Daudzfaktoru autentifikācijas (MFA) risinājuma izvēle pirmajā brīdī izskatās pēc vienkārša ķeksīša iepirkuma sarakstā, taču patiesībā tas ir lēmums uz desmit gadiem. Šajā ceļvedī apkopoti jautājumi, kas atšķir risinājumus, kuri jūs klusi aizsargā, no tiem, kuri klusām kļūst par jūsu nākamo migrācijas projektu.
Uzticamība
Sāciet ar drošības modeli. Risinājumi, kas balstās uz publiskās atslēgas kriptogrāfiju, sniedz stingrākas garantijas nekā koplietotu noslēpumu shēmas: nav centrālas noslēpumu glabātavas, ko uzlauzt, un nav nekā, ko zinātu abas puses. No slēgtas, nepubliskotas kriptogrāfijas labāk izvairieties; dodiet priekšroku atvērtiem, auditētiem risinājumiem.
Noskaidrojiet tehnoloģisko pamatu. Kur atslēgas tiek ģenerētas? Kur tās glabājas? Atslēgu, kas izveidota un glabājas tālruņa aparatūras drošības elementā, nevar ne eksportēt, ne nokopēt; savukārt sākotnējā vērtība (seed), ko reģistrācijas laikā nodod ar QR kodu, ir tikai tik droša, cik droša ir pati nodošana.
Kā rokās ir kontrole
Pašu infrastruktūrā vai SaaS. Kur risinājums darbojas, un kas notiek ar jūsu autentifikāciju, ja piegādātāja pakalpojums pārstāj darboties — vai piedzīvo drošības incidentu? Ja regulators pajautās, kur glabājas autentifikācijas dati, vai jums būs atbilde, kuru kontrolējat jūs paši?
Auditējama saziņa. Vai varat redzēt un pārbaudīt, ko risinājums sūta pa tīklu? Īpaši svarīgi tas ir darījumu verifikācijā: lietotājam jāredz, ko tieši viņš apstiprina, un apstiprinājumam jābūt kriptogrāfiski piesaistītam tieši šim saturam.
Neaizmirstiet par regulējumu
Kur glabāsies dati, un vai personas dati vispār ir jānodod piegādātājam? ES organizācijām šo jautājumu konkretizē VDAR (Vispārīgā datu aizsardzības regula). Fintech uzņēmumiem PSD2 prasības par stingro klienta autentifikāciju un dinamisko piesaisti nosaka, kuri risinājumi vispār ir pieļaujami. Var būt spēkā arī noturības un pieejamības prasības: vai risinājumu var darbināt rezervēti (redundanti) jūsu pašu pārziņā?
Kopējās izmaksas
Licences maksa ir tikai aisberga redzamā daļa. Ņemiet vērā arī:
- Atkarību no citiem produktiem: vai risinājumam ir vajadzīgi citi produkti, direktoriju pakalpojumi vai iekārtas, kuru jums vēl nav?
- Uzturēšanas maksu un versiju jaunināšanu.
- Cilvēkresursu izmaksas: ikdienas administrēšanu, lietotāju atbalstu un apmācības.
- Ieviešanas laiku: katra ieviešanā pavadītā nedēļa ir algās samaksāta nauda, kamēr aizsardzība vēl nemaz nedarbojas.
- Alternatīvās izmaksas: vai risinājums derēs arī tad, kad pievienosiet dokumentu parakstīšanu, jaunas lietojumprogrammas vai apvienošanās rezultātā iegūtos lietotājus?
Piesardzīgi ar SMS
SMS kodus var pārtvert, tos apdraud SIM kartes nomaiņas krāpniecība (SIM swapping) un pikšķerēšana, turklāt tie nesaglabā nekādu pierādījumu par to, ko lietotājs apstiprināšanas brīdī faktiski redzēja. Regulatori to ir pamanījuši. Ja SMS pašlaik ir jūsu otrais faktors, uztveriet to kā pagaidu risinājumu, nevis galamērķi.
Visu izšķir lietotāju pieredze
Drošību, kas lietotājus kaitina, mēdz apiet, un apieta kontrole ir sliktāka par kontroles neesamību, jo atbilstības pārskatā tā tik un tā izskatās zaļa. Salīdziniet aparatūras pieredzi (kas lietotājiem jānēsā līdzi?), programmatūras pieredzi (cik pieskārienu vajadzīgs? cik daudz iespējamo kļūmju scenāriju?) un administratora pieredzi (cik ilgā laikā patiesībā var reģistrēt vienu lietotāju?). Arī privātums ir daļa no pieredzes: risinājums, kas uzkrāj lietotāju datus, pats rada papildu risku.
Kas tālāk?
Jebkāda drošība ir labāka par nekādu, taču migrācijas izmaksas ir reālas, tāpēc izvēlieties risinājumu, no kura nevajadzēs izaugt. Izvērtējiet to savā vidē ar izmēģinājuma projektu (pilotu): reāls VPN, reāla lietojumprogramma, neliela reālu lietotāju grupa. Nedēļas laikā tas parādīs vairāk, nekā funkciju salīdzināšanas tabula parādītu ceturksnī.