Що таке багатофакторна аутентифікація. Приклади

Що таке багатофакторна аутентифікація

Багатофакторна аутентифікація – це метод верифікації користувача, при якому для отримання доступу до облікових записів або ресурсів компанії потрібні два або більше ідентифікаційних коди. Фактори, що використовуються у БФА для аутентифікації, поділяються на різні категорії та зазвичай включають:

• Що користувач знає (наприклад, пароль або PIN-код).
• Чим користувач володіє (наприклад, додаток для перевірки автентичності або обліковий запис електронної пошти).
• Ким є користувач (наприклад, відбиток пальця або сканування обличчя).

Завдяки безлічі факторів для аутентифікації користувача створюється багаторівневий механізм безпеки, який знижує ризик несанкціонованого доступу. Навіть якщо зловмисник зламає перший елемент перевірки (пароль), він навряд чи зможе виконати інші вимоги до аутентифікації й отримати доступ до облікового запису.

Багато організацій переконалися в перевагах використання системи аутентифікації, яка динамічно пристосовується до відповідних факторів ризику. Вона називається адаптивна БФА. Щоб визначити рівень ризику, пов'язаний з підключенням, і які фактори аутентифікації слід застосовувати, адаптивна БФА враховує контекстуальну інформацію і моделі поведінки користувача.

Контекстуальна інформація, що використовується при адаптивній аутентифікації, може включати наступне:

• Місцеперебування, з якого користувач намагається увійти.
• Пристрої, що використовуються для входу в систему.
• Час доби, коли користувач намагається увійти.
• Чи підключається користувач через приватну або загальнодоступну мережу.
• Кількість невдалих спроб входу в акаунт.

Порівнюючи контекст, в якому користувач намагається підключитися, зі звичайними умовами підключення, система адаптивної БФА вибирає відповідний метод перевірки. Якщо спроба підключення буде оцінена як занадто ризикована, система може не дозволити користувачеві увійти в акаунт або запросити додаткову інформацію.

Принцип роботи багатофакторної аутентифікації

Багатофакторна автентифікація вимагає від користувача надати певну інформацію для виконання принаймні двох різних за своєю природою запитів. Запити поділяються на різні категорії: першим, як правило, є створений користувачем пароль, а потім, наприклад, запит на введення одноразового пароля, відправленого по SMS, або сканування відбитка пальця. Підтвердження особи користувача за допомогою декількох доказів знижує ймовірність того, що зловмисник видасть себе за користувача й отримає доступ до особистих файлів та ресурсів компанії.

Давайте покроково розберемо принцип роботи БФА, починаючи з першого етапу.

1. 1.Для включення БФА в обліковому записі від користувача потрібно створити ім'я користувача й пароль, а також надати будь-які інші можливі засоби аутентифікації, наприклад, свій номер телефону, адресу електронної пошти або відбиток пальця.
2. 2.Щоразу при отриманні доступу до онлайн-акаунтів або даних, захищених БФА, користувач повинен вказувати ім'я користувача й пароль. Також необхідно пройти додаткову перевірку, включену на початкових етапах створення облікового запису. Це може бути аутентифікаційний код, відправлений по SMS, сканування обличчя або відбитка пальця.
3. 3.Як тільки всі етапи перевірки виконані, користувач отримує доступ до акаунту.

Чим корисна багатофакторна аутентифікація 

Багатофакторна аутентифікація корисна тим, що додається ще один рівень захисту і знижується ймовірність неавторизованого доступу до конфіденційних даних. Оскільки все більше інформації зберігається на різних хмарних платформах, захищати її за допомогою простого пароля вже недоцільно. По-перше, якщо користувач придумав слабкий пароль, хакери можуть його зламати методом перебору або за допомогою шкідливої програми. Гірше, якщо той самий пароль використовується для кількох облікових записів. Тоді злом пароля в одній з них дозволить хакерам отримати доступ і до решти акаунтів. Саме тут додатковий фактор БФА й стане в пригоді: він заблокує хакеру доступ до облікових записів, навіть якщо він введе правильний пароль.

Переваги багатофакторної аутентифікації

Багаторівневий підхід до безпеки акаунтів необхідно впроваджувати як організаціям, так і окремим користувачам. Розглянемо його основні переваги:

• Підвищена безпека. Використовуючи безліч факторів аутентифікації, можна захистити облікові записи, навіть якщо перший рівень перевірки (пароль) був зламаний або загублений. Це ефективний інструмент для зменшення потенційного збитку від фішингових атак: навіть якщо шахрай вдасться вивудити з користувача пароль, додаткові рівні автентифікації обмежать його доступ до облікового запису. БФА зводить до мінімуму ризики, пов'язані зі зламаними паролями, людськими помилками й кібератаками, спрямованими на отримання конфіденційної інформації.
• Гнучкість і сумісність. БФА надає низку різних за своєю природою методів верифікації користувача, як-от коди аутентифікації та біометричні дані. Компанії можуть вибрати, які методи аутентифікації найкраще відповідають їхнім потребам та активам, а також те, що є найбільш зручним для користувачів. Це основна причина, чому Nord Account використовує багатофакторну систему безпеки. Організації також можуть впроваджувати БФА в різних додатках і точках доступу, що забезпечують доступ до широкого спектра ресурсів.
• Довіра клієнтів. Використання БФА може підвищити довіру і привабливість компанії в очах клієнтів, оскільки в цьому методі перевірки менше уваги приділяється паролям і більше іншим формам аутентифікації. Портал даних, захищений БФА, менш вразливий до людських помилок.

Методи багатофакторної аутентифікації

Методи БФА можуть бути класифіковані залежно від того, які ресурси користувач використовує для доступу до облікового запису. Давайте розглянемо найбільш поширені методи аутентифікації.

Що користувач знає

Мається на увазі інформація, яку знає тільки користувач, наприклад:

• пароль або PIN-код, створений користувачем;
• секретне питання, наприклад, ім'я домашньої тварини або родича.

Надавши цю інформацію системі БФА, користувач переходить до наступних етапів аутентифікації.

Чим користувач володіє

Метод аутентифікації прив'язаний до предмета, яким користувач володіє. Це можуть бути:

• фізичні пристрої, як-от мобільні телефони, планшети та апаратні брелоки;
• цифрові активи, включаючи облікові записи електронної пошти та SMS-послуги;
• додатки для аутентифікації, такі як Google Authenticator або Authy, які генерують одноразові коди на основі часу.

Під час аутентифікації користувач отримує тимчасовий код для входу в додаток БФА або повідомлення, яке йому необхідно підтвердити. Задовольнивши запит, користувач або буде допущений до облікового запису, або отримає інший запит на верифікацію.

Ким користувач є

В основному це біометричні дані користувача. Наведемо кілька прикладів:

• сканування відбитків пальців або очей;
• розпізнавання обличчя чи голосу;
• динаміка натискання клавіш, включаючи швидкість набору тексту, або особливості використання пристрою.

Для використання цього режиму аутентифікації система БФА при реєстрації отримує і зберігає біометричні дані користувача. Вони унікальні й завжди прив'язані до користувача, що робить цю категорію даних однією з найбільш істотних перешкод для входу в обліковий запис.

Місцерозташування

Фактор розташування залежить від фізичного розташування користувача, включаючи:

• геолокацію користувача в момент входу в систему;
• IP-адресу пристрою, з якого користувач намагається підключитися.

За координатами GPS і параметрами мережі система БФА визначає, чи не здається місце розташування користувача підозрілим. Визначення місця розташування зазвичай виконується у фоновому режимі. Якщо система БФА запідозрить незвичайну активність, вона може заблокувати доступ користувача до облікового запису або попросити пройти додаткові етапи перевірки.

Час

Система відстежує, коли користувач намагається увійти в обліковий запис. Фактор часу теж грає роль у вирішенні, чи можна надати користувачеві доступ до облікового запису. Система враховує:

• конкретний період часу, протягом якого користувачеві дозволений доступ до ресурсу.

Якщо користувач спробує увійти в систему в незвичайний час, наприклад, посеред ночі, БФА заблокує спробу підключення або запросить додаткову перевірку.

Чи має багатофакторна аутентифікація недоліки?

БФА вважається надійним способом підвищення безпеки облікових записів користувачів і ресурсів компаній. Однак вона має свої недоліки, які слід враховувати. Наприклад:

• Втрата пристрою. Якщо користувач втратить або пошкодить свій телефон або інше обладнання для підтвердження особи, БФА заблокує йому доступ до облікового запису. Це може призвести до затримок і вимагати зовнішньої допомоги для відновлення доступу до облікового запису.
• Вимагає більше часу для входу в систему. Виконання запиту БФА вимагає деякого часу, особливо якщо система ідентифікує спробу як небезпечну.
• Залежність від сторонніх сервісів. На деяких етапах перевірки може знадобитися встановлення додаткових програм для надсилання користувачам TOTP- або push-сповіщень, що може зайняти багато місця на пристрої.
• Вразливість до цілеспрямованих атак. Хоча БФА є ефективною системою захисту від автоматизованих кібератак, вона менш стійка до хакерів, які переслідують конкретні цілі. Зловмисники можуть маніпулювати поведінкою користувача або використовувати складні фішингові схеми, щоб переконати його співпрацювати при доступі до облікових записів з обмеженим доступом.

Чим багатофакторна аутентифікація відрізняється від двофакторної

БФА і двофакторна автентифікація (2ФА) – це методи верифікації, які вимагають від користувачів багаторазового підтвердження своєї особи, перш ніж отримати доступ до облікового запису. Основна відмінність між ними полягає в кількості етапів аутентифікації, необхідних системі.

2ФА вимагає двох різних форм ідентифікації. Зазвичай це поєднання пароля і підтвердження на зареєстрованому пристрої або своїх біометричних даних. Наприклад, при використанні 2ФА вас попросять ввести пароль і код, відправлений вам по SMS, або підтвердити відбиток пальця.

А ось при багатофакторній аутентифікації крім пароля потрібно пройти два і більше методів ідентифікації. Наприклад, коли користувача просять прийняти push-повідомлення, що відправляються на його мобільний пристрій, система БФА може також перевірити місце розташування, з якого користувач намагається підключитися, і оцінити ризик.

2ФА є варіацією БФА, при цьому БФА надає більш гнучкі й надійні рішення, які допомагають визначити, чи є підключення до облікового запису легітимним.

Висновок

БФА надає надійний рівень безпеки, що виходить за рамки традиційних систем доступу, заснованих на паролі. Технологія БФА використовує персоналізовані й засновані на обставинах реального часу методи аутентифікації, що значно ускладнює зловмисникам роботу по злому облікових записів. З мінімальними можливими незручностями для користувача багатофакторна аутентифікація значно знижує ризик несанкціонованого доступу до облікових записів і ресурсів.