Сооснователь CloudPayments Константин Ян запустил сервис для быстрого подключения двухфакторной авторизации на сайтах Статьи редакции

Можно выбрать до пяти вариантов подтверждения входа, в том числе биометрический.

Сооснователь сервиса интернет-эквайринга CloudPayments Константин Ян запустил сервис Multifactor, рассказал vc.ru его представитель. Сервис позволяет быстро подключить двухфакторную авторизацию на сайте или в приложении, выбрав один из нескольких способов подтверждения входа.

После подключения администратор подключает допустимые способы аутентификации, а пользователь при первом входе выбирает наиболее удобные из них.

Сейчас Multifactor поддерживает пять способов подтверждения входа: биометрические датчики, сканеры и внешние устройства аутентификации; аутентификацию через Telegram; OTP-токены (внешние устройства, генерирующие одноразовые коды для подтверждения входа); приложения для генерации одноразовых кодов Google Authenticator и «Яндекс.Ключ»; SMS с одноразовым кодом.

По словам представителя Константина Яна, это первое подобное предложение в России. Среди зарубежных аналогов — американские Auth0, Duo, Okta.

Multifactor предназначен для сайтов и приложений с любым количеством пользователей, сервис можно интегрировать с помощью API, размещённого на его сайте. Для получения доступа необходимо зарегистрироваться.

В России, к сожалению, недостаточно сервисов, позволяющих создавать качественную инфраструктуру в сфере информационной безопасности без капитальных затрат. Мы хотим предоставить возможность бизнесу любого размера использовать инструменты корпоративного класса для защиты своих информационных систем.

Константин Ян, основатель и гендиректор Multifactor

В команде сервиса работает семь человек, уточнил его представитель. Константин Ян запустил сервис на собственные средства, сумма инвестиций не раскрывается.

Сервис работает по подписке, стоимость которой зависит от количества пользователей: подключение для 1-3 пользователей будет бесплатным, для 4-10 будет стоить 1490 рублей в месяц, для 11-30 — 2490 рублей в месяц.

Подписка для большего количество пользователей рассчитывается отдельно. Сейчас компания ведёт переговоры с несколькими потенциальными клиентами, но подробности не раскрывает.

0
41 комментарий
Написать комментарий...
Sergei Timofeyev

То есть ломать можно будет быстрее и централизованнее?

Ответить
Развернуть ветку
Konstantin Yan

Нет

Ответить
Развернуть ветку
Sergei Timofeyev

Объясните механизм такой авторизации. Вдруг мне тоже надо? Судя по Social Login, там обратно отдаётся token, ассоциированный с пользователем.

Ответить
Развернуть ветку
Konstantin Yan

После прохождения второго фактора выдается JWT токен ассоциированный с пользователем и подписанный ключом, который знает сайт и Мультифактор

Ответить
Развернуть ветку
Yuri Trenin

Токен выдается ввиде куки? Как вы оцениваете надёжность такого хранения токена в современных браузерах?

Ответить
Развернуть ветку
Konstantin Yan

Токен выдается в виде токена ) Как его дальше использовать решает сайт, но в основном, конечно в куки сохраняют. В современных браузерах это безопасно при условии, что кука с флагом HttpOnly, а сайт работает с TLS

Ответить
Развернуть ветку
Yuri Trenin

Но вот свежая установка последнего хрома по умолчанию. Тройка событий WM_ONCLICK отправленная окну браузера и вуаля - можно копировать содержимое куки:

Name
IDSYNC

Content
"1761~1pcx:175x~1p7n:175s~1mkk:1771~1mkk:17ou~1ml1:1769~1p3m:176l~1mkk:175w~1mkk:175u~1ml1:175v~1mkk:1776~1mkk"

Domain
.analytics.yahoo.com

и TLS тут никак не помогает.

Ответить
Развернуть ветку
Александр Привалов

Неужели компания из 7 человек получала лицензию на обработку биометрических данных? Или они аки Эпл работают с образами и хэш-суммами данных?

Ответить
Развернуть ветку
Виктор Чащин

Привет. Нет, мы не обрабатываем биометрические данные. Это сложно, трудоёмко и сложновыполнимо. Мы работаем с проверкой сохранённых на устройствах пользователей биометрических данных. Всё работает через пары приватных-публичных ключей.

Ответить
Развернуть ветку
Данил Филатов

Эллиптические кривые в качестве алгоритмов шифрования?

Ответить
Развернуть ветку
Виктор Чащин

Рофл )

Ответить
Развернуть ветку
Вася Пражкин

Какая лицензия, о чем Вы? 

 Набор протоколов: U2F (Universal Second Factor), UAF (Universal Authentication Framework) FIDO (Fast IDentity Online), CTAP (Client to Authenticator Protocol), объединенные в единый стандарт WebAuthn. 
Стандарт работает прямо из браузера без установки стороннего программного обеспечения и драйверов. Поддерживает биометрические датчики и сканеры, а также внешние устройства аутентификации, подключаемые через USB, Lightning, NFC или Bluetooth, например, RuToken U2F.
Ответить
Развернуть ветку
Bela Lugosi's Dead

Шел 2020 год, а на VC до сих пор путают авторизацию и аутентификацию. Поправьте статью, не позорьтесь

Ответить
Развернуть ветку
Konstantin Yan

Если есть один человек с безграничными правами доступа, то, конечно он может делать что угодно. Но он обычно и владелец сайта. А если нет, то владельцу стоит серьезно задуматься.

Ответить
Развернуть ветку
Mike Kosulin

А что с ценами, это какой-то странный способ сузить ЦА?
Сравниваю с auth0

Ответить
Развернуть ветку
Konstantin Yan

Дорого?

Ответить
Развернуть ветку
Mike Kosulin

Ну, это external или internal users? Если

Если external, то слишком...
Если internal, то лендос совсем непонятный.

А mailto ссылка на тарифной сетке — такое себе)

Ответить
Развернуть ветку
Konstantin Yan

Это external

mailto временная

Ответить
Развернуть ветку
Mike Kosulin

Ну вот $28/100 против $39/30

Я и цены Auth0 не особо понимаю, а тут тем более:)

Ответить
Развернуть ветку
Konstantin Yan

У них удобные способы MFA только в enterprise тарифе

Ответить
Развернуть ветку
Mike Kosulin

Google Authenticator или любой другой аналогичный апп поддерживается и на dev pro тарифе, с которым я и сраниваю цены, но телеграма нет у auth0 вообще)

Ответить
Развернуть ветку
Konstantin Yan

Биометрии тоже нет

Ответить
Развернуть ветку
Mike Kosulin

Ну если так судить, то у вас тоже)
У них расширяемо это и можно доработать, плюс уже есть готовые решения.
Мне все эти сервисы кажутся странными, но я просто не ЦА.
Успехов)

Ответить
Развернуть ветку
Vitaly Vasilega

Мне если честно, не совсем понятно направление данного ПО! Судя по тарифам, это чисто корпоративный сегмент и не рассчитан на массовое использование на сайтах. Увы

Ответить
Развернуть ветку
Konstantin Yan

Есть же бесплатный тариф

Ответить
Развернуть ветку
Vitaly Vasilega

Ну если сайт такой "популярный", что у него всего 3 пользователя, тогда да. ))

Ответить
Развернуть ветку
Konstantin Yan

Для администраторов сайта в первую очередь

Ответить
Развернуть ветку
Сергей Никитин

Сломать ваш код и пароль и забрать аккаунт в любом случае сможет администратор сайта, какая бы миллион факторная авторизация у тебя не стояла., а вот кроме админа никто не сможет , мне нравиться через телеграмм подтверждение в данном случае

Ответить
Развернуть ветку
Виктор Чащин

Так сервис нацелен в первую очередь на администраторов сайта, которые переживают за сохранность данных перед внешними взломщиками.

Ответить
Развернуть ветку
Ivano Digital

вот из-за таких сервисов я вынужден ежемесячно платить за сотовый телефон.... TG, в Тинькофф.Мобайл есть тариф всего за 100 руб в месяц... но блин, его еще и заряжать нужно

Ответить
Развернуть ветку
Виктор Чащин

Так телегу можно не на телефоне держать, а на любом другом устройстве.

Ответить
Развернуть ветку
Ivano Digital

Да, но она все равно к номеру телефона привязана. Т.е. я сначала должен купить телефон, оплатить номер, установить Телегу.  А мне, мля, не нужен телефонный номер! Т.е. вообще не нужен!

Ответить
Развернуть ветку
Виктор Чащин

Хорошо было с аськой или джаббером? Зарегался, и радуйся жизни, пользуйся, как хочешь

Ответить
Развернуть ветку
Ivano Digital

Это же не e-commerce платформы были.

Ответить
Развернуть ветку
Виктор Чащин

Аська вполне себе платформой была, другое дело, что там упустили момент очень хорошо. А из джаббера google hangouts выросли.

Ответить
Развернуть ветку
Konstantin Yan

Эээ.. ниче не понял

Ответить
Развернуть ветку
Антон Аджигирей

Ребята, поздравляю! Успехов в покорении рынка!

Ответить
Развернуть ветку
Konstantin Yan

Спасибо!

Ответить
Развернуть ветку
Вася Пражкин
 Среди зарубежных аналогов — американские Auth0, Duo, Okta.

Стоит заметить, что Auth0 и Okta - это даже не близко аналоги.

Ответить
Развернуть ветку
Andrey

Это для b2b применений судя по тарифам

Если развертывать для всех конечных пользователей, то будет оч дорого

Ответить
Развернуть ветку
Bornovolokov Maxim

Мы недавно написали небольшую статью в блог про защита удаленного доступа к корпоративной сети с OpenVPN, ActiveDirectory и двухфакторной аутентификацией от мультифактор

Надеюсь кому-то будет полезно, сама статья - https://syncweb.ru/about/blog/zashchita-udalennogo-dostupa-k-korporativnoj-seti-s-openvpn-activedirectory-i-dvukhfaktornoj-autentifikatsiej

Ответить
Развернуть ветку
Читать все 41 комментарий
null