Реализация двухфакторной аутентификации

Question

Реализация двухфакторной аутентификации

Моя компания имеет доступ к стороннему веб-сайту, который использует простой метод аутентификации по имени пользователя и паролю. Этот поставщик может ограничить доступ к приложению (веб-сайт) определенным диапазоном IP-адресов. Мы пытаемся внедрить двухфакторную аутентификацию для защиты сайта. У нас нет доступа к исходному коду поставщика веб-сайта, поэтому мы не смогли внедрить на веб-сайте 2FA native.

Я думал о создании экземпляра AWS EC2 с 2FA и ограничении веб-сайта стороннего поставщика только этим IP.

Другой вариант - создать прокси-сервер (с 2FA, я не знаю, возможно ли это) и ограничить IP-адрес только прокси.

Это лучшая практика? У кого-нибудь есть другая идея?

0

security two-factor-authentication two-factor

Источник

p.magalhaes 22 мар '17 в 12:00

2 ответа

Другие вопросы по тегам security two-factor-authentication two-factor

HBruijn 22 мар '17 в 13:32 2017-03-22 13:32 · Answer 1 · 2017-03-22 13:32

Могу ли я использовать ограничения IP-доступа, которые поддерживает поставщик, чтобы ограничить доступ к (обратному) прокси-серверу, а затем включить двухфакторную аутентификацию на прокси-сервере?

Да, вы могли бы, но это все еще не предлагает вам фактическую двухфакторную аутентификацию.

Проблема в том, что, хотя люди должны будут проходить аутентификацию с использованием двухфакторной проверки на прокси-сервере, для входа на веб-сайт им все равно будет предложено ввести имя пользователя и пароль. И ничто не мешает им использовать чужое имя пользователя и пароль, а не свои собственные для входа в систему.

Пользователь A на прокси-сервере может войти в систему как Пользователь B на стороннем веб-сайте, что, как предполагается, должно предотвращать использование двухфакторного фактора!

symcbean 22 мар '17 в 13:46 2017-03-22 13:46 · Answer 2 · 2017-03-22 13:46

Да, это обеспечит двойную аутентификацию, хотя:

1) Возможно подделывать IP-адреса, даже с TCP - используя VPN (правильную VPN с собственными IP-адресами и взаимной аутентификацией, например, IPSEC или ssh-туннель, а не дешевые анонимные службы, которые вы увидите в Google, если вы ищете "VPN") будет решить эту проблему

2) При наличии только одного прокси ваша доступность уменьшается вдвое.

3) Можете ли вы реально контролировать, насколько фиксирован "фиксированный" IP-адрес прокси (подсказка: вы можете, если его "127.0.0.1")

В качестве альтернативы вы можете потратить огромные суммы денег на решение по управлению привилегированным доступом / независимостью (а затем выяснить, насколько это ограничительно на практике).