Двухфакторная проверка подлинности CertCentral

Хотите добавить еще один уровень безопасности в CertCentral? Мы рекомендуем внедрить двухфакторную проверку подлинности для вашей учётная запись. Двухфакторная проверка подлинности позволяет обеспечивать два метода проверки личности, прежде чем кто-то сможет войти в CertCentral и приобрести сертификаты или получить доступ к информации об учётная запись.

Обеспечение двух форм определения подлинности означает, что опасный субъект, получивший доступ к пароль чьей-либо учётная запись, не получит мгновенного доступа к учётная запись. Почему? Без обязательной второй формы проверки подлинности никто не сможет войти в эту yчётная запись.

Что-то известное только вам

По умолчанию CertCentral требует одну форму проверки подлинности: что-то известное только вам. Каждый пользователь должен создать учетные данные — имя пользователя и пароль — для входа в свою yчётная запись CertCentral. Эти учетные данные требуются всегда, даже если вы не используете двухфакторную проверку подлинности.

Тем не менее, при двухфакторной проверки подлинности ввод учетных данных является лишь первым шагом для доступа к учётная запись CertCentral.

Что-то, что есть только у вас

CertCentral позволяет вам обеспечить вторую форму проверки подлинности для входа: что-то, что есть только у вас. При реализации двухфакторной проверки подлинности применяется подход "что-то, что есть только у вас". Это может быть либо клиентским сертификатом, установленным на устройстве (например, ноутбуке или телефоне), либо одноразовым пароль, сгенерированным на устройстве с вводом одноразового пароля (OTP).

Сертификат клиента, установленный на устройстве

Клиентские сертификаты позволяют контролировать, с каких устройств пользователь может получить доступ к своей учётная запись. Пользователи могут получить доступ к своей учётная запись только с устройства, на котором установлен их клиентский сертификат. Клиентские сертификаты могут также потребовать от пользователя использовать определенный браузер для доступа к своей учётная запись.

  • Операционные системы Windows устанавливают клиентский сертификат в своем Хранилище сертификатов. Microsoft Edge, Chrome и Internet Explorer могут получать доступ к этим сертификатам.
  • macOS устанавливает клиентский сертификат в своем Хранилище сертификатов. Safari и Chrome могут получать доступ к этим сертификатам.
  • Firefox устанавливает клиентский сертификат в своем Хранилище сертификатов. Только Firefox может получать доступ к этим сертификатам для Windows и MacOS.

Одноразовый пароль, генерируемый приложением или устройством OTP

Приложение OTP, установленное на мобильном устройстве, позволяет пользователям входить в систему с любого устройства. Так как наш процесс двухфакторной проверки подлинности реализует протокол «Временный одноразовый пароль» (Time-Based One-Time Password, TOTP), вы должны использовать мобильное приложение, которое поддерживает протокол TOTP.

Протокол TOTP поддерживает временную вариацию алгоритма одноразового пароль (OTP). Каждый создаваемый OTP можно использовать только в течение короткого периода времени. По истечении срока действия OTP уже нельзя использовать повторно. OTP с коротким сроком действия позволяют повысить степень безопасности.

Большинство приложений с OTP, совместимых с протоколом TOTP, могут работать в рамках нашего процесса. Мы протестировали следующие приложения с OTP:

  • Google Authenticator: Android, iPhone, Blackberry
  • Authy: Android, iPhone
  • Authenticator: Windows Phone
  • Duo Mobile: iPhone

Темы

Внедрить и использовать двухфакторную проверку подлинности