Идентификация и аутентификация
Начнем с повторения. Есть два термина, которые часто путают: идентификация и аутентификация.
Идентификация (от лат. identifico «отождествлять») – это распознавание какого-либо субъекта по его имени (идентификатору). В сфере информационных технологий идентификация – это присвоение субъектам и объектам доступа идентификатора (обычно состоит из букв, цифр или символов) и его сравнение с перечнем присвоенных идентификаторов.
Аутентификация (греч. αὐθεντικός [authentikos] «реальный, подлинный» < αὐτός [autos] «сам; он самый») – это проверка подлинности, т.е. доказательство, что субъект является тем, кем себя называет. Существуют четыре типа факторов аутентификации:
1. Что-то, что вы знаете: Это может быть пароль, PIN-код или ответ на контрольный вопрос.
2. Что-то, что вы имеете: Это может быть физический токен, такой как смарт-карта или USB-ключ безопасности, или виртуальный токен, сгенерированный приложением-аутентификатором на смартфоне пользователя. Эти виртуальные токены называются одноразовыми паролями (OTP) или одноразовыми паролями на основе времени (TOTP).
3. Что-то, что является частью вас: Биометрическая информация, такая как отпечаток пальца, распознавание лица или сканирование радужной оболочки глаза.
2. Что-то, что вы имеете: Это может быть физический токен, такой как смарт-карта или USB-ключ безопасности, или виртуальный токен, сгенерированный приложением-аутентификатором на смартфоне пользователя. Эти виртуальные токены называются одноразовыми паролями (OTP) или одноразовыми паролями на основе времени (TOTP).
3. Что-то, что является частью вас: Биометрическая информация, такая как отпечаток пальца, распознавание лица или сканирование радужной оболочки глаза.
4. Ваше местоположение: Ваше географическое местоположение. Некоторые приложения и службы доступны только пользователям, находящимся в определенном географическом регионе. Этот фактор аутентификации часто используется в средах безопасности с нулевым доверием.
Еще один фактор, который можно использовать для аутентификации – это время. Например, можно проверять данные подключений в соответствии с рабочим графиком.Если учитывать местоположение и время одновременно, то путем анализа можно выявлять и предотвращать мошенничество: в частности, если пользователь авторизовался в системе в России, а через 15 минут зафиксирована транзакция из Китая, Европы или Америки – это явно указывает на взлом.
Предъявляемая информация для аутентификации сравнивается с той, что содержится в базе данных. После чего согласно сравнению выносится решение разрешить или блокировать доступ к запрашиваемому ресурсу.
Еще один фактор, который можно использовать для аутентификации – это время. Например, можно проверять данные подключений в соответствии с рабочим графиком.Если учитывать местоположение и время одновременно, то путем анализа можно выявлять и предотвращать мошенничество: в частности, если пользователь авторизовался в системе в России, а через 15 минут зафиксирована транзакция из Китая, Европы или Америки – это явно указывает на взлом.
Предъявляемая информация для аутентификации сравнивается с той, что содержится в базе данных. После чего согласно сравнению выносится решение разрешить или блокировать доступ к запрашиваемому ресурсу.
Многофакторная аутентификация (MFA) добавляет уровень безопасности, требуя подтверждения личности пользователя двумя разными факторами из разных категорий. Система, требующая от пользователей ввода пароля и PIN-кода, не может считаться относящейся к MFA, потому что оба эти фактора относятся к категории «что-то, что вы знаете». Пример использования MFA: банкоматы используют комбинацию карточки и PIN-кода.
Не все факторы аутентификации равноценны
Некоторые MFA используют TOTP-пароли через телефон, текст или электронную почту, что не рекомендуется из-за возможных компрометаций. Надежнее использовать биометрию или физические токены.
Не все факторы аутентификации равноценны
Некоторые MFA используют TOTP-пароли через телефон, текст или электронную почту, что не рекомендуется из-за возможных компрометаций. Надежнее использовать биометрию или физические токены.
Разница между MFA и 2FA
2FA относится к двухфакторной аутентификации, тогда как MFA включает два или более факторов. Пример с банкоматом – это 2FA, но также подходит под определение MFA.Реализация многофакторной аутентификации (MFA)
Внедрение MFA может значительно повысить уровень безопасности ваших учетных записей, как для личных пользователей, так и для бизнес-пользователей. Рассмотрим шаги для реализации MFA для обеих категорий.
- Личные пользователи должны включить 2FA/MFA на всех веб-сайтах и в приложениях, которые ее поддерживают. Здесь рекомендации:
2. Если процесс не ясен, обратитесь к справочной документации.
3. Не используйте электронную почту, текстовые сообщения или телефонные звонки в качестве фактора аутентификации, если это не предусмотрено сайтом или приложением.
- Для бизнес-пользователей
1. Определите типы факторов аутентификации:
- Выберите минимум два фактора из разных категорий.
- Не используйте телефонные звонки, электронную почту или текстовые сообщения.
2. Выберите решение MFA:
- Ищите коммерческие решения или решения с открытым исходным кодом.
- Убедитесь, что решение поддерживает ваши выбранные факторы аутентификации и соответствует вашим ресурсам.
3. Интегрируйте решение MFA:
- Можно интегрировать его в существующую систему аутентификации или заменить текущую систему.
- Возможно потребуется изменить код приложения или сеть.
4. Зарегистрируйте пользователей:
- После интеграции зарегистрируйте пользователей для получения дополнительных факторов аутентификации, необходимых для решения MFA.
5. Контролируйте и поддерживайте решение MFA:
- Регулярно проверяйте эффективность и безопасность продукта, обновляя его по мере необходимости.
Следуя этим рекомендациям, вы сможете успешно внедрить многофакторную аутентификацию и обеспечить защиту ваших учетных записей.
Преимущества
- Снижает риски на 99%Использование второго фактора аутентификации, по статистике, снижает вероятность взлома на 99%.
- Сокращает затратыMultifactor стоит в десятки раз меньше по сравнению с enterprise-решениями и стоимостью их внедрения.
- Работает по принципу Zero TrustMultifactor не получает пароли ваших пользователей. Усиливает защиту, не создавая новые риски безопасности.
СПИСОК ИСПОЛЬЗУЕМЫХ ИСТОЧНИКОВ
- https://www.keepersecurity.com/ru_RU/resources/glossary/what-is-multi-factor-authentication/
- https://rt-solar.ru/events/blog/3421/
