Що таке двофакторна авторизація (автентифікація)
І чому паролі недостатньо хороші?
Перш ніж відповісти на запитання «що таке двофакторна автентифікація» або «що таке двофакторна автентифікація», давайте розглянемо, чому важливо зробити все можливе для підвищення безпеки вашого облікового запису на сайті.
Як правило, більшість нашого життя відбувається на мобільних пристроях і ноутбуках. Не дивно, що цифрові облікові записи стали магнітом для злочинців. Шкідливі атаки на уряди, компанії та окремих осіб стають все більш поширеними. І немає жодних ознак того, що зломи, витоку даних та інші форми кіберзлочинності зникнуть!
На щастя, легко додати додатковий рівень захисту до облікових записів користувачів. Цим захистом може бути двофакторна аутентифікація, також зазвичай звана 2FA.
Двофакторна автентифікація (2FA) – це другий рівень безпеки, що допомагає захистити обліковий запис або систему від взлому сайту. Перш ніж отримати доступ до облікового запису або системи, користувачі повинні пройти два рівні безпеки.
Зростання кіберзлочинності вимагає більшої безпеки з 2FA
В останні роки ми стали свідками значного збільшення кількості веб-сайтів, які втрачають особисті дані своїх користувачів. Кіберзлочинність стає дедалі витонченішою. В результаті компанії виявляють, що їхні старі системи безпеки не підходять для сучасних загроз і атак. Іноді їх розкриває проста людська помилка. І не тільки довіра користувачів може бути підірвана. Усі типи організацій (глобальні компанії, малі підприємства, стартапи і навіть некомерційні організації) можуть зазнати серйозних фінансових і репутаційних втрат.
Для споживачів наслідки цільового злому чи крадіжки особистих даних може бути руйнівними. Вкрадені облікові дані використовуються для захисту фальшивих кредитних карток та фінансування покупок. Це може зашкодити кредитному рейтингу жертви. І всі банківські та криптовалютні рахунки можуть бути спустошені відразу. Нещодавнє дослідження показало, що у 2016 році понад 16 мільярдів доларів було отримано від 15,4 мільйонів споживачів у США. Що ще більш неймовірно, тільки за останні шість років злодії вкрали понад 107 мільярдів доларів.
Очевидно, що онлайн-сайти та програми повинні забезпечувати суворішу безпеку. І споживачі повинні мати звичку захищати себе чимось надійнішим, ніж просто пароль. Для багатьох цей додатковий рівень безпеки – це двофакторна автентифікація.
Паролі: історично погані, але все ще використовуються
Як і коли паролі стали настільки вразливими? Ще 1961 року Массачусетський технологічний інститут розробив Сумісну систему поділу часу (CTSS). Щоб переконатися, що всі мають рівні можливості використовувати комп’ютер, MIT зажадав, щоб усі студенти входили в систему з безпечним паролем. Незабаром студенти зрозуміли, що вони можуть зламати систему, роздрукувати паролі та витратити більше комп’ютерного часу.
Незважаючи на існування набагато безпечніших альтернатив, логін і пароль залишаються найбільш поширеною формою автентифікації користувачів. Загальне емпіричне правило полягає в тому, що пароль повинен бути відомий лише вам і його важко вгадати іншим. І хоча використання паролів краще, ніж відсутність захисту взагалі, вони не є надійними. Ось чому:
- Люди використовують прості паролі. У нещодавньому звіті було розглянуто понад 1,4 мільярда вкрадених паролів. З’ясувалося, що більшість із них були напрочуд простими. Серед найгірших – “111111”, “123456”, “123456789”, “qwerty” та “password”. Хоча їх легко запам’ятати, будь-який гідний хакер може зламати ці прості паролі в найкоротший термін.
- Повторне використання паролів. Користувачі відкривають дедалі більше облікових записів. Це у результаті створює надто багато паролів для запам’ятовування та відкриває шлях до небезпечної звички. Повторювати паролі на різних веб-сайтах. Ось чому хакерам подобається ця тенденція: для злому програмного забезпечення потрібно лише кілька секунд, щоб перевірити тисячі вкрадених облікових даних за допомогою популярних онлайн-банків та торгових сайтів.
- Настає втома від безпеки. Щоб захистити себе, деякі споживачі намагаються ускладнити завдання зловмисникам, створюючи складніші паролі та парольні фрази. Але з такою кількістю витоків даних, що наповнюють темну мережу інформацією користувача, багато хто просто здається і повертається до використання слабких паролів для декількох облікових записів.
2FA поспішає на допомогу
2FA – це додатковий рівень безпеки, який використовується для того, щоб люди авторизувалися правильно. Спочатку користувач вводить своє ім’я користувача та пароль. Тоді замість того, щоб одразу отримати доступ, вони мають надати іншу інформацію. Цей другий фактор може походити з однієї з наступних категорій:
- Елементи, що ви знаєте:це може бути особистий ідентифікаційний номер (ПІН), пароль, відповіді на «таємні запитання» або комбінація клавіш.
- Щось, що у вас є: зазвичай у користувача є щось у своєму розпорядженні, наприклад кредитна карта, смартфон або невеликий апаратний токен.
- Щось, чим ви є: ця категорія трохи складніша і може містити біометричний зразок відбитка пальця, сканування райдужної оболонки ока або відбиток голосу.
З 2FA потенційна загроза лише одного з цих факторів не призведе до розблокування облікового запису. Таким чином, навіть якщо ваш пароль вкрадено або ваш телефон втрачено, ймовірність того, що хтось інший отримає вашу інформацію другого фактора, – дуже малоймовірна. З іншого боку, якщо споживач правильно використовує 2FA, веб-сайти та програми можуть бути більш впевнені в особистості користувача та розблокувати обліковий запис.
Як працює двофакторна автентифікація?
Ось як працює двофакторна автентифікація:
- Програма або веб-сайт пропонує користувачеві увійти до системи.
- Користувач вводить те, що йому відомо – зазвичай ім’я користувача та пароль. Потім сервер сайту знаходить збіг і розпізнає користувача.
- Для процесів, для яких не потрібні паролі, веб-сайт створює унікальний ключ безпеки для користувача. Інструмент автентифікації обробляє ключ, а сервер веб-сайту перевіряє його.
- Потім сайт пропонує користувачеві розпочати другий крок входу до системи. Хоча цей крок може набувати різних форм. Користувачі повинні довести, що у них є те, що є тільки у них, наприклад, токен безпеки, ідентифікаційна карта, смартфон або інший мобільний пристрій. Це є фактор володіння.
- Потім користувач вводить одноразовий код, згенерований четвертому кроці.
- Після надання обох факторів користувач проходить автентифікацію і отримує доступ до програми або веб-сайту.
Поширені типи 2FA
Слабкий захист сьогодні у сайту, який вимагає лише пароль для входу та не пропонує двофакторну автентифікацію. Адже є велика ймовірність, що зрештою він буде зламаний. Не означає, що це 2FA однакові. Сьогодні використовуються кілька типів двофакторної аутентифікації. Деякі можуть бути сильнішими або складнішими, ніж інші, але всі вони забезпечують кращий захист, ніж одні паролі. Давайте подивимося на найпоширеніші форми 2FA.
Апаратні токени для 2FA
Ймовірно, це найстаріша форма 2FA. Апаратні токени мають невеликі розміри, як брелок, і створюють новий цифровий код кожні 30 секунд. Коли користувач намагається отримати доступ до облікового запису, він дивиться на пристрій і вводить код 2FA, що відображається, назад на сайт або в програму. Інші версії апаратних токенів автоматично надсилають код 2FA при підключенні до USB-порту комп’ютера.
Однак вони мають кілька недоліків. Для підприємств поширення цих одиниць коштує дорого. Користувачі вважають, що їхній розмір дозволяє легко втратити їх. Найголовніше, що вони не повністю захищені від злому.
SMS текстові повідомлення та голосова 2FA
Двофакторна аутентифікація на основі SMS безпосередньо взаємодіє з телефоном користувача. Після отримання імені користувача та пароля сайт надсилає користувачеві унікальний код доступу (OTP) у повідомленні. Як і у випадку з апаратним токеном, користувач повинен знову ввести OTP в програму, перш ніж отримати доступ. Так само голосова двофакторна автентифікація автоматично набирає номер користувача і усно доставляє код двофакторної автентифікації.
Для онлайн активності з низьким рівнем ризику може знадобитися автентифікація за допомогою тексту або голосу. Але для веб-сайтів, які зберігають вашу особисту інформацію, таких як комунальні підприємства, банки або облікові записи електронної пошти, цей рівень 2FA може бути недостатньо безпечним. Фактично, SMS вважається найменш безпечним способом аутентифікації користувачів. Через це багато компаній підвищують свою безпеку, виходячи за рамки двофакторної аутентифікації на основі SMS.
Програмні токени для 2FA
Найпопулярніша форма двофакторної аутентифікації (і краща альтернатива SMS і голосового зв’язку) використовує програмно створений одноразовий код доступу на основі часу (також званий TOTP або «програмний токен»).
По-перше, користувач повинен завантажити та встановити безкоштовний додаток 2FA на свій смартфон або комп’ютер. Потім вони можуть використовувати програму з будь-яким сайтом, який підтримує цей тип аутентифікації. При вході в систему спочатку вводить ім’я користувача та пароль, а потім, коли буде запропоновано, вони вводять код, показаний у додатку. Як і апаратні токен, програмний токен зазвичай дійсний менше хвилини. І оскільки код генерується і відображається на одному пристрої, програмні токени виключають можливість перехоплення хакерами. Це велика проблема з методами доставки SMS чи голосу.
Найкраще те, що рішення 2FA на основі програм доступні для мобільних, носимих або настільних платформ – і навіть працюють в автономному режимі – автентифікація користувачів можлива практично скрізь.
Push-повідомлення для 2FA
Замість того, щоб покладатися на отримання та введення токена 2FA, веб-сайти та програми тепер можуть надсилати користувачеві push-повідомлення про спробу аутентифікації. Власник пристрою просто переглядає деталі і може схвалити або заборонити доступ одним дотиком. Це автентифікація без пароля, без введення кодів та додаткових дій.
Завдяки прямому та безпечному з’єднанню між продавцем, службою 2FA та пристроєм push-повідомлення виключає будь-яку можливість для фішингу, атак типу «зловмисник у середині» або несанкціонованого доступу. Але він працює тільки з підключеним до Інтернету пристроєм, на який можна встановлювати програми. Крім того, в регіонах, де швидкість низька або де Інтернет ненадійний, двофакторна автентифікація на основі SMS може бути кращим запасним варіантом. Але там, де це можливо, push-сповіщення забезпечують більш зручну і безпечну форму безпеки.
Інші форми двофакторної аутентифікації
Біометрична 2FA, що розглядає користувача як токен, не за горами. Нещодавні інновації включають перевірку особи за відбитками пальців, сітківки ока та розпізнавання осіб. Також досліджуються навколишній шум, пульс, шаблони набору тексту та звуки голосу. Це лише питання часу, коли один із цих методів двофакторної аутентифікації стане популярним… і для біометричних хакерів з’ясування того, як їх використовувати.
Чи безпечна двофакторна автентифікація?
Хоча двофакторна автентифікація дійсно покращує безпеку – оскільки право доступу більше не залежить виключно від сили пароля, – схеми двофакторної автентифікації безпечні настільки, наскільки вони безпечні. Наприклад, апаратні токени залежить від безпеки емітента чи виробника. Один із найгучніших випадків злому двофакторної системи стався у 2011 році. Охоронна компанія RSA Security повідомила, що її токени автентифікації SecurID були зламані.
Процес відновлення облікового запису також може бути порушений, коли він використовується для обходу двофакторної аутентифікації. Оскільки він часто скидає поточний пароль користувача та надсилає тимчасовий пароль електронною поштою. Таким чином користувач може знову увійти в систему, минаючи процес 2FA. Таким чином було зламано бізнес-аккаунти Gmail виконавчого директора Cloudflare.
Хоча двофакторна автентифікація на основі SMS є недорогою, простою в реалізації та зручною для користувача, вона вразлива для численних атак. Національний інститут стандартів та технологій ( NIST ) не схвалив використання SMS у службах 2FA у своїй спеціальній публікації 800-63-3: Digital Identity Guidelines. NIST дійшов висновку, що одноразові паролі, надіслані через SMS, надто вразливі через атаки на переносимість номерів мобільних телефонів, таких як злом Signaling System 7, на мережу мобільних телефонів та шкідливе ПЗ, таке як Eurograbber, які можна використовувати для перехоплення або перенаправлення текстових повідомлень.
Майбутнє автентифікації
Використання паролів як основний метод автентифікації більше не забезпечує безпеку або зручність роботи (UX), які потрібні користувачам. І хоча застарілі інструменти безпеки, такі як диспетчер паролів та MFA, намагаються впоратися з проблемами імен користувачів та паролів, вони залежать від суттєво застарілої архітектури: бази даних паролів.
Аутентифікація без пароля дозволяє користувачам безпечно аутентифікувати себе у своїх програмах, не вводячи паролі. Це означає, що співробітники можуть отримати доступ до своєї роботи без пароля. У той же час ІТ-відділ, як і раніше, зберігає повний контроль над кожним входом до системи.
Біометрія та безпечні протоколи – ось пара прикладів технологій аутентифікації без пароля.
Використання біометрії в якості методу автентифікації без пароля на рівні користувача, програми та пристрою може краще гарантувати компаніям, що співробітники, що входять до системи, є тими, ким вони там називаються.
Протоколи – ще один приклад безпарольних технологій. Протоколи – це стандарти, які спрощують зв’язок між постачальником посвідчень та постачальником послуг. Співробітник, який пройшов аутентифікацію у постачальника посвідчень, також аутентифікується у призначених постачальників послуг без введення пароля.
Висновок
Більшість атак походить з віддалених інтернет-з’єднань, тому 2FA робить ці атаки менш небезпечними. Підбір чи отримання пароля зі злитої бази даних іншого ресурсу – наша реальність на сьогодні. Це більше не дає безпеки. Ми рекомендуємо переходити на двухфакторну аутентифікацію як можна швидше.
Двохфакторна автентифікація забезпечує додатковий рівень безпеки для онлайн-файлів вашої компанії. Вона захищає конфіденційні дані від потенційних кіберзагроз. Увімкніть двофакторну автентифікацію на всіх облікових записах у мережі, які вам особливо важливі.
Якщо ви бажаєте підключити 2FA для вашого сайту на WordPress – залиште заявку і наш менеджер зв’яжеться з вами!
