Факторы аутентификации

Вместе с первыми цифровыми устройствами возникла потребность в обеспечении безопасности хранимых данных и разграничении доступа к различным функциям. Различные методы однозначной аутентификации пользователей, на которых основана безопасность, называются факторами аутентификации. К ним относятся коды, логины, пароли, сертификаты, аппаратные ключи и т. Д. Весь набор факторов аутентификации можно разделить на три группы:

Факторы знания (то, что известно пользователю);
Факторы собственности (то, чем владеет пользователь — документы или предметы, характеризующиеся некоторой уникальной информацией (обычно эти факторы сводятся к «устройствам», хотя такое сужение не всегда оправдано));
Биометрические факторы (физические характеристики пользователя).

Существует огромное количество различных факторов аутентификации, не все из которых одинаково удобны и безопасны. Для повышения уровня безопасности процесса аутентификации используется многофакторная аутентификация , при которой для проверки доступа используются несколько факторов аутентификации разных типов. Недостатки одних факторов могут и должны перекрываться достоинствами других. Несмотря на большую безопасность, чем больше используется этапов аутентификации, тем больше усилий и времени требуется для авторизации . По совокупности характеристик двухфакторная аутентификация на сегодняшний день считается наиболее оптимальной по совокупности характеристик безопасности, удобства и прилагаемых усилий.

Двухфакторная аутентификация
Что такое двухфакторная аутентификация? Двухфакторная аутентификация (2FA) — один из самых надежных типов аутентификации пользователей в настоящее время, используемый для получения прав на доступ к любому ресурсу или данным (от почтовых ящиков до платежей по банковским картам). Двухэтапная аутентификация — гораздо более надежная альтернатива традиционной однофакторной аутентификации (1FA) с помощью пары логин-пароль, безопасность которой в настоящее время довольно низка. Существует огромное количество методов взлома и обхода парольной аутентификации, от социальной инженерии до распределенного перебора, основанных на заранее организованных ботнетах. Кроме того, некоторые пользователи используют один и тот же пароль.для входа во все свои учетные записи, что, в свою очередь, еще больше упрощает доступ мошенников к защищенной информации и транзакциям. Основное преимущество двухфакторной аутентификации — повышенная безопасность входа в систему. Что касается недостатков, то основные два — это увеличение времени входа в систему и риск потери физического носителя, служащего для прохождения одного из этапов аутентификации (мобильный телефон, ключ U2F, OTP-токен). В этой статье мы рассмотрели несколько наиболее удобных и безопасных факторов второй аутентификации для использования в 2FA.

SMS-коды
SMS-коды, генерируемые специальными службами, являются наиболее распространенным типом факторов, используемых в мобильной двухфакторной аутентификации . Это довольно удобно (большинство современных пользователей всегда держат при себе смартфоны) и не занимает много времени. Кроме того, эта проверка в большинстве случаев эффективна, например, для защиты от автоматических атак, фишинга , перебора паролей, вирусов и т.п.

Внеполосная аутентификация — двухфакторная аутентификация с помощью SMS

Но в случае, если кто-то намерен вас взломать, возможен обход SMS-аутентификации.. Ведь обычно привязанный к аккаунту номер телефона не является секретом (как правило, это тот же контактный номер, который можно узнать у друзей, в соцсети или на визитке). Получив личную информацию о владельце номера, мошенники изготавливают поддельное удостоверение личности и используют его в ближайшем офисе мобильного оператора. Несмотря на то, что в некоторых странах законодательство требует полной сверки идентификационных данных, SIM может быть авторизована для переоформления самым обычным сотрудником, не особо утруждая себя проверкой подлинности документа. Таким образом создается новая карта с вашим номером (в свою очередь, предыдущая SIM-карта блокируется) и мошенник получает возможность пройти второй этап аутентификации. Второй недостаток — некоторые государственные органы (например, полиция) может запросить у оператора мобильной связи доступ к вашему сотовому номеру (включая SMS). Это делается в режиме реального времени, и даже если вас перехватят, вы даже не узнаете. С другой стороны, SMS-сообщения помогут вам узнать, что кто-то пытается взломать вашу учетную запись и вовремя изменить пароль или привязанный номер телефона.

Плюсы:

Простота использования — пользователю достаточно ввести код из SMS, пришедшего на его мобильный телефон;
Если произойдет попытка взлома вашей учетной записи, вы сразу узнаете об этом, так как получите сообщение с одноразовым паролем (OTP) и сможете сразу изменить пароль своей учетной записи.


Минусы:

Необходимо внести плату за отправку SMS. Этот недостаток особенно важен для компаний, защищающих своего пользователя. В сегменте B2B выгоднее использовать программные или аппаратные токены.
Невозможно использовать в случае отсутствия сотовой связи (на удаленных территориях или за границей) или самого телефона (кража, утеря, разряд аккумулятора).
Возможность замены SIM-карты позволяет злоумышленникам украсть номер телефона.
SMS-сообщения можно перехватывать разными способами.

Приложения для генерации кода
Приложения для генерации кода — достойная альтернатива SMS-кодам. Наиболее распространенным среди таких приложений является решение для двухфакторной аутентификации Google — Google Authenticator . Такие программные токены OTP генерируют коды независимо на основе определенного алгоритма или случайной последовательности. Основными алгоритмами для генерации таких одноразовых кодов являются HOTP (одноразовый пароль на основе хэша , RFC4226 ), TOTP (одноразовый пароль на основе времени, RFC6238 ) и OCRA (алгоритм запроса -ответа OATH, RFC6287 ), которые были разработаны и поддерживаются OATH (Инициатива открытой аутентификации).

Приложение для двухфакторной аутентификации Protectimus Smart Приложение для двухфакторной аутентификации Protectimus Smart Приложение для двухфакторной аутентификации Protectimus Smart

Плюсы:
Основным преимуществом такого программного обеспечения двухфакторной аутентификации является возможность использования при отсутствии сотовой связи или доступа в Интернет.


Минусы:

Необходимо использовать смартфон или другое подобное устройство;
Приложение можно взломать;
Аккумулятор смартфона может разрядиться;
Если смартфон сброшен к заводским настройкам или утерян, или приложение-аутентификатор случайно удалено, токен будет утерян, и его восстановление станет большой проблемой.

Жетоны U2F
U2F — открытый стандарт универсальной двухфакторной аутентификации (2FA), разработанный FIDO Alliance при участии таких всемирно известных корпораций, как Google, PayPal, Lenovo, MasterCard, Microsoft, NXP, Visa и др. По словам создателей По идее, аутентификация по этому протоколу осуществляется с помощью аппаратного модуля, в роли которого используется физический носитель — токены USB (наиболее распространены устройства YubiKey). Эти устройства комплектуются специальным программным обеспечением и цифровым ключом еще на этапе изготовления. USB-ключ просто вставляется в соответствующий разъем настольного компьютера или ноутбука. Этот фактор аутентификации работает следующим образом:

Пользователь авторизуется на сайте / в приложении с помощью пары логин-пароль.
Сервер проверяет учетные данные и, если они верны, запрашивает подпись (генерирует запрос) для токена и возвращает ее пользовательской программе (обычно это браузер).
Программа передает запрос на токен, который после подтверждения со стороны пользователя (например, нажатия кнопки токена) возвращает одноразовый пароль, сгенерированный по определенному алгоритму.
Программа отправляет ответ серверу.
Если ответ правильный, происходит аутентификация.
Токен U2F OTP для двухфакторной аутентификации


Плюсы:

Нет необходимости подключаться к сотовой сети или Интернету, поскольку все необходимые данные уже хранятся на устройстве.
Простота использования — просто подключите токен к USB-порту и нажмите одну кнопку по запросу.
Существуют модели токенов Yubikey с двумя слотами, что позволяет использовать их для доступа к двум веб-сайтам вместо одного.


Минусы:

Низкая распространенность, потому что стандарт еще совсем новый. В настоящее время токены U2F поддерживаются Gmail, учетными записями Google, GitHub, Dropbox, LastPass и WordPress.
USB-токены U2F на данный момент совместимы только с браузером Chrome начиная с версии 38. Это ограничение применяется не токенами Yubikey, а самим стандартом U2F.
Многие компании блокируют операции с USB-портами на корпоративных компьютерах.
Устройства U2F создаются для доступа к 1 или 2 конкретным ресурсам; Активному интернет-пользователю потребуется хранить комплект устройств для доступа к разным веб-сайтам.
Устройства U2F относительно дороги: цены на самые дешевые модели начинаются от 20 долларов.
Токен легко забывается вставленным в компьютер, уходя от рабочей станции. Некоторые люди также оставляют их постоянно вставленными для удобства, что подрывает всю концепцию 2FA.
Само по себе USB-соединение оставляет возможность внедрения какого-то вредоносного кода и троянов.
На случай проигрыша желательно покупать жетоны парами.

Бесконтактные аппаратные токены
Достойной альтернативой предыдущему методу аутентификации являются бесконтактные аппаратные токены. Почему мы считаем этот вариант токенов самым надежным вторым фактором:

Это автономные неподключаемые устройства, что исключает возможность несанкционированного внешнего или удаленного доступа хакеров;
Они неуязвимы для внедрения вредоносного кода;
Они позволяют создать настоящую двухфакторную аутентификацию, которая отделяет то, что у вас есть (токен) от того, что вы знаете (пароль);
Они невосприимчивы к опасности кражи SIM-карты, экспорта секретного ключа, отлова вируса, перехватывающего одноразовые пароли;
Их батареи служат годами, поэтому вы никогда не столкнетесь с проблемой разряда в течение срока службы;
Для работы им не нужен сигнал сотовой сети или роуминг.
Аппаратные токены Protectimus для двухфакторной аутентификации

Сегодня на рынке доступны 2 типа токенов бесконтактного оборудования:

Распространенные модели с предустановленными секретными ключами (семенами). Это хороший вариант, если он предлагается непосредственно на ресурсе, который использует защиту учетной записи пользователя 2FA. Например, такие аппаратные токены предлагают Blizzard, PayPal и AdvCash. И, вероятно, у вас уже есть аналогичные токены для доступа к онлайн-банку.
Но что, если веб-сайт не предлагает собственных токенов для бесконтактного оборудования? В этом случае отличным подспорьем станут недавно выпущенные программируемые аппаратные токены Protectimus Slim NFC . Эти устройства можно прошивать через NFC с помощью приложения Protectimus TOTP Burner для смартфонов Android. Эти токены OTP соответствуют стандартам сервера аутентификации Google Authenticator (секретный ключ длиной 32 символа (Base32) и 6-значный OTP). Среди ресурсов, реализующих этот стандарт, — Facebook , Google, Dropbox, GitHub, Kickstarter, KeePass, Microsoft, TeamViewer и многие другие.

Рассмотрим оба варианта более подробно.

Бесконтактные аппаратные токены с предварительно установленными семенами
Эти OTP-токены хорошо известны и долгие годы считались самыми надежными инструментами для создания одноразовых паролей. Так почему же они не так широко распространены, как SMS-подтверждения и программные аутентификаторы? В основном потому, что доставка устройств по всему миру стоит дорого и требует значительных трудовых ресурсов или сотрудничества с логистической компанией, что может быть крайне неудобно для небольших предприятий. Кроме того, аппаратные токены не бесплатны, и многие компании не считают их рентабельными, что позволяет сэкономить на безопасности пользователей. Хотя некоторые веб-сайты предлагают своим пользователям покупать такие токены самостоятельно, что дает возможность надежно защитить учетную запись.

OTP токены Protectimus TWO

Плюсы:

Бесконтактное устройство, защищенное от любой возможности внедрения вредоносных программ;
Одноразовый пароль генерируется самим устройством, что сводит возможность перехвата к минимуму;
Не требует подключения к сети любого типа;
Встроенного источника питания хватает на годы автономной работы;
Самый дешевый среди всех аппаратных токенов.

Минусы:

Если токен скомпрометирован, то вам нужно только заказать новый (Protectimus Slim NFC можно просто перепрошить);
Если вы перестанете пользоваться услугой, значит, деньги потрачены впустую, нет возможности использовать их с другой услугой;
Если вам нужно защитить несколько учетных записей (или учетных записей на разных ресурсах), вам понадобится отдельный токен для каждой. Это может привести к появлению связки различных устройств, которые может быть неудобно носить с собой (это также верно для YubiKey, но несколько слим не занимают много места);
Секретный ключ в таких токенах предварительно прошивается на фабрике, затем передается поставщику, а затем передается владельцу веб-сайта. Конечно, ключи передаются в зашифрованном виде, но остается малая вероятность того, что на каком-то этапе недобросовестный сотрудник или хакер утечка секретных ключей. В этом отношении Protectimus Slim NFC безоговорочно выигрывает. Он прошивается пользователем со своего личного смартфона с секретным ключом, который известен только им.


Программируемые аппаратные токены Protectimus Slim NFC
Основной целью создания этого токена было получение более универсальной и безопасной замены OATH-совместимым приложениям генерации кода, таким как Google Authenticator, Authy, Protectimus Smart и т. Д.

OTP токены Protectimus SLIM Mini

Плюсы:

Основное преимущество такого решения с двухфакторной аутентификацией заключается в том, что токен может быть прошит неограниченное количество раз при смене секретного ключа. Таким образом, вы можете использовать его на веб-сайтах, которые предлагают только мобильную аутентификацию, при необходимости изменить секретный ключ, а также переназначить его другому сервису, если хотите.
Высокий уровень безопасности, поскольку бесконтактный токен неуязвим для внедрения вредоносного кода.
Нет необходимости подключать токен к какому-либо порту, следовательно, нет необходимости отключать его при удалении от рабочей станции.
Возможность смены секретного ключа и перепрошивки токена занимает всего три минуты.
Более универсальный и менее дорогой по сравнению с вариантом ключей U2F (разница в цене до 40% при сопоставимых характеристиках).
Вы можете заказать индивидуальный брендинг даже при заказе одного токена.

Минусы:

Встроенного аккумулятора хватает примерно на пять лет, после чего жетон необходимо заменить.
Некоторые ограничения на размер паролей (разрешены только секретные ключи длиной от 16 до 32 символов в кодировке Base32), встроенный дисплей для сигнатуры вызова имеет шестипозиционную позицию (стандарт, поддерживаемый Google Authenticator). Это делает такой токен неприменимым к ресурсам, которые используют секретные ключи короче 16 и длиннее 32 символов, а также восьмизначные одноразовые пароли, хотя такие редкость.


Биометрические данные

Этот метод аутентификации использует биометрические данные пользователя — отпечатки пальцев, черты лица , радужную оболочку глаза или распознавание голоса. Несомненным достоинством этого метода является его несравненное удобство. Вы просто сканируете соответствующую часть тела и получаете доступ. Тем не менее, в настоящее время биометрические сканеры недостаточно точны, чтобы служить надежным вторым фактором, несмотря на то, что их продвигают как таковые такие отраслевые гиганты, как Google, Samsung и Apple. И если ваши биометрические данные не распознаются, вы должны ввести пароль восстановления, который фактически сводит на нет всю цель двухфакторной аутентификации. Более того, если ваш биометрический фактор, например, радужная оболочка глаза, однажды был скомпрометирован, он больше не может служить фактором аутентификации. Даже если в настоящее время взломать биометрические сканеры сложно, это все еще возможно и со временем станет проще.

Биометрическая аутентификация — отпечатки пальцев

Плюсы:

Удобство для пользователя;
Нет необходимости в физических носителях;
Нет необходимости подключаться к каким-либо сетям.


Минусы:

Чрезвычайно высокая стоимость внедрения и развертывания;
На сегодняшний день риск неточного распознавания все еще достаточно высок (это означает, что система может отказать в доступе из-за ошибочного определения биометрических параметров пользователя). Например, рисунок пальцев легко может быть поврежден обычными порезами; кроме того, есть категория людей — с особенностями температуры и влажности тела — которым очень сложно снять отпечаток;
Если биометрический фактор однажды будет скомпрометирован, его больше нельзя будет использовать.


Самым бюджетным и простым в реализации является SMS-аутентификация или специальные приложения для генерации одноразовых паролей. Если потребность в конфиденциальности очень высока, вам больше всего подходят бесконтактные токены , которые, с одной стороны, не хранят никаких ваших личных данных (например, биометрической информации), а с другой стороны, являются уникальными и не могут быть взломаны (кроме того, что кто-то украл само устройство, чему, однако, можно противостоять). Что касается биометрии , то ее реализация надежна только в том случае, если предусматривается какой-то резервный метод идентификации, и это требует довольно значительных финансовых вложений.

Однако следует твердо отметить одну вещь — 2FA решает проблему, которая возникает, когда один из факторов аутентификации скомпрометирован. Однако, если оба фактора находятся на одном устройстве, то двухфакторной аутентификации действительно нет. Для обеспечения надлежащего уровня безопасности оба фактора должны быть из разных групп или реализованы с разных устройств.

Оставьте комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *