Перейти к основному содержимому
рисунок фиолетового шестиугольника

Как узнать, действительно ли человек тот, за кого себя выдает? Если вкратце, на этот вопрос пытается ответить аутентификация.

Проблема вот в чем: подтвердить личность сложнее, чем когда-либо прежде. Имен пользователей и паролей недостаточно, поэтому многие предприятия используют многофакторную аутентификацию (MFA).

Не знакомы с MFA? Интересно узнать, как она может защитить вашу компанию? Читайте дальше, чтобы узнать всю необходимую информацию о MFA и то, почему она является важной составляющей системы кибербезопасности.

Что такое MFA?

Согласно Национальному институту стандартов и технологий (NIST), MFA — это метод аутентификации, который требует более одного отдельного «фактора аутентификации» для использования веб-сайта, приложения или системы.

Фактор аутентификации — это надежные учетные данные, которые подтверждают личность пользователя при попытке доступа к определенному ресурсу. Например, когда кто-то входит в учетную запись электронной почты, он обычно вводит имя пользователя и пароль. Эти учетные данные являются формой идентификации, указывающей на то, что запрос на доступ исходит от законного лица, а не самозванца.

MFA призвана сделать этот процесс более безопасным, требуя как минимум один дополнительный фактор: отсюда и название «многофакторная аутентификация». Почему? Потому что, если хакеры скомпрометируют учетные данные для входа, они смогут получить несанкционированный доступ к ключевым ресурсам и конфиденциальной информации.

Допустим, киберпреступники взламывают учетную запись, принадлежащую привилегированному пользователю (например, тому, у кого есть разрешение на доступ к критически важным ИТ-системам и на выполнение действий, которые обычным пользователям запрещены). Они могут извлечь множество конфиденциальных данных, таких как номера социального страхования, финансовую информацию и многое другое. Утечка данных может привести к краже идентификационных данных сотрудников и (или) клиентов и нанести значительный ущерб бизнесу, что в среднем обойдется в 4,45 млн долл. США.

Если кратко, именно здесь в игру вступают решения для MFA. Используя подходящую систему, организации могут защищать идентификационные данные сотрудников, потребителей и граждан с помощью уровней строгой аутентификации.

В чем разница между MFA и двухфакторной аутентификацией (2FA)?

MFA и 2FA — это очень похожие понятия, но они не совсем одинаковые.

Говоря простыми словами, 2FA — это метод аутентификации, который требует ровно два идентификатора — ни больше, ни меньше. Таким образом, это подмножество MFA, которое требует как минимум двух факторов.

Теоретически MFA обычно более надежная, чем 2FA, потому что может включать в себя столько аутентификаторов, сколько вам нужно для конкретного варианта использования. Каждый дополнительный фактор затрудняет несанкционированный доступ, создавая еще один уровень защиты между хакерами и конфиденциальной информацией.

Тем не менее 2FA не является небезопасной по умолчанию. Она все равно значительно лучше однофакторной аутентификации, поскольку традиционная защита паролем слишком уязвима для современных киберугроз.

Примеры MFA

Как организации используют решения для MFA? Вот два наиболее распространенных варианта использования:

  1. Удаленный доступ для сотрудников. Только в США треть сотрудников, у которых есть возможность выполнять обязанности удаленно, регулярно работают из дома. По мере развития гибридной работы во всем мире компании должны предоставлять пользователям безопасный удаленный доступ к критически важным ресурсам. Решения для MFA позволяют им определять и защищать идентификационные данные сотрудников, обеспечивая при этом удобство работы из любой точки мира.
  2. Доступ к системе на объекте. Аналогично локальные системы, например, в больницах, представляют собой важнейшие хранилища защищенной информации. Имея подходящее решение для MFA, сотрудники могут использовать вместе с учетными данными бесконтактные бейджи для быстрого и безопасного доступа к базам данных пациентов.

Как работает многофакторная аутентификация?

Процесс зависит от используемого метода MFA. Тем не менее, независимо от специфики, в целом рабочий процесс выглядит, как описано далее.

  • Вход пользователя в систему. Пользователь вводит логин и пароль.
  • Запрос на аутентификацию. Если первичный вход в систему выполнен успешно, система запрашивает дополнительный фактор.
  • Прохождение MFA. Пользователь указывает второй фактор аутентификации, например одноразовый пароль, сгенерированный приложением для аутентификации.
    • Дополнительный третий фактор. Решение для MFA может создавать больше запросов на аутентификацию, если для него установлена соответствующая настройка.
  • Успешная аутентификация. Если все факторы подтверждены, пользователь получает доступ к системе.

Обычно этот процесс занимает немного времени и практически не оказывает негативного влияния на удобство пользователей. В итоге все зависит от того, сколько факторов MFA вам требуется, которые делятся на три категории: факторы знания, владения и неотъемлемого свойства.

1. Фактор знания

Фактор знания — это то, что знает только пользователь, например пароль или ПИН-код. С течением времени в системах MFA появляется больше факторов знания. Наиболее распространенный пример — ответ на секретный вопрос (например, девичья фамилия матери, эмблема школы, в которой вы учились в старших классах, и т. п.).

Однако это самый слабый из всех факторов MFA, потому что его легко угадать. К примеру, хакеры могут легко получить ответы на секретные вопросы из профилей социальных сетей, поскольку они часто содержат личную информацию. Кроме того, они также подвержены фишинговым атакам.

2. Фактор владения

Фактор владения — это то, что есть только у пользователя. В настоящее время существует несколько передовых видов проверки с использованием фактора владения. Некоторые примеры приведены ниже.

  • Одноразовый пароль. Одноразовые пароли, отправляемые по электронной почте или в SMS.
  • Push-уведомление. Оповещения с просьбой подтвердить запрос на доступ, отправляемые на мобильное устройство пользователя. Идея состоит в том, что устройство будет только у владельца. 
  • Аппаратный токен. Ключи FIDO2 и другие физические устройства, которые пользователи подключают к настольному компьютеру. Они содержат зашифрованную информацию, которая аутентифицирует личность пользователя.
  • Матричная карта. Бумажные карты, которые печатаются из PDF-файлов и содержат таблицу со строками и столбцами, состоящими из цифр и символов. Пользователи должны указать в соответствующих ячейках правильную информацию, представленную на уникальной карте, которой они владеют.

3. Фактор неотъемлемого свойства

Фактор неотъемлемого свойства включает в себя информацию, которая присуща конкретному пользователю. По аналогии с двумя другими факторами — тем, что вы знаете, и тем, что у вас есть, — фактор неотъемлемого свойства — это то, что является частью вас. Соответственно, он также называется фактором биометрической аутентификации. Некоторые примеры используемых ею методов MFA приведены ниже.

  • Распознавание отпечатков пальцев.
  • Сканирование сетчатки глаза.
  • Распознавание голоса.
  • Распознавание лиц.

Поскольку биометрическую аутентификацию трудно обойти с учетом ее природы, факторы неотъемлемого свойства представляют собой одни из самых безопасных вариантов.

Дополнительные факторы MFA

Помимо трех основных идентификаторов, передовые решения могут использовать три новых фактора MFA, указанных ниже.

  • Фактор времени. Этот фактор оценивает попытку доступа с учетом ожидаемого времени использования. Если запрос поступает в нерабочее время, решение может потребовать дополнительный фактор. 
  • Фактор местоположения. Решения для MFA могут проверять запросы на основе географического местоположения или IP-адреса, чтобы убедиться, что они исходят от авторизованного пользователя.
  • Фактор поведения. Этот фактор анализирует шаблоны поведения пользователя, например динамику нажатия клавиш, чтобы подтвердить личность на основе прошлых или привычных действий.

В совокупности эти факторы усиливают классическую MFA за счет применения более сложных механизмов безопасности. Крайне важно, что они также позволяют использовать адаптивную MFA, но об этом позже.

Хотите узнать больше? Загрузите нашу последнюю электронную книгу и ознакомьтесь с возможностями Entrust Identity.

Почему MFA важна?

Хакеры атакуют идентификационные данные в неослабевающем темпе. В 2023 году в результате атак на основе учетных данных было украдено более 8,2 млрд записей, причем 3,4 млрд из них — за одну утечку данных. Естественно, последствия могут быть разрушительными: мошенничество, кража идентификационных данных, нарушения нормативно-правовых требований, денежные потери, ущерб для репутации (список можно продолжить).

К сожалению, многие компании недостаточно подготовлены к угрозам, связанным с идентификационными данными. Согласно исследованию 2023 года, 61 % организаций считают, что защита цифровых идентификационных данных — один из трех главных приоритетов. Тем не менее только 49 % из них полностью внедрили MFA. Если бы у них было эффективное решение для MFA, они снизили бы вероятность взлома на 99 %.

MFA и Zero Trust

Действительно, MFA — это достойный ответ на прошлые и текущие киберугрозы, но, что особенно важно, она также крайне необходима для киберустойчивого будущего. Другими словами, это обязательный компонент концепции безопасности Zero Trust.

Zero Trust — это современная концепция безопасности, в которой подчеркивается, что строгую аутентификацию необходимо применять не один раз, а непрерывно в течение всего сеанса. Внедрив надежную систему MFA как часть платформы управления доступом и идентификационными данными (IAM), компании могут одновременно реализовать один из трех принципов этой концепции. Результат? Гораздо меньший риск несанкционированного доступа и атак на основе идентификационных данных.

Преимущества и проблемы MFA

Зачем внедрять MFA? Прежде всего, она приносит множество преимуществ, описанных ниже. 

  • Повышенный уровень безопасности данных. MFA защищает от усталости от паролей, фишинговых атак и других угроз на основе учетных данных, снижая риск похищения учетных записей.
  • Улучшение соблюдения нормативно-правовых требований. Она также помогает организациям соблюдать различные нормативно-правовые требования и отраслевые стандарты. Используя MFA, организации могут демонстрировать свою приверженность защите данных.
  • Укрепление доверия. Когда клиенты знают, что организация использует надежные меры безопасности, такие как MFA, их уверенность в защите своих персональных и финансовых данных возрастает.
  • Сокращение расходов. MFA помогает организациям избежать значительных расходов, связанных с реагированием на инциденты, судебными издержками, штрафами регулирующих органов и ущербом для репутации. Кроме того, MFA может уменьшить потребность в сбросе пароля и другие расходы, связанные с поддержкой, поскольку вероятность компрометации учетных записей пользователей более низкая.

Тем не менее стоит отметить, что у MFA есть свои проблемы. К ним относятся перечисленные ниже.

  • Неудобство. Дополнительные факторы могут снизить удобство пользования, что расстраивает сотрудников и клиентов.
  • Потенциальные уязвимости. MFA — это отличный механизм безопасности, но он все-таки уязвим для атак. Некоторые векторы угроз, такие как бомбардировка запросами или подмена SIM-карты, наглядно демонстрируют, что в дополнение к MFA организациям необходима поддержка полнофункциональной платформы IAM.

Что такое адаптивная аутентификация?

Адаптивная аутентификация, также называемая адаптивной MFA или аутентификацией на основе рисков, — это вид поэтапно усиливающейся проверки. В ходе этой процедуры анализируется контекстная информация для определения уровня риска того или иного профиля пользователя, запрашивающего доступ к ресурсу, и увеличивается или уменьшается количество требований к безопасности соответствующим образом.

Попросту говоря, адаптивная MFA требует дополнительных факторов, когда есть большая вероятность того, что запрос нелегитимен. Чем выше риск, тем сложнее запросы.

К примеру, в ходе адаптивной аутентификации оценивается указанное ниже.

  • Количество неудачных попыток входа в систему.
  • Исходный IP-адрес или географическое местоположение.
  • Репутация устройств.
  • День и время попытки.
  • Операционная система.
  • Роль пользователя.

Если запрос на доступ подозрительный, пользователю может быть предложено подтвердить свою личность с помощью одноразового пароля или push-уведомления. Точно так же, если все нормально, никакие запросы для пользователя не создаются, что обеспечивает идеальное удобство пользования.

Рекомендации по внедрению MFA

Не знаете, как внедрить решение для MFA? Ищите надежную систему IAM, которая включает в себя не только адаптивную аутентификацию, но и способы расширения ее возможностей. Далее приведены некоторые дополнительные меры безопасности, которые стоит учитывать.

  1. Единый вход (SSO) позволяет пользователям осуществлять доступ к нескольким приложениям с помощью всего лишь одного набора учетных данных. SSO — это часть портфолио решений по IAM, которая снижает риск неудобства для пользователей и при этом использует возможности безопасности адаптивной MFA. 
  2. Беспарольная аутентификация снижает риск несоблюдения гигиены паролей. Вместо паролей для проверки личности используются методы биометрической аутентификации и методы на основе учетных данных, такие как цифровые сертификаты.
  3. Аутентификация с помощью всплывающего уведомления мобильного устройства — это вид метода беспарольной аутентификации, который предусматривает отправление push-уведомления на мобильное устройство пользователя. В этом уведомлении пользователь может провести пальцем или нажать кнопку, чтобы утвердить транзакции, осуществить доступ к приложениям или войти в корпоративные приложения.

Получите высоконадежную MFA с Entrust Identity

Entrust Identity — это наше портфолио решений для управления доступом и идентификационными данными. Благодаря единой платформе IAM вы можете использовать весь набор инструментов и аутентификаторов MFA для защиты своих сотрудников, потребителей или граждан от сегодняшнего меняющегося ландшафта угроз.

У нас есть все меры безопасности, необходимые для успеха, начиная с решений для адаптивной MFA и заканчивая решениями для беспарольной аутентификации, а также многое другое.

Инфографика Entrust Authentication Suite

Хотите узнать больше? Загрузите нашу последнюю электронную книгу и ознакомьтесь с возможностями Entrust Identity.