Что лучше использовать: 2FA или MFA?

Недостаточно использовать одну из форм аутентификации (например, пароль). Поскольку имена пользователей и пароли оказались уязвимыми в случае атак, организации, желающие повысить безопасность, переходят к двух- и многофакторной аутентификации, чтобы обеспечить более высокую степень доверия и возможность предоставления аутентифицированным пользователям доступа к веб-сайтам, приложениям и ресурсам. В зависимости от потребностей для защиты может быть достаточно добавить один дополнительный уровень аутентификации (например, 2FA). Тем не менее добавление дополнительных факторов в процесс аутентификации повышает уровень безопасности за счет использования комбинации факторов аутентификации каждый раз, когда пользователь запрашивает доступ к чему-либо. Знания : то, что пользователь знает . Владение : то, что у пользователя есть . Биометрические данные : то, что пользователя идентифицирует . Местоположение : место, где пользователь находится.

Что такое двухфакторная аутентификация?

Q: 2FA в сравнении с MFA: в чем разница?

Для двухфакторной аутентификации характерно наличие ровно двух факторов проверки (например, пароля и аутентификации с помощью всплывающего уведомления мобильного устройства), тогда как для MFA — по меньшей мере двух факторов (например, пароля, аутентификации с помощью всплывающего уведомления мобильного устройства и биометрической проверки). Другими словами, 2FA является разновидностью MFA.

- Решения
  - Надежные идентификационные данные
    1. Проверка идентификационных данных
      Обеспечьте высоконадежные идентификационные данные, которые предоставляют гражданам новые возможности.
    2. Выпуск удостоверений
      Выпускайте безопасные, защищенные цифровые и физические удостоверения в больших объемах или мгновенно.
    3. Идентификационные данные пользователей
      Повышайте уровень доверия, защищая идентификационные данные с помощью широкого спектра аутентификаторов.
    4. Идентификационные данные машин
      Выпуск надежных идентификационных данных машин и управление ими для обеспечения безопасной трансформации в интернете вещей и цифровой среде.
    5. Цифровая подпись
      Используйте защищенные, поддающиеся проверке подписи и печати для цифровых документов.
  - Безопасные платежи
    1. Выпуск финансовых карт
      Мгновенный или масштабируемый выпуск финансовых идентификационных и учетных данных на цифровых и физических носителях.
    2. Решение для цифровых карт
      Выдавайте цифровые платежные учетные данные непосредственно держателям карт в мобильном приложении вашего банка.
  - Цифровая инфраструктура
    1. Безопасность баз данных
      Безопасные базы данных с шифрованием, управлением ключами, надежной политикой и контролем доступа.
    2. Безопасность многооблачных сред
      Безопасные ключи шифрования, контейнеры и данные в многооблачных средах.
- Отрасль
- Соблюдение требований
  - 1. PSD2
    2. HIPAA
    3. GDPR
  - 1. CMMC
    2. eIDAS
- Безопасность в облаке, шифрование и управление ключами
  - Управление облачной безопасностью
  - Многооблачное шифрование
  - Управление ключами
- Цифровые сертификаты
  - Сертификаты TLS/SSL от Entrust
  - Квалифицированные сертификаты
  - Продажи и услуги
  - Сертификат с отметкой о проверке (VMC) для BIMI
    Добавьте ваш официальный логотип в электронные письма. Скачайте наш технический документ, чтобы узнать все, что нужно знать о VMC и стандарте BIMI.
    Подробнее
- Использование цифровых подписей
  - Цифровая подпись как услуга
    1. Служба автоматизации подписей
    2. Служба удаленного подписания
  - Сертификаты подписи
  - Серверы подписи
- Аппаратные модули безопасности (HSM)
  - Аппаратные модули безопасности nShield
    1. nShield Connect
      Сетевые устройства, предоставляющие криптографические службы ключей распределенным приложениям.
    2. nShield Edge
      Персональные подключаемые через USB-порт классические модули HSM.
    3. nShield Solo
      Модули HSM на основе карт PCI-Express.
    4. nShield as a Service
      Доступ по подписке к выделенным модулям HSM nShield.
    5. nShield HSMi
  - ПО nShield
  - Управление и мониторинг
    1. nShield Monitor
    2. nShield Remote Administration
  - Соответствие требованиям и нормативам Австралии: защита данных
  - Примеры из практики
  - 1. Просмотреть все примеры из практики
- Управление доступом и идентификационными данными (IAM)
  - Продукты
    1. Identity as a Service
      Облачное IAM
    2. Entrust Identity Enterprise
      Локальное IAM
    3. Entrust Identity Essentials
      Локальное решение для многофакторной аутентификации пользователей Windows
  - Отзывы
  - Возможности портфолио
  - Идентификационные данные персонала
  - Для потребителей и граждан
- Инфраструктура открытых ключей (PKI)
  - Продукты
  - Управляемые услуги
- Централизованный выпуск
  - Платежные карты
  - Карты государственного образца
- Мгновенный выпуск
  - Платежные карты
  - Идентификационные карты
- Выпуск паспортов
  - Паспорта
  - Попробуйте наш конструктор учетных данных паспортов
    Подробнее
- Партнеры
  - Станьте партнером Entrust
    Наши партнерские программы помогут дифференцировать бизнес среди конкурентов, увеличить доходы и повысить лояльность клиентов. Подумайте о том, чтобы присоединиться к одной или нескольким партнерским программам Entrust и стратегически позиционировать вашу компанию и бренд перед максимально возможным количеством потенциальных клиентов.
    Подробнее
  - Каталог партнеров
    Поиск партнеров по местоположению, предложениям, каналам или партнерам по программе Technology Alliance.
    Поиск партнера
  - Программы
  - Вход для партнеров
- Поддержка и обслуживание
  - Связаться со службой поддержки Entrust
  - TrustedCare
    Скачивание продуктов, техническая поддержка, средства на развитие маркетинга.
    Подробнее
  - База знаний о цифровой безопасности
    Руководства, техническая документация, инструкции по установке, часто задаваемые вопросы и инструменты для сертификационных услуг.
    Подробнее
  - База знаний о системах карточной эмиссии
    Технические комментарии, бюллетени продуктов, руководства пользователя, регистрация продуктов, коды ошибок и многое другое.
    Подробнее
  - Профессиональные услуги PKI
  - Криптографический центр передового опыта
    Определяйте лучшие методы работы и стратегии, подходящие для вашей уникальной ИТ-среды.
    Подробнее
  - Индивидуализированные криптографические решения
    1. подпись кода
    2. Интеграция приложений HSM
  - Услуги по внедрению решений
  - Пакетные услуги
  - Обучение и сертификация Entrust
- Ресурсы
  - База знаний о системах карточной эмиссии
    Технические комментарии, бюллетени продуктов, руководства пользователя, регистрация продуктов, коды ошибок и многое другое.
    Подробнее
  - База знаний о цифровой безопасности
    Руководства, техническая документация, инструкции по установке, часто задаваемые вопросы и инструменты для сертификационных услуг.
    Подробнее
- О компании Entrust
  - Обеспечение безопасности мира, находящегося в движении, с 1969 года
    Мы наладили безопасную связь по всей планете и даже в открытом космосе. Мы сделали возможными надежные покупки с помощью дебетовых и кредитных карт благодаря нашим технологиям печати и выпуска карт. Обезопасили международные поездки благодаря решениям пограничного контроля. Сделали Интернет безопасным благодаря нашим сетрификатам SSL. И защитили сети и устройства благодаря нашему набору продуктов для аутентификации доступа.
    Узнайте о нашей истории
  - Cybersecurity Institute
    Получайте особо важную аналитическую информацию и обучайтесь концепциям безопасности, пользуясь нашим информационным бюллетенем Trust Matters, пояснительными видео и подкастом от Cybersecurity Institute.
    Подробнее
- Покупки
  - Портал Entrust Certificate Services
    Существующие клиенты Entrust Certificate Services могут входить в систему для выдачи сертификатов и управления ими или приобретать дополнительные службы.
    Подробнее
  - Entrust Certificate Services в розничной торговле
    Покупка новых единых сертификатов.
    Подробнее
  - Портал для партнеров Entrust Certificate Services
    Существующие партнеры могут инициализировать новых клиентов и управлять запасами.
    Подробнее
  - Расходные материалы для моментальной эмиссии финансовых карт
    1. Вход для зарегистрированных клиентов
    2. Запросить доступ
- Поиск продуктов Entrust
  - Поиск:

Двухфакторная аутентификация (2FA) — это метод аутентификации, требующий от пользователя предоставить ровно два фактора проверки для получения доступа к веб-сайту, приложению или ресурсу. Двухфакторная аутентификация — это подмножество многофакторной аутентификации, которое требует по меньшей мере двух форм аутентификации. Организации используют двухфакторную аутентификацию для добавления дополнительного уровня защиты от распространенных схем атак, таких как фишинг, социальная инженерия и атаки методом подбора пароля.

Зачем нужна двухфакторная аутентификация?

В наши дни утечка данных является более распространенным явлением, и она оказывает тревожное воздействие на бизнес во всем мире, нанося ущерб на сумму более 2 триллионов долл. США в год. В ходе работы организаций над защитой цифровой инфраструктуры и активов становится очевидно, что однофакторной аутентификации (и особенно аутентификации на основе пароля) далеко не достаточно. Пароли легко взломать, особенно из-за плохой гигиены паролей, а также потому, что они редко меняются, используются в разных учетных записях, часто используются совместно и нередко хранятся в незащищенном месте.

Сегодня в работе почти каждого предприятия возникает необходимость добавить второй фактор для аутентификации пользователей.

От каких угроз защищает двухфакторная аутентификация?

Двухфакторная аутентификация обеспечивает дополнительный уровень защиты от многих наиболее распространенных типов киберугроз, в том числе перечисленных ниже.

Украденные пароли. Как упоминалось выше, плохая гигиена паролей позволяет легко красть пароли. В системе двухфакторной аутентификации одного лишь украденного пароля еще недостаточно для взлома учетной записи.
Атаки методом подбора (взлом пароля). Вычислительные мощности становятся все более доступными, и хакеры их используют для случайной генерации паролей до тех пор, пока они не взломают код. Однако взлом второго фактора таким же способом невозможен.
Фишинг. Фишинг остается одним из наиболее распространенных и эффективных способов кражи учетных данных пользователей. Двухфакторная аутентификация защищает от несанкционированного доступа в случае кражи имени пользователя и пароля путем фишинговой атаки.
Социальная инженерия. Умные хакеры все чаще используют социальные сети для совершения атак, обманом заставляя пользователей добровольно предоставить свои учетные данные. Но без второго фактора хакер не сможет получить доступ к учетной записи.

Как работает двухфакторная аутентификация

Базовый процесс входа с помощью двухфакторной аутентификации уже знаком почти всем. Конкретные шаги отличаются в зависимости от используемых факторов, однако суть процесса заключается в следующем:

Приложение или веб-сайт предлагает пользователю войти в систему.
Пользователь предъявляет первый фактор. Этот первый фактор почти всегда является тем, что пользователь «знает», например сочетанием его имени и пароля или одноразовым паролем, сгенерированным аппаратным токеном или приложением для смартфона.
Сайт или приложение проверяет первый фактор, а затем предлагает пользователю предъявить второй фактор. Этот второй фактор обычно является тем, что пользователь «имеет», например маркером безопасности, идентификационной картой, приложением для смартфона и т. д.
После того как сайт или приложение подтвердит второй фактор, пользователю будет предоставлен доступ.

Какие бывают примеры двухфакторной аутентификации?

Аутентификаторы и токены аутентификации делятся на четыре основные категории: то, что у вас есть; то, что вы знаете; то, кем вы являетесь; то, где вы находитесь.

То, что у вас есть. Карта физического доступа, смартфон или другое устройство, цифровой сертификат.
То, что вы знаете. PIN-код или пароль.
То, кем вы являетесь. Биометрические данные, например отпечатки пальцев или снимки сетчатки.

Классическое сочетание имени пользователя и пароля формально является рудиментарной формой двухфакторной аутентификации. Но поскольку имя пользователя и пароль попадают в категорию «то, что вы знаете», это сочетание легче скомпрометировать.

История аутентификаторов и факторов

Аппаратные токены

Аппаратные токены — это небольшие физические устройства, которые пользователи предъявляют для получения доступа к ресурсу. Аппаратные токены могут быть подключенными (например, USB, смарт-карта, брелоки одноразовых паролей) или бесконтактными (например, токены Bluetooth). Эти токены пользователь носит с собой. В самой первой версии современной двухфакторной аутентификации, введенной в 1993 году RSA, использовалось портативное устройство с крошечным экраном, где отображались случайно сгенерированные числа, которые сопоставлялись с алгоритмом для подтверждения личности держателя устройства. Аппаратные токены также могут быть утеряны или украдены.

Токены на основе SMS

С распространением мобильных телефонов широкую популярность быстро получила двухфакторная аутентификация на основе SMS-сообщений. Пользователь вводит имя, а затем получает одноразовый пароль (OTP) в SMS (текстовом сообщении). В похожем варианте для предоставления одноразового пароля используется голосовой вызов на сотовый телефон. В обоих случаях передачу одноразового пароля относительно легко взломать, из-за чего такая форма двухфакторной аутентификации считается не самой надежной.

Токены на основе приложений

С появлением смартфонов и других умных мобильных устройств широкую популярность получила двухфакторная аутентификация на основе приложений. Пользователи устанавливают приложение на свое устройство (также его можно использовать на компьютере). При входе в систему приложение предоставляет «программный токен», например одноразовый пароль, который отображается на устройстве и должен быть введен на экране входа в систему. Поскольку программный токен генерируется приложением на устройстве, это исключает риск перехвата одноразового пароля или программного токена при передаче.

Push-уведомления

В методе двухфакторной аутентификации через push-уведомление — возможно, самом простом и удобном — пользователя не просят ввести программный токен. Вместо этого сайт или приложение напрямую отправляет push-уведомление на мобильное устройство пользователя. Уведомление оповещает пользователя о попытке аутентификации и просит пользователя подтвердить или отклонить доступ одним щелчком мыши или касанием. Этот метод двухфакторной аутентификации очень безопасен и чрезвычайно удобен, но он зависит от подключения к Интернету.

Беспарольные аутентификаторы

Сейчас появились новые типы доступных аутентификаторов, в том числе беспарольных, например с использованием токенов FIDO, биометрических систем и цифровых учетных данных на основе PKI для аутентификации.

2FA в сравнении с MFA: в чем разница?

При двухфакторной аутентификации (2FA) пользователь должен предъявить аутентификаторы двух типов, а при многофакторной аутентификации (MFA) — аутентификаторы не менее чем двух типов. Это означает, что все системы двухфакторной аутентификации являются системами многофакторной аутентификации, но не все системы многофакторной аутентификации являются системами двухфакторной аутентификации. Для многофакторной аутентификации может потребоваться любая комбинация аутентификаторов и токенов аутентификации, чтобы получить доступ к ресурсу, приложению или веб-сайту, тогда как в случае с двухфакторной аутентификацией для доступа к ресурсу требуется только два предопределенных аутентификатора. В зависимости от потребностей организации двухфакторная аутентификация может стать тем решением, которое позволит обеспечить повышенный уровень безопасности и одновременно беспрепятственный доступ для конечных пользователей.

Как выбрать правильные факторы для двухфакторной аутентификации

Различные типы факторов, которые могут использоваться для двухфакторной аутентификации, обсуждаются выше. Но каждый тип аутентификатора включает в себя целый ряд различных вариантов, и при этом постоянно выходят новые технологии. Как выбрать факторы, которые следует использовать для протокола двухфакторной аутентификации? Далее приводится несколько вопросов, которые помогут выбрать правильный вариант.

Вы хотите, чтобы аутентификация была прозрачной для пользователя?
Вы хотите, чтобы пользователь носил физическое устройство или проходил аутентификацию онлайн?
Вы хотите, чтобы веб-сайт также проходил аутентификацию для пользователя?
Насколько конфиденциальной является информация, которую вы защищаете, и каков связанный с этим риск?
Является ли физический доступ к офисам, лабораториям или другим помещениям (связь с ними) одним из требований пользователей?

Entrust предоставляет экспертные рекомендации для повышения уровня безопасности с помощью высоконадежной многофакторной аутентификации. Мы поддерживаем самый широкий спектр аутентификаторов безопасности 2FA, давая возможность выбрать оптимальный вариант, соответствующий вашим требованиям и задачам с точки зрения безопасности. Что еще более важно, Entrust может предоставить экспертные консультации, чтобы помочь выбрать правильные варианты и упростить переход на высоконадежную двухфакторную аутентификацию.

Варианты использования двухфакторной аутентификации

Двухфакторная аутентификация является наиболее распространенной формой многофакторной аутентификации, что делает ее идеальным выбором для использования в тех случаях, когда доступ к данным необходим множеству людей. Например, в медицинских приложениях обычно используется двухфакторная аутентификация, поскольку она позволяет врачам и другому лечащему персоналу по требованию получать доступ к конфиденциальным данным пациентов, часто с личных устройств.

Аналогично банковские и финансовые приложения с двухфакторной аутентификацией могут помочь защитить данные счета от фишинговых атак и социальной инженерии, обеспечив потребителям возможность пользоваться услугами мобильного банкинга.

Отрасли, где находит применение двухфакторная аутентификация:

Решения для здравоохранения.
Банковское дело.
Решения для розничной торговли.
Высшее образование.
Социальные сети.
Государственные и федеральные учреждения.

Каковы угрозы и риски двухфакторной аутентификации?

Есть несколько способов, которыми хакеры могут попытаться взломать системы много- и двухфакторной аутентификации. Они перечислены ниже.

Социальная инженерия. Хакеры, занимающиеся социальной инженерией, выдают себя за законное лицо, которое запрашивает информацию, позволяющую установить личность.
Технические атаки. К числу технических атак относятся вредоносные и троянские программы.
Физическая кража. Злоумышленник, который физически завладел смартфоном или другим мобильным устройством, может представлять угрозу для двухфакторной аутентификации.
Взлом через восстановление учетной записи. Поскольку сброс пароля часто происходит в обход двухфакторной аутентификации, хакеры иногда могут взломать такую систему лишь с помощью имени пользователя.

Достаточно ли безопасна двухфакторная аутентификация?

Двухфакторная аутентификация обеспечивает намного более высокий уровень защиты по сравнению с однофакторной аутентификацией, особенно традиционной аутентификацией на основе пароля со всеми ее недостатками, обусловленными человеческим фактором. Она достаточно безопасна, но сегодня именно многофакторная аутентификация (MFA) считается фактическим стандартном аутентификации пользователей. Нормативно-правовые требования, например стандарт безопасности данных индустрии платежных карт (PCI DSS), также заменили двухфакторную аутентификацию на многофакторную, и правительственные органы делают многофакторную аутентификацию обязательной во всех федеральных учреждениях. Многофакторная аутентификация дает возможность добавлять больше форм-факторов (не паролей) для повышения безопасности. Использование биометрических данных для аутентификации пользователя в сочетании с верификацией устройства и добавлением контекстных элементов управления, основанных на рисках, позволяет оценить степень риска пользователя и устройства перед предоставлением доступа. Многофакторная аутентификация с использованием средств беспарольного доступа и адаптивной аутентификации на основе рисков — это верный шаг на пути к повышению безопасности.

Каковы наиболее распространенные аутентификаторы, или токены аутентификации?

Прозрачный метод аутентификации
Аутентификация физическим форм-фактором
Аутентификация нефизическим форм-фактором

Прозрачные аутентификаторы, проверяющие пользователей без их повседневного участия.

Цифровые сертификаты Entrust
IP-геолокация
Аутентификация устройств