Что такое двухфакторная авторизация (аутентификация)

И почему пароли недостаточно хороши?

Прежде чем ответить на вопрос «что такое двухфакторная аутентификация» или «что такое двухфакторная аутентификация», давайте рассмотрим, почему важно сделать все возможное для повышения безопасности вашей учетной записи на сайте. 

Как правило большая часть нашей жизни происходит на мобильных устройствах и ноутбуках. Неудивительно, что наши цифровые учетные записи стали магнитом для преступников. Вредоносные атаки на правительства, компании и отдельных лиц становятся все более распространенными. И нет никаких признаков того, что взломы, утечки данных и другие формы киберпреступности исчезнут!

К счастью, легко добавить дополнительный уровень защиты к учетным записям пользователей. Этой защитой может быть двухфакторная аутентификации, также обычно называемая 2FA.

Двухфакторная аутентификация (2FA) – это второй уровень безопасности, помогающий защитить учетную запись или систему от взлома сайта. Прежде чем получить доступ к учетной записи или системе, пользователи должны пройти два уровня безопасности.

Рост киберпреступности требует большей безопасности с 2FA

В последние годы мы стали свидетелями значительного увеличения количества веб-сайтов, теряющих личные данные своих пользователей. Киберпреступность становится все более изощренной. В результате, компании обнаруживают, что их старые системы безопасности не подходят для современных угроз и атак. Иногда их раскрывает простая человеческая ошибка. И не только доверие пользователей может быть подорвано. Все типы организаций (глобальные компании, малые предприятия, стартапы и даже некоммерческие организации) могут понести серьезные финансовые и репутационные потери.

Для потребителей последствия целевого взлома или кражи личных данных могут быть разрушительными. Украденные учетные данные используются для защиты фальшивых кредитных карт и финансирования покупок. Это может повредить кредитному рейтингу жертвы. И все банковские и криптовалютные счета могут быть опустошены в одночасье. Недавнее исследование показало, что в 2016 году более 16 миллиардов долларов было получено от 15,4 миллионов потребителей в США. Что еще более невероятно, только за последние шесть лет воры украли более 107 миллиардов долларов.

Очевидно, что онлайн-сайты и приложения должны обеспечивать более строгую безопасность. И потребители должны иметь привычку защищать себя чем-то более надежным, чем просто пароль. Для многих этот дополнительный уровень безопасности – это двухфакторная аутентификация.

Пароли: исторически плохие, но все еще используются

Как и когда пароли стали настолько уязвимыми? Еще в 1961 году Массачусетский технологический институт разработал Совместимую систему разделения времени (CTSS). Чтобы убедиться, что все имеют равные возможности использовать компьютер, MIT потребовал, чтобы все студенты входили в систему с безопасным паролем. Вскоре студенты поняли, что они могут взломать систему, распечатать пароли и потратить больше компьютерного времени.

Несмотря на существование гораздо более безопасных альтернатив, логин и пароль остаются наиболее распространенной формой аутентификации пользователей. Общее эмпирическое правило состоит в том, что пароль должен быть известен только вам и его трудно угадать другим. И хотя использование паролей лучше, чем отсутствие защиты вообще, они не являются надежными. Вот почему:

• Люди используют простые пароли. В недавнем отчете было рассмотрено более 1,4 миллиарда украденных паролей. Выяснилось, что большинство из них были поразительно простыми. Среди худших – «111111», «123456», «123456789», «qwerty» и «password». Хотя их легко запомнить, любой достойный хакер может взломать эти простые пароли в кратчайшие сроки.
• Повторное использование паролей. Пользователи открывают все больше и больше учетных записей. Это в итоге создает слишком много паролей для запоминания и открывает путь к опасной привычке. Повторять пароли на разных сайтах. Вот почему хакерам нравится эта тенденция: для взлома программного обеспечения требуется всего несколько секунд, чтобы проверить тысячи украденных учетных данных с помощью популярных онлайн-банков и торговых сайтов.
• Наступает усталость от безопасности. Чтобы защитить себя, некоторые потребители пытаются усложнить задачу злоумышленникам, создавая более сложные пароли и парольные фразы. Но с таким количеством утечек данных, наводняющих темную сеть пользовательской информацией, многие просто сдаются и возвращаются к использованию слабых паролей для нескольких учетных записей.

2FA спешит на помощь

2FA – это дополнительный уровень безопасности, используемый для того, чтобы люди авторизовались верно. Сначала пользователь вводит свое имя пользователя и пароль. Тогда вместо того, чтобы сразу получить доступ, они должны будут предоставить другую информацию. Этот второй фактор может происходить из одной из следующих категорий:

• Элементы, что вы знаете: это может быть личный идентификационный номер (ПИН), пароль, ответы на «секретные вопросы» или конкретная комбинация клавиш.
• Что-то, что у вас есть: обычно у пользователя есть что-то в своем распоряжении, например, кредитная карта, смартфон или небольшой аппаратный токен.
• Что-то, чем вы являетесь: эта категория немного более сложная и может включать биометрический образец отпечатка пальца, сканирование радужной оболочки глаза или отпечаток голоса.

С 2FA потенциальная угроза только одного из этих факторов не приведет к разблокировке учетной записи. Таким образом, даже если ваш пароль украден или ваш телефон утерян, вероятность того, что кто-то другой получит вашу информацию второго фактора – очень маловероятна. С другой стороны, если потребитель правильно использует 2FA, веб-сайты и приложения могут быть более уверены в личности пользователя и разблокировать учетную запись.

Как работает двухфакторная аутентификация?

Вот как работает двухфакторная аутентификация:

1. Приложение или веб-сайт предлагает пользователю войти в систему.
2. Пользователь вводит то, что ему известно – обычно имя пользователя и пароль. Затем сервер сайта находит совпадение и распознает пользователя.
3. Для процессов, для которых не требуются пароли, веб-сайт генерирует уникальный ключ безопасности для пользователя. Инструмент аутентификации обрабатывает ключ, а сервер сайта проверяет его.
4. Затем сайт предлагает пользователю начать второй шаг входа в систему. Хотя этот шаг может принимать различные формы. Пользователи должны доказать, что у них есть то, что есть только у них, например токен безопасности, идентификационная карта, смартфон или другое мобильное устройство. Это фактор владения.
5. Затем пользователь вводит одноразовый код, сгенерированный на четвертом шаге.
6. После предоставления обоих факторов пользователь проходит проверку подлинности и получает доступ к приложению или веб-сайту.

Распространенные типы 2FA

Слабая защита сегодня у сайта, который требует только пароль для входа и не предлагает двухфакторную аутентификацию. Ведь есть большая вероятность, что в конечном итоге он будет взломан. Это не означает, что все 2FA одинаковы. Сегодня используются несколько типов двухфакторной аутентификации. Некоторые могут быть сильнее или сложнее, чем другие, но все они обеспечивают лучшую защиту, чем одни пароли. Давайте посмотрим на самые распространенные формы 2FA.

Аппаратные токены для 2FA

Вероятно, это самая старая форма 2FA. Аппаратные токены  имеют небольшие размеры,  как брелок, и создают новый цифровой код каждые 30 секунд. Когда пользователь пытается получить доступ к учетной записи, он смотрит на устройство и вводит отображаемый код 2FA обратно на сайт или в приложение. Другие версии аппаратных токенов автоматически передают код 2FA при подключении к USB-порту компьютера.

Однако у них есть несколько недостатков. Для предприятий распространение этих единиц обходится дорого. Пользователи считают, что их размер позволяет легко потерять их. Самое главное, что они не полностью защищены от взлома.

SMS текстовые сообщения и голосовая 2FA

Двухфакторная аутентификация на основе SMS напрямую взаимодействует с телефоном пользователя. После получения имени пользователя и пароля сайт отправляет пользователю уникальный код доступа (OTP) в сообщении. Как и в случае с аппаратным токеном, пользователь должен затем снова ввести OTP в приложение, прежде чем получить доступ. Точно так же голосовая двухфакторная аутентификация автоматически набирает номер пользователя и устно доставляет код двухфакторной аутентификации. 

Для онлайн-активности с низким уровнем риска может потребоваться аутентификация с помощью текста или голоса. Но для веб-сайтов, хранящих вашу личную информацию, таких как коммунальные предприятия, банки или учетные записи электронной почты, этот уровень 2FA может быть недостаточно безопасным. Фактически,  SMS считается наименее безопасным способом аутентификации пользователей. Из-за этого многие компании повышают свою безопасность, выходя за рамки двухфакторной аутентификации на основе SMS .

Программные токены для 2FA

Самая популярная форма двухфакторной аутентификации (и предпочтительная альтернатива SMS и голосовой связи) использует программно созданный одноразовый код доступа на основе времени (также называемый TOTP или «программный токен»).

Во-первых, пользователь должен загрузить и установить бесплатное приложение 2FA на свой смартфон или компьютер. Затем они могут использовать приложение с любым сайтом, поддерживающим этот тип аутентификации. При входе в систему пользователь сначала вводит имя пользователя и пароль, а затем, когда будет предложено, они вводят код, показанный в приложении. Как и аппаратные токены, программный токен обычно действителен менее минуты. И поскольку код генерируется и отображается на одном устройстве, программные токены исключают возможность перехвата хакерами. Это большая проблема с методами доставки SMS или голоса.

Лучше всего то, что  решения 2FA на основе приложений доступны для мобильных, носимых или настольных платформ – и даже работают в автономном режиме – аутентификация пользователей возможна практически везде.

Push-уведомление для 2FA

Вместо того, чтобы полагаться на получение и ввод токена 2FA, веб-сайты и приложения теперь могут отправлять пользователю push-уведомление о попытке аутентификации. Владелец устройства просто просматривает детали и может одобрить или запретить доступ одним касанием. Это аутентификация без пароля, без ввода кодов и дополнительных действий.

Благодаря  прямому и безопасному соединению между продавцом, службой 2FA и устройством push-уведомление исключает любую возможность для фишинга, атак типа «злоумышленник в середине» или несанкционированного доступа. Но он  работает только с подключенным к Интернету устройством, на которое можно устанавливать приложения. Кроме того, в регионах, где скорость низкая или где Интернет ненадежен, двухфакторная аутентификация на основе SMS может быть предпочтительным запасным вариантом. Но там, где это возможно, push-уведомления обеспечивают более удобную и безопасную форму безопасности.

Другие формы двухфакторной аутентификации

Биометрическая 2FA, которая рассматривает пользователя как токен, не за горами. Недавние инновации включают проверку личности человека по отпечаткам пальцев, сетчатке глаза и распознаванию лиц. Также исследуются окружающий шум, пульс, шаблоны набора текста и звуки голоса. Это только вопрос времени, когда один из этих методов двухфакторной аутентификации станет популярным… и для биометрических хакеров выяснение того, как их использовать.

Безопасна ли двухфакторная аутентификация?

Хотя двухфакторная аутентификация действительно улучшает безопасность – поскольку право доступа больше не зависит исключительно от силы пароля, – схемы двухфакторной аутентификации безопасны настолько, насколько они безопасны. Например, аппаратные токены зависят от безопасности эмитента или производителя. Один из самых громких случаев взлома двухфакторной системы произошел в 2011 году. Охранная компания RSA Security сообщила, что ее токены аутентификации SecurID были взломаны.

Сам процесс восстановления учетной записи также может быть нарушен, когда он используется для обхода двухфакторной аутентификации. Поскольку он часто сбрасывает текущий пароль пользователя и отправляет временный пароль по электронной почте. Таким образом пользователь млжет снова войти в систему, минуя процесс 2FA. Таким образом были взломаны бизнес-аккаунты Gmail исполнительного директора Cloudflare.

Хотя двухфакторная аутентификация на основе SMS является недорогой, простой в реализации и удобной для пользователя, она уязвима для многочисленных атак. Национальный институт стандартов и технологий ( NIST ) не одобрил использование SMS в службах 2FA в своей специальной публикации 800-63-3: Digital Identity Guidelines. NIST пришел к выводу, что одноразовые пароли, отправленные через SMS, слишком уязвимы из-за атак на переносимость номеров мобильных телефонов, таких как  взлом Signaling System 7, на сеть мобильных телефонов и вредоносное ПО, такое как Eurograbber, которые можно использовать для перехвата или перенаправления текстовых сообщений.

Будущее аутентификации

Использование паролей в качестве основного метода аутентификации больше не обеспечивает безопасность или удобство работы (UX), которые требуются пользователям. И хотя устаревшие инструменты безопасности, такие как диспетчер паролей и MFA, пытаются справиться с проблемами имен пользователей и паролей, они зависят от существенно устаревшей архитектуры: базы данных паролей.

Аутентификация без пароля позволяет пользователям безопасно аутентифицировать себя в своих приложениях, не вводя пароли. В бизнесе это означает, что сотрудники могут получить доступ к своей работе без пароля. В тоже время ИТ-отдел по-прежнему сохраняет полный контроль над каждым входом в систему.

Биометрия и безопасные протоколы – вот пара примеров технологий аутентификации без пароля.

Использование биометрии в качестве метода аутентификации без пароля на уровне пользователя, приложения и устройства может лучше гарантировать компаниям, что сотрудники, входящие в систему, являются теми, кем они там называются.

Протоколы – еще один пример беспарольных технологий. Протоколы – это стандарты, призванные упростить связь между поставщиком удостоверений и поставщиком услуг. Сотрудник, прошедший аутентификацию у поставщика удостоверений, также аутентифицируется у назначенных поставщиков услуг без ввода пароля.

Заключение

Большинство атак происходит из удаленных интернет-соединений, поэтому 2FA делает эти атаки менее опасными. Подбор или получения пароля из слитой базы данных другого ресурса – наша реальность на сегодня. Это больше не дает безопасности. Мы рекомендуем переходить на двухфакторную аутентификацию как можно быстрей.

Двухфакторная аутентификация обеспечивает дополнительный уровень безопасности для онлайн-файлов вашей компании. Она защищает конфиденциальные данные от потенциальных киберугроз. Включите двухфакторную аутентификацию на всех аккаунтах в сети, которые вам особенно важны.

Если желаете подключить 2FA для вашего сайта на WordPress – оставьте заявку и наш менеджер свяжеться с вами!