Что такое многофакторная аутентификация
Что такое многофакторная аутентификация и когда целесообразно её использовать
Защита аккаунтов с помощью одного фактора — сложного пароля — перестала быть надежной около двух десятков лет назад. Поэтому пользователям сети рекомендуется применять дополнительные факторы защиты. Тем более, что сейчас есть возможность выбрать оптимальный вариант по запросам, цене и качеству.
А учитывая то, что пандемия наложила отпечаток на многие сферы социальной жизни, в тренде оказалась удаленная работа — ранее излюбленный формат IT-компаний, а теперь веб-, маркетинговых студий, образовательных ресурсов, call-центров и других предприятий, где задачи на 80-90% осуществляются с помощью компьютеров. Однако нюанс в том, что домашние ПК, на которых чаще всего продолжают удалённо работать сотрудники, нуждаются в такой же защите, как и корпоративные устройства, где может быть установлено соответствующее ПО.
Чтобы избежать утечки корпоративной информации, такие IT-корпорации, как Google и Facebook, уже давно сделали обязательным для членов организации подключение многофакторной аутентификации или MFA (сокращённо) именно с помощью токенов. Почему бы не последовать их примеру?
В данной статье рассмотрим, что такое многофакторная аутентификация, как она работает, её преимущества и недостатки, и какие есть варианты её подключения.
Определение MFA
Многофакторная аутентификация — это расширенная проверка принадлежности аккаунта пользователю, включающая в себя более одного фактора. Под факторами подразумевают:
- фактор знания — информация, известная субъекту — ПИН-код, пароль, контрольное слово, ответ на секретный вопрос;
- фактор владения — вещь, принадлежащая пользователю — телефон, планшет, ПК, токен безопасности, смарт-карта;
- фактор свойства — биологические характеристики субъекта — отпечаток пальца или ладони, радужка глаза, голос, лицо.
Часто многофакторную аутентификацию (MFA) употребляют в значении двухфакторной (2FA), что не будет ошибкой.
Преимущества многофакторной аутентификации сводятся к кибербезопасности, это:
- дополнительная защита от несанкционированного доступа к конфиденциальной или корпоративной информации;
- безопасное проведение банковских операций;
- уверенность в сохранности данных на серверах.
К недостаткам MFA относят сложность использования для неподготовленных пользователей. Многие просто не понимают, зачем использовать многофакторную аутентификацию (к этому вопросу мы ещё вернёмся чуть ниже). Поэтому, к сожалению, на данный момент распространённость этого метода безопасности находится на уровне 10%.
Как работает многофакторная аутентификация
Принцип работы многофакторной аутентификации заключается в том, что при авторизации пользователя в операционной системе или в какой-либо учётной записи, служба запрашивает подтверждение личности с помощью дополнительных факторов, которыми располагает пользователь.
Примеры многофакторной аутентификации:
- подтверждение личности с помощью одноразового пароля (OTP), который может быть отправлен службой пользователю несколькими способами: через SMS, почту, приложение или токен;
- совершение действия на дополнительном устройстве: нажатие кнопки подтверждения, введение шифра, проговаривание фразы, подключение USB-ключа, сканирование отпечатка пальца.
Разные площадки поддерживают различные типы многофакторной аутентификации. Как правило, авторизовавшись в учётной записи, их можно выбрать и настроить во вкладке «Безопасность».
Когда целесообразно применять многофакторную аутентификацию
Как мы упомянули в начале статьи, многофакторная аутентификация давно используется IT-компаниями не только как рекомендация, но и обязательная мера для работников на ремоуте. Однако хотим обратить особое внимание на случаи, когда нужна MFA для бизнеса. Особенно, когда удаленным сотрудникам требуется подключение к рабочей станции по RDP (протокол удалённого рабочего стола, осуществляемый с помощью Microsoft Remote Desktop, или протоколов VNC, TeamViewer и др. программ).
Ведь если злоумышленники получат доступ к аккаунту администратора, то могут серьезно навредить:
- разослать письма по базе от имени вашей организации;
- похитить разработки, стратегические планы, другую интеллектуальную собственность и продать её конкурентам;
- зашифровать все файлы компании, чтобы затребовать в дальнейшем выкуп.
Чтобы защитить доступ по RDP, рекомендуем такие методы:
- Закрыть доступы по RDP для внешних IP-адресов, оставив возможность подключения только для IP-адресов сотрудников. Для динамических IP-адресов домашних сетей можно составить «белые списки» по подсети.
- Поставить дополнительный уровень защиты — многофакторную аутентификацию для RDP или всех сотрудников, входящих в аккаунты с других устройств.
Целесообразность использования многофакторной аутентификации также можно отследить по таблице:
| Степень риска | Пример использования | Способы аутентификации |
| Низкий — последствия взлома приведут к незначительному ущербу | Новая регистрация на площадке отдельного пользователя | Достаточно использовать сложный многоразовый пароль |
| Средний — в случае кражи пароля ущерб будет ощутимым, но не критичным | Использование субъектом банкинга или аккаунтов в интернет-магазинах привязанных к банковским картам | Требуется дополнительная защита в виде двухэтапной или двухфакторной аутентификации |
| Высокий — утечка информации может привести к колоссальным негативным последствиям | Проведение финансистами крупных межбанковских операций | Многофакторная аутентификация обязательна |
Надёжность многофакторной аутентификации
К сожалению, многофакторная аутентификация не является 100% защитой во всех случаях, поскольку многое зависит от выбора способов аутентификации и сохранности первичного пароля.
О том, как защитить пароль от кражи, мы рассказывали в прошлый раз. Сейчас обсудим надёжность и удобство способов дополнительной аутентификации:
- SMS-, E-mail-пароли — могут быть перехвачены; их может быть не очень удобно использовать, если ввод нужно осуществлять на том же устройстве, куда пришло сообщение, во всяком случае не все пользователи могут разобраться со вкладками;
- голосовой звонок на мобильный — не очень надежен, так как злоумышленники могут заказать дубликат SIM-карты и принимать на неё звонки; кроме того, неожиданно громкий звонок может помешать, если вы входите в аккаунт на работе, в коворкинге или дома, но ночью, или наоборот, голосовое оповещение может быть не расслышано в шумном месте;
- приложения, генерирующие одноразовые ОТР-пароли каждые 30 секунд — надёжный фактор, но он корректно работает только при условии подключения к сети; и если вы подключены к общей сети Wi-Fi, то надёжность способа под сомнением;
- кнопка подтверждения «Да, это я» не поможет в случае утери устройства;
- токены или аппаратные ключи безопасности — надёжны при условии, что вы используете сертифицированный продукт; в отличие от других способов авторизации они ещё и более удобны в использовании, особенно если выбрать хорошего производителя, например Yubikey;
- биометрические факторы подтверждения — надёжны при условии, что устройства работают автономно и не передают биометрические данные на сервер, отправляя их только в зашифрованном виде; иначе их могут украсть, точно так же как и пароли.
Каждый из перечисленных факторов требует грамотного применения. Как правило, защищать нужно и пароли, и устройства, которые вы можете использовать для подтверждения.
Исключение — аппаратные ключи безопасности Yubikey производства Швеции и США, поддерживаемые уже тысячами сервисов. В случае их кражи злоумышленники всё равно не смогут ими воспользоваться, особенно новинкой Yubikey Bio — FIDO со сканером отпечатков пальцев. Не зря ключам Yubikey отдают предпочтение пользователи в 160 странах мира!
Чтобы узнать больше о ключах безопасности Yubikey и их возможностях, свяжитесь с нашими менеджерами.