Многофакторная аутентификация

Вместо пароля или дополнительно к нему пользователь выпускает для своей учетной записи Passkey. Технически это означает, что на смартфоне или ноутбуке пользователя в защищенной области создается ключевая пара, ассоциированная с конкретной учетной записью и URL-адресом единой системы входа компании. При входе пользователя в приложение через Blitz Identity Provider пользователю становятся доступны следующие возможности входа:

1. Если пользователь входит с устройства, на котором выпущен Passkey, то пользователь подтверждает вход с помощью биометрической аутентификации по Face ID / Touch ID своего смартфона, считывателя лица / отпечатка пальца на своем ПК или проверки компьютером ПИН-кода от Windows Hello. После этого на сервер аутентификации Blitz Identity Provider передается ответ на запрос аутентификации, подписанный ключом Passkey. Сервер аутентификации проверяет полученную подпись и соответствие открытого ключа учетной записи пользователя.

2. Если пользователь входит с иного устройства, чем то, на котором выпущен Passkey, то браузер предлагает пользователю для входа использовать телефон с помощью QR-кода. Пользователь наводит смартфон на показанный QR-код. В этот момент смартфон и компьютер пользователя связываются по Bluetooth для подтверждения присутствия смартфона пользователя рядом с ПК. После этого пользователь с помощью Face ID / Touch ID подтверждает на смартфоне подтверждает вход, и пользователь входит на ПК. Для аутентификации также на сервер аутентификации Blitz Identity Provider передается ответ на запрос аутентификации, подписанный ключом Passkey, а сервер проверяет подпись и соответствие открытого ключа учетной записи пользователя.

Смартфон — это предмет, который пользователь старается держать всегда при себе. Его удобно использовать в схемах двухфакторной аутентификации как альтернативу смарт-карте / USB-токену. В этом случае, когда пользователь входит в приложение через Blitz Identity Provider и вводит логин/пароль, ему на смартфон приходит push-сообщение с запросом подтверждения входа.

Пользователь может ознакомиться с деталями запроса и подтвердить или отклонить вход. В результате смартфон направляет на сервер аутентификации ответ пользователя. Важное преимущество аутентификации — использование двух независимых каналов взаимодействия. Первый — при проверке пароля («ПК → Сервер»). Второй — при проверке владения предметом («Смартфон → Сервер»).

Для удобства выпустили наше собственное мобильное приложение Blitz Key — аутентификатор для сотрудников организаций, использующих Blitz Identity Provider. Приложение обеспечивает безопасный и удобный доступ к корпоративным системам с помощью одноразовых TOTP-кодов и push-уведомлений.

Использование Blitz Key расширяет возможности Blitz Identity Provider: приложение может работать как доверенное средство подтверждения входа, позволяя пользователю принимать или отклонять запросы на вход одним касанием без необходимости ручного ввода кода. Это упрощает процесс аутентификации и помогает соблюдать корпоративные требования безопасности.

Интеграция с внешними системами многофакторной аутентификации (MFA) дает возможность использовать уже внедренные способы подтверждения входа без перестройки инфраструктуры и пересмотра действующих процессов безопасности.

Поддержка внешних MFA-систем открывает новые возможности:

• использование корпоративных 2FA-решений, уже одобренных внутренней службой ИБ;
• гибкое распределение политик MFA между различными категориями пользователей (внутренними, внешними, подрядчиками и др.);
• постепенный переход от классических методов (SMS, OTP) к более современным (push и passwordless) механизмам аутентификации.

Сервер Blitz Identity Provider объединяет управление аутентификацией в единую платформу и позволяет подключать сторонние MFA-решения без внесения изменений в код приложений и с сохранением заданных политик безопасности. В качестве примера реализации можно посмотреть настройку интеграции с Aladdin JaCarta Management System (JAS) в документации.

Смарт-карты / токены используются для проведения строгой двухфакторной аутентификации. Первый «фактор» — это проверка знания ПИН-кода, а второй — проверка владения уникальным предметом, содержащим неизвлекаемый криптографический ключ.

Blitz Identity Provider поддерживает строгую двухфакторную аутентификацию с использованием популярных в России смарт-карт и USB-токенов в распространенных операционных системах (Windows / Linux / Mac OS) и браузерах.

SMS-коды подтверждения

Подключите Blitz Identity Provider к SMS-шлюзу — и ваши пользователи при двухфакторной аутентификации смогут получать коды подтверждения, отправляемые в SMS.

Blitz Identity Provider может также доставлять коды подтверждения с помощью email или push-сообщений в мобильное приложение.

U2F и FIDO2 токены

Если пользователь владеет U2F или FIDO2 токеном, то в Blitz Identity Provider он может привязать его к своей учетной записи и использовать как средство проверки второго фактора аутентификации.

Blitz Identity Provider поддерживает двухфакторную аутентификацию с использованием любых программных TOTP-генераторов (RFC 6238). Например, для проверки второго фактора можно использовать коды подтверждения, выработанные на смартфоне с использованием Яндекс.Ключ / Google Authenticator.

Брелок при каждом нажатии кнопки вырабатывает одноразовый числовой код подтверждения (одноразовый пароль). Код показывается на дисплее, либо автоматически подставляется в экранную форму (при подключении устройства по USB).

Использование брелоков решает проблемы компрометации паролей, перехвата данных клавиатурными шпионами, кражи запомненных паролей и «подсматривания из-за спины».

Брелок предварительно должен быть связан с учетной записью пользователя. Для этого Blitz Identity Provider предоставляет функции ведения базы HOTP/TOTP-брелоков организации и назначения брелоков пользователям.

В результате ошибочных нажатий у HOTP-брелоков может произойти рассинхронизация состояния — на этот случай Blitz Identity Provider предоставляет функции синхронизации/сверки состояний HOTP-брелока и сервера.