ох 61-05 мультифакторная
Эксперт Джон Мейринг в статье журнала Security Magazine (April, 2018) классифицирует систему аутентификации по трем категориям:
То, что вы знаете (например, пароль)
То, что у вас в руках (электронный пропуск, смартфон с кодом)
То, что вы есть сами по себе (отпечатки пальцев, сетчатка и радужная оболочка глаза)
Хорошо, если вы пользуетесь одним фактором аутентификации. Еще лучше – если двумя одновременно при условии, что это не так сложно. Два и больше факторов на вооружении автор обозначает как мультифакторную аутентификацию (multi-factor authentication – MFA). Наиболее распространенная форма MFA – двухфакторная (2FA). Трехфакторная идентификация – 3FA.
Первые программные решения MFA сочетали пароль и физический предмет, чаще всего электронный пропуск. Но, как показала жизнь, физические предметы не надежны. Они теряются, крадутся, забываются дома…К тому же они встроены в дорогую систему контроля, требующую специальные устройства для считывания.
В последние несколько лет, пишет Мейринг, ситуация в этой сфере радикально изменилась в связи с массовым распространением смартфонов. Умные гаджеты способны совмещать в себе разные факторы аутентификации. Владельцы смартфонов сегодня носят с собой считыватели собственных отпечатков, сохраняя контроль над своими биометрическими данными.
Внедрение новейших цифровых технологий может породить желание перейти на трехфакторную аутентификацию. Автор статьи не советует идти по пути усложнения. Большинству людей в этом нет никакой необходимости. Их доступ в корпоративные базы данных ограничен должностными функциями. В принципе, для них достаточно стандартного логина.
Двух и трехфакторная аутентификация необходима тем, кто пользуется в компании привилегиями допуска к закрытой, служебной, конфиденциальной информации. Это, как правило, первые лица в организации, топ-менеджеры, специалисты по информационным технологиям.
В ряде стран появились компании, предлагающие услугу MFA. Они помогают компаниям интегрировать сетевые технологии и продукты дистанционного доступа к базам данных через «облачные вычисления». Услуга включает поддержку всей системы доступа. Для многих компаний такой аутсорсинг представляется удобным, поскольку устраняет необходимость брать на себя всю работу по созданию системы MFA и ее поддержке. Но здесь, предупреждает Мейринг, надо проявлять большую осмотрительность, тщательно проверить потенциального партнера, прежде чем подписать с ним контракт.
Многофакторная или расширенная аутентификация применяется рядом российских компаний в сфере интернет-банкинга, мобильного банкинга, файлообмена и тому подобный решений для конечных пользователей, читаем в материалах веб-сайта tadviser.ru. В качестве примера может послужить процесс двухфакторной аутентификации, реализованный многими банками: вход в личный кабинет пользователя посредством сети интернет возможен вводом пароля, после чего (в случае подтвержденной правомерности), следует передача одноразового пароля (SMS) на мобильный телефон, ранее зарегистрированный пользователем.
Более того, на российском рынке уже встречаются решения, позволяющие аутентифицировать пользователя по голосу и геометрии лиц (журнал «Information Security/Информационная безопасность», №6, 2015). Подробнее об этом: http://www.itsec.ru/articles2/Oborandteh/mnogofaktornaya-autentifikatsiya-luchshe-menshe--da-luchshe
Однако мультифакторная аутентификация с помощью SMS не всегда может быть безопасной, отмечают эксперты на веб-сайте Premium.wpmudev.org. Существует вероятность того, что SMS и другая мультифакторная аутентификация будет неэффективной, если в данный процесс вклинивается человеческая ошибка. Есть много ситуаций, когда мультифакторная аутентификация не является адекватной мерой защиты:
- Ваш мобильный оператор нарушил меры безопасности
- Вы не предоставили мобильному оператору сложный код безопасности
- Вы не выбрали сложные пароли
- Ваши пароли хранятся небезопасно
- Ваш телефон или другие устройства украдены
- Вы не защитили свой телефон или другие мобильные устройства
- Вы стали жертвой фишинговых атак по email или по телефону
Одновременно эксперты рекомендуют:
- Не публикуйте личную или идентификационную информацию публично в сети вне зависимости от того, насколько она кажется вам безопасной или неважной. Не пишите, что у вас есть деньги на PayPal или где-то еще, не говорите, когда вы едете в отпуск, не указывайте свой телефон, email и другие подобные данные.
- Держите компьютер и мобильные устройства в безопасном месте и следите за ними, когда вы находитесь на публике. Важно, чтобы никто не подглядывал за вводом данных.
- Если вы используете браузер, который сохраняет ваши пароли, но ваш компьютер украдут, все пароли могут быть скомпрометированы. Потому рассмотрите возможность удаления всех сохраненных в настоящее время паролей, переход к двухфакторной аутентификации для всех сайтов, либо использование надежного сервиса хранения паролей (веб-сайт Premium.wpmudev.org).
© "АМУЛЕТ" 2003 г. Тел/Факс.(495) 614-40-60, 614-41-60,
Е-mail:sb@amulet-group.ru
|