Вопросы и ответы

Ниже представлены ответы на наиболее распространённые вопросы о нашей системе двухфакторной аутентификации MULTIFACTOR. Если вашего вопроса нет в списке, обратитесь в службу поддержки по адресу support@multifactor.ru, и мы на него обязательно ответим.

Гарантирует ли ваша компания, что нас не взломают?

100% гарантию не сможет дать ни одна компания. Однако мы делаем всё возможное для того, чтобы обеспечить не только вашу безопасность, но и защиту собственного ИТ-периметра. Использование мультифакторной аутентификации помогает снизить риски вероятных взломов и усилить безопасность ваших данных.

Собираете ли вы биометрические данные?

Нет, не собираем. При регистрации в системе MULTIFACTOR устройства, которое поддерживает биометрический способ аутентификации, это устройство формирует новую пару ключей. Закрытый (секретный) ключ хранится на устройстве, а открытый передаётся в MULTIFACTOR. При аутентификации устройство проверяет биометрические данные пользователя для доступа к паре ключей. Затем устройство формирует подписанный закрытым ключом запрос, подтверждающий подлинность пользователя, а MULTIFACTOR проверяет подпись с использованием открытого ключа.

При активации U2F-токена вижу белый экран и больше ничего не происходит…

Попробуйте повторно активировать токен. В случае если возникнет ошибка «Данный токен уже активирован», нажмите стрелку «Назад».

Первый администратор обновил телефон и потерял доступ к системе MULTIFACTOR. Что делать второму администратору, чтобы первый смог настроить доступ на новом телефоне?

Удалите в «Личном кабинете» первого администратора и добавьте его заново.

Отличается ли функционалом Linux- и Windows-версии портала?

Главные отличия:

• На Linux-версии портала, для взаимодействия с LDAP-каталогом, компоненту нужен доступ к серверу домена по TCP-порту 389 (LDAP) или 636 (LDAPS).

• Windows-портал должен быть присоединён к домену.

• ActiveSync работает только с Windows-версией портала.

Как происходит синхронизация пользователей с Self-Service Portal (SSP) во внешний портал MULTIFACTOR?

Когда пользователь «создаётся» на портале, он автоматически попадает в раздел «Административной панели» и занимает лицензию. Для Linux-версии портала самообслуживания (SSP) необходима техническая учётная запись в Active Directory (или другом LDAP-каталоге, например в MultiDirectory) с правом чтения OU (Organizational Unit).

Что в «Личном кабинете» означает надпись «Антиспам»?

Надпись «Антиспам» говорит о том, что пользователь попал в антиспам.

Антиспам для мобильного приложения работает следующим образом:

После двух не принятых запросов в течение 10 минут время ожидания для третьего снижается с 45 до 5 секунд.

После 4 не принятых запросов, интервал между которыми менее 90 секунд, на все последующие запросы (опять же в интервале 90 сек) от предыдущего, push-уведомление не приходит. Для выхода из режима «Антиспама» необходимо открыть приложение и подтвердить запрос. «Антиспам» нужен для того, чтобы исключить спам-атаку с помощью пуш-сообщений на пользователя.

Работает ли портал самообслуживания (Self-Service Portal, SSP) на мобильных устройствах?

Да, работает. Портал можно открыть через браузер телефона.

Какие версии Exchange поддерживает компонент 2FA для OWA?

Наши компоненты поддерживают версии Exchange 2013 и выше.

Как происходит назначение лицензий на пользователей на облачном портале в случае использования Self-Service Portal (SSP)?

Одна учётная запись – это одна лицензия. Вне зависимости от того, развёрнут у вас портал или нет.

Какой вариант архитектуры работы с пользователями лучше, по мнению команды МУЛЬТИФАКТОР? Через Self-Service Portal или облачный портал?

Это две разные сущности.

• Функционал Self-Service Portal описан у нас на сайте: https://multifactor.ru/docs/self-service-portal/
• Облачный портал администратора пользователям недоступен, поэтому все действия будут выполнять сотрудники IT-отдела.

Как узнать стоимость подключения вашей системы? И от чего эта стоимость зависит?

Стоимость проекта зависит от количества пользователей (лицензий). Каждый проект рассчитывается индивидуально. Запросить КП вы можете по email: sales@multifactor.ru.

Если я потерял устройство, на котором было настроено приложение Multifactor. Как восстановить доступ?

Если у вас нет дополнительных методов аутентификации, с помощью которых вы также можете войти в свою учётную запись, то обратитесь в вашу службу технической поддержки. Администратор отвяжет используемые методы подтверждения 2FA от потерянного устройства и вышлет новую ссылку для регистрации и привязки нового устройства.

Сколько методов аутентификации я могу выбрать? Есть ли ограничения?

Для разных систем количество методов аутентификации различается. Возможные способы аутентификации для каждого ресурса можно увидеть в нашей базе знаний в начале каждой инструкции. Количество доступных методов (из поддерживаемых каждым ресурсом) для пользователя задается администратором проекта, он может позволить использовать все методы либо какой-то один.

Какие средства обеспечения постоянной доступности сервиса есть у MULTIFACTOR?

Размещение в нескольких дата-центрах и защита от DDoS-атак с помощью Nginx. Вычислительные мощности и сетевая инфраструктура, необходимые для работы системы размещены в Москве, в дата-центрах – DataLine, Selectel и Yandex Cloud. Для повышения доступности и защищенности MULTIFACTOR, а также защиты от возможных DDoS-атак, все запросы, отправляемые в сторону критичных сервисов системы проходит очистку от вредоносного трафика на оборудовании Ngenix. Подробнее о защите инфраструктуры: https://multifactor.ru/docs/infrastructure

Как использовать СМС для второго фактора?

Задайте параметры шлюза в кабинете администратора. Пошаговая схема выглядит так: раздел «Настройки» – параметр «СМС» – функция «Включить свой шлюз». Вы можете использовать своего сотового оператора или нашего. При выборе нашего провайдера стоимость СМС будет 6 руб/смс.

Можно ли защитить вторым фактором приложение Outlook?

К сожалению, на данный момент такой возможности нет, так как Microsoft не даёт доступ в своё приложение.

Можно ли настроить систему для гостевого пароля?

Для гостевого пароля нет возможности настроить второй фактор, так как для работы сервиса требуется учётная запись пользователя.

Может ли пользователь сменить забытый пароль, если портал стоит снаружи VPN и имеет доступ извне?

Это возможно, если сервис расположен на другом сервере. Либо только с помощью администратора.

Можно ли сделать так, чтобы пользователь вводил второй фактор раз в день?

Да, можно настроить время сессии в настройках адаптера.

Можно ли увеличить время жизни токена и сделать так, чтобы он действовал больше суток?

В целях безопасности время жизни токена – 24 часа. Его нельзя увеличить.

Как настроить интеграцию ADFS и 2FA, чтобы без 2FA сервис не позволял получить доступ к приложению? Например, при недоступности API не было возможности авторизовать на ADFS без 2FA.

Можно отключить bypass перед запуском install.ps1 в MultiFactor.ADFS.Adapter.dll.config раскомментировать:

Можно ли на одном LDAP прокси-сервере настроить поиск и по AD, и по FreeIPA?

Нет.

Какие доступы нужны для работы системы MULTIFACTOR?

• На сервере должен быть открыт порт 1812 (UDP) для приёма запросов от Radius-клиентов;
• Серверу, с установленным компонентом, необходим доступ к хосту api.multifactor.ru по TCP-порту 443 (TLS) напрямую или через HTTP-прокси;
• Для взаимодействия с Active Directory компоненту нужен доступ к серверу домена по TCP-порту 389 (схема LDAP) или 636 (схема LDAPS);
• Для взаимодействия с Network Policy Server компоненту нужен доступ к NPS по UDP-порту 1812.

Какая схема работы у портала самообслуживания?

Логин/пароль → Портал → Проверка в AD → Облако → Мобильное приложение. Портал ожидает ответа от облака 35 секунд. За это время должно произойти следующее: одобрение пуша в мобильном приложении → облако → ответ порталу. Если ничего не произошло, то нажмите REJECT.

Можно ли использовать Google /Яндекс капчу?

На уровне web.config можно добавить Google /Яндекс капчу, используя следующий алгоритм:

Можно ли защитить вторым фактором веб-ресурс?

Возможность интеграции зависит от наличия поддержки одного из протоколов аутентификации со стороны вашего ресурса: LDAP, Radius, SAML, OpenID Connect / OAuth.

Какой приоритет у второго фактора?

1. Мобильное приложение Multifactor
2. Telegram
3. WebAuthn (встроенная биометрия (например, FaceID, TouchID) – только Web)
4. HOTP-токены
5. OTP-токены
6. СМС/звонок

Как обновить компоненты?

Win Radius Adapter Для обновления необходимо:

• остановить службу
• перезаписать файлы на новые (не заменяя конфигурационные файлы)
• включить службу обратно

На Linux-версии адаптера необходимо будет вновь дать права на каталог с адаптером: sudo chown -R mfa: /opt/multifactor/radius/ sudo chmod -R 700 /opt/multifactor/radius/

Портал Для обновления портала необходимо:

• остановить службу
• перезаписать файлы на новые (не заменяя конфигурационные файлы) /opt/multifactor/ssp/app/appsettings.production.xml
• включить службу обратно Также необходимо будет вновь дать права на данную папку с вложенными файлами: $ sudo chown -R mfa: /opt/multifactor/ssp $ sudo chmod -R 700 /opt/multifactor/ssp

Как проверить версию компонентов?

Проверить версию можно по дате исполняемого файла, сравнив её с датой на GitHub.

Какие права должны быть у пользователя, с помощью которого проводится синхронизация с контроллером домена?

Достаточно прав на чтение/запись в каталоге для технической учётной записи. Если планируете использовать только адаптер, то достаточно прав на чтение.

Что такое MultiDirectory?

MultiDirectory – это Open-Source LDAP-каталог, разработанный на Python 3.0 и PostgreSQL. Он не базируется на сторонних проприетарных и открытых продуктах.

Какая должна быть минимальная версия ОС для работы приложения Multifactor?

Минимальные версии ОС для работы приложения Multifactor:

• Android 7
• iOS 13
• Huawei необходимо смотреть по соответствию с устройствами Android

Какие приложения можно использовать для работы с API?

Вы можете использовать:

• Postman
• Swagger Editor or SwaggerHub
• AppMaster
• MuleSoft API Connect
• RapidAPI
• Stoplight
• cURL

Почему на apple watch не сработало подтверждение второго фактора или не дошло пуш уведомление?

Проблемы с подтверждением через пуш-уведомления на Apple Watch могут быть вызваны несколькими факторами:

1. Сетевое соединение: Если ваше устройство не имеет стабильного интернет-соединения, это может повлиять на получение уведомлений.
2. Настройки уведомлений: Убедитесь, что уведомления для конкретного приложения включены на вашем iPhone и Apple Watch. Проверьте настройки в приложении "Watch" на iPhone.
3. Режим "Не беспокоить": Если на Apple Watch включен режим "Не беспокоить", уведомления могут не отображаться.
4. Обновление ПО: Убедитесь, что на ваших устройствах установлены последние версии операционных систем. Обновления могут содержать исправления для известных проблем.
5. Перезагрузка устройств: Иногда простая перезагрузка как Apple Watch, так и iPhone может решить проблемы с уведомлениями.
6. Настройки конфиденциальности: Некоторые настройки конфиденциальности могут ограничивать доступ к уведомлениям.

Если после проверки всех этих аспектов проблема сохраняется, возможно, стоит обратиться в службу поддержки Apple для более детального анализа ситуации.