Сооснователь CloudPayments Константин Ян запустил сервис для быстрого подключения двухфакторной авторизации на сайтах Статьи редакции

Можно выбрать до пяти вариантов подтверждения входа, в том числе биометрический.

Сооснователь сервиса интернет-эквайринга CloudPayments Константин Ян запустил сервис Multifactor, рассказал vc.ru его представитель. Сервис позволяет быстро подключить двухфакторную авторизацию на сайте или в приложении, выбрав один из нескольких способов подтверждения входа.

После подключения администратор подключает допустимые способы аутентификации, а пользователь при первом входе выбирает наиболее удобные из них.

Сейчас Multifactor поддерживает пять способов подтверждения входа: биометрические датчики, сканеры и внешние устройства аутентификации; аутентификацию через Telegram; OTP-токены (внешние устройства, генерирующие одноразовые коды для подтверждения входа); приложения для генерации одноразовых кодов Google Authenticator и «Яндекс.Ключ»; SMS с одноразовым кодом.

По словам представителя Константина Яна, это первое подобное предложение в России. Среди зарубежных аналогов — американские Auth0, Duo, Okta.

Multifactor предназначен для сайтов и приложений с любым количеством пользователей, сервис можно интегрировать с помощью API, размещённого на его сайте. Для получения доступа необходимо зарегистрироваться.

В России, к сожалению, недостаточно сервисов, позволяющих создавать качественную инфраструктуру в сфере информационной безопасности без капитальных затрат. Мы хотим предоставить возможность бизнесу любого размера использовать инструменты корпоративного класса для защиты своих информационных систем.

Константин Ян
основатель и гендиректор Multifactor

В команде сервиса работает семь человек, уточнил его представитель. Константин Ян запустил сервис на собственные средства, сумма инвестиций не раскрывается.

Сервис работает по подписке, стоимость которой зависит от количества пользователей: подключение для 1-3 пользователей будет бесплатным, для 4-10 будет стоить 1490 рублей в месяц, для 11-30 — 2490 рублей в месяц.

Подписка для большего количество пользователей рассчитывается отдельно. Сейчас компания ведёт переговоры с несколькими потенциальными клиентами, но подробности не раскрывает.

{ "author_name": "Таня Боброва", "author_type": "editor", "tags": ["\u043d\u043e\u0432\u043e\u0441\u0442\u044c","\u043d\u043e\u0432\u043e\u0441\u0442\u0438"], "comments": 41, "likes": 19, "favorites": 42, "is_advertisement": false, "subsite_label": "dev", "id": 102881, "is_wide": true, "is_ugc": false, "date": "Mon, 27 Jan 2020 13:01:37 +0300", "is_special": false }
0
41 комментарий
Популярные
По порядку
Написать комментарий...
12

То есть ломать можно будет быстрее и централизованнее?

Ответить
6

Нет

Ответить
1

Объясните механизм такой авторизации. Вдруг мне тоже надо? Судя по Social Login, там обратно отдаётся token, ассоциированный с пользователем.

Ответить
3

После прохождения второго фактора выдается JWT токен ассоциированный с пользователем и подписанный ключом, который знает сайт и Мультифактор

Ответить
0

Токен выдается ввиде куки? Как вы оцениваете надёжность такого хранения токена в современных браузерах?

Ответить
1

Токен выдается в виде токена ) Как его дальше использовать решает сайт, но в основном, конечно в куки сохраняют. В современных браузерах это безопасно при условии, что кука с флагом HttpOnly, а сайт работает с TLS

Ответить
0

Но вот свежая установка последнего хрома по умолчанию. Тройка событий WM_ONCLICK отправленная окну браузера и вуаля - можно копировать содержимое куки:

Name
IDSYNC

Content
"1761~1pcx:175x~1p7n:175s~1mkk:1771~1mkk:17ou~1ml1:1769~1p3m:176l~1mkk:175w~1mkk:175u~1ml1:175v~1mkk:1776~1mkk"

Domain
.analytics.yahoo.com

и TLS тут никак не помогает.

Ответить
0

Неужели компания из 7 человек получала лицензию на обработку биометрических данных? Или они аки Эпл работают с образами и хэш-суммами данных?

Ответить
7

Привет. Нет, мы не обрабатываем биометрические данные. Это сложно, трудоёмко и сложновыполнимо. Мы работаем с проверкой сохранённых на устройствах пользователей биометрических данных. Всё работает через пары приватных-публичных ключей.

Ответить
1

Эллиптические кривые в качестве алгоритмов шифрования?

Ответить
0

Рофл )

Ответить
4

Какая лицензия, о чем Вы? 

 Набор протоколов: U2F (Universal Second Factor), UAF (Universal Authentication Framework) FIDO (Fast IDentity Online), CTAP (Client to Authenticator Protocol), объединенные в единый стандарт WebAuthn. 

Стандарт работает прямо из браузера без установки стороннего программного обеспечения и драйверов. Поддерживает биометрические датчики и сканеры, а также внешние устройства аутентификации, подключаемые через USB, Lightning, NFC или Bluetooth, например, RuToken U2F.

Ответить
2

Шел 2020 год, а на VC до сих пор путают авторизацию и аутентификацию. Поправьте статью, не позорьтесь

Ответить
1

Если есть один человек с безграничными правами доступа, то, конечно он может делать что угодно. Но он обычно и владелец сайта. А если нет, то владельцу стоит серьезно задуматься.

Ответить
1

А что с ценами, это какой-то странный способ сузить ЦА?
Сравниваю с auth0

Ответить
0

Дорого?

Ответить
0

Ну, это external или internal users? Если

Если external, то слишком...
Если internal, то лендос совсем непонятный.

А mailto ссылка на тарифной сетке — такое себе)

Ответить
0

Это external

mailto временная

Ответить
0

Ну вот $28/100 против $39/30

Я и цены Auth0 не особо понимаю, а тут тем более:)

Ответить
0

У них удобные способы MFA только в enterprise тарифе

Ответить
0

Google Authenticator или любой другой аналогичный апп поддерживается и на dev pro тарифе, с которым я и сраниваю цены, но телеграма нет у auth0 вообще)

Ответить
0

Биометрии тоже нет

Ответить
1

Ну если так судить, то у вас тоже)
У них расширяемо это и можно доработать, плюс уже есть готовые решения.
Мне все эти сервисы кажутся странными, но я просто не ЦА.
Успехов)

Ответить
1

Мне если честно, не совсем понятно направление данного ПО! Судя по тарифам, это чисто корпоративный сегмент и не рассчитан на массовое использование на сайтах. Увы

Ответить
0

Есть же бесплатный тариф

Ответить
0

Ну если сайт такой "популярный", что у него всего 3 пользователя, тогда да. ))

Ответить
1

Для администраторов сайта в первую очередь

Ответить
1

Сломать ваш код и пароль и забрать аккаунт в любом случае сможет администратор сайта, какая бы миллион факторная авторизация у тебя не стояла., а вот кроме админа никто не сможет , мне нравиться через телеграмм подтверждение в данном случае

Ответить
0

Так сервис нацелен в первую очередь на администраторов сайта, которые переживают за сохранность данных перед внешними взломщиками.

Ответить
0

вот из-за таких сервисов я вынужден ежемесячно платить за сотовый телефон.... TG, в Тинькофф.Мобайл есть тариф всего за 100 руб в месяц... но блин, его еще и заряжать нужно

Ответить
2

Так телегу можно не на телефоне держать, а на любом другом устройстве.

Ответить
0

Да, но она все равно к номеру телефона привязана. Т.е. я сначала должен купить телефон, оплатить номер, установить Телегу.  А мне, мля, не нужен телефонный номер! Т.е. вообще не нужен!

Ответить
0

Хорошо было с аськой или джаббером? Зарегался, и радуйся жизни, пользуйся, как хочешь

Ответить
0

Это же не e-commerce платформы были.

Ответить
0

Аська вполне себе платформой была, другое дело, что там упустили момент очень хорошо. А из джаббера google hangouts выросли.

Ответить
0

Эээ.. ниче не понял

Ответить
0

Ребята, поздравляю! Успехов в покорении рынка!

Ответить
0

Спасибо!

Ответить
0

 Среди зарубежных аналогов — американские Auth0, Duo, Okta.

Стоит заметить, что Auth0 и Okta - это даже не близко аналоги.

Ответить
0

Это для b2b применений судя по тарифам

Если развертывать для всех конечных пользователей, то будет оч дорого

Ответить
0

Мы недавно написали небольшую статью в блог про защита удаленного доступа к корпоративной сети с OpenVPN, ActiveDirectory и двухфакторной аутентификацией от мультифактор

Надеюсь кому-то будет полезно, сама статья - https://syncweb.ru/about/blog/zashchita-udalennogo-dostupa-k-korporativnoj-seti-s-openvpn-activedirectory-i-dvukhfaktornoj-autentifikatsiej

Ответить

Комментарии

null