2fa або mfa (дво- або багатофакторна аутентифікація)
Метод двофакторної (2FA) або багатофакторної автентифікації (MFA) використовує два або більше факторів для автентифікації користувача. Він вважається більш безпечним, ніж звичайний однофакторний метод автентифікації, описаний у попередній статті (Керівництво з цифрових посвідчень – Частина 2).
Через цифрову еру стільки нашого життя відбувається на ноутбуках та мобільних пристроях, і кіберзлочинці часто атакують наші цифрові акаунти. 2FA або MFA утворює додатковий рівень захисту для забезпечення більш безпечного процесу автентифікації та сприяє уповільненню рівня кіберзлочинності.
Два методи автентифікації, поглиблена та адаптивна автентифікація, обидва використовують 2FA або MFA. Почнемо з розмови про них.
Поглиблена автентифікація: Цей метод значно знижує ризик доступу хакера до ваших онлайн-акаунтів. Він включає в себе прохання користувача пройти автентифікацію, використовуючи такі фактори під час входу:
Спочатку пройдіть автентифікацію, використовуючи те, що ви знаєте (пароль).
Потім пройти автентифікацію за допомогою другого фактора через щось, що є у вас (мобільний телефон, ключ безпеки) або щось, що ви є (біометрія).
Наприклад, банківський портал вимагає ввести ідентифікатор користувача та пароль, а потім ввести OTP, отриманий на зареєстрований номер мобільного телефону. У цьому випадку OTP на вашому мобільному номері працює як другий фактор автентифікації. Аналогічно, замість OTP через SMS можна використовувати інший фактор 2FA.
Адаптивна автентифікація: Цей метод значно захищає користувачів від шахрайства у випадку незвичної діяльності в обліковому записі. Він включає в себе запит на повторну автентифікацію користувача на основі налаштованого профілю ризику або схильності користувача використовувати програму. Він використовує те, що у вас є, або те, що ви є, як фактор автентифікації.
Наприклад, програма електронної комерції може вимагати від зареєстрованого користувача автентифікації у таких випадках:
Кілька наступних невдалих запитів на транзакції (профіль ризику).
Створення масового замовлення, яке коштує значної суми (незвична діяльність в обліковому записі, тобто користувач ніколи раніше не створював масове замовлення).
Далі поговоримо про популярні типи 2FA або MFA, що використовуються для поглибленої та адаптивної автентифікації:
1 ключ безпеки / апаратний маркер
Це фізичні пристрої, що надаються авторизованим користувачам комп’ютерної системи чи служби для автентифікації.
Апаратні маркери – це невеликі портативні пристрої, які зберігають або унікальні криптографічні ключі, або біометричну інформацію користувача. Вони також можуть посилатися на пристрої, які відображають персональний ідентифікаційний номер (PIN), який динамічно змінюється із заданою частотою.
Після підключення апаратного маркера до ноутбука або мобільного пристрою ви можете використовувати його для автентифікації такими способами:
Додаток зчитує криптографічний ключ та автентифікує вас.
Ви скануєте відбиток пальця на пристрої для автентифікації.
Ви вводите PIN-код, який відображається на пристрої для автентифікації.
Цей метод 2FA може бути корисним, коли:
= Ваша цільова аудиторія не має належного зв’язку стільникового телефону чи Інтернету на мобільному телефоні, щоб отримати OTP або SMS.
= Ви не хочете, щоб користувачі використовували свої мобільні телефони для автентифікації з міркувань безпеки.
Переваги апаратних токенів на основі 2FA:
Для генерації токенів не потрібне підключення до Інтернету.
Безпечні та надійні, оскільки вони призначені для виконання одного завдання.
Недоліки апаратних токенів на основі 2FA:
Дорого в налаштуванні та обслуговуванні.
Легко втрачається або втрачається.
2 otp (sms або голосовий)
OTP генеруються на стороні сервера і надсилаються на мобільний номер користувача. Алгоритми генерації OTP використовуються для створення випадкової, непередбачуваної та незворотної послідовності OTP, яка може бути доставлена за допомогою SMS або голосового дзвінка. Потім користувач вводить отриманий OTP для аутентифікації.
Цей метод може бути корисним, коли ви хочете використовувати номер телефону користувача для 2FA, або цільова аудиторія не має належного підключення до Інтернету на своїх мобільних пристроях.
Переваги 2FA на основі OTP:
Зручний для користувачів, оскільки він базується на SMS / голосовому дзвінку.
Недорого в налаштуванні та обслуговуванні.
Недоліки 2FA на основі OTP:
Треті сторони можуть перехоплювати SMS / голосові дзвінки.
Телефон повинен приймати SMS / голосовий дзвінок та заповнити 2FA.
3 пристрій
У цьому випадку мобільний пристрій діє як маркер і використовує особливі фактори, унікальні для пристрою. Якщо унікальний коефіцієнт пристрою та значення, що зберігаються в базі даних, однакові, програма виконує поглиблену або адаптивну автентифікацію.
Підвищена або адаптивна автентифікація використовує такі унікальні фактори:
Міжнародний ідентифікаційний номер мобільного обладнання (IMEI): Номер IMEI є унікальним для кожного мобільного телефону і доступний на самому мобільному телефоні з бази даних сервера. Це дозволяє користувачеві ідентифікувати себе за допомогою цього пристрою.
Номер міжнародного ідентифікатора абонента мобільного зв’язку (IMSI): IMSI – це унікальний номер, пов’язаний із SIM-карткою в мобільному телефоні і доступний на самій SIM-картці з бази даних сервера. Це дозволяє користувачеві ідентифікувати себе за цією SIM-карткою.
Якщо номер IMEI або IMSI пристрою та значення, збережені в базі даних програми, однакові, то користувач авторизований.
Цей метод 2FA може бути корисним для мобільних додатків, де додатки підключені до мобільного номера користувача, забезпечуючи додатковий захист.
Наприклад, коли ви налаштовуєте платіжну програму на своєму мобільному пристрої, він просить вас встановити PIN-код / пароль / відбиток пальця, а потім надіслати запит на SMS із вашого пов’язаного номера телефону. Це повідомлення містить номер IMSI вашої SIM-картки. Пізніше ви зможете увійти в платіжну програму, просто надавши встановлений PIN-код / пароль / відбиток пальця, якщо у вашому пристрої є номер телефону, який використовується для 2FA.
Однак можливо, що платіжна програма дозволить лише один активний сеанс за раз на мобільному пристрої.
Переваги пристрою на основі 2FA:
Після налаштування він працює у фоновому режимі, тобто не вимагає участі користувача, поки користувач не змінить пристрій або SIM-карту.
Надзвичайно безпечний, оскільки доступ до облікового запису користувача неможливий на будь-якому іншому пристрої, крім зареєстрованого.
Недоліки пристрою на основі 2FA:
Сторонні сторони можуть перехоплювати SMS-повідомлення.
Для отримання SMS та заповнення 2FA потрібен телефон.
4 sms
При аутентифікації на основі SMS мобільний телефон надсилає на сервер унікальну ідентифікаційну інформацію на сервер через SMS для автентифікації користувача. Потім сервер перевіряє вміст SMS. Якщо вміст правильний, сервер випадково генерує OTP і надсилає його на мобільний телефон. Ви можете використовувати OTP протягом фіксованого інтервалу часу.
Цей метод 2FA може бути зручним, коли програма підключена до мобільного номера користувача. Це забезпечує додаткову безпеку.
Наприклад, коли ви налаштовуєте фінансовий додаток на мобільному телефоні, процес входу може бути завершений двома наступними кроками:
= Ви вводите PIN-код / пароль / сканування відбитка пальця.
= Додаток просить вас вибрати номер телефону, за яким ви зареєстрували свій обліковий запис. Потім вам потрібно надіслати SMS до програми, яка діє як метод 2FA для входу в обліковий запис.
Переваги 2FA на основі SMS:
Зручний для користувачів, оскільки він заснований на SMS.
Недорого в налаштуванні та обслуговуванні.
Недоліки 2FA на основі SMS:
Сторонні сторони можуть перехоплювати SMS-повідомлення.
Для надсилання SMS та заповнення 2FA потрібно телефон.
5 біометричний
Біометрична автентифікація здійснюється за допомогою відбитків пальців, сітківки або розпізнавання обличчя. Докладніше про ці типи біометричної автентифікації див. У розділі біометричної автентифікації попередньої статті (Частина 2).
Цей метод 2FA корисний, коли необхідно оновити безпеку та забезпечити вхід до програми лише бажаного користувача. Наприклад, працівник може входити в систему та виконувати різні операції на порталі організації. Однак, щоб відзначити відвідуваність, співробітнику потрібно просканувати палець або скористатися розпізнаванням обличчя.
Переваги 2FA на біометричній основі:
Окреме генерування маркера не потрібно, оскільки користувачем є маркер.
Доступні різні варіанти, такі як відбитки пальців, сітківка, розпізнавання обличчя.
Зручний для користувача.
Недоліки біометрії 2FA:
Потрібне додаткове обладнання для зчитування та перевірки біометричних даних.
Зберігання біометричних даних викликає загрозу конфіденційності.
Якщо біометричні дані порушено, їх неможливо скинути.
6 програма автентифікатора / soft token
Аутентифікація на основі програми Authenticator використовує одноразовий пароль, створений програмним забезпеченням. Його також називають м’яким символом. Для цього способу автентифікації користувач повинен завантажити та встановити програму 2FA на своєму мобільному пристрої.
М’які маркери залежать від часу, тобто термін дії закінчується після досягнення встановленого часу закінчення. Це додає додатковий рівень безпеки в порівнянні з OTP на основі SMS.
На відміну від автентифікації на основі SMS-OTP, цей метод вимагає підключення до Інтернету та смартфона.
Цей метод 2FA може бути корисним, коли цільова аудиторія не має належного підключення до Інтернету або стільникової мережі на своїх мобільних пристроях. Популярним додатком автентифікатора є додаток Google Authenticator.
Переваги програмного забезпечення на основі токенів 2FA:
Для генерації маркера не потрібне підключення до Інтернету або стільникової мережі.
Одну програму автентифікації можна використовувати для декількох додатків.
Більш безпечний у порівнянні з 2FA на основі SMS / OTP.
Зручний для користувача.
Недоліки програмного забезпечення на основі токенів 2FA:
Потрібна додаткова установка програмного забезпечення.
Дорого в впровадженні та обслуговуванні.
7 push-сповіщення
У цьому випадку користувачеві надсилається push-повідомлення для автентифікації. Користувач може прийняти або відхилити запит на доступ одним дотиком. Цей метод усуває необхідність введення OTP або використання біометрії для 2FA. Крім того, це дуже безпечний метод 2FA і допомагає зменшити атаки “людина посередині” та фішинг.
На відміну від автентифікації на основі SMS та OTP, для цього методу потрібне підключення до Інтернету та смартфон.
Цей метод 2FA може бути корисним, коли цільова аудиторія має з’єднання з Інтернетом на своєму мобільному пристрої, і для зручності використання ви не хочете, щоб вона вводила OTP. Таким чином, ви надсилаєте їм push-повідомлення з можливістю прийняти або відхилити.
Переваги 2FA на основі push-сповіщень:
Зручний для користувача, оскільки користувачі можуть клацнути один раз, щоб дозволити або заборонити автентифікацію.
Безпечний, оскільки ним не можна користуватися, доки мобільний пристрій не розблокується.
Недоліки 2FA на основі push-сповіщень:
Для отримання телефонного сповіщення потрібен телефон.
Наступна стаття буде присвячена автентифікації єдиного входу (SSO) з інформацією про те, як це працює, типи SSO та різні протоколи SSO. Залишайтеся з нами!
Спочатку ця публікація була опублікована за адресою https://www.linkedin.com/pulse/guide-digital-identity-part-3-2fa-mfa-deepak-gupta/.
Deepak Gupta люб’язно дозволив нам перекласти і опублікувати цю статтю.
Temy.co - Software Development Partner 