Польовий інженер сідає в літак, відкриває ноутбук над Атлантикою і входить у робочу станцію з даними клієнтів. Без Wi-Fi, без VPN, без доступного сервера автентифікації. Якщо ваша політика MFA руйнується в момент втрати зв’язку, цей вхід захищений лише паролем, а кешовані облікові дані — це саме те, що зловмисники витягують із вкрадених пристроїв.
Офлайн-MFA усуває цю прогалину. Вона застосовує другий фактор локально, на самому пристрої, використовуючи криптографічний матеріал, заздалегідь наданий під час реєстрації. Реалізована через застарілий TOTP, вона залишається вразливою до фішингу і прив’язана до спільного секрету. Реалізована через апаратно-прив’язані облікові дані FIDO2, вона стає фішинг-стійкою та відповідає вимогам NIS2, DORA та PCI-DSS 4.0.
Наступні розділи детально описують механізми, модель загроз, відповідність вимогам і варіанти конфігурації, які відрізняють безпарольний офлайн-вхід від формального виконання вимог.
Що таке офлайн-MFA і чому стандартна MFA не працює без підключення
Стандартна MFA передбачає активний зв’язок із сервером автентифікації. Відключіть мережу — і більшість рішень або блокують користувача, або повертаються до входу лише за паролем. Офлайн-MFA усуває цю прогалину, перевіряючи другий фактор безпосередньо на кінцевій точці.
Визначення та прогалина у відповідності: вимоги NIS2, DORA, PCI-DSS 4.0 та CMMC
Офлайн-MFA застосовує другий фактор, коли пристрій не має підключення до інтернету або не може зв’язатися з провайдером ідентифікації. Регулятори більше не приймають відсутність підключення як виправдання: PCI-DSS 4.0 вимога 8.4 вимагає MFA для всіх звернень до підпорядкованих систем, стаття 21 NIS2 вимагає послідовного контролю автентифікації, а CMMC IA.L2-3.5.3 застосовується до кожного привілейованого сеансу.
Модель загроз: атаки, яким запобігає офлайн-MFA (втрачені ноутбуки, Evil Maid, Pass-the-Hash)
Вкрадений ноутбук із кешованими хешами NTLM легко зламати в офлайні. Офлайн-MFA блокує маніпуляції Evil Maid, відтворення pass-the-hash та фізичний інсайдерський доступ, вимагаючи апаратно-прив’язаних облікових даних при кожному вході.
Як працює офлайн-MFA: методи та захист від фішингу
Офлайн-автентифікація поділяється на дві категорії: методи зі спільним секретом, успадковані з 2010-х, та криптографічні методи на основі апаратно-прив’язаних ключів. Розрив у безпеці значний, коли пристрій перебуває в офлайн-режимі, а зловмисник має фізичний або тривалий доступ.
TOTP, HOTP та резервні коди: застарілий підхід зі спільним секретом
TOTP і HOTP спираються на зерно, надане під час реєстрації та збережене як у застосунку-автентифікаторі, так і на сервері. В офлайн-режимі ноутбук перевіряє код за кешованою копією цього секрету. Резервні коди (роздруковані або збережені в менеджері паролів) слугують останнім засобом. Слабкість є структурною: спільний секрет може бути вилучений із скомпрометованого застосунку-автентифікатора, коди можна фішингувати через соціальну інженерію, а роздруковані резервні коди вразливі до крадіжки.
FIDO2, пасключі та безпарольний офлайн-вхід з децентралізованим PIN
FIDO2 та пасключі змінюють модель. Hideez Key зберігає приватні облікові дані у захищеному елементі; ноутбук надсилає криптографічний виклик, ключ підписує його локально — мережа не потрібна. У поєднанні з децентралізованим PIN або біометрією це забезпечує безпарольний офлайн-вхід, стійкий до фішингу, відтворення атак та витягування облікових даних.
Офлайн-MFA на різних операційних системах та типах сеансів
Вхід у Windows, RDP і VPN без доступності LDAP або RADIUS
Застосування MFA, коли контролер домену недоступний, — це місце, де більшість рішень дає збій. Роуминговий ноутбук на екрані входу в Windows не може надіслати запит до LDAP офлайн; сеанс RDP за межами корпоративного периметра не отримує жодного сигналу RADIUS. Агент Hideez перевіряє твердження FIDO2 локально за кешованим якором довіри, а потім узгоджує подію з сервером, щойно відновлюється підключення. Та сама логіка застосовується до VPN-входу до сеансу та офлайн-сеансів поза доменом, усуваючи потребу в IIS-посереднику. Докладніші відомості про розгортання наведено в нашому посібнику щодо додавання MFA до RDP.
Налаштування політик офлайн-MFA та процесів відновлення
Частота повторної автентифікації та віддалена реєстрація нових співробітників
Частота повторних запитів автентифікації повинна відображати ризик, а не зручність. Для привілейованих адміністраторів застосовуйте MFA при кожному офлайн-вході. Для польових техніків вікно у 24 години балансує між зручністю та безпекою. Підрядники потребують запитів на кожен сеанс незалежно від типу підключення.
Нові віддалені співробітники виявляють слабкість внутрішньомережевої реєстрації. Hideez відправляє завчасно налаштовані апаратні ключі з підтвердженням ідентичності, прив’язаним до HR-адаптації, тож автентифікація в перший день працює офлайн без будь-якого контакту з корпоративною LAN.
Відновлення у разі втрати пристрою: резервні коди, резервні ключі та сценарії повної втрати
Роздруковані резервні коди — відомий ризик: зберігання на папері, прогалини в одноразовому використанні та схильність до соціальної інженерії. Другий апаратний ключ FIDO2, зареєстрований під час реєстрації, усуває цей ризик. Для офлайн-сценаріїв повної втрати Hideez підтримує тимчасові облікові дані, видані адміністратором, які відкликаються при наступному контакті з сервером.
Поширені запитання
У чому різниця між офлайн-TOTP та безпарольною автентифікацією FIDO2 офлайн?
Офлайн-TOTP спирається на кешований спільний ключ на пристрої, генеруючи одноразові коди, які користувач вводить під час входу. Ключ може бути вилучений шкідливим програмним забезпеченням, а код можна фішингувати. Безпарольна FIDO2-автентифікація офлайн використовує апаратно-прив’язаний приватний ключ у захищеному елементі, перевірений локально через криптографічний виклик. Без пароля, без спільного секрету, без вікна відтворення.
Як відновити доступ, якщо користувач втрачає апаратний токен офлайн-MFA?
Видайте заздалегідь зареєстрований другий Hideez Key або використайте одноразові резервні коди, збережені в надійному місці. Якщо обидва варіанти недоступні, адміністратор створює тимчасові облікові дані, що відкликаються при наступному контакті з сервером.
Чи можна використовувати Microsoft Authenticator офлайн для входу в Windows?
Застосунок Microsoft Authenticator генерує коди TOTP офлайн, але нативна інтеграція з входом у Windows вимагає стороннього агента. Hideez керує офлайн-автентифікацією Windows безпосередньо через свій клієнт, без залежності від застосунку-автентифікатора.
Hideez Workforce Identity забезпечує офлайн-MFA на основі апаратно-прив’язаних облікових даних FIDO2 — застосована локально, без сервера, на парках пристроїв Windows і macOS. Замовте демо, щоб побачити офлайн-автентифікацію в дії, або ознайомтеся з партнерською програмою, щоб розгорнути Hideez для своїх клієнтів.