Сооснователь CloudPayments Константин Ян запустил сервис для быстрого подключения двухфакторной авторизации на сайтах Статьи редакции
Можно выбрать до пяти вариантов подтверждения входа, в том числе биометрический.
Сооснователь сервиса интернет-эквайринга CloudPayments Константин Ян запустил сервис Multifactor, рассказал vc.ru его представитель. Сервис позволяет быстро подключить двухфакторную авторизацию на сайте или в приложении, выбрав один из нескольких способов подтверждения входа.
После подключения администратор подключает допустимые способы аутентификации, а пользователь при первом входе выбирает наиболее удобные из них.
Сейчас Multifactor поддерживает пять способов подтверждения входа: биометрические датчики, сканеры и внешние устройства аутентификации; аутентификацию через Telegram; OTP-токены (внешние устройства, генерирующие одноразовые коды для подтверждения входа); приложения для генерации одноразовых кодов Google Authenticator и «Яндекс.Ключ»; SMS с одноразовым кодом.
По словам представителя Константина Яна, это первое подобное предложение в России. Среди зарубежных аналогов — американские Auth0, Duo, Okta.
Multifactor предназначен для сайтов и приложений с любым количеством пользователей, сервис можно интегрировать с помощью API, размещённого на его сайте. Для получения доступа необходимо зарегистрироваться.
В России, к сожалению, недостаточно сервисов, позволяющих создавать качественную инфраструктуру в сфере информационной безопасности без капитальных затрат. Мы хотим предоставить возможность бизнесу любого размера использовать инструменты корпоративного класса для защиты своих информационных систем.
В команде сервиса работает семь человек, уточнил его представитель. Константин Ян запустил сервис на собственные средства, сумма инвестиций не раскрывается.
Сервис работает по подписке, стоимость которой зависит от количества пользователей: подключение для 1-3 пользователей будет бесплатным, для 4-10 будет стоить 1490 рублей в месяц, для 11-30 — 2490 рублей в месяц.
Подписка для большего количество пользователей рассчитывается отдельно. Сейчас компания ведёт переговоры с несколькими потенциальными клиентами, но подробности не раскрывает.
То есть ломать можно будет быстрее и централизованнее?
Нет
Объясните механизм такой авторизации. Вдруг мне тоже надо? Судя по Social Login, там обратно отдаётся token, ассоциированный с пользователем.
После прохождения второго фактора выдается JWT токен ассоциированный с пользователем и подписанный ключом, который знает сайт и Мультифактор
Токен выдается ввиде куки? Как вы оцениваете надёжность такого хранения токена в современных браузерах?
Токен выдается в виде токена ) Как его дальше использовать решает сайт, но в основном, конечно в куки сохраняют. В современных браузерах это безопасно при условии, что кука с флагом HttpOnly, а сайт работает с TLS
Но вот свежая установка последнего хрома по умолчанию. Тройка событий WM_ONCLICK отправленная окну браузера и вуаля - можно копировать содержимое куки:
Name
IDSYNC
Content
"1761~1pcx:175x~1p7n:175s~1mkk:1771~1mkk:17ou~1ml1:1769~1p3m:176l~1mkk:175w~1mkk:175u~1ml1:175v~1mkk:1776~1mkk"
Domain
.analytics.yahoo.com
и TLS тут никак не помогает.
Неужели компания из 7 человек получала лицензию на обработку биометрических данных? Или они аки Эпл работают с образами и хэш-суммами данных?
Привет. Нет, мы не обрабатываем биометрические данные. Это сложно, трудоёмко и сложновыполнимо. Мы работаем с проверкой сохранённых на устройствах пользователей биометрических данных. Всё работает через пары приватных-публичных ключей.
Эллиптические кривые в качестве алгоритмов шифрования?
Рофл )
Какая лицензия, о чем Вы?
Набор протоколов: U2F (Universal Second Factor), UAF (Universal Authentication Framework) FIDO (Fast IDentity Online), CTAP (Client to Authenticator Protocol), объединенные в единый стандарт WebAuthn.Стандарт работает прямо из браузера без установки стороннего программного обеспечения и драйверов. Поддерживает биометрические датчики и сканеры, а также внешние устройства аутентификации, подключаемые через USB, Lightning, NFC или Bluetooth, например, RuToken U2F.
Шел 2020 год, а на VC до сих пор путают авторизацию и аутентификацию. Поправьте статью, не позорьтесь
Если есть один человек с безграничными правами доступа, то, конечно он может делать что угодно. Но он обычно и владелец сайта. А если нет, то владельцу стоит серьезно задуматься.
А что с ценами, это какой-то странный способ сузить ЦА?
Сравниваю с auth0
Дорого?
Ну, это external или internal users? Если
Если external, то слишком...
Если internal, то лендос совсем непонятный.
А mailto ссылка на тарифной сетке — такое себе)
Это external
mailto временная
Ну вот $28/100 против $39/30
Я и цены Auth0 не особо понимаю, а тут тем более:)
У них удобные способы MFA только в enterprise тарифе
Google Authenticator или любой другой аналогичный апп поддерживается и на dev pro тарифе, с которым я и сраниваю цены, но телеграма нет у auth0 вообще)
Биометрии тоже нет
Ну если так судить, то у вас тоже)
У них расширяемо это и можно доработать, плюс уже есть готовые решения.
Мне все эти сервисы кажутся странными, но я просто не ЦА.
Успехов)
Мне если честно, не совсем понятно направление данного ПО! Судя по тарифам, это чисто корпоративный сегмент и не рассчитан на массовое использование на сайтах. Увы
Есть же бесплатный тариф
Ну если сайт такой "популярный", что у него всего 3 пользователя, тогда да. ))
Для администраторов сайта в первую очередь
Сломать ваш код и пароль и забрать аккаунт в любом случае сможет администратор сайта, какая бы миллион факторная авторизация у тебя не стояла., а вот кроме админа никто не сможет , мне нравиться через телеграмм подтверждение в данном случае
Так сервис нацелен в первую очередь на администраторов сайта, которые переживают за сохранность данных перед внешними взломщиками.
вот из-за таких сервисов я вынужден ежемесячно платить за сотовый телефон.... TG, в Тинькофф.Мобайл есть тариф всего за 100 руб в месяц... но блин, его еще и заряжать нужно
Так телегу можно не на телефоне держать, а на любом другом устройстве.
Да, но она все равно к номеру телефона привязана. Т.е. я сначала должен купить телефон, оплатить номер, установить Телегу. А мне, мля, не нужен телефонный номер! Т.е. вообще не нужен!
Хорошо было с аськой или джаббером? Зарегался, и радуйся жизни, пользуйся, как хочешь
Это же не e-commerce платформы были.
Аська вполне себе платформой была, другое дело, что там упустили момент очень хорошо. А из джаббера google hangouts выросли.
Эээ.. ниче не понял
Ребята, поздравляю! Успехов в покорении рынка!
Спасибо!
Стоит заметить, что Auth0 и Okta - это даже не близко аналоги.
Это для b2b применений судя по тарифам
Если развертывать для всех конечных пользователей, то будет оч дорого
Мы недавно написали небольшую статью в блог про защита удаленного доступа к корпоративной сети с OpenVPN, ActiveDirectory и двухфакторной аутентификацией от мультифактор
Надеюсь кому-то будет полезно, сама статья - https://syncweb.ru/about/blog/zashchita-udalennogo-dostupa-k-korporativnoj-seti-s-openvpn-activedirectory-i-dvukhfaktornoj-autentifikatsiej