Разное

Two factor authentication что это: Что такое двухфакторная аутентификация (2fa)?

11.12.2022

Содержание

Что такое двухфакторная аутентификация (2fa)?

Что такое двухфакторная аутентификация?

Двухфакторная аутентификация или 2FA — это метод проверки личности пользователя, при котором два из трех возможных факторов аутентификации объединяются для предоставления доступа к веб-сайту или приложению: 1) что-то, что пользователь знает, 2) что-то, что есть у пользователя, или 3) что-то есть у пользователя.

Возможные факторы аутентификации:

  • Что-то, что знает пользователь:
    Часто это пароль, кодовая фраза, PIN-код или секретный вопрос. Чтобы выполнить эту задачу аутентификации, пользователь должен предоставить информацию, которая соответствует ответам, ранее предоставленным организации этим пользователем, например «Назовите город, в котором вы родились».
  • Что-то есть у пользователя:
    Это включает в себя ввод одноразовый пароль генерируется аппаратным аутентификатором. Пользователи носят с собой устройство аутентификации, которое по команде сгенерирует одноразовый пароль. Затем пользователи проходят аутентификацию, предоставляя этот код организации. Сегодня многие организации предлагают программные аутентификаторы, которые можно установить на мобильное устройство пользователя.
  • Что-то, что есть у пользователя:
    Этот третий фактор аутентификации требует, чтобы пользователь аутентифицировался с помощью биометрические данные . Это может включать сканирование отпечатков пальцев, сканирование лица, поведенческая биометрия , и больше.
  • В интернет-безопасности наиболее часто используемыми факторами аутентификации являются:
    что-то, что есть у пользователя (например, банковская карта), и что-то, что пользователь знает (например, PIN-код). Это двухфакторная аутентификация. Двухфакторную аутентификацию также иногда называют строгая аутентификация , Двухэтапная аутентификация или двухфакторная аутентификация.

Ключевое различие между Многофакторная аутентификация (MFA) а двухфакторная аутентификация (2FA) заключается в том, что, как подразумевает термин, двухфакторная аутентификация использует комбинацию двух из трех возможных факторов аутентификации, в то время как многофакторная аутентификация может использовать два или более из этих факторов аутентификации.

Где пароли не работают

Двухфакторная аутентификация стала необходимой и важной частью безопасности учетной записи, потому что из-за роста и развития киберпреступности пароли больше не являются надежными. После серии громких утечек данных за последние десять лет многие комбинации имени пользователя и пароля уже доступны для продажи в Dark Web. Организации больше не могут доверять тому, что простое знание правильного пароля достаточно надежно, чтобы позволить пользователю получить доступ к учетной записи.

Кроме того, существуют человеческие факторы и тенденции, которые способствуют тому, что пароли становятся уязвимой стратегией аутентификации:

  • Слабые пароли:
    Безопасность часто оказывается вне поля зрения обычного пользователя. Создается ложное впечатление, что как частное лицо они вряд ли станут целью киберпреступности. Это приводит к тому, что пользователи выбирают слабые пароли, такие как «love1234» или «11111».

  • Усталость паролей:
    По мере того как количество владельцев мобильных устройств продолжает расти, а компании продолжают усилия по цифровой трансформации, количество онлайн-аккаунтов, которые каждый пользователь должен помнить, также будет расти.
    Это увеличение количества имен пользователей и паролей приводит к тому, что пользователи повторяют один и тот же пароль в нескольких учетных записях.

Как работает двухфакторная аутентификация?

Когда вы войдете в свою учетную запись, вам будет предложено пройти аутентификацию с вашим именем пользователя и паролем. Это становится вашим первым фактором аутентификации.

Для второго фактора аутентификации вы можете использовать:

  • Одноразовый пароль или Одноразовый пароль (OTP) жетон
  • Текстовое сообщение с кодом подтверждения, отправленное на ваш личный номер телефона на мобильном устройстве (например, iPhone, Samsung, Google Pixel)
  • Специализированное мобильное приложение для аутентификации на смартфоне, такое как Google Authenticator (iOS и Android) или мобильный аутентификатор OneSpan.
  • USB или брелок (например, что-то у вас есть)

В сочетании с вашим именем пользователя и паролем в результате получается более сильный и устойчивый дополнительный уровень безопасности. Этот дополнительный шаг с помощью аппаратного токена или приложения для проверки подлинности не только представляет собой сложное препятствие для злоумышленников, но также снижает риск стать жертвой фишинговых атак, мошенничества и кражи личных данных.

Зачем мне нужна двухфакторная аутентификация?

Потому что одних только методов аутентификации, таких как пароли, просто недостаточно, чтобы остановить современные изощренные атаки.

Двухфакторная аутентификация обеспечивает дополнительный уровень безопасности, который затрудняет хакерам доступ к устройствам и онлайн-учетным записям человека для кражи личной информации. При включенной двухфакторной аутентификации, даже если хакер знает пароль жертвы, аутентификация все равно не удастся и предотвратит несанкционированный доступ.

Двухфакторная аутентификация также предоставляет организациям дополнительный уровень контроля доступа к конфиденциальным системам, онлайн-данным и учетным записям, защищая эти данные от взлома хакерами, вооруженными украденными паролями пользователей.

Очевидной и распространенной угрозой для потребителей является открытие злоумышленником новых учетных записей на имя жертвы и существенное снижение кредитного рейтинга. Это может иметь разрушительные последствия, поскольку кредитный рейтинг используется для определения наиболее значимых покупок, связанных с образом жизни, таких как автомобиль, ипотека и бизнес-кредит.

В общем, двухфакторная аутентификация может помочь снизить риск раскрытия информации в случае кражи пароля или взлома вашей учетной записи электронной почты.

Где я могу использовать двухфакторную аутентификацию?

Как правило, пользователи должны включать двухфакторную аутентификацию везде и везде, где она доступна. Ниже приведен список приложений, которые обычно поддерживают 2FA:

  • Онлайн банкинг
  • Интернет-магазины (Amazon, PayPal, Google Play)
  • Электронная почта (Gmail, Microsoft, Yahoo, Outlook)
  • Учетные записи облачного хранилища (Apple, Dropbox, Box)
  • Аккаунты в социальных сетях (Facebook, Instagram, LinkedIn, Tumblr, Twitter, Snapchat)
  • Приложения для повышения производительности (Evernote, Trello)
  • Менеджеры паролей (LastPass)
  • Приложения для общения (MailChimp, Skype, Slack)

Уязвимости двухфакторной аутентификации

Двухфакторную аутентификацию, как и все решения безопасности, могут обойти киберпреступники, но сделать это намного сложнее, чем с помощью имен пользователей и паролей. Чтобы обойти двухфакторную аутентификацию, злоумышленнику потребуется либо получить физический аппаратный аутентификатор токена, либо, в случае программных аутентификаторов, получить доступ к токенам, сгенерированным аутентификатором на устройстве. Злоумышленники добиваются этого одним из двух способов. Для каждого из них мы также включаем решение безопасности, предназначенное для предотвращения следующих типов атак:

  • Социальная инженерия / фишинг:
    Одна из самых больших уязвимостей любой системы безопасности — это люди, задействованные в ее эксплуатации. Социальная инженерия и фишинг — это схемы мошенничества, разработанные для эксплуатации человеческого фактора. Вызывая себя за надежную организацию или отдельное лицо в телефонном звонке, электронной почте или другом общении, фишеры пытаются обманом заставить пользователя раскрыть конфиденциальную информацию, которая позволит злоумышленнику обойти проблемы двухфакторной аутентификации.
    • Рекомендуемое решение: Cronto
  • Вредоносное ПО:
    Вредоносное ПО также может извлекать токен аутентификации с устройства различными способами. Например, вредоносная программа для кейлоггеров может отслеживать нажатия клавиш, вводимые пользователем, а затем удаленно передавать токен аутентификации злоумышленнику.
    • Рекомендуемое решение: Mobile Security Suite и / или Защита мобильных приложений

Как мне начать?

Двухфакторная аутентификация OneSpan использует технологию одноразового пароля для защиты входа в систему и обеспечения доступа только аутентифицированным пользователям. OneSpan предлагает полный спектр решений для аутентификации, в том числе:

  • Программная аутентификация
  • Мобильные аутентификаторы
  • Рассылка СМС
  • Аппаратная аутентификация
  • USB-аутентификаторы
  • Считыватели смарт-карт
  • Биометрическая аутентификация
  • Push-уведомление

Двухфакторная аутентификация: что это и зачем оно нужно?

Двухфакторная аутентификация — тема, которой мы так или иначе касаемся во многих наших постах. В прошлом году мы даже записали на эту тему целый подкаст. Однако ввиду возрастающего количества разных сервисов и все чаще случающихся атак на пользовательские аккаунты (как, например, перехваты контроля над учетными записями iCloud) мы решили посвятить этому виду аутентификации отдельную статью и рассказать о том, что это такое, как она работает и почему ее стоит использовать везде, где это возможно.

Что такое двухфакторная аутентификация?

Двухфакторная аутентификация — это метод идентификации пользователя в каком-либо сервисе (как правило, в Интернете) при помощи запроса аутентификационных данных двух разных типов, что обеспечивает двухслойную, а значит, более эффективную защиту аккаунта от несанкционированного проникновения. На практике это обычно выглядит так: первый рубеж — это логин и пароль, второй — специальный код, приходящий по SMS или электронной почте. Реже второй «слой» защиты запрашивает специальный USB-ключ или биометрические данные пользователя. В общем, суть подхода очень проста: чтобы куда-то попасть, нужно дважды подтвердить тот факт, что вы — это вы, причем при помощи двух «ключей», одним из которых вы владеете, а другой держите в памяти.

Двухфакторная аутентификация — это система доступа, основанная на двух «ключах»: одним вы владеете (телефон, на который приходит SMS с кодом), другой запоминаете (обычные логин и пароль).

Впрочем, двухфакторная защита не панацея от угона аккаунта, но достаточно надежный барьер, серьезно усложняющий злоумышленникам доступ к чужим данным и в какой-то степени нивелирующий недостатки классической парольной защиты. Ведь у паролей, на которых основано подавляющее большинство авторизационных механизмов в Интернете, есть неизбежные недостатки, которые фактически являются продолжением достоинств: короткие и простые пароли легко запомнить, но так же легко подобрать, а длинные и сложные трудно взломать, но и запомнить непросто. По этой причине многие люди используют довольно тривиальные пароли, причем сразу во многих местах. Второй фактор в подобных случаях оказывается крайне полезен, поскольку, даже если пароль был скомпрометирован, злоумышленнику придется или раздобыть мобильник жертвы, или угнать ее почтовый ящик.

Несмотря на многочисленные попытки современного человечества заменить пароли чем-то поинтереснее, полностью избавиться от этой привычной всем парадигмы оказалось не так просто, так что двухфакторную аутентификацию можно считать одним из самых надежных механизмов защиты на сегодняшний день. Кстати, этот метод удобен еще и тем, что способен предупреждать хозяина аккаунта о попытке взлома: если на ваш телефон или почту вдруг приходит сообщение с одноразовым кодом при том, что вы никаких попыток логина не предпринимали, значит, вас пытаются взломать — самое время менять оказавшийся ненадежным пароль!

Где можно включить двухфакторную аутентификацию?

Ответом на этот вопрос может служить простое правило: если используемый вами сервис содержит важные для вас данные и позволяет включить двухфакторную аутентификацию, активируйте ее не раздумывая! Вот, скажем, какой-нибудь Pinterest. Ну, не знаю… Если бы у меня был аккаунт в этом сервисе, я бы вряд ли захотел каждый раз проходить долгую процедуру двухслойной авторизации. А вот интернет-банкинг, аккаунты в соцсетях, учетка в iCloud, почтовые ящики и особенно ваши служебные учетные записи — все это однозначно стоит защитить двухфакторной аутентификацией. Сервисы Google, Apple и все основные социальные сети позволяют это сделать в настройках без особого труда.

Двухфакторная аутентификация — один из лучших методов защиты ваших аккаунтов #security

Tweet

К слову, если у вас есть свой сайт, скажем, на базе WordPress или другой подобной платформе, включить в настройках двухфакторную защиту тоже не будет лишним. В общем, повторюсь: если аккаунт и его содержимое вам дороги, не игнорируйте возможность усилить защиту.

Какие еще существуют виды двухфакторной аутентификации?

Выше я уже упомянул рассылку специального кода в виде SMS и email-сообщений и USB-ключи и смарт-карты, используемые преимущественно для доступа к некоторым видам интернет-ресурсов и VPN-сетям. Кроме того, существуют еще генераторы кодов (в виде брелока с кнопкой и небольшим экранчиком), технология SecureID и некоторые другие специфические методы, характерные в основном для корпоративного сектора.

Есть и менее современные интерпретации: например, так называемые TAN-пароли (TAN, Transaction Authentication Number — аутентификационный номер транзакции). Возможно, вы даже сталкивались с ними, если были клиентом какого-нибудь не самого прогрессивного банка: при подключении интернет-банкинга клиенту выдавалась бумажка с заранее сформированным списком одноразовых паролей, которые вводятся один за другим при каждом входе в систему и/или совершении транзакции. Кстати, ваша банковская карта и PIN тоже формируют систему двухфакторной аутентификации: карточка — «ключ», которым вы владеете, а PIN-код к ней — «ключ», который вы запоминаете.

Как я уже упомянул выше, существует и биометрический способ идентификации пользователя, который часто выступает в роли вторичного фактора защиты: одни системы подразумевают сканирование отпечатка пальца, другие определяют человека по глазам, есть даже те, которые ориентируются по «рисунку» сердцебиения. Но пока это все довольно экзотические методы, хотя и куда более популярные, чем, скажем, электромагнитные татуировки, которые по примеру радиочипов могут служить вторичным фактором аутентификации пользователя.

Я бы от такой не отказался 🙂

Новости недели: от проблем с SSL до победы над ботнетом

За первую неделю июня чего только не случилось: и обезвреживание ботнета Gameover Zeus, и внезапно обнаруженные новые проблемы в OpenSSL, и убийство на Google Street View, и другие заметные события.

Советы

Фальшивые финансовые регуляторы

В электронных письмах мошенники притворяются представителями государственных органов, чтобы выманить у пользователей их личные данные и деньги.

Продавцы воздуха в онлайн-магазинах

Рассказываем, как мошенники обманывают пользователей известного маркетплейса с помощью поддельной страницы оплаты товара.

Подпишитесь на нашу еженедельную рассылку
  • Email*
  • *
    • Я согласен(а) предоставить мой адрес электронной почты АО “Лаборатория Касперского“, чтобы получать уведомления о новых публикациях на сайте. Я могу отозвать свое согласие в любое время, нажав на кнопку “отписаться” в конце любого из писем, отправленных мне по вышеуказанным причинам.

Что такое двухфакторная аутентификация (2FA)?

А почему пароли недостаточно хороши?

Прежде чем ответить на вопрос «что такое двухфакторная аутентификация» или «что такое 2FA», давайте подумаем, почему важно делать все возможное для повышения безопасности вашей онлайн-учетной записи. Поскольку большая часть нашей жизни происходит на мобильных устройствах и ноутбуках, неудивительно, что наши цифровые учетные записи стали магнитом для преступников. Злонамеренные атаки на правительства, компании и отдельных лиц становятся все более и более распространенными. И нет никаких признаков того, что взломы, утечки данных и другие формы киберпреступности замедляются!

К счастью, компаниям легко добавить дополнительный уровень защиты к учетным записям пользователей в виде двухфакторной аутентификации, также называемой 2FA.

—————————————————————————————————————————————
ВЫ ЗАИНТЕРЕСОВАНЫ В ДОБАВЛЕНИИ 2FA В ВАШЕ ПРИЛОЖЕНИЕ? ПОСМОТРЕТЬ TWILIO API И РУКОВОДСТВА
—————————————————————————————————————————————

Рост киберпреступности требует более надежной защиты с помощью 2FA

В последние годы мы стали свидетелями резкого увеличения количества веб-сайтов, теряющих личные данные своих пользователей. И по мере того, как киберпреступность становится все более изощренной, компании обнаруживают, что их старые системы безопасности не справляются с современными угрозами и атаками. Иногда это простая человеческая ошибка, которая сделала их незащищенными. И не только доверие пользователей может быть подорвано. Все типы организаций — глобальные компании, малые предприятия, стартапы и даже некоммерческие организации — могут понести серьезные финансовые и репутационные потери.

Для потребителей последствия целенаправленного взлома или кражи личных данных могут быть разрушительными. Украденные учетные данные используются для защиты поддельных кредитных карт и финансирования покупок, что может повредить кредитному рейтингу жертвы. А целые банковские и криптовалютные счета могут быть опустошены за одну ночь. Недавнее исследование показало, что в 2016 году у 15,4 млн потребителей в США было изъято более 16 миллиардов долларов. Что еще более невероятно, воры украли более 107 миллиардов долларов только за последние шесть лет.

Очевидно, что онлайн-сайты и приложения должны обеспечивать более надежную защиту. И, когда это возможно, потребители должны привыкнуть защищать себя чем-то более надежным, чем просто пароль. Для многих этот дополнительный уровень безопасности — двухфакторная аутентификация.

Пароли: исторически плохие, но все еще используемые

Как и когда пароли стали такими уязвимыми? Еще в 1961 году Массачусетский технологический институт разработал совместимую систему разделения времени (CTSS). Чтобы у всех были равные шансы пользоваться компьютером, Массачусетский технологический институт требовал, чтобы все студенты входили в систему с безопасным паролем. Достаточно скоро студенты поняли, что они могут взломать систему, распечатать пароли и занять больше компьютерного времени.

Несмотря на это и тот факт, что существуют гораздо более безопасные альтернативы, имена пользователей и пароли остаются наиболее распространенной формой аутентификации пользователей. Общее эмпирическое правило заключается в том, что пароль должен быть известен только вам, и в то же время его трудно угадать кому-либо еще. И хотя использование паролей лучше, чем полное отсутствие защиты, они не являются надежными. Вот почему:

  • У людей плохая память. В недавнем отчете было рассмотрено более 1,4 миллиарда украденных паролей, и было обнаружено, что большинство из них были до безобразия простыми. Среди худших — «111111», «123456», «123456789», «qwerty» и «пароль». Хотя их легко запомнить, любой порядочный хакер может взломать эти простые пароли в кратчайшие сроки.
  • Слишком много учетных записей: По мере того, как пользователи привыкают делать все в Интернете, они открывают все больше и больше учетных записей. Это в конечном итоге создает слишком много паролей для запоминания и прокладывает путь к опасной привычке: повторному использованию паролей. Вот почему хакерам нравится эта тенденция: хакерскому программному обеспечению требуется всего несколько секунд, чтобы проверить тысячи украденных учетных данных для входа в популярные онлайн-банки и торговые сайты. Если пара имени пользователя и пароля будет переработана, весьма вероятно, что это откроет множество других прибыльных учетных записей.
  • Наступает усталость от безопасности: Чтобы защитить себя, некоторые потребители пытаются усложнить задачу злоумышленникам, создавая более сложные пароли и парольные фразы. Но с таким количеством утечек данных, наводняющих темную сеть информацией о пользователях, многие просто сдаются и возвращаются к использованию слабых паролей для нескольких учетных записей.

2FA на помощь

2FA — это дополнительный уровень безопасности, используемый для того, чтобы убедиться, что люди, пытающиеся получить доступ к учетной записи в Интернете, являются теми, за кого себя выдают. Сначала пользователь вводит свое имя пользователя и пароль. Тогда вместо немедленного получения доступа от них потребуется предоставить еще одну информацию. Этот второй фактор может относиться к одной из следующих категорий:

  • Что-то, что вы знаете: Это может быть личный идентификационный номер (PIN), пароль, ответы на «секретные вопросы» или определенный набор клавиш
  • Что-то, что у вас есть: Как правило, у пользователя есть что-то, например, кредитная карта, смартфон или небольшой аппаратный токен
  • То, чем вы являетесь: Эта категория немного более продвинутая и может включать биометрический образец отпечатка пальца, сканирование радужной оболочки глаза или отпечаток голоса

С 2FA потенциальный взлом хотя бы одного из этих факторов не разблокирует учетную запись. Таким образом, даже если ваш пароль будет украден или ваш телефон потерян, вероятность того, что кто-то еще получит вашу информацию второго фактора, крайне мала. Глядя на это под другим углом, если потребитель правильно использует 2FA, веб-сайты и приложения могут быть более уверены в личности пользователя и разблокировать учетную запись.

Распространенные типы 2FA

Если сайт, который вы используете, требует только пароль для входа и не предлагает 2FA, есть большая вероятность, что в конечном итоге он будет взломан. Это не означает, что все 2FA одинаковы. Сегодня используется несколько типов двухфакторной аутентификации; некоторые из них могут быть более надежными или более сложными, чем другие, но все они обеспечивают лучшую защиту, чем одни только пароли. Давайте рассмотрим наиболее распространенные формы 2FA.

Аппаратные токены для 2FA

Вероятно, это старейшая форма двухфакторной аутентификации. Аппаратные токены маленькие, как брелок, и каждые 30 секунд выдают новый числовой код. Когда пользователь пытается получить доступ к аккаунту, он смотрит на устройство и вводит отображаемый код двухфакторной аутентификации обратно на сайт или в приложение. Другие версии аппаратных токенов автоматически передают код 2FA при подключении к USB-порту компьютера.

Однако у них есть несколько недостатков. Для предприятий распространение этих единиц является дорогостоящим. И пользователи считают, что из-за их размера их легко потерять или поставить не на место. Самое главное, что они не полностью защищены от взлома.

SMS-сообщения и голосовая двухфакторная аутентификация

Двухфакторная аутентификация на основе SMS напрямую взаимодействует с телефоном пользователя. После получения имени пользователя и пароля сайт отправляет пользователю уникальный одноразовый код доступа (OTP) в текстовом сообщении. Как и в случае с аппаратным токеном, пользователь должен затем ввести OTP обратно в приложение, прежде чем получить доступ. Точно так же 2FA на основе голоса автоматически набирает номер пользователя и устно передает код 2FA. Хотя это и не распространено, оно по-прежнему используется в странах, где смартфоны дорогие или где сотовая связь плохая.

Для онлайн-активности с низким уровнем риска достаточно аутентификации по тексту или голосу. Но для веб-сайтов, на которых хранится ваша личная информация, таких как коммунальные предприятия, банки или учетные записи электронной почты, этот уровень 2FA может быть недостаточно безопасным. На самом деле SMS считается наименее безопасным способом аутентификации пользователей. Из-за этого многие компании повышают свою безопасность, отказываясь от двухфакторной аутентификации на основе SMS.

Программные токены для 2FA

В наиболее популярной форме двухфакторной аутентификации (и предпочтительной альтернативе SMS и голосовой связи) используется одноразовый код доступа, генерируемый программным обеспечением (также называемый TOTP или «мягкий токен»).

Сначала пользователь должен загрузить и установить бесплатное приложение двухфакторной аутентификации на свой смартфон или компьютер. Затем они могут использовать приложение с любым сайтом, который поддерживает этот тип аутентификации. При входе пользователь сначала вводит имя пользователя и пароль, а затем, при появлении запроса, вводит код, отображаемый в приложении. Как и аппаратные токены, программный токен обычно действителен менее минуты. А поскольку код генерируется и отображается на одном и том же устройстве, программные токены исключают возможность его перехвата хакерами. Это большая проблема с методами доставки SMS или голосовой связи.

Лучше всего то, что решения двухфакторной аутентификации на основе приложений доступны для мобильных, носимых и настольных платформ и даже работают в автономном режиме — аутентификация пользователей возможна практически везде.

Push-уведомление для двухфакторной аутентификации

Вместо того, чтобы полагаться на получение и ввод токена 2FA, веб-сайты и приложения теперь могут отправлять пользователю push-уведомление о попытке аутентификации. Владелец устройства просто просматривает детали и может разрешить или запретить доступ одним касанием. Это беспарольная аутентификация без ввода кодов и дополнительных действий.

Имея прямое и безопасное соединение между продавцом, службой 2FA и устройством, push-уведомления исключают любую возможность фишинга, атак типа «человек посередине» или несанкционированного доступа. Но он работает только с подключенным к Интернету устройством, на которое можно устанавливать приложения. Кроме того, в районах с низким уровнем проникновения смартфонов или ненадежным Интернетом двухфакторная аутентификация на основе SMS может быть предпочтительным запасным вариантом. Но там, где это возможно, push-уведомления обеспечивают более удобную и безопасную форму безопасности.

Другие формы двухфакторной аутентификации

Биометрическая 2FA, аутентификация, которая рассматривает пользователя как токен, не за горами. Недавние инновации включают проверку личности человека с помощью отпечатков пальцев, шаблонов сетчатки и распознавания лиц. Также исследуются окружающий шум, пульс, модели набора текста и голосовые отпечатки. Это только вопрос времени, когда один из этих методов 2FA станет популярным… и биометрические хакеры поймут, как их использовать.

Все должны 2FA

Согласно недавнему отчету, украденные, повторно используемые и слабые пароли остаются основной причиной нарушений безопасности. К сожалению, пароли по-прежнему остаются основным (или единственным) способом защиты пользователей во многих компаниях. Хорошей новостью является то, что киберпреступность так часто упоминается в новостях, что осведомленность о двухфакторной аутентификации быстро растет, и мы требуем, чтобы компании, с которыми они ведут бизнес, повысили уровень безопасности. Согласны: «Все должны 2FA»

Хотите узнать больше о 2FA?

Потребители:  Не знаете, есть ли на ваших любимых сайтах или в приложениях двухфакторная аутентификация? Посетите TwoFactorAuth. org , чтобы узнать. Или посетите следующие ссылки, чтобы узнать больше:

  • Загрузите приложение Authy 2FA для iOS, Android или ПК
  • Повышение безопасности вашей учетной записи Twitter
  • Узнайте, как включить 2FA для ваших любимых сайтов
  • Понимание двухфакторной аутентификации, приложения Authy и SMS
  • Понимание функции Authy 2FA для нескольких устройств
  • Как работают резервные копии Authy 2FA

Предприятия:  Многие предприятия считают, что вместо самостоятельного создания двухфакторной аутентификации разумнее и выгоднее сотрудничать с экспертом. Twilio предлагает полный набор удобных для разработчиков API аутентификации и SDK, которые могут превратить любое приложение в самостоятельный аутентификатор. Ознакомьтесь с этими полезными ссылками для бизнеса и разработчиков:

  • Межотраслевая безопасность: 4 бренда используют двухфакторную аутентификацию правильно
    • Технический документ
  • : Руководство по передовым методам обеспечения безопасности учетной записи
    • Электронная книга
  • : Обновление 2FA путем понижения версии SMS
  • Пошаговые руководства по двухфакторной аутентификации
  • Зарегистрируйтесь, чтобы бесплатно попробовать API двухфакторной аутентификации Twilio

Что такое двухфакторная аутентификация (2FA) и как она работает?

Что такое двухфакторная аутентификация и для чего она используется?

Двухфакторная аутентификация (2FA), иногда называемая двухэтапная проверка или двухфакторная проверка подлинности — это процесс безопасности, в котором пользователи предоставляют два разных фактора проверки подлинности для проверки себя.

Двухфакторная аутентификация реализована для лучшей защиты как учетных данных пользователя, так и ресурсов, к которым пользователь может получить доступ. Двухфакторная проверка подлинности обеспечивает более высокий уровень безопасности, чем методы проверки подлинности, основанные на однофакторной проверке подлинности (SFA), при которой пользователь указывает только один фактор — обычно пароль или секретный код. Методы двухфакторной аутентификации основаны на вводе пользователем пароля в качестве первого фактора и второго, другого фактора — обычно либо токена безопасности, либо биометрического фактора, такого как отпечаток пальца или сканирование лица.

Двухфакторная аутентификация добавляет дополнительный уровень безопасности к процессу аутентификации, усложняя злоумышленникам доступ к устройствам или онлайн-аккаунтам человека, потому что, даже если пароль жертвы взломан, одного пароля недостаточно для прохождения проверка подлинности.

Двухфакторная аутентификация уже давно используется для управления доступом к конфиденциальным системам и данным. Поставщики онлайн-услуг все чаще используют 2FA для защиты учетных данных своих пользователей от использования хакерами, которые украли базу данных паролей или использовали фишинговые кампании для получения паролей пользователей.

Эта статья является частью

Что такое факторы аутентификации?

Существует несколько способов аутентификации пользователя с использованием нескольких методов аутентификации. В настоящее время большинство методов проверки подлинности полагаются на факторы знания, такие как традиционный пароль, в то время как методы двухфакторной проверки подлинности добавляют либо фактор владения, либо фактор неотъемлемости.

Факторы аутентификации, перечисленные в приблизительном порядке принятия для вычислений, включают следующее:

  • Фактор знания — это то, что известно пользователю, например, пароль, персональный идентификационный номер (ПИН) или какой-либо другой тип общего секрета.
  • Фактор владения — это то, что есть у пользователя, например удостоверение личности, токен безопасности, мобильный телефон, мобильное устройство или приложение для смартфона, для утверждения запросов аутентификации.
  • Биометрический фактор , также известный как фактор наследственности , является чем-то, присущим физическому я пользователя. Это могут быть личные атрибуты, сопоставленные с физическими характеристиками, такими как отпечатки пальцев, аутентифицированные с помощью считывателя отпечатков пальцев. Другие часто используемые факторы присущего характера включают распознавание лиц и голоса или поведенческие биометрические данные, такие как динамика нажатия клавиш, походка или речевые паттерны.
  • Фактор местоположения обычно обозначается местоположением, из которого выполняется попытка аутентификации. Этого можно добиться, ограничив попытки аутентификации определенными устройствами в определенном месте или отследив географический источник попытки аутентификации на основе исходного адреса Интернет-протокола или какой-либо другой информации о географическом местоположении, такой как данные глобальной системы позиционирования (GPS), полученные из мобильный телефон пользователя или другое устройство.
  • А фактор времени ограничивает аутентификацию пользователя определенным временным окном, в котором разрешен вход в систему, и ограничивает доступ к системе за пределами этого окна.

Подавляющее большинство методов двухфакторной проверки подлинности основано на первых трех факторах проверки подлинности, хотя системы, требующие большей безопасности, могут использовать их для реализации многофакторной проверки подлинности (MFA), которая может полагаться на два или более независимых учетных данных для более безопасной проверки подлинности.

Как работает двухфакторная аутентификация?

Включение двухфакторной аутентификации зависит от конкретного приложения или поставщика. Однако процессы двухфакторной аутентификации включают один и тот же общий многоэтапный процесс:

.
  1. Пользователю предлагается войти в систему приложением или веб-сайтом.
  2. Пользователь вводит то, что знает — обычно имя пользователя и пароль. Затем сервер сайта находит совпадение и распознает пользователя.
  3. Для процессов, не требующих паролей, веб-сайт создает для пользователя уникальный ключ безопасности. Средство аутентификации обрабатывает ключ, и сервер сайта проверяет его.
  4. Затем сайт предлагает пользователю начать второй этап входа в систему. Хотя этот шаг может принимать различные формы, пользователь должен доказать, что у него есть что-то, что есть только у него, например, биометрические данные, токен безопасности, удостоверение личности, смартфон или другое мобильное устройство. Это фактор принадлежности или обладания.
  5. Затем пользователю может потребоваться ввести одноразовый код, сгенерированный на четвертом шаге.
  6. После предоставления обоих факторов пользователь проходит аутентификацию и получает доступ к приложению или веб-сайту.

Элементы двухфакторной аутентификации

Двухфакторная проверка подлинности — это форма MFA. Технически он используется каждый раз, когда для получения доступа к системе или службе требуются два фактора аутентификации. Однако использование двух факторов из одной категории не является 2FA. Например, требование пароля и общего секрета по-прежнему считается SFA, поскольку они оба относятся к типу фактора аутентификации знаний.

2FA включает два из трех потенциальных факторов аутентификации.

Что касается служб SFA, то имена пользователей и пароли не самые безопасные. Одна из проблем с аутентификацией на основе пароля заключается в том, что для создания и запоминания надежных паролей требуются знания и усердие. Пароли требуют защиты от многих внутренних угроз, таких как небрежно хранящиеся стикеры с учетными данными для входа, старые жесткие диски и эксплойты социальной инженерии. Пароли также являются жертвами внешних угроз, таких как хакеры, использующие атаки грубой силы, словаря или радужной таблицы.

При наличии достаточного количества времени и ресурсов злоумышленник обычно может взломать системы безопасности на основе паролей и украсть корпоративные данные. Пароли остаются наиболее распространенной формой SFA из-за их низкой стоимости, простоты реализации и привычности.

Несколько вопросов типа «запрос-ответ» могут обеспечить большую безопасность, в зависимости от того, как они реализованы, а автономные методы биометрической проверки также могут обеспечить более безопасный метод SFA.

Типы продуктов двухфакторной аутентификации

Существует множество различных устройств и сервисов для реализации двухфакторной аутентификации — от жетонов до карт радиочастотной идентификации (RFID) и приложений для смартфонов.

Продукты двухфакторной аутентификации можно разделить на две категории:

  1. токены, которые выдаются пользователям для использования при входе в систему; и
  2. инфраструктура или программное обеспечение, которое распознает и аутентифицирует доступ для пользователей, которые правильно используют свои токены.

Токены аутентификации могут быть физическими устройствами, такими как брелоки или смарт-карты, или они могут существовать в программном обеспечении в виде мобильных или настольных приложений, которые генерируют PIN-коды для аутентификации. Эти коды аутентификации, также известные как одноразовые пароли (OTP) обычно генерируются сервером и могут быть признаны подлинными устройством или приложением аутентификации. Код аутентификации представляет собой короткую последовательность, связанную с конкретным устройством, пользователем или учетной записью, и может использоваться только один раз в рамках процесса аутентификации.

Организациям необходимо развернуть систему для приема, обработки и разрешения или отказа в доступе для пользователей, аутентифицирующихся с помощью своих токенов. Это может быть развернуто в виде серверного программного обеспечения или выделенного аппаратного сервера, а также предоставлено в качестве услуги сторонним поставщиком.

Важным аспектом 2FA является предоставление аутентифицированному пользователю доступа ко всем ресурсам, для которых он утвержден, и только к этим ресурсам. В результате одной из ключевых функций 2FA является связывание системы аутентификации с данными аутентификации организации. Microsoft предоставляет некоторую инфраструктуру, необходимую организациям для поддержки двухфакторной аутентификации в Windows 10 через Windows Hello, которая может работать с учетными записями Microsoft, а также аутентифицировать пользователей через Microsoft Active Directory, Azure AD или Fast IDentity Online (FIDO).

Как работают аппаратные токены 2FA Доступны аппаратные токены

для 2FA, поддерживающие различные подходы к аутентификации. Одним из популярных аппаратных токенов является YubiKey, небольшое устройство с универсальной последовательной шиной (USB), которое поддерживает OTP, шифрование и аутентификацию с открытым ключом, а также протокол Universal 2nd Factor, разработанный Альянсом FIDO. Токены YubiKey продаются компанией Yubico Inc., расположенной в Пало-Альто, Калифорния,

.

Когда пользователи с ключом YubiKey входят в онлайн-сервис, поддерживающий одноразовые пароли, например Gmail, GitHub или WordPress, они вставляют свой ключ YubiKey в USB-порт своего устройства, вводят пароль, щелкают поле YubiKey и касаются Кнопка ЮбиКей. YubiKey генерирует OTP и вводит его в поле.

OTP — это одноразовый пароль из 44 символов; первые 12 символов — это уникальный идентификатор, представляющий ключ безопасности, зарегистрированный в учетной записи. Остальные 32 символа содержат информацию, зашифрованную с помощью ключа, известного только устройству и серверам Yubico, установленного при первоначальной регистрации учетной записи.

OTP отправляется из онлайн-сервиса в Yubico для проверки подлинности. После проверки OTP сервер аутентификации Yubico отправляет обратно сообщение, подтверждающее, что это правильный токен для данного пользователя. 2ФА завершена. Пользователь предоставил два фактора аутентификации: пароль — это фактор знания, а YubiKey — фактор владения.

Двухфакторная аутентификация для мобильных устройств Смартфоны

предлагают различные возможности двухфакторной аутентификации, что позволяет компаниям использовать то, что лучше всего подходит для них. Некоторые устройства могут распознавать отпечатки пальцев, использовать встроенную камеру для распознавания лиц или сканирования радужной оболочки, а также использовать микрофон для распознавания голоса. Смартфоны, оснащенные GPS, могут проверять местоположение в качестве дополнительного фактора. Служба голосовых сообщений или коротких сообщений (SMS) также может использоваться в качестве канала для внеполосной аутентификации.

Доверенный номер телефона можно использовать для получения кодов подтверждения с помощью текстового сообщения или автоматического телефонного звонка. Пользователь должен подтвердить хотя бы один доверенный номер телефона, чтобы зарегистрироваться в мобильной двухфакторной аутентификации.

Apple iOS, Google Android и Windows 10 имеют приложения, поддерживающие 2FA, что позволяет самому телефону служить физическим устройством для удовлетворения фактора владения. Duo Security, базирующаяся в Анн-Арборе, штат Мичиган, и приобретенная Cisco в 2018 году за 2,35 миллиарда долларов, имеет платформу, которая позволяет клиентам использовать свои доверенные устройства для двухфакторной аутентификации. Платформа Duo сначала устанавливает, что пользователь является доверенным, прежде чем проверять, что мобильному устройству также можно доверять в качестве фактора аутентификации.

Приложения

Authenticator избавляют от необходимости получать код подтверждения с помощью текстового сообщения, голосового вызова или электронной почты. Например, чтобы получить доступ к веб-сайту или веб-службе, поддерживающей Google Authenticator, пользователи вводят свое имя пользователя и пароль — фактор знаний. Затем пользователям предлагается ввести шестизначное число. Вместо того, чтобы ждать несколько секунд, чтобы получить текстовое сообщение, аутентификатор генерирует для них номер. Эти числа меняются каждые 30 секунд и различны для каждого входа в систему. Вводя правильный номер, пользователи завершают процесс проверки и подтверждают владение правильным устройством — фактор владения.

Эти и другие продукты 2FA содержат информацию о минимальных системных требованиях, необходимых для реализации 2FA.

Биометрическая аутентификация становится все более популярной на мобильных устройствах.

Push-уведомления для двухфакторной аутентификации

Push-уведомление — это проверка подлинности без пароля, которая проверяет пользователя, отправляя уведомление непосредственно в защищенное приложение на устройстве пользователя, предупреждая пользователя о попытке проверки подлинности. Пользователь может просмотреть сведения о попытке аутентификации и либо одобрить, либо отказать в доступе — как правило, одним касанием. Если пользователь одобряет запрос аутентификации, сервер получает этот запрос и регистрирует пользователя в веб-приложении.

Push-уведомления аутентифицируют пользователя, подтверждая, что устройство, зарегистрированное в системе аутентификации — обычно это мобильное устройство — находится во владении пользователя. Если злоумышленник скомпрометирует устройство, push-уведомления также будут скомпрометированы. Push-уведомления устраняют такие угрозы, как атаки «человек посередине», несанкционированный доступ и атаки социальной инженерии.

Хотя push-уведомления более безопасны, чем другие методы проверки подлинности, все же существуют риски безопасности. Например, пользователи могут случайно одобрить мошеннический запрос на аутентификацию, потому что они привыкли нажимать 9.0071 одобряют , когда они получают push-уведомления.

Безопасна ли двухфакторная аутентификация?

Несмотря на то, что двухфакторная аутентификация действительно повышает безопасность, схемы 2FA безопасны настолько, насколько безопасен их самый слабый компонент. Например, аппаратные токены зависят от безопасности эмитента или производителя. Один из самых громких случаев взлома двухфакторной системы произошел в 2011 году, когда охранная компания RSA Security сообщила, что ее токены аутентификации SecurID были взломаны.

Сам процесс восстановления учетной записи также может быть нарушен, когда он используется для обхода двухфакторной аутентификации, поскольку он часто сбрасывает текущий пароль пользователя и отправляет временный пароль по электронной почте, чтобы позволить пользователю снова войти в систему, минуя процесс 2FA. Таким образом были взломаны бизнес-аккаунты Gmail исполнительного директора Cloudflare.

Хотя двухфакторная аутентификация на основе SMS недорога, проста в реализации и считается удобной для пользователя, она уязвима для многочисленных атак. Национальный институт стандартов и технологий (NIST) не рекомендует использовать SMS в службах 2FA в своей специальной публикации 800-63-3: Руководство по цифровой идентификации. NIST пришел к выводу, что одноразовые пароли, отправляемые через SMS, слишком уязвимы из-за атак переносимости номеров мобильных телефонов, атак на сеть мобильных телефонов и вредоносных программ, которые можно использовать для перехвата или перенаправления текстовых сообщений.

Будущее аутентификации

Среды, требующие более высокой безопасности, могут быть заинтересованы в трехфакторной аутентификации, которая обычно включает владение физическим токеном и паролем, используемым в сочетании с биометрическими данными, такими как отпечатки пальцев или голосовые отпечатки. Такие факторы, как геолокация, тип устройства и время суток, также используются для определения того, должен ли пользователь пройти аутентификацию или заблокироваться. Кроме того, поведенческие биометрические идентификаторы, такие как длина нажатия пользователем клавиши, скорость набора текста и движения мыши, также могут незаметно отслеживаться в режиме реального времени, чтобы обеспечить непрерывную аутентификацию вместо однократной проверки аутентификации во время входа в систему.

Использование паролей в качестве основного метода аутентификации, хотя и является распространенным явлением, часто больше не обеспечивает безопасность или пользовательский опыт, которые требуются компаниям и их пользователям. И хотя устаревшие инструменты безопасности, такие как менеджер паролей и MFA, пытаются решить проблемы с именами пользователей и паролями, они зависят от существенно устаревшей архитектуры: базы данных паролей.

Следовательно, многие организации переходят на аутентификацию без пароля. Использование таких методов, как биометрия и безопасные протоколы, позволяет пользователям безопасно аутентифицировать себя в своих приложениях без необходимости вводить пароли. В бизнесе это означает, что сотрудники могут получать доступ к своей работе без необходимости вводить пароли, а ИТ-отдел по-прежнему сохраняет полный контроль над каждым входом в систему. Использование блокчейна, например, посредством децентрализованной идентификации или самостоятельной идентификации, также привлекает внимание как альтернатива традиционным методам аутентификации.

Последнее обновление: июль 2021 г.

Продолжить чтение О двухфакторной аутентификации (2FA)
  • В чем разница между двухэтапной проверкой и 2FA?
  • Почему все меньше компаний используют SMS 2FA для аутентификации?
  • 5 общих факторов аутентификации, которые необходимо знать
  • Плюсы и минусы биометрической аутентификации
  • Каковы наиболее распространенные методы цифровой аутентификации?
Копните глубже в управление идентификацией и доступом
  • GitHub вводит двухфакторную аутентификацию к 2023 году, планы по дополнительной безопасности

    Автор: Стефани Глен

  • одноразовый пароль (OTP)

    Автор: Кэтлин Ричардс

  • Противодействие атакам социальной инженерии с помощью MFA

    Автор: Питер Эллисон

  • Как использовать двухфакторную аутентификацию в Horizon View

    Автор: Стюарт Бернс

ПоискСеть

  • Cisco увольняет сотрудников и сокращает офисные площади в рамках реструктуризации на 600 млн долларов

    Встряска в Cisco затронет около 4000 сотрудников, поскольку компания удвоит усилия в области безопасности, корпоративных сетей и своей платформы . ..

  • Лучшие практики развертывания CBRS на предприятии

    Предприятия могут использовать спектр CBRS для развертывания частных сотовых сетей, обеспечивающих надежное и предсказуемое покрытие. Узнать о …

  • 3 типа опросов беспроводных сетей и способы их проведения

    Сетевые бригады могут избежать проблем с покрытием сигнала, выполняя различные исследования беспроводных сетей, когда они оценивают новые пространства, настраивают …

ПоискCIO

  • Автоматизация комплаенса Bayer окупается

    Глобальный директор Bayer по соблюдению требований и конфиденциальности данных Томас Пфенниг обсуждает LPC Express, проект автоматизации для законодательства, патентов и…

  • Лучшие платформы метавселенной, о которых нужно знать в 2023 году

    Это первые дни платформ метавселенной, особенно тех, которые ориентированы на предприятия. Вот что нужно знать и какие платформы использовать…

  • Проблемы конфиденциальности Metaverse и способы их решения

    Конфиденциальность данных в метавселенной — движущаяся цель. Узнайте об основных проблемах конфиденциальности и рисках для бизнеса и пользователей — и …

SearchEnterpriseDesktop

  • Как контролировать файлы Windows и какие инструменты использовать

    Мониторинг файлов в системах Windows имеет решающее значение для обнаружения подозрительных действий, но существует так много файлов и папок, которые нужно хранить…

  • Как Microsoft Loop повлияет на службу Microsoft 365

    Хотя Microsoft Loop еще не является общедоступным, Microsoft опубликовала подробную информацию о том, как Loop может соединять пользователей и проекты…

  • В последнем обновлении Windows 11 добавлен проводник с вкладками

    Последнее обновление Windows 11 предлагает проводник с вкладками для изменения порядка файлов и переключения между папками. ОС также…

SearchCloudComputing

  • Предварительный просмотр программы AWS re:Invent 2022

    Благодаря тому, что в этом году AWS re:Invent 2022 предлагает очные и виртуальные варианты, участники могут выбирать из ряда интерактивных …

  • Эксперты по облачным технологиям и их прогнозы AWS re:Invent 2022

    Поскольку AWS готовится к своему крупнейшему событию года, наши участники прогнозируют, что поставщик облачных услуг представит на re:Invent 2022.

  • Сравните Amazon Lightsail и EC2 для нужд вашего веб-приложения

    Не всем разработчикам нужны или нужны все возможности Amazon EC2. Посмотрите, подходит ли сокращенный и упрощенный Amazon Lightsail …

ComputerWeekly.com

  • Как MSD использует ИИ

    Аарон Тан спрашивает глобального лидера MSD по искусственному интеллекту, что нужно для того, чтобы технология полностью реализовала свой потенциал в здравоохранении

  • Модель глубокого обучения Dell для поддержки сохранения коралловых рифов

    Компания Dell Technologies разработала модель глубокого обучения для ускорения маркировки и анализа изображений Великого австралийского .

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *