Uwierzytelnianie wieloskładnikowe ogranicza skutki utraty hasła, ponieważ dostęp wymaga dodatkowego dowodu. W GlobalProtect taki krok może pojawić się w oknie klienta, przeglądarce, aplikacji mobilnej lub poprzez certyfikat urządzenia. Warto rozumieć kolejność, aby odróżnić zwykłe opóźnienie od próby przejęcia konta.
GlobalProtect i sens dodatkowego składnika
Składniki uwierzytelniania zwykle należą do różnych kategorii: coś, co znasz, coś, co posiadasz, lub cecha powiązana z osobą. Hasło i drugi kod zapamiętany w tym samym miejscu nie dają takiej separacji jak hasło oraz kontrolowany telefon albo certyfikat. Organizacja wybiera metodę odpowiednią do ryzyka i sposobu zarządzania urządzeniami.
MFA nie potwierdza, że każda czynność po zalogowaniu jest bezpieczna. Użytkownik nadal może zaakceptować fałszywe powiadomienie, a zainfekowany komputer może nadużyć prawidłowej sesji. Dodatkowy składnik działa najlepiej razem z ochroną urządzenia, ograniczeniem uprawnień, monitoringiem i jasnym procesem zgłaszania zdarzeń.
GlobalProtect i kody jednorazowe TOTP
Kod TOTP zmienia się w krótkich odstępach i zależy od współdzielonego sekretu oraz czasu. Telefon i system weryfikujący muszą mieć poprawny zegar. Jeśli kolejne kody są odrzucane, sprawdź automatyczną synchronizację czasu, właściwe konto w aplikacji uwierzytelniającej oraz to, czy nie wpisujesz kodu tuż przed jego zmianą.
Nie rób zrzutu kodu i nie przesyłaj go w wiadomości. Osoba z działu wsparcia nie potrzebuje aktualnego kodu, aby sprawdzić zdarzenie. W zgłoszeniu wystarczy godzina, etap i treść błędu. Jeśli urządzenie z generatorem zostało zgubione, skorzystaj z formalnej procedury odzyskania, zamiast prosić o trwałe wyłączenie drugiego składnika.
GlobalProtect i powiadomienia push
Powiadomienie pozwala zatwierdzić sesję bez przepisywania kodu, ale wymaga szczególnej uwagi. Zawsze porównaj godzinę, przybliżoną lokalizację i kontekst. Zatwierdzaj tylko żądanie wywołane przez własne logowanie. Seria powiadomień bez Twojej inicjatywy może oznaczać, że ktoś zna hasło i próbuje wykorzystać zmęczenie użytkownika.
Odrzuć niespodziewaną prośbę, a następnie zgłoś zdarzenie znanym kanałem. Nie oddzwaniaj na numer podany w podejrzanej wiadomości. Jeżeli powiadomienie nie przychodzi podczas legalnej próby, sprawdź łączność telefonu i stan aplikacji, lecz nie wykonuj dziesiątek ponowień. Każde generuje kolejne zdarzenia.
GlobalProtect i certyfikat klienta
Certyfikat może potwierdzać urządzenie lub użytkownika bez ręcznego wpisywania kolejnego sekretu. Zwykle jest dostarczany przez system zarządzania, a jego klucz powinien być chroniony przed eksportem. Samodzielne kopiowanie pliku na prywatny komputer omija założenia polityki i może naruszać warunki organizacji.
Wygasły, cofnięty albo brakujący certyfikat daje inne objawy niż błędne hasło. Zapisz komunikat i sprawdź, czy urządzenie nadal jest objęte zarządzaniem. Nie instaluj certyfikatu otrzymanego przez niezweryfikowany komunikator. Poprawna dystrybucja musi mieć kontrolowane źródło i możliwość cofnięcia.
GlobalProtect i kolejność logowania
Klient może najpierw połączyć się z portalem, otworzyć stronę dostawcy tożsamości, odebrać dodatkowe potwierdzenie, a później nawiązać sesję z bramą. Zamknięcie przeglądarki przed zakończeniem przekazania wyniku może przerwać proces. Z kolei stara sesja przeglądarki może użyć innego konta niż oczekiwane.
Zwróć uwagę, w którym oknie pojawia się problem. Błąd przed wpisaniem danych wskazuje inną warstwę niż odrzucenie po potwierdzeniu telefonu. Podstawowy opis aplikacji i jej roli znajduje się na stronie globalprotect download; właściwe dane logowania oraz metodę MFA zawsze określa jednak organizacja.
GlobalProtect i bezpieczne odzyskanie dostępu
Zmiana telefonu, usunięcie aplikacji lub utrata klucza sprzętowego wymaga zweryfikowania osoby inną drogą. Procedura odzyskania jest częścią bezpieczeństwa i nie powinna opierać się na samym e-mailu wysłanym z dowolnego adresu. Administrator może wymagać potwierdzenia przez przełożonego, punkt obsługi lub wcześniej zarejestrowaną metodę.
Kody awaryjne należy przechowywać zgodnie z polityką, oddzielnie od hasła i urządzenia. Po użyciu lub podejrzeniu ujawnienia powinny zostać unieważnione. Tymczasowe obejście musi mieć krótki czas ważności i udokumentowany powód, inaczej łatwo zmienia się w stałą lukę.
GlobalProtect i rozsądna diagnostyka MFA
Przy problemie zanotuj rodzaj składnika, godzinę, informację o przyjęciu hasła i dokładny komunikat. Sprawdź zegar urządzeń oraz dostęp telefonu do Internetu. Nie resetuj aplikacji uwierzytelniającej bez upewnienia się, że masz procedurę ponownej rejestracji; usunięcie konta może pogorszyć sytuację.
Najważniejszym nawykiem pozostaje związek między własną czynnością a prośbą o potwierdzenie. Każde legalne zatwierdzenie powinno mieć rozpoznawalny początek. Gdy tego związku brakuje, odmowa jest prawidłową decyzją. MFA ma wymagać świadomego udziału użytkownika, a nie automatycznego naciskania przycisku.