Описание

Aladdin 2FA - программное решение для двухфакторной аутентификации, разворачиваемое совместно с JaCarta Authentication Server (JAS). Решение состоит из мобильного приложения и серверного приложения, располагаемого в инфраструктуре заказчика.

Aladdin 2FA реализует функцию безопасной передачи пользовательского аутентификатора на этапе регистрации, позволяет использовать PUSH‑аутентификацию в качестве второго фактора, а также получить полный контроль над пользовательскими мобильными аутентификаторами: выпускать неклонируемые аутентификаторы, отслеживать их статус активации, удалять их с мобильного устройства прямо из консоли JAS.

Попробовать решение в действии можно на демо-портале Aladdin 2FA

Отправить заявку на проведение бесплатного пилотного проекта можно по адресу sales@aladdin.ru

PUSH-аутентификатор

PUSH‑аутентификатор

OTP-аутентификатор

OTP‑аутентификатор

Безопасная передача аутентификатора пользователю

Безопасная передача аутентификатора пользователю

Защита аутентификатора от клонирования

Защита аутентификатора от клонирования

Отслеживание статусов получения аутентификаторов пользователями в JAS

Отслеживание статусов получения аутентификаторов пользователями в JAS

Управление мобильными аутентификаторами через JAS

Управление мобильными аутентификаторами через JAS

Где используется

Aladdin 2FA с JaCarta Authentication Server позволит реализовать сценарии двухфакторной аутентификации для:

  • шлюзов удалённого доступа (Microsoft, Cisco, Citrix, Palo Alto, Check Point, VMware, Fortinet, NGate и др. – список постоянно пополняется);
  • шлюзов к рабочим столам Microsoft (Microsoft RDG);
  • корпоративных систем (CRM, порталы, электронная почта и т.д.), в том числе Microsoft SharePoint и Microsoft Outlook Web App;
  • web-приложений, сайтов и облачных сервисов;
  • системы дистанционного банковского обслуживания (ДБО) и электронного документооборота (ЭДО).
microsoft
citrix
cisco
fortinet
paloalto
NG
vm-vare
check-point

Как это работает?

PUSH‑аутентификация - интерактивный способ входа, требующий в качестве второго фактора подтверждение в мобильном приложении Aladdin 2FA либо в PUSH-уведомлении.

PUSH‑аутентификация безопаснее по сравнению с OTP аутентификацией: она не подвержена атакам посредством фишинговых страниц, а методы социальной инженерии, при ее использовании не эффективны.

PUSH‑аутентификация удобна и интуитивно понятна для пользователя: уведомление с запросом приходит на смартфон сразу после ввода логина и пароля, а подтверждение осуществляется посредством одного касания.

Aladdin 2FA имеет архитектуру независимую от сервисов доставки PUSH-уведомлений Google, Apple и Huawei. В случае блокировки указанных сервисов, функциональность PUSH‑аутентификации в приложении продолжит работать штатно, но без уведомлений вне приложения.

Aladdin 2fa компьютер 1

OTP‑аутентификация - самый распространенный способ двухфакторной аутентификации с ручным вводом одноразового пароля, сгенерированного в мобильном приложении Aladdin 2FA.

Мобильное приложение Aladdin 2FA поддерживает все распространенные стандарты формирования одноразового пароля: TOTP (RFC 6238) и HOTP (RFC 4226).

Aladdin 2FA реализует механизмы защиты аутентификатора на этапе передачи его пользователю:

  • пользователь получает свой аутентификатор по защищенному каналу;
  • выпускаемый аутентификатор может быть установлен только на одно устройство;
  • выпущенный аутентификатор невозможно клонировать или передать на другое устройство.
Aladdin 2fa компьютер 2

Безопасная передача аутентификатора. В основе аутентификации с использованием одноразового пароля лежит использование секрета (вектора инициализации), одинакового для пользователя и сервера аутентификации. Передача вектора инициализации с сервера пользователю - ответственный этап работы решения двухфакторной аутентификации. Если на этапе передачи вектор инициализации будет перехвачен злоумышленником, тот сможет в любой момент воспользоваться аутентификатором, в то время как факт того, что аутентификатор был скомпрометирован, может быть вскрыт только после взлома учетной записи, когда будет уже поздно что-то предпринимать.

Aladdin 2fa схема 1

Безопасная передача аутентификатора - реализованный в Aladdin 2FA механизм безопасной передачи секрета (вектора инициализации) для OTP- и PUSH‑аутентификаторов при выпуске его на сервере JAS.

Aladdin 2fa схема 2

Механизм безопасной передачи аутентификатора реализован с использованием одноразовых QR-кодов, вместо QR-кодов открытого стандарта. Такая реализация позволяет:

  • Обеспечить защищенную передачу вектора инициализации в пользовательское устройство;
  • Обеспечить единоразовую передачу вектора инициализации, не позволяя делать дубликаты;
  • Предупредить пользователя сообщением о компрометации, если одноразовый QR-код ранее уже был активирован;
  • Ограничить срок действия одноразовых QR-кодов.
Aladdin 2fa QR схема

Попробовать решение в действии можно на демо-портале Aladdin 2FA

Отправить заявку на проведение бесплатного пилотного проекта можно по адресу sales@aladdin.ru

Полный контроль над мобильными аутентификаторами в JAS

Aladdin 2FA расширяет функциональность сервера аутентификации JaCarta Authentication Server. Совместное использование позволяет:

  • Выпускать неклонируемые OTP- и PUSH‑аутентификаторы. Одноразовые QR-коды позволят получить аутентификатор единожды и только на одно устройство. Мобильное приложение Aladdin 2FA не позволит создать дубликат аутентификатора на другом устройстве;
  • Безопасно передавать выпущенные OTP- и PUSH‑аутентификаторы пользователям. Aladdin 2FA передает аутентификаторы на мобильные устройства по защищенному каналу;
  • Отслеживать статусы активации выпущенных аутентификаторов в консоли JAS. Aladdin 2FA позволяет отслеживать был ли активирован одноразовый QR-код, истек ли срок действия выпущенного QR-кода. Данная функциональность позволяет настраивать планы обслуживания, которые будут перевыпускать аутентификаторы автоматически;
  • функциональность сервера аутентификации JaCarta Authentication Service
  • Удалять аутентификаторы из памяти мобильного устройства из консоли JAS. Aladdin 2FA удалит аутентификаторы на мобильных устройствах, удаленные в JAS в ходе плана обслуживания.

Состав решения

Мобильное приложение Aladdin 2FA - свободно распространяемый персональный мобильный аутентификатор, доступный на множестве мобильных операционных систем. Пользователи Aladdin 2FA могут использовать в качестве второго фактора PUSH- и OTP-аутентификацию (при условии использования сервера аутентификации JAS).

Мобильное приложение защищается биометрией (опционально), доступной на используемом мобильном устройстве или пин-кодом.

Скачайте приложение Aladdin 2FA

Приложение можно свободно загружать для операционных систем iOS и Android из указанных ниже магазинов приложений.

Вы можете загрузить приложение с нашего сайта. Приложение Aladdin 2FA для Android и Аврора:

Приложение Aladdin 2FA для рабочих станций:

Сервер Aladdin 2FA - часть решения, разворачиваемая в инфраструктуре заказчика. Сервер Aladdin 2FA является связующим звеном между JAS и мобильными устройствами. Сервер Aladdin 2FA позволяет выпускать одноразовые QR-коды для безопасной передачи аутентификатора пользователю, отслеживать статусы их активации и удалять их с устройства при необходимости, а также реализует PUSH‑аутентификацию.

Aladdin 2fa схема-3

Установка и настройка

Для удобства реализован удобный мастер настройки, который позволит настроить все необходимое для работы сервиса за несколько шагов.

Безопасность

Архитектура решения позволяет разместить сервер Aladdin 2FA в DMZ и обеспечить однонаправленное взаимодействие из внутренней сети (от JAS к Aladdin 2FA) и из публичных сетей (от мобильных устройств к Aladdin 2FA).

Все чувствительные данные, необходимые для работы сервера, защищены при помощи шифрования.

Отказоустойчивость

Реализованная в Aladdin 2FA архитектура PUSH‑аутентификации не зависит от публичных сервисов Google и Apple. В случае полного отключения сервисов доставки PUSH-уведомлений аутентификация в приложении Aladdin 2FA будет работать как и прежде.

Aladdin 2FA поддерживает режим работы в кластере Failover, включая поддержку группу доступности для СУБД MS SQL Always on. Подробная инструкция по настройке доступна в документации по серверу Aladdin 2FA.

Производительность

Сервер Aladdin 2FA позволяет масштабировать нагрузку вертикально, увеличивая производительность решения с ростом производительности сервера, на котором оно развернуто.

Системные требования

Серверная компонента (коннектор для JAS)

Требования к ОС:

Microsoft Windows

  • Windows Server 2016 и выше

Linux

  • Astra linux SE 1.7.2
  • RedOS 7.3.2
  • Альт 8 СП
  • CentOS 8
  • Ubuntu 20.04
  • Debian 10

Требования к СУБД:

  • Microsoft SQL Server 2016 и выше
  • PostgreSQL версии 11.0 и выше

Мобильное приложение

  • iOS 14 и выше
  • Android 5 и выше
  • Аврора 4 и выше

Приложение для рабочих станций

  • Microsoft Windows 10
  • Microsoft Windows 11
  • Astra Linux 1.7
  • RedOS 7.3
  • Альт 8 СП

Версия JAS (JMS)

  • JAS (JMS) 3.7.1 и выше

Помощь

Если Вы столкнулись с проблемой в работе мобильного приложения или сервера Aladdin 2FA:

Отправить заявку на проведение бесплатного пилотного проекта можно по адресу sales@aladdin.ru

Принять участие в бета-тесте мобильного приложения и получать самые свежие фичи можно, направив запрос на адрес mobile@aladdin.ru