Что такое двухфакторная аутентификация (2FA)?
Аутентификация становится все более важным аспектом современной кибербезопасности. По мере изменения ландшафта угроз на помощь приходят новые сложные тактики, включая двухфакторную аутентификацию (2FA).
Читайте дальше, чтобы узнать основы 2FA, как она работает и почему является обязательным компонентом цифровой инфраструктуры.
Что такое 2FA?
Двухфакторная аутентификация, или двухэтапная проверка, — это мера безопасности, которая требует двух различных форм идентификации (также называются факторами) перед предоставлением доступа к системе или службе. Второй фактор аутентификации добавляет еще один уровень защиты, что усложняет получение несанкционированного доступа.
Обычно для аутентификации пользователя требуется только адрес электронной почты или имя пользователя и пароль. Хотя при этом используется сочетание учетных данных для входа в систему, по сути это всего лишь один фактор аутентификации.
Кроме того, при отсутствии тщательной гигиены паролей киберугрозам гораздо проще обойти систему безопасности и скомпрометировать учетную запись, приложение или ресурс в интернете. Если они это сделают, неизвестно, сколько конфиденциальной информации они смогут собрать.
Если вкратце, именно поэтому 2FA и набрала популярность. Она не только снижает риск утечки данных, но и защищает сотрудников и потребителей от кражи идентификационных данных и других угроз.
Факторы аутентификации 2FA
Фактор аутентификации — это уникальный идентификатор, связанный с конкретным пользователем. Большинство систем 2FA используют два из трех традиционных факторов аутентификации, указанных ниже.
- Фактор знания. Что-то, что знает только пользователь, например пароль, ПИН-код или ответ на контрольный вопрос.
- Фактор владения. Что-то, что может иметь только пользователь, например ключ безопасности, мобильное устройство или идентификационную карту.
- Фактор неотъемлемого свойства. Что-то, что присуще только пользователю. Как форма биометрической аутентификации, он использует для проверки личности распознавание лица, отпечатки пальцев и сканирование радужной оболочки глаза.
Помимо указанных выше, многие современные передовые решения используют два новых фактора адаптивной аутентификации, которые приведены ниже.
- Фактор поведения. Анализирует цифровые артефакты, связанные с шаблонами поведения. Например, системы 2FA могут счесть попытку входа в систему подозрительной, если она осуществляется с нового мобильного телефона, а не с доверенного устройства пользователя.
- Фактор местоположения. Для аутентификации пользователя этот фактор учитывает географическое положение пользователя, анализируя IP-адрес и местонахождение по GPS.
Как правило, организации могут настроить системы 2FA таким образом, чтобы они требовали сочетания факторов, перечисленных выше. Для доступа к своей учетной записи, службе или системе в интернете пользователи должны правильно предоставить запрашиваемую информацию, будь то активно или пассивно.
2FA в сравнении с MFA
Зачем останавливаться на двух факторах, если теоретически можно объединить любое количество аутентификаторов? Если вкратце, то в этом и состоит суть многофакторной аутентификации (MFA).
MFA — это расширенная 2FA, включающая два или более факторов аутентификации. Попросту говоря, последняя представляет собой подмножество первой.
Одно из важнейших различий между ними заключается в том, что MFA может быть более адаптивной. Другими словами, она может динамически обеспечивать поэтапно усиливающуюся проверку, требуя от пользователей предоставлять третий фактор аутентификации в зависимости от ситуации.
Хотя 2FA может быть эффективной мерой безопасности, MFA зачастую является более комплексным решением. Именно поэтому, согласно результатам опроса ИТ-специалистов, 83 % компаний требуют от сотрудников использовать MFA для доступа ко всем корпоративным ресурсам.
Примеры из практики
Двухфакторная аутентификация — это наиболее распространенная форма MFA, что делает ее идеальным выбором для использования в тех случаях, когда доступ к данным необходим множеству людей. Например, в медицинских приложениях обычно используется двухфакторная аутентификация, поскольку она позволяет врачам и другому лечащему персоналу по требованию получать доступ к конфиденциальным данным пациентов, часто с личных устройств.
Другие заметные отрасли применения приведены ниже.
- Финансы. Банки и другие финансовые учреждения используют 2FA для защиты от кражи идентификационных данных и мошенничества с ними, позволяя клиентам осуществлять доступ к онлайн-счетам для безопасного мобильного банкинга.
- Государственные учреждения. В США 2FA обязательна для всех веб-сайтов федеральных органов в целях гарантии безопасности конфиденциальной информации и данных граждан.
- Высшее образование. Университеты используют 2FA для защиты студенческих порталов, на которых хранятся оценки, расписания и личная информация.
- Социальные сети. Такие платформы, как Facebook и X (ранее Twitter), предлагают службы 2FA для защиты личной информации и повышения безопасности учетных записей.
Как работает 2FA?
2FA проста. Особенности могут отличаться в зависимости от метода аутентификации, но основной рабочий процесс состоит из указанных ниже этапов.
- Вход пользователя в систему. Пользователь вводит логин и пароль.
- Запрос на аутентификацию. Если первичный вход в систему прошел успешно, система требует второй фактор аутентификации.
- Проверка фактора. Пользователь указывает второй фактор, например одноразовый токен или код доступа, сгенерированный приложением для аутентификации.
- Предоставление доступа. Если оба фактора проверены, пользователь получает доступ к системе. Как правило, это происходит за считаные секунды и практически не влияет на работу пользователя.
Методы двухфакторной аутентификации
Система 2FA может запрашивать факторы аутентификации несколькими способами. Каждый из способов имеет свои преимущества и недостатки, но все они способствуют повышению безопасности учетной записи.
Давайте рассмотрим наиболее распространенные методы аутентификации, их принцип работы и преимущества.
Аутентификация по электронной почте и SMS
В рамках этого метода пользователю отправляется одноразовый пароль на почтовый ящик или текстовое сообщение на мобильный телефон. Если вкратце, одноразовый пароль — это 5–10-значный проверочный код, который при правильном вводе предоставляет доступ к запрашиваемому ресурсу.
Аутентификация по SMS — одно из самых простых и удобных решений. Кроме того, учитывая доступность мобильных устройств, пользователям легко начать работу.
Тем не менее этот метод также уязвим к киберугрозам. Хакеры могут легко перехватывать SMS-сообщения, которые зачастую не зашифрованы. Кроме того, если злоумышленник получит физический доступ к мобильному телефону жертвы, он сможет считать одноразовый пароль прямо там.
Аппаратный токен
Аппаратный токен — это физическое устройство, например ключ безопасности, смарт-карта или USB-ключ. Такое устройство динамически генерирует уникальный токен, который обычно действует только в течение ограниченного времени.
При входе в систему пользователь нажимает кнопку на токене, который использует алгоритм для создания одноразового пароля. Пользователь вводит этот проверочный код в окне запроса на аутентификацию на своем устройстве или в приложении. Сервер, используя тот же алгоритм и ключ безопасности, генерирует собственный одноразовый пароль и сравнивает его с паролем, введенным пользователем. Если они совпадают, пользователь проходит аутентификацию и получает доступ. Этот процесс гарантирует невозможность несанкционированного доступа без физического токена, даже если пароль будет скомпрометирован.
Тем не менее очевидным недостатком является то, что аутентификация с помощью аппаратного токена не всегда практична и подходит не для всех вариантов использования. Настройка и обслуживание аппаратных токенов могут быть дорогостоящими, к тому же устройства могут быть потеряны или украдены.
Программный токен
Программный токен — это одноразовый пароль на основе времени или события, отправляемый через приложение для аутентификации на компьютер или мобильный телефон пользователя. Как и аппаратный токен, этот метод динамически генерирует проверочный код, который действует лишь в течение короткого времени.
В целом это простой и удобный процесс, но для его применения пользователю необходимо установить дополнительное программное обеспечение на свои устройства.
Push-уведомление
Push-уведомление — это проверка личности пользователя путем отправки оповещения непосредственно в безопасное мобильное приложение на его доверенном устройстве. Это сообщение содержит сведения о попытке аутентификации, позволяя пользователю одобрить или отклонить запрос на доступ одним нажатием.
Теоретически этот процесс подтверждает, что устройство, зарегистрированное в приложении для аутентификации, находится в распоряжении пользователя. Push-уведомления устраняют риск атак через посредника, проверяя безопасность учетной записи пользователя. Этот метод 2FA очень безопасен, но он зависит от подключения к интернету.
Биометрическая аутентификация
Наконец, существуют различные формы беспарольной аутентификации, в частности биометрическая аутентификация. В общих чертах биометрическая аутентификация — это проверка личности с использованием биологических признаков.
Например, пользователи iPhone знакомы с системой распознавания лица, которую можно использовать для доступа к информации учетной записи Apple ID, а также к другим службам. Другие системы используют технологию сканирования отпечатков пальцев, радужной оболочки или сетчатки глаза.
В свою очередь, это, несомненно, один из самых безопасных вариантов 2FA. Он использует пользователя в качестве токена, очень удобен и его почти невозможно взломать.
Почему 2FA важна?
Проще говоря, 2FA — это серьезный шаг вперед по сравнению со статус-кво. Для защиты учетных записей, веб-сайтов и служб от несанкционированного доступа уже недостаточно системы безопасности на основе паролей.
Давайте рассмотрим некоторые поразительные статистические данные.
- В даркнете находится более 24 млрд сочетаний имени пользователя и пароля. В период с 2020 по 2022 год этот показатель увеличился на 65 % и, скорее всего, продолжит расти. Учитывая, что большинство людей повторно использует старые пароли, одна утечка данных может скомпрометировать сразу несколько учетных записей.
- В отчете Google о горизонтах угроз за 2023 год указано, что 86 % утечек связаны с кражей учетных данных. Другими словами, кража учетных данных почти всегда является первопричиной гораздо более серьезных и разрушительных киберугроз.
- В отчете компании Verizon о расследовании утечек данных за 2024 год сделан вывод о том, что «человеческий фактор», например использование слабых паролей, стал причиной 68 % зарегистрированных утечек.
Хуже того, даже при соблюдении строгой гигиены паролей для взлома учетной записи требуется совсем немного времени. Например, хакеры могут легко просмотреть страницы в социальных сетях и найти личную информацию, необходимую для ответа на основной контрольный вопрос.
Хорошая новость: 2FA и MFA могут помочь. Действительно, они эффективно защищают от целого ряда киберугроз, в том числе от описанных ниже.
- Украденные пароли. Как упоминалось выше, плохая гигиена паролей упрощает кражу учетных данных. В системе двухфакторной аутентификации одного лишь украденного пароля еще недостаточно для взлома учетной записи.
- Атаки методом подбора. Вычислительные мощности становятся все более доступными, и хакеры используют их для случайной генерации паролей до тех пор, пока не взломают код. Однако взлом второго фактора таким же способом невозможен.
- Фишинг. 2FA защищает от несанкционированного доступа в случае кражи имени пользователя и пароля путем фишинговой атаки.
- Социальная инженерия. Умные хакеры все чаще используют социальные сети для совершения атак, обманом заставляя пользователей добровольно предоставить свои учетные данные. Но без второго фактора эти усилия тщетны.
2FA и концепция Zero Trust
Строгая аутентификация — главная составляющая системы управления доступом и идентификационными данными (IAM) и, в свою очередь, архитектуры Zero Trust. 2FA может помочь предприятиям реализовать концепцию Zero Trust, обеспечивая строгую проверку личности и принимая решения о предоставлении доступа с учетом не только роли или разрешений пользователя, а и устройства, поведения, местоположения и прочих факторов.
Внедрение 2FA: советы и рекомендации
Рассматриваете возможность внедрения двухфакторной аутентификации? Вот несколько ключевых этапов, которые необходимо иметь в виду:
1. Выберите подходящие факторы аутентификации
Каждый тип аутентификатора включает в себя целый ряд различных вариантов, и при этом постоянно выходят новые технологии. Как выбрать факторы, которые следует использовать для протокола двухфакторной аутентификации?
Далее приводится несколько вопросов, которые помогут выбрать правильный вариант.
- Вы хотите, чтобы аутентификация была прозрачной для пользователя?
- Вы хотите, чтобы пользователь носил физическое устройство или проходил аутентификацию онлайн?
- Вы хотите, чтобы веб-сайт также проходил аутентификацию для пользователя?
- Насколько конфиденциальной является информация, которую вы защищаете, и каков связанный с этим риск?
- Является ли физический доступ к офисам, лабораториям или другим помещениям (связь с ними) одним из требований пользователей?
Компания Entrust поддерживает самый широкий спектр аутентификаторов безопасности 2FA, позволяя вам выбрать оптимальный вариант, соответствующий вашим требованиям в области безопасности и сценариям использования. Что еще более важно, Entrust может предоставить экспертные консультации, чтобы помочь выбрать правильные варианты и упростить переход на высоконадежную двухфакторную аутентификацию.
2. Разработайте стратегию обеспечения удобства для пользователей
2FA, как правило, работает без проблем, но вы точно не хотите обременять своих пользователей неудобными дополнительными действиями. Удобство для пользователей особенно важно для цифровой адаптации, поскольку сложный процесс может заставить клиентов отказаться от открытия счета.
Ищите решение 2FA, которое обеспечивает баланс между безопасностью, скоростью и удобством для пользователей.
3. Защитите свою инфраструктуру 2FA
Обеспечьте шифрование сообщений, связанных с передачей кодов или токенов 2FA, с помощью безопасных протоколов шифрования, таких как Transport Layer Security.
4. Рассмотрите возможность использования адаптивной аутентификации
В зависимости от варианта использования вам может понадобиться более надежное многофакторное решение. Адаптивная аутентификация, или поэтапно усиливающаяся проверка на основе рисков, — это динамичный способ подтверждения личности. Это метод аутентификации с учетом контекста, при котором уровень и тип требуемой аутентификации регулируются в зависимости от предполагаемого риска.
Например, адаптивная MFA может требовать только имя пользователя и пароль, если все условия кажутся нормальными. Но если вход осуществляется не с обычного IP-адреса, она может создавать более сложные запросы, например требовать одноразовый проверочный код. Этот метод обеспечивает баланс между безопасностью и удобством, позволяя законным пользователям осуществлять доступ к ресурсам с минимальными трудностями и одновременно применяя более строгие меры в случае подозрительных действий.
Укрепите безопасность с помощью решений Entrust
Entrust Identity, наш единый портфель решений для IAM, может обеспечить основу, необходимую вашей организации для создания эффективной архитектуры Zero Trust. В рамках нашего набора инструментов для безопасности вы можете использовать указанные далее решения.
- Идентификация как услуга. Облачные решения для IAM с MFA, устойчивой к фишингу, беспарольной аутентификацией и единым входом (SSO).
- Identity Enterprise. Возможности локального решения для IAM с высоконадежной аутентификацией сотрудников и потребителей, включая выпуск смарт-карт.
- Identity Essentials. Быстрое экономичное решение для многофакторной аутентификации (MFA), которое позволяет организациям, использующим ОС Windows, реализовывать подход Zero Trust.