Rublon

Secure Remote Access

By

Niniejszy przewodnik opisuje, w jaki sposób połączyć funkcjonalność zapisywania przez administratora uwierzytelniaczy FIDO w Rublon z kluczami dostępu (passkeyami) generowanymi w nowoczesnych menedżerach haseł dla przedsiębiorstw (np. 1Password, Dashlane, Bitwarden, NordPass). Sposób postępowania jest podobny we wszystkich menedżerach haseł.

Dlaczego warto używać passkeyów w menedżerze haseł?

  • Efektywność kosztowa: Nie trzeba hurtowo kupować sprzętowych tokenów; wiele menedżerów haseł oferuje synchronizację passkeyów w ramach standardowych planów.
  • Wbudowane zabezpieczenia: Nie są wymagane zewnętrzne urządzenia, które można łatwo zgubić lub zostawić w domu.
  • Szybkie odzyskiwanie: Zgubiono urządzenie? Klucze dostępu stają się ponownie dostępne, gdy użytkownik zainstaluje menedżer na innym urządzeniu i zaloguje się.
  • Wygoda użytkownika: Automatyczne monity z poziomu rozszerzenia przeglądarki skracają czas logowania.
  • Odporność na phishing: Mechanizm wiązania z adresem źródłowym (origin-binding) w standardzie WebAuthn zapewnia odporność na phishing, udaremniając ataki wyłudzające dane uwierzytelniające.

Względy bezpieczeństwa

  • Poziom bezpieczeństwa synchronizowanych kluczy dostępu: Zarejestrowane przez administratora synchronizowalne klucze dostępu przechowywane w menedżerze haseł nie spełniają wymogów sprzętowości i nieeksportowalności wymaganych dla poziomu Authenticator Assurance Level 3 (NIST AAL3) zdefiniowanego w dokumencie NIST Special Publication 800-63B. Spełniają jedynie kryteria wieloskładnikowości i (opcjonalne kryterium) odporności na phishing dla poziomu NIST AAL2. Z tego powodu organizacje z sektorów krytycznych, w których wymagane jest spełnienie wymogu NIST AAL3, powinny zarejestrować sprzętowe klucze FIDO (NIST AAL3). Fizyczne uwierzytelniacze FIDO są również zalecane dla najbardziej wrażliwych kont w innych sektorach.
  • Ochrona synchronizowanych kluczy dostępu: Zgodnie z normą NIST SP 800-63B § 5.1.8.1 oraz uzupełnieniem 1 do normy SP 800-63B z kwietnia 2024 r., każde uwierzytelnienie za pomocą programowego klucza dostępu musi wymagać lokalnego czynnika aktywacyjnego (kodu PIN lub danych biometrycznych) oraz wynikowe potwierdzenie WebAuthn musi zawierać flagę „UV = true”. Odblokowanie sejfu menedżera haseł za pomocą odcisku palca lub kodu PIN spełnia ten wymóg tylko wtedy, gdy sejf pozostaje zablokowany przez krótki czas, a moduł uwierzytelniający nadal potwierdza „UV = true”; w przeciwnym razie wymagane jest drugie potwierdzenie (lub klucz sprzętowy), aby pozostać na poziomie AAL2. Więcej informacji można znaleźć w dokumentacji konkretnego wykorzystywanego menedżera haseł.
  • Administratorzy o najmniejszych możliwych uprawnieniach: Rejestruj klucze dostępu z kont, które nie przechowują innych ważnych danych uwierzytelniających.
  • Przenieś zamiast kopiuj: Zalecaj użytkownikom przeniesienie (a nie tylko skopiowanie) kluczy dostępu do swojej przestrzeni prywatnej, aby administrator nie miał już do nich dostępu.
  • Ścieżki audytu: Rublon rejestruje tworzenie i usuwanie kluczy w Dziennikach audytu; większość menedżerów haseł klasy enterprise rejestruje również przeniesienia i usunięcia elementów. Eksportuj okresowo obydwa dzienniki na potrzeby audytów.

Wymagania wstępne

  • Rola administratora z uprawnieniami do zarządzania użytkownikami i kluczami bezpieczeństwa.
  • Subskrypcja typu Enterprise lub Team w jednym z biznesowych menedżerów haseł udostępniających funkcję współdzielonej przestrzeni między administratorem a użytkownikiem, na przykład współdzielonego sejfu lub kolekcji. (Poniższa lista ma charakter poglądowy. Istnienie i kompatybilność funkcji może się różnić; należy to zweryfikować u dostawcy i przetestować w swoim środowisku.)
    • 1Password Business / Enterprise
    • Dashlane Business
    • Bitwarden Teams / Enterprise
    • NordPass Business
    • Google Password Manager (Workspace or Chrome Sync)
    • Keeper Business
    • Sésame Password Manager
    • Enpass Business
    • Proton Pass Enterprise
    • KeePassXC (with sync solution)
    • Zoho Vault Enterprise
    • LastPass Business
    • Devolutions Password Hub Business
    • LogMeOnce Enterprise
    • Kaspersky Password Manager (Business)
    • pwSafe for Teams
    • Microsoft Password Manager (Edge Sync)
  • Przeglądarka z obsługą standardu WebAuthn i passkeyów (Chrome ≥ 109, Edge ≥ 109, Safari ≥ 16.4, Firefox ≥ 122).
  • Polityka firmowa musi zezwalać na centralnie udostępniane uwierzytelniacze FIDO.

Uwaga

Niektóre środowiska menedżerów haseł — w tym Google Password Manager, iCloud Keychain, Samsung Pass oraz wbudowane Chrome Passkey Prompt — nie udostępniają żadnej przestrzeni kontrolowanej przez administratora współdzielonej z użytkownikiem.

Jeśli konieczne jest zarejestrowanie klucza dostępu z wyprzedzeniem, administrator powinien zarejestrować poświadczenie bezpośrednio na urządzeniu zarządzanym przez firmę, które jest już zalogowane na konto pracownika (np. firmowy iPhone użytkownika, telefon z systemem Android lub profil Chrome).

Po zakończeniu rejestracji przekaż urządzenie (lub profil przeglądarki) pracownikowi, tak jak robi się to z kluczem sprzętowym FIDO po wstępnej konfiguracji.

Przewodnik krok po kroku

Procedura jest podobna we wszystkich nowoczesnych menedżerach haseł: utwórz tymczasową przestrzeń współdzieloną, dodaj passkey w konsoli Rublon Admin Console, zapisz go w tej współdzielonej przestrzeni, a następnie poproś użytkownika o przeniesienie passkeya do swojej przestrzeni prywatnej.

Krok 1: Zainstaluj rozszerzenie przeglądarki menedżera haseł

  1. Zainstaluj dedykowane rozszerzenie przeglądarki swojego menedżera haseł.
  2. Zaloguj się do menedżera haseł przy użyciu konta z uprawnieniami administratora, które może zarządzać organizacją.

Krok 2: Utwórz tymczasową przestrzeń współdzieloną

W menedżerze haseł:

  1. Utwórz sejf/folder/kolekcję (nazwa może się różnić w zależności od menedżera), współdzieloną wyłącznie między Tobą a docelowym użytkownikiem. Właśnie w tej przestrzeni zapiszesz passkey po jego zarejestrowaniu w konsoli Rublon Admin Console.

Krok 3: Dodaj passkey w konsoli Rublon Admin Console

W konsoli Rublon Admin Console:

  1. Przejdź do zakładki Users → wybierz użytkownika → przejdź do sekcji Security Keys.
  2. Wybierz Add Security Key, nadaj nazwę temu uwierzytelniaczowi FIDO i kliknij Add.
  3. Dokończ rejestrację uwierzytelniacza FIDO w przeglądarce.
  4. Jeżeli menedżer haseł zapyta o miejsce zapisu, wybierz przestrzeń współdzieloną.

Krok 4: Poproś użytkownika o przeniesienie passkeya

  1. Wyślij krótką instrukcję do użytkownika, prosząc go o zalogowanie się do aplikacji przy użyciu tego passkeya. Jeśli test się powiedzie, użytkownik powinien przenieść nowy passkey z przestrzeni współdzielonej do swojej przestrzeni prywatnej.
  2. Po przeniesieniu passkeya przez użytkownika, nie jest on już z Tobą współdzielony w menedżerze haseł, co pokrywa się z najlepszymi praktykami wytycznych NIST i stowarzyszenia FIDO Alliance (Administratorzy nadal mogą dezaktywować ten passkey, usuwając go w konsoli Rublon Admin Console.)

Najczęściej zadawane pytania (FAQ)

Co zrobić, gdy pracownik opuszcza firmę?

Usuń passkey w konsoli Rublon Admin Console i dezaktywuj konto tego pracownika w menedżerze haseł.

Czy sprzętowe uwierzytelnianie FIDO wciąż jest bezpieczniejsza i rekomendowana dla wrażliwych kont?

Tak. NIST AAL3 wymaga użycia sprzętowego urządzenia uwierzytelniającego z nieeksportowalnym kluczem prywatnym i wbudowaną ochroną przed phishingiem, więc fizyczne klucze FIDO2 (lub karty inteligentne) pozostają najlepszym wyborem dla kont o najwyższym poziomie ryzyka. Jeśli przepisy obowiązujące w Twojej branży wymagają stosowania AAL3, musisz używać sprzętowych urządzeń uwierzytelniających, ponieważ synchronizowane klucze dostępu spełniają jedynie wymagania AAL2. Nie spełniają natomiast wymagań AAL3 w zakresie bezpieczeństwa i zgodności.

Czy można masowo rejestrować klucze dostępu?

Masowe przypisywanie passkeyów nie jest technicznie możliwe, ponieważ każde poświadczenie wymaga unikalnej ceremonii WebAuthn.

Powiązane posty

Rublon Admin Console – Jak dodać uwierzytelniacz FIDO dla użytkownika

Jak dodać klucz bezpieczeństwa WebAuthn/U2F?

Jak zarejestrować klucz dostępu do uwierzytelniania MFA?