Що таке багатофакторна автентифікація

та коли її доцільно використовувати

Що таке багатофакторна автентифікація та коли доцільно її використовувати



Захист акаунтів за допомогою одного фактора — складного пароля — близько двох десятків років тому перестав бути надійним. Тому рекомендується використовувати додаткові фактори захисту. Тим більше, що зараз є можливість вибрати оптимальний варіант за запитами, ціною та якістю.

А враховуючи те, що пандемія наклала відбиток на багато сфер соціального життя, у тренді опинилася віддалена робота — раніше улюблений формат IT-компаній, а тепер веб-, маркетингових студій, освітніх ресурсів, call-центрів та інших підприємств, де завдання на 80-90% здійснюються за допомогою комп’ютерів. Однак нюанс у тому, що домашні ПК, на яких найчастіше продовжують віддалено працювати співробітники, потребують такого ж захисту, як і корпоративні пристрої, де може бути встановлене відповідне ПЗ.

Щоб уникнути витоку корпоративної інформації, такі IT-корпорації, як Google і Facebook, давно зробили обов’язковим для членів організації підключення багатофакторної автентифікації або MFA (скорочено) саме за допомогою токенів. Чому б не наслідувати їх приклад?

У цій статті розглянемо, що таке багатофакторна автентифікація, як вона працює, її переваги та недоліки, та які є варіанти її підключення.

Визначення MFA


Багатофакторна автентифікація — це розширена перевірка належності акаунта користувачеві, що включає більше одного фактора. Під факторами мають на увазі:

  • фактор знання — інформація, відома суб’єкту — ПІН-код, пароль, контрольне слово, відповідь на секретне запитання;
  • фактор володіння — річ, що належить користувачеві — телефон, телефон, планшет, ПК, токен безпеки, смарт-картка;
  • фактор властивості — біологічні характеристики суб’єкта – відбиток пальця або долоні, райдужка ока, голос, обличчя.

Часто багатофакторну автентифікацію (MFA) використовують у значенні двофакторної (2FA), що не буде помилкою.

Переваги багатофакторної автентифікації зводяться до кібербезпеки, це:

  • додатковий захист від несанкціонованого доступу до конфіденційної чи корпоративної інформації;
  • безпечне проведення банківських операцій;
  • впевненість у збереженні даних на серверах.

До недоліків MFA складність використання непідготовленими користувачами. Багато хто просто не розуміє, навіщо використовувати багатофакторну автентифікацію (до цього питання ми ще повернемося трохи нижче). Тому, на жаль, на цей час поширеність цього методу безпеки становить 10%.

Як працює багатофакторна автентифікація


Принцип роботи багатофакторної автентифікації полягає в тому, що при авторизації користувача в операційній системі або в будь-якому обліковому записі, служба запитує підтвердження особи за допомогою додаткових факторів, які має користувач.

Приклади багатофакторної автентифікації:

  • підтвердження особи за допомогою одноразового пароля (OTP), який може бути відправлений службою користувачеві декількома способами: через SMS, пошту, програму або токен;
  • дії на додатковому пристрої: натискання кнопки підтвердження, введення шифру, промовляння фрази, підключення USB-ключа, сканування відбитка пальця.

Різні майданчики підтримують різноманітні типи багатофакторної аутентифікації. Зазвичай, авторизувавшись в обліковому записі, їх можна вибрати та налаштувати у вкладці «Безпека».

Коли доцільно застосовувати багатофакторну автентифікацію


Як ми згадали на початку статті, багатофакторна автентифікація давно використовується IT-компаніями не лише як рекомендація, а й обов’язковий захід для працівників на ремоуті. Однак хочемо звернути особливу увагу на випадки, коли потрібна MFA для бизнесу. Особливо, коли віддаленим співробітникам потрібне підключення до робочої станції за RDP протокол віддаленого робочого столу, що здійснюється за допомогою Microsoft Remote Desktop, або протоколів VNC, TeamViewer та ін.).

Адже якщо зловмисники отримають доступ до облікового запису адміністратора, то можуть серйозно нашкодити:

  • розіслати листи по базі від імені вашої організації;
  • викрасти розробки, стратегічні плани, іншу інтелектуальну власність і продати її конкурентам;
  • зашифрувати всі файли компанії, щоб вимагати надалі викупу.

Щоб захистити доступ до RDP, рекомендуємо наступні методи:

  • Закрити доступи за RDP для зовнішніх IP-адрес, залишивши можливість підключення тільки для IP-адрес співробітників. Для динамічних IP-адрес домашніх мереж можна скласти «білі списки» по підмережі.
  • Поставити додатковий рівень захисту — багатофакторну автентифікацію для RDP або всіх працівників, які входять до акаунтів з інших пристроїв.

Доцільність використання багатофакторної автентифікації можна відстежити за таблицею:

Ступінь ризику Приклад використання Способи автентифікації
Низький — наслідки зламу призведуть до незначної шкоди Нова реєстрація на майданчику окремого користувача Досить використати складний багаторазовий пароль
Середній — у разі крадіжки пароля збитки будуть відчутними, але не критичними Використання суб’єктом банкінгу або акаунтів в інтернет-магазинах прив’язаних до банківських карток Потрібен додатковий захист у вигляді двоетапної або двофакторної автентифікації
Високий витік інформації може призвести до колосальних негативних наслідків Проведення фінансистами великих міжбанківських операцій Багатофакторна автентифікація є обов’язковою

Надійність багатофакторної автентифікації


На жаль, багатофакторна автентифікація не є 100% захистом у всіх випадках, оскільки багато залежить від вибору способів автентифікації та збереження первинного пароля.

Про те, як захистити пароль від крадіжки, ми розповідали минулого разу. Зараз обговоримо надійність і зручність способів додаткової автентифікації:

  • SMS-, Email-паролі — можуть бути перехоплені; їх може бути не дуже зручно використовувати, якщо введення потрібно здійснювати на тому ж пристрої, куди надійшло повідомлення, принаймні не всі користувачі можуть розібратися з вкладками;
  • голосовий дзвінок на мобільний – не дуже надійний, тому що зловмисники можуть замовити дублікат SIM-карти та приймати на неї дзвінки; крім того, несподівано
    гучний дзвінок може стати на заваді, якщо ви входите в обліковий запис на роботі, в коворкінгу або вдома, але вночі, або навпаки, голосове сповіщення може бути не почуте в галасливому місці;
  • додатки, що генерують одноразові ОТР-паролі кожні 30 секунд — надійний фактор, але він коректно працює лише за умови підключення до мережі; і якщо ви підключені до спільної мережі Wi-Fi, то надійність способу під сумнівом;
  • кнопка підтвердження «Так, це я» не допоможе у разі втрати пристрою;
  • токени або апаратні ключі безпекинадійні за умови, що ви використовуєте сертифікований продукт; на відміну від інших способів авторизації вони ще й більш зручні у використанні, особливо якщо вибрати хорошого виробника, наприклад Yubikey;
  • біометричні фактори підтвердження — надійні за умови, що пристрої працюють автономно і не передають біометричні дані на сервер, надсилаючи їх лише у зашифрованому вигляді; інакше їх можуть вкрасти, так само як і паролі.

Кожен із перерахованих факторів потребує грамотного застосування. Зазвичай захищати потрібно і паролі, і пристрої, які ви можете використовувати для підтвердження.

Виняток – апаратні ключі безпеки Yubikey виробництва Швеції та США, що підтримуються вже тисячами сервісів. У разі їх крадіжки зловмисники все одно не зможуть ними скористатися, особливо новинкою Yubikey Bio — FIDO зі сканером відбитків пальців. Не дарма ключам Yubikey віддають перевагу користувачі у 160 країнах світу!

Щоб дізнатися більше про ключі безпеки Yubikey та їхні можливості, зв’яжіться з нашими менеджерами.

Нові виклики та загрози сучасного кіберпростору в епоху СhatGPT: як змінюється портрет злочинця?

Компанія OpenAI представила наприкінці 2022 року чат GPT, версії 3, створений на основі великих мовних моделей. Він вмів вести бесіду як справжня людина, спілкуватися багатьма мовами, складати іспити, писати програмний код і навіть вести блог. Вже через 2 місяці...

Аутсорс кібербезпеки — чи справді це небезпечно та дорого?

У сфері кібербезпеки йдуть постійні ігри на кшталт бігу наввипередки: хакери знаходять вразливі ланцюжки і намагаються отримати доступ до конфіденційної інформації, а фахівці з безпеки вибудовують системи захисту, які зловмисники за деякий час намагаються зламати. І...

Що потрібно знати бізнесу про захист інформації — огляд технічних засобів

Несанкціонований доступ до особистої інформації, фінансових рахунків або комерційної таємниці може заподіяти багато шкоди. Це може призвести до великих збитків через втрату репутації та фінансових активів, порушення приватності користувачів тощо. Тож кожна особа, організація, підприємство чи фінансова установа має дбати про захист даних.

Як YubiKey захищає від атак грубої сили: технічні особливості атак та шифрування ключем

Як YubiKey захищає від атак грубої сили: технічні особливості атак та шифрування ключемАтаки грубої сили, або атаки Brute Force — це один з самих поширених методів зламу. Він вважається одним з найпростіших, бо по суті для того, щоб розпочати атаку, зловмиснику...

Як захистити себе та колег від переконливих “спеціалістів” із соціальної інженерії

Як таке може бути, що Олена завантажила вірус, повіривши, що перейшовши за посиланням отримає в подарунок новенький iPhone? Чи Олексій вчинив краще від Олени, вставивши в робочий комп’ютер щойно знайдену в кафе гарненьку флешку з цікавим логотипом? Обидва стали жертвами соціальної інженерії.

Способи безпарольного входу в ОС Windows

Доступ до облікового запису операційної системи має бути простим, але надійним. Особливо, якщо пристроєм може користуватися кілька інших людей — в офісі, коворкінгу чи в навчальній аудиторії. Саме цього принципу дотримуються ідеологи всесвітньовідомої корпорації Microsoft, завдяки яким було розроблено новий сервіс Windows Hello та можливість входу в ОС з використанням ключів безпеки.

Сканер відбитків на смартфоні — наскільки це надійно

Ще років 20 тому мало хто замислювався, навіщо потрібен сканер відбитків пальців, а сьогодні він присутній на багатьох смартфонах, випущених після 2014 року. Погодьтеся, зручно розблокувати пристрій, підтверджувати покупки в інтернет-магазинах або відкривати облікові записи в онлайн-сервісах одним дотиком.

Режим смарт-картки Yubikey без додаткового обладнання

Ідею першої смарт-картки запатентував французький винахідник Роланд Морено ще 1974 року. А сьогодні ми вже використовуємо цю технологію щодня, і не уявляємо, як можна без неї обходитися: в режимі смарт-карток працюють SIM-картки, електронні проїзні квитки та паспорти, ключі від номерів у готелі, пропуски працівників закритих підприємств, банківські платіжні картки.

Що таке двоетапна автентифікація

Що таке двоетапна автентифікація Уявити навіть на хвилину ситуацію, в якій хтось сторонній отримує доступ до вашого особистого облікового запису на ПК, дуже неприємно. Адже в цьому випадку зловмисник може: переглядати особисте листування; копіювати фотографії,...

Безпека облікових записів в академічній сфері

Безпека облікових записів в академічній сфері – чек-лист для розробників, студентів та викладачівБезпека облікових записів в академічній сфері – чек-лист для розробників, студентів та викладачів Сектор освіти стикається з кібератаками не менше, ніж інші напрямки. За...