Úvod do multi-faktor autentifikačného systému Cisco DUO

Miloš Kamenický

Team Leader Borderless

milos.kamenicky@alef.com

Čo vlastne je Cisco DUO? Na Cisco web stránkach sa dozviete, že ide o produkt zabezpečujúci dvoj faktorovú 2FA prípadne multi faktorovú MFA autentifikáciu. Čo je to 2FA autentifikácia? Zjednodušene povedané, okrem toho, že užívateľ musí pri autentifikácii niečo vedieť musí aj niečo mať. V prípade Cisco Duo systému to „niečo mať“ vo väčšine prípadov znamená mať mobilný telefón prípadne iné mobilné zariadenie do ktorého má používateľ prístup.

Cloud riešenie ako zníženie rizika

Samotný systém Cisco DUO beží v „cloude“ a ak ho používate výrazne znižuje pravdepodobnosť zneužitia Vášho prístupového konta. Pri používaní Cisco Duo systému môže autentifikácia prebiehať nasledovne:

  1. Pri prihlasovaní zadáte svoje „username“ a „password“ (nič nové , štandard).
  2. Na potvrdenie svojej identity použijete mobilný telefón.
  3. A ste prihlásený ...

Cisco DUO podporuje viacero overovacích metód:

DUO Push – Notifikácia poslaná na používateľov telefón cez Duo Mobile aplikáciu. Používateľ musí pre potvrdenie prístupu notifikáciu schváliť. Vyžaduje komunikáciu cez sieť Internet. DUO Push je odporúčaná metóda.

SMS Passcode – Poslanie pass kódu pre prístup cez SMS. Vhodná metóda ak používateľ nemá smartphone alebo nemá konektivitu do siete Internet.

Phone Callback -  Služba DUO zavolá na používateľov telefón. Používateľ musí prijať hovor a stlačiť klávesu. Vhodná metóda ak používateľ nemá smartphone alebo nemá konektivitu do siete Internet.

Mobile Passcodes – Duo poskytuje generovanie –HOTP ( HMAC-based One-Time) hesiel prípadne TOTP (Time based One-Time) hesiel. Túto metódu je možné použiť ak používateľ nemá konektivitu do siete Internet.

Bypass Codes – používané pre dočasný prístup alebo v prípade straty zariadenia.

Hardware Tokens – Duo podporuje viacero štandardných One-Time password hardwarových tokenov.

Passwordless - Overenie bez hesla s využitím Windows Hello, biometrie (Face ID, Touch ID) prípadne s využitím FIDO2 bezpečnostných tokenov

Ďalšia výhoda Duo systému je možnosť importu a synchronizácie databázy používateľov s existujúcou on-premises AD doménou, Azure AD prípadne OpenLDAP adresárovou štruktúrou. Do systému Duo je možné naimportovať mená používateľov, mailové adresy, telefónne čísla a skupiny.

 Cisco Duo je možné bezplatne vyskúšať na 30 dňový trial, kontaktujte nás.