Аутентификация — это акт доказательства того, что вы тот, за кого себя выдаете. Чтобы получить доступ к защищенной информации, системам или сервисам, пользователь должен подтвердить свою личность, предоставив конкретные учетные данные.
«Кто ты? И чем докажешь?».
Когда пользователь успешно аутентифицируется (и в зависимости от разрешений, связанных с его учетной записью), система позволяет ему выполнять определенные действия, получать доступ к определенной информации или определенным сервисам.
Для разрешения требуется идентификатор пользователя (например, имя пользователя). Чтобы подтвердить свою личность, пользователи предоставляют пароль или другой фактор аутентификации, который уже сопрягается с именем пользователя. Комбинация факторов может привести (или не привести) к тому, что пользователь получит доступ к системе.
Многофакторная аутентификация (MFA) — это процесс, в котором пользователь должен предоставить два или более доказательств (т. е. факторов) системе, чтобы быть допущенным. MFA защищает систему, сервис или конфиденциальные данные от доступа неавторизованного пользователя (и потенциального злоумышленника).
Типы факторов проверки подлинности
Существует несколько основных категорий факторов аутентификации:
Факторы знаний (то, что знает пользователь): например, пароль, парольная фраза или PIN-код. Контрольные вопросы попадают в эту категорию, но больше не признаются приемлемым фактором аутентификации, поскольку широкое использование социальных сетей, где пользователь о себе (и не только) выкладывает всю информацию, сделало ответы легко доступными для злоумышленников.
Факторы владения (то, что есть у пользователя): Пользователь может проверить свою личность с помощью объекта, находящегося в его распоряжении, такого как карта доступа, брелок или другой физический маркер безопасности. Системы MFA также рассматривают одноразовый пароль/код, полученный пользователем через SMS или приложение для аутентификации, как фактор владения (программный токен).
Факторы принадлежности (то, кем пользователь является или делает определенным образом): Этот тип фактора аутентификации основан на биометрической характеристике пользователя — отпечатке пальца, отпечатке ладони, радужной оболочке глаза, лице — или на том, как пользователь однозначно выполняет действие (например, его набор текста или вокальный тембр и рисунок).
❗ В настройке MFA, если один фактор не может быть предоставлен или неверен, доступ пользователю будет запрещён!
Контекстная информация
Контекстная информация также может служить проверкой подлинности. Эта информация сама по себе не может быть удостоверяющим фактором, но она может помочь системам аутентификации оценить, является ли попытка входа в систему / доступа законной.
Эта информация включает в себя:
Местоположение: Физическое местоположение пользователя или устройства при входе в систему. Например, если все сотрудники находятся в Калуге, а запрос на вход в систему поступает из Хабаровска, система может запретить доступ на основе этой информации (потому что она считает, что учетные данные аутентификации и факторы были скомпрометированы).
Время: Конкретное время запроса на вход может указывать на его потенциально вредоносный характер. Система может быть запрограммирована на то, чтобы отклонять попытки входа в систему в нерабочее время или отклонять запрос на вход, по-видимому, сделанный тем же пользователем, который вошел в систему всего за несколько минут до этого, если этот второй запрос на вход в систему, по-видимому, поступает из другой страны (местоположения).
Что такое 2FA?
Двухфакторная аутентификация (2FA) — это настройка проверки подлинности, которая требует, чтобы пользователь предоставил два фактора аутентификации для предоставления доступа.
✔️ Снятие денег в банкомате является примером 2FA в действии: пользователь может снимать деньги только при правильном сочетании банковской карты (фактор владения) и PIN-кода (фактор знаний).
✔️ Другой пример: пользователь хочет получить доступ к онлайн-учетной записи, защищенной 2FA. Они должны предоставить правильный пароль (фактор знаний) и одноразовый пароль (фактор владения), доступные только на устройстве / смартфоне пользователя (либо отправленные через SMS, либо предоставленные через приложение аутентификации).
❗ 2FA в настоящее время является наиболее используемым методом MFA, но по мере развития технологий и злоумышленников придумывают эффективные способы обойти защиту, которую он предлагает.
Что такое 3FA?
Трехфакторная аутентификация (3FA) — наиболее безопасный процесс проверки подлинности, который добавляет третий уровень защиты учетным записям пользователей. 3FA требует, чтобы пользователи предоставляли три различных фактора аутентификации.
Например: пароль, карта безопасности и отпечаток пальца (для сканирования и сравнения с ранее созданной записью). Или PIN-код, пароль OTP и голос (для сравнения с записанным аудиофайлом).
❗ С 3FA украденные пароли становятся гораздо меньшей проблемой.
3FA обычно развертывается предприятиями и организациями, которые требуют высокого уровня безопасности, например, банками, государственными учреждениями, аэропортами, больницами и т. д.
Зачем нужна многофакторная аутентификация?
Список угроз постоянно растёт, а технологии эксплуатации уязвимостей стремительно развиваются. И массовый переход людей на удалённый режим работы открыл для злоумышленников широкие возможности для атаки на сервисы аутентификации.
Скомпрометированные учетные данные пользователей представляют собой один из самых больших рисков. Чтобы лучше защитить личные, коммерческие и публичные ресурсы от несанкционированного доступа, использование многоуровневой (многофакторной) аутентификации становится нормальным и даже больше — обязательным.
Традиционных паролей просто уже недостаточно, тем более что пользователи часто повторно используют одни и те же слабые пароли на разных веб-сайтах и сервисах.
