Двухфакторная аутентификация на сайте с использованием USB-токена. Как сделать вход на служебный портал безопасным? / Хабр

Что такое двухфакторная аутентификация

Представим, что мошенник узнал ваш пароль и хочет войти во ВКонтакте, чтобы попросить денег у друзей от вашего имени. Он вводит пароль, заходит в приложение и начинает рассылать жалостливые сообщения, что якобы вам срочно нужна помощь. Ваши друзья переживают и отправляют деньги. Позже вы заходите и понимаете, что вас взломали, и мошенники уже получили значительную сумму от множества людей.

Если вы включили двухфакторную аутентификацию, ситуация будет развиваться по-другому. Мошенник введет пароль, но не войдет в аккаунт, потому что нужно указать код из SMS, который придет на ваш телефон. Если у мошенника нет доступа к вашему телефону, то и доступ к профилю он не получит.

Аутентификация

Как уже отметили, для настройки не нужен AD или центр сертификации, нужен любой современный Windows, дистрибутив JSL и лицензия. Настройка проста до безобразия.

Нужно установить файл лицензии.

Добавить профиль пользователя.

И начать пользоваться двухфакторной аутентификацией.

Биометрическая аутентификация

Есть возможность использовать биометрическую аутентификацию по отпечатку пальца. Решение работает по технологии Match On Card. Хэш отпечатка записывается на карту при первичной инициализации и в дальнейшем сверяется с оригиналом. Из карты никуда не уходит, в каких-то базах не хранится. Для разблокировки такого ключа используется отпечаток или комбинация ПИН отпечаток, ПИН или отпечаток.

Для начала использования нужно просто инициализировать карту с необходимыми параметрами, записать отпечаток пользователя.

В дальнейшем такое же окно будет всплывать перед входом в ОС.

В настоящем примере карта инициализирована с возможностью аутентификации по отпечатку или ПИН-коду, о чем и сообщает окно аутентификации.

После предъявления отпечатка или ПИН-кода, пользователь попадет в ОС.

Используете другую ос для сервера?

Если вы хотите, чтобы мы написали про настройку других ОС, то напишите об этом в комментариях к статье.

Похожее:  Авито личный кабинет: регистрация, вход, Мои объявления, настройки аккаунта, подать объявление, возможности, лимиты, контакты, отзывы

Шаг 1 — настройка сервера

Основа любого сервера — это операционная система. В нашем случае это Windows Server 2022. А вместе с ней и другими операционными системами семейства Windows распространяется IIS (Internet Information Services).

IIS представляет собой группу интернет-серверов, в том числе веб-сервер и FTP-сервер. IIS включает приложения для создания и управления веб-сайтами.

IIS разработана для построения веб-сервисов с использованием учетных записей пользователей, предоставляемой доменом или службой Active Directory. Это позволяет использовать существующие базы данных пользователей.

Шаг 2 — настройка компьютера пользователя

Для простоты предположим, что у нашего пользователя ОС Windows 10.

Также предположим, что у него установлен комплект Драйверы Рутокен для Windows.

Установка комплекта драйверов опциональна, так как скорее всего поддержка токена прилетит по Windows Update.

Но если этого вдруг не произошло, то установка комплекта Драйверов Рутокен для Windows решит все проблемы.

Подключим токен к компьютеру пользователя и откроем Панель управления Рутокен.

На вкладке Сертификаты установим галочку напротив необходимого сертификата, если она не стоит.

Тем самым мы проверили, что токен рабочий и содержит нужный сертификат.

Двухфакторная аутентификация на сайте с использованием USB-токена. Как сделать вход на служебный портал безопасным? / Хабр

Все браузеры, кроме Firefox, настраиваются автоматически.

Специально с ними делать ничего не нужно.

Теперь откроем любой браузер и введем адрес ресурса.

До того, как сайт загрузится у нас откроется окно для выбора сертификата, а затем окно для ввода PIN-кода токена.

Двухфакторная аутентификация на сайте с использованием USB-токена. Как сделать вход на служебный портал безопасным? / Хабр

Если для устройства в качестве криптопровайдера по умолчанию выбран Aktiv ruToken CSP, то для ввода PIN-кода откроется другое окно.

Двухфакторная аутентификация на сайте с использованием USB-токена. Как сделать вход на служебный портал безопасным? / Хабр

И только после успешного его ввода в браузере откроется наш сайт.

Двухфакторная аутентификация на сайте с использованием USB-токена. Как сделать вход на служебный портал безопасным? / Хабр

Для браузера Firefox следует выполнить дополнительные настройки.

В настройках браузера выбрать Приватность и Защита. В разделе Сертификаты нажать Устройство Защиты. Откроется окно Управление устройствами.

Похожее:  Прочие поступления на карту Сбербанка: расшифровка кодов

Нажать Загрузить, указать название Рутокен ЭЦП и путь C:windowssystem32rtpkcs11ecp.dll.

Двухфакторная аутентификация на сайте с использованием USB-токена. Как сделать вход на служебный портал безопасным? / Хабр

Это все, теперь Firefox знает, как обращаться с токеном и позволяет входить на сайт, используя его.

Двухфакторная аутентификация на сайте с использованием USB-токена. Как сделать вход на служебный портал безопасным? / Хабр

Кстати вход по токену на веб-сайты работает и на Маках в браузере Safari, Chrome и Firefox.

Нужно лишь установить с сайта Рутокен модуль поддержки Связки Ключей и увидеть в нем сертификат на токене.

Двухфакторная аутентификация на сайте с использованием USB-токена. Как сделать вход на служебный портал безопасным? / Хабр

Настраивать браузеры Safari, Chrome, Яндекс и прочие не нужно, достаточно лишь открыть сайт в любом из этих браузеров.

Двухфакторная аутентификация на сайте с использованием USB-токена. Как сделать вход на служебный портал безопасным? / Хабр

Браузер Firefox настраивается почти также, как и в Windows (Настройки — Дополнительные — Сертификаты — Устройства защиты). Только путь к библиотеке немного другой /Library/Akitv Co/Rutoken ECP/lib/librtpkcs11ecp.dylib.

Шифрование данных

Настройка EFS тоже не очень сложная, сводится к настройке сертификата и выпуску его на электронный ключ и настройки директорий шифрования. Как правило, шифровать весь диск не требуется. Действительно важные файлы, получать доступ к которым третьим лицам не желательно, обычно находятся в отдельных директориях, а не разбросаны абы как по диску.

Для выпуска сертификата шифрования и закрытого ключа откройте учетную запись пользователя, выберите — Управление сертификатами шифрования файлов. В открывшемся мастере, создайте самозаверенный сертификат на смарт-карте. Так как мы продолжаем использовать смарт-карту с BIO-апплетом, для записи сертификата шифрования нужно предъявить отпечаток или ПИН.

На следующем шаге укажите директории, которые будут связаны с новым сертификатом, при необходимости можно указать все логические диски.

Далее система еще раз попросит ввести ПИН или предьявить отпечаток, произойдет непосредственный выпуск сертификата на смарт-карту.

Далее нужно настроить конкретные директории. В нашем примере — это папка Документы в хомяке пользователя. Откройте свойства папки и укажите — Шифровать содержимое для защиты данных.

Похожее:  Валта | Компания

Далее укажите применять настройки только к текущей папке или включить все вложенные поддиректории.

Сама шифрованная директория и файлы в ней будут подсвечены другим цветом.

Доступ к файлам осуществляется только при наличии электронного ключа, по предъявлению отпечатка пальца либо ПИН-кода, в зависимости от того что выбрано.

На этом вся настройка окончена.

Можно использовать оба сценария (аутентификация и шифрование), можно остановиться на чем-то одном.

Выводы

Мы продемонстрировали вам, как настроить двухфакторную аутентификацию на сайтах с помощью криптографических токенов. Как всегда, нам не потребовалось для этого никакого дополнительного ПО, кроме системных библиотек Рутокен.

Такую процедуру вы можете проделать с любым своим внутренним ресурсом, также вы гибко сможете настраивать группы пользователей, которые будут иметь доступ к сайту, впрочем как и везде в Windows Server-е.

1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд (1 оценок, среднее: 4,00 из 5)
Загрузка...

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector