В современном информационном веке безопасность цифровых данных играет очень важную роль. С появление новых программных и аппаратных защитных систем злоумышленники изобретают новые способы кражи данных, а частота хакерских атак только растет. В данном материале рассмотрим один из способов улучшить защиту персональных данных и аккаунтов, поговорим о том, что такое двухфакторная аутентификация, для чего она нужна и как ею воспользоваться для обеспечения безопасности конфиденциальной информации.
Двухэтапная аутентификация представляет собой процесс идентификации пользователя, в котором предусмотрено предоставление двух разных типов данных, что делает вход в аккаунт более безопасным. Двойная аутентификация обеспечивает более высокий уровень защиты не только пользовательских учетных записей, но и ресурсов, к которым клиент может получить доступ. Методы однофакторной проверки подлинности (SFA) являются более уязвимыми для злоумышленников, так как их реализация предусматривает исключительно использование привычного пароля или секретного кода.
Механизм 2FA предусматривает второй фактор защиты, который позволит сохранить пользовательскую информацию в безопасности даже в случае, если основной пароль будет скомпрометирован. К такому фактору относятся:
сканирование лица;
отпечатки пальцев;
оптическая биометрия глаза;
дополнительный токен безопасности.
Таким образом существенно усложняется возможность проникновения злоумышленников, использовавших схемы фишинга или взломавших базу данных, завладев паролями пользователей, в онлайн-аккаунт человека.
Существует несколько методов проверки подлинности учетных данных. На сегодняшний день в большинстве случаев для входа в аккаунт используются только традиционные логин и пароль. Технология 2FA добавляет несколько факторов верификации. Рассмотрим более подробно основные из них:
Фактор неотъемлемости (биометрический). Представляет собой данные, которыми владеет исключительно конкретный пользователь. Сюда относятся личные атрибуты, связанные с физическими особенностями: отпечатки пальцев, особенности лица и голоса, оптическая биометрия, поведенческие факторы, в частности, скорость нажатия клавиш, речевые паттерны, походка.
Фактор владения. Личное имущество пользователя. Например, это могут быть личные документы, специальные программные средства для смартфонов, мобильные устройства, токены безопасности. Все это может быть использовано для подтверждения подлинности запроса на вход в аккаунт.
Местоположение. Система двухфакторной аутентификации может включать в себя анализ местоположения устройства, с которого отправляется запрос на вход. Например, человек может ограничить доступ к собственным данным из определенного региона. Для отслеживания географического положения используются различные варианты, включая IP-адрес устройства, использование глобальной системы позиционирования GPS, информация от сотового оператора связи и др.
Фактор знания. Сюда можно отнести информацию, которую знает человек. В частности, идентификационный номер PIN, пароль, включающий в себя цифры, буквы и специальные символы, графический ключ и т.п.
Временной фактор. Ограничивает доступ к данным в зависимости от конкретного времени суток. Пользователь настраивает временное окно, на протяжении которого возможно получить доступ к аккаунту.
Современные поставщики онлайн-услуг чаще всего ограничиваются предоставлением факторов владения, знания и неотъемлемости в качестве второго этапа аутентификации. Как подключить двухфакторную аутентификацию с использованием вышеописанных методов, необходимо узнавать у конкретного провайдера. Для обеспечения максимальной защиты учетных записей можно использовать многофакторную проверку подлинности (MFA), которая включает в себя сразу несколько методов.
Чтобы понять как включить двухфакторную аутентификацию или проверить включена ли она, необходимо проанализировать конкретное программное обеспечение или условия поставщика. Тем не менее процесс проверки происходит одинаково пошагово. Двухфакторная аутентификация включает в себя следующие этапы:
Предложение войти в систему путем ввода традиционных логина и пароля.
Введенная информация отправляется на сервер, который ищет совпадение в базе данных. Если совпадение не было найдено, процесс прерывается. В противном случае наступает следующий этап.
Инициация второго шага проверки. Он может выглядеть по-разному, в зависимости от выбранного фактора верификации. Например, пользователю может быть предложено сканирование лица, отпечатка пальца, ввод дополнительного графического ключа или пароля с целью подтвердить свою личность.
В случае валидности отправленных на сервер данных, осуществляется вход в аккаунт, доступ к веб-сайту или приложению.
Реализовать технологию 2FA можно различными способами, начиная от программного обеспечения мобильных устройств, заканчивая картами и жетонами для идентификации с использованием определенных радиочастот. Рассмотрим основные составляющие реализации двойной проверки:
Токены. Могут быть как аппаратными, так и цифровыми. К аппаратным токенам относятся смарт-карты и брелоки. Цифровые токены существуют в виде десктопных и мобильных приложений, основная функция которых заключается в генерации одноразовых паролей проверки подлинности (OTP). Это последовательности символов, в которой может быть зашифрована информация о конкретной учетной записи и устройстве. Для обеспечения высокого уровня защиты они используются единоразово. На каждый новый запрос проверки данных генерируется новый OTP.
Программное обеспечение или инфраструктура, задачей которых является непосредственное распознавание и аутентификация пользователей, правильно использовавших собственные токены.
Внедрение технологии в организации требует развертывания специальных систем для приема, обработки и верификации информации, предоставленной пользователем. На основании этой информации принимается решение о разрешении или запрете предоставления доступа. Такие системы могут представлять собой собственный выделенный сервер с соответствующим ПО или услугу, предоставленную сторонними провайдерами.
Стоит также отметить, что задача 2FA состоит в том, чтобы предоставить доступ только к тем ресурсам, для которых одобрен. Поэтому реализация технологии предусматривает связывание системы аутентификации с конкретными корпоративными данными. Для поддержки 2FA в популярной операционной системе Windows 10 существует специальная инфраструктура, разработанная и поставляемая компанией Microsoft. Она работает с учетными данными Microsoft с использованием Windows Hello и позволяет проверять данные пользователей через Fast IDentity Online, Azure AD или Microsoft Active Directory.
Для окончательного понимания, что такое двойная аутентификация, а что ею не является, необходимо подчеркнуть, что проверка подлинности в два этапа — это частный случай MFA, то есть многофакторной проверки. Однако стоит отметить, что применение двух одинаковых методов верификации не является двойной аутентификацией по определению. Например, использование PIN-кода и пароля относится к форме SFA. Несмотря на то, что проверка происходит в два этапа, в этом процессе используется один и тот же фактор — фактор знания.
Основной проблемой использования логина и пароля является человеческий фактор. Как правило, запоминание сложных паролей, включающих в себя буквы разных регистров, специальные символы и цифры, требует немало времени и усердия. Низкая безопасность использования паролей заключается в небрежном их хранении, например, информация для входа в аккаунт может остаться на старых HDD, бумажных стикерах и т.п.
Технология 2FA позволяет избавиться от большинства недостатков стандартной реализации проверки учетных данных. Однако стоит учитывать, что ни одна система не является на 100% безопасной. Злоумышленник может завладеть личной информацией, включая отпечатки пальцев, документы, смартфон и пр. Поэтому, для максимальной защиты личных данных необходимо соблюдать все стандартные требования цифровой безопасности.