Инфобезопасность бизнеса становится все более важна. Мы ранее писали, что может случиться, если ваши данные попадут не в те руки.
Этот пост скорее для спецов по инфобезопасности. Если у вас их нет, советуем завести хотя бы на аутсорсе.
В таких инструментах для хранения данных, как KeePassXC и VeraCrypt, кроме пароля и ключа-файла, информацию можно защитить еще и аппаратным ключом – токеном. Кому-то так даже будет удобнее. Токен – это USB-устройство, с помощью которого можно настраивать многофакторную аутентификацию, безопасно подключаться к серверу по SSH, а также входить в учетную запись ОС без пароля.
Сферы их применения примерно такие же, как и у ключей-файлов:
разграничение доступа,
повышение сохранности секретной корпоративной информации,
контроль над работой сотрудников с устройствами.
Но если ключи-файлы – это скорее про защиту локальных данных, то токен выходит за эти рамки и позволяет контролировать аккаунты в онлайн-сервисах, вроде Google и MS Office, а также подписывать и шифровать данные с помощью GPG. Спектр применения токенов широк, каждый руководитель, заботящийся о безопасности, найдет аппаратным ключам свое применение.
Работу с аппаратными ключами рассмотрим на примере – Yubikey.
Это самое простое и популярное решение. Yubikey поддерживает большое количество сервисов. Сейчас приобрести Yubikey затруднительно из-за дефицита и возросшей цены, но найти их еще можно. Одна из последних моделей называется Yubikey 5 NFC.
Вот простой пример использования аппаратного ключа для аутентификации при входе в операционную систему Windows:
Вам понадобится сам токен и программа с официального сайта. Установите программу по инструкции. Во время настройки программа сгенерирует ключ, который можно будет ввести в случае потери Yubikey, его нужно запомнить или записать парольную базу. После завершения настройки войти в аккаунт можно будет только при подключенном ключе.
Yibikey также можно добавить при создании базы данных паролей KeePassXC в секции Database Credentials → Add additional protection → Challenge-Response. Если будете использовать обычный пароль в связке с ключом-файлом и аппаратным ключом, взломать вашу парольную базу или криптоконтейнер будет чрезвычайно сложно.
Но если вы не можете приобрести достаточное количество аппаратных ключей и пользуетесь Linux, то можно сделать подобие такого ключа самостоятельно из любой флешки с помощью функции pam_usb.
Linux запомнит флешку и будет выполнять действия от имени администратора или вход в систему только при одновременном вводе пароля и подключенном USB-устройстве. Это защитит вас от несанкционированного доступа извне.
Проекты, реализующие эту функцию, есть на GitHub, вот один из них. А если в вашем штате есть сисадмин, владеющий Python и разбирающийся в Linux, он может относительно легко написать подобную программу сам.
Это не то же самое, что и Yubikey с его встроенным шифрованием и генерацией одноразовых паролей, но для ограниченного бюджета подобный самодельный токен авторизации будет классным решением.
Для информации вот несколько годных тематических и более технически наполненных статей: первая, вторая, третья.
Уделяйте внимание своей безопасности, и ваши данные никуда не утекут. Сегодня это важно.
Этот пост скорее для спецов по инфобезопасности. Если у вас их нет, советуем завести хотя бы на аутсорсе.
В таких инструментах для хранения данных, как KeePassXC и VeraCrypt, кроме пароля и ключа-файла, информацию можно защитить еще и аппаратным ключом – токеном. Кому-то так даже будет удобнее. Токен – это USB-устройство, с помощью которого можно настраивать многофакторную аутентификацию, безопасно подключаться к серверу по SSH, а также входить в учетную запись ОС без пароля.
Сферы их применения примерно такие же, как и у ключей-файлов:
разграничение доступа,повышение сохранности секретной корпоративной информации, контроль над работой сотрудников с устройствами.Но если ключи-файлы – это скорее про защиту локальных данных, то токен выходит за эти рамки и позволяет контролировать аккаунты в онлайн-сервисах, вроде Google и MS Office, а также подписывать и шифровать данные с помощью GPG. Спектр применения токенов широк, каждый руководитель, заботящийся о безопасности, найдет аппаратным ключам свое применение.
Работу с аппаратными ключами рассмотрим на примере – Yubikey.
Это самое простое и популярное решение. Yubikey поддерживает большое количество сервисов. Сейчас приобрести Yubikey затруднительно из-за дефицита и возросшей цены, но найти их еще можно. Одна из последних моделей называется Yubikey 5 NFC.
Вот простой пример использования аппаратного ключа для аутентификации при входе в операционную систему Windows:
Вам понадобится сам токен и программа с официального сайта. Установите программу по инструкции. Во время настройки программа сгенерирует ключ, который можно будет ввести в случае потери Yubikey, его нужно запомнить или записать парольную базу. После завершения настройки войти в аккаунт можно будет только при подключенном ключе.
Yibikey также можно добавить при создании базы данных паролей KeePassXC в секции Database Credentials → Add additional protection → Challenge-Response. Если будете использовать обычный пароль в связке с ключом-файлом и аппаратным ключом, взломать вашу парольную базу или криптоконтейнер будет чрезвычайно сложно.
Но если вы не можете приобрести достаточное количество аппаратных ключей и пользуетесь Linux, то можно сделать подобие такого ключа самостоятельно из любой флешки с помощью функции pam_usb.
Linux запомнит флешку и будет выполнять действия от имени администратора или вход в систему только при одновременном вводе пароля и подключенном USB-устройстве. Это защитит вас от несанкционированного доступа извне.Проекты, реализующие эту функцию, есть на GitHub, вот один из них. А если в вашем штате есть сисадмин, владеющий Python и разбирающийся в Linux, он может относительно легко написать подобную программу сам.
Это не то же самое, что и Yubikey с его встроенным шифрованием и генерацией одноразовых паролей, но для ограниченного бюджета подобный самодельный токен авторизации будет классным решением.
Для информации вот несколько годных тематических и более технически наполненных статей: первая, вторая, третья.
Уделяйте внимание своей безопасности, и ваши данные никуда не утекут. Сегодня это важно.