Duo Security vs Protectimus: Доставка одноразовых паролей

Общее сравнение решений двухфакторной аутентификации Duo Security и Protectimus вы найдете в статье “Duo Security vs Protectimus”. В ней мы рассматриваем функции и технологии, используемые в Duo и Protectimus, доступность решений в облаке и on-premise, возможности по интеграции и цены, а также касаемся средств доставки одноразовых паролей, которые предлагают обе компании.

Здесь же мы опишем все способы аутентификации, доступные клиентам Duo и Protectimus, более подробно и разберемся со слабыми и сильными сторонами каждого варианта.

Для удобства навигации по статье, воспользуйтесь этой таблицей.

2FA приложение 2FA приложение
Push нотификации Push нотификации
HOTP токены HOTP токены
TOTP токены TOTP токены
U2F токены OCRA токены
SMS аутентификация Перепрошиваемые TOTP токены
Голосовые вызовы SMS аутентификация
Бэкап коды Email аутентификация
Чат-боты в мессенджерах

Duo Security

2FA приложение Duo Mobile

Duo Push

Гордость Duo Security. Push нотификации появились в стремлении сделать процедуру двухфакторной аутентификации максимально простой. Вместо того, чтобы открывать приложение для генерации одноразовых паролей, искать временный пароль к нужному сервису, а потом вводить 6 цифр в окно ввода одноразового пароля, пользователю нужно только разблокировать смартфон и нажать на кнопку “Approve”. Еще один плюс — если злоумышленник попытается войти в аккаунт пользователя, тот увидит Push уведомление и сможет заблокировать доступ, нажав на кнопку “Deny”. Приложение Duo Mobile синхронизируется со смарт-часами и пользователи могут получать Push-нотификации прямо на часы. Очень удобно. Основные минусы — вы не сможете аутентифицироваться без доступа к интернету и придется использовать личный телефон для корпоративных целей.

HOTP & TOTP

Приложение Duo Mobile умеет генерировать одноразовые пароли только по алгоритмам HOTP и TOTP (обратите внимание, TOTP токены могут рассинхронизироваться по времени с сервером, возможности синхронизации в Duo Mobile нет). HOTP пароли используются для входа в аккаунт под защитой сервиса двухфакторной аутентификации Duo, если пользователь не может получить Push. Поддержка алгоритма TOTP реализована для того чтобы приложение можно было использовать также для аутентификации в сторонних сервисах никак не связанных с Duo Security — Google, Dropbox, GitHub и т.д.

Аппаратные токены

HOTP токены


Сервис двухфакторной аутентификации Duo Security поддерживает аппаратные HOTP (HMAC-based One-time Password algorithm) токены любых производителей, а также продает свои HOTP токены. Следует отметить, что хоть использование HOTP алгоритма и соответствует стандартам OATH (Initiative for Open Authentication), все же этот алгоритм устарел и не может считаться достаточно безопасным, особенно если мы говорим об аппаратных токенах. Переменной в алгоритме генерации одноразовых паролей HOTP служит счетчик, и если у злоумышленника появляется возможность даже на несколько минут получить токен в свои руки, он сможет записать несколько значений одноразовых паролей наперед и использовать их в любое удобное время. Реальный пользователь при этом может на время потерять доступ к аккаунту, так как токен рассинхронизируется с сервером аутентификации.

TOTP токены


К сервису двухфакторной аутентификации Duo Security можно подключать аппаратные TOTP токены сторонних производителей. Но Duo не рекомендует использовать TOTP токены, так как в этом сервисе не реализована возможность синхронизации токенов и сервера по времени.

U2F токены

Сервис двухфакторной аутентификации Duo Security поддерживает U2F (Universal 2nd Factor) стандарт, разработанный FIDO (Fast IDentity Online) альянсом в 2013 году. Аппаратные токены U2F подключаются к компьютеру через USB разъем и активируются при нажатии кнопки, расположенной на токене. Самый известный пример таких токенов — Yubikey. Это довольно удобный способ аутентификации, но у таких аппаратных токенов есть 3 недостатка:

  • U2F токены часто забывают в компьютерах;
  • Для использования такого токена нужен USB разъем, а, например, на планшете его может не быть;
  • Если токен подключается к устройству, можно найти способ заразить такое устройство вирусом или взломать его.

SMS аутентификация


Если у пользователя нет возможности или желания использовать приложение, Duo вышлет одноразовый пароль в SMS. Преимущества и недостатки SMS аутентификации известны давно. Преимущества: доставлять временные пароли в SMS удобно; для подключения SMS аутентификации администратору достаточно знать номер телефона пользователя, а от самого пользователя не требуется никаких действий. Основной недостаток — SMS аутентификация просто небезопасна. SMS сообщения часто передаются в незашифрованном виде, сотовые сети уязвимы и SMS-сообщения легко перехватить, есть высокий риск подмены SIM-карты или заражения смартфона вирусом, способным перехватывать пароли. Недавно Reddit взломали именно потому, что там все еще использовали SMS аутентификацию.

Голосовые вызовы


Этот способ аутентификации предусмотрен для тех случаев, когда пользователь не может или не хочет использовать ни приложение, ни аппаратные токены, ни SMS. Duo может позвонить на любой номер, как мобильный, так и стационарный, а пользователю нужно будет нажать на нужную кнопку в телефоне. Из плюсов — это удобно и решает проблему отсутствия интернета. Если у вас есть доступ к стационарному проводному телефону, вы всегда сможете пройти аутентификацию. Но насколько это безопасно? Если звонок будет поступать на смартфон, то известны сотни вирусов, которые умеют брать трубку и нажимать на нужную кнопку в тайне от пользователя.

Бэкап коды

Если вы потеряли доступ к токену, войти в свой аккаунт, защищенный системой двухфакторной аутентификации Duo, можно с помощью бэкап кодов. Так Duo избавляет администраторов от лишней головной боли. Но помните, бэкап коды — это всегда дополнительная уязвимость. Если эта информация попадет в руки злоумышленнику (а ведь достаточно только сделать фото или скопировать файл с бэкап кодами), то он получит доступ к аккаунту жертвы. У злоумышленника будет очень много времени, чтобы выведать пароль, ведь второй фактор в виде бэкап кодов остается актуальным далеко не 30 секунд.

Protectimus

2FA приложение Protectimus Smart

Push нотификации

Push нотификации в Protectimus Smart работают по тому же принципу, что и у Duo. При входе на сайт пользователю нужно всего лишь нажать на кнопку “Подтвердить”. Людям не нравится двухфакторная аутентификация именно потому что для входа аккаунт нужны дополнительные действия. Push уведомления делают MFA проще. Главный плюс Push нотификаций — это удобство, а минус — невозможность аутентифицироваться, если нет доступа к интернету. (Функция в разработке.)

HOTP & TOTP & OCRA

Приложение Protectimus Smart поддерживает все 3 алгоритма генерации одноразовых паролей OATH — HOTP, TOTP и OCRA. Это делает приложение универсальным. Оно подходит как для работы с сервисом Протектимус, так и для любого другого стороннего решения 2FA. Приложение работает автономно, как и аппаратный токен, доступ к интернету или какой-либо другой сети не требуется.

Подпись данных CWYS

Благодаря алгоритму OCRA, приложение Protectimus Smart поддерживает функцию подписи данных CWYS (Confirm What You See). Одноразовые пароли генерируются на основании текущих данных транзакции пользователя и будут бесполезны для злоумышленника в случае перехвата.

Важно отметить, что 2FA приложение Protectimus Smart можно дополнительно защитить PIN-кодом или отпечатком пальца. Также можно выбрать длину одноразового пароля — 6 или 8 символов (в зависимости от требований системы), использовать приложение на русском или английском языке, сделать бэкап для всех токенов.

Аппаратные токены

HOTP & TOTP & OCRA токены


Клиентам Protectimus доступны OATH сертифицированные аппаратные токены HOTP, TOTP и OCRA с предустановленными секретными ключами. Аппаратные токены более надежны, чем все остальные способы доставки одноразовых паролей. Они работают автономно и не подвержены вирусам, исключена возможность перехвата OTP при доставке. Кроме того, бесконтактные токены Protectimus невозможно забыть в USB разъеме (как это часто случается с U2F токенами). OCRA токены позволяют достичь особого уровня безопасности, поскольку переменной в алгоритме OCRA каждый раз выступает новое значение, актуальное только для одной транзакции. Наши токены могут использоваться как непосредственно с сервисом Protectimus, так и с другими системами двухфакторной аутентификации, если администратор может внести туда секретные ключи.

Перепрошиваемые TOTP токены

Аппаратные TOTP токены Protectimus Slim NFC уникальны потому, что пользователь (или администратор) может сам прошить секретный ключ в этот токен. Все, что нужно для прошивки токена — Android смартфон с поддержкой технологии NFC. Приложение для прошивки Protectimus TOTP Burner бесплатно доступно на Google Play.

Это самый безопасный способ генерации одноразовых паролей, известный на сегодняшний день. Такой OTP токен обладает всеми преимуществами стандартных токенов (работает автономно и не подвержен вирусам или перехвату OTP). Но и секретные ключи при этом не известны никому, кроме конечного пользователя (в отличие от обычной ситуации, когда секретные ключи передают с завода-производителя поставщику, а от поставщика конечному клиенту).

Перепрошиваемые токены возможно подключить практически к любому сервису, если в нем поддерживается двухфакторная аутентификация. Токены Protectimus Slim NFC часто заказывают для индивидуального использования или для замены приложений в компаниях, где уже есть рабочая система двухфакторной аутентификации, но нет аппаратных токенов.

Итак, преимуществ у перепрошиваемых токенов уйма: надежность, универсальность, возможность перепрошить и переподключить к другому ресурсу. Недостаток один — приложение для прошивки доступно только для смартфонов на Android.

Поддержка токенов сторонних производителей


Если у клиентов есть аппаратные HOTP, TOTP или OCRA токены и секретные ключи от этих токенов, мы даем возможность подключить их к нашей системе. Это касается любых токенов любых производителей. То же правило распространяется и на программные токены.

SMS аутентификация

SMS аутентификация — явление устаревшее, но удобное. Минусы данного способа аутентификации следующие: сообщения передаются в незашифрованном виде и могут быть перехвачены, злоумышленники могут подменить SIM-карту или заразить смартфон вирусом, который считывает одноразовые пароли, к тому же, это самый дорогой вариант, так как клиенту приходится дополнительно оплачивать доставку SMS сообщений. Куда надежнее и дешевле использовать чат-боты в мессенджерах, о чем мы напишем ниже.

Тем не менее, некоторые клиенты до сих пор отказываются от любых других способов доставки одноразовых паролей кроме SMS, поэтому мы оставляем эту опцию доступной. А чтобы сделать двухфакторную аутентификацию по SMS более безопасной, можно подключить функцию подписи данных CWYS.

Возможность подключить собственного SMS провайдера в on-premise платформе. Если у клиента есть выгодный контракт с каким-либо SMS провайдером и он выбирает SMS-доставку временных паролей, то возможно легко подключить данного провайдера к on-premise платформе Protectimus через SMPP.

Email аутентификация

Доставлять одноразовые пароли по электронной почте так же удобно, как и отправлять SMS, но это еще и бесплатно. Чтобы настроить аутентификацию по email, администратору нужно знать только адреса электронной почты пользователей.

Но, опять же, это не самый лучший способ 2FA с точки зрения безопасности. Вся защита сводится к уровню защиты доступа к email. Да и устройство, на котором пользователь будет входить в свой ящик и открывать письмо с одноразовым паролем может быть заражено вирусом.

Protectimus Bot

Доставка одноразовых паролей с помощью чат-ботов в мессенджерах. На сегодня, Protectimus — единственная компания, которая предоставляет такую возможность. Пользователю не нужно устанавливать никаких дополнительных приложений, все уже есть в его любимом мессенджере. Нужно только подключить чат-бота Protectimus Bot в Telegram, Viber, Facebook Messenger или другом мессенджере, которым вы пользуетесь, и Protectimus будет отправлять запросы на подтверждение действия прямо туда.

По сути, все так же удобно, как и с Push-нотификациями. Пользователю нужно нажать на кнопку “Accept”, чтобы подтвердить действие, или “Deny” чтобы запретить аутентификацию.

Более того, с помощью чат-ботов клиент может отправлять своим пользователям любые дополнительные уведомления и получать от них обратную связь.

Мессенджеры намного лучше защищены от взлома, чем SMS, все сообщения шифруются, приложение можно дополнительно защитить PIN-кодом или биометрией, в зависимости от возможностей телефона, а также включить двухфакторную аутентификацию на доступ к самому мессенджеру. Из недостатков — нужен доступ к сети интернет и самоконтроль, чтобы не оставить мессенджер открытым на нескольких устройствах сразу.

Выводы

Оба сервиса двухфакторной аутентификации предоставляют своим пользователям широкий выбор средств доставки / генерации одноразовых паролей.

Важно отметить, что все средства доставки одноразовых паролей, которые предлагает Protectimus, соответствуют стандартам отраслевой инициативы OATH (Initiative for Open Authentication).

Решение двухфакторной аутентификации Duo, в свою очередь, работает по другому принципу, используя асимметричную криптографию, поэтому не все способы аутентификации Duo соответствуют стандартам OATH. Больше об этом различии читайте в статье “Duo Security vs Protectimus” в разделе “Технологии”.

Duo поддерживает SMS сообщения, голосовые вызовы, аппаратные HOTP токены и U2F токены, но в основном пользователи выбирают Duo именно благодаря их мобильному приложению с функцией Push нотификаций.

Protectimus, в отличии от Duo, не поддерживает U2F токены и голосовые вызовы, но предлагает другие более современные альтернативы: перепрошиваемые аппаратные TOTP токены Protectimus Slim NFC и доставку одноразовых паролей в мессенджерах.

Функции

Duo

Protectimus

Push нотификации да да
2FA приложение да да
Аппаратные HOTP токены да
да
Аппаратные TOTP токены да1 да
Аппаратные OCRA токены нет да
Аппаратные U2F токены да нет
SMS да да
Email нет да
Голосовые вызовы да нет
Чат-боты в мессенджерах нет да2
Бэкап коды да нет
  1. К сервису двухфакторной аутентификации Duo Security можно подключать аппаратные TOTP токены сторонних производителей. Но Duo не рекомендует использовать TOTP токены, так как в этом сервисе не реализована возможность синхронизации токенов и сервера по времени.
  2. На данный момент чат-боты Protectimus Bot доступны в Telegram, Viber, Facebook Messenger.

Читайте также

Источник фото и лого: duo.com

Author: Cyber Max

Макс может похвастаться огромным опытом в разных направлениях IT. Но его основной интерес направлен на разработку решений для финансового сектора, мобильных приложений и решений информационной безопасности. В своих предыдущих проектах Макс успел побывать в роли инициатора, разработчика, руководителя, менеджера проекта и совладельца.

Share This Post On

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Подпишитесь на нашу рассылку!

Подпишитесь на нашу рассылку!

Подпишитесь на нашу рассылку и получайте последние новости из мира информационной безопасности от блога Protectimus.

Спасибо за подписку на нашу рассылку!

Share This