Настройки двухфакторной проверки подлинности

Двухфакторная проверка подлинности (2FA) — это тип многофакторной проверки подлинности, обеспечивающий идентификацию пользователей с помощью комбинации двух различных факторов.

  • Фактор знания, что-то, что пользователь знает (PIN-код или пароль)
  • Фактор владения, что-то, что пользователь имеет (токен)
  • Фактор свойства, что-то, что является частью пользователя (биометрика)

Двухфакторная проверка подлинности обеспечивает дополнительную защиту от несанкционированного доступа к учетной записи.

Платформа поддерживает проверку подлинности с использованием алгоритма генерации одноразового пароля на основе времени TOTP (Time-based One-Time Password). Если в системе включена проверка подлинности с использованием TOTP, для доступа к системе пользователи кроме обычного пароля должны ввести одноразовый код TOTP. Иными словами, сначала пользователь вводит пароль (первый фактор), а затем — код TOTP (второй фактор). Код TOTP генерируется в приложении проверки подлинности на устройстве второго фактора на основе текущего значения таймера и секретного ключа (QR-код или буквенно-цифровой код), предоставленных платформой.

Для клиентов партнера в рабочем режиме двухфакторная проверка подлинности включена по умолчанию. Ее невозможно выключить.

Для клиентов пользователя двухфакторная проверка подлинности является необязательной. Ее можно выключить.

Учетные записи администратора партнера, которые используются интеграцией, должны быть преобразованы в служебные учетные записи. В противном случае интеграции не смогут проверить подлинность в Cyber Protect Cloud. Например, учетные записи, используемые интеграцией, — это учетные записи агента управления и агента резервного копирования в интеграции с VMware Cloud Director. Дополнительную информацию о том, как создать служебную учетную запись, см. в разделе Порядок преобразования учетной записи пользователя в учетную запись службы.

Принципы работы

  1. Двухфакторная проверка подлинности включается на уровне организации.

  2. Все пользователи в организации должны установить приложение проверки подлинности на устройствах второго фактора. Такими устройствами могут быть мобильные телефоны, ноутбуки, настольные или планшетные ПК. Это приложение будет использоваться для генерации одноразовых кодов TOTP. Рекомендуемые генераторы кодов:

    Необходимо убедиться, что время на устройстве с приложением проверки подлинности установлено правильно и соответствует фактическому.

  3. Пользователи организации должны выйти из системы и заново войти в нее.
  4. После ввода учетных данных пользователям будет предложено настроить двухфакторную проверку подлинности для своих учетных записей.

  5. Им необходимо будет отсканировать QR-код в приложении проверки подлинности. Если возникнут проблемы со сканированием QR-кода, пользователи могут вручную ввести в приложение проверки подлинности 32-значный код, который отображается под QR-кодом.

    Настоятельно рекомендуется сохранить его. Для этого распечатайте QR-код, запишите секрет временного одноразового пароля (TOTP) или воспользуйтесь приложением, которое поддерживает резервное копирование кодов в облако. При утрате устройства второго фактора TOTP позволит сбросить настройки двухфакторной проверки подлинности.
  6. Одноразовый пароль TOTP генерируется в приложении проверки подлинности. Он генерируется заново каждые 30 секунд.
  7. После ввода пароля пользователям необходимо ввести код TOTP в окне Настройки двухфакторной проверки подлинности.
  8. В результате выполнения этих процедур будет активирована двухфакторная проверка подлинности для пользователей.

С этого момента при входе в систему после ввода учетных данных у пользователей будет запрашиваться одноразовый код TOTP, сгенерированный в приложении проверки подлинности. При входе в систему пользователи могут пометить используемый браузер как доверенный. После этого при последующих входах в систему с этого браузера код TOTP не будет запрашиваться.

Порядок восстановления двухфакторной проверки подлинности на новом устройстве

При наличии доступа до ранее настроенного мобильного аутентификатора:

  1. Установите аутентификатор на новом устройстве.

  2. Используйте PDF-файл, сохраненный при настройке двухфакторной проверки подлинности на вашем устройстве. Этот файл содержит 32-значный код, который необходимо ввести в аутентификатор для повторной привязки аутентификатора к вашей учетной записи Acronis.

    Если код правильный, но выполнить вход не удается, убедитесь, что в мобильном аутентификаторе синхронизировано время.

  3. Если при настройке двухфакторной проверки подлинности вы не сохранили PDF-файл:

  1. Щелкните Сбросить настройки двухфакторной проверки подлинности и введите одноразовый пароль, который отображается в ранее настроенном мобильном аутентификаторе.

  2. Следуйте инструкциям на экране.

При отсутствии доступа к ранее настроенному мобильному аутентификатору:

  1. Возьмите новое мобильное устройство.

  2. Воспользуйтесь информацией в сохраненном PDF-файле, чтобы связать новое устройство (по умолчанию файл имеет имя cyberprotect-2fa-backupcode.pdf).

  3. Восстановите доступ к вашей учетной записи из резервной копии. Убедитесь, что резервные коды поддерживаются мобильным приложением.

  4. Откройте приложение с той же учетной записью с другого мобильного устройства, если это поддерживается приложением.