Aladdin 2FA

Где используется

Aladdin 2FA с JaCarta Authentication Server позволит реализовать сценарии двухфакторной аутентификации для:

• шлюзов удалённого доступа (Microsoft, Cisco, Citrix, Palo Alto, Check Point, VMware, Fortinet, NGate и др. – список постоянно пополняется);
• шлюзов к рабочим столам Microsoft (Microsoft RDG);
• корпоративных систем (CRM, порталы, электронная почта и т.д.), в том числе Microsoft SharePoint и Microsoft Outlook Web App;
• web-приложений, сайтов и облачных сервисов;
• системы дистанционного банковского обслуживания (ДБО) и электронного документооборота (ЭДО).

Как это работает?

PUSH‑аутентификация - интерактивный способ входа, требующий в качестве второго фактора подтверждение в мобильном приложении Aladdin 2FA либо в PUSH-уведомлении.

PUSH‑аутентификация безопаснее по сравнению с OTP аутентификацией: она не подвержена атакам посредством фишинговых страниц, а методы социальной инженерии, при ее использовании не эффективны.

PUSH‑аутентификация удобна и интуитивно понятна для пользователя: уведомление с запросом приходит на смартфон сразу после ввода логина и пароля, а подтверждение осуществляется посредством одного касания.

Aladdin 2FA имеет архитектуру независимую от сервисов доставки PUSH-уведомлений Google, Apple и Huawei. В случае блокировки указанных сервисов, функциональность PUSH‑аутентификации в приложении продолжит работать штатно, но без уведомлений вне приложения.

OTP‑аутентификация - самый распространенный способ двухфакторной аутентификации с ручным вводом одноразового пароля, сгенерированного в мобильном приложении Aladdin 2FA.

Мобильное приложение Aladdin 2FA поддерживает все распространенные стандарты формирования одноразового пароля: TOTP (RFC 6238) и HOTP (RFC 4226).

Aladdin 2FA реализует механизмы защиты аутентификатора на этапе передачи его пользователю:

• пользователь получает свой аутентификатор по защищенному каналу;
• выпускаемый аутентификатор может быть установлен только на одно устройство;
• выпущенный аутентификатор невозможно клонировать или передать на другое устройство.

Безопасная передача аутентификатора. В основе аутентификации с использованием одноразового пароля лежит использование секрета (вектора инициализации), одинакового для пользователя и сервера аутентификации. Передача вектора инициализации с сервера пользователю - ответственный этап работы решения двухфакторной аутентификации. Если на этапе передачи вектор инициализации будет перехвачен злоумышленником, тот сможет в любой момент воспользоваться аутентификатором, в то время как факт того, что аутентификатор был скомпрометирован, может быть вскрыт только после взлома учетной записи, когда будет уже поздно что-то предпринимать.

Безопасная передача аутентификатора - реализованный в Aladdin 2FA механизм безопасной передачи секрета (вектора инициализации) для OTP- и PUSH‑аутентификаторов при выпуске его на сервере JAS.

Механизм безопасной передачи аутентификатора реализован с использованием одноразовых QR-кодов, вместо QR-кодов открытого стандарта. Такая реализация позволяет:

• Обеспечить защищенную передачу вектора инициализации в пользовательское устройство;
• Обеспечить единоразовую передачу вектора инициализации, не позволяя делать дубликаты;
• Предупредить пользователя сообщением о компрометации, если одноразовый QR-код ранее уже был активирован;
• Ограничить срок действия одноразовых QR-кодов.

Попробовать решение в действии можно на демо-портале Aladdin 2FA

Отправить заявку на проведение бесплатного пилотного проекта можно по адресу sales@aladdin.ru

Полный контроль над мобильными аутентификаторами в JAS

Aladdin 2FA расширяет функциональность сервера аутентификации JaCarta Authentication Server. Совместное использование позволяет:

• Выпускать неклонируемые OTP- и PUSH‑аутентификаторы. Одноразовые QR-коды позволят получить аутентификатор единожды и только на одно устройство. Мобильное приложение Aladdin 2FA не позволит создать дубликат аутентификатора на другом устройстве;
• Безопасно передавать выпущенные OTP- и PUSH‑аутентификаторы пользователям. Aladdin 2FA передает аутентификаторы на мобильные устройства по защищенному каналу;
• Отслеживать статусы активации выпущенных аутентификаторов в консоли JAS. Aladdin 2FA позволяет отслеживать был ли активирован одноразовый QR-код, истек ли срок действия выпущенного QR-кода. Данная функциональность позволяет настраивать планы обслуживания, которые будут перевыпускать аутентификаторы автоматически;

• Удалять аутентификаторы из памяти мобильного устройства из консоли JAS. Aladdin 2FA удалит аутентификаторы на мобильных устройствах, удаленные в JAS в ходе плана обслуживания.

Состав решения

Мобильное приложение Aladdin 2FA - свободно распространяемый персональный мобильный аутентификатор, доступный на множестве мобильных операционных систем. Пользователи Aladdin 2FA могут использовать в качестве второго фактора PUSH- и OTP-аутентификацию (при условии использования сервера аутентификации JAS).

Мобильное приложение защищается биометрией (опционально), доступной на используемом мобильном устройстве или пин-кодом.

Скачайте приложение Aladdin 2FA

Приложение можно свободно загружать для операционных систем iOS и Android из указанных ниже магазинов приложений.

Вы можете загрузить приложение с нашего сайта. Приложение Aladdin 2FA для Android и Аврора:

Приложение Aladdin 2FA для рабочих станций:

Руководство пользователя мобильного приложения Aladdin 2FA

Руководство пользователя приложения Aladdin 2FA для рабочих станций

Сервер Aladdin 2FA - часть решения, разворачиваемая в инфраструктуре заказчика. Сервер Aladdin 2FA является связующим звеном между JAS и мобильными устройствами. Сервер Aladdin 2FA позволяет выпускать одноразовые QR-коды для безопасной передачи аутентификатора пользователю, отслеживать статусы их активации и удалять их с устройства при необходимости, а также реализует PUSH‑аутентификацию.

Установка и настройка

Для удобства реализован удобный мастер настройки, который позволит настроить все необходимое для работы сервиса за несколько шагов.

Безопасность

Архитектура решения позволяет разместить сервер Aladdin 2FA в DMZ и обеспечить однонаправленное взаимодействие из внутренней сети (от JAS к Aladdin 2FA) и из публичных сетей (от мобильных устройств к Aladdin 2FA).

Все чувствительные данные, необходимые для работы сервера, защищены при помощи шифрования.

Отказоустойчивость

Реализованная в Aladdin 2FA архитектура PUSH‑аутентификации не зависит от публичных сервисов Google и Apple. В случае полного отключения сервисов доставки PUSH-уведомлений аутентификация в приложении Aladdin 2FA будет работать как и прежде.

Aladdin 2FA поддерживает режим работы в кластере Failover, включая поддержку группу доступности для СУБД MS SQL Always on. Подробная инструкция по настройке доступна в документации по серверу Aladdin 2FA.

Производительность

Сервер Aladdin 2FA позволяет масштабировать нагрузку вертикально, увеличивая производительность решения с ростом производительности сервера, на котором оно развернуто.

Системные требования

Серверная компонента (коннектор для JAS)

Требования к ОС:

Microsoft Windows

• Windows Server 2016 и выше

Linux

• Astra linux SE 1.7.2
• RedOS 7.3.2
• Альт 8 СП
• CentOS 8
• Ubuntu 20.04
• Debian 10

Требования к СУБД:

• Microsoft SQL Server 2016 и выше
• PostgreSQL версии 11.0 и выше

Мобильное приложение

• iOS 14 и выше
• Android 5 и выше
• Аврора 4 и выше

Приложение для рабочих станций

• Microsoft Windows 10
• Microsoft Windows 11
• Astra Linux 1.7
• RedOS 7.3
• Альт 8 СП

Версия JAS (JMS)

• JAS (JMS) 3.7.1 и выше

Помощь

Если Вы столкнулись с проблемой в работе мобильного приложения или сервера Aladdin 2FA:

• Решение проблем для пользователей мобильного приложения Aladdin 2FA
• Решение проблем для администраторов сервера Aladdin 2FA
• Техническая поддержка

Отправить заявку на проведение бесплатного пилотного проекта можно по адресу sales@aladdin.ru

Принять участие в бета-тесте мобильного приложения и получать самые свежие фичи можно, направив запрос на адрес mobile@aladdin.ru