Аутентификация с использованием одноразовых паролей

Дополнительные способы аутентификации

При использовании аутентификации только по логину и паролю или аутентификации по сертификату возможно назначить дополнительные способы аутентификации:

аутентификация с использованием одноразового пароля, доставляемого через SMS-сообщение (OTP-via-SMS).

При использовании данного метода для подтверждения входа и операций у Пользователя дополнительно будет запрашиваться ввод одноразового пароля, доставляемого в SMS-сообщении на телефон Пользователя.

аутентификация с использованием одноразового пароля, доставляемого через EMAIL (OTP-via-EMAIL).

При использовании данного метода для подтверждения входа и операций дополнительно у Пользователя будет запрашиваться ввод одноразового пароля, доставляемого по электронной почте.

Примечание

Дополнительные способы аутентификации в КриптоПро DSS являются вспомогательными и не ослабляют требований первичной аутентификации.

Общие настройки одноразовых паролей

К управлению одноразовыми паролями относится следующий набор параметров, задаваемых через командлет Set-DssPasswordPolicy:

-InvalidOtpAttempts,
-TransactionTimeOut,
-OtpComplexity,
-OtpLength

и командлет Set-DssStsProperties:

-OtpConfirmationTimeOut,
-MinOtpConfirmationTimeOut.

OtpComplexity и OtpLength определяют сложность и длину одноразовых паролей, передаваемых через SMS или Email. По умолчанию создаются одноразовые пароли, состоящие из 5 цифр.

InvalidOtpAttempts определяет количество неверных попыток ввода одноразового пароля. По умолчанию Пользователю предоставляется 3 попытки неверного ввода одноразового пароля. Если значение параметра InvalidOtpAttempts установлено на 0, то количество попыток ввода одноразового пароля не ограничено.

Поведение Центра Идентификации при превышении количества неверных попыток ввода зависит от параметров -OtpConfirmationTimeOut и -MinOtpConfirmationTimeOut.

-OtpConfirmationTimeOut определяет период времени, в течение которого Пользователь должен подтвердить одноразовый пароль. Если в течение данного периода одноразовый пароль не был подтвержден, то Пользователь должен запросить новый одноразовый пароль для подтверждения. Также в течение периода OtpConfirmationTimeOut действует счётчик неверных попыток ввода одноразового пароля; при запросе нового одноразового пароля счётчик обнуляется.

-MinOtpConfirmationTimeOut определяет интервал времени, через который Пользователь может запросить новый одноразовый пароль. Другими словами, если в течение интервала времени MinOtpConfirmationTimeOut Пользователь превысил количество неверных попыток ввода одноразового пароля, то новый пароль он сможет запросить не раньше истечения периода времени MinOtpConfirmationTimeOut. Также данный параметр устанавливает таймаут до повторной операции с подтверждением, если предыдущее подтверждение Пользователь отменил самостоятельно. По умолчанию значения параметров -MinOtpConfirmationTimeOut и -OtpConfirmationTimeOut совпадают и равны 5 минутам. Если значение параметра -MinOtpConfirmationTimeOut установлено на 0, то Пользователь может запрашивать новые одноразовые пароли и операции с подтверждением без ограничений.

Параметр -TransactionTimeOut определяет период времени, в течение которого Пользователь должен выполнить подтверждённую операцию (подпись, расшифрование документа, создание запроса на сертификат и т.п.). Если в течение данного периода времени Пользователь не выполнил операцию, то потребуется выполнить подтверждение операции повторно.

Настройка аутентификации с использование одноразовых SMS-паролей

Примечание

Данный вид вспомогательной аутентификации требует подключения к SMS-шлюзу оператора сотовой связи в соответствии со схемой размещения компонентов (см раздел 6.3 ЖТЯИ.00096-02 96 02 КриптоПро DSS. Общее описание) и в соответствии с требованиями к подключению к сетям общего пользования, описанными в разделе 10 ЖТЯИ.00096-02 95 01 КриптоПро HSM. Правила пользования.

Для использования данного метода двухфакторной аутентификации необходимо:

Включить с помощью командлета Enable-DssAuthenticationMethod метод аутентификации с идентификатором http://dss.cryptopro.ru/identity/authenticationmethod/otpviasms.
Зарегистрировать компонент для рассылки сообщений через SMS.

При использовании в качестве метода вспомогательной аутентификации одноразовых паролей, доставляемых в SMS-сообщениях, требуется наличие корректного номера телефона в профиле учётной записи Пользователя.

В настройках ЦИ параметры -PhoneConfirmation и -PhoneConfirmationByOperator позволяют включить или отключить подтверждение номера телефона.

Пример:

Set-DssStsProperties -PhoneConfirmation $true

ИЛИ

Set-DssStsProperties -PhoneConfirmationByOperator $true

Подтверждать номер телефона требуется при изменении номера через личный кабинет Пользователя. В этом случае одноразовый пароль будет отправлен на новый номер телефона.

При создании Пользователя Оператором подтверждение номера телефона потребуется, если параметр -PhoneConfirmationByOperator = True.

Настройка аутентификации с использование одноразовых Email-паролей

Примечание

Данный вид вспомогательной аутентификации требует подключения к почтовому серверу в соответствии со схемой размещения компонентов (см раздел 6.3 ЖТЯИ.00096-02 96 02 КриптоПро DSS. Общее описание) и в соответствии с требованиями к подключению к сетям общего пользования, описанными в разделе 10 ЖТЯИ.00096-02 95 01 КриптоПро HSM. Правила пользования.

Для использования данного метода двухфакторной аутентификации необходимо:

Включить с помощью командлета Enable-DssAuthenticationMethod метод аутентификации с идентификатором http://dss.cryptopro.ru/identity/authenticationmethod/otpviaemail.
Зарегистрировать компонент для рассылки сообщений через Email.

Для успешной аутентификации в профиле Пользователя должен быть задан адрес электронной почты.