Що таке багатофакторна автентифікація
та коли її доцільно використовувати
Що таке багатофакторна автентифікація та коли доцільно її використовувати
Захист акаунтів за допомогою одного фактора — складного пароля — близько двох десятків років тому перестав бути надійним. Тому рекомендується використовувати додаткові фактори захисту. Тим більше, що зараз є можливість вибрати оптимальний варіант за запитами, ціною та якістю.
А враховуючи те, що пандемія наклала відбиток на багато сфер соціального життя, у тренді опинилася віддалена робота — раніше улюблений формат IT-компаній, а тепер веб-, маркетингових студій, освітніх ресурсів, call-центрів та інших підприємств, де завдання на 80-90% здійснюються за допомогою комп’ютерів. Однак нюанс у тому, що домашні ПК, на яких найчастіше продовжують віддалено працювати співробітники, потребують такого ж захисту, як і корпоративні пристрої, де може бути встановлене відповідне ПЗ.
Щоб уникнути витоку корпоративної інформації, такі IT-корпорації, як Google і Facebook, давно зробили обов’язковим для членів організації підключення багатофакторної автентифікації або MFA (скорочено) саме за допомогою токенів. Чому б не наслідувати їх приклад?
У цій статті розглянемо, що таке багатофакторна автентифікація, як вона працює, її переваги та недоліки, та які є варіанти її підключення.
Визначення MFA
Багатофакторна автентифікація — це розширена перевірка належності акаунта користувачеві, що включає більше одного фактора. Під факторами мають на увазі:
- фактор знання — інформація, відома суб’єкту — ПІН-код, пароль, контрольне слово, відповідь на секретне запитання;
- фактор володіння — річ, що належить користувачеві — телефон, телефон, планшет, ПК, токен безпеки, смарт-картка;
- фактор властивості — біологічні характеристики суб’єкта – відбиток пальця або долоні, райдужка ока, голос, обличчя.
Часто багатофакторну автентифікацію (MFA) використовують у значенні двофакторної (2FA), що не буде помилкою.
Переваги багатофакторної автентифікації зводяться до кібербезпеки, це:
- додатковий захист від несанкціонованого доступу до конфіденційної чи корпоративної інформації;
- безпечне проведення банківських операцій;
- впевненість у збереженні даних на серверах.
До недоліків MFA складність використання непідготовленими користувачами. Багато хто просто не розуміє, навіщо використовувати багатофакторну автентифікацію (до цього питання ми ще повернемося трохи нижче). Тому, на жаль, на цей час поширеність цього методу безпеки становить 10%.
Як працює багатофакторна автентифікація
Принцип роботи багатофакторної автентифікації полягає в тому, що при авторизації користувача в операційній системі або в будь-якому обліковому записі, служба запитує підтвердження особи за допомогою додаткових факторів, які має користувач.
Приклади багатофакторної автентифікації:
- підтвердження особи за допомогою одноразового пароля (OTP), який може бути відправлений службою користувачеві декількома способами: через SMS, пошту, програму або токен;
- дії на додатковому пристрої: натискання кнопки підтвердження, введення шифру, промовляння фрази, підключення USB-ключа, сканування відбитка пальця.
Різні майданчики підтримують різноманітні типи багатофакторної аутентифікації. Зазвичай, авторизувавшись в обліковому записі, їх можна вибрати та налаштувати у вкладці «Безпека».
Коли доцільно застосовувати багатофакторну автентифікацію
Як ми згадали на початку статті, багатофакторна автентифікація давно використовується IT-компаніями не лише як рекомендація, а й обов’язковий захід для працівників на ремоуті. Однак хочемо звернути особливу увагу на випадки, коли потрібна MFA для бизнесу. Особливо, коли віддаленим співробітникам потрібне підключення до робочої станції за RDP протокол віддаленого робочого столу, що здійснюється за допомогою Microsoft Remote Desktop, або протоколів VNC, TeamViewer та ін.).
Адже якщо зловмисники отримають доступ до облікового запису адміністратора, то можуть серйозно нашкодити:
- розіслати листи по базі від імені вашої організації;
- викрасти розробки, стратегічні плани, іншу інтелектуальну власність і продати її конкурентам;
- зашифрувати всі файли компанії, щоб вимагати надалі викупу.
Щоб захистити доступ до RDP, рекомендуємо наступні методи:
- Закрити доступи за RDP для зовнішніх IP-адрес, залишивши можливість підключення тільки для IP-адрес співробітників. Для динамічних IP-адрес домашніх мереж можна скласти «білі списки» по підмережі.
- Поставити додатковий рівень захисту — багатофакторну автентифікацію для RDP або всіх працівників, які входять до акаунтів з інших пристроїв.
Доцільність використання багатофакторної автентифікації можна відстежити за таблицею:
| Ступінь ризику | Приклад використання | Способи автентифікації |
| Низький — наслідки зламу призведуть до незначної шкоди | Нова реєстрація на майданчику окремого користувача | Досить використати складний багаторазовий пароль |
| Середній — у разі крадіжки пароля збитки будуть відчутними, але не критичними | Використання суб’єктом банкінгу або акаунтів в інтернет-магазинах прив’язаних до банківських карток | Потрібен додатковий захист у вигляді двоетапної або двофакторної автентифікації |
| Високий — витік інформації може призвести до колосальних негативних наслідків | Проведення фінансистами великих міжбанківських операцій | Багатофакторна автентифікація є обов’язковою |
Надійність багатофакторної автентифікації
На жаль, багатофакторна автентифікація не є 100% захистом у всіх випадках, оскільки багато залежить від вибору способів автентифікації та збереження первинного пароля.
Про те, як захистити пароль від крадіжки, ми розповідали минулого разу. Зараз обговоримо надійність і зручність способів додаткової автентифікації:
- SMS-, Email-паролі — можуть бути перехоплені; їх може бути не дуже зручно використовувати, якщо введення потрібно здійснювати на тому ж пристрої, куди надійшло повідомлення, принаймні не всі користувачі можуть розібратися з вкладками;
- голосовий дзвінок на мобільний – не дуже надійний, тому що зловмисники можуть замовити дублікат SIM-карти та приймати на неї дзвінки; крім того, несподівано
гучний дзвінок може стати на заваді, якщо ви входите в обліковий запис на роботі, в коворкінгу або вдома, але вночі, або навпаки, голосове сповіщення може бути не почуте в галасливому місці; - додатки, що генерують одноразові ОТР-паролі кожні 30 секунд — надійний фактор, але він коректно працює лише за умови підключення до мережі; і якщо ви підключені до спільної мережі Wi-Fi, то надійність способу під сумнівом;
- кнопка підтвердження «Так, це я» не допоможе у разі втрати пристрою;
- токени або апаратні ключі безпеки — надійні за умови, що ви використовуєте сертифікований продукт; на відміну від інших способів авторизації вони ще й більш зручні у використанні, особливо якщо вибрати хорошого виробника, наприклад Yubikey;
- біометричні фактори підтвердження — надійні за умови, що пристрої працюють автономно і не передають біометричні дані на сервер, надсилаючи їх лише у зашифрованому вигляді; інакше їх можуть вкрасти, так само як і паролі.
Кожен із перерахованих факторів потребує грамотного застосування. Зазвичай захищати потрібно і паролі, і пристрої, які ви можете використовувати для підтвердження.
Виняток – апаратні ключі безпеки Yubikey виробництва Швеції та США, що підтримуються вже тисячами сервісів. У разі їх крадіжки зловмисники все одно не зможуть ними скористатися, особливо новинкою Yubikey Bio — FIDO зі сканером відбитків пальців. Не дарма ключам Yubikey віддають перевагу користувачі у 160 країнах світу!
Щоб дізнатися більше про ключі безпеки Yubikey та їхні можливості, зв’яжіться з нашими менеджерами.