Daugiafaktorės autentifikacijos (MFA) sprendimą renkatės dešimčiai metų, nors pirkimo dokumentuose tai atrodo kaip eilinė varnelė. Šiame vadove aptariame klausimus, kurie atskiria sprendimus, tyliai jus saugančius, nuo sprendimų, tyliai virstančių kitu jūsų migracijos projektu.
Pasitikėjimas
Pasitikėkite saugumo modeliu. Viešojo rakto kriptografija pagrįsti sprendimai suteikia stipresnes garantijas nei bendrąja paslaptimi paremtos schemos: nėra centrinės paslapčių saugyklos, į kurią būtų galima įsilaužti, ir nėra nieko, ką žinotų abi pusės. Saugokitės uždaros, nuosavybinės kriptografijos; rinkitės atvirus, nepriklausomo audito patikrintus pagrindus.
Žinokite technologinius pagrindus. Kur generuojami raktai? Kur jie saugomi? Rakto, sukurto ir laikomo telefono aparatiniame saugos elemente, neįmanoma nei eksportuoti, nei nukopijuoti, o registracijos metu QR kodu perduota pradinė reikšmė yra saugi tik tiek, kiek saugus pats jos perdavimas.
Įvertinkite, kieno rankose kontrolė
Sava infrastruktūra ar SaaS. Kur sprendimas veikia ir kas nutiks jūsų autentifikacijai, jei tiekėjas patirs veiklos sutrikimą – ar saugumo pažeidimą? Jei priežiūros institucijos paklaus, kur laikomi autentifikacijos duomenys, ar turėsite atsakymą, kurį kontroliuojate patys?
Audituojama komunikacija. Ar galite matyti ir patikrinti, ką sprendimas siunčia tinklu? Čia svarbus operacijų tvirtinimas: naudotojas turi matyti, ką būtent jis tvirtina, o patvirtinimas turi būti kriptografiškai susietas lygiai su tuo turiniu.
Nepamirškite reguliavimo
Kur bus saugomi duomenys ir ar apskritai būtina perduoti asmens duomenis tiekėjui? ES organizacijoms tai konkrečiai apibrėžia BDAR (Bendrasis duomenų apsaugos reglamentas). Finansinių technologijų sektoriuje PSD2 griežto kliento autentifikavimo ir dinaminio susiejimo reikalavimai nulemia, kurie sprendimai apskritai gali būti svarstomi. Gali būti taikomi ir atsparumo bei prieinamumo reikalavimai: ar sprendimas gali veikti rezervuotai, jūsų pačių kontroliuojamoje aplinkoje?
Bendrosios naudojimo išlaidos
Licencijų mokesčiai yra tik matomoji dalis. Įskaičiuokite ir:
- Priklausomybes nuo kitų produktų: ar sprendimui reikia kitų produktų, katalogų tarnybų ar aparatinės įrangos, kurios dar neturite?
- Priežiūros mokesčius ir versijų atnaujinimus.
- Žmogiškųjų išteklių sąnaudas: kasdienį administravimą, naudotojų aptarnavimą ir mokymus.
- Diegimo trukmę: kiekviena diegimo savaitė yra darbo užmokestis, išleistas dar prieš atsirandant bet kokiai apsaugai.
- Alternatyviąsias sąnaudas: ar sprendimas vis dar tiks, kai pridėsite dokumentų pasirašymą, naujas programas ar po įmonių susijungimo atėjusį naujų naudotojų srautą?
Būkite atsargūs su SMS
SMS kodus galima perimti, pasisavinti perkėlus SIM kortelę ar išvilioti fišingo ataka, be to, jie nepalieka jokio įrašo apie tai, ką naudotojas iš tikrųjų matė tvirtindamas. Priežiūros institucijos tai jau pastebėjo. Jei SMS šiuo metu yra jūsų antrasis veiksnys, laikykite jį laikinu tiltu, o ne galutine stotele.
Naudotojų patirtis lemia viską
Naudotojus erzinanti sauga apeinama, o apeita kontrolės priemonė yra blogiau nei jokios, nes atitikties ataskaitoje ji vis tiek šviečia žaliai. Palyginkite aparatinės įrangos patirtį (ką naudotojams teks nešiotis su savimi, ar prireiks atskiro kodų generatoriaus?), programinės įrangos patirtį (kiek paspaudimų? kiek galimų nesėkmės scenarijų?) ir administratoriaus patirtį (kiek iš tikrųjų trunka vieno naudotojo prijungimas?). Privatumas taip pat yra patirties dalis: sprendimas, kaupiantis naudotojų duomenis, pats tampa rizika.
Kas toliau?
Bet kokia sauga geriau nei jokios, tačiau migracijos kaštai yra realūs, todėl rinkitės sprendimą, kurio neišaugsite. Vertinkite savo pačių aplinkoje per bandomąjį projektą: tikras VPN, tikra programa, keletas tikrų naudotojų. Per savaitę tai pasakys daugiau nei funkcijų palyginimo lentelė per ketvirtį.