Войти
Многофакторная аутентификация ( MFA ; включает двухфакторную аутентификацию или 2FA вместе с аналогичными терминами) - это метод электронной аутентификации, при котором пользователю предоставляется доступ к веб-сайту или приложению только после успешного представления двух или более доказательств (или факторы) к механизму аутентификации : знание (то, что знает только пользователь), владение (то, что есть только у пользователя) и принадлежность (то, что есть только у пользователя). MFA защищает данные пользователя, которые могут включать личную идентификацию или финансовые активы, от доступа неавторизованной третьей стороны, которая могла бы обнаружить, например, единственный пароль.
Сторонний аутентификатор (ТР) приложение позволяет двухфакторную проверку подлинности, как правило, показывая случайным образом и часто меняющийся код, чтобы использовать для аутентификации.
Аутентификация происходит, когда кто-то пытается войти в компьютерный ресурс (например, сеть, устройство или приложение). Ресурс требует, чтобы пользователь предоставил удостоверение, по которому он известен ресурсу, а также свидетельство подлинности заявления пользователя об этом удостоверении. Для простой аутентификации требуется только одно такое доказательство (фактор), обычно пароль. Для дополнительной безопасности для ресурса может потребоваться более одного фактора - многофакторная аутентификация или двухфакторная аутентификация в случаях, когда должны быть предоставлены ровно две части свидетельства.
Использование нескольких факторов аутентификации для подтверждения своей личности основано на предпосылке, что неавторизованный субъект вряд ли сможет предоставить факторы, необходимые для доступа. Если при попытке аутентификации хотя бы один из компонентов отсутствует или предоставлен неправильно, личность пользователя не устанавливается с достаточной уверенностью и доступ к объекту (например, зданию или данным) защищен многофакторной аутентификацией, тогда остается заблокированным. Факторы аутентификации схемы многофакторной аутентификации могут включать:
Хороший пример двухфакторной аутентификации - снятие денег в банкомате ; только правильная комбинация банковской карты (то, что есть у пользователя) и ПИН-кода (то, что пользователь знает) позволяет провести транзакцию. Два других примера - это дополнение управляемого пользователем пароля одноразовым паролем (OTP) или кодом, сгенерированным или полученным аутентификатором (например, токеном безопасности или смартфоном), которым владеет только пользователь.
Стороннее приложение для аутентификации позволяет использовать двухфакторную аутентификацию другим способом, обычно показывая случайно сгенерированный и постоянно обновляемый код, который пользователь может использовать, а не отправлять SMS или использовать другой метод. Большим преимуществом этих приложений является то, что они обычно продолжают работать даже без подключения к Интернету. Примеры сторонних приложений для аутентификации: Google Authenticator, Authy и Microsoft Authenticator ; некоторые менеджеры паролей, такие как LastPass, также предлагают эту услугу.
Факторы знания являются наиболее часто используемой формой аутентификации. В этой форме от пользователя требуется подтвердить знание секрета для аутентификации.
Пароль является секретным словом или строкой символов, которая используется для проверки подлинности пользователя. Это наиболее часто используемый механизм аутентификации. Многие методы многофакторной аутентификации полагаются на пароли как на один из факторов аутентификации. Варианты включают в себя как более длинные, образованные из нескольких слов ( кодовая фраза ), так и более короткие, чисто числовые, персональные идентификационные номера (PIN), обычно используемые для доступа к банкоматам. Традиционно предполагается, что пароли запоминаются.
Множество секретных вопросов, таких как «Где ты родился?» являются плохими примерами фактора знания, потому что они могут быть известны широкой группе людей или их можно исследовать.
Токен RSA SecurID, пример отключенного генератора токенов Факторы владения («что-то есть только у пользователя») веками использовались для аутентификации в виде ключа от замка. Основной принцип заключается в том, что ключ представляет собой секрет, который используется совместно между замком и ключом, и тот же принцип лежит в основе аутентификации по фактору владения в компьютерных системах. Маркер безопасности является примером фактора владения.
Отключенные токены не имеют подключений к клиентскому компьютеру. Обычно они используют встроенный экран для отображения сгенерированных данных аутентификации, которые вводятся пользователем вручную. Этот тип токена в основном использует « одноразовый пароль », который можно использовать только для этого конкретного сеанса.
Подключенные токены - это устройства, которые физически подключены к используемому компьютеру. Эти устройства передают данные автоматически. Существует несколько различных типов, включая устройства чтения карт, беспроводные метки и USB-токены.
Маркер программного обеспечения ( так называемый мягкий маркер) представляет собой тип устройства безопасности аутентификации два фактора, которые могут быть использованы для разрешения на использовании компьютерных услуг. Программные токены хранятся на универсальном электронном устройстве, таком как настольный компьютер, ноутбук, КПК или мобильный телефон, и их можно дублировать. (Сравните аппаратные токены, где учетные данные хранятся на выделенном аппаратном устройстве и, следовательно, не могут быть дублированы, при отсутствии физического вторжения в устройство.) Программный токен может не быть устройством, с которым взаимодействует пользователь. Обычно сертификат X.509v3 загружается на устройство и надежно хранится для этой цели.
Это факторы, связанные с пользователем, и обычно это биометрические методы, включая распознавание отпечатков пальцев, лица, голоса или радужной оболочки глаза. Также можно использовать поведенческую биометрию, такую как динамика нажатия клавиш.
Все чаще в игру вступает четвертый фактор, связанный с физическим местонахождением пользователя. При жестком подключении к корпоративной сети пользователю может быть разрешено входить в систему, используя только пин-код. В то время как, если пользователь был вне сети, также может потребоваться ввод кода с программного токена. Это можно рассматривать как приемлемый стандарт, когда доступ в офис контролируется.
Системы контроля доступа к сети работают аналогичным образом, когда ваш уровень доступа к сети может зависеть от конкретной сети, к которой подключено ваше устройство, например, Wi-Fi или проводное соединение. Это также позволяет пользователю перемещаться между офисами и динамически получать одинаковый уровень доступа к сети в каждом из них.
Многие поставщики многофакторной аутентификации предлагают аутентификацию на основе мобильного телефона. Некоторые методы включают аутентификацию на основе push, аутентификацию на основе QR-кода, аутентификацию с одноразовым паролем (на основе событий и времени ) и проверку на основе SMS. Проверка на основе SMS имеет некоторые проблемы с безопасностью. Телефоны можно клонировать, приложения могут работать на нескольких телефонах, а обслуживающий персонал сотовых телефонов может читать тексты SMS. Не в последнюю очередь, сотовые телефоны могут быть скомпрометированы в целом, а это означает, что телефон больше не является чем-то, что есть только у пользователя.
Главный недостаток аутентификации, включая то, что есть у пользователя, заключается в том, что пользователь должен всегда носить с собой физический токен (USB-накопитель, банковскую карту, ключ и т. Д.). Потеря и кража - это риски. Многие организации запрещают носить USB-устройства и электронные устройства в помещении или за его пределами из-за риска кражи вредоносных программ и данных, и наиболее важные машины не имеют портов USB по той же причине. Физические токены обычно не масштабируются, обычно требуется новый токен для каждой новой учетной записи и системы. Приобретение и последующая замена таких токенов требует затрат. Кроме того, существуют внутренние конфликты и неизбежные компромиссы между удобством использования и безопасностью.
Двухэтапная аутентификация с использованием мобильных телефонов и смартфонов представляет собой альтернативу выделенным физическим устройствам. Для аутентификации люди могут использовать свои личные коды доступа к устройству (то есть то, что знает только отдельный пользователь) плюс одноразовый динамический пароль, обычно состоящий из 4-6 цифр. Код доступа может быть отправлен на их мобильное устройство по SMS или может быть сгенерирован приложением для создания одноразового кода доступа. В обоих случаях преимущество использования мобильного телефона состоит в том, что нет необходимости в дополнительном выделенном токене, поскольку пользователи, как правило, всегда носят свои мобильные устройства с собой.
Несмотря на популярность проверки с помощью SMS, защитники безопасности публично критиковали проверку с помощью SMS, и в июле 2016 года в проекте руководства NIST США было предложено исключить ее как форму проверки подлинности. Год спустя NIST восстановил проверку по SMS в качестве действительного канала аутентификации в окончательной редакции руководства.
В 2016 и 2017 годах соответственно и Google, и Apple начали предлагать пользователю двухэтапную аутентификацию с push-уведомлением в качестве альтернативного метода.
Безопасность токенов безопасности, доставляемых с помощью мобильных устройств, полностью зависит от операционной безопасности оператора мобильной связи и может быть легко взломана службами национальной безопасности путем прослушивания телефонных разговоров или клонирования SIM-карты.
Преимущества:
Недостатки:
Достижения в исследованиях двухфакторной аутентификации для мобильных устройств учитывают различные методы, в которых может быть реализован второй фактор, не создавая помех для пользователя. Благодаря постоянному использованию и повышению точности мобильного оборудования, такого как GPS, микрофон и гироскоп / акселеромотор, возможность использовать их в качестве второго фактора аутентификации становится все более надежной. Например, записывая окружающий шум местоположения пользователя с мобильного устройства и сравнивая его с записью окружающего шума с компьютера в той же комнате, в которой пользователь пытается аутентифицироваться, можно получить эффективную секунду фактор аутентификации. Это также сокращает время и усилия, необходимые для завершения процесса.
Payment Card Industry (PCI) Стандарт безопасности данных, требование 8.3, требует использования МИД для все удаленного доступа к сети, который берет свое начало от внешней сети на карту окружающей среду данных (CDE). Начиная с PCI-DSS версии 3.2, использование MFA требуется для любого административного доступа к CDE, даже если пользователь находится в доверенной сети.
Вторая Директива о платежных услугах требует « строгой аутентификации клиентов » для большинства электронных платежей в Европейской экономической зоне с 14 сентября 2019 года.
В Индии Резервный банк Индии обязал двухфакторную аутентификацию для всех онлайн-транзакций, совершаемых с использованием дебетовой или кредитной карты с использованием пароля или одноразового пароля, отправленного по SMS. Он был временно отозван в 2016 году для транзакций на сумму до 2000 драм после демонетизации банкнот в ноябре 2016 года. Такие поставщики, как Uber, потребовали от банка внести изменения в свои системы обработки платежей в соответствии с этим развертыванием двухфакторной аутентификации.
Детали аутентификации для федеральных служащих и подрядчиков в США определены Президентской директивой 12 по национальной безопасности (HSPD-12).
Существующие методологии аутентификации включают объясненные три типа основных «факторов». Методы аутентификации, зависящие от нескольких факторов, труднее скомпрометировать, чем однофакторные методы.
Нормативные стандарты ИТ для доступа к системам федерального правительства требуют использования многофакторной аутентификации для доступа к конфиденциальным ИТ-ресурсам, например, при входе на сетевые устройства для выполнения административных задач и при доступе к любому компьютеру с использованием привилегированного входа.
В специальной публикации NIST 800-63-3 обсуждаются различные формы двухфакторной аутентификации и даются рекомендации по их использованию в бизнес-процессах, требующих различных уровней гарантии.
В 2005 году в Соединенных Штатов " Федеральная служба по финансовым институтам Экспертиза Совета выпустил руководство для финансовых учреждений, рекомендующих финансовые институты оценки риска на основе поведения, оценки программ информирования клиентов и разработать меры безопасности для надежного AUTHENTICATE клиентов удаленного доступа к онлайн финансовых услуг, официально рекомендует использование аутентификации методы, которые зависят от нескольких факторов (в частности, от того, что пользователь знает, имеет и есть) для определения личности пользователя. В ответ на публикацию многочисленные поставщики аутентификации начали ненадлежащим образом продвигать контрольные вопросы, секретные изображения и другие основанные на знаниях методы как "многофакторную" аутентификацию. Из-за возникшей путаницы и широкого распространения таких методов 15 августа 2006 г. FFIEC опубликовал дополнительные руководящие принципы, в которых говорится, что по определению «настоящая» многофакторная система аутентификации должна использовать отдельные экземпляры трех факторов аутентификации. были определены, а не просто использовать несколько экземпляров одного фактора.
По мнению сторонников, многофакторная аутентификация может резко снизить количество случаев кражи личных данных в Интернете и другого онлайн- мошенничества, поскольку пароля жертвы больше не будет достаточно, чтобы дать вору постоянный доступ к их информации. Однако многие подходы к многофакторной аутентификации остаются уязвимыми для фишинга, атак типа «злоумышленник в браузере» и « злоумышленник посередине». Двухфакторная аутентификация в веб-приложениях особенно подвержена фишинговым атакам, особенно в SMS и электронной почте, и в ответ многие эксперты советуют пользователям никому не сообщать свои коды подтверждения, а многие поставщики веб-приложений размещают рекомендации в электронном письме или SMS с кодом.
Многофакторная аутентификация может быть неэффективной против современных угроз, таких как сканирование банкоматов, фишинг и вредоносное ПО.
В мае 2017 года немецкий оператор мобильной связи O2 Telefónica подтвердил, что киберпреступники использовали уязвимости SS7 для обхода двухэтапной аутентификации на основе SMS и несанкционированного снятия средств с банковских счетов пользователей. Преступники сначала заразили компьютеры владельцев счетов, пытаясь украсть их учетные данные и номера телефонов. Затем злоумышленники приобрели доступ к поддельному оператору связи и настроили перенаправление телефонного номера жертвы на подконтрольный им телефон. Наконец, злоумышленники вошли в онлайн-банковские счета жертв и потребовали вывести деньги со счетов на счета, принадлежащие преступникам. СМС-коды доступа направлялись на подконтрольные злоумышленникам телефонные номера, и преступники переводили деньги.
Многие продукты для многофакторной аутентификации требуют, чтобы пользователи развернули клиентское программное обеспечение, чтобы системы многофакторной аутентификации работали. Некоторые производители создали отдельные пакеты установки для сетевого входа в систему, веб - доступа учетных данных и VPN - подключения учетных данных. Для таких продуктов может существовать четыре или пять различных пакетов программного обеспечения, которые загружаются на клиентский ПК, чтобы использовать токен или смарт-карту. Это означает четыре или пять пакетов, в которых должен выполняться контроль версий, и четыре или пять пакетов для проверки на конфликты с бизнес-приложениями. Если доступ может осуществляться с помощью веб-страниц, можно ограничить накладные расходы, описанные выше, одним приложением. С другими решениями для многофакторной аутентификации, такими как «виртуальные» токены и некоторые продукты с аппаратными токенами, конечные пользователи не должны устанавливать программное обеспечение.
У многофакторной аутентификации есть недостатки, которые не позволяют многим подходам получить широкое распространение. Некоторым пользователям трудно отслеживать аппаратный токен или USB-штекер. Многие пользователи не имеют технических навыков, необходимых для самостоятельной установки сертификата клиентского программного обеспечения. Как правило, многофакторные решения требуют дополнительных инвестиций для внедрения и затрат на обслуживание. Большинство систем на основе аппаратных токенов являются проприетарными, и некоторые поставщики взимают годовую плату за каждого пользователя. Развертывание аппаратных токенов затруднительно с точки зрения логистики. Аппаратные токены могут быть повреждены или утеряны, и выпуск токенов в крупных отраслях, таких как банковское дело, или даже на крупных предприятиях, требует управления. Помимо затрат на развертывание, многофакторная аутентификация часто сопряжена со значительными дополнительными расходами на поддержку. Опрос более 120 кредитных союзов США, проведенный в 2008 году Credit Union Journal, сообщил о расходах на поддержку, связанных с двухфакторной аутентификацией. В их отчете указывалось, что сертификаты программного обеспечения и подходы к панели инструментов программного обеспечения имеют самые высокие затраты на поддержку.
Исследование развертывания схем многофакторной аутентификации показало, что одним из элементов, которые, как правило, влияют на внедрение таких систем, является сфера деятельности организации, которая развертывает систему многофакторной аутентификации. Приведенные примеры включают федеральное правительство США, которое использует сложную систему физических токенов (которые, в свою очередь, поддерживаются надежной инфраструктурой открытых ключей ), а также частные банки, которые, как правило, предпочитают схемы многофакторной аутентификации для своих клиентов, которые включают более доступные схемы., менее дорогие средства проверки личности, такие как приложение, установленное на смартфон, принадлежащий клиенту. Несмотря на различия, существующие между доступными системами, из которых организациям, возможно, придется выбирать, после развертывания системы многофакторной аутентификации в организации она, как правило, остается на месте, поскольку пользователи неизменно привыкают к присутствию и использованию системы и принимают это с течением времени как нормализованный элемент их повседневного процесса взаимодействия с соответствующей информационной системой.
Хотя считается, что многофакторная аутентификация находится в сфере идеальной безопасности, Роджер Граймс пишет, что при неправильной реализации и настройке многофакторную аутентификацию на самом деле можно легко победить.
В 2013 году Ким Дотком заявил, что изобрел двухфакторную аутентификацию в патенте 2000 года, и кратко пригрозил подать в суд на все основные веб-сервисы. Однако Европейское патентное ведомство отозвало его патент в свете более раннего патента США 1998 года, принадлежащего ATamp;T.
Некоторые популярные веб-службы используют многофакторную аутентификацию, обычно как дополнительную функцию, которая по умолчанию отключена.
