Блог

Многофакторная аутентификация: плюсы и подводные камни

Защита информации – задача, которую нужно решить любой организации. Перехват конфиденциальных, коммерческих, персональных сведений чреват серьезными последствиями, ухудшением репутации, денежными потерями, банкротством.
Инструментов защиты множество, один из наиболее востребованных – многофакторная аутентификация. Что это? Каковы основные сильные и слабые стороны? Какими классами она представлена? Как выбрать вариант, на 100% соответствующий потребностям предприятия?

Понятие

Классический метод аутентификации – ввод имени пользователя и пароля. Даже при грамотном подходе к формированию шифра, использовании множества символов различного регистра, он не слишком надежен. Код может быть перехвачен, подобран при помощи специального программного обеспечения. Многофакторная схема предполагает проверку не одного, а нескольких показателей:
  1. Пароль, шифр, ответ на секретный вопрос, то, что пользователь знает и хранит в памяти, менеджере.
  2. Одноразовый шифр, присланный на смартфон, чип-карта.
  3. Биометрические данные. Классический пример – смартфон, требующий для снятия блокировки не только PIN-код, но и сканирование отпечатка пальца, лица.
Средств, на основе которых строится многофакторная аутентификация, масса. Каждое – обладает как плюсами, так и минусами, требует более подробного разбора. Это позволит заинтересованным организациям выбрать вариант, на 100% соответствующий их требованиям, специфике работы.

Электронная почта

Одноразовый код отправляется на указанный пользователем e-mail. Альтернатива коду – ссылка, переход по которой завершает процедуру аутентификации, регистрации или авторизации, позволяет попасть на нужный сайт или в приложение. Такой метод максимально доступен, ввиду распространенности электронной почты, не требует дополнительных устройств.
Главные минусы – уязвимость почтового ящика и трудности доступа к нему, вызванные нестабильным соединением и подобными причинами. Мошенники вполне могут взломать e-mail для обхода защиты, из-за чего она становится неэффективной, бесполезной.

Биометрия

Сканирование физиологических характеристик, присущих пользователю. Смартфоны уже много лет оснащаются сканерами отпечатка пальца, в последнее время они появляются и на ноутбуках. Также аутентификация проходит по сканированию лица, сетчатки глаза, голоса.
Методика проста, не требует сложной настройки. Например, упомянутый смартфон можно разблокировать, просто взглянув камеру или прислонив палец к датчику. Без минусов, впрочем, не обходится. Подводные камни, на которые обращают внимание специалисты по информационной безопасности, выглядят так:
  • Невысокая надежность. Биометрию не рекомендуется использовать как самостоятельный способ аутентификации, только – как часть многофакторной.
  • Опасность ложного срабатывания. Она минимальна, но существует. Например, сканер лица может принять за пользователя не просто его близнеца, но даже человека со схожими чертами.
  • Особые условия срабатывания. Сканер отпечатка не распознает мокрые или грязные пальцы, лица – не сработает в темноте или сумерках.

Идентификационные приложения

Специальное программное обеспечение, генерирующее разовые коды, актуальные в течение короткого времени. Код может быть представлен в формате комбинации букв и чисел, требовать ручного ввода, либо в виде QR для сканирования. Приложением можно пользоваться в автономном режиме, без доступа к Интернету, что является несомненным плюсом.
Основные минусы – потребность в дополнительном авторизационном устройстве, смартфоне, и неудобство. Для некоторых пользователей сканирование QR-кода – очень сложная задача.

Аппаратные ключи

Например, ключи USB, поддерживающие протокол FIDO2. Один из наиболее совершенных защитных инструментов, позволяющих обойтись без кодов. Ключ – физический модуль, напоминающий, к примеру, “таблетку” от домофона. Взаимодействие с устройством происходит по беспроводному протоколу NFC или подобному. Плюсы способа таковы:
  • Абсолютная стойкость к внешним атакам. У хакеров нет доступа к закрытому ключу, так что они не смогут успешно завершить аутентификационную процедуру.
  • Устойчивость к фишингу. Этот способ, позволяющий хакерам перехватывать обычные пароли, совершенно бесполезен против физических ключей.
  • Универсальность. Ключи совместимы со множеством сайтов и приложений, причем их список постоянно пополняется.
Основной минус – необходимость постоянного ношения с собой физического устройства. Оно компактно, но это накладывает определенные неудобства. Относиться к нему нужно так же бережно и ответственно, как к ключам от квартиры или брелоку автомобильной сигнализации.

Push-уведомления

Такая схема часто используется в банковских приложениях. Клиент пытается войти в учетную запись на компьютере, вводит имя и пароль, но система дополнительно требует код из уведомления, отправленного через приложение для смартфона. Способ быстр и надежен, но требует доступа к смартфону и хорошего сетевого соединения. При отсутствии Интернета уведомление просто не будет доставлено.
Родственной является схема доставки кода в виде короткого текстового сообщения, SMS. Она несколько уступает по надежности, так как SMS передается в обычном, а не зашифрованном виде, но не накладывает жестких требований к сигналу сети. Сообщение проходит даже в ситуации, когда загрузить push не удается. Также оно подойдет для старых кнопочных телефонов, на которые невозможно установить приложения.

Рекомендации по выбору

Чтобы в полной мере раскрыть достоинства многофакторной авторизации, сократить число недостатков, нужно ответственно отнестись к подбору технологии. Для социальных сетей и приложений важен баланс между удобством и надежностью. Оптимальная комбинация – основной пароль и одноразовый код, отправленный в формате текстового сообщения или push-уведомления.
Общее правило для критически важных сервисов, баз данных, банковских систем – “защиты много не бывает”. Следует использовать максимально доступные комбинации, аппаратные и программные средства, физические ключи, одноразовые коды, биометрию.
Перед окончательным внедрением рекомендуется проверить систему в тестовом режиме, получить обратную связь от пользователей. Это поможет оперативно внести коррективы в настройки, исключить сбои, добиться максимального удобства и эффективности.

Подведение итогов

Общие достоинства многофакторной аутентификации таковы:
  • Снижение опасности кражи, потери конфиденциальных и других данных, их попадания в руки злоумышленников.
  • Соблюдение требований законодательства. Они установлены для наиболее ответственных сфер и систем, например, банковских или административных структур, где хранятся персональные, финансовые сведения.
  • Удобство. Существуют методы многофакторной аутентификации, не требующие сложных манипуляций.
  • Укрепление статуса и авторитета организации. Компании, уделяющие должное внимание безопасности данных, пользуются клиентским доверием, количество их пользователей стабильно растет.
Подводные камни следует рассматривать в привязке к конкретной технологии аутентификации. Одни требуют использования вспомогательных технических средств, другие – стабильного соединения с Интернетом, третьи – не слишком удобны для пользователя, требуют сложных дополнительных действий.
Несмотря на указанные минусы, впрочем, внедрение многофакторной аутентификации – правильное решение как для организации, желающей повысить уровень информационной безопасности, так и для простого пользователя. Даже в простейших формах она многократно снижает риск кражи данных.