בכל מקרה, הוא היה סקרן וכך גם אני עכשיו. אני לא מוצא שום דבר על החברה הזו מעבר לעובדה שהיא קיימת ויש לה אפליקציית אייפון ואנדרואיד. אני לא מחפש צלילה עמוקה או משהו, אבל למישהו יש ניסיון עם זה, במיוחד לגבי כמה דפוק הוא יהיה אם הוא יאבד את הטלפון שלו יום או יומיים (או שזה נשלח בחזרה לתיקונים וכו') או כמה הוא יצטרך להתעסק עם ההרשאות של האפליקציה כדי שזה יעבוד בלי להיות תוכנות ריגול?
אני מניח שהשאלה הבסיסית היא: האם זו חברה חוקית ומכובדת שאף אחד מאיתנו לא יכול למצוא מידע עליה, או האם מזל"ט מכירות קנה למנהל ה-IT ארוחת סטייק נחמדה עם מספיק קטשופ כדי לכסות את נעלי עור?
נראה כמו יישום MFA / ללא סיסמה לגיטימי. אין לי מושג מה יקרה אם הוא יאבד את הטלפון שלו או שלא יהיה לו. אני מניח שזה יהיה תלוי איך מחלקת ה-IT פועלת אם יש אפשרויות אחרות כמו קודים חד-פעמיים שיש לשמור לשימוש לא מקוון.
כמה הוא יצטרך להתעסק עם ההרשאות של האפליקציה כדי שהיא תעבוד בלי להיות תוכנת ריגול?
לחץ להרחבה...
אם זה הטלפון האישי שלו, אל תתקין אותו. זה בערך המקסימום שאתה יכול לעשות. ישנם כמה טלפונים שיפעילו מופעי מערכת הפעלה מפוצלים/מופרדים במצבים כאלה, אבל אני חושב שהם נדירים. אף פעם לא ממש התעמקתי בזה. לחילופין, קנה טלפון זול שמוקדש לעבודה, ותוציא עליו כסף. או שהחברה תקנה לו טלפון ותתכנן. אבל, כפי שאומר גלגול, נשמע בעצם כמו MFA. מעולם לא שמעתי על החברה הספציפית הזו, אז זו בחירה מוזרה בספר שלי מכיוון שיש לך כל כך הרבה אפשרויות ממש טובות ומאומצות... אבל אני לא במחלקת ה-IT הזו.
ערוך כדי להוסיף: קראתי עוד קצת. אם הדבר הזה של אימות התנהגותי מתמשך יעבוד כפי שפורסם, אני אסיים את זה. אני בהחלט אעשה תחילה הדגמה של צלילה עמוקה, ואחריה ניסוי PoC לצלילה עמוקה עוד יותר וניסוי קבלה.
תודה על התשובות, כולם!
התחברות ל-VPN שולחת הודעת דחיפה לטלפון שלו רוב הזמן (כנראה 95%?); לחץ על ההודעה כדי לעבור לאפליקציה (או פשוט לפתוח את האפליקציה) וכפתור "קבל" צץ ומשתמש ב-Face ID (iPhone) כדי לאמת, ואז חיבור ה-VPN מתחבר.
היו כמה מקרים שהאפליקציה קיבלה את פניו ואמרה שהכל טוב למרות שחיבור ה-VPN נכשל עקב פסק זמן לכאורה בחלק ה-2FA, אך ניסיון חוזר אינו אפשרי קָשֶׁה. אז B+ או משהו כזה.
בצד החיובי, האפליקציה אינה זקוקה לגישה לאף אחד מהסיביות "צריך הרשאות" (מצלמה, שירותי מיקום וכו') מלבד Face מזהה (ברור) ואני חושב שהוא אמר שהוא משתמש במצלמה לאתחול קוד QR, אבל ניתן להסיר את ההרשאה הזו לאחר השלב הזה.
תודה על העדכון. מעולם לא שמעתי עליהם לפני כן. באופן אישי הייתי נשאר עם אחד מספקי הזהויות המובילים עם MFA כמו Microsoft, Octa, Ping וכו'. הם כנראה רואים יותר "כניסות" משמעותית שיאפשרו להם לחפש ולזהות ניסיונות התחברות זדוניים.