Często zdarza się, że użytkownik blokuje swoje konto wprowadzając wielokrotnie błędne hasło i, aby odzyskać do niego dostęp, musi skontaktować się z Administratorem systemu lub HelpDesk’iem.
Zdalne odblokowanie konta nie jest czynnością skomplikowaną, jednak wymaga przejścia procedury uwierzytelnienia (np. poprzez udzielenie odpowiedzi na wybrane pytania), co zabiera czas zarówno użytkownikowi, jak i Administratorowi.
Statystyki pokazują, że w przypadkach, gdy polityka bezpieczeństwa firmy wymusza zmianę hasła co 30 dni, użytkownik blokuje swoje konto średnio 1-2 razy rocznie.
Przyjrzyjmy się, jakie koszty mogą się z tym wiązać:
– cała procedura odblokowanie konta zajmuje użytkownikowi 10 minut;
– uwierzytelnienie użytkownika oraz odblokowanie konta zajmuje pracownikowi pomocy technicznej 5 minut;
– przyjmując, że jedna roboczogodzina pracownika biurowego to koszt 100 PLZ (uwzględniając płace, ZUS, koszty powierzchni biurowej itp.), a w organizacji jest 10 000 pracowników otrzymujemy:
1.5 zgłoszenia * 10 000 * 15 minut * 100 PLN = 375,000 PLN / rocznie
System ITRun SSPM umożliwienia znaczną redukcję tych kosztów oraz podnosi bezpieczeństwo procesu poprzez uwierzytelnienie użytkownika z wykorzystaniem mechanizmu 2FA (two factor authentication).
Jak działa ITRun SSPM
System SSPM umożliwia użytkownikowi odblokowanie konta i ustawienie nowego hasła bez konieczności kontaktu z HelpDesk’iem lub Administratorem systemu Active Directory.
ITRun SSPM jest zintegrowany z ‘Windows Welcome Screen’, dzięki czemu jego obsługa jest niezmiernie łatwa i intuicyjna.
Dostępne są cztery metody odblokowywania i zmiany hasła:
– odblokowanie kartą kryptograficzną wykorzystywaną do logowania w systemie Windows
– odblokowanie hasłem jednorazowym – OTP
– odblokowanie poprzez SMS wysyłany na telefon komórkowy użytkownika (w Active Directory musi być zarejestrowany numer telefonu komórkowego – klasyczny 2FA)
– quiz (lista pytań)
Integracja z procesem logowania
ITRun SSPM współpracuje z systemem Microsoft Windows 7, 8.x i 10 i jest dostępny w kilku wersjach językowych.
Wybór opcji odblokowania konta lub odblokowanie wraz ze zmianą hasła
Menu odblokowania konta przez kartę /token USB z certyfikatem do logowania
Użytkownik jest proszony o wybranie właściwego certyfikatu
Następnie należy wprowadzić PIN do karty lub tokenu USB.
Odblokowanie konta z wykorzystaniem kodu jednorazowego OTP
Hasło jednorazowe może być generowane na telefonie za pomocą aplikacji ITRun Mobile OTP (standard mOTP) lub poprzez token sprzętowy (standard TOTP lub HOTP)
Odblokowanie konta z wykorzystaniem telefonu komórkowego (2FA)
Jeśli podany numer telefonu zgadza się z tym, który jest zarejestrowane w Active Directory, do użytkownika jest wysyłany SMS z hasłem jednorazowym
Odblokowanie przez listę pytań
Aby z korzystać z tej opcji, użytkownik musi najpierw zarejestrować się w portalu SSPM i zdefiniować listę swoich pytań i odpowiedzi. Metoda ta nie jest polecana w systemach wymagających wysokiego poziomu bezpieczeństwa (brak uwierzytelnienie 2FA).
Zmiana hasła użytkownika
We wszystkich metodach odblokowywania konta użytkownik może wybrać dodatkowo opcję ‘Utwórz nowe hasło’.
Jeżeli opcja utworzenia nowego hasła zostaje wybrana, to po pozytywnej weryfikacji tożsamości użytkownika konto zostaje odblokowane, a nowe hasło jest generowane losowo i wysyłane do użytkownika SMS’em.
Jeśli użytkownik nie ma przypisanego numeru telefonu w AD, to nowe hasło może być wysłane do jego managera (SMS lub mail).
Architektura systemu
System składa się z następujących komponentów:
- ITRun Credential Provider – biblioteka DLL instalowana na stacji klienta, która pobiera od użytkownika dane uwierzytelniające i przekazuje je do serwera SSPM (wykorzystywany jest protokół HTTPS)
- Serwis SSPM – moduł ten jest odpowiedzialny za uwierzytelnienie użytkownika oraz odblokowanie i zmianę hasła. Serwis instalowany jest na serwerze Microsoft Windows 2012 R2 lub 2016.
- Serwis Radius OTP – moduł ten weryfikuje hasła jednorazowe.
- Bramka SMSC – kod jednorazowy oraz hasło przesyłane są SMS’em. System SSPM może korzystać z zewnętrznej braki SMSC lub bezpośrednio wysyłać SMS’y przez modem GSM.
- SIEM – zdarzenia związane z odblokowanie i zmianą hasła są przekazywane do zewnętrznego systemu logującego.
- AD / Unix / Mainframe – SSMP może wykonywać odblokowanie konta na różnych platformach.
Hasła OTP
Do uwierzytelnienia użytkowników hasłem jednorazowym, wykorzystywany jest system ITRun Radius OTP. W systemie tym istnieje możliwość jednoczesnego stosowania zarówno sprzętowych tokenów OTP, jak i metody opartej o wysyłanie haseł jednorazowych na telefon komórkowy użytkownika lub wyliczanych przez aplikację zainstalowaną na urządzeniu mobilnym (mOTP).
Generatory OTP musza być zgodne z następującymi standardami RFC:
- HOTP: Event-Based OTP (RFC 4226)
- TOTP: Time-Based OTP (RFC 6238)
- mOTP: Mobile OTP
Przy uwierzytelnieniu 2FA, kod jednorazowy OTP jest wysyłane przez SMS na numer telefonu, który jest zarejestrowany w AD dla danego użytkownika.