างรวดเร็วและง่ายดายได้อย่างไร แม้ว่าจะใช้ข้อมูลไบโอเมตริกก็ตาม การแก้ปัญหาจะเกี่ยวข้องกับ บริษัทขนาดเล็กหรือเพียงเพื่อ คอมพิวเตอร์ส่วนบุคคลหรือแล็ปท็อป สิ่งสำคัญคือเราไม่จำเป็นต้องมีโครงสร้างพื้นฐานคีย์สาธารณะ (PKI) เซิร์ฟเวอร์ที่มีบทบาทเป็นผู้ออกใบรับรอง (บริการใบรับรอง) และเราไม่ต้องการโดเมนด้วยซ้ำ (Active Directory) ความต้องการของระบบทั้งหมดจะอยู่ที่ระบบปฏิบัติการ Windows และการมีอยู่ของคีย์อิเล็กทรอนิกส์โดยผู้ใช้ และในกรณีของการตรวจสอบสิทธิ์แบบไบโอเมตริกซ์ ก็รวมถึงเครื่องอ่านลายนิ้วมือด้วย ซึ่งอาจติดตั้งไว้ในแล็ปท็อปของคุณแล้ว

สำหรับการรับรองความถูกต้อง เราจะใช้ซอฟต์แวร์ของเรา - JaCarta SecurLogon และอิเล็กทรอนิกส์ กุญแจจาการ์ต้า PKI ในฐานะผู้ตรวจสอบความถูกต้อง เครื่องมือเข้ารหัสจะเป็น Windows ปกติ EFS การเข้าถึงไฟล์ที่เข้ารหัสจะมีให้ผ่านคีย์ JaCarta PKI (อันเดียวกับที่ใช้สำหรับการตรวจสอบสิทธิ์)

เราขอเตือนคุณว่า JaCarta SecurLogon เป็นโซลูชันซอฟต์แวร์และฮาร์ดแวร์ของบริษัท Aladdin R.D. ที่ได้รับการรับรองโดย FSTEC ของรัสเซีย ซึ่งช่วยให้ง่ายและ การเปลี่ยนแปลงอย่างรวดเร็วตั้งแต่การตรวจสอบสิทธิ์แบบปัจจัยเดียวโดยใช้คู่รหัสผ่านเข้าสู่ระบบไปจนถึงการตรวจสอบสิทธิ์แบบสองปัจจัยในระบบปฏิบัติการโดยใช้โทเค็น USB หรือสมาร์ทการ์ด สาระสำคัญของการแก้ปัญหานั้นค่อนข้างง่าย - JSL สร้างรหัสผ่านที่ซับซ้อน (~ 63 ตัวอักษร) และเขียนลงในหน่วยความจำที่ปลอดภัยของกุญแจอิเล็กทรอนิกส์ ในกรณีนี้ ผู้ใช้อาจไม่ทราบรหัสผ่านเอง แต่ผู้ใช้ทราบเพียงรหัส PIN เท่านั้น เมื่อป้อน PIN ระหว่างการตรวจสอบสิทธิ์ อุปกรณ์จะถูกปลดล็อคและส่งรหัสผ่านไปยังระบบเพื่อตรวจสอบสิทธิ์ หรือคุณสามารถแทนที่การป้อนรหัส PIN โดยการสแกนลายนิ้วมือของผู้ใช้ และคุณยังสามารถใช้ PIN + ลายนิ้วมือร่วมกันได้

EFS เช่น JSL สามารถทำงานในโหมดสแตนด์อโลนได้ โดยไม่ต้องใช้อะไรเลยนอกจากตัวระบบปฏิบัติการเอง ในห้องผ่าตัดทั้งหมด ระบบไมโครซอฟต์ตระกูล NT เริ่มต้นจาก Windows 2000 และใหม่กว่า (ยกเว้น รุ่นบ้าน) มีเทคโนโลยีการเข้ารหัสข้อมูล EFS (Encrypting ระบบไฟล์- การเข้ารหัส EFS ขึ้นอยู่กับความสามารถ ระบบไฟล์สถาปัตยกรรม NTFS และ CryptoAPI และได้รับการออกแบบมาเพื่อเข้ารหัสไฟล์บนฮาร์ดไดรฟ์ของคอมพิวเตอร์อย่างรวดเร็ว สำหรับการเข้ารหัส EFS จะใช้ไฟล์ส่วนตัวและ กุญแจสาธารณะผู้ใช้ซึ่งสร้างขึ้นในครั้งแรกที่ผู้ใช้ใช้ฟังก์ชันการเข้ารหัส คีย์เหล่านี้ยังคงไม่เปลี่ยนแปลงตราบใดที่บัญชีของเขายังมีอยู่ เมื่อเข้ารหัสไฟล์ EFS จะสร้างแบบสุ่ม หมายเลขที่ไม่ซ้ำที่เรียกว่าไฟล์ คีย์การเข้ารหัส(FEK) ความยาว 128 บิต โดยไฟล์จะถูกเข้ารหัส คีย์ FEK ถูกเข้ารหัสด้วยคีย์หลัก ซึ่งถูกเข้ารหัสด้วยคีย์ของผู้ใช้ระบบที่สามารถเข้าถึงไฟล์ได้ รหัสส่วนตัวของผู้ใช้ได้รับการป้องกันโดยแฮชของรหัสผ่านของผู้ใช้ ข้อมูลที่เข้ารหัสด้วย EFS สามารถถอดรหัสได้โดยใช้บัญชีเดียวกันเท่านั้น รายการ Windowsด้วยรหัสผ่านเดียวกับที่ใช้ในการเข้ารหัส และหากคุณเก็บใบรับรองการเข้ารหัสและคีย์ส่วนตัวไว้ในโทเค็น USB หรือสมาร์ทการ์ด ในการเข้าถึงไฟล์ที่เข้ารหัส คุณจะต้องมีโทเค็น USB หรือสมาร์ทการ์ดนี้ด้วย ซึ่งจะช่วยแก้ปัญหาการประนีประนอมรหัสผ่าน เนื่องจากจำเป็นต้องมี อุปกรณ์เพิ่มเติมในรูปแบบกุญแจอิเล็กทรอนิกส์

การรับรองความถูกต้อง

ตามที่ระบุไว้แล้ว คุณไม่จำเป็นต้องมี AD หรือผู้ออกใบรับรองในการกำหนดค่า แต่จำเป็นต้องมี Windows ที่ทันสมัย, การจัดจำหน่ายและใบอนุญาต JSL การตั้งค่านั้นเรียบง่ายอย่างน่าขัน

คุณต้องติดตั้งไฟล์ลิขสิทธิ์

เพิ่มโปรไฟล์ผู้ใช้

และเริ่มใช้การรับรองความถูกต้องด้วยสองปัจจัย

การรับรองความถูกต้องทางชีวภาพ

ก็สามารถใช้งานได้ การรับรองความถูกต้องทางชีวภาพโดยลายนิ้วมือ โซลูชันนี้ทำงานโดยใช้เทคโนโลยี Match On Card แฮชลายนิ้วมือจะถูกเขียนลงในการ์ดระหว่างการเริ่มต้นใช้งานครั้งแรก และจะถูกตรวจสอบกับต้นฉบับในภายหลัง ไม่ทิ้งการ์ดไปไหน ไม่ถูกจัดเก็บไว้ในฐานข้อมูลใดๆ ในการปลดล็อคคีย์ดังกล่าว จะใช้ลายนิ้วมือหรือ PIN + ลายนิ้วมือ, PIN หรือลายนิ้วมือผสมกัน

ในการเริ่มใช้งาน คุณเพียงแค่ต้องเริ่มต้นการ์ดด้วยพารามิเตอร์ที่จำเป็นและบันทึกลายนิ้วมือของผู้ใช้

ในอนาคตหน้าต่างเดิมจะเด้งขึ้นมาก่อนเข้าระบบปฏิบัติการ

ในตัวอย่างนี้ การ์ดจะถูกเตรียมใช้งานด้วยความสามารถในการตรวจสอบความถูกต้องโดยใช้ลายนิ้วมือหรือรหัส PIN ตามที่ระบุในหน้าต่างการตรวจสอบความถูกต้อง

หลังจากแสดงลายนิ้วมือหรือรหัส PIN แล้ว ผู้ใช้จะถูกนำเข้าสู่ระบบปฏิบัติการ

การเข้ารหัสข้อมูล

การตั้งค่า EFS นั้นไม่ซับซ้อนมากนัก ขึ้นอยู่กับการตั้งค่าใบรับรองและการออกใบรับรองให้กับคีย์อิเล็กทรอนิกส์และการตั้งค่าไดเรกทอรีการเข้ารหัส โดยปกติแล้ว คุณไม่จำเป็นต้องเข้ารหัสทั้งดิสก์ ไฟล์สำคัญจริงๆ ที่คุณไม่ต้องการให้บุคคลที่สามเข้าถึงได้มักจะอยู่ในไดเร็กทอรีที่แยกจากกันและไม่กระจัดกระจายแบบสุ่มทั่วทั้งดิสก์

เพื่อออกใบรับรองการเข้ารหัสและ รหัสส่วนตัวเปิดบัญชีผู้ใช้ของคุณ เลือก - จัดการใบรับรองการเข้ารหัสไฟล์ ในตัวช่วยสร้างที่เปิดขึ้น ให้สร้างใบรับรองที่ลงนามด้วยตนเองบนสมาร์ทการ์ด เนื่องจากเรายังคงใช้สมาร์ทการ์ดกับแอปเพล็ต BIO ต่อไป คุณต้องระบุลายนิ้วมือหรือ PIN เพื่อบันทึกใบรับรองการเข้ารหัส

ในขั้นตอนถัดไป ให้ระบุไดเร็กทอรีที่จะเชื่อมโยงกับใบรับรองใหม่ หากจำเป็น คุณสามารถระบุไดรฟ์แบบลอจิคัลทั้งหมดได้

ไดเร็กทอรีที่เข้ารหัสและไฟล์ในไดเร็กทอรีจะถูกเน้นด้วยสีอื่น

การเข้าถึงไฟล์จะดำเนินการเฉพาะในกรณีที่คุณมีรหัสอิเล็กทรอนิกส์เมื่อมีการแสดงลายนิ้วมือหรือรหัส PIN ขึ้นอยู่กับสิ่งที่เลือก

นี่เป็นการสิ้นสุดการตั้งค่า

คุณสามารถใช้ทั้งสองสถานการณ์ (การรับรองความถูกต้องและการเข้ารหัส) หรือคุณสามารถเลือกอย่างใดอย่างหนึ่งก็ได้

หากอุปสรรคเดียวในการเข้าถึงข้อมูลของคุณคือรหัสผ่าน แสดงว่าคุณมีความเสี่ยงสูง บัตรผ่านสามารถถูกดักจับ สกัดกั้น ลากออกไปโดยโทรจัน และทำการประมงโดยใช้ วิศวกรรมสังคม- การไม่ใช้การรับรองความถูกต้องด้วยสองปัจจัยในสถานการณ์นี้เกือบจะถือเป็นอาชญากรรม

เราได้พูดคุยเกี่ยวกับคีย์แบบครั้งเดียวมากกว่าหนึ่งครั้งแล้ว ความหมายนั้นง่ายมาก หากผู้โจมตีจัดการเพื่อให้ได้รหัสผ่านเข้าสู่ระบบของคุณ เขาสามารถเข้าถึงอีเมลของคุณหรือเชื่อมต่อได้อย่างง่ายดาย เซิร์ฟเวอร์ระยะไกล- แต่หากมีปัจจัยเพิ่มเติมเกิดขึ้น เช่น คีย์แบบครั้งเดียว (หรือที่เรียกว่าคีย์ OTP) ก็จะไม่มีอะไรทำงาน แม้ว่าคีย์ดังกล่าวจะตกอยู่ในมือของผู้โจมตี แต่ก็ไม่สามารถใช้งานได้อีกต่อไปเนื่องจากใช้ได้เพียงครั้งเดียวเท่านั้น ปัจจัยที่สองนี้อาจเป็นการโทรเพิ่มเติม รหัสที่ได้รับทาง SMS คีย์ที่สร้างขึ้นบนโทรศัพท์โดยใช้อัลกอริธึมบางอย่างตามเวลาปัจจุบัน (เวลาเป็นวิธีประสานอัลกอริธึมบนไคลเอนต์และเซิร์ฟเวอร์) Google เดียวกันได้แนะนำให้ผู้ใช้เปิดใช้งานการตรวจสอบสิทธิ์แบบสองปัจจัยมานานแล้ว (คลิกสองครั้งในการตั้งค่าบัญชี) ตอนนี้ได้เวลาเพิ่มชั้นการป้องกันสำหรับบริการของคุณแล้ว!

Duo Security นำเสนออะไรบ้าง?

ตัวอย่างเล็กน้อย คอมพิวเตอร์ของฉันมีพอร์ต RDP ที่เปิด "ภายนอก" สำหรับการเชื่อมต่อระยะไกลไปยังเดสก์ท็อป หากรหัสผ่านเข้าสู่ระบบรั่ว ผู้โจมตีจะได้รับทันที เข้าถึงได้เต็มรูปแบบไปที่รถ ดังนั้นจึงไม่มีคำถามเกี่ยวกับการเสริมสร้างการป้องกันรหัสผ่าน OTP - เพียงแค่ต้องทำเท่านั้น มันเป็นเรื่องโง่มากที่คิดค้นล้อขึ้นมาใหม่และพยายามทำทุกอย่างด้วยตัวเอง ดังนั้นฉันจึงมองไปที่โซลูชันที่มีอยู่ในตลาด ส่วนใหญ่กลายเป็นเชิงพาณิชย์ (รายละเอียดเพิ่มเติมในแถบด้านข้าง) แต่สำหรับผู้ใช้จำนวนน้อยก็สามารถใช้งานได้ฟรี สิ่งที่คุณต้องการสำหรับบ้านของคุณ หนึ่งในบริการที่ประสบความสำเร็จมากที่สุดที่ช่วยให้คุณสามารถจัดระเบียบการตรวจสอบสิทธิ์แบบสองปัจจัยสำหรับทุกสิ่งอย่างแท้จริง (รวมถึง VPN, SSH และ RDP) กลายเป็น Duo Security (www.duosecurity.com) สิ่งที่เพิ่มความน่าดึงดูดใจคือข้อเท็จจริงที่ว่าผู้พัฒนาและผู้ก่อตั้งโครงการคือ John Oberheid ผู้เชี่ยวชาญที่มีชื่อเสียงโดย ความปลอดภัยของข้อมูล- ตัวอย่างเช่น เขาแฮ็กเข้าสู่โปรโตคอลการสื่อสารของ Google ด้วยสมาร์ทโฟน Android ซึ่งสามารถใช้เพื่อติดตั้งหรือลบแอปพลิเคชันที่กำหนดเองได้ ฐานนี้ทำให้ตัวเองรู้สึกว่า: เพื่อแสดงความสำคัญของการรับรองความถูกต้องด้วยสองปัจจัยพวกเขาจึงเปิดตัว บริการวีพีเอ็น Hunter (www.vpnhunter.com) ซึ่งสามารถค้นหาเซิร์ฟเวอร์ VPN ที่ไม่ได้ซ่อนของบริษัทได้อย่างรวดเร็ว (และในขณะเดียวกันก็กำหนดประเภทของอุปกรณ์ที่พวกเขากำลังใช้งาน) บริการสำหรับ การเข้าถึงระยะไกล(OpenVPN, RDP, SSH) และองค์ประกอบโครงสร้างพื้นฐานอื่นๆ ที่ช่วยให้ผู้โจมตีสามารถเข้าถึงเครือข่ายภายในได้ง่ายๆ เพียงทราบข้อมูลเข้าสู่ระบบและรหัสผ่าน เป็นเรื่องตลกที่เจ้าของเริ่มเผยแพร่รายงานการสแกนทุกวันบน Twitter อย่างเป็นทางการของบริการ บริษัทที่มีชื่อเสียงหลังจากนั้นบัญชีก็ถูกแบน :) แน่นอนว่าบริการ Duo Security มีเป้าหมายหลักที่การแนะนำการตรวจสอบสิทธิ์แบบสองปัจจัยในบริษัทที่มีผู้ใช้จำนวนมาก โชคดีสำหรับเรา คุณสามารถสร้างบัญชีส่วนตัวได้ฟรี ซึ่งช่วยให้คุณสามารถจัดระเบียบการตรวจสอบสิทธิ์แบบสองปัจจัยสำหรับผู้ใช้สิบคนได้ฟรี

ปัจจัยที่สองอาจเป็นอะไร?

ต่อไป เราจะดูวิธีเสริมความปลอดภัยให้กับการเชื่อมต่อเดสก์ท็อประยะไกลและ SSH บนเซิร์ฟเวอร์ของคุณในเวลาเพียงสิบนาที แต่ก่อนอื่น ฉันอยากจะพูดถึงขั้นตอนเพิ่มเติมที่ Duo Security นำมาใช้เป็นปัจจัยการอนุญาตที่สอง มีหลายตัวเลือก: โทรศัพท์, SMS พร้อมรหัสผ่าน, รหัสผ่าน Duo Mobile, Duo Push, กุญแจอิเล็กทรอนิกส์ เพิ่มเติมเล็กน้อยเกี่ยวกับแต่ละ

ฉันสามารถใช้งานได้ฟรีนานแค่ไหน?

ดังที่กล่าวไปแล้ว Duo Security มอบข้อเสนอพิเศษ แผนภาษี"ส่วนตัว". มันฟรีแน่นอน แต่จำนวนผู้ใช้ไม่ควรเกินสิบคน รองรับการเพิ่มการบูรณาการได้ไม่จำกัดจำนวนทั้งหมด วิธีการที่มีอยู่การรับรองความถูกต้อง มอบเครดิตฟรีนับพันสำหรับบริการโทรศัพท์ เครดิตเปรียบเสมือนสกุลเงินภายในที่ถูกหักจากบัญชีของคุณทุกครั้งที่มีการตรวจสอบสิทธิ์โดยใช้การโทรหรือ SMS ในการตั้งค่าบัญชีของคุณคุณสามารถตั้งค่าได้เมื่อคุณไปถึง หมายเลขที่กำหนดคุณได้รับการแจ้งเตือนเกี่ยวกับเครดิตและคุณสามารถเติมเงินยอดคงเหลือของคุณได้ หนึ่งพันเครดิตมีราคาเพียง 30 เหรียญ ราคาการโทรและ SMS แตกต่างกันไปในแต่ละประเทศ สำหรับรัสเซีย การโทรจะมีค่าใช้จ่ายตั้งแต่ 5 ถึง 20 เครดิต SMS - 5 เครดิต อย่างไรก็ตาม จะไม่มีการคิดค่าบริการสำหรับการโทรที่เกิดขึ้นขณะตรวจสอบสิทธิ์บนเว็บไซต์ Duo Security คุณสามารถลืมเครดิตได้อย่างสมบูรณ์หากคุณใช้แอปพลิเคชัน Duo Mobile ในการตรวจสอบสิทธิ์ - ไม่มีค่าใช้จ่ายใด ๆ

ลงทะเบียนง่าย

เพื่อปกป้องเซิร์ฟเวอร์ของคุณด้วย Duo Security คุณต้องดาวน์โหลดและติดตั้ง ลูกค้าพิเศษซึ่งจะโต้ตอบกับเซิร์ฟเวอร์การตรวจสอบความถูกต้องของ Duo Security และมอบการป้องกันชั้นที่สอง ดังนั้นไคลเอนต์นี้จะแตกต่างกันในแต่ละสถานการณ์: ขึ้นอยู่กับว่าจำเป็นต้องใช้การรับรองความถูกต้องด้วยสองปัจจัยตรงจุดใด เราจะพูดถึงเรื่องนี้ด้านล่าง สิ่งแรกที่คุณต้องทำคือลงทะเบียนในระบบและรับบัญชี ดังนั้นเราจึงเปิด หน้าแรกเว็บไซต์ คลิก “ทดลองใช้ฟรี” บนหน้าที่เปิดขึ้น ให้คลิกปุ่ม “สมัคร” ใต้ประเภทบัญชีส่วนบุคคล หลังจากนั้นเราจะถูกขอให้กรอกชื่อ นามสกุล ที่อยู่อีเมล และชื่อบริษัทของเรา คุณควรได้รับอีเมลที่มีลิงก์เพื่อยืนยันการลงทะเบียนของคุณ ในกรณีนี้ระบบจะทำการโทรอัตโนมัติถึงแน่นอน หมายเลขโทรศัพท์ที่ระบุ: หากต้องการเปิดใช้งานบัญชีของคุณ คุณต้องรับสายแล้วกดปุ่ม # บนโทรศัพท์ของคุณ หลังจากนี้ บัญชีจะใช้งานได้ และคุณสามารถเริ่มการทดสอบการต่อสู้ได้

การปกป้อง RDP

ฉันกล่าวข้างต้นว่าฉันเริ่มต้นด้วยความปรารถนาอย่างยิ่งที่จะรักษาความปลอดภัย การเชื่อมต่อระยะไกลไปยังเดสก์ท็อปของคุณ ดังนั้น ผมจะอธิบายวิธีเสริมความปลอดภัย RDP ให้แข็งแกร่งขึ้นตามตัวอย่างแรก

  1. การใช้งานการรับรองความถูกต้องด้วยสองปัจจัยจะเริ่มต้นด้วย การกระทำที่เรียบง่าย: การสร้างการบูรณาการที่เรียกว่าในโปรไฟล์ Duo Security ไปที่ส่วน "การรวมระบบ  การรวมใหม่" ระบุชื่อของการรวมระบบ (เช่น "Home RDP") เลือกประเภท "Microsoft RDP" แล้วคลิก "เพิ่มการรวมระบบ"
  2. หน้าต่างที่ปรากฏขึ้นจะแสดงพารามิเตอร์การรวม: คีย์การรวม, คีย์ลับ, ชื่อโฮสต์ API เราจะต้องการมันในภายหลังเมื่อเรากำหนดค่าส่วนของไคลเอ็นต์ สิ่งสำคัญคือต้องเข้าใจ: ไม่มีใครควรรู้จักพวกเขา
  3. ถัดไปคุณต้องติดตั้งไคลเอนต์พิเศษบนเครื่องที่ได้รับการป้องกันซึ่งจะติดตั้งทุกสิ่งที่จำเป็นในระบบ Windows สามารถดาวน์โหลดได้จากเว็บไซต์อย่างเป็นทางการหรือนำมาจากดิสก์ของเรา การตั้งค่าทั้งหมดขึ้นอยู่กับข้อเท็จจริงที่ว่าในระหว่างกระบวนการติดตั้งคุณจะต้องป้อนคีย์การรวม, คีย์ลับ, ชื่อโฮสต์ API ดังกล่าวข้างต้น
  4. นั่นคือทั้งหมดจริงๆ ตอนนี้ ครั้งต่อไปที่คุณเข้าสู่ระบบเซิร์ฟเวอร์ผ่าน RDP หน้าจอจะมีสามฟิลด์: ชื่อผู้ใช้ รหัสผ่าน และรหัสแบบครั้งเดียวของ Duo ด้วยเหตุนี้ คุณจะไม่สามารถเข้าสู่ระบบด้วยเพียงข้อมูลเข้าสู่ระบบและรหัสผ่านของคุณได้อีกต่อไป

ครั้งแรกที่ผู้ใช้ใหม่พยายามเข้าสู่ระบบ ผู้ใช้จะต้องผ่านกระบวนการตรวจสอบความปลอดภัยของ Duo หนึ่งครั้ง บริการจะให้ลิงก์พิเศษแก่เขา โดยเขาจะต้องป้อนหมายเลขโทรศัพท์และรอการโทรยืนยัน หากต้องการรับกุญแจเพิ่มเติม (หรือรับกุญแจเป็นครั้งแรก) คุณสามารถเข้าไปได้ คำหลัก"เอสเอ็มเอส" หากคุณต้องการตรวจสอบสิทธิ์โดยใช้การโทร ให้ป้อน "โทรศัพท์" หาก ช่วยดูโอ้ด้วยดัน - "ดัน" คุณสามารถดูประวัติความพยายามในการเชื่อมต่อทั้งหมด (ทั้งสำเร็จและไม่สำเร็จ) ไปยังเซิร์ฟเวอร์ได้ในบัญชีของคุณบนเว็บไซต์ Duo Security โดยเลือกการรวมระบบที่ต้องการก่อนแล้วไปที่ “บันทึกการตรวจสอบสิทธิ์”

เชื่อมต่อ Duo Security ได้ทุกที่!

การใช้การตรวจสอบสิทธิ์แบบสองปัจจัย ไม่เพียงแต่คุณสามารถปกป้อง RDP หรือ SSH ได้ แต่ยังรวมถึง VPN, เซิร์ฟเวอร์ RADIUS และบริการบนเว็บใดๆ อีกด้วย ตัวอย่างเช่น มีไคลเอนต์สำเร็จรูปที่เพิ่มชั้นการตรวจสอบสิทธิ์เพิ่มเติมให้กับเอ็นจิ้นยอดนิยม Drupal และ WordPress หากไม่มีไคลเอนต์สำเร็จรูป อย่าเพิ่งอารมณ์เสีย: คุณสามารถเพิ่มการรับรองความถูกต้องด้วยสองปัจจัยสำหรับแอปพลิเคชันหรือเว็บไซต์ของคุณด้วยตนเองได้ตลอดเวลา ความช่วยเหลือเกี่ยวกับ APIจัดทำโดยระบบ ตรรกะในการทำงานกับ API นั้นง่ายมาก - คุณส่งคำขอไปยัง URL วิธีการบางอย่างและแยกวิเคราะห์การตอบสนองที่ส่งคืนที่อาจเข้ามา รูปแบบ JSON(หรือ BSON, XML) เอกสารฉบับสมบูรณ์สำหรับ Duo REST API มีอยู่ในเว็บไซต์อย่างเป็นทางการ ฉันจะบอกว่ามีวิธีการ ping, check, preauth, auth, status จากชื่อที่เดาได้ง่ายว่ามีไว้สำหรับอะไร

การปกป้อง SSH

ลองพิจารณาการรวมประเภทอื่น - "การรวม UNIX" เพื่อใช้การรับรองความถูกต้องที่ปลอดภัย เราเพิ่มการบูรณาการอื่นในโปรไฟล์ Duo Security ของเรา และดำเนินการติดตั้งไคลเอนต์บนระบบ

คุณสามารถดาวน์โหลดซอร์สโค้ดของอันหลังได้ที่ bit.ly/IcGgk0 หรือนำมาจากดิสก์ของเรา ฉันใช้เวอร์ชันล่าสุด - 1.8. อย่างไรก็ตาม ไคลเอนต์ทำงานบนแพลตฟอร์ม nix ส่วนใหญ่ ดังนั้นจึงสามารถติดตั้งได้อย่างง่ายดายบน FreeBSD, NetBSD, OpenBSD, Mac OS X, Solaris/Illumos, HP-UX และ AIX กระบวนการสร้างเป็นมาตรฐาน - กำหนดค่า && ทำ && sudo ทำการติดตั้ง สิ่งเดียวที่ฉันอยากจะแนะนำคือใช้ configuration ด้วยตัวเลือก --prefix=/usr ไม่เช่นนั้นไคลเอนต์อาจไม่พบไลบรารีที่จำเป็นเมื่อเริ่มต้น หลังจากติดตั้งสำเร็จ ให้ไปที่แก้ไขไฟล์การกำหนดค่า /etc/duo/login_duo.conf สิ่งนี้จะต้องทำจากรูท การเปลี่ยนแปลงทั้งหมดที่ต้องทำ งานที่ประสบความสำเร็จคือการกำหนดค่าของคีย์การรวม, คีย์ลับ, ชื่อโฮสต์ API ซึ่งสามารถพบได้ในหน้าการรวม

- คีย์คีย์การรวม Duo = INTEGRATION_KEY; คีย์ลับ Duo = SECRET_KEY; ชื่อโฮสต์ Duo API ชื่อโฮสต์ = API_HOSTNAME

หากต้องการบังคับให้ผู้ใช้ทุกคนเข้าสู่ระบบเซิร์ฟเวอร์ของคุณผ่าน SSH เพื่อใช้การตรวจสอบสิทธิ์แบบสองปัจจัย เพียงเพิ่มบรรทัดต่อไปนี้ในไฟล์ /etc/ssh/sshd_config:

> ForceCommand /usr/local/sbin/login_duo

นอกจากนี้ยังสามารถจัดระเบียบการตรวจสอบสิทธิ์แบบสองปัจจัยสำหรับผู้ใช้แต่ละรายเท่านั้น โดยการรวมเข้าเป็นกลุ่มและระบุกลุ่มนี้ในไฟล์ login_duo.conf:

> กลุ่ม = ล้อ

เพื่อให้การเปลี่ยนแปลงมีผล สิ่งที่เหลืออยู่คือการรีสตาร์ท ssh daemon จากนี้ไป หลังจากป้อนรหัสผ่านเข้าสู่ระบบสำเร็จแล้ว ผู้ใช้จะได้รับแจ้งให้ทำการตรวจสอบสิทธิ์เพิ่มเติม ควรสังเกตความละเอียดอ่อนอย่างหนึ่งแยกกัน การตั้งค่า ssh- ขอแนะนำอย่างยิ่งให้ปิดการใช้งานตัวเลือก PermitTunnel และ AllowTcpForwarding ในไฟล์คอนฟิกูเรชัน เนื่องจาก daemon จะใช้ตัวเลือกเหล่านี้ก่อนที่จะเริ่มการตรวจสอบสิทธิ์ขั้นที่สอง ดังนั้นหากผู้โจมตีป้อนรหัสผ่านอย่างถูกต้อง เขาสามารถเข้าถึงเครือข่ายภายในก่อนที่การรับรองความถูกต้องขั้นตอนที่สองจะเสร็จสิ้นด้วยการส่งต่อพอร์ต เพื่อหลีกเลี่ยงผลกระทบนี้ ให้เพิ่มตัวเลือกต่อไปนี้ใน sshd_config:

PermitTunnel noAllowTcpหมายเลขการส่งต่อ

ตอนนี้เซิร์ฟเวอร์ของคุณอยู่หลังกำแพงสองชั้นและผู้โจมตีจะเข้าไปได้ยากขึ้นมาก

การตั้งค่าเพิ่มเติม

หากคุณลงชื่อเข้าใช้บัญชี Duo Security และไปที่ส่วน "การตั้งค่า" คุณสามารถปรับแต่งการตั้งค่าบางอย่างให้เหมาะกับคุณได้ ส่วนสำคัญแรกคือ "การโทร" นี่เป็นการระบุพารามิเตอร์ที่จะมีผลเมื่อมีการใช้การโทรเพื่อยืนยันการรับรองความถูกต้อง รายการ "ปุ่มโทรกลับด้วยเสียง" ช่วยให้คุณระบุได้ว่าจะต้องกดปุ่มโทรศัพท์ใดเพื่อยืนยันการตรวจสอบสิทธิ์ ตามค่าเริ่มต้น ค่าคือ "กดปุ่มใดก็ได้เพื่อตรวจสอบสิทธิ์" นั่นคือคุณสามารถกดปุ่มใดก็ได้ หากคุณตั้งค่า “กดคีย์ที่แตกต่างกันเพื่อตรวจสอบสิทธิ์หรือรายงานการฉ้อโกง” คุณจะต้องตั้งค่าสองคีย์: การคลิกที่คีย์แรกยืนยันการตรวจสอบสิทธิ์ (คีย์เพื่อยืนยันตัวตน) การคลิกที่คีย์ที่สอง (คีย์เพื่อรายงานการฉ้อโกง) หมายความว่าเรา ไม่ได้เริ่มต้นกระบวนการรับรองความถูกต้อง นั่นคือมีคนได้รับรหัสผ่านของเราและกำลังพยายามเข้าสู่เซิร์ฟเวอร์โดยใช้รหัสผ่าน รายการ "รหัสผ่าน SMS" ช่วยให้คุณสามารถกำหนดจำนวนรหัสผ่านที่ SMS หนึ่งจะมีและอายุการใช้งาน (ความถูกต้อง) พารามิเตอร์ "การล็อคและการฉ้อโกง" ช่วยให้คุณสามารถตั้งค่าที่อยู่อีเมลที่จะใช้ส่งการแจ้งเตือนในกรณีที่มีการพยายามเข้าสู่ระบบเซิร์ฟเวอร์ไม่สำเร็จจำนวนหนึ่ง

ใช้มัน!

น่าแปลกที่หลายๆ คนยังคงเพิกเฉยต่อการรับรองความถูกต้องด้วยสองปัจจัย ฉันไม่เข้าใจว่าทำไม สิ่งนี้ช่วยเพิ่มความปลอดภัยได้อย่างมาก สามารถนำไปปฏิบัติได้เกือบทุกอย่างและ โซลูชั่นที่คุ้มค่าใช้ได้ฟรี แล้วทำไมล่ะ? จากความเกียจคร้านหรือความประมาท

บริการแบบอะนาล็อก

  • มีความหมาย(www.signify.net) บริการนี้มีสามตัวเลือกสำหรับการจัดการการรับรองความถูกต้องด้วยสองปัจจัย ประการแรกคือการใช้กุญแจอิเล็กทรอนิกส์ วิธีที่สองคือการใช้รหัสผ่านซึ่งจะส่งไปยังโทรศัพท์ของผู้ใช้ทาง SMS หรือส่งทางอีเมล ตัวเลือกที่สามคือแอปพลิเคชันมือถือสำหรับ โทรศัพท์ Android, iPhone, BlackBerry ซึ่งสร้างรหัสผ่านแบบใช้ครั้งเดียว (โดยพื้นฐานแล้วเป็นอะนาล็อกของ Duo Mobile) บริการนี้มุ่งเป้าไปที่บริษัทขนาดใหญ่ ดังนั้นจึงชำระเงินเต็มจำนวน
  • SecureEnvoy(www.securenvoy.com) ยังให้คุณใช้งานได้ โทรศัพท์มือถือเป็นชั้นป้องกันชั้นที่สอง รหัสผ่านจะถูกส่งไปยังผู้ใช้ผ่านทาง SMS หรืออีเมล แต่ละข้อความประกอบด้วยรหัสผ่านสามชุด กล่าวคือ ผู้ใช้สามารถเข้าสู่ระบบได้สามครั้งก่อนที่จะขอส่วนใหม่ มีการชำระค่าบริการด้วย แต่ให้ระยะเวลาฟรี 30 วัน ข้อได้เปรียบที่สำคัญคือการผสานรวมทั้งแบบเนทิฟและบุคคลที่สามจำนวนมาก
  • ปัจจัยโทรศัพท์(www.phonefactor.com) บริการนี้ช่วยให้คุณจัดระเบียบการตรวจสอบสิทธิ์แบบสองปัจจัยฟรีสำหรับผู้ใช้สูงสุด 25 ราย โดยให้การตรวจสอบสิทธิ์ฟรี 500 รายการต่อเดือน เพื่อจัดระเบียบการป้องกัน คุณจะต้องดาวน์โหลดและติดตั้งไคลเอนต์พิเศษ หากคุณต้องการเพิ่มการตรวจสอบสิทธิ์แบบสองปัจจัยในไซต์ของคุณ คุณสามารถใช้ SDK อย่างเป็นทางการซึ่งมีเอกสารโดยละเอียดและตัวอย่างสำหรับภาษาการเขียนโปรแกรมต่อไปนี้: ASP.NET C#, ASP.NET VB, Java, Perl, Ruby, PHP


บทความที่เกี่ยวข้อง