Многофакторная аутентификация — Википедия

Многофакторная аутентификация (МФА, англ. multi-factor authentication, MFA) — расширенная аутентификация, метод контроля доступа к чему-либо (компьютеру, сайту и так далее) в котором пользователю для получения доступа к информации необходимо предъявить более одного «доказательства механизма аутентификации».

К категориям таких доказательств относят:

Знание — информация, которую знает субъект. Например пароль, ПИН-код, код, контрольное слово и так далее.
Владение — вещь, которой обладает субъект. Например электронная или магнитная карта, токен, флеш-память.
Свойство, которым обладает субъект. Например биометрия, природные уникальные отличия: лицо, отпечатки пальцев (папиллярные узоры), радужная оболочка глаз, последовательность ДНК.

Факторы аутентификации[править | править код]

Основная статья: Аутентификация

Ещё до появления компьютеров использовались различные отличительные черты субъекта, его характеристики. Сейчас использование той или иной характеристики в системе зависит от требуемой надёжности, защищённости и стоимости внедрения. Выделяют три фактора аутентификации:

Фактор знания: что-то, что мы знаем — пароль. Это тайные сведения, которыми должен обладать только авторизованный субъект. Паролем может быть речевое слово, текстовое слово, комбинация для замка или личный идентификационный номер (PIN). Парольный механизм может быть довольно легко реализован и имеет низкую стоимость. Однако он имеет существенные недостатки: сохранить пароль в тайне зачастую бывает сложно, злоумышленники постоянно придумывают новые способы кражи, взлома и подбора пароля (см. бандитский криптоанализ, метод грубой силы). Это делает парольный механизм слабозащищённым. Многие секретные вопросы, такие как «Где вы родились?», элементарные примеры фактора знаний, потому что они могут быть известны широкой группой людей или быть исследованы.
Фактор владения: что-то, что мы имеем — устройство аутентификации. Здесь важно обстоятельство обладания субъектом каким-то неповторимым предметом. Это может быть личная печать, ключ от замка, для компьютера это файл данных, содержащих характеристику. Характеристика часто встраивается в особое устройство аутентификации, например пластиковую карту, смарт-карту. Для злоумышленника заполучить такое устройство более сложно, чем взломать пароль, а субъект может сразу же сообщить в случае кражи устройства. Это делает данный метод более защищённым, чем парольный механизм, однако стоимость такой системы более высокая.
Фактор свойства: что-то, что является частью нас — биометрика. Характеристикой является физическая особенность субъекта. Это может быть портрет, отпечаток пальца или ладони, голос или особенность глаза. С точки зрения субъекта, данный способ является наиболее простым: не надо ни запоминать пароль, ни переносить с собой устройство аутентификации. Однако биометрическая система должна обладать высокой чувствительностью, чтобы подтверждать авторизованного пользователя, но отвергать злоумышленника со схожими биометрическими параметрами. Также стоимость такой системы довольно велика. Но, несмотря на свои недостатки, биометрика остается довольно перспективным фактором.

Безопасность[править | править код]

Согласно мнению экспертов, многофакторная аутентификация резко снижает возможность кражи личных данных онлайн, так как знание пароля жертвы недостаточно для совершения мошенничества. Тем не менее многие многофакторные подходы аутентификации остаются уязвимыми для «фишинга», «человек-в-браузере», «человек посередине».

Основная статья: Аутентификация

Выбирая для системы тот или иной фактор или способ аутентификации, необходимо, прежде всего, отталкиваться от требуемой степени защищенности, стоимости построения системы, обеспечения мобильности субъекта.

Можно привести сравнительную таблицу:

Уровень риска	Требования к системе	Технология аутентификации	Примеры применения
Низкий	Требуется выполнить аутентификацию для доступа к системе, причём кража, взлом, разглашение конфиденциальных сведений не будут иметь значительных последствий	Рекомендуется минимальное требование — использование многоразовых паролей	Регистрация на портале в Интернете
Средний	Требуется выполнить аутентификацию для доступа к системе, причём кража, взлом, разглашение конфиденциальных сведений причинят небольшой ущерб	Рекомендуется минимальное требование — использование одноразовых паролей	Проведение субъектом банковских операций
Высокий	Требуется выполнить аутентификацию для доступа к системе, причём кража, взлом, разглашение конфиденциальных сведений причинят значительный ущерб	Рекомендуется минимальное требование — использование многофакторной аутентификации	Проведение крупных межбанковских операций руководящим аппаратом

Законодательство и регулирование[править | править код]

Стандарт безопасности данных индустрии платежных карт (PCI), требование 8.3, требует использования MFA для всего удаленного сетевого доступа, исходящего из-за пределов сети, в среду данных карт (CDE).^[1] Начиная с PCI-DSS версии 3.2, использование MFA требуется для любого административного доступа к CDE, даже если пользователь находится в доверенной сети.

Двухфакторная аутентификация[править | править код]

Двухфакторная аутентификация (ДФА, англ. two-factor authentication, также известна как двухэтапная верификация) является типом многофакторной аутентификации. ДФА представляет собой технологию, обеспечивающую идентификацию пользователей с помощью комбинации двух различных компонентов.

Примеры двухфакторной аутентификации — авторизация Google и Microsoft. Когда пользователь заходит с нового устройства, помимо аутентификации по имени-паролю его просят ввести шестизначный (Google) или восьмизначный (Microsoft) код подтверждения. Абонент может получить его по SMS, с помощью голосового звонка на его телефон, код подтверждения может быть взят из заранее составленного реестра разовых кодов или новый одноразовый пароль может быть сгенерирован приложением-аутентификатором за короткие промежутки времени. Метод выбирается в настройках аккаунта Google или Microsoft соответственно.

Преимущество двухфакторной аутентификации через мобильное устройство:

Не нужны дополнительные токены, потому что мобильное устройство всегда под рукой.
Код подтверждения постоянно меняется, а это безопаснее, чем однофакторный логин-пароль.

Недостатки двухфакторной аутентификации через мобильное устройство:

Мобильный телефон должен ловить сеть, когда происходит аутентификация, иначе сообщение с паролем просто не дойдёт.
Необходимо сообщить номер мобильного телефона, из-за чего, например, в будущем может приходить спам.
Текстовые сообщения (SMS), которые, поступая на мобильный телефон, могут быть перехвачены^[2]^[3].
Текстовые сообщения приходят с некоторой задержкой, так как некоторое время уходит на проверку подлинности.
Современные смартфоны используются для получения как почты, так и SMS. Как правило, электронная почта на мобильном телефоне всегда включена. Таким образом, все аккаунты, для которых почта является ключом, могут быть взломаны (первый фактор). Мобильное устройство (второй фактор). Вывод: смартфон смешивает два фактора в один.

Сейчас многие крупные сервисы, такие как Microsoft, Google, Dropbox, Facebook, уже предоставляют возможность использовать двухфакторную аутентификацию. Причём для них всех можно использовать единое приложение-аутентификатор, соответствующее определённым стандартам, например Google Authenticator, Microsoft Authentificator, Authy или FreeOTP.

Практическая реализация[править | править код]

Многие продукты с функцией многофакторной аутентификации требуют наличия у пользователя клиентского программного и аппаратного обеспечения, чтобы система многофакторной аутентификации заработала. Некоторые разработчики создали отдельные установочные пакеты для входа в сеть, идентификационных данных веб-доступа и VPN-подключения. Чтобы использовать с этими продуктами токен или смарт-карту, потребуется установить на ПК четыре или пять пакетов специального ПО. Это могут быть пакеты для контроля версии или пакеты для проверки конфликтов с бизнес-приложениями. Если доступ может быть выполнен с использованием веб-страниц, тогда можно обойтись без непредвиденных расходов. С другими программными решениями многофакторной аутентификации, такими как «виртуальные» токены или некоторые аппаратные токены, ни одно ПО не может быть установлено непосредственными пользователями.

Многофакторная аутентификация не стандартизирована. Существуют различные формы её реализации. Следовательно, проблема состоит в её способности к взаимодействию. Существует много процессов и аспектов, которые необходимо учитывать при выборе, разработке, тестировании, внедрении и поддержке целостной системы управления идентификацией безопасности, включая все релевантные механизмы аутентификации и сопутствующих технологий: это всё описал Brent Williams в контексте «Identity Lifecycle»[1]

Многофакторная аутентификация имеет ряд недостатков, препятствующих её распространению. В частности, человеку, который не разбирается в этой области, сложно следить за развитием аппаратных токенов или USB-ключей. Многие пользователи не могут самостоятельно установить сертифицированное клиентское программное обеспечение, так как не обладают соответствующими техническими навыками. В общем, многофакторные решения требуют дополнительных затрат на установку и оплату эксплуатационных расходов. Многие аппаратные комплексы, основанные на токенах, запатентованы, и некоторые разработчики взимают с пользователей ежегодную плату. С точки зрения логистики, разместить аппаратные токены трудно, так как они могут быть повреждены или утеряны. Выпуск токенов в таких крупных организациях, как банки и другие крупные предприятия, должен быть отрегулирован. Помимо затрат на установку многофакторной аутентификации, значительную сумму также составляет оплата технического обслуживания. В 2008 году крупный медиа-ресурс Credit Union Journal провёл опрос среди более 120 кредитных союзов США. Цель опроса — показать стоимость технического обслуживания, связанную с двухфакторной аутентификацией. В итоге вышло, что самую высокую стоимость имеют сертификация программного обеспечения и доступ к панели инструментов.

Патенты[править | править код]

В 2013 году Дотком, Ким заявил, что изобрел двухфакторную аутентификацию и запатентовал её в 2000 году,^[4] и пригрозил подать в суд на все основные веб-службы. Однако Европейское патентное ведомство отозвало его патент^[5] в свете более раннего патента США 1998 года, принадлежащего AT&T.^[6]

См. также[править | править код]

Примечания[править | править код]

↑ Official PCI Security Standards Council Site – Verify PCI Compliance, Download Data Security and Credit Card Security Standards (неопр.). www.pcisecuritystandards.org. Дата обращения: 25 июля 2016. Архивировано 27 декабря 2021 года.
↑ "NIST Prepares to Phase Out SMS-Based Login Security Codes. Time Is Running Out For This Popular Online Security Technique" (англ.). Fortune. July 26, 2016. Архивировано из оригинала 20 апреля 2018. Дата обращения: 13 августа 2016. "Due to the risk that SMS messages may be intercepted or redirected, implementers of new systems should carefully consider alternative authenticators," NIST
↑ Дуров заявил о причастности спецслужб ко взлому Telegram оппозиционеров (рус.). РосБизнесКонсалтинг (2 мая 2016). — «… в ночь на пятницу отдел технологической безопасности МТС отключил ему (Олегу Козловскому) сервис доставки СМС-сообщений, после чего — спустя 15 минут — кто-то с Unix-консоли по IP-адресу на одном из серверов анонимайзера Tor отправил в Telegram запрос на авторизацию нового устройства с номером телефона Козловского. Ему было отправлено СМС с кодом, которое доставлено не было, поскольку сервис для него был отключен. Затем злоумышленник ввел код авторизации и получил доступ к аккаунту активиста в Telegram. «Главный вопрос в том, каким образом неизвестные получили доступ к коду, который был отправлен на СМС, но не доставлен. К сожалению, у меня есть только одна версия: через систему СОРМ или напрямую через отдел техбезопасности МТС (например, по звонку из «компетентных органов»)», — подчеркнул активист.» Дата обращения: 11 мая 2017. Архивировано 17 июня 2018 года.
↑ Schmitz, Kim, "Method for authorizing in data transmission systems", US 6078908
↑ Brodkin, Jon Kim Dotcom claims he invented two-factor authentication—but he wasn't first (неопр.) (html). Ars Technica (23 мая 2013). Дата обращения: 25 июля 2019. Архивировано 9 июля 2019 года.
↑ Blonder, et al., "Transaction authorization and alert system", US 5708422

Ссылки[править | править код]

Eric Grosse, Mayank Upadhyay, Authentication at Scale. IEEE Security and Privacy, January/February 2013, IEEE Computer and Reliability Societies. (англ.)
DRAFT NIST Special Publication 800-63B. Digital Authentication Guideline. Authentication and Lifecycle Management // NIST, 2016 (англ.)
Многофакторная аутентификация простыми словами

[1] Official PCI Security Standards Council Site – Verify PCI Compliance, Download Data Security and Credit Card Security Standards (неопр.). www.pcisecuritystandards.org. Дата обращения: 25 июля 2016. Архивировано 27 декабря 2021 года.

[fortune-nist-sms-intercept2016.2fa-2] "NIST Prepares to Phase Out SMS-Based Login Security Codes. Time Is Running Out For This Popular Online Security Technique" (англ.). Fortune. July 26, 2016. Архивировано из оригинала 20 апреля 2018. Дата обращения: 13 августа 2016. "Due to the risk that SMS messages may be intercepted or redirected, implementers of new systems should carefully consider alternative authenticators," NIST

[3] Дуров заявил о причастности спецслужб ко взлому Telegram оппозиционеров (рус.). РосБизнесКонсалтинг (2 мая 2016). — «… в ночь на пятницу отдел технологической безопасности МТС отключил ему (Олегу Козловскому) сервис доставки СМС-сообщений, после чего — спустя 15 минут — кто-то с Unix-консоли по IP-адресу на одном из серверов анонимайзера Tor отправил в Telegram запрос на авторизацию нового устройства с номером телефона Козловского. Ему было отправлено СМС с кодом, которое доставлено не было, поскольку сервис для него был отключен. Затем злоумышленник ввел код авторизации и получил доступ к аккаунту активиста в Telegram. «Главный вопрос в том, каким образом неизвестные получили доступ к коду, который был отправлен на СМС, но не доставлен. К сожалению, у меня есть только одна версия: через систему СОРМ или напрямую через отдел техбезопасности МТС (например, по звонку из «компетентных органов»)», — подчеркнул активист.» Дата обращения: 11 мая 2017. Архивировано 17 июня 2018 года.

[US_PATENT_6078908-4] Schmitz, Kim, "Method for authorizing in data transmission systems", US 6078908

[Brodkin,_ARS_Technical,_2019-5] Brodkin, Jon Kim Dotcom claims he invented two-factor authentication—but he wasn't first (неопр.) (html). Ars Technica (23 мая 2013). Дата обращения: 25 июля 2019. Архивировано 9 июля 2019 года.

[US_PATENT_5708422-6] Blonder, et al., "Transaction authorization and alert system", US 5708422

[1]

[2]

[3]

[4]

[5]

[6]