Реализация многофакторной аутентификации

[Carding 4 Carders]

Многофакторная проверка подлинности - один из наиболее эффективных средств контроля, который организация может внедрить для предотвращения получения злоумышленником доступа к устройству или сети и доступа к конфиденциальной информации. При правильной реализации многофакторная аутентификация может значительно затруднить злоумышленнику кражу законных учетных данных для облегчения дальнейших злонамеренных действий в сети. Благодаря своей эффективности, многофакторная аутентификация входит в восьмерку важных стратегий предотвращения инцидентов кибербезопасности.

Введение​

Многофакторная аутентификация - один из наиболее эффективных средств контроля, который организация может внедрить для предотвращения получения злоумышленником доступа к устройству или сети и доступа к конфиденциальной информации. При правильной реализации многофакторная аутентификация может значительно усложнить злоумышленнику кражу законных учетных данных для облегчения дальнейших вредоносных действий в сети. Благодаря своей эффективности, многофакторная аутентификация входит в восьмерку основных стратегий предотвращения инцидентов кибербезопасности. .
Этот документ был разработан, чтобы дать руководство о том, что такое многофакторная аутентификация, различные существующие методы многофакторной аутентификации и почему одни методы многофакторной аутентификации более безопасны и, следовательно, более эффективны, чем другие. Также обсуждается, чем многофакторная аутентификация отличается от многоэтапной аутентификации.
Многофакторная аутентификация должна быть реализована для решений удаленного доступа, пользователей, выполняющих привилегированные действия, и пользователей, получающих доступ к важным (конфиденциальным или высокодоступным) репозиториям данных. Использование многофакторной аутентификации обеспечивает безопасный механизм аутентификации, который не так подвержен атакам методом грубой силы, как традиционные методы однофакторной аутентификации с использованием паролей или парольных фраз.

Почему важна многофакторная аутентификация?​

Злоумышленники часто пытаются украсть учетные данные законного пользователя или администратора при взломе сети. Эти учетные данные позволяют им легко распространяться в сети и выполнять вредоносные действия без дополнительных эксплойтов, тем самым снижая вероятность обнаружения. Злоумышленники также будут пытаться получить учетные данные для решений удаленного доступа, включая виртуальные частные сети (VPN), поскольку эти обращения могут еще больше замаскировать их действия и снизить вероятность обнаружения.
Когда многофакторная аутентификация реализована правильно, злоумышленнику значительно труднее украсть полный набор учетных данных, поскольку пользователь должен доказать, что у него есть физический доступ ко второму фактору, который либо у них есть (например, физический токен, смарт-карта или сертификат программного обеспечения) или есть (например, отпечаток пальца или скан радужной оболочки глаза).
При реализации многофакторной аутентификации важно, чтобы это было сделано правильно, чтобы свести к минимуму уязвимости системы безопасности и избежать ложного чувства безопасности, которое может сделать сеть уязвимой. Например, когда многофакторная аутентификация используется для решений удаленного доступа в организации, но не для корпоративных рабочих станций, злоумышленник может скомпрометировать имя пользователя / парольную фразу с устройства, используемого для удаленного доступа, а затем использовать его для аутентификации либо локально для корпоративной рабочей станции или для распространения в сети после компрометации начальной рабочей станции в сети с помощью методов целевого фишинга. В таком сценарии

Что такое многофакторная аутентификация?​

Многофакторная аутентификация определяется как «метод аутентификации, который использует два или более факторов аутентификации для аутентификации одного заявителя для одного верификатора аутентификации».
Факторы аутентификации, составляющие запрос многофакторной аутентификации, должны исходить из двух или более из следующих:

• что-то известное заявителю (например, личный идентификационный номер (PIN), пароль или ответ на запрос)
• что-то есть у заявителя (например, физический токен, смарт-карта или сертификат программного обеспечения)
• что-то, что является истцом (например, отпечаток пальца или скан радужной оболочки глаза).

Аутентифицируемым заявителем может быть человек, устройство, служба, приложение или любой другой участник безопасности, который может быть аутентифицирован в системе.
Верификатор аутентификации - это точка входа в ограниченную подсистему, в которой применяется единая техническая политика аутентификации.
Многофакторная аутентификация часто включает использование парольных фраз в дополнение к одному или нескольким из следующих методов многофакторной аутентификации:

• Ключи безопасности Universal 2nd Factor (U2F)
• физические одноразовые токены PIN (OTP)
• биометрия
• смарт-карты
• мобильные приложения
• сообщения службы коротких сообщений (SMS), электронные письма или голосовые вызовы
• сертификаты на программное обеспечение.

Если метод аутентификации в любое время предлагает пользователю возможность уменьшить количество факторов аутентификации до одного фактора, это по определению больше не является методом многофакторной аутентификации. Типичный пример этого - когда пользователю предлагается возможность «запомнить этот компьютер» для общедоступного веб-ресурса. В таком сценарии пользователь может быть сначала аутентифицирован с использованием многофакторной аутентификации, но затем на его устройстве устанавливается токен, так что последующие аутентификации используют один фактор (обычно парольную фразу), пока токен на их устройстве доступен и действителен. . В этом сценарии заявителем, подтвержденным токеном, является веб-браузер пользователя, а не пользователь. Таким образом, это нарушает требование о наличии двух или более факторов аутентификации для аутентификации одного заявителя перед одним верификатором аутентификации. Более того,

Многофакторная аутентификация против многоэтапной аутентификации​

Обычный подход к аутентификации, который часто путают с многофакторной аутентификацией, - это многоэтапная аутентификация. Многоступенчатая аутентификация - это архитектурный подход к последовательному доступу к ресурсам через несколько верификаторов аутентификации. Каждый верификатор аутентификации предоставляет доступ ко все более привилегированным областям системы, пока не будет достигнут доступ к желаемым ресурсам. Верификаторы аутентификации могут быть однофакторными или многофакторными по своей природе.
Хотя многоэтапная аутентификация может значительно повысить безопасность системы, злоумышленнику легче обойти, чем многофакторную аутентификацию, поскольку в системе нет единой точки, которая использует два или более фактора аутентификации для аутентификации одного заявителя на единый верификатор аутентификации. В результате злоумышленник может постепенно скомпрометировать систему, получая постоянно расширяющийся доступ, не преодолевая при этом требование многофакторной аутентификации. По этой причине многоэтапная аутентификация не является подходящей заменой многофакторной аутентификации.
Рассмотрим решение удаленного доступа. В этом сценарии (см. Диаграмму ниже) компьютер имеет сертификат безопасности интернет-протокола (IPsec), который аутентифицирует компьютер на концентраторе VPN, у пользователя есть кодовая фраза, которая аутентифицирует их на концентраторе VPN, а затем парольная фраза, которая аутентифицирует их на концентраторе VPN. Домен Active Directory (AD).
Этот сценарий демонстрирует многоэтапную аутентификацию; однако в этом сценарии не используется многофакторная аутентификация. При аутентификации на концентраторе VPN пользователь и компьютер считаются отдельными заявителями, поэтому сертификат IPsec компьютера и кодовая фраза пользователя не являются формой многофакторной аутентификации. Кроме того, пользователь аутентифицируется отдельно в концентраторе VPN и в домене AD. Эти аутентификации происходят на разных верификаторах аутентификации и не используют разные типы факторов аутентификации; следовательно, этот подход также не является многофакторной аутентификацией.

Риск, связанный с этим сценарием, заключается в том, что злоумышленник может скомпрометировать сертификат IPsec компьютера в один момент времени, скомпрометировать парольную фразу, которую пользователь использует для аутентификации на концентраторе VPN в другой момент времени и, наконец, скомпрометировать AD пользователя. учетные данные в еще один момент времени. Таким образом злоумышленник может со временем расширить свой доступ, что увеличивает уровень риска, связанного с этим подходом.
Рассмотрим второе решение удаленного доступа. В этом сценарии (см. Диаграмму ниже) пользователь аутентифицируется на концентраторе VPN с использованием парольной фразы и одноразового ПИН-кода с физического токена. Все остальные шаги аутентификации такие же, как в предыдущем сценарии.
Этот сценарий демонстрирует относительно безопасную архитектуру удаленной аутентификации с многофакторным методом аутентификации, используемым для аутентификации пользователя на концентраторе VPN. В этом случае компьютер аутентифицируется с помощью однофакторной аутентификации в виде сертификата IPsec компьютера. Многофакторная аутентификация происходит при входе в среду удаленного доступа (с использованием кодовой фразы и одноразового ПИН-кода пользователя), которая проверяет доступ через корпоративную среду, которая остается защищенной однофакторной аутентификацией в виде парольной фразы пользователя. .

Все ли методы многофакторной аутентификации одинаково эффективны?​

Хотя все формы многофакторной аутентификации, перечисленные в этом документе, обеспечивают значительные преимущества по сравнению с однофакторной аутентификацией, некоторые методы более эффективны, чем другие. Примечательно, что многофакторная аутентификация наиболее эффективна, когда один из факторов аутентификации физически отделен от устройства, с которого пользователь обращается к системе или ресурсу, например, с использованием физического токена, а не сертификата программного обеспечения.
Чтобы максимизировать эффективность безопасности любого выбранного метода многофакторной аутентификации, служба аутентификации (если это выделенный сервер аутентификации) должна быть усилена и изолирована от остальной сети, насколько это возможно. Этого можно достичь (как минимум):

• внедрение Essential Eight из стратегий смягчения инцидентов кибербезопасности (где применимо)
• реализация соответствующей сегментации сети и разделения для ограничения типов сетевого трафика к службе аутентификации и от нее только трафиком, необходимым для ее правильной работы, с уделением особого внимания тому, какие устройства и пользователи в сети могут напрямую обращаться к службе аутентификации
• применение любых конкретных рекомендаций по усилению защиты, предоставленных поставщиками.

Методы многофакторной аутентификации​

Ключи безопасности U2F​

В этом методе многофакторной аутентификации в качестве второго фактора используется физический токен или карта (называемая либо ключом безопасности U2F, либо аутентификатором U2F). Программное обеспечение на устройстве пользователя предлагает пользователю либо нажать кнопку на ключе безопасности U2F, либо нажать его с помощью беспроводной связи ближнего радиуса действия (NFC). При этом ключ безопасности U2F использует криптографию с открытым ключом для проверки личности пользователя, подписывая запрос-ответ от службы, который был передан через веб-браузер или мобильное приложение. Затем служба проверяет, подписан ли ответ действительным и правильным закрытым ключом для этой службы, и предоставляет или запрещает доступ к ресурсам.
Для максимальной безопасности и эффективности при использовании этого метода многофакторной аутентификации должны быть реализованы следующие меры безопасности:

• как можно больше укрепить используемые устройства, это может быть достигнуто (как минимум)
  • внедрение Essential Eight из Стратегий смягчения инцидентов кибербезопасности (если применимо)
  • применение любых конкретных рекомендаций по усилению защиты, предоставленных поставщиками
• убедитесь, что пользователи не хранят ключи безопасности U2F на своих устройствах, особенно с возможностями NFC
• убедитесь, что пользователи получают визуальное уведомление каждый раз, когда генерируется запрос аутентификации, который требует от них аутентификации с использованием своего ключа безопасности U2F
• использовать ключи безопасности U2F, сертифицированные [1] на соответствие последней версии спецификации U2F.
• проинструктируйте пользователей сообщать о любых потерянных или отсутствующих ключах безопасности U2F как можно скорее.

Физические одноразовые токены PIN​

Этот метод многофакторной аутентификации использует физический токен, который отображает на экране ограниченный по времени одноразовый ПИН-код в качестве второго фактора. В качестве альтернативы пользователю может потребоваться нажать кнопку на физическом токене, который подключен к его устройству, чтобы отправить одноразовый PIN-код от его имени. Время на физическом токене и службе аутентификации синхронизируется, и служба аутентификации знает, какой одноразовый ПИН-код должен использоваться всеми физическими токенами, которые она обслуживает в определенное время. Когда пользователь аутентифицируется с помощью ключевой фразы и одноразового ПИН-кода, служба аутентификации проверяет правильность всех данных для этого пользователя и предоставляет или запрещает доступ к ресурсам.
Для максимальной безопасности и эффективности при использовании этого метода многофакторной аутентификации должны быть реализованы следующие меры безопасности:

• как можно больше укрепить используемые устройства, это может быть достигнуто (как минимум)
  • внедрение Essential Eight из Стратегий смягчения инцидентов кибербезопасности (если применимо)
  • применение любых конкретных рекомендаций по усилению защиты, предоставленных поставщиками
• убедитесь, что пользователи не хранят физические токены на своих устройствах
• установить время истечения срока действия одноразового ПИН-кода, сгенерированного физическими токенами, на минимально возможное значение
• проинструктируйте пользователей сообщать о любых потерянных или отсутствующих физических токенах как можно скорее
• убедитесь, что пользователи знают, что они никогда не должны предоставлять подробную информацию (например, серийный номер) своего физического токена, если они не уверены, что это запрашивается их персоналом службы поддержки ИКТ.

Биометрия​

В этом методе многофакторной аутентификации в качестве второго фактора используются биометрические данные, такие как отпечаток пальца или сканирование радужной оболочки глаза. Когда пользователь регистрируется, он предоставляет сканирование соответствующих биометрических данных в качестве ориентира для службы аутентификации для сравнения. Когда пользователь аутентифицируется, он предоставляет парольную фразу вместе со своими биометрическими данными, служба аутентификации проверяет как парольную фразу, так и биометрические данные с данными, предоставленными при регистрации, и предоставляет или запрещает доступ к ресурсам. Однако следует отметить, что для каждого биометрического механизма из-за большого количества различий между людьми некоторые из потенциальных пользователей не смогут успешно зарегистрироваться.
Однако в этом методе многофакторной аутентификации есть потенциальные уязвимости безопасности, вызванные тем фактом, что биометрические характеристики не являются секретами (особенно если биометрический считыватель преобразует биометрические данные в хешированную форму), биометрическое сопоставление является вероятностным, а не детерминированным, и полагается на программное обеспечение для захвата биометрических данных, установленное на устройстве пользователя. Если злоумышленник компрометирует устройство пользователя и получает повышенные привилегии, он может использовать услуги, предоставляемые программным обеспечением для захвата биометрических данных, для перехвата и воспроизведения законных запросов аутентификации или инициирования мошеннических запросов аутентификации от имени пользователя - в пределах ограничений любые меры против повторного воспроизведения. Более того,
Для максимальной безопасности и эффективности при использовании этого метода многофакторной аутентификации должны быть реализованы следующие меры безопасности:

• как можно больше укрепить используемые устройства, это может быть достигнуто (как минимум)
  • внедрение Essential Eight из Стратегий смягчения инцидентов кибербезопасности (если применимо)
  • применение любых конкретных рекомендаций по усилению защиты, предоставленных поставщиками
• убедиться, что пользователи получают визуальное уведомление каждый раз, когда создается запрос аутентификации, требующий от них предоставления биометрических данных
• обеспечить внедрение альтернативного метода аутентификации, включая дополнительные меры безопасности, в случаях, когда пользователи не могут успешно зарегистрироваться с помощью биометрических данных.

Смарт-карты​

В этом методе многофакторной аутентификации в качестве второго фактора используется закрытый ключ, хранящийся на смарт-карте. Программное обеспечение на устройстве пользователя предлагает пользователю разблокировать смарт-карту, введя PIN-код или пароль. Когда смарт-карта успешно разблокирована, программное обеспечение на устройстве проверяет личность пользователя, подписывая запрос аутентификации с помощью закрытого ключа пользователя. Затем служба проверки подлинности проверяет, подписан ли запрос проверки подлинности действительным и правильным закрытым ключом, и предоставляет или запрещает доступ к ресурсам.
Как и биометрия, этот метод многофакторной аутентификации имеет потенциальную уязвимость безопасности из-за программного обеспечения, задействованного во взаимодействии со смарт-картой. Если устройство пользователя скомпрометировано и злоумышленник получает повышенные привилегии, он потенциально может перехватить и воспроизвести законные запросы аутентификации или инициировать мошеннические запросы аутентификации от имени пользователя - в пределах ограничений любых мер по предотвращению повторного воспроизведения.
Для максимальной безопасности и эффективности при использовании этого метода многофакторной аутентификации должны быть реализованы следующие меры безопасности:

• как можно больше укрепить используемые устройства, это может быть достигнуто (как минимум)
  • внедрение Essential Eight из Стратегий смягчения инцидентов кибербезопасности (если применимо)
  • применение любых конкретных рекомендаций по усилению защиты, предоставленных поставщиками
• убедитесь, что пользователи не хранят смарт-карты на своих устройствах
• убедитесь, что пользователи получают визуальное уведомление каждый раз, когда генерируется запрос аутентификации, требующий разблокировки смарт-карты
• проинструктировать пользователей не оставлять свою смарт-карту вставленной в устройство и разблокированной
• попросите пользователей как можно скорее сообщать о любых потерянных или пропавших смарт-картах.

Мобильные приложения​

Этот метод многофакторной аутентификации использует ограниченный по времени одноразовый PIN-код или пароль, предоставляемый через мобильное приложение в качестве второго фактора. Когда пользователь регистрируется, он либо сканирует QR-код, либо предоставляет номер телефона или адрес электронной почты, чтобы одноразовый PIN-код или пароль могли быть предоставлены им для регистрации мобильного приложения. В процессе входа в систему пользователь запрашивает у мобильного приложения одноразовый PIN-код или пароль для завершения процесса аутентификации. Затем пользователь предоставляет эту информацию службе аутентификации, которая проверяет правильность всех данных для этого пользователя и предоставляет или запрещает доступ к ресурсам.
Преимущество этого метода многофакторной аутентификации состоит в том, что он использует второй фактор, который уже есть у пользователя, и, следовательно, сводит к минимуму затраты для владельца системы; Однако есть и ряд недостатков, а именно:

• использование устройств для просмотра веб-страниц или чтения электронной почты может означать, что устройство, на котором запущено мобильное приложение, может больше не быть безопасным
• многие устройства небезопасны, и устройство может быть взломано мотивированными и компетентными противниками, особенно при поездках за границу.

Для максимальной безопасности и эффективности при использовании этого метода многофакторной аутентификации должны быть реализованы следующие меры безопасности:

• как можно больше укрепить используемые устройства, это может быть достигнуто (как минимум)
  • внедрение Essential Eight из стратегий смягчения инцидентов кибербезопасности (если применимо)
  • применение любых конкретных рекомендаций по усилению защиты, предоставленных поставщиками
• убедитесь, что срок действия одноразового ПИН-кода или пароля, сгенерированного через мобильное приложение, установлен на минимально возможное значение
• попросите пользователей как можно скорее сообщить о краже или потере устройства, на котором запущено мобильное приложение, даже если это персональное устройство.

SMS-сообщения, электронные письма или голосовые звонки​

В этом методе многофакторной аутентификации в качестве второго фактора используется ограниченный по времени одноразовый ПИН-код или пароль, предоставляемый через SMS-сообщение, электронную почту или голосовой вызов на устройство. Когда пользователь регистрируется, он предоставляет номер телефона или адрес электронной почты, чтобы одноразовый PIN-код или пароль могли быть предоставлены им для регистрации. В процессе входа в систему пользователь запрашивает у службы аутентификации одноразовый PIN-код или пароль для завершения процесса аутентификации. Затем пользователь предоставляет эту информацию службе проверки подлинности, которая проверяет правильность всех данных для этого пользователя и предоставляет или запрещает доступ к ресурсам.
Преимущество этого метода многофакторной аутентификации состоит в том, что он использует второй фактор, который уже есть у пользователя, и, следовательно, сводит к минимуму затраты для владельца системы; Однако есть и ряд недостатков, а именно:

• в зависимости от местоположения пользователя в телекоммуникационных сетях может снизиться качество обслуживания или вообще не работать, что может повлиять на возможность получения одноразового ПИН-кода или пароля.
• использование устройств для просмотра веб-страниц или чтения электронной почты может означать, что SMS-сообщение, электронная почта или голосовой вызов, содержащие одноразовый PIN-код или пароль, могут больше не быть безопасными, особенно когда SMS-сообщения доставляются через VoIP или платформы обмена сообщениями в Интернете.
• многие устройства небезопасны, и устройство может быть взломано мотивированными и компетентными противниками, особенно при поездках за границу
• сети электросвязи не обеспечивают сквозной безопасности, и SMS-сообщение, электронная почта или голосовой вызов могут быть перехвачены мотивированными и компетентными противниками, особенно во время поездок за границу.

Для максимальной безопасности и эффективности при использовании этого метода многофакторной аутентификации должны быть реализованы следующие меры безопасности:

• как можно сильнее укрепить используемые устройства, а также устройства, получающие второстепенные факторы, этого можно достичь (как минимум)
  • внедрение Essential Eight из стратегий смягчения инцидентов кибербезопасности (если применимо)
  • применение любых конкретных рекомендаций по усилению защиты, предоставленных поставщиками
• установить время истечения срока действия одноразового ПИН-кода или пароля, предоставленного через SMS-сообщение, электронную почту или голосовой вызов, на минимально возможное значение
• попросите пользователей как можно скорее сообщить о краже или потере своего устройства, даже если это личное устройство.

Сертификаты программного обеспечения​

В этом методе многофакторной аутентификации в качестве второго фактора используется сертификат программного обеспечения, хранящийся на устройстве. Когда пользователь желает пройти аутентификацию, система пытается получить доступ к сертификату программного обеспечения пользователя, который хранится в файле, в реестре или в Trusted Platform Module (TPM) их устройства. В случае успеха программное обеспечение, установленное на их устройстве, помогает пользователю подтвердить свою личность, подписывая запрос аутентификации с помощью закрытого ключа пользователя. Затем служба проверки подлинности проверяет, подписан ли запрос проверки подлинности действительным и правильным закрытым ключом, и предоставляет или запрещает доступ к ресурсам.
Уязвимость системы безопасности в этом методе многофакторной аутентификации связана с использованием программного обеспечения и операционной системы, установленных на устройстве пользователя. Если злоумышленник скомпрометирует устройство пользователя, злоумышленник может использовать услуги, предоставляемые программным обеспечением, чтобы перехватить и воспроизвести законные запросы аутентификации или инициировать мошеннические запросы аутентификации от имени пользователя - в пределах ограничений любого анти-повторного воспроизведения. меры. Скомпрометировав устройство пользователя, злоумышленник может легко получить доступ к обоим факторам аутентификации с низкой вероятностью обнаружения. Существует также дополнительный риск, что если противник может получить повышенные привилегии, ключи и сертификаты пользователя могут быть украдены с их устройства и использованы злоумышленником со своих устройств или инфраструктуры, чтобы обеспечить длительный и трудный для обнаружения удаленный доступ к сети. По этой причине организациям рекомендуется использовать сертификаты программного обеспечения только для транзакций или систем с низким уровнем риска.
Для максимальной безопасности и эффективности при использовании этого метода многофакторной аутентификации должны быть реализованы следующие меры безопасности:

• как можно больше укрепить используемые устройства, это может быть достигнуто (как минимум)
  • внедрение Essential Eight из стратегий смягчения инцидентов кибербезопасности (если применимо)
  • применение любых конкретных рекомендаций по усилению защиты, предоставленных поставщиками
• убедитесь, что пользователи получают визуальное уведомление каждый раз, когда генерируется запрос аутентификации, который требует от них ввода PIN-кода или пароля для доступа к сертификату программного обеспечения
• сохранить сертификат программного обеспечения в TPM устройства (если он есть), в противном случае сохраните его в хранилище сертификатов устройства, а не в обычном файле в локальном хранилище устройства.
• попросите пользователей как можно скорее сообщить о краже или потере своего устройства, даже если это личное устройство.