Введение дополнительного уровня безопасности обеспечивает более эффективную защиту вашей учетной записи от несанкционированного доступа. Эта статья поможет вам понять, насколько безопасна двухфакторная аутентификация.
Где используется этот подход
Сегодня большое количество компаний доверяют двухступенчатой проверке. Например, если вы хотите использовать службу написания UKessay,вам также будет предложено пройти эту процедуру при входе в свой аккаунт. Есть также технологии, финансовые и страховые организации зависят от двух факторов, чтобы сохранить информацию своих клиентов в безопасности.
Двойная аутентификация требует, чтобы пользователь имеет два или три типа идентификационных данных. Вот следующие типы:
- Что-то, что он знает;
- Что-то, что у него есть в наличии;
- Что-то присущее ему (биометрия);
Очевидно, что первый пункт включает в себя различные пароли, пин-коды, секретные фразы и так далее, это то, что пользователь помнит и входит в систему.
Второй элемент представляет собой маркер, то есть компактное устройство, принадлежащее пользователю. Простейшие жетоны не требуют физического подключения к компьютеру – у них есть дисплей, который показывает номер, который пользователь записывает в систему, чтобы сделать запись. Более сложные подключаются к компьютерам через USB и Bluetooth-интерфейсы.
Сегодня смартфоны могут быть использованы в качестве жетонов, потому что они стали неотъемлемой частью нашей жизни. В этом случае так называемый одноразовый пароль генерируется либо специальным приложением (например, Google Authenticator), либо поступает через SMS – это самый простой и удобный метод, который некоторые эксперты оценивают как менее надежный.
Примеры двухфакторной и многофакторной аутентификации
Метод проверки подлинности с использованием SMS основан на использовании одноразового пароля. Преимущество этого подхода, по сравнению с постоянным паролем, заключается в том, что этот пароль не может быть использован повторно. Даже если предположить, что злоумышленник может перехватить данные в процессе обмена информацией, он не может эффективно использовать украденный пароль, чтобы получить доступ к системе. Тем не менее, это не является фактором полностью безопасным.
Можно также привести пример, реализованный с использованием биометрических устройств и методов аутентификации. Это использование сканера отпечатков пальцев, который доступен в ряде моделей ноутбуков.
При входе в систему пользователь должен пройти процедуру сканирования пальца, а затем подтвердить право доступа паролем. Успешно завершенная аутентификация даст ему право использовать локальные данные конкретного ПК.
Аналогичным образом можно использовать и другие биометрические аутентификаторы:
- отпечатки пальцев;
- геометрия руки;
- очертания и размеры лица;
- голосовые характеристики;
- рисунок радужной оболочки глаза и сетчатки глаз;
- рисунок вен пальцев;
Конечно, используется соответствующее оборудование и программное обеспечение, а стоимость их приобретения и поддержки может отличаться в разы.
Вопрос безопасности Вы должны знать о (Дело биометрических данных)
Однако стоит понимать, что существуют и двухфакторные проблемы. Биометрические аутентификаторы не являются абсолютно точными данными. Отпечатки одного пальца могут иметь различия под влиянием внешней среды, физиологического состояния человеческого тела и т.д. Для успешного подтверждения этого аутентификатора достаточно неполной корреспонденции печати со стандартом.
Методы биометрической аутентификации содержат определение степени вероятности того, что допустимый аутентификатор будет соответствовать стандартной. Что касается биометрической аутентификации и удаленного доступа к информационным системам, то на данный момент современные технологии не имеют возможности передавать надежные данные по незащищенным каналам – отпечаток пальца или результат сканирования сетчатки.
Как насчет процесса SMS-проверки?
Недостатки этого метода гораздо более значительны, чем достоинства, и они связаны не с алгоритмом проверки, а с номером телефона. Потерянный смартфон вполне может быть причиной для взлома интернет-банкинга или почтового ящика – в конце концов, у злоумышленника есть все инструменты для этого.
Кроме того, получив контроль над номером, можно даже не искать пароль, а просто использовать функцию его восстановления через SMS. Серьезные злоумышленники могут даже «клонировать» номер, а честный пользователь даже не заподозрит его. Последствия этого очевидны.
SMS-пароли признаны небезопасными
Летом 2016 года Национальный институт стандартов и технологийNIST представил предварительную версию будущего Руководства по цифровой аутентификации. Это документ, который устанавливает новые стандарты и правила для методов цифровой аутентификации. Механизм SMS OTP изначально не предназначался для проверки подлинности и не может считаться полноценной аутентификацией.
Основной заботой экспертов является то, что номер телефона может быть привязан к сервису VoIP. Кроме того, злоумышленники могут попытаться убедить поставщика услуг в том, что номер телефона изменился, и такие уловки нужно сделать невозможными.
Стоит отметить не только риск потерять доступ к счетам, но и обычные неудобства. Например, при путешествии за границу можно забыть подключить роуминг (или такой опции вообще не будет в какой-то стране), что приведет к невозможности воспользоваться необходимыми платежными сервисами.
Еще одно неудобство — при регистрации по номеру телефона, есть вероятность, что он попадет в базу данных спама, после чего пользователь будет приставать к навязчивым рекламным звонкам или сообщениям.
Что такое выход
Для того, чтобы аутентификация была по-настоящему надежной, важно не количество функций, а качество реализации механизма по обе стороны взаимодействия, как в пользовательской части, так и в части проверяющей стороны. Если база данных отпечатков пальцев хранится на бумаге в шкафу, то биометрическая аутентификация будет неудобна и ненадежна – необходимый лист можно просто удалить.
Аналогичным образом, запись пользовательских данных из базы данных, хранящейся в памяти ПК, может быть удалена (добавлена/повреждена), а увеличение числа факторов в процессе проверки подлинности не может повысить уровень безопасности.
Очень важно представить себе весь процесс аутентификации в конкретной системе, а не только количество рассматриваемых факторов.
Источник: torquemag.io