Налаштування двохфакторної автентифікації

1. Загальні положення

Двохфакторна автентифікація (2FA) є важливою стратегією в кібербезпеці, яка забезпечує додатковий рівень захисту облікових записів, комбінуючи два різні типи перевірки - зазвичай це щось, що користувач знає (пароль), і щось, що користувач має (наприклад, мобільний телефон або токен). Цей метод значно ускладнює несанкціонований доступ, зменшуючи ризики, пов’язані зі слабкими або скомпрометованими паролями, та допомагає відповідати нормативним вимогам. Незважаючи на додатковий крок у процесі входу та потенційні технічні виклики, переваги 2FA в контексті зростаючих кіберзагроз є значними, що робить її критично важливим компонентом у стратегії кібербезпеки Платформи Реєстрів.

2. Кроки налаштування 2FA

  1. Вхід в Адміністративну Консоль Keycloak

  2. Виберіть openshift реалм, для якого будуть здійснені налаштування.

  3. У меню зліва виберіть "Authentication".

  4. Перейдіть у вкладку "Flows"

  5. Навпроти "Browser - Conditional OTP " поставте перемикач у положення "REQUIRED"

  6. Переконайтесь що на кроці "Condition - User Configured" та OTP Form перемикач також у положенні "REQUIRED"

  7. Переконайтесь що у вкладці "Required Actions" параметр "Configure OTP" увімкнений (див. Зображення Кроки налаштування OTP "Required Actions" )

  8. При наступному вході адміністративному користувачеві буде запропоновано налаштувати двухфакторну автентифікацію (див. Зображення 2 та наступну секцію)

Процедура має бути повторена для <registry>-admin реалму реєстру для випадків, коли користувача було створено не через Control Plane, а напряму в реєстровому реалмі через Keycloak UI.
Кроки налаштування двохфакторної автентифікації
Зображення 1. Кроки налаштування двохфакторної автентифікації
Кроки налаштування OTP "Required Actions"
Зображення 2. Кроки налаштування OTP "Required Actions"

3. Кроки налаштування автентифікатора

  1. Вхід в Адміністративну Консоль Keycloak

  2. Після введення облікових даних зявиться інтерфейс налаштування другого фактору.

    Кроки налаштування автентифікатора
    Зображення 3. Кроки налаштування автентифікатора

    Додатки які офіційно підтримуються KeyCloak для налаштування TOTP - Google Authenticator та FreeOTP. Microsoft Authenticator, на момент написання розділу (кінець 2023 року), може бути використаний лише за умови налаштування OTP політики з ненадійним алгоритмом SHA1 та не рекомендується.

  3. Встановіть додаток "Google Authenticator" на ваш мобільний пристрій.

  4. Відкрийте додаток та натисніть "+" додати обліковий запис.

  5. Відскануйте згенерований RQ-код з другого кроку (якщо треба надайте "Google Authenticator" доступ до камери).

    Відскануйте QR-код
    Зображення 4. Відскануйте QR-код

  6. Переконайтесь що новий обліковий запис було додано

    Обліковий запис додано
    Зображення 5. Обліковий запис додано

  7. Введіть згенерований одноразовий код в інтерйесі з другого кроку

  8. Введіть довільний ідентифікатор вашого пристрою. Будь-яка назва яка для вас буде ідентифікувати використаний пристрій з автентифікатором

  9. Підтверте форму.

4. Кроки налаштування параметрів OTP

  1. Вхід в Адміністративну Консоль Keycloak

  2. Виберіть openshift realm, для якого будуть здійснені налаштування.

  3. У меню зліва виберіть "Authentication".

  4. Перейдіть у вкладку "OTP Policy"

  5. Змініть "OTP Hash Algorithm" на SHA256

  6. Збережіть зміни

Кроки налаштування OTP політик
Зображення 6. Кроки налаштування OTP політик

Хоча SHA1 широко використовується та підтримується, він вважається слабшим , ніж SHA256 або SHA512. Якщо можливо, використовуйте SHA256 або SHA512 для підвищення безпеки. Однак переконайтеся, що ваш вибір сумісний із користувацькими OTP додатками.