Многофакторная аутентификация (MFA)

[Carding 4 Carders]

Вот традиционный, не очень безопасный способ входа в свой банковский счет: введите свое имя пользователя и знакомый пароль, который вы, вероятно, используете для большинства своих онлайн-счетов. Тогда вы в деле. Вы можете заниматься своими делами.
Не так быстро! Если вы один из 54% потребителей, которые, согласно TeleSign, используют пять или меньше паролей для всех своих учетных записей, вы можете создать «эффект домино», который позволит хакерам заблокировать несколько учетных записей, просто взломав один пароль. Хорошие новости? Есть простой способ лучше защитить ваши учетные записи (которые содержат много личной информации) с помощью многофакторной аутентификации (MFA) .

​

Что такое многофакторная аутентификация (MFA)?​

MFA довольно прост, и организации больше, чем когда-либо, сосредотачиваются на создании удобного взаимодействия с пользователем. Фактически, вы, вероятно, уже используете его в той или иной форме. Например, вы использовали MFA, если у вас:

• провел банковскую карту в банкомате, а затем ввел свой PIN-код (личный идентификационный номер).
• вошли на веб-сайт, который отправил на ваш телефон числовой код, который вы затем ввели, чтобы получить доступ к своей учетной записи.

MFA, иногда называемая двухфакторной аутентификацией или 2FA, является улучшением безопасности, которое позволяет вам представить два доказательства - ваши учетные данные - при входе в учетную запись. Ваши учетные данные попадают в любую из этих трех категорий: что-то, что вы знаете (например, пароль или PIN-код), что-то, что у вас есть (например, смарт-карта), или что-то, что вы есть (например, ваш отпечаток пальца). Для повышения безопасности ваши учетные данные должны относиться к двум разным категориям, поэтому ввод двух разных паролей не будет считаться многофакторным.

Итак, рассмотрим простой сценарий: вход в свой банковский счет. Если вы включили MFA или ваш банк включил его за вас, все пойдет немного иначе. В первую очередь, как правило, вы вводите свое имя пользователя и пароль. Затем, в качестве второго фактора, вы будете использовать приложение-аутентификатор, которое сгенерирует одноразовый код, который вы вводите на следующем экране. Затем вы вошли в систему - вот и все!


Предоставлено: NIST / Наташа Ганачек.

В большинстве случаев это даже проще. Большинство подходов MFA запоминают устройство. Поэтому, если вы вернетесь, используя тот же телефон или компьютер, сайт запомнит ваше устройство как второй фактор. Между распознаванием устройств и аналитикой банк, вероятно, работает - например, входите ли вы через 20 минут позже из другого конца света - в большинстве случаев единственные, кто должен выполнять дополнительную работу, - это те, кто пытается взломать вашу учетную запись .

Так в чем же дело?​

MFA помогает защитить вас, добавляя дополнительный уровень безопасности, затрудняя злоумышленникам вход в систему, как если бы они были вами. Ваша информация в большей безопасности, потому что злоумышленникам потребуется украсть и ваш пароль, и ваш телефон. Вы обязательно заметите, если ваш телефон пропал, поэтому вы сообщите об этом до того, как вор сможет использовать его для входа в систему. Кроме того, ваш телефон должен быть заблокирован, требуя PIN-код или отпечаток пальца для разблокировки, что делает его еще менее полезным, если кто-то хочет использовать свои учетные данные MFA.

Согласно недавнему опросу Google, использование двухфакторной аутентификации - одна из трех основных вещей, которые делают эксперты по безопасности для защиты своей безопасности в Интернете. И потребители думают так же: почти 9 из 10 (86%) говорят, что использование 2FA заставляет их чувствовать, что их онлайн-информация более безопасна, согласно TeleSign.

Когда мне следует использовать MFA?​

Остановить все онлайн-преступления - нереальная цель, но простые шаги могут значительно снизить вероятность того, что вы станете следующей жертвой.

По возможности вам следует использовать MFA, особенно когда речь идет о ваших наиболее конфиденциальных данных, таких как ваш основной адрес электронной почты, финансовые счета и медицинские записи. Хотя некоторые организации требуют, чтобы вы использовали MFA, многие предлагают его в качестве дополнительной опции, которую вы можете включить, но вы должны проявить инициативу, чтобы включить ее. Более того, если компания, с которой вы регулярно взаимодействуете, например, ваша медицинская организация, хочет предоставить вам удобный онлайн-доступ к медицинским записям, результатам анализов и счетам, но предлагает пароль только как способ защиты этих данных, подумайте о том, чтобы сказать: «Нет, спасибо, пока вы не предоставите МИД для защиты моей информации.

Вы можете найти список веб-сайтов, предлагающих MFA здесь, и пошаговые инструкции по включению его для ваших учетных записей. Вы даже можете использовать расширение браузера, которое было создано в результате прошлогоднего конкурса National Day of Civic Hacking, который мы организовали; он позволяет узнать, какие из веб-сайтов, которые вы используете, предлагают MFA, и упрощает поиск тех, которые этого не делают.

Все просто: включите MFA сегодня!

 

[Carding 4 Carders]

Многофакторная аутентификация (MFA) - это система безопасности, которая требует более одного метода аутентификации из независимых категорий учетных данных для проверки личности пользователя для входа в систему или другой транзакции. Многофакторная аутентификация сочетает в себе две или более независимых учетных данных: что знает пользователь (пароль), что у пользователя (токен безопасности) и что он представляет собой ( биометрическая проверка).

Цель MFA - создать многоуровневую защиту и затруднить несанкционированный доступ к цели, такой как физическое местоположение, вычислительное устройство, сеть или база данных. Если один фактор скомпрометирован или сломан, у злоумышленника все еще есть по крайней мере еще один барьер, который нужно преодолеть, прежде чем успешно взломать цель. В прошлом системы MFA обычно полагались на двухфакторную аутентификацию. Поставщики все чаще используют термин «многофакторный» для описания любой схемы аутентификации, которая требует более одного удостоверения личности.

Задний план​

Одна из самых больших проблем с традиционным идентификатором пользователя и паролем для входа в систему - необходимость ведения базы данных паролей. Вне зависимости от того, зашифрована она или нет, если база данных захвачена, она предоставляет злоумышленнику источник для проверки своих предположений на скоростях, ограниченных только его аппаратными ресурсами. По прошествии некоторого времени база захваченных паролей упадет.

По мере увеличения скорости обработки процессоров атаки методом грубой силы стали реальной угрозой. Дальнейшие разработки, такие как взлом паролей GPGPU и радужные таблицы, предоставили злоумышленникам аналогичные преимущества. Например, взлом GPGPU может генерировать более 500000000 паролей в секунду даже на низком игровом оборудовании. В зависимости от конкретного программного обеспечения, радужные таблицы можно использовать для взлома 14-значных буквенно-цифровых паролей примерно за 160 секунд. Теперь специализированные карты FPGA, подобные тем, которые используются службами безопасности, предлагают в десять раз большую производительность при незначительной части энергопотребления графического процессора. Сама по себе база данных паролей не имеет шансов против таких методов, когда она является реальной целью.

Факторы аутентификации​

Фактором аутентификации является категорией верительных используется для проверки идентичности. Для MFA каждый дополнительный фактор предназначен для повышения уверенности в том, что субъект, участвующий в каком-либо виде связи или запрашивающий доступ к какой-либо системе, является тем, кем или чем они объявлены. Три наиболее распространенные категории часто описываются как то, что вы знаете (фактор знания), что-то, что у вас есть (фактор владения) и что-то, чем вы являетесь (фактор принадлежности).

Факторы знаний - этот тип проверки подлинности на основе знаний (KBA) обычно требует от пользователя ответа на секретный вопрос.

Факторы владения - пользователь должен иметь что-то конкретное, чтобы войти в систему, например, токен безопасности, брелок или SIM-карту телефона. Для мобильной аутентификации смартфон часто предоставляет фактор владения вместе с приложением OTP.

Факторы наследования - любые биологические особенности пользователя, подтвержденные для входа в систему. В эту категорию входят методы биометрической аутентификации, в том числе следующие:

• Сканирование сетчатки
• Сканы радужной оболочки глаза
• Сканирование отпечатков пальцев
• Геометрия руки
• Распознавание лиц
• Геометрия мочки уха
• Распознавание голоса

Факторы местоположения - текущее местоположение пользователя часто предлагается в качестве четвертого фактора для аутентификации. Опять же, повсеместное распространение смартфонов может помочь здесь облегчить бремя аутентификации: пользователи обычно носят с собой свои телефоны, и большинство смартфонов имеют устройство GPS, что обеспечивает разумное достоверное подтверждение местоположения входа.

Факторы времени. Текущее время также иногда считается четвертым фактором аутентификации или пятым фактором. Проверка идентификаторов сотрудников на соответствие графику работы может предотвратить некоторые виды атак с перехватом учетных записей пользователей. Клиент банка физически не может использовать свою карту банкомата, например, в Америке, а затем в России через 15 минут. Такие логические блокировки могут предотвратить многие случаи мошенничества в онлайн-банках.

Технологии многофакторной аутентификации:​

Типичные сценарии MFA включают:

• Проведение карты и ввод ПИН-кода.
• Вход на веб-сайт и запрос на ввод дополнительного одноразового пароля (OTP), который сервер аутентификации веб-сайта отправляет на телефон или адрес электронной почты запрашивающего.
• Скачивание VPN-клиента с действующим цифровым сертификатом и вход в VPN перед предоставлением доступа к сети.
• Проведение карты, сканирование отпечатка пальца и ответ на секретный вопрос.
• Прикрепление аппаратного токена USB к рабочему столу, который генерирует одноразовый пароль, и использование одноразового пароля для входа в VPN-клиент.

Технологии, необходимые для поддержки этих сценариев, включают следующее:

Жетоны безопасности: небольшие аппаратные устройства, которые владелец несет для авторизации доступа к сетевой службе. Устройство может иметь форму смарт-карты или может быть встроено в легко переносимый объект, такой как брелок или USB-накопитель. Аппаратные токены обеспечивают фактор владения для многофакторной аутентификации. Программные токены становятся все более распространенными, чем аппаратные устройства.

Программные токены: приложения с программными токенами безопасности, которые генерируют одноразовый PIN-код для входа. Программные токены часто используются для многофакторной мобильной аутентификации, при которой само устройство, например смартфон, обеспечивает фактор владения.

Мобильная аутентификация: варианты включают: SMS-сообщения и телефонные звонки, отправляемые пользователю в качестве внеполосного метода, приложения OTP для смартфонов, SIM-карты и смарт-карты с сохраненными данными аутентификации.

Биометрия. Компоненты биометрических устройств включают считыватель, базу данных и программное обеспечение для преобразования сканированных биометрических данных в стандартизированный цифровой формат и для сравнения точек совпадения наблюдаемых данных с сохраненными данными.

GPS: приложения для смартфонов с GPS могут определять местоположение как фактор аутентификации.

Прошлое, настоящее и будущее многофакторной аутентификации​

В Соединенных Штатах интерес к многофакторной аутентификации был вызван такими постановлениями, как директива Федерального экзаменационного совета финансовых учреждений (FFIEC), призывающая к многофакторной аутентификации для транзакций интернет-банкинга.