Перейти к основному содержимому

Способы аутентификации

Сводная таблица

#СпособТребованияИспользоватьБезопасность
1Мобильное приложение MultifactorПриложение на телефоне, доступ в интернетУдобноМаксимальная
2Универсальная web аутентификация с поддержкой биометрииУстройство с биометрическим датчиком или внешний токен, современный браузерУдобноОчень высокая
3Telegram MessengerПриложение на телефоне, доступ в интернетУдобноВысокая
4OTP ТокенВнешний токенЗависит от токенаВысокая
5HOTP ТокенВнешний ТокенЗависит от токенаВысокая
6Google authenticatorПриложение на телефонеМенее удобноВысокая
7СМС сообщение или звонокТелефонМенее удобноСредняя

Мобильное приложение Multifactor

Безопасный и удобный доступ к VPN, VDI, облачным приложениям, сайтам, персональным и корпоративным ресурсам в одном приложении: Multifactor. Доступно для платформ iOS и Android.

Регистрация

Пользователю необходимо отсканировать регистрационный QR-код с помощью приложения Multifactor, либо открыть специальную ссылку на телефоне с установленным приложением Multifactor.

Аутентификация

Пользователю приходит PUSH-уведомление с просьбой подтвердить действие и двумя кнопками в приложении: подтвердить или отклонить соответственно.

Универсальная web аутентификация с поддержкой биометрии

Набор протоколов: U2F (Universal Second Factor), UAF (Universal Authentication Framework) FIDO (Fast IDentity Online), CTAP (Client to Authenticator Protocol), объединенные в единый стандарт WebAuthn.

Стандарт работает прямо из браузера без установки стороннего программного обеспечения и драйверов. Поддерживает биометрические датчики и сканеры, а также внешние устройства аутентификации, подключаемые через USB, Lightning, NFC или Bluetooth, например, RuToken U2F.

Универсальная аутентификация поддерживается браузерами Chrome, Safari, Firefox, Edge, Opera на платформах Windows, Linux, MacOS и Android.

Регистрация

Пользователю будет предложено использовать биометрический датчик, если он есть на его телефоне или ноутбуке, либо подключить и активировать внешний токен после чего MULTIFACTOR получит публичные ключи устройств и сможет использовать их для аутентификации.

Аутентификация

Пользователь использует биометрию (отпечаток пальца, сканер лица), либо прикасается к внешнему токену — совершает осознанное действие.

Telegram Messenger

Telegram — один из наиболее удобных и защищенных мессенджеров в мире, который работает даже в условиях нестабильной интернет связи.

Регистрация

Для регистрации пользователю будет предложено открыть специальную ссылку на телефоне с установленным приложением Telegram, после чего в контакты будет автоматически добавлен бот @MultifactorBot. Внутри чата с ботом необходимо нажать кнопку "Start" для регистрации чата.

Обратите внимание

Идентификатор бота — @MultifactorBot. Бот доступен по ссылке https://t.me/MultifactorBot.

Аутентификация

Пользователю приходит сообщение от бота с просьбой подтвердить действие и двумя кнопками: подтвердить или отклонить соответственно.

Маскирование логинов в Телеграм и мобильном приложении

Система маскирования

В сообщениях запросов в мобильном приложении и Телеграме вставляется логин пользователя, который по закону является личной информацией пользователя, а так как пользователь может пользоваться нашими продуктами из-за рубежа, то возникла необходимость иметь возможность скрывать эти данные.

Как работает

При включении данного функционала все нотификации, сообщения и другие формы вывода логина будут маскироваться.

Так выглядит сообщение бота в Телеграмме без маскирования:

А вот так с включенным маскированием:

Пример маскирования в мобильном приложении:

Включение функции

Для администраторов:

Для пользователей:

Для обычных пользователей данную функцию можно отдельно настраивать для каждой группы. Помните, если пользователь состоит в нескольких группах, то даже если данная функция будет включена в политиках только одной группы, то логин этого пользователя будет маскироваться.

Для того чтобы включить функцию зайдите во вкладку “Группы“:

Далее найдите в списке интересующую вас группу и нажмите для ней “Параметры“ и вы увидите окно параметров для данной группы:

Нажмите “Редактировать“ и в появившемся окне вы увидите список всех настраиваемых политик, найдите разделы “Мобильное приложение“ и “Телеграм“:

OTP Токен

OTP токен — устройство для формирования одноразовых кодов доступа, обычно в виде брелка, который показывает цифры на экране, пример — Feitian c100 или в виде флешки, пример — RuToken OTP.

Второй формат более удобный, так как цифры не нужно перепечатывать: устройство определяется операционной системой, как клавиатура и автоматически вводит код в фокусное поле. С другой стороны, брелки с экраном не требуют подключения к компьютеру и работают полностью автономно.

Регистрация

Для регистрации OTP-токена необходимо загрузить в MULTIFACTOR ключ устройства и ввести очередной одноразовый код. По требованию, MULTIFACTOR может самостоятельно сформировать ключ устройства для последующей загрузки в токен.

Аутентификация

Пользователю необходимо ввести одноразовый код доступа, сформированный токеном.

HOTP Токен

HOTP (HMAC-based One-Time Password) токен - это метод генерации одноразового пароля (OTP), который зависит от счетчика. Каждый раз, когда пользователь входит, счетчик увеличивается, и OTP генерируется на основе этого счетчика.

Регистрация

Для регистрации HOTP токена необходимо сгенерировать секретный ключ, связать его с учетной записью пользователя и предоставить QR-код или секретный ключ для настройки аутентификации. После этого пользователь может использовать OTP для двухфакторной аутентификации при входе в систему. Пример в инструкции JaCarta.

Аутентификация

После всех проведенных настроек скопировать ключ в форму привязки otp-устройства Multifactor.

Google authenticator

Google Authenticator — самое популярное приложение для формирования одноразовых кодов доступа на телефонах Android и iPhone. Можно даже сказать, что это обобщенное название серии подобных способов аутентификации. Помимо Google Authenticator, такую же функцию выполняют Яндекс.Ключ, Microsoft Authenticator, а также некоторые менее известные приложения.

Регистрация

Пользователю будет предложено запустить приложение Google Authenticator или Яндекс.Ключ, сканировать QR код, содержащий ключ системы MULTIFACTOR и ввести одноразовый код доступа, сформированный приложением.

Аутентификация

Для аутентификации необходимо запустить приложение и ввести код доступа.

СМС сообщение или звонок

Наиболее консервативный способ, который используется в системах многофакторной аутентификации много лет, считается устаревшим и не самым безопасным, но оставлен в системе MULTIFACTOR для случаев, когда прочие способы по разным причинам не используются. Разумеется, в настройках личного кабинета его можно выключить для всех пользователей или определенных групп.

Регистрация

Для регистрации пользователю будет предложено ввести номер телефона и одноразовый код из СМС сообщения, отправленного системой MULTIFACTOR.

Аутентификация

Пользователю необходимо ввести одноразовый код доступа, полученный в СМС сообщении, либо ответить на входящий звонок и нажать решетку.