Багатофакторна автентифікація БФА англ multi factor authentication MFA розширена автентифікація метод контролю доступу д

Багатофакторна автентифікація (БФА, англ. multi-factor authentication, MFA) — розширена автентифікація, метод контролю доступу до комп'ютера, в якому користувачеві для отримання доступу до інформації необхідно пред'явити більше одного «доказу механізму аутентифікації». До категорій таких доказів відносять:

Знання — інформація, яку знає суб'єкт. Наприклад, пароль, пін-код.
Володіння — річ, якою володіє суб'єкт. Наприклад, електронна або магнітна карта, токен, флеш-пам'ять.
Властивість, якою володіє суб'єкт. Наприклад, біометрія, унікальні природні відмінності: обличчя, відбитки пальців, райдужна оболонка очей, капілярні візерунки, послідовність ДНК.

Багатофакторна автентифікація

Коротка назва	MFA

Фактори автентифікації

Докладніше: Автентифікація

Ще до появи комп'ютерів використовувалися різні відмінні риси суб'єкта, його характеристики. Зараз використання тієї чи іншої характеристики в системі залежить від необхідної надійності, захищеності та вартості впровадження. Виділяють 3 фактори аутентифікації:

Фактор знання, щось, що ми знаємо — пароль. Це таємні відомості, якими повинен володіти тільки авторизований суб'єкт. Паролем може бути мовне слово, текстове слово, комбінація для замку або особистий ідентифікаційний номер (PIN). Парольний механізм може бути досить легко втілений і має низьку вартість. Але має суттєві недоліки: зберегти пароль у таємниці часто буває складно, зловмисники постійно вигадують нові способи крадіжки, злому і підбору пароля (див. бандитський криптоаналіз, метод грубої сили). Це робить парольний механізм слабозахищеним. Велика кількість секретних питань, такі як «Де ви народилися?», елементарні приклади фактора знань, тому що вони можуть бути відомі широкому загалу людей, або бути досліджені.
Фактор володіння, щось, що ми маємо — пристрій автентифікації. Тут важлива сама обставина володіння суб'єктом якимось особливим предметом. Це може бути особиста печатка, ключ від замка, для комп'ютера це файл даних, що містять характеристику. Характеристика часто вбудовується в особливий пристрій аутентифікації, наприклад, , смарт-картка. Для зловмисника роздобути такий пристрій стає більш складно, ніж зламати пароль, а суб'єкт може відразу ж повідомити в разі крадіжки пристрою. Це робить даний метод більш захищеним, ніж парольний механізм, проте вартість такої системи більш висока.
Фактор властивості, щось, що є частиною нас — біометрика. Характеристикою є фізична особливість суб'єкта. Це може бути портрет, відбиток пальця або долоні, голос або особливість очка. З точки зору суб'єкта, даний спосіб є найбільш простим: не треба запам'ятовувати пароль, ні переносити з собою пристрій аутентифікації. Однак біометрична система повинна володіти високою чутливістю, щоб підтверджувати авторизованого користувача, але відкидати зловмисника зі схожими біометричними параметрами. Також вартість такої системи досить велика. Але, незважаючи на свої недоліки, біометрика залишається досить перспективним фактором.

Безпека

Багатофакторна автентифікація може істотно зменшити імовірність викрадення особистих даних в інтернеті, оскільки знання пароля жертви недостатньо для здійснення шахрайства. Тим не менш, в залежності від реалізації, системи з багатофакторною автентифікацією можуть бути вразливими для атак типу «фішингу», «людина-в-браузері», «людина посередині», тощо.

Вибираючи для системи той чи інший фактор або спосіб аутентифікації, необхідно, насамперед, відштовхуватися від необхідної ступеня захищеності, вартості побудови системи, забезпечення мобільності суб'єкта.

Таблиця для порівняння:

Рівень ризику	Вимоги до системи	Технологія аутентифікації	Приклади застосування
Низький	Потрібно здійснити автентифікацію для доступу до системи, причому крадіжка, злом, розголошення конфіденційних відомостей не будуть мати значних наслідків	Рекомендується мінімальна вимога — використання багаторазових паролів	Реєстрація на порталі в мережі Інтернет
Середній	Потрібно здійснити автентифікацію для доступу до системи, причому крадіжка, злом, розголошення конфіденційних відомостей заподіють невеликий збиток	Рекомендується мінімальна вимога — використання одноразових паролів	Здійснення банківських операцій
Високий	Потрібно здійснити автентифікацію для доступу до системи, причому крадіжка, злом, розголошення конфіденційних відомостей завдадуть значної шкоди	Рекомендується мінімальна вимога — використання багатофакторної аутентифікації	Проведення великих міжбанківських операцій керівним апаратом

Двофакторна автентифікація

Двофакторна автентифікація (ДФА, англ. two-factor authentication, також відома як двоетапна верифікація), є типом багатофакторної аутентифікації. ДФА — технологія, що забезпечує ідентифікацію користувачів за допомогою комбінації двох різних компонентів.

Хорошим прикладом двофакторної аутентифікації є авторизація Google і Microsoft. Коли користувач заходить з нового пристрою, крім аутентифікації за іменем та паролем, його просять ввести шестизначний (Google) або восьмизначний (Microsoft) код підтвердження. Ви можете отримати його за допомогою SMS, або голосового дзвінка на ваш телефон, він може бути взятий із заздалегідь складеного реєстру разових кодів, або ви можете використовувати додаток-аутентифікатор, генеруючий новий одноразовий пароль за короткі проміжки часу. Вибрати один з методів можна в налаштуваннях вашого Google або Microsoft-акаунта.

Перевага двофакторної автентифікації через мобільний пристрій:

Не потрібні додаткові токени, тому що мобільний пристрій завжди під рукою.
Код підтвердження постійно змінюється, а це безпечніше, ніж однофакторний логін-пароль

Недоліки двофакторної автентифікації через мобільний пристрій:

Мобільний телефон повинен ловити мережу, коли відбувається автентифікація, інакше повідомлення з паролем просто не дійде.
Ви ділитеся з кимось вашим мобільним телефоном, що впливає на ваше особисте життя і може бути в майбутньому на нього буде приходити спам.
Текстові повідомлення (SMS), які, потрапляючи на ваш мобільний телефон, можуть бути перехоплені.
Текстові повідомлення приходять з деякою затримкою, так як деякий час йде на перевірку.
Сучасні смартфони використовуються як для одержання пошти, так і для отримання SMS. Як правило електронна пошта на мобільному телефоні завжди включена. Таким чином, усі акаунти, для яких пошта є ключем, можуть бути зламані (перший фактор). Мобільний пристрій (другий фактор). Висновок: смартфон змішує два чинника в один.

Зараз майже всі великі сервіси, такі як Microsoft, Google, Yandex, Dropbox, Facebook, вже надають можливість використовувати двофакторну аутентифікацію. Причому для всіх з них можна використовувати єдиний додаток аутентифікатор, що відповідає певним стандартам, такі як Google Authenticator, Microsoft Authentificator, Authy або FreeOTP.

Законодавство та регулювання

Стандарт безпеки даних для (PCI), вимога 8.3, вимагає використання MFA для всього віддаленого доступу до мережі, що походить із-за межі мережі, до середовища даних карт (CDE). Починаючи з PCI-DSS версії 3.2, використання MFA потрібне для будь-якого адміністративного доступу до CDE, навіть якщо користувач знаходиться в межах надійної мережі.

Практична реалізація

Багато продуктів з функцією багатофакторної автентифікації вимагають від користувача клієнтське програмне забезпечення, для того, щоб система багатофакторної аутентифікації запрацювала. Деякі розробники створили окремі настановні пакети для входу в мережу, ідентифікаційних даних вебдоступу VPN-підключення. Щоб використовувати з цими продуктами токен або смарт-карту, потрібно встановити на РС чотири або п'ять пакетів спеціального програмного забезпечення. Це можуть бути пакети, які використовуються для здійснення контролю версії або це можуть бути пакети для перевірки конфліктів з бізнес-додатками. Якщо доступ може бути проведений з використанням вебсторінок, то тоді можна обійтися без непередбачених витрат. З іншими програмними рішеннями багатофакторної аутентифікації, такими як «віртуальні» токени або деякі апаратні токени, жодне не може бути встановлено безпосередніми користувачами.

Багатофакторна автентифікація не стандартизована. Існують різні форми її реалізації. Отже, проблема полягає в її здатності до взаємодії. Існує багато процесів і аспектів, які необхідно враховувати при виборі, розробці, тестуванні, впровадженні та підтримці цілісної системи управління ідентифікацією безпеки, включаючи всі релевантні механізми аутентифікації і супутніх технологій: це все описав Brent Williams, в контексті «Identity Lifecycle»

Багатофакторна автентифікація має ряд недоліків, які перешкоджають її поширенню. Зокрема людині, яка не розбирається в цій області, складно стежити за розвитком апаратних токенів або USB-штекерів. Багато користувачів не можуть самостійно встановити сертифіковане програмне забезпечення, так як не володіють відповідними технічними навичками. Загалом, багатофакторні рішення вимагають додаткових витрат на встановлення та оплату експлуатаційних витрат. Багато апаратні комплекси, засновані на токенах, запатентовані, і деякі розробники стягують з користувачів щорічну плату. З точки зору логістики, розмістити апаратні токени важко, так як вони можуть бути пошкоджені або втрачені. Випуск токенів в таких областях, як банки, або інших великих підприємствах повинен бути відрегульований. Крім витрат на установку багатофакторної аутентифікації значну суму також становить оплата технічного обслуговування. В 2008 році великий медіа-ресурс Credit Union Journal провів опитування серед понад 120 кредитних спілок США. Мета опитування — показати вартість технічного обслуговування пов'язану з двофакторної аутентифікацією. У результаті вийшло, що сертифікація програмного забезпечення і доступ до панелі інструментів мають найвищу вартість.

Див. також

Примітки

(англ.). Fortune. 26 липня 2016. Архів оригіналу за 20 квітня 2018. Процитовано 13 серпня 2016. “Due to the risk that SMS messages may be intercepted or redirected, implementers of new systems should carefully consider alternative authenticators,” NIST
. РосБизнесКонсалтинг. 2 мая 2016, 20:18. Архів оригіналу за 17 червня 2018. Процитовано 11 травня 2017. …у ніч на п'ятницю відділ технологічної безпеки МТС вимкнув йому (Олегу Козловському) сервіс доставки СМС-повідомлень, після чого — за 15 хвилин — хтось із Unix-консолі за IP-адресою на одному із серверів анонімайзера Tor відправив у Telegram запит на авторизацію нового пристрою з номером телефону Козловського. Йому було надіслано СМС із кодом, яке доставлено не було, оскільки сервіс для нього був вимкнений. Потім зловмисник ввів код авторизації і отримав доступ до акаунта активіста в Telegram. «Головне питання в тому, яким чином невідомі отримали доступ до коду, який був відправлений на СМС, але не доставлений. На жаль, у мене є тільки одна версія: через систему СОРМ або безпосередньо через відділ техбезпеки МТС (наприклад, за зверненням із „компетентних органів“)», — підкреслив активіст.
. www.pcisecuritystandards.org. Архів оригіналу за 27 грудня 2021. Процитовано 25 липня 2016.

Посилання

Eric Grosse, Mayank Upadhyay, , IEEE Computer and Reliability Societies. (англ.)(англ.)
DRAFT NIST Special Publication 800-63B. Digital Authentication Guideline. Authentication and Lifecycle Management [ 21 квітня 2017 у Wayback Machine.] // NIST, 2016(англ.)(англ.)

[fortune-nist-sms-intercept2016.2fa-1] (англ.). Fortune. 26 липня 2016. Архів оригіналу за 20 квітня 2018. Процитовано 13 серпня 2016. “Due to the risk that SMS messages may be intercepted or redirected, implementers of new systems should carefully consider alternative authenticators,” NIST

[2] . РосБизнесКонсалтинг. 2 мая 2016, 20:18. Архів оригіналу за 17 червня 2018. Процитовано 11 травня 2017. …у ніч на п'ятницю відділ технологічної безпеки МТС вимкнув йому (Олегу Козловському) сервіс доставки СМС-повідомлень, після чого — за 15 хвилин — хтось із Unix-консолі за IP-адресою на одному із серверів анонімайзера Tor відправив у Telegram запит на авторизацію нового пристрою з номером телефону Козловського. Йому було надіслано СМС із кодом, яке доставлено не було, оскільки сервіс для нього був вимкнений. Потім зловмисник ввів код авторизації і отримав доступ до акаунта активіста в Telegram. «Головне питання в тому, яким чином невідомі отримали доступ до коду, який був відправлений на СМС, але не доставлений. На жаль, у мене є тільки одна версія: через систему СОРМ або безпосередньо через відділ техбезпеки МТС (наприклад, за зверненням із „компетентних органів“)», — підкреслив активіст.

[3] . www.pcisecuritystandards.org. Архів оригіналу за 27 грудня 2021. Процитовано 25 липня 2016.