Что такое двухфакторная аутентификация

Двухфакторная аутентификация используется для добавления дополнительного уровня безопасности при входе в приложения.

Аутентификация стала частью цифровой жизни с тех пор, как Массачусетский технологический институт внедрил систему паролей на своем компьютере с общим доступом в 1961 году. Сегодня аутентификация охватывает практически любое взаимодействие, которое вы можете совершить в Интернете. Но до 2010 года безопасность большинства онлайн-сервисов ограничивалась требованием традиционного восьмизначного пароля. С тех пор онлайн-расходы выросли до более чем 1 триллиона долларов в год только в США (вам не нужно тратить много, чтобы получить первоклассный телефон с поддержкой 5G ).

Наряду с ростом расходов произошел соответствующий рост кражи личных данных и украденных паролей. Чтобы остановить растущую волну онлайн-преступлений и не допустить, чтобы киберпреступники забрали ваши деньги, многие банки и розничные интернет-магазины требуют больше, чем просто пароль для доступа к аккаунту. Если вы хотите участвовать в современных онлайн-рынках, вам потребуется многофакторная аутентификация.

Что такое многофакторная аутентификация?

Аутентификация доказывает, что вы тот, кто вы есть: ваша подлинность. Фактор аутентификации — это общий метод аутентификации. Многофакторная аутентификация использует более одного метода для подтверждения вашей личности. Как правило, большинство систем безопасности используют комбинацию двух или более факторов аутентификации.

Факторы знаний — это то, что вы знаете

Факторы знаний — это то, что вы знаете

Пароли — прекрасный пример фактора знаний. Либо ты это знаешь, либо нет. В противном случае вы не сможете получить доступ к своему аккаунту Google. Факторы знаний были основой безопасности для раннего Интернета, но создавать хорошие пароли сложно, а пароли, как правило, легко угадать, купить или взломать.

Многие сайты (особенно социальные сети) используют два фактора знания для подтверждения вашей личности, если вы забудете свой пароль: ваш адрес электронной почты и ответ на один или несколько контрольных вопросов, таких как «На какой улице вы выросли?» Это называется двухэтапной проверкой, а не двухфакторной проверкой подлинности, потому что, несмотря на то, что задаются два вопроса, второй фактор проверки подлинности не отличается от первого.

Факторы владения — это то, что у вас есть

Факторы владения — это то, что у вас есть

Фактор владения — это любой объект или физическое устройство, которое можно использовать для вашей аутентификации. Фактором владения можно считать все, от ключей до кредитных карт и водительских прав. Все чаще ваш смартфон считается фактором владения. Если вы хотите войти в свой аккаунт GitHub, на ваш телефон отправляется одноразовый пароль, и он вам нужен для доступа к аккаунту. Недостатком использования только факторов владения для аутентификации является то, что их можно украсть (в случае кредитных карт) или взломать (в случае отправки SMS-сообщений на ваш телефон).

Факторы неотъемлемости — это то, чем вы являетесь.

Факторы неотъемлемости — это то, чем вы являетесь.
Факторы неотъемлемости — это то, чем вы являетесь.

Факторы неотъемлемости полагаются на что-то присущее вам, чтобы доказать вашу личность. Факторы неотъемлемости, или биометрические данные, — это фактор аутентификации, используемый смартфонами почти всех крупных производителей, включая сканер отпечатков пальцев или распознавание лиц в случае iPhone. Преимущество биометрической аутентификации в том, что ее практически невозможно воспроизвести. Недостатком является то, что это трудно реализовать.

Поведенческие факторы — это то, что вы делаете

Поведенческие факторы — это то, что вы делаете

Поведенческая биометрия находится на переднем крае аутентификации. Вместо того, чтобы полагаться на сканирование сетчатки глаза и отпечатки пальцев (физическую биометрию), некоторые компании рассматривают модели поведения как способ идентифицировать вас. То, как вы печатаете, как вы говорите, как вы ходите, как вы держитесь или используете мышь, может быть использовано для идентификации вас.

Факторы местоположения — это то, где вы находитесь

Факторы местоположения - это то, где вы находитесь

Это все еще на горизонте, насколько идет реализация, но это рассматривается. Где вы находитесь или куда вы идете, будет использоваться при проверке вашей личности. Идея состоит в том, что если кто-то украдет ваш пароль и подменит ваш смартфон, чтобы перехватить ваши SMS-сообщения, он не сможет получить доступ к вашим учетным записям, если они не находятся в нужном месте (извините, мошенники колл-центра).

Как используется многофакторная аутентификация?

Наиболее распространенной формой многофакторной аутентификации является двухфакторная аутентификация, включающая использование фактора владения и фактора знания. Этот уровень безопасности является золотым стандартом с 1965 года, когда был установлен первый банкомат. Сегодня мы используем пластиковую смарт-карту в качестве средства владения в банкомате, но 50 лет назад они использовали персональные чеки, сделанные на заказ. Что касается фактора знаний, как и сегодня, в оригинальном банкомате использовался четырехзначный личный идентификационный номер, который, вероятно, является источником использования PIN-кода в качестве фактора знаний.

Как используется многофакторная аутентификация?

Большинство типов двухфакторной аутентификации предполагают использование одноразового пароля. OTP — это дополнительный пароль, который вы должны ввести для аутентификации, который годен только для одноразового использования. Его самая ранняя реализация включала брелок (фактор владения), который отображал шестизначный код доступа, который меняется через фиксированные интервалы. Пользователь должен добавить OTP к своим учетным данным для входа в свою учетную запись.

Другой распространенный пример двухфакторной аутентификации, используемой сегодня, включает отправку одноразового пароля на основе времени в виде текстового SMS-сообщения, электронной почты или даже автоматического голосового вызова на устройство пользователя, который необходимо ввести после ввода имени пользователя и пароля. Хотя этот метод распространения одноразовых паролей популярен, он потерял популярность в сообществе безопасности из-за распространенности фишинговых атак и угона SIM-карт.

Чтобы снизить риск компрометации вашего номера телефона, ряд сервисов используют программное обеспечение для создания OTP на вашем телефоне или компьютере, а не для отправки его вам. Другие сервисы предлагают приложения для проверки подлинности в магазине Android Play, причем Authy и Google Authenticator являются одними из самых популярных.

Аппаратные токены, такие как YubiKey и Nitrokey, становятся все более популярными

Аппаратные токены, такие как YubiKey и Nitrokey, становятся все более популярными. Подобно брелокам, которые отображают OTP, аппаратные токены (иногда называемые ключами безопасности) генерируют OTP и автоматически вводят его для вас. В отличие от оригинальных токенов безопасности, которые в основном распространялись на уровне предприятия для доступа сотрудников к рабочим сетям, YubiKey и его конкуренты доступны для потребителей и могут быть интегрированы крупными поставщиками онлайн-услуг.

Популярной альтернативой отправке OTP на ваше мобильное устройство является использование push-уведомлений на основе приложений для авторизации доступа к аккаунту. Google и Apple являются лидерами отрасли в этом отношении и используют push-аутентификацию в течение последних пяти лет. Push-аутентификации популярны, потому что они устраняют некоторые уязвимости безопасности одноразовых паролей на основе SMS, и проще нажать на уведомление, чем ввести пароль.

Будущее многофакторной аутентификации

По мере того, как все больше бизнеса в мире переходит в онлайн, а изощренность хакеров продолжает расти, потребность в безопасности будет расти вместе с этим. Учитывая, что в 2021 году было скомпрометировано более двух миллиардов паролей (это число растет с тех пор, как мы начали вести учет), использования простого пароля уже недостаточно для блокировки конфиденциальных данных, таких как медицинские записи и информация о кредитных картах. С нашей точки зрения будущее онлайн-аутентификации выглядит так, как будто оно будет определяться двумя парадигмами: аутентификацией без пароля и пассивной аутентификацией.

Специалистам по безопасности не нравятся пароли как метод аутентификации. Люди плохо их выбирают (самыми популярными паролями в 2022 году были «пароль» и «123456»), и они неудобны для пользователя. Хорошие пароли также трудно запомнить. Даже если у вас есть надежный пароль, который вы можете запомнить, пароли уязвимы для многочисленных методов взлома, от фишинга и социальной инженерии до взлома данных и атак методом грубой силы.

В будущем шифрование с открытым ключом, скорее всего, заменит пароли, проверочные коды и одноразовые пароли для большинства сервисов. Вместо того, чтобы полагаться на легко скомпрометированный фактор знаний для обеспечения безопасности вашего аккаунта ЮMoney, ваш закрытый ключ шифрования будет храниться на факторе владения, таком как ваш смартфон или брелок, который будет заблокирован с помощью фактора неотъемлемости, такого как ваш отпечаток пальца или сканирование лица.

Будущее многофакторной аутентификации

Если специалистам по безопасности не нравятся пароли, пользователям не нравится вход в систему или обременительные требования для входа. Вскоре вы, вероятно, не поймете, что аутентифицируете себя, так как все больше компаний внедряют схемы пассивной аутентификации, основанные на поведенческих и физических биометрических данных. Вместо того, чтобы входить в систему после того, как он перейдет в спящий режим, ваш компьютер будет анализировать ваш ритм набора текста и выполнять периодическое сканирование лица, чтобы постоянно аутентифицировать вас.

Эти меры кибербезопасности — это не то, что вы увидите в далеком будущем. Сейчас они используются на уровне предприятия. Поскольку профиль онлайн-преступности продолжает расти, обратитесь к банкам и розничным торговцам, чтобы они возглавили внедрение и требование этих новых, более строгих средств MFA для блокировки ваших онлайн-аккаунтов для предотвращения несанкционированного доступа. Это не вопрос, если вы присоединитесь к безопасности учетной записи MFA. Это вопрос времени.

Читайте далее: Как проверить историю входа в Gmail

1 КОММЕНТАРИЙ

Subscribe
Notify of
guest

1 Комментарий
Популярные
Новые Старые
Inline Feedbacks
View all comments
gorban
gorbanhttps://xpcom.ru
Ведущий автор и создатель сайта xpcom.ru, я погрузился в мир высоких технологий и мобильных устройств с 2004 года. Начиная карьеру с должности интернет-маркетолога, я расширил свои горизонты и стал программистом, разработав несколько приложений для Android, программ для Windows и Mac. Мои знания и опыт охватывают широкий спектр современных технологий, и я стремлюсь делиться ими на страницах xpcom.ru. Владею тремя языками, что позволяет мне оставаться в курсе мировых тенденций и находить интересные темы для моих читателей. В свободное время я наслаждаюсь морем и ценю хороший юмор - эти два аспекта добавляют мне энергии для продолжения моей работы и вдохновения для новых идей.

Рекомендуемые статьи

Похожие посты