Второй фактор аутентификации. Какой лучше выбрать
Как показывает наша практика в области проведения проектов по анализу защищенности корпоративной инфраструктуры организаций, использование одних лишь паролей для защиты бизнес-данных недостаточно, и несёт за собой большие риски, так как методы взлома злоумышленников всё время улучшаются, а парольные атаки становятся успешнее. Какие типы атак наиболее распространены, вы можете почитать в моей предыдущей статье.
Как уменьшить вероятность атак на основе использования только учетных данных?
Наиболее распространенный способ – это применение дополнительных факторов аутентификации, будь то двухфакторная (2FA) или многофакторная аутентификация (MFA).
Но какие дополнительные факторы подходят именно вашей организации?
В данной статье я хотел бы подробно рассмотреть существующие варианты, исходя из уровня безопасности использования и удобства. Факторы аутентификации
Мне нравится следующий принцип - чем больше факторов, тем лучше. Тем самым мы можем сделать реализацию атаки злоумышленника дороже. Но если это слишком сложно для пользователей, то это негативно влияет на их производительность, что, конечно же, нас не устраивает.
Знание чего-либо
Пароли – «старый добрый» стандарт для аутентификации.
Секретные вопросы – это вопросы, ответы на которые знает только владелец учётной записи. Они могут служить в качестве аутентификатора. Эффективность данного фактора зависит от используемых вопросов. Желательнее всего избегать такие вопросы, как «Девичья фамилия матери?» или «Дата рождения отца?». Данная информация может быть легко найдена злоумышленниками в Интернете. Лучше использовать более личные вопросы, увеличив уникальность ответов, например, «Какая ваша любимая игрушка в детстве?».
Наличие чего-либо
Использование смартфона или планшета - этот метод широко используется в качестве использования кодов подтверждения с помощью SMS или телефонных звонков на мобильные устройства. Основные риски данного метода – SIM-карта мобильного устройства сотрудника может быть клонирована злоумышленниками для реализации процесса аутентификации.
Одноразовые пароли (OTP) – это могут быть различные приложения-аутентификаторы, которые предоставляют пользователю одноразовые пароли при каждой авторизации в целевой системе. Данный метод является более безопасным, чем SMS или звонки, так как установленные приложения привязываются к устройству пользователя и осуществляют процесс синхронизации с серверной частью приложения. Также обычно данные приложения имеют встроенные механизмы доступа к окну просмотра одноразовых паролей, что увеличивает уровень защиты фактора аутентификации в случае кражи или потери устройства.
Смарт-карта или токен – может быть представлен как в виртуальном, так и в физическом исполнении. Данный тип аутентификации относится к классу криптографических средств защиты. Физические устройства требуют наличие определенного считывателя, а виртуальные – используют комбинацию установленного сертификата и вводимого пользователем PIN-кода для авторизации в системе.
Кем ты являешься
Биометрия – отпечатки пальцев, сетчатка глаза или строение ушной раковины человека. Данный метод аутентификации реализуется с помощью считывания уникальной информации о человеке физическим биометрическим устройством или приложением, а также может использоваться в качестве одного из факторов при авторизации пользователя. Этот фактор аутентификации можно назвать одним из стойких в вопросах обеспечения безопасности, так как дублирование уникальной информации о человеке является наиболее затруднительным для злоумышленника.
Другие
Сторонние поставщики аутентификации – один из новых и наиболее интересных факторов аутентификации. На данный момент существует множество сторонних поставщиков, которые поддерживают аутентификацию пользователя при авторизации его в целевой бизнес-системе. Например, Microsoft, Google, Facebook, Instagram и другие представляют возможность выступать в качестве внешнего фактора аутентификации. Также, данный механизм эффективно можно использовать как при авторизации, так и в вопросах смены/сброса пароля пользователя. Одно из решений, которое может реализовать такой функционал описывается здесь. Основная загвоздка заключается лишь в том, что пользователю необходимо зарегистрироваться у данных поставщиков, прежде чем использовать их.
Какие факторы аутентификации вы должны использовать?
Чем больше факторов требуется использовать для аутентификации в корпоративных системах, тем сложнее становится данный механизм для пользователей. На мой взгляд, организация должна иметь наиболее гибкий функционал авторизации пользователей исходя из уровней риска и обратной связи от использования. Например, рядовой сотрудник может использовать обычный пароль с кодом подтверждения по SMS, но генеральный директор должен использовать более сложные факторы и лучше, если их будет несколько.
Существует множество вариантов аутентификации, поэтому я уверен в том, что вы сможете найти наиболее подходящий для вас. Начинайте внедрять данные механизмы постепенно и общий уровень безопасности в будущем будет значительно укреплен, а вы сможете не беспокоиться по поводу защиты пользователей.
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.
Axxtel - команда экспертов в области информационной безопасности занимающая ведущие позиции в СФО. Мы следим за последними новинками и тенденциями в области информационной безопасности и создаем их. Всегда рады узнать новое и поделиться своим опытом.