Статья

Двухфакторная аутентификация AUTH.AS: для всех бизнесов, устройств и масштабов

Безопасность
мобильная версия
, Текст: Андрей Арсентьев

Информация в наше время – один из ценнейших ресурсов. Ее сохранность играет ключевую роль в успехе многих проектов, поэтому бизнесу различного масштаба так важно иметь надежное средство защиты критичных систем. Простой и безотказный способ сберечь информацию – воспользоваться сервисом двухфакторной аутентификации. Компания «Арсиэнтек» разработала масштабируемый сервис двухфакторной аутентификации AUTH.AS, который недавно был внесен в реестр отечественного ПО.

Из российских разработчиков аутентификационных продуктов отдельный интерес представляет опыт компании «Арсиэнтек». Механизм двухфакторной аутентификации позволяет сохранить данные намного надежнее, чем традиционные пароли. Информация защищена одноразовым паролем, который имеет время жизни всего 30 секунд, из-за чего его практически невозможно подобрать. Компания разработала с нуля сервис AUTH.AS, обеспечивающий генерацию и проверку переменных паролей. Разработанное ПО включает в себя как серверную часть, так и клиентскую на мобильных устройствах.

Курс государства на импортозамещение и специфика направления ИБ требуют создания отечественного продукта, обладающего более широким функционалом и отвечающего более жестким требованиям по масштабируемости, чем доступные для покупки зарубежные решения. AUTH.AS тут пришелся как нельзя кстати.

Идея на стороне

Замысел создания сервиса защиты информации возник у разработчиков в 2014 г., как единственный путь, после внедрения и нескольких лет эксплуатации систем двухфакторной аутентификации на основе продуктов двух западных вендоров. Заказчиком выступала крупная российская территориально-распределенная компания. Масштаб проекта поражал воображение: предполагалось подключение нескольких десятков тысяч пользователей, для 10 тыс. из них необходимо было обеспечить возможность одновременного доступа к системе.

«Внедрение оказалось очень трудоемким, – вспоминает генеральный директор компании «Арсиэнтек» Денис Нештун. – Если в рамках демонстрации все было хорошо, то в процессе тестирования перед переводом в эксплуатацию всплыл фундаментальный недостаток – система была абсолютно не масштабируемой».

Выяснилось, что решение на основе западной разработки способно обеспечить всего лишь пять аутентификаций в секунду. Естественно, для заказчика со многими тысячами пользователей такая пропускная способность неприемлема. Около года инженеры «Арсиэнтека» плотно работали с вендором, помогая решать проблему. Аналогичные решения других производителей тоже оказались не масштабируемыми.

Если делать, то лучшее

Российские разработчики подошли к задаче творчески и с изрядной долей перфекционизма. Они не стремились создать аналог имеющихся систем двухфакторной аутентификации, им нужен был более эффективный и многофункциональный продукт. «Получив опыт работы с западными продуктами по двухфакторной аутентификации, мы отлично представляли их возможности и недостатки, – говорит Денис Нештун. – Все решения того времени не отвечали требованиям по масштабированию, их было трудно настроить и у них отсутствовали мобильные клиенты. Мы понимали, что если хочется сделать хорошо – надо создать собственный продукт».

Чтобы добиться высокой производительности, разработчики построили ядро системы на основе технологии, которая позволяет работать в активном режиме даже в случае удаления одной или нескольких точек присутствия.

Изначально система проектировалась для высоконагруженных облаков, то есть с возможностью обслуживать большое количество пользователей одновременно. На один небольшой виртуальный сервер приходится до 1000 аутентификаций в секунду, при этом система является горизонтально масштабируемой. Заказчик может параллельно подключать любое количество серверов, наращивая производительность. Такая модель удобна как для больших компаний, так и для небольшого бизнеса с перспективой роста.

AUTH.AS обладает интуитивно понятным интерфейсом, доступно в режиме 24х7

Разработка AUTH.AS (означает «Authentication As Service», «аутентификация как услуга») заняла около года, и в августе 2015 г. готовый продукт был выведен на рынок. Решение обладает простым и интуитивно понятным интерфейсом, доступно в режиме 24х7, пользователь имеет полный контроль над процессом аутентификации своих приложений. Что особенно важно, сервис не требует хранения паролей на своей стороне – таким образом ликвидирован возможный канал утечек. Также AUTH.AS обладает удобным API для встраивания в работу приложений и поддерживает протоколы интеграции с внешними системами.

В случае когда у Заказчика установлены жесткие требования по использованию исключительно аппаратных токенов система AUTH.AS может быть проинтегрирована с любыми существующими на рынке OTP-токенами.

Мобильная защита

В 2014 г., когда началась разработка продукта AUTH.AS, у заказчиков резко выросла потребность использовать вместо классических аппаратных токенов мобильные телефоны. Дело в том, что технология генерации одноразовых паролей появилась на рынке в то время, когда смартфоны только начинали широкое распространение на рынке, и вендоры не озаботились созданием мобильных клиентов. Поэтому необходимо было как можно скорее ответить на запросы рынка. Специалисты «Арсиэнтек» параллельно с созданием серверной части системы готовили приложение для устройств на платформах iOS и Android, которое позволяет генерировать одноразовые пароли.

В AUTH.AS реализованы ряд принципиально новых функций для подобного класса решений. Например, новый продукт поддерживает синхронизацию по времени, и теперь можно не бояться, что ваш смартфон, на котором «убежали» часы, сгенерирует неправильный пароль. Приложения запоминают смещения времени и помогают синхронизировать его даже тогда, когда устройство не имеет доступа в Сеть.

«Одну из функций мы назвали TrueOne-TimePassword, благодаря ей сгенерированные пароли действительно могут использоваться только один раз. Если аутентификация в системе прошла с помощью переменного пароля, то backend, то есть серверная сторона, которая отвечает за проверку паролей, второй раз в течение полуминуты не пропустит пользователя. Таким образом, это закрывает ту уязвимость, когда кто-то подсмотрел пароль и тут же попытался на своем компьютере по нему залогиниться», – объясняет Денис Нештун.

В третьей версии мобильного приложения реализована многопрофильность, благодаря которой можно генерировать пароли для нескольких сервисов. Улучшена синхронизация настроек и профилей между всеми устройствами с единым AppleID (при использовании опции хранилища iCloud).

Кроме того, отметим, что в приложениях AUTH.AS, бесплатно доступных на AppStore и GooglePlay, есть поддержка мобильных устройств с биометрической идентификацией, то есть оснащенных сканером отпечатков пальцев.

Бизнес-модель

AUTH.AS предоставляется в виде облачного сервиса или как коробочный продукт. При этом базовый функционал из облака доступен бесплатно, что является отличным предложением для компаний СМБ с числом пользователей до 10. Для корпоративных клиентов сервис предлагается по подписке стоимостью p99 на одного пользователя в месяц.

Зайдя на сайт AUTH.AS, можно заказать на свой телефон код доступа к пробной версии сервиса и проверить возможности разработки. Для продвижения сервиса в регионы производитель заключил партнерское соглашение с несколькими крупнейшими дистрибуторами ПО.

Полностью свой

В сентябре 2016 г. продукт AUTH.AS внесен в реестр отечественного ПО, созданного с целью расширения использования российских программных продуктов. Компания «Арсиэнтек» получила из Минкомсвязи России подтверждение того, что продукт полностью соответствует критериям отечественного ПО, создан в России и отечественными разработчиками. «При этом мы работаем над тем, чтобы продукт был интересен не только в России, – отмечает Денис Нештун. – Мы убеждены, что правильное импортозамещение – это предлагать рынку именно качественные продукты. При этом отечественное ПО должно продвигаться не только на основе протекционистских мер, а иметь реальные преимущества над тем, что уже есть на рынке. Мы считаем, что наш продукт данным критериям отвечает».

Практически все заказчики AUTH.AS– территориально распределенные компании. Это объясняется тем, что ограничение доступа к информации прежде всего связано с удаленной работой пользователей. Сейчас проходит несколько масштабных внедрений продукта. Названия заказчиков в «Арсиэнтек» не раскрывают, но отмечают, что среди них есть крупные банки.