Google Authenticator vs Protectimus

Опубликовано Май 29, 2020 | нет комментариев

Часто нас просят сравнить решение двухфакторной аутентификации Protectimus с Google Authenticator и рассказать чем мы лучше. Постараемся дать ответ в этой статье.

Прежде всего, нужно понимать, что Google Authenticator — это только приложение для генерации одноразовых паролей. Один из наших токенов — Protectimus Smart OTP — является аналогом данного приложения. Но в любой системе аутентификации главное не OTP токен, который генерирует одноразовые пароли, а серверная часть, которая их проверяет. 

В отличие от Google Authenticator, Protectimus — это полноценное комплексное решение двухфакторной аутентификации, подключив которое вы раз и навсегда решите вопрос с защитой учетных записей своих сотрудников и/или пользователей от несанкционированного доступа.

Когда мы получаем запрос с просьбой сравнить Protectimus и Google Authenticator, то понимаем, что серверную часть клиент планирует разработать самостоятельно, хотя еще сомневается. Поэтому мы также расскажем об основных преимуществах самостоятельной разработки серверной части решения 2FA и о трудностях с которыми вы обязательно столкнетесь.

Зарегистрируйтесь в облачном сервисе Protectimus и получите $25 на счет

Краткое содержание статьи для удобной навигации:

Как построена любая система двухфакторной аутентификации

Основа каждой системы двухфакторной аутентификации — MFA сервер. Именно серверная часть анализирует одноразовые пароли, которые вводят пользователи, и разрешает или запрещает доступ к ресурсу.

Кроме анализа OTP, серверная часть может поддерживать дополнительные функции защиты данных, например, в сервисе двухфакторной аутентификации Protectimus — это возможность ограничить доступ в зависимости от географического местонахождения пользователя и времени входа в аккаунт, а также ограничение доступа по IP.

Вторая обязательная составляющая любого решения двухфакторной аутентификации — MFA токены (аутентификаторы). Устройства для генерации одноразовых паролей, которые пользователи должны всегда иметь при себе, чтобы в нужный момент сгенерировать или получить код для входа в учетную запись. Аутентификаторы могут быть разных форм и видов (аппаратные, программные, SMS, email, чат-боты в мессенджерах), один из возможных вариантов — приложением Google Authenticator.

Подробно о принципах генерации и проверки одноразовых паролей по алгоритмам двухфакторной аутентификации HOTP, TOTP и OCRA читайте здесь.

Как работает двухфакторная аутентификация

Что такое Google Authenticator

Google Authenticator — это один из видов MFA токенов, приложение для генерации одноразовых паролей по алгоритмам TOTP или HOTP, доступное бесплатно на Android и iOS. То есть это одна из необходимых составляющих системы двухфакторной аутентификации, но не полноценная система.

Наши OTP токены, как и Google Authenticator, являются генераторами временных кодов, то есть лишь частью решения, так как необходим еще и сервер, который будет проверять сгенерированные пароли. К слову, мы поддерживаем Google Authenticator, Вы можете использовать его с нашим решением вместо физических токенов.

Также у нас есть более продвинутый бесплатный аналог: программный токен Protectimus Smart OTP. Для полноты картины: мы также поддерживаем токены других производителей, построенных по стандартам OATH, и можем отправлять одноразовые коды по SMS, e-mail или через чат-боты в мессенджерах Telegram, Viber, Messenger.

| Читайте также: Эволюция средств двухфакторной аутентификации

Что такое Protectimus

Protectimus — это полноценное решение двухфакторной аутентификации, которое включает как серверную часть, так и большой выбор OTP токенов. Серверная часть доступна как в виде облачного сервиса (SAAS), так и в виде платформы, которую клиент устанавливает на собственном сервере или в частном облаке (On-premise).

Вы сможете быстро интегрировать решение двухфакторной аутентификации Protectimus в свою систему используя:

Список доступных OTP токенов включает:

  • классические аппаратные токены Protectimus Two;
  • программируемые аппаратные токены Protectimus Slim NFC;
  • приложение Protectimus Smart OTP (аналог Google Authenticator);
  • доставка временных кодов через чат-боты Protectimus Bot в Facebook, Telegram и Viber;
  • доставка временных кодов через SMS сообщения;
  • доставка временных кодов по электронной почте;
  • поддержка Google Authenticator;
  • поддержка OATH токенов сторонних производителей.

Серверная часть: SAAS или On-premise

Вы можете использовать облачный сервис Protectimus или развернуть сервер двухфакторной аутентификации в своем окружении / частном облаке. Каждый из предложенных вариантов имеет свои преимущества.

Облачный сервис ProtectimusOn premise платформа Protectimus

SAAS сервис

On-premise платформа

  • серверная часть уже готова к работе;
  • можно подключить минимальное число пользователей и платить только за то количество пользователей, которое вам действительно нужно (до 10 пользователей бесплатно);
  • при регистрации вы получаете 25 USD на счет;
  • вам не нужно дополнительно вкладывать средства в аппаратуру для серверной части, ее защиту и поддержку инфраструктуры, облачный сервис Protectimus доступен 24/7.
  • сервер аутентификации находится полностью под вашим контролем;
  • вы можете выстроить защиту MFA сервера по своему усмотрению, например, платформа может быть установлена в изолированной локальной сети или в сети, защищенной файерволом;
  • если вы планировали разработку собственной серверной части решения двухфакторной аутентификации потому что хотите иметь полный контроль над всеми данными пользователей или это является одним из требований законодательства вашей страны, можно решить эти задачи с помощью on-premise платформы Protectimus.

OTP токены: физические или программные

TOTP токен Protectimus TwoПрограммный токен Protectimus Smart OTP

Физические токены

Программные токены

Преимущество физического токена (Protectimus Two, Protectimus Slim NFC) состоит в том, что это отдельный девайс, предназначенный конкретно для целей генерации одноразовых паролей, он никак не коммуницирует с внешним миром, работает изолированно. В такой токен не может попасть никакое стороннее ПО, скомпрометировать его невозможно. В конце концов, физический токен можно попросту закрыть в сейфе.

Преимущество программного токена в том, что с собой не нужно носить дополнительных устройств и они дешевле в эксплуатации: Google Authenticator и Protectimus Smart OTP абсолютно бесплатны, Вам придется платить лишь за сервер аутентификации.

Дополнительные функции решения MFA Protectimus

Подпись данных (CWYS)

Наш MFA сервер и программный токен Protectimus Smart, в отличие от Google Authenticator, поддерживают третий алгоритм генерации одноразовых паролей OATH под названием OCRA (OATH Challenge-Response Algorithm, RFC 6287). Это позволило реализовать функцию подписи данных CWYS (Confirm What You See) и вывести надежность двухфакторной аутентификации на новый уровень. Генерация одноразовых паролей происходит по алгоритму OCRA, но вместо стандартного запроса (challenge) используются данные об операции, которую совершает пользователь, например, при переводе средств может учитываться имя получателя, сумма, валюта и т.п. Так даже при перехвате одноразового пароля злоумышленник не сможет воспользоваться этим OTP для подтверждения собственной нелегитимной операции. Проверьте как работает функция подписи данных на странице демо.

Географические фильтры

Эта функция позволяет закрыть или открыть доступ к вашей системе только из указанных стран, например, можно разрешить доступ к корпоративным ресурсам только из стран, в которых находятся ваши филиалы.

Временные фильтры

Эта функция позволяет открыть доступ к вашей системе только в выбранные часы, например только в рабочее время.

Анализ окружения

Благодаря этой функции вы сможете повысить лояльность пользователей. Система проанализирует некоторые данные окружения пользователя, например, название и версию браузера, операционную систему, язык, разрешение монитора, глубину цвета и тому подобное, после чего временный пароль будет запрошен только тогда, когда допустимый порог несовпадений окажется превышен.

Фильтрация по IP

Эта функция позволяет открыть доступ к вашей системе только с выбранных IP адресов.

| Читайте также: Duo Security vs Protectimus: Функционал

Преимущества и риски разработки серверной части собственными силами

Теперь о сервере аутентификации: вы, конечно же, можете реализовать проверку одноразовых паролей самостоятельно и подключить Google Authenticator, стандарт открыт: RFC 6238

Но в таком случае нет гарантии, что все будет реализовано правильно с учетом всех подводных камней. Вам нет смысла проходить дорогостоящую сертификацию и проверки, которые прошли мы, а подводных камней все же много, особенно, если учитывать то, что в стандартах описывается реализация на Java, а на РНР алгоритмы портированы энтузиастами. 

Кроме надежности и дополнительной защиты (кластер, репликации, бэкапы, файерволы, HSM и т.д) мы предоставляем инструменты мониторинга, статистики, управления и многое другое, что тоже делать самому будет не выгодно. 

Дополнительным бонусом является то, что мы постоянно отслеживаем тенденции в нашей отрасли и сразу же реагируем на новые вызовы, ведь безопасность — постоянная борьба. У непрофильных компаний часто не хватает времени и ресурсов на такую деятельность.

Наверное, единственное преимущество самостоятельной разработки серверной части решения двухфакторной аутентификации — отсутствие регулярных расходов на поддержку сервиса. Но не забывайте, что на разработку потребуются немалые средства, поэтому нужно еще посчитать что выгоднее.

| Читайте также: Информационная безопасность в FinTech: 10 инструментов для защиты платежной системы

Подводя итог

  1. Google Authenticator является лишь частью решения, он совместим с нашей системой, так как они построены на тех же принципах и работают по тем же алгоритмам. Инструмент от Google является программным аналогом физических токенов, их роль одинакова: генерация одноразовых кодов.
  2. Преимущество использования нашего сервера по сравнению с разработкой своего заключается в надежности получаемого решения, наличии защиты необходимого уровня, наличии технического опыта и необходимых инструментов управления, мониторинга, скорости внедрения, экономической целесообразности.

Будем рады ответить на любые вопросы о двухфакторной аутентификации и решении MFA Protectimus, пишите на [email protected].

Читайте также

Subscribe To Our Newsletter

Join our mailing list to receive the latest news and updates from our team.

You have Successfully Subscribed!

Author: Denis Shokotko

Жил-был в одном небольшом городе маленький мальчик, а звали его Дениска. Годы шли, он рос, а вместе с ним и рос интерес ко всему новому и непознанному. Особенно Денису нравились информационные технологии. Их чувства друг к другу были взаимными. Новое увлечение настолько манило, что он решил посвятить ему всю свою жизнь. В скором будущем он написал первую программу, потом еще, еще и еще... Тут ему не было равных. Его талант не мог быть не замечен. И вот, он уже стоит у истоков нового инновационного проекта. Теперь Protectimus в жизни Дениса как любовница, которая не будет его делить с другой и не потерпит измену :)

Share This Post On

Оставить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Подпишитесь на нашу рассылку!

Подпишитесь на нашу рассылку!

Подпишитесь на нашу рассылку и получайте последние новости из мира информационной безопасности от блога Protectimus.

Спасибо за подписку на нашу рассылку!

Share This