In contextul de securitate actual, folosirea doar a unei parole pentru autentificare nu mai este acceptabila. Aproape in fiecare luna, apar stiri despre companii care au milioane de utilizatori si care au suferit brese de securitate, hacker-ii reusind sa obtina credentialele acestora, precum si alte informatii personale (adrese de email, numere de telefon, si alte PII-Personable Identifiable Information). Autentificarea cu un factor suplimentar (2FA) sau cu mai multi (MFA) nu mai trebuie vazuta ca optionala si ar trebui activata oriunde se poate face acest lucru. Organizatiile trebuie sa implementeze 2FA/MFA in orice serviciu folosit de angajati, parteneri sau colaboratori si suporta aceasta functie: email, VPN, remote desktop, VDI, etc.
Pe piata exista o multime de aplicatii de 2FA/MFA care pot fi folosite de serviciile compatibile, fara nici o problema, intrucat exista un standard care este respectat. Aplicatiile pot fi gasite in magazinele corespunzatoare (App Store sau Google Play) la o simpla cautare dupa cuvantul “authenticator”. Cu toate acestea, trebuie sa aiba un proces de “screening” intrucat nu toate sunt la fel de sigure. Alegerea unei aplicatii MFA trebuie facuta cu grija, doar ii vom da “cheile” de acces la conturile noastre, nu? Evident ca aceste aplicatii nu vor sti parolele noastre, dar ideea de baza este ca folosim MFA tocmai pentru ca parolele nu sunt sigure. Nu de putine ori, companiile au fost compromise prin atacuri de tipul supply chain. In acest tip de atac, compania foloseste software de la un vendor partener, software care a fost infectat cu malware de catre atacatori. Prin instalarea acelui software, compania instaleaza si malware, fara sa banuiasca nimic. In acest fel, atacatorii dobandesc acces la bunurile companiei (echipamente, informatii, conturi). Este de la sine inteles ca se recomanda folosirea unei aplicatii MFA oferita de un vendor mare si de incredere.
Functionalitatea de baza a unei aplicatii MFA este identica, indiferent de developer, crearea de coduri OTP. Unele aplicatii, in schimb, pot avea functii extra sau interfete care pot fi mai atragatoare. Cele mai bune optiuni pentru aplicatiile MFA, in nici o ordine anume:
– Cisco Duo Mobile – Cisco a achizitonat Duo Mobile la 1 octombrie 2018 pentru solutiile de autentificare multi-factor si accesul de tip “zero trust”. Interfata aplicatiei este extrem de prietenoasa cu utilizatorul si pastreaza codurile OTP ascunse pana cand se alege serviciul pentru care se vrea MFA, lucru care sporeste securitatea. Aplicatia este suportata atat pe Android, cat si pentru iOS.
– Microsoft Authenticator – Aplicatia se poate instala atat pe Android, cat si pe iOS si are un design minimalist care ofera cateva functii extra pentru conturile Microsoft. De exemplu, dupa introducerea parolei de acces nu mai este necesara introducerea unui cod OTP si doar confirmarea login-ului in aplicatie. Coduri OTP sunt afisate in mod implicit, insa se pot ascunde pentru fiecare serviciu protejat in parte.
– Google Authenticator – Google Authenticator este probabil aplicatia MFA cel mai simplu de utilizat. Nu are nicio setare aditionala. Pentru fiecare aplicatie adaugata se creaza un token pentru care se genereaza un cod TOTP (Time-based OTP) care se copiaza in aplicatia protejata. Aceasta simplitate poate fi un dezavantaj pentru cineva care doreste o alta interfata sau functii aditionale. Bineinteles ca este disponibila atat pentru Android, cat si pentru iOS.
– FreeOTP – aplicatia FreeOTP este open-source si dezvoltata de cei de la Red Hat. Este aplicatia cu cea mai mica amprenta, versiunea pentru iOS “cantarind” doar 759 KB (Google Authenticator are 14 MB prin comparatie). Ca si Cisco Duo Mobile, FreeOTP ascunde coduri OTP in mod implicit. Configurarea manuala a token-urilor pentru aplicatiile protejate este posibibla si mai mult, este foarte customizabila. Este suportata, de asemenea, si metoda traditionala de scanare a codului QR cu camera telefonului pentru inrolarea unei aplicatii care sa fie protejata prin MFA.
– Authy – Authy este aplicatia cu cele mai multe feature-uri oferite, motiv pentru care amprenta sa este de 44 MB 😊 Principalul diferentiator fata de celelalte este ca token-urile sunt stocate in cloud, lucru care le face disponibile de pe orice dispozitiv al utilizatorului, nu doar de pe cel folosit la inregistrare. Migrarea catre un nou telefon, de exemplu, este si ea foarte usoara, datorita acestui mod de stocare. In cloud, token-urile sunt criptate cu o parola definita de utilizator, iar aplicatiile protejate pot fi securizate extra cu un PIN sau se poate apela la biometrie (scanare de amprenta, de exemplu). Cerinta pentru toate acestea este crearea unui cont Authy care se leaga de un numar de telefon mobil. Aplicatia este disponibila atat pentru Android si iOS, cat si pentru Windows, macOS si Chrome.
In functie de specificul fiecarei organizatii (mod de lucru, servicii utilizate, aplicatii folosite off-premises), se poate alege o aplicatie din cele prezentate mai sus. Inginerii Dendrio va pot ajuta cu expertiza si consultanta in vederea implementarii politicii de autentificare cu MFA pentru ca utilizatorii sa fie mereu in siguranta, oriunde s-ar afla.
Mihai Dumitrascu, Sr Systems Engineer