немного о 2fa: двухфакторная аутентификация / хабр

Двухфакторная аутентификация – что это такое и зачем она нужна?

Двухфакторная аутентификация (2FA) – это наиболее распространенный вид многофакторной аутентификации, при котором для входа в личный аккаунт любого сервиса или для подтверждения какой-либо операции необходимо пройти 2 этапа идентификации личности (обычно первый этап – это ввод своего личного пароля, а второй – дополнительный этап идентификации с помощью специальных приложений, или ввода пароля из Email или SMS сообщения).

На заметку: двухфакторную аутентификацию довольно часто называют – двухэтапной верификацией личности.

На многих сайтах в настройках аккаунта (в разделе «Безопасность») не редко можно встретить несколько вариантов подключения 2FA, среди которых можно самостоятельно выбрать наиболее удобный для себя вариант.

Что ждет 2fa

Методам защиты, основанным на методиках многофакторной аутентификации, сегодня доверяет большое число компаний, среди которых организации из сферы высоких технологий, финансового и страхового секторов рынка, крупные банковские учреждения и предприятия госсектора, независимые экспертные организации, а также исследовательские фирмы.

Оберхайд отмечает, что многие пользователи, которые скептически относились к двухфакторной аутентификации, очень скоро обнаруживали, что здесь все не так сложно. Сегодня 2FA переживает настоящий бум, а любую популярную технологию гораздо проще совершенствовать. Несмотря на наличие сложностей, её ждет светлое будущее.

P.S. Кстати, совсем недавно мы внедрили двухфакторную аутентификацию, чтобы повысить безопасность личного кабинета 1cloud. После активации данного метода для входа в панель управления пользователю нужно не только ввести адрес электронной почты и пароль, но и уникальный код, полученный по SMS.

Введение

Специалисты по информационной безопасности часто сталкиваются с вопросом об усилении защиты того или иного сервиса. При этом вопрос идентификации пользователя с последующим прохождением аутентификации играет немаловажную роль. Сегодня обычный пароль не защитит от хакеров.

Фишинговые атаки или вредоносные программы на компьютере с лёгкостью скомпрометируют учётные данные. Для усиления защиты аккаунтов чаще всего применяется двухфакторная аутентификация, которая использует сочетание привычного кодового слова с ещё одной дополнительной проверкой — например, посредством одноразового пароля (One-Time Password, OTP).

Что такое двухэтапная аутентификация?

С двухэтапной аутентификацией дело обстоит намного проще. Допустим, вы вводите пароль и получаете код подтверждения через SMS. Это два этапа, но один фактор — знание.

Например, двухэтапная аутентификация используется в Telegram. При авторизации на новом устройстве вы получаете код подтверждения в чате (если у вас есть доступ к аккаунту на другом устройстве) или через SMS. Это первый этап. После включения в настройках безопасности двухэтапной аутентификации появится ещё один шаг — ввод пароля, который вы сами придумали. Снова два шага, но один фактор — знание.

Что такое многофакторная аутентификация (mfa)?

Наша жизнь давно насыщена различными гаджетами, через которые мы общаемся с внешним миром, передаем информацию и получаем ее. Мы просыпаемся и засыпаем с смартфоном в руках, мы завтракаем с ноутбуком и с ним же ложимся спать после просмотра очередного фильма. Жизнь сместилась в цифровой мир.

Вы проверяете электронную почту, входите в аккаунты социальных сетей и вводите номер своей кредитной карты для оплаты новых покупок в Интернете. Каждый раз, когда мы обмениваемся конфиденциальными данными, такими как пароли, банковская информация или адрес проживания в Интернете, все чаще становится важным находить способы защиты в области кибербезопасности в Интернете и знать как обеспечить свою информационную безопасность .

Каждая из наших цифровых учетных записей подвержена риску взлома, поэтому важно добавить дополнительный уровень защиты с многофакторной аутентификацией (MFA).

Многофакторная аутентификация — это метод аутентификации (идентификации), который требует от пользователя представления двух или более доказательств личности, чтобы получить доступ и войти в свою учетную запись. И только после ввода всей этой необходимой информации, Вы получаете доступ в свой аккаунт. Это может быть номер телефона, адрес электронной почты или ответ на какой-то (известный только Вам) секретный вопрос.

Хотя MFA объединяет любое количество факторов аутентификации, наиболее распространенным из них является двухфакторная аутентификация (2FA). Необходимость в MFA также может быть вызвано неудачной идентификацией в 2FA или подозрительными действиями предполагаемой личности.

Это характерно для систем 2FA, способных переходить в MFA. Это может также потребоваться для обеспечения дополнительной безопасности при доступе к более важным файлам или конфиденциальным данным, таким как медицинские или финансовые записи. То есть обычная 2FA может давать доступ ко всем социальным сетям, например, а MFA к медицинским или финансовым Вашим данным.

Дополнительные уровни безопасности в процессе входа в систему могут обеспечить уверенность в том, что ваша личная информация останется защищенной и не попадет в чужие руки.

Cisco duo

Фактически является многофакторной авторизацией.

Облачная реализация центра управления. Включает возможность проводить оценку доверия пользователя. Входит в концепцию нулевого доверия (Zero Trust).

Решение проводит оценку риска устройства по различным критериям: версии браузера, операционные системы, включенные функции защиты, получение root-прав. При доступном интернет-соединении возможен способ авторизации через push-уведомления, в том числе и на умные часы.

Duo mobile (duo security)

Приложение Duo Mobile доступно для iOS и Android. Его отличительной особенностью является то, что оно работает полностью в режиме офлайн и поэтому может быть использовано там, где нет сотовой связи или Wi-Fi.

При наличии интернет-соединения Duo Mobile предлагает также аутентификацию с помощью пуш-сообщений. При каждом заходе на сервер пользователь немедленно получает запрос, который он может либо одобрить, либо запретить одним нажатием. Пуш-уведомления были добавлены в стремлении сделать процедуру двухфакторной аутентификации максимально простой: вместо того чтобы открывать приложение для генерации одноразовых паролей, искать код к нужному сервису, а потом вписывать 6 цифр в окно ввода, пользователю нужно только разблокировать смартфон и нажать на кнопку «Approve». Кроме того, приложение Duo Mobile позволяет получать пуш-уведомления и на смарт-часы, что очень удобно.

Рисунок 1. Интерфейс Duo Mobile

Duo Security предлагает специальный тарифный план «Personal». Он абсолютно бесплатен, но количество пользователей не должно превышать 10-ти. Поддерживаются добавление неограниченного числа интеграций и все доступные методы аутентификации.

С подробной информацией о продукте можно ознакомиться здесь.

Eset secure authentication (eset)

ESET Secure Authentication (на нашем ресурсе можно прочитать обзор версии 3.0) является полностью самостоятельным программным продуктом, предназначенным для корпоративного использования, и представляет собой набор отдельных модулей, организованных по клиент-серверному принципу.

Посредством API двухфакторная аутентификация через ESA внедряется в любые информационные системы, такие как веб‑порталы, CRM, различные бухгалтерские программные комплексы и т. д., а использование пакета SDK позволяет встраивать 2FA в собственное программное обеспечение.

Клиентская часть ESET Secure Authentication устанавливается на мобильные устройства под управлением популярных ОС, принимая пуш-уведомления и генерируя одноразовые пароли доступа.

Рисунок 2. Пример пуш‑сообщения, используемого для аутентификации пользователя на мобильном устройстве под управлением Android (слева) и iOS (справа)

С подробной информацией о продукте можно ознакомиться здесь.

Fortinetfortiauthenticator

Данное решение часто занимает высокие места в тестированиях и имеет много положительных отзывов.

Fortinet FortiAuthenticator прост в использовании и настройке, а техническая поддержка на высоком уровне. Решение поддерживает все современные типы токенов: физические, одноразовые пароли (One Time Password), собственное приложение iOS и Android, сторонние приложения (Google Authenticator и т. д.).

Разворачивается On-Premise в виде hardware-сервера или виртуальной машины.

Есть плагины для NGINX, благодаря которым решение удобно интегрируется с современными Web-ресурсами собственной разработки.

Gemalto safenet authentication service и safenet mobilepass (gemalto)

SafeNet Authentication Service обеспечивает надёжную аутентификацию с гибкими опциями, адаптированными к индивидуальным потребностям конкретной организации. Решение имеет полностью автоматизированное управление, широкую интеграционную экосистему, многоуровневую архитектуру, предлагает широкий выбор 2FA-методов и токенов, а также гарантирует безопасность на основе стандартов (FIPS 140-2, DSKPP).

В аутентификаторе доступны три режима синхронизации.

  • По событию: каждый раз при открытии приложения и его разблокировке MobilePASS формирует значение одноразового пароля, которое позволяет выполнить аутентификацию только для одной сессии.
  • По времени: то же, что в предыдущем случае, но ещё и в рамках заданного интервала (30 или 60 секунд). Если одноразовый пароль устарел, доступ к целевой системе будет отклонён.
  • Режим «запрос—ответ» (Challenge—Response): при попытке доступа к целевой системе будет формироваться строка, которая является «запросом». Пользователь после разблокировки приложения вводит этот запрос в MobilePASS , а далее приложение формирует «ответ», который будет являться значением одноразового пароля.

Рисунок3.ИнтерфейсGemalto SafeNet MobilePASS

Приложение MobilePASS может функционировать в онлайн- или офлайн-режиме. В первом случае доступна аутентификация с помощью пуш-уведомлений. Кроме того, программа предоставляет дополнительные механизмы защиты, такие как разблокировка мобильного приложения с использованием PIN-кода или посредством биометрии (отпечаток пальца, FaceID).

С подробной информацией о продукте можно ознакомиться здесь.

Jacarta authentication server (jas) оталаддинр.д.

Российское локальное решение, сертифицированное ФСТЭК.

Компания Аладдин Р. Д. уже зарекомендовала себя, как поставщика токенов авторизации широкого спектра с использованием системы централизованного управления. Их продукт по двухфакторной авторизации имеет уникальную разработку: использование одноразового QR-кода при добавлении пользователя в систему.

Решение не требует развертывания PKI-инфраструктуры.

One identity

Локальное решение, отличительной чертой которого является глубокая интеграция с Active Directory, что позволяет хранить учетные данные, роли и правила в AD, выполнять резервное копирование с применением текущих средств, используемых для AD и легко масштабировать инструмент с ростом AD.

Решение поддерживает все типы токенов, имеет SDK. Отличается простым интерфейсом и встроенным функционалом Help desk, для быстрого решения проблем и задач с токенами. Простая и удобная ценовая модель (лицензия по пользователям).

Лицензирование включает в себя все агенты, портал самообслуживания, 1 год технической поддержки. Стоимости поддержки токенов нет.

Оставьте свою почту, и мы отправим на нее сравнительную таблицу по 2FA

Сравнение 2FA

Protectimus smart (protectimus)

Protectimus SMART — программный токен, разработанный компанией Protectimus. Он подходит для смартфонов на базе операционных систем Android и iOS.

Основные функции:

  • Возможность выбора алгоритма генерации OTP (по счётчику, по времени, по ответу от сервера).
  • Дополнительная защита приложения с помощью PIN-кода.
  • Возможность выбора длины одноразового кода (6 или 8 символов).
  • Возможность создания нескольких токенов на одном устройстве.
  • Возможность установки приложения на смарт-часы под управлением Android.

Доступна также функция подписи данных (Confirm What You See, CWYS), которая защищает от таких современных хакерских угроз, как «автозалив» или «реплейсмент». Благодаря подключению функции CWYS при генерации OTP-пароля для финансовых транзакций используются не только секретный ключ, время или счётчик, но и основные данные перевода, такие как сумма, валюта, адресат и т. п. Таким образом, даже если пароль будет перехвачен, он окажется абсолютно бесполезным для хакера.

Рисунок 5. Интерфейс Protectimus SMART

Приложение Protectimus Smart поддерживает все три алгоритма генерации одноразовых паролей OATH — HOTP, TOTP и OCRA. Это делает программу универсальной. Она подходит как для работы с сервисом Protectimus, так и для любого другого стороннего 2FA-решения.

При желании Protectimus Smart дополнительно защищается PIN-кодом или отпечатком пальца. Также можно выбрать длину одноразового пароля — 6 или 8 символов (в зависимости от требований системы), использовать приложение на русском или английском языке, сделать бэкап для всех токенов.

С подробной информацией о продукте можно ознакомиться здесь.

Securid и rsa securid software token (rsa — the security division of emc)

Компания RSA Security (ныне — RSA, The Security Division of EMC) уже много лет предлагает собственное решение в области двухфакторной аутентификации. Технология RSA SecurID является кросс-платформенной.

Данное решение включает в себя три компонента:

Рисунок6.ИнтерфейсRSA SecurID Software Token

SecurID «из коробки» работает с более чем 350 партнёрскими продуктами, включая веб-серверы (Oracle Application Server, Microsoft IIS, Apache и др.), VPN и прочие сетевые устройства (Cisco, Check Point, Microsoft и др.), терминальные серверы (Citrix, Microsoft), операционные системы семейства Windows. Есть API, позволяющий встроить SecurID практически в любую систему.

С подробной информацией о продукте можно ознакомиться здесь.

Silverfort

Решение помогает легко реализовать концепцию нулевого доверия для IoT-устройств, файловых ресурсов, гипервизоров и т. д., там, где другие из коробки не заработают.

Silverfort работает на основе оценки уровня риска. Самообучаемые модели ИИ. Не требует прокси серверов или агентов. 2FA, например, для PsExec и PowerShell.

On-premise решение в виде виртуальной машины. Интуитивно понятный, стильный интерфейс центра управления.

Twilio authy 2-factor authentication (authy)

Authy — частная компания, которая предоставляет услуги по усилению систем безопасности. У одноимённого приложения много преимуществ: Twilio Authy 2-Factor Authentication выгодно отличается облачным резервным копированием учётных записей, работой со множеством сервисов, полноценным офлайн-режимом.

Основные функции Twilio Authy:

  • Защищённое облачное хранилище для резервного копирования учётных записей.
  • Мультисинхронизация.
  • Офлайн-режим.
  • Поддержка всех популярных сервисов.
  • Работа с криптовалютными кошельками.

Рисунок7.ИнтерфейсTwilio Authy 2-Factor Authentication

С подробной информацией о продукте можно ознакомиться здесь.

Адаптивная аутентификация

Более современные факторы аутентификации учитывают контекст поведения входа в систему.

Например, система может распознать, что хакер выполняет вход из странного места за тысячи миль, или заметить, что новое устройство пытается получить доступ к вашей учетной записи. Система также учитывает время попытки входа в систему и тип сети, к которой вы обращаетесь.

Адаптивная аутентификация использует искусственный интеллект и машинное обучение, чтобы заметить любые странные действия (поведение) в вашей учетной записи. Любое необычное, не стандартное поведение (вход в систему с нового места или в уникальное время суток) заставит систему активизировать дополнительные проверки, такие как идентификационный код человека или коды с электронной почты.

Со временем адаптивная аутентификация изучит все возможные шаблоны поведения пользователя и в конечном итоге перестанет требовать проверку своей личности, если они начнут часто посещать новое местоположение или все больше и больше использовать новое устройство. То есть система самообучаемая.

Аппаратные токены (устройства)

Хотя предыдущие три типа MFA были виртуальными, аппаратный токен является физическим. Этот способ идентификации считается одним из самых безопасных методов MFA, но и более дорогим.

Многие компании будут предлагать аппаратные токены своим наиболее ценным пользователям и клиентам, чтобы сохранить их в качестве постоянных. Как правило, аппаратный токен является лучшим вариантом для защиты таких вещей, как банковская информация, страховка или информация о финансах и инвестициях.

Пользователи вставляют токен в устройство или компьютер для доступа к информации. Это может быть доступ к информации на мобильном устройстве. В этом случае им может понадобиться «ключ» USB.

Единственный недостаток — вы должны следить за тем, где находится токен. И если вы потеряли его или забыли его дома, вы не сможете получить доступ к своим учетным записям. То есть Вы крайне сильно привязаны к физическому объекту.

Безопасность mfa

Насколько безопасна многофакторная аутентификация? Безопасность в конечном итоге зависит от вашей настойчивости. Если вы готовы потратить время на ввод нескольких факторов аутентификации для доступа к своей учетной записи, вы можете потерять несколько минут своего дня, но в долгосрочной перспективе вы будете намного лучше защищены.

Кроме того, хитрые пароли (особенно разнообразные хитрые пароли) — ваш лучший выбор, когда речь заходит о безопасности аккаунта. Если вы хотите улучшить свой процесс MFA, вы можете выполнить одно из следующих действий:

  • — Попросите свой банк внедрить многофакторную аутентификацию.
  • — Старайтесь избегать аутентификации вашей личности с помощью социальной проверки, так как они подвергаются наибольшему риску взлома. Не идентифицируйтесь по возможности на сайтах через социальные сети.
  • — Изучите какие методы MFA для Вас будут более комфортны.

Достижение 100% гарантии безопасности никогда не произойдет, но если вы будете настойчивы в своей онлайн-безопасности, даже самые умные хакеры не смогут украсть вашу личную информацию.

Биометрическая проверка

Биометрическая проверка может быть разной, от идентификации отпечатков пальцев до распознавания лица. Пользователи со смарт-устройствами или компьютерами могут воспользоваться этой технологией для дальнейшего усиления своей онлайн-защиты. Использование биометрической проверки обычно менее хлопотно, чем одноразовый пароль, и может сделать МФА быстрее и проще.

Виды двухфакторной аутентификации

На данный момент существует много разнообразных способов удостоверения личности с помощью 2FA:

  • Одноразовые пароли на бумаге (распечатываемый набор кодов).
  • Отправка временного кода на адрес электронной почты.
  • Отправка одноразового пароля по SMS.
  • OTP-токены (аппаратные генераторы одноразовых паролей).
  • 2FA-программы (приложения класса Authenticator).

Одноразовые пароли на бумаге, как правило, используют онлайн-банки. Можно, например, получить в офисе кредитной организации карточку со стираемым покрытием поверх полей с кодами или просто распечатать набор паролей в банкомате, а система дистанционного обслуживания (ДБО) при аутентификации на сайте будет просить ввести одноразовый набор символов под определённым номером.

Виды технологий двухфакторной аутентификации

Пароль SMS – один из самых простых видов двухфакторки. Стоит помнить, что данный тип имеет высокие риски. СМС сообщения не шифруются, а телефон можно потерять.

Вопросы безопасности (секретные вопросы)

Я думаю каждый из нас не раз сталкивался с секретными вопросами безопасности. Чаще всего это происходит в банках и финансовых структурах, как одна из проверок Вас как личности. В этом случае Вам надо придумать (или принять один из предложенных вариантов) некоторый вопрос, ответ на который будет записан в Ваше личное дело.

Два лучше, чем один ( а три еще лучще)

В следующий раз, когда вы зарегистрируете учетную запись, убедитесь, что у вас есть дополнительные несколько минут, чтобы настроить MFA и защитить все ваши конфиденциальные данные.

Для чего нужна двухфакторная аутентификация?

2FA требуется для защиты данных с помощью двух элементов или этапов:

Другие примеры многофакторной аутентификации:

  • — Сканирование сетчатки или радужной оболочки
  • — Одноразовые коды приложений для смартфонов
  • — Поведенческий анализ
  • — USB-устройства, значки, другие физические устройства

Чем больше типов многофакторной аутентификации вы внедрили, тем безопаснее становятся ваши конфиденциальные данные. Даже если у хакера есть доступ к двум из трех типов, он все равно не сможет идти дальше, и ваш процесс MFA будет успешным.

Зачем использовать многофакторную аутентификацию?

Хотя некоторые считают, что этот процесс является незначительным неудобством или его настройка занимает слишком много времени, в долгосрочной перспективе стоит задуматься о более высоком уровне безопасности. В 2022 году во всем мире было взломано около одного миллиарда учетных записей.

Конечная цель MFA — создать линию защиты между вашей информацией и хакерами. Сами сайты, к которым Вы подключаетесь значительно затрудняют доступ посторонних лиц. И даже если они могут знать ваш пароль, они не смогут воссоздать второй фактор аутентификации (ваш отпечаток пальца, текстовый код или ответ на секретный вопрос).

В прошлом в системах MFA применялась только двухфакторная аутентификация, но с ростом числа кибератак пользователи начали активно использовать двух и более факторов для дополнительных уровней защиты. Хотя мы не можем предотвратить все онлайн-преступления, принятие таких простых мер, как использование 2FA или MFA, может значительно снизить вероятность взлома.

Если МФА доступен, вы должны использовать его, особенно когда речь идет о вашей наиболее конфиденциальной информации, такой как ваши финансовые счета, медицинские записи и ваш основной адрес электронной почты.

Защищаем беспроводную сеть

В различных моделях названия меню и подменю могут отличаться. Для начала нужно зайти в меню роутера и выбрать настройку беспроводной сети Wi-Fi. Указываем имя сети. Его будут видеть все беспроводные устройства, которые необходимо подключить к прибору.

Далее нам необходимо выбрать один из методов шифрования, список которых приведён выше. Мы рекомендуем эксплуатировать WPA2-PSK. Указанный режим является одним из самых надёжных и универсальных. В соответствующем поле нужно вписать придуманный вами ключ.

Он будет использоваться для подключения к беспроводной сети девайса вашими устройствами (смартфонами, ноутбуками, планшетами и другими гаджетами). После того как все вышеперечисленные действия будут выполнены, беспроводная сеть будет полностью защищена от несанкционированного подключения к ней. Никто не сможет пользоваться вашим трафиком, не зная пароля аутентификации.

Чтобы устанавливаемый пароль смог максимально защитить вашу сеть от несанкционированного подключения, он должен состоять из достаточно большого количества символов. Рекомендуется использовать не только цифры, но и буквы верхнего и нижнего регистров.

Как можно подтвердить свою личность?

Большинство приложений и сервисов предлагают пользователю на выбор такие варианты двойной аутентификации:

Как подключить двухфакторную аутентификацию в «яндексе»

Чтобы подключить двухфакторную аутентификацию в сервисах «Яндекса», обязательно нужно приложение «Яндекс.Ключ». Это же приложение можно использовать для входа в любые другие сервисы, поддерживающие подтверждение входа через приложения-аутентификаторы.

Как подключить двухфакторную аутентификацию в google

Настроить подтверждение входа в почте и других сервисах Google можно на странице аккаунта. Процесс настройки здесь чуть сложнее, чем в других сервисах. В первую очередь нужно подтвердить, что это действительно ваш аккаунт, введя свой пароль и подтвердив вход (можно сделать это, просто нажав «да» на выбранном устройстве, либо выбрав другой способ).

Дальше необходимо выбрать способ, которым вы будете получать коды в дальнейшем: SMS, звонок, резервные коды.

Дальше нужно убедиться, что выбранный способ аутентификации работает.

Подтвердите, что вы действительно хотите подключить эту функцию.

Как подключить двухфакторную аутентификацию во «вконтакте»

Зайдите в «Настройки» → Во вкладке «Безопасность» выберите «Подтверждение входа» → «Подключить». Дальше нужно будет ввести свой пароль, ввести последние цифры номера, с которого на ваш телефон поступит звонок, и функция подтверждения входа будет подключена.

Зайдите в «Настройки» (в приложении они находятся в меню в нижней части экрана) → выберите «Управление аккаунтом VK Connect» → «Безопасность и вход» → «Подтверждение входа».

Далее, как и в полной версии, выбираете способ подтверждения входа и восстановления доступа.

Как работают 2fa-приложения

Программы для двухфакторной аутентификации устроены очень просто. Вот что понадобится сделать пользователю:

  • установить на смартфон само приложение,
  • зайти в настройки безопасности сервиса, который в числе вариантов двухфакторной аутентификации предлагает использовать такие программы, и выбрать соответствующую опцию,
  • отсканировать QR-код, который отобразится в сервисе, с помощью 2FA-приложения.

После этого программа начинает периодически (например, каждые 30 секунд) создавать новый одноразовый код. Пароли формируются на основе ключа, который известен только ей и серверу, а также текущего времени, округлённого до 30 секунд. Поскольку обе составляющие одинаковы и у клиента, и у сервиса, коды генерируются синхронно.

Также существует альтернатива — алгоритм OATH HOTP (HMAC-based One-Time Password). В нём вместо текущего времени используется счётчик, увеличивающийся на 1 при каждом новом созданном коде. Но этот алгоритм редко встречается на практике, поскольку при его использовании гораздо сложнее обеспечить синхронное создание кодов на стороне сервиса и приложения. Проще говоря, есть немалый риск, что в один неподходящий момент счётчик собьётся и ваш одноразовый пароль не сработает.

Таким образом, можно считать OATH TOTP де-факто индустриальным стандартом (хотя формально он таковым не является, на чём создатели алгоритма очень настаивают в его описании).

Выбор 2FA-приложений на удивление велик, однако стоит выбирать программы, созданные крупными и проверенными разработчиками, т. к. применение малоизвестных приложений может быть попросту небезопасным и привести, например, к утечке тех же одноразовых токенов.

Далее в статье будет дан обзор популярных коммерческих (т. е. не бесплатных) решений для двухфакторной аутентификации, а также проведено их сравнение.

Каковы факторы аутентификации?

Фактор аутентификации — это категория учетных данных для идентификации во время проверки. Когда эти факторы используются в MFA, каждый дополнительный фактор увеличивает уверенность в том, что лицо, пытающееся получить доступ к учетной записи, является тем, кем оно о себе заявляет.

Какую сетевую идентификацию выбрать

Многие задумываются над тем, какую сетевую идентификацию выбрать, ведь их существует несколько типов. Для начала нужно определиться с любой из них. На основе полученных сведений каждый решает самостоятельно, на каком варианте остановиться. Одним из самых новых стандартов сетевой аутентификации является IEEE 802.1х.

Он получил широкую поддержку практически у всех девелоперов оборудования и разработчиков программного обеспечения. Этот стандарт поддерживает 2 метода аутентификации: открытую и с использованием пароля (ключа). В случае с открытым методом одна станция может подключиться к другой без необходимости авторизации.

  • WEP;
  • WPA-персональная;
  • WPA2-персональная.

Наиболее подходящий вариант можно установить на любом роутере.

Коды с электронной почты

Эти коды будут отправлены пользователю, запрашивающему доступ по электронной почте. Получение кода по электронной почте является одним из наиболее распространенных типов MFA и может быть хорошим вариантом, если ваш телефон потерян, украден или просто находится в другом недоступном месте.

Мультифактор

Российское облачное решение. Базируется в дата-центре DataLine. Классная возможность работы с мессенджером Telegram.

Среди других решений, пожалуй, одно из самых «дружелюбных» к интеграции со вторыми факторами, токенами, приложениями, touch ID ноутбука.

Присутствует замена стандартного входа с помощью компонента Windows Logon. Легкая самостоятельная настройка второго фактора аутентификации пользователями через браузер, что позволяет быстро внедрить защиту постфактум, например из-за перевода на удаленную работу.

Насколько надежна двухфакторная аутентификация

Это хороший вопрос. 2FA не является непроницаемой для злоумышленников, однако она серьезно усложняет им жизнь. «Используя 2FA вы исключаете достаточно крупную категорию атак», –

Джим Фентон (Jim Fenton), директор по безопасности OneID. Чтобы взломать двухфакторную аутентификацию «плохим парням» придется украсть ваши отпечатки или получить доступ к cookie-файлам или кодам, сгенерированным токенами.

Последнего можно добиться, например, с помощью фишинговых атак или вредоносного программного обеспечения. Есть еще один необычный способ: доступ к аккаунту журналиста Wired Мэтта Хоннана (Matt Honnan) злоумышленники получили с помощью функции восстановления аккаунта.

Восстановление аккаунта выступает в качестве инструмента для обхода двухфакторной аутентификации. Фентон, после истории с Мэттом, лично создал аккаунт в Google, активировал 2FA и притворился, что «потерял» данные для входа. «Восстановление аккаунта заняло некоторое время, но через три дня я получил письмо, что 2FA была отключена», – отмечает Фентон. Однако и у этой проблемы есть решения. По крайней мере, над ними работают.

«Я считаю, что биометрия – это один из таких способов, – говорит технический директор Duo Security Джон Оберхайд (Jon Oberheide). – Если я потеряю свой телефон, то чтобы восстановить все аккаунты мне не хватит вечности. Если бы существовал хороший биотметрический метод, то он бы стал надежным и полезным механизмом восстановления». По сути, Джон предлагает использовать одну форму 2FA для аутентификации, а другую – для восстановления.

Обзор решений двухфакторной авторизации для бизнеса

Рынок многофакторной аутентификации не маленький, команда Cloud Networks решала разные задачи и готова поделиться опытом. Стоит рассмотреть продукты для разных компаний (от SMB до Enterprise), способные качественно повысить уровень защиты:

  • Fortinet FortiAuthenticator
  • ESET Secure Authentication
  • Cisco DUO
  • Silverfort
  • Мультифактор
  • JaCarta Authentication Server (JAS) от Аладдин Р.Д.
  • One Identity

Плюсы

  • Многократно повышают безопасность ваших данных и аккаунтов.
  • Просты в использовании.
  • В 95% случаев бесплатны.
  • В некоторых случая можно использовать одинаковый пароль на различных сайтах (на своё усмотрение), при этом злоумышленники не смогут получить доступ к аккаунту, так как не смогут пройти второй этап верификации.

Преимущества многофакторной аутентификации

В настоящее время люди ожидают, что многофакторная аутентификация будет частью любой настройки учетной записи. Сейчас она внедряется как базовый элемент безопасности.

  • MFA обеспечивает более высокий уровень защиты, чем просто имя пользователя и пароль.
  • — Пользователи и клиенты могут чувствовать себя более ценными компаниями, которые используют MFA.
  • — MFA может подключаться с помощью программного обеспечения единого входа и предоставлять пользователям более простой и безопасный процесс входа в систему.

Сегодня становится все опаснее хранить конфиденциальную информацию в Интернете или даже в облаке. Рост количества использования многофакторной аутентификации облегчает жизнь и компаний и обычных людей, а также значительно усиливает общую защиту от хакерских атак

Если вы готовы найти идеальное решение для обеспечения безопасности вашей информации, посмотрите лучшие инструменты многофакторной аутентификации на G2.

Примеры вопросов:

  • — Как звали Вашего первого питомца?
  • — На какой улице Вы выросли (родился)?
  • — Какая девичья фамилия вашей матери?
  • — Какая у Вас была кличка в детстве?

При входе в свою учетную запись вы вводите свое имя пользователя и пароль, а затем вас попросят дать ответ на секретный вопрос. Более сильные версии секретных вопросов (так называемые динамические вопросы) создаются в режиме реального времени на основе таких записей в истории, как последние транзакции и кредитная история.

Надо понимать, что MFA довольно защищенный способ, но если хакер фокусируется на Вас, он может проанализировать все ваши социальные сети и найденный контент о Вас и попытаться собрать все данные, которые могли бы касаться перечня вопросов выше.

Решения двухфакторной аутентификации для бизнеса

Любая организация хочет самое надежное, удобное и непревзойденное решение для обеспечения информационной безопасности. Но для разных задач и условий необходимо свое решение. Там, где одно справляется хорошо, другое идеально.

Решения двухфакторной аутентификации для бизнеса можно встретить в виде отдельных инструментов, так и в составе таких классов решений, как IAM (Identity Access Management) или NGFW (Next Generation Firewall).

Опыт интегратора Cloud Networks показывает, что выбор всегда зависит от задач, требований и инфраструктурных особенностей. Различные кейсы внедрений показали нам, что самое главное – найти все нюансы инфраструктуры, предусмотреть развитие, учесть взаимосвязи. И тогда выбрать своё идеальное решение из различных 2FA становится проще простого.

Сравнение

Несмотря на то, что базовая функция у всех рассмотренных приложений — одна и та же (создание одноразовых паролей по стандартному алгоритму), некоторые продукты обладают дополнительными возможностями или особенностями. Представим их сопоставление в сравнительной таблице.

Таблица 1. Сравнение 2FA-приложений

Критерий / приложениеTwilio Authy 2-Factor AuthenticationDuo MobileESET Secure AuthenticationGemalto SafeNet MobilePASSMultifactorProtectimus SMARTRSA SecurID Software Token
АрхитектураОблачнаяОблачнаяOn-premiseОблачная и on-premiseОблачнаяОблачная и on-premiseОблачная и on-premise
Поддерживаемые платформыiOS, Android, macOS, Windows, LinuxiOS, AndroidiOS, AndroidiOS (10 или выше), Android (4.4 или выше), Windows 10iOS, AndroidiOS, AndroidiOS, Android, Windows, BlackBerry OS, macOS
Офлайн-режимДаДаДаДаДаДаНет
Пуш-уведомленияДаДаДаДаДаДаДа
Резервное копирование учётных записей в облакоДаДаНет (данные ESA автоматически добавляются в резервные копии Active Directory)НетДаВ разработкеДа
Язык интерфейсаАнглийскийАнглийскийАнглийскийАнглийскийРусскийРусский, английскийАнглийский
Защита приложенияPIN-код, отпечаток пальцаPIN-код, отпечаток пальцаPIN-код, отпечаток пальцаPIN-код, отпечаток пальца, FaceIDPIN-код и БиометрияPIN-код, отпечаток пальца (в разработке)PIN-код, отпечаток пальца

Текстовые токены

Текстовый токен идентичен коду электронной почты, только через другое средство связи. Получение текстовых токенов является простым вариантом реализации и может использоваться практически любым.

После ввода вашего имени пользователя и пароля на ваш телефон будет отправлен одноразовый пароль (OTP) в виде пин-кода. Номер действует как второй фактор аутентификации и вводится на следующей странице / экране.

Типы многофакторной аутентификации

Обычно при покупках в онлайн магазинах для доступа к своим аккаунтам, Вы используете 2-3 типа MFA, но на самом деле их существует намного больше. Давайте разберемся.

Как включить двухфакторную аутентификацию в кабинете unisender

1. На странице управления двухфакторной аутентификации, нажмите кнопку «Настроить».

2. На мобильном устройстве добавьте аккаунт UniSender в приложение Google Authenticator.

Как добавить аккаунт unisender в google authenticator:

Установите приложение Google Authenticator (iOS/Android) на мобильное устройство.

В приложении нажмите на кнопку добавления аккаунта (выберите один из двух вариантов: сканировать штрих код или ввести ключ)

  • Если вы выбрали «Сканировать штрихкод» — наведите камеру на код в кабинете UniSender.
  • Если вы выбрали «Ввести ключ» — введите название аккаунта (напр. «UniSender») и введите ключ, который указан на странице настроек двухфакторной аутентификации в кабинете UniSender.

Вы успешно добавили аккаунт UniSender в приложение Google Authenticator.

3. Введите шестизначный код из приложения Google Authenticator, и нажмите кнопку «Подключить».

Двухфакторная аутентификация успешно включена.

Как добавить аккаунт unisender в google authenticator:

Установите приложение Google Authenticator (iOS/Android) на мобильное устройство.

В приложении нажмите на кнопку добавления аккаунта (выберите один из двух вариантов: сканировать штрих код или ввести ключ)

  • Если вы выбрали «Сканировать штрихкод» — наведите камеру на код в кабинете UniSender.
  • Если вы выбрали «Ввести ключ» — введите название аккаунта (напр. «UniSender») и введите ключ, который указан на странице настроек двухфакторной аутентификации в кабинете UniSender.

Вы успешно добавили аккаунт UniSender в приложение Google Authenticator.

Выводы

Драйвером развития рынка двухфакторной аутентификации остаются риски несанкционированного доступа к данным и критически важным для бизнеса информационным системам.

2FA-приложения позволяют применять двухфакторную аутентификацию для входа в операционные системы Windows и Linux, в облачные сервисы, для доступа к VPN и к VDI-системам компаний.

С помощью 2FA-приложений можно нейтрализовать весьма крупную долю угроз, и выбор в пользу усиленной аутентификации оправдывает себя. Программы этого типа удобны и просты в применении для организации доступа к корпоративным ресурсам, к порталам и облачным сервисам.

Заключение

Решений много и все они по-своему хороши. Ключевыми факторами при выборе являются:

  • подробный анализ инфраструктуры,
  • поиск ключевых особенностей,
  • соответствие требованиям внутренних политик информационной безопасности компании.

И, конечно же, важно выбирать по функциональным критериям. Но не всегда есть время и ресурсы для того, чтобы тестировать несколько решений единовременно или подряд. Для удобства выбора мы составили сравнительную таблицу, в которой постарались отразить разносторонние критерии шести решений.

Похожее:  КУЗ ВО "ВОКЦМК" - информация об организации

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *