Что такое многофакторная аутентификация (MФA)?

Что такое многофакторная аутентификация

Многофакторная аутентификация – это метод верификации пользователя, при котором для получения доступа к учетным записям или ресурсам компании требуются два или более идентификационных кода. Факторы, использующиеся в MФA для аутентификации, делятся на разные категории и обычно включают:

• Что пользователь знает (например, пароль или PIN-код).
• Чем пользователь обладает (например, приложение для проверки подлинности или учетная запись электронной почты).
• Кем пользователь является (например, отпечаток пальца или сканирование лица).

Благодаря множеству факторов для аутентификации пользователя создается многоуровневый механизм безопасности, который снижает риск несанкционированного доступа. Даже если злоумышленник взломает первый элемент проверки (пароль), он вряд ли сможет выполнить остальные требования к аутентификации и получить доступ к учетной записи.

Многие организации убедились в преимуществах использования системы аутентификации, которая динамически приспосабливается к соответствующим факторам риска. Она называется адаптивная MФA. Чтобы определить уровень риска, связанный с подключением, и какие факторы аутентификации следует применять, адаптивная MФA учитывает контекстуальную информацию и модели поведения пользователя.

Контекстуальная информация, используемая при адаптивной аутентификации, может включать следующее:

• Местоположение, из которого пользователь пытается подключиться.
• Устройства, используемые для входа в систему.
• Время суток, когда пользователь пытается подключиться.
• Подключается ли пользователь через частную или общедоступную сеть.
• Количество неудачных попыток входа в аккаунт.

Сравнивая контекст, в котором пользователь пытается подключиться, с обычными условиями подключения, система адаптивной MФA выбирает соответствующий метод проверки. Если попытка подключения будет оценена как слишком рискованная, система может не разрешить пользователю войти в аккаунт или запросить дополнительную информацию.

Принцип работы многофакторной аутентификации

Многофакторная аутентификация требует от пользователя предоставить определенную информацию для выполнения по крайней мере двух различных по своей природе запросов. Запросы делятся на разные категории: первым обычно является созданный пользователем пароль, за ним следует, например, запрос на ввод одноразового пароля, отправленного по SMS, или сканирование отпечатка пальца. Подтверждение личности пользователя с помощью множества доказательств снижает вероятность того, что злоумышленники выдадут себя за пользователя и получат доступ к личным файлам или ресурсам компании.

Давайте пошагово разберём принцип работы МФА, начиная с первого этапа.

1. 1.Для включения МФА в учетной записи от пользователя требуется создать имя пользователя и пароль, а также предоставить любые другие возможные средства аутентификации, например, свой номер телефона, адрес электронной почты или отпечаток пальца.
2. 2.Всякий раз при получении доступа к онлайн-аккаунтам или данным, защищенным МФА, пользователь должен указать имя пользователя и пароль. Также необходимо будет пройти дополнительную проверку, включенную на начальных этапах создания учетной записи. Это может быть аутентификационный код, отправленный по SMS, сканирование лица или отпечатка пальца.
3. 3.Как только все этапы проверки выполнены, пользователь получает доступ к аккаунту.

Чем полезна многофакторная аутентификация 

Многофакторная аутентификация полезна тем, что добавляется еще один уровень защиты и снижается вероятность неавторизованного доступа к конфиденциальным данным. Поскольку все больше информации хранится на различных облачных платформах, защищать ее с помощью простого пароля уже нецелесообразно. Во-первых, если пользователь придумал слабый пароль, хакеры могут его взломать методом перебора или внедрением вредоносной программы. Хуже, если один и тот же пароль используется для нескольких учетных записей. Тогда взлом пароля в одной из них позволит хакерам получить доступ и к остальным аккаунтам. Вот тут-то дополнительный фактор MФA и пригодится: он заблокирует хакеру доступ к учетным записям, даже если он введет правильный пароль.

Преимущества многофакторной аутентификации

Многоуровневый подход к безопасности аккаунтов необходимо обеспечивать как организациям, так и отдельным пользователям. Рассмотрим его основные преимущества:

• Повышенная безопасность. Используя множество факторов аутентификации, можно защитить учетные записи, даже если первый уровень проверки (пароль) был взломан или утерян. Это эффективный инструмент для снижения потенциального ущерба от фишинговых атак: даже если мошенник обманом выманит у пользователя пароль, дополнительные уровни аутентификации ограничат его доступ к учетной записи. МФА сводит к минимуму риски, связанные со взломанными паролями, человеческими ошибками и кибератаками, направленными на получение конфиденциальной информации.
• Гибкость и совместимость. МФА предоставляет ряд различных по своей природе методов верификации пользователя, таких как коды аутентификации и биометрические данные. Компании могут выбирать, какие методы аутентификации наилучшим образом соответствуют их потребностям и активам, а также что наиболее удобно для пользователей. Это основная причина, по которой компания Nord Account использует многофакторную систему безопасности. Организации также могут внедрять МФА в различных приложениях и точках доступа, обеспечивающих доступ к широкому спектру ресурсов.
• Доверие клиентов. Использование МФА может повысить доверие и привлекательность компании в глазах клиентов, поскольку в этом методе проверки меньше внимания уделяется паролям и больше – другим формам аутентификации. Портал данных, защищенный МФА, менее уязвим к человеческим ошибкам.

Методы многофакторной аутентификации

Методы МФА могут быть классифицированы в зависимости от того, какие ресурсы пользователь использует для доступа к учетной записи. Давайте рассмотрим наиболее распространенные методы аутентификации.

Что пользователь знает

Имеется в виду информация, которую знает только пользователь, например:

• пароль или PIN-код, созданный пользователем;
• секретный вопрос, например, имя домашнего животного или родственника.

Предоставив эту информацию системе МФА, пользователь переходит к следующим этапам аутентификации.

Чем пользователь обладает

Метод аутентификации привязан к предмету, которым пользователь владеет. Это могут быть:

• физические устройства, такие как мобильные телефоны, планшеты и аппаратные брелоки;
• цифровые активы, включая учетные записи электронной почты и SMS-сервисы;
• приложения для аутентификации, такие как Google Authenticator или Authy, которые генерируют одноразовые коды на основе времени.

Во время аутентификации пользователь получает временный код для входа в приложение МФА или уведомление, которое ему необходимо подтвердить. Удовлетворив запрос, пользователь либо будет допущен к учетной записи, либо получит другой запрос на верификацию.

Кем пользователь является

В основном это биометрические данные пользователя. Приведем несколько примеров:

• сканирование отпечатков пальцев или глаз;
• распознавание голоса или лица;
• динамика нажатия клавиш, включая скорость набора текста, или особенности использования устройства.

Для использования этого режима аутентификации система МФА при регистрации получает и хранит биометрические данные пользователя. Они уникальны и всегда привязаны к пользователю, что делает эту категорию данных одним из наиболее существенных препятствий для входа в учетную запись.

Местоположение

Фактор местоположения зависит от физического местоположения пользователя, включая:

• геолокацию пользователя в момент входа в систему;
• IP-адрес устройства, через которое пользователь пытается подключиться.

По координатам GPS и параметрам сети система МФА определяет, не кажется ли местоположение пользователя подозрительным. Определение местоположения обычно выполняется в фоновом режиме. Если система МФА заподозрит необычную активность, она может заблокировать доступ пользователей к учетной записи или попросить пройти дополнительные этапы проверки.

Время

Система отслеживает, когда пользователь пытается войти в учетную запись. Фактор времени тоже играет роль в решении, можно ли предоставить пользователю доступ к учетной записи. В учет берется:

• конкретный период времени, в течение которого пользователю разрешен доступ к ресурсу.

Если пользователь попытается войти в систему в необычное время, например, посреди ночи, МФА заблокирует попытку подключения или запросит дополнительную проверку.

Есть ли у многофакторной аутентификации недостатки?

МФA является надежным способом повышения безопасности учетных записей пользователей и ресурсов компаний. Однако у нее есть свои недостатки, которые следует учитывать. Например:

• Потеря устройства. Если пользователь потеряет или повредит свой телефон или другое оборудование для подтверждения личности, MФA заблокирует ему доступ к учетной записи. Это может привести к задержкам и потребовать внешней помощи для восстановления доступа к учетной записи.
• Требует больше времени для входа в систему. Выполнение запроса MФA может потребовать некоторого времени, особенно если система идентифицирует попытку как опасную.
• Зависит от сторонних сервисов. На некоторых этапах проверки может потребоваться установка дополнительных приложений для отправки пользователям TOTP- или push-уведомлений, что может занять много места на устройстве.
• Уязвимость к целенаправленным атакам. Хотя MФA является эффективной системой защиты от автоматизированных кибератак, она менее устойчива к хакерам, преследующим конкретные цели. Злоумышленники могут манипулировать поведением пользователей или использовать сложные фишинговые схемы, чтобы убедить пользователей сотрудничать при доступе к аккаунтам с ограниченным доступом.

Чем многофакторная аутентификация отличается от двухфакторной

MФA и двухфакторная аутентификация (2ФA) – это методы верификации, которые требуют от пользователей многократного подтверждения своей личности, прежде чем получить доступ к учетной записи. Основное различие между ними заключается в количестве этапов аутентификации, необходимых системе.

2ФA требует двух различных форм идентификации. Обычно это сочетание пароля и подтверждения на зарегистрированном устройстве или своих биометрических данных. Например, при использовании 2ФA вас попросят ввести пароль и код, отправленный вам по SMS, или подтвердить отпечаток пальца.

А вот при многофакторной аутентификации помимо пароля требуется пройти два и более метода идентификации. Например, когда пользователя просят принять push-уведомления, отправляемые на его мобильное устройство, система MФA может также проверить местоположение, из которого пользователь пытается подключиться, и оценить риск.

2ФA является вариацией MФA, при этом MФA предоставляет более гибкие и надежные решения, которые помогают определить, является ли подключение к учетной записи легитимным.

Вывод

MФA обеспечивает надежный уровень безопасности, выходящий за рамки традиционных систем доступа, основанных на пароле. Технология MФA использует персонализированные и основанные на обстоятельствах реального времени методы аутентификации, что значительно усложняет злоумышленникам работу по взлому учетных записей. С минимальными возможными неудобствами для пользователя многофакторная аутентификация значительно снижает риск несанкционированного доступа к учетным записям и ресурсам.