Что такое многофакторная аутентификация (MFA)?

Многофакторная аутентификация (MFA) - это компонент управления доступом, который требует от пользователей подтверждения своей личности с использованием как минимум двух различных факторов проверки, прежде чем получить доступ к веб-сайту, мобильному приложению или другому онлайн-ресурсу. С MFA, если один фактор скомпрометирован, у злоумышленника все еще есть как минимум еще один барьер, который нужно преодолеть, прежде чем он сможет получить доступ к учетной записи цели.

Как работает многофакторная аутентификация?

Многофакторная аутентификация (MFA) использует несколько технологий для аутентификации личности пользователя. Напротив, однофакторная аутентификация (или просто «аутентификация») использует единую технологию для подтверждения подлинности пользователя. С MFA пользователи должны комбинировать технологии проверки как минимум из двух разных групп или факторов аутентификации. Эти факторы делятся на три категории: то, что вы знаете, что у вас есть, и то, чем вы являетесь. Вот почему использование PIN-кода с паролем (как из категории «что-то, что вы знаете») не будет считаться многофакторной аутентификацией, в то время как использование PIN-кода с распознаванием лиц (из категории «что-то вы есть») будет считаться. Обратите внимание, что пароль не требуется для получения права на MFA. Решение MFA может быть полностью беспарольным.

Также допустимо использовать более двух методов аутентификации. Однако большинству пользователей нужна беспроблемная аутентификация (возможность проверки без необходимости выполнения проверки).

Какие факторы аутентификации используются в MFA?

Ниже приведены три основные категории:

  • Кое-что, что вы знаете (фактор знания)
    Обычно это пароль, PIN-код или кодовая фраза, или набор секретных вопросов и соответствующие ответы на них, известные только человеку. Чтобы использовать фактор знаний для MFA, конечный пользователь должен правильно ввести информацию, соответствующую деталям, которые ранее хранились в онлайн-приложении.
  • То, что у вас есть (фактор владения)
    До смартфонов пользователи носили токены или смарт-карты, которые генерировали одноразовый пароль или код доступа (OTP), который можно было ввести в онлайн-приложение. Сегодня большинство пользователей устанавливают на свои смартфоны приложение-аутентификатор для генерации ключей безопасности OTP.
  • То, что вы есть (фактор неотъемлемости)
    Биометрические данные о человеке варьируются от отпечатков пальцев, сканирования сетчатки глаза, распознавание лиц , а также распознавание голоса для поведения (например, насколько сильно или быстро человек набирает текст или проводит пальцем по экрану).

Чтобы добиться многофакторной аутентификации, для процесса аутентификации должны использоваться как минимум две разные технологии из как минимум двух разных технологических групп. В результате использование PIN-кода в сочетании с паролем не будет считаться многофакторной аутентификацией, в то время как использование PIN-кода с распознаванием лиц в качестве второго фактора будет. Также допустимо использовать более двух форм аутентификации. Однако большинству пользователей все чаще требуется беспроблемная аутентификация (возможность проверки без необходимости выполнения проверки).

В чем разница между двухфакторной и многофакторной аутентификацией?

Следует рассматривать двухфакторная аутентификация (2FA) , решение всегда требует от пользователя представления двух факторов аутентификации из двух разных категорий, таких как фактор владения и фактор знания, для проверки своей личности. Многофакторная аутентификация шире, чем двухфакторная аутентификация. Это требует от организации использования двух или более факторов в процессе аутентификации.

Какие существуют типы технологий многофакторной аутентификации?

Ниже приведены распространенные технологии MFA:

  • Биометрическая аутентификация
    Биометрические технологии - это форма аутентификации, которая точно и безопасно аутентифицирует пользователей через их мобильные устройства. Наиболее распространенными биометрическими методами являются сканирование отпечатков пальцев и распознавание лиц. Биометрическая аутентификация также включает в себя поведенческую биометрию, которая обеспечивает невидимый уровень безопасности за счет постоянной аутентификации человека на основе уникальных способов его взаимодействия со своим компьютером или мобильным устройством: нажатия клавиш, рисунок смахивания, движения мыши и т. Д.
  • Аппаратные токены
    Аппаратные аутентификаторы - это небольшие, простые в использовании устройства, которые владелец несет для авторизации доступа к сетевой службе. Поддерживая строгую аутентификацию с одноразовыми паролями (OTP), физические токены обеспечивают фактор владения для многофакторной аутентификации, обеспечивая повышенную безопасность для банков и поставщиков приложений, которым необходимо защитить несколько приложений с помощью одного устройства.
  • Мобильная аутентификация
    Мобильная аутентификация - это процесс проверки пользователя с помощью его устройства Android или iOS или проверки самого устройства. Эта технология позволяет пользователям входить в систему для защиты местоположений и получать доступ к ресурсам из любого места с повышенной безопасностью.
  • Внеполосная аутентификация
    Этот тип аутентификации требует вторичного метода проверки через отдельный канал связи, обычно через Интернет-соединение человека и беспроводную сеть, в которой работает его мобильный телефон. Это примеры внеполосных технологий:
    • Код Cronto®
      Этот цветной QR-код может аутентифицировать или авторизовать финансовую транзакцию. Человек видит этот цветной QR-подобный код, отображаемый через его веб-браузер. Только зарегистрированное устройство человека может прочитать и расшифровать код. Он содержит детали транзакции, которые пользователь может проверить перед завершением транзакции, что делает ее очень безопасной.
    • Отправить уведомление
      Push-уведомления доставляют код аутентификации или одноразовый пароль на мобильное устройство пользователя. В отличие от SMS-сообщения, уведомление появляется на экране блокировки устройства.
    • SMS-сообщение или голосовое сообщение
      Одноразовые коды доступа доставляются на мобильное устройство пользователя с помощью текстового SMS-сообщения или голосового сообщения.
    • Мягкий токен
      Программные аутентификаторы или «токены на основе приложений» генерируют одноразовый PIN-код для входа. Часто эти программные токены используются для случаев использования MFA, когда устройство пользователя - в данном случае смартфон - обеспечивает фактор владения.

Зачем организациям нужна многофакторная аутентификация?

Мошенничество с захватом учетных записей (ATO) - это растущая угроза кибербезопасности, подпитываемая изощренной социальной инженерией (например, фишинговыми атаками), мобильным вредоносным ПО и другими атаками. Правильно разработанные и реализованные методы MFA более надежны и эффективны против изощренных атак, чем устаревшая однофакторная аутентификация по имени пользователя и паролю, которая может быть легко взломана киберпреступниками с помощью широко доступных хакерских инструментов.

Каковы основные преимущества MFA?

В рамках своей стратегии безопасности организации используют MFA для достижения:

  • Повышенная безопасность
    Многофакторная аутентификация обеспечивает повышенную безопасность по сравнению со статическими паролями и процессами однофакторной аутентификации.

  • Соответствие нормативным требованиям
    Многофакторная аутентификация может помочь организациям соблюдать отраслевые нормы. Например, MFA необходим для удовлетворения требований строгой аутентификации PSD2 для строгой аутентификации клиентов (SCA).

  • Улучшенный пользовательский интерфейс
    Отказ от использования паролей может улучшить качество обслуживания клиентов. Сосредоточившись на задачах аутентификации с низким уровнем трения, организации могут повысить безопасность и улучшить взаимодействие с пользователем.

Как облачные вычисления влияют на MFA?

Банки, финансовые учреждения и другие организации, предоставляющие финансовые услуги, начинают переходить от приложений с внутренним хостингом к облачным приложениям типа «программное обеспечение как услуга» (SaaS), таким как Office 365, Salesforce, Slack и OneSpan Sign. В результате количество конфиденциальных данных и файлов, размещенных в облаке, увеличивается, что повышает риск утечки данных скомпрометированной личной информации (PII), что приводит к захвату учетных записей. Угрозу безопасности усугубляет то, что пользователи приложений SaaS могут находиться где угодно, а не только в корпоративных сетях. Дополнительные уровни безопасности, обеспечиваемые MFA, по сравнению с простой защитой паролем могут помочь противостоять этим рискам. В дополнение к факторам знания, владения и принадлежности некоторые технологии MFA используют факторы местоположения, такие как адреса управления доступом к среде (MAC) для устройств, чтобы гарантировать, что ресурс доступен только с определенных устройств.  

Еще один способ воздействия облака на MFA - облачный хостинг решений MFA, которые, как правило, более рентабельны в реализации, менее сложны в администрировании и более гибки, чем локальные решения. Облачные продукты могут предоставлять больше возможностей, ориентированных на мобильных пользователей, таких как мобильные приложения для аутентификации, push-уведомления, контекстная аналитика, такая как геолокация, и биометрия.

Как банкам начать работу с многофакторной аутентификацией?

Решения для многофакторной аутентификации OneSpan были разработаны с нуля для защиты учетных записей и транзакций, предлагая несколько факторов аутентификации при одновременном удовлетворении требований к простому процессу входа в систему. OneSpan потратила значительное время и ресурсы на создание простых в использовании, масштабируемых и надежных решений, обеспечивающих надежную аутентификацию с использованием ряда простых вариантов проверки, таких как цветные QR-коды и Bluetooth. Это включает:

Почему потребители финансовых услуг должны использовать MFA?

Потребители должны использовать MFA всякий раз, когда они получают доступ к конфиденциальным данным. Хороший пример - использование банкомата для доступа к банковскому счету. Владелец учетной записи использует MFA, комбинируя то, что он знает (PIN-код), и то, что у него есть (карта банкомата). Точно так же при входе в учетную запись Facebook, Google или Microsoft из нового места или устройства потребители используют MFA, вводя что-то, что они знают (пароль), и второй фактор, что-то, что у них есть (мобильное приложение, которое получает push или SMS-уведомление).

Часто задаваемые вопросы о многофакторной аутентификации

Что делает МИД таким безопасным?

Многофакторная аутентификация добавляет дополнительный уровень аутентификации, что значительно усложняет киберпреступникам успешный взлом учетных записей. Стандартные учетные данные (имя пользователя и пароль) относительно легко получить злоумышленники с помощью фишинга и других широко доступных инструментов и ресурсов. Кроме того, обычная практика повторного использования пароля позволяет хакеру взломать несколько учетных записей с помощью одной успешной атаки. В MFA учетные данные для авторизации должны поступать из двух или более разных категорий: что-то, что вы знаете (пароль), что-то, что у вас есть (код SMS, смарт-карта, приложение для аутентификации или аппаратный токен, также известный как брелок), и что-то, что вы являются (биометрическими). Злоумышленникам придется украсть предметы, помимо пароля, такие как ваш смартфон или банковскую карту, что значительно затруднит взлом вашей учетной записи. Национальный институт стандартов и технологий (NIST) рекомендует по возможности использовать MFA, особенно когда речь идет о наиболее конфиденциальных данных, таких как ваши финансовые счета и медицинские записи.

Что такое «неявные атрибуты» и считаются ли они факторами?

Также называемые контекстной аутентификацией, неявные атрибуты используют геолокацию, IP-адрес, время дня и идентификаторы устройства, такие как операционная система или версия браузера мобильного телефона, чтобы помочь определить, является ли личность пользователя подлинной. Хотя неявные атрибуты не являются факторами аутентификации, поскольку они не подтверждают личность пользователя и не обеспечивают ее проверку, они могут помочь укрепить барьеры для кибератак.

В чем разница между двухфакторной аутентификацией и MFA?

Двухфакторная аутентификация (2FA) - это подмножество MFA, которое использует два фактора из двух из этих категорий - что-то, что вы знаете, что у вас есть, и что-то, что вы есть - для проверки личности. Многофакторная аутентификация может включать более двух факторов, хотя многие решения для многофакторной аутентификации используют два.
Возникает логичный вопрос, является ли MFA более безопасным, чем аутентификация второго фактора. В общем, чем больше требуется факторов, тем сильнее защита управления доступом; однако тип фактора также играет роль. Биометрические данные украсть намного сложнее, чем пароли. Кроме того, большинство конечных пользователей желают более простого процесса аутентификации и могут попытаться найти обходные пути, если количество требуемых факторов становится обременительным. В результате модернизация аутентификации пользователей в настоящее время является основной задачей для многих банков и финансовых учреждений, особенно для мобильных пользователей, использующих мобильное приложение банка.

Какие типы кибератак может предотвратить МИД?

MFA помогает предотвратить следующие типы кибератак, требуя от пользователя дополнительной информации или учетных данных.

 

  • Фишинговая атака:
    В частности, сейчас, с огромным увеличением удаленной работы, фишинговые атаки используются, чтобы обманом заставить работников отказаться от сетевых учетных данных, часто с помощью вредоносных ссылок и вложений или поддельных страниц входа в систему для приложений SaaS, таких как Microsoft Office 365. Когда организациям требуется как минимум два типа аутентификации, такие как одноразовый пароль в дополнение к идентификатору пользователя и паролю, похитителям личных данных становится труднее проникнуть в корпоративную сеть или VPN.
  • Замена SIM-карты:
    Этот тип атаки предполагает выдачу себя за пользователя мобильного устройства. Злоумышленники пытаются убедить оператора сотовой связи перенести свои данные на новую SIM-карту (модуль идентификации абонента), поскольку исходная карта или устройство были потеряны или повреждены. В случае успеха замена SIM-карты передает «право собственности» на мобильный номер злоумышленнику, который затем может перехватывать коды SMS, отправленные на устройство. Для борьбы с заменой SIM-карт MFA предлагает ряд надежных методов аутентификации (биометрия, программные токены, ключи безопасности), которые позволяют избежать использования кодов SMS.
  • Мобильное вредоносное ПО:
    Этот тип вредоносного ПО нацелен на мобильные устройства с целью получения доступа к личным данным. Примеры включают банковские трояны и мобильные программы-вымогатели. К сожалению, хакеры все больше сосредотачиваются на обходе защиты MFA для мобильных устройств, особенно одноразовых паролей, отправляемых с помощью SMS. Чтобы противостоять попыткам обхода MFA, рекомендуется избегать SMS и выбирать более сильные методы, такие как биометрия (отпечаток пальца, сканирование лица или сетчатки глаза) и push-уведомления.

Что такое адаптивная аутентификация?

Адаптивная аутентификация, также называемая аутентификацией на основе риска, представляет собой тип MFA, который регулирует необходимые факторы аутентификации в зависимости от уровня риска транзакции. Он использует правила защиты от мошенничества, чтобы произвести предопределенную реакцию на попытку аутентификации. Соответствующий тип аутентификации может быть определен для соответствующего типа предполагаемого риска на основе известных точек данных.Например, попытки из определенного места (например, за пределами страны клиента) могут быть определены для запуска определенного типа комбинации MFA.
Адаптивная аутентификация устраняет проблему «под одну гребенку», которая преследует большинство систем аутентификации сегодня: ежедневный вход в систему из одного и того же места требует того же уровня аутентификации, что и новый вход в систему из сильно атакованного места. Эти два входа должны обрабатываться с разными уровнями аутентификации.
Интеллектуальная адаптивная аутентификация делает шаг вперед, используя правила защиты от мошенничества вместе с алгоритмами машинного обучения, чтобы ознакомиться с ролью пользователя и типичными сценариями доступа, включая местоположение, устройства и IP-адреса. Каждый раз, когда пользователь пытается пройти аутентификацию, интеллектуальная адаптивная система аутентификации анализирует все контекстные данные, оценивает их, чтобы определить склонность к риску, и адаптирует рабочий процесс аутентификации к этому уровню риска.
Одно из преимуществ этого подхода - гибкость. Вместо того, чтобы навязывать одно и то же стандартное требование MFA для каждого пользователя, адаптивная аутентификация подстраивается под ситуацию, упрощая и ускоряя рутинные попытки доступа с низким уровнем риска и добавляя дополнительную безопасность для попыток доступа с повышенным риском.

Что такое внеполосные механизмы в MFA и как они работают?

Внеполосная аутентификация - это тип MFA, для которого требуется дополнительный метод проверки через отдельный канал связи. Как правило, это включает отправку одноразового пароля (OTP) на мобильный телефон пользователя, который будет применяться вместе с защищенным паролем подключением к Интернету на другом устройстве, таком как настольный компьютер или ноутбук.
Аутентификация через два отдельных несвязанных канала, которые злоумышленник должен будет одновременно взломать, значительно снижает вероятность успешного взлома. Внеполосная проверка подлинности часто используется банками и другими финансовыми учреждениями с жесткими требованиями к безопасности.

Есть несколько способов доставки одноразовых паролей на мобильное устройство:

  • QR-код или визуальная криптограмма
  • Отправить уведомление
  • SMS (обратите внимание, что SMS больше не является рекомендуемой мерой безопасности, потому что хакеру очень легко украсть номер мобильного телефона пользователя, используя метод замены SIM-карты, чтобы получить пароли SMS).


Другие методы включают требование к пользователю:

  • Совершение телефонного звонка с зарегистрированного устройства (часто используется для активации новой кредитной карты)
  • Ответить на автоматически сгенерированный телефонный звонок из банка или другого учреждения
  • Получите OTP в приложении на телефоне или с помощью push-уведомления, чтобы авторизовать транзакцию через банкомат или получить доступ к веб-порталу.

Какие технологии изучаются для оптимизации MFA для мобильных пользователей?

Поскольку решения MFA применяют дополнительные меры аутентификации, они могут сделать процесс доступа к учетной записи или порталу более обременительным, особенно для пользователей мобильных телефонов. Это дополнительное бремя, которое замедляет людей или усложняет им выполнение задачи, называется «трением». Чтобы упростить процесс аутентификации и уменьшить трение, новые «пассивные» технологии работают в фоновом режиме, не требуя действий пользователя. Одним из примеров является поведенческая биометрическая аутентификация, которая идентифицирует человека на основе его уникальных шаблонов набора текста или прокрутки при взаимодействии со смартфоном или планшетом.
Альянс Fast Identity Online (FIDO) был создан для уменьшения зависимости от паролей за счет использования аутентификации без пароля. Протоколы FIDO поддерживают технологии аутентификации, включая биометрию. Протокол FIDO 2, реализованный Google, Microsoft и другими поставщиками, позволяет людям использовать FIDO-совместимые аппаратные токены для аутентификации в своем браузере без необходимости вводить свое имя пользователя и пароль. Точно так же многие крупные банки реализуют протокол, позволяющий мобильным устройствам с поддержкой FIDO проходить аутентификацию в своих банковских приложениях, не требуя от конечного пользователя ввода имени пользователя и пароля.

Что такое стандарт WebAuthn и как он может помочь повысить безопасность онлайн-банкинга?

WebAuthn пытается внедрить технологию аутентификации в стиле FIDO в веб-приложения.Он предоставляет разработчикам веб-приложений стандартный способ реализации безопасной многофакторной аутентификации без использования сторонних библиотек и систем аутентификации.WebAuthn обеспечивает безопасность биометрических данных и надежную аутентификацию для веб-приложений, которые ранее требовали сложных серверных компонентов и дополнительных инженерных решений. Протокол WebAuthn разработан, чтобы дать разработчикам новых одностраничных приложений (SPA) и прогрессивных веб-приложений (PWA) способ реализации строгой аутентификации с использованием встроенных технологий локальных устройств, к которым раньше веб-страницы не могли легко получить доступ.

Свяжись с нами

Свяжитесь с одним из наших экспертов по безопасности, чтобы узнать больше о том, как наши решения могут помочь с вашими потребностями в цифровой безопасности.

Контакты