Багатофакторна автентифікація
Багатофакторна автентифікація (БФА, англ. multi-factor authentication, MFA) — розширена автентифікація, метод контролю доступу до комп'ютера, в якому користувачеві для отримання доступу до інформації необхідно пред'явити більше одного «доказу механізму аутентифікації». До категорій таких доказів відносять:
- Знання — інформація, яку знає суб'єкт. Наприклад, пароль, пін-код.
- Володіння — річ, якою володіє суб'єкт. Наприклад, електронна або магнітна карта, токен, флеш-пам'ять.
- Властивість, якою володіє суб'єкт. Наприклад, біометрія, унікальні природні відмінності: обличчя, відбитки пальців, райдужна оболонка очей, капілярні візерунки, послідовність ДНК.
Багатофакторна автентифікація | |
Коротка назва | MFA |
---|
Фактори автентифікації
Ще до появи комп'ютерів використовувалися різні відмінні риси суб'єкта, його характеристики. Зараз використання тієї чи іншої характеристики в системі залежить від необхідної надійності, захищеності та вартості впровадження. Виділяють 3 фактори аутентифікації:
- Фактор знання, щось, що ми знаємо — пароль. Це таємні відомості, якими повинен володіти тільки авторизований суб'єкт. Паролем може бути мовне слово, текстове слово, комбінація для замку або особистий ідентифікаційний номер (PIN). Парольний механізм може бути досить легко втілений і має низьку вартість. Але має суттєві недоліки: зберегти пароль у таємниці часто буває складно, зловмисники постійно вигадують нові способи крадіжки, злому і підбору пароля (див. бандитський криптоаналіз, метод грубої сили). Це робить парольний механізм слабозахищеним. Велика кількість секретних питань, такі як «Де ви народилися?», елементарні приклади фактора знань, тому що вони можуть бути відомі широкому загалу людей, або бути досліджені.
- Фактор володіння, щось, що ми маємо — пристрій автентифікації. Тут важлива сама обставина володіння суб'єктом якимось особливим предметом. Це може бути особиста печатка, ключ від замка, для комп'ютера це файл даних, що містять характеристику. Характеристика часто вбудовується в особливий пристрій аутентифікації, наприклад, пластикова картка, смарт-картка. Для зловмисника роздобути такий пристрій стає більш складно, ніж зламати пароль, а суб'єкт може відразу ж повідомити в разі крадіжки пристрою. Це робить даний метод більш захищеним, ніж парольний механізм, проте вартість такої системи більш висока.
- Фактор властивості, щось, що є частиною нас — біометрика. Характеристикою є фізична особливість суб'єкта. Це може бути портрет, відбиток пальця або долоні, голос або особливість очка. З точки зору суб'єкта, даний спосіб є найбільш простим: не треба запам'ятовувати пароль, ні переносити з собою пристрій аутентифікації. Однак біометрична система повинна володіти високою чутливістю, щоб підтверджувати авторизованого користувача, але відкидати зловмисника зі схожими біометричними параметрами. Також вартість такої системи досить велика. Але, незважаючи на свої недоліки, біометрика залишається досить перспективним фактором.
Безпека
Багатофакторна аутентифікація може істотно зменшити імовірність викрадення особистих даних в інтернеті, оскільки знання пароля жертви недостатньо для здійснення шахрайства. Тим не менш, в залежності від реалізації, системи з багатофакторною автентифікацією можуть бути вразливими для атак типу «фішингу», «людина-в-браузері», «людина посередині», тощо.
Вибираючи для системи той чи інший фактор або спосіб аутентифікації, необхідно, насамперед, відштовхуватися від необхідної ступеня захищеності, вартості побудови системи, забезпечення мобільності суб'єкта.
Таблиця для порівняння:
Рівень ризику | Вимоги до системи | Технологія аутентифікації | Приклади застосування |
---|---|---|---|
Низький | Потрібно здійснити автентифікацію для доступу до системи, причому крадіжка, злом, розголошення конфіденційних відомостей не будуть мати значних наслідків | Рекомендується мінімальна вимога — використання багаторазових паролів | Реєстрація на порталі в мережі Інтернет |
Середній | Потрібно здійснити автентифікацію для доступу до системи, причому крадіжка, злом, розголошення конфіденційних відомостей заподіють невеликий збиток | Рекомендується мінімальна вимога — використання одноразових паролів | Здійснення банківських операцій |
Високий | Потрібно здійснити автентифікацію для доступу до системи, причому крадіжка, злом, розголошення конфіденційних відомостей завдадуть значної шкоди | Рекомендується мінімальна вимога — використання багатофакторної аутентифікації | Проведення великих міжбанківських операцій керівним апаратом |
Двофакторна автентифікація
Двофакторна автентифікація (ДФА, англ. two-factor authentication, також відома як двоетапна верифікація), є типом багатофакторної аутентифікації. ДФА — представляє собою технологію, що забезпечує ідентифікацію користувачів за допомогою комбінації двох різних компонентів.
Хорошим прикладом двофакторної аутентифікації є авторизація Google і Microsoft. Коли користувач заходить з нового пристрою, крім аутентифікації по імені та паролю, його просять ввести шестизначний (Google) або восьмизначний (Microsoft) код підтвердження. Ви можете отримати його за допомогою SMS, або голосового дзвінка на ваш телефон, він може бути взятий з заздалегідь складеного реєстру разових кодів або ви можете використовувати додаток-аутентификатор, генеруючий новий одноразовий пароль за короткі проміжки часу. Вибрати один з методів можна в налаштуваннях вашого Google або Microsoft-акаунта.
Перевага двофакторної автентифікації через мобільний пристрій:
- Не потрібні додаткові токени, тому що мобільний пристрій завжди під рукою.
- Код підтвердження постійно змінюється, а це безпечніше, ніж однофакторний логін-пароль
Недоліки двофакторної автентифікації через мобільний пристрій:
- Мобільний телефон повинен ловити мережу, коли відбувається аутентифікація, інакше повідомлення з паролем просто не дійде.
- Ви ділитеся з кимось вашим мобільним телефоном, що впливає на ваше особисте життя і може бути в майбутньому на нього буде приходити спам.
- Текстові повідомлення (SMS), які, потрапляючи на ваш мобільний телефон, можуть бути перехоплені[1][2].
- Текстові повідомлення приходять з деякою затримкою, так як деякий час йде на перевірку.
- Сучасні смартфони використовуються як для одержання пошти, так і для отримання SMS. Як правило електронна пошта на мобільному телефоні завжди включена. Таким чином, усі акаунти, для яких пошта є ключем, можуть бути зламані (перший фактор). Мобільний пристрій (другий фактор). Висновок: смартфон змішує два чинника в один.
Зараз майже всі великі сервіси, такі як Microsoft, Google, Yandex, Dropbox, Facebook, вже надають можливість використовувати двофакторну аутентифікацію. Причому для всіх з них можна використовувати єдиний додаток аутентифікатор, що відповідає певним стандартам, такі як Google Authenticator, Microsoft Authentificator, Authy або FreeOTP.
Законодавство та регулювання
Стандарт безпеки даних для індустрії платіжних карток (PCI), вимога 8.3, вимагає використання MFA для всього віддаленого доступу до мережі, що походить із-за межі мережі, до середовища даних карт (CDE).[3] Починаючи з PCI-DSS версії 3.2, використання MFA потрібне для будь-якого адміністративного доступу до CDE, навіть якщо користувач знаходиться в межах надійної мережі.
Практична реалізація
Багато продуктів з функцією багатофакторної автентифікації вимагають від користувача клієнтське програмне забезпечення, для того, щоб система багатофакторної аутентифікації запрацювала. Деякі розробники створили окремі настановні пакети для входу в мережу, ідентифікаційних даних веб-доступу VPN-підключення. Щоб використовувати з цими продуктами токен або смарт-карту, потрібно встановити на РС чотири або п'ять пакетів спеціального програмного забезпечення. Це можуть бути пакети, які використовуються для здійснення контролю версії або це можуть бути пакети для перевірки конфліктів з бізнес-додатками. Якщо доступ може бути проведений з використанням веб-сторінок, то тоді можна обійтися без непередбачених витрат. З іншими програмними рішеннями багатофакторної аутентифікації, такими як «віртуальні» токени або деякі апаратні токени, жодне не може бути встановлено безпосередніми користувачами.
Багатофакторна аутентифікація не стандартизована. Існують різні форми її реалізації. Отже, проблема полягає в її здатності до взаємодії. Існує багато процесів і аспектів, які необхідно враховувати при виборі, розробці, тестуванні, впровадженні та підтримці цілісної системи управління ідентифікацією безпеки, включаючи всі релевантні механізми аутентифікації і супутніх технологій: це все описав Brent Williams, в контексті «Identity Lifecycle»
Багатофакторна аутентифікація має ряд недоліків, які перешкоджають її поширенню. Зокрема людині, яка не розбирається в цій області, складно стежити за розвитком апаратних токенів або USB-штекерів. Багато користувачів не можуть самостійно встановити сертифіковане програмне забезпечення, так як не володіють відповідними технічними навичками. Загалом, багатофакторні рішення вимагають додаткових витрат на встановлення та оплату експлуатаційних витрат. Багато апаратні комплекси, засновані на токенах, запатентовані, і деякі розробники стягують з користувачів щорічну плату. З точки зору логістики, розмістити апаратні токени важко, так як вони можуть бути пошкоджені або втрачені. Випуск токенів в таких областях, як банки, або інших великих підприємствах повинен бути відрегульований. Крім витрат на установку багатофакторної аутентифікації значну суму також становить оплата технічного обслуговування. В 2008 році великий медіа-ресурс Credit Union Journal провів опитування серед понад 120 кредитних спілок США. Мета опитування — показати вартість технічного обслуговування пов'язану з двофакторної аутентифікацією. У результаті вийшло, що сертифікація програмного забезпечення і доступ до панелі інструментів мають найвищу вартість.
Див. також
- Автентифікація
- Токен
- Смарт-карта
- HOTP / TOTP
Примітки
- NIST Prepares to Phase Out SMS-Based Login Security Codes. Time Is Running Out For This Popular Online Security Technique (англ.). Fortune. 26 липня 2016. Процитовано 13 серпня 2016. «“Due to the risk that SMS messages may be intercepted or redirected, implementers of new systems should carefully consider alternative authenticators,” NIST»
- Дуров заявил о причастности спецслужб ко взлому Telegram оппозиционеров. РосБизнесКонсалтинг. 2 мая 2016, 20:18. Процитовано 11 травня 2017. «… в ночь на пятницу отдел технологической безопасности МТС отключил ему (Олегу Козловскому) сервис доставки СМС-сообщений, после чего — спустя 15 минут — кто-то с Unix-консоли по IP-адресу на одном из серверов анонимайзера Tor отправил в Telegram запрос на авторизацию нового устройства с номером телефона Козловского. Ему было отправлено СМС с кодом, которое доставлено не было, поскольку сервис для него был отключен. Затем злоумышленник ввел код авторизации и получил доступ к аккаунту активиста в Telegram. «Главный вопрос в том, каким образом неизвестные получили доступ к коду, который был отправлен на СМС, но не доставлен. К сожалению, у меня есть только одна версия: через систему СОРМ или напрямую через отдел техбезопасности МТС (например, по звонку из «компетентных органов»)», — подчеркнул активист.»
- Official PCI Security Standards Council Site – Verify PCI Compliance, Download Data Security and Credit Card Security Standards. www.pcisecuritystandards.org. Процитовано 25 липня 2016.
Посилання
- Eric Grosse, Mayank Upadhyay, Authentication at Scale. IEEE Security and Privacy, January/February 2013, IEEE Computer and Reliability Societies. (англ.)(англ.)
- DRAFT NIST Special Publication 800-63B. Digital Authentication Guideline. Authentication and Lifecycle Management // NIST, 2016(англ.)(англ.)