В статье автор пытается определить необходимость в использовании многофакторной аутентификации на любых устройствах.
Ключевые слова: учетная запись, система безопасности, многофакторная аутентификация, аутентификация, пользователь, одноразовый пароль.
Аутентификация — это процесс проверки личности пользователя. Пользователи идентифицируются с использованием различных механизмов аутентификации. В системе безопасности процесс аутентификации проверяет информацию, предоставленную пользователем, с помощью базы данных. Если информация совпадает с информацией базы данных, пользователю предоставляется доступ к системе безопасности. Существует три типа используемых механизмов аутентификации [1]. Проверка — это начальная фаза контроля доступа, и для проверки используются три обычные переменные: то, что вы знаете, то, что у вас есть, и то, чем вы являетесь. То, что вы знаете, в основном требует, чтобы человек получил доступ к системе, введя имя пользователя и пароль. То, что у вас есть, — это то, где пользователь использует смарт-карту для аутентификации. То, что вы есть, — это то, где пользователь использует биометрические методы для получения контроля доступа. Все типы механизмов аутентификации позволяют пользователю получить доступ к системе, однако все они работают по-разному. Существует множество методов аутентификации, разработанных для того, чтобы пользователи могли получить доступ к системе. При проверке подлинности по паролю существует две формы — проверка подлинности по слабому паролю и по сильному паролю. Контроль доступа позволяет пользователю входить на доверенные сайты организации. Каждый контроль доступа состоит из четырех процессов — идентификации, аутентификации, авторизации и подотчетности. Идентификация происходит, когда пользователь вводит идентификатор, и идентификатор проверяется системой безопасности. Некоторые системы безопасности генерируют случайные идентификаторы для защиты от злоумышленников [2]. Существует три процесса аутентификации. Авторизация — это проверка и сопоставление аутентифицированного объекта информации с уровнем доступа. Процесс авторизации обрабатывается тремя способами: авторизация выполняется для аутентифицированного пользователя, авторизация выполняется для членов группы, авторизация выполняется в нескольких системах, а подотчетность — это процесс ведения системных журналов. Системные журналы отслеживают все успешные и неудачные входы в систему.
Многофакторная аутентификация в основном означает, что вы используете нечто большее, чем пароль, для аутентификации в компьютерной системе. Существует общее правило, согласно которому аутентификация может включать в себя то, что вы знаете, что у вас есть и кем вы являетесь. Многофакторная аутентификация часто означает, что вы используете по крайней мере два из этих методов.
То, что вы знаете, — это часть знания, как пароль. Это также может быть ответом на, как мы надеемся, более сложные вопросы аутентификации, которые требуют более неясной информации, такой как девичья фамилия вашей матери, любимый фильм и т.д [1]. Хотя это и не идеально, злоумышленнику значительно сложнее скомпрометировать учетную запись. Примером того, что он не идеален, является случай, когда функция IRS Get Transcript, была скомпрометирована из-за того, что преступники могли получить доступ к информации из кредитного отчета человека.
То, что у вас есть, может быть аутентификацией на основе токенов, такой как карта SecurID или другая карта доступа, которая предоставляет одноразовый пароль, это может быть программный токен на компьютере, и часто это ваше мобильное устройство, на котором организации отправляют вам текст с одноразовым паролем, который имеет который необходимо ввести для доступа к учетной записи. Предполагается, что у вас должен быть мобильный телефон владельца учетной записи, чтобы скомпрометировать учетную запись [2]. Это гораздо труднее, чем скомпрометировать пароль человека. Google Authenticator предоставляет пароль на мобильном устройстве, так что пользователю фактически не требуется доступ к сотовой связи, и пароль не может быть скомпрометирован при передаче.
Для чего обычно используется биометрическая аутентификация. Сканирование сетчатки глаза, считыватели отпечатков пальцев, сканеры геометрии рук и аналогичные инструменты обеспечивают уровень аутентификации, и их гораздо труднее скомпрометировать. Из-за предполагаемой инвазивности, а также сложности сбора информации, хотя это может быть самой надежной формой аутентификации, в настоящее время она используется реже всего. Распространенным исключением является считыватель биометрических данных на iPhone и других мобильных устройствах, который можно использовать для разблокировки устройства, а также для активации мобильных платежных систем.
Как и все другие средства безопасности, ни один метод многофакторной аутентификации не будет идеальным; однако он экспоненциально более безопасен, чем традиционные механизмы паролей, и может позволить снизить сложность пароля, поскольку пароль не используется в качестве конечного инструмента аутентификации [1].
Чтобы защитить наши учетные записи, лучше всего использовать многофакторную аутентификацию в дополнение к надежному паролю. Согласно исследованию Google research, многофакторная аутентификация предотвратила больше атак, чем однофакторная аутентификация, предотвратив 100 % со стороны автоматизированных ботов и значительно сократив количество других уязвимостей [2]. Если вы используете менеджер паролей, он может даже уведомить вас, когда одна из учетных записей может быть защищена многофакторной аутентификацией.
Мы также должны быть осторожны, чтобы убедиться, что доказательства одного фактора не содержат доказательств другого фактора. Например, если вы храните пароли в приложении Notes вашего телефона, и кому-то удается украсть и разблокировать ваш телефон, у него будет доступ как к доказательствам, основанным на владении, так и к доказательствам, основанным на знаниях. Когда система использует несколько факторов аутентификации, она хранит больше информации о вас.
Литература:
1. Смит Ричард Э. Аутентификация: от паролей до открытых ключей. — Вильямс, 2002.
2. Джейсон Андресс. Защита данных. От авторизации до аудита. — Питер, 2021.
