Как работает многофакторная аутентификация?
Многофакторная аутентификация (MFA) использует несколько технологий для аутентификации личности пользователя. Напротив, однофакторная аутентификация (или просто «аутентификация») использует единую технологию для подтверждения подлинности пользователя. С MFA пользователи должны комбинировать технологии проверки как минимум из двух разных групп или факторов аутентификации. Эти факторы делятся на три категории: то, что вы знаете, что у вас есть, и то, чем вы являетесь. Вот почему использование PIN-кода с паролем (как из категории «что-то, что вы знаете») не будет считаться многофакторной аутентификацией, в то время как использование PIN-кода с распознаванием лиц (из категории «что-то вы есть») будет считаться. Обратите внимание, что пароль не требуется для получения права на MFA. Решение MFA может быть полностью беспарольным.
Также допустимо использовать более двух методов аутентификации. Однако большинству пользователей нужна беспроблемная аутентификация (возможность проверки без необходимости выполнения проверки).
Какие факторы аутентификации используются в MFA?
Ниже приведены три основные категории:
- Кое-что, что вы знаете (фактор знания)
Обычно это пароль, PIN-код или кодовая фраза, или набор секретных вопросов и соответствующие ответы на них, известные только человеку. Чтобы использовать фактор знаний для MFA, конечный пользователь должен правильно ввести информацию, соответствующую деталям, которые ранее хранились в онлайн-приложении. - То, что у вас есть (фактор владения)
До смартфонов пользователи носили токены или смарт-карты, которые генерировали одноразовый пароль или код доступа (OTP), который можно было ввести в онлайн-приложение. Сегодня большинство пользователей устанавливают на свои смартфоны приложение-аутентификатор для генерации ключей безопасности OTP. - То, что вы есть (фактор неотъемлемости)
Биометрические данные о человеке варьируются от отпечатков пальцев, сканирования сетчатки глаза, распознавание лиц , а также распознавание голоса для поведения (например, насколько сильно или быстро человек набирает текст или проводит пальцем по экрану).
Чтобы добиться многофакторной аутентификации, для процесса аутентификации должны использоваться как минимум две разные технологии из как минимум двух разных технологических групп. В результате использование PIN-кода в сочетании с паролем не будет считаться многофакторной аутентификацией, в то время как использование PIN-кода с распознаванием лиц в качестве второго фактора будет. Также допустимо использовать более двух форм аутентификации. Однако большинству пользователей все чаще требуется беспроблемная аутентификация (возможность проверки без необходимости выполнения проверки).
В чем разница между двухфакторной и многофакторной аутентификацией?
Следует рассматривать двухфакторная аутентификация (2FA) , решение всегда требует от пользователя представления двух факторов аутентификации из двух разных категорий, таких как фактор владения и фактор знания, для проверки своей личности. Многофакторная аутентификация шире, чем двухфакторная аутентификация. Это требует от организации использования двух или более факторов в процессе аутентификации.
Какие существуют типы технологий многофакторной аутентификации?
Ниже приведены распространенные технологии MFA:
- Биометрическая аутентификация
Биометрические технологии - это форма аутентификации, которая точно и безопасно аутентифицирует пользователей через их мобильные устройства. Наиболее распространенными биометрическими методами являются сканирование отпечатков пальцев и распознавание лиц. Биометрическая аутентификация также включает в себя поведенческую биометрию, которая обеспечивает невидимый уровень безопасности за счет постоянной аутентификации человека на основе уникальных способов его взаимодействия со своим компьютером или мобильным устройством: нажатия клавиш, рисунок смахивания, движения мыши и т. Д. - Аппаратные токены
Аппаратные аутентификаторы - это небольшие, простые в использовании устройства, которые владелец несет для авторизации доступа к сетевой службе. Поддерживая строгую аутентификацию с одноразовыми паролями (OTP), физические токены обеспечивают фактор владения для многофакторной аутентификации, обеспечивая повышенную безопасность для банков и поставщиков приложений, которым необходимо защитить несколько приложений с помощью одного устройства. - Мобильная аутентификация
Мобильная аутентификация - это процесс проверки пользователя с помощью его устройства Android или iOS или проверки самого устройства. Эта технология позволяет пользователям входить в систему для защиты местоположений и получать доступ к ресурсам из любого места с повышенной безопасностью. - Внеполосная аутентификация
Этот тип аутентификации требует вторичного метода проверки через отдельный канал связи, обычно через Интернет-соединение человека и беспроводную сеть, в которой работает его мобильный телефон. Это примеры внеполосных технологий:- Код Cronto®
Этот цветной QR-код может аутентифицировать или авторизовать финансовую транзакцию. Человек видит этот цветной QR-подобный код, отображаемый через его веб-браузер. Только зарегистрированное устройство человека может прочитать и расшифровать код. Он содержит детали транзакции, которые пользователь может проверить перед завершением транзакции, что делает ее очень безопасной. - Отправить уведомление
Push-уведомления доставляют код аутентификации или одноразовый пароль на мобильное устройство пользователя. В отличие от SMS-сообщения, уведомление появляется на экране блокировки устройства. - SMS-сообщение или голосовое сообщение
Одноразовые коды доступа доставляются на мобильное устройство пользователя с помощью текстового SMS-сообщения или голосового сообщения. - Мягкий токен
Программные аутентификаторы или «токены на основе приложений» генерируют одноразовый PIN-код для входа. Часто эти программные токены используются для случаев использования MFA, когда устройство пользователя - в данном случае смартфон - обеспечивает фактор владения.
- Код Cronto®
Зачем организациям нужна многофакторная аутентификация?
Мошенничество с захватом учетных записей (ATO) - это растущая угроза кибербезопасности, подпитываемая изощренной социальной инженерией (например, фишинговыми атаками), мобильным вредоносным ПО и другими атаками. Правильно разработанные и реализованные методы MFA более надежны и эффективны против изощренных атак, чем устаревшая однофакторная аутентификация по имени пользователя и паролю, которая может быть легко взломана киберпреступниками с помощью широко доступных хакерских инструментов.
Каковы основные преимущества MFA?
В рамках своей стратегии безопасности организации используют MFA для достижения:
-
Повышенная безопасность
Многофакторная аутентификация обеспечивает повышенную безопасность по сравнению со статическими паролями и процессами однофакторной аутентификации. -
Соответствие нормативным требованиям
Многофакторная аутентификация может помочь организациям соблюдать отраслевые нормы. Например, MFA необходим для удовлетворения требований строгой аутентификации PSD2 для строгой аутентификации клиентов (SCA). -
Улучшенный пользовательский интерфейс
Отказ от использования паролей может улучшить качество обслуживания клиентов. Сосредоточившись на задачах аутентификации с низким уровнем трения, организации могут повысить безопасность и улучшить взаимодействие с пользователем.
Как облачные вычисления влияют на MFA?
Банки, финансовые учреждения и другие организации, предоставляющие финансовые услуги, начинают переходить от приложений с внутренним хостингом к облачным приложениям типа «программное обеспечение как услуга» (SaaS), таким как Office 365, Salesforce, Slack и OneSpan Sign. В результате количество конфиденциальных данных и файлов, размещенных в облаке, увеличивается, что повышает риск утечки данных скомпрометированной личной информации (PII), что приводит к захвату учетных записей. Угрозу безопасности усугубляет то, что пользователи приложений SaaS могут находиться где угодно, а не только в корпоративных сетях. Дополнительные уровни безопасности, обеспечиваемые MFA, по сравнению с простой защитой паролем могут помочь противостоять этим рискам. В дополнение к факторам знания, владения и принадлежности некоторые технологии MFA используют факторы местоположения, такие как адреса управления доступом к среде (MAC) для устройств, чтобы гарантировать, что ресурс доступен только с определенных устройств.
Еще один способ воздействия облака на MFA - облачный хостинг решений MFA, которые, как правило, более рентабельны в реализации, менее сложны в администрировании и более гибки, чем локальные решения. Облачные продукты могут предоставлять больше возможностей, ориентированных на мобильных пользователей, таких как мобильные приложения для аутентификации, push-уведомления, контекстная аналитика, такая как геолокация, и биометрия.
Как банкам начать работу с многофакторной аутентификацией?
Решения для многофакторной аутентификации OneSpan были разработаны с нуля для защиты учетных записей и транзакций, предлагая несколько факторов аутентификации при одновременном удовлетворении требований к простому процессу входа в систему. OneSpan потратила значительное время и ресурсы на создание простых в использовании, масштабируемых и надежных решений, обеспечивающих надежную аутентификацию с использованием ряда простых вариантов проверки, таких как цветные QR-коды и Bluetooth. Это включает:
- Программная аутентификация
- Мобильные аутентификаторы
- Рассылка СМС
- Аппаратная аутентификация
- USB-аутентификаторы
- Считыватели смарт-карт
- Биометрическая аутентификация
- Push-уведомление
- Cronto
Почему потребители финансовых услуг должны использовать MFA?
Потребители должны использовать MFA всякий раз, когда они получают доступ к конфиденциальным данным. Хороший пример - использование банкомата для доступа к банковскому счету. Владелец учетной записи использует MFA, комбинируя то, что он знает (PIN-код), и то, что у него есть (карта банкомата). Точно так же при входе в учетную запись Facebook, Google или Microsoft из нового места или устройства потребители используют MFA, вводя что-то, что они знают (пароль), и второй фактор, что-то, что у них есть (мобильное приложение, которое получает push или SMS-уведомление).