Многофакторная аутентификация — must have или бесполезная трата времени?

Что такое аутентификация

Аутентификацию часто путают с идентификацией (распознавание объекта по уникальному идентификатору) и авторизацией (предоставление определенных прав субъекту).

Сюда относится сопоставление введенного пароля с тем, который хранится в базе данных, или проверка цифровой подписи письма.

История аутентификации берет начало из древних времен. Тогда придумывали речевые пароли, изготовляли сложные печати. Даже замок и ключ являются примером аутентификации.

Сегодня можно говорить о тенденции применения многоуровневой аутентификации во многих сферах. Это связано с ненадежностью системы паролей. Слишком простой пароль небезопасен, а слишком сложный — трудно запомнить, поэтому люди записывают его куда-то (теряется весь смысл). В целях повышения уровня защиты, кроме пароля, все чаще используют дополнительные инструменты.

О процедуре и ее применении

Многофакторная аутентификация — это расширенный метод контроля доступа к ресурсам. В рамках данного метода пользователь должен предъявить несколько «доказательств», чтобы получить доступ.

Выделяют несколько групп таких подтверждений:

• знание определенной информации (пароль, код);
• наличие ключа (карта, мобильное устройство, флешка);
• отличительная особенность (отпечатки пальцев, черты лица, радужная оболочка глаза, скорость и характер набора текста на клавиатуре).

Все три группы инструментов аутентификации одновременно используются скорее в кино, наиболее распространенная процедура опознания пользователя включает только два этапа. Применение нескольких типов проверки резко повышает защищенность данных пользователя и позволяет избежать мошенничества, краж и потери данных.

Чаще всего мы сталкиваемся с процедурой, пользуясь интернет-банкингом или заходя в аккаунт Google или Facebook с нового устройства. Тогда система шлет на привязанный к аккаунту номер мобильного текстовое сообщение с одноразовым кодом, осуществляет голосовой вызов или просит приложить палец к сканеру.

Некоторые владельцы дорогих гаджетов устанавливают на телефон двойную аутентификацию в виде отпечатка пальца и кода (возможно, чтобы ревнивый супруг не смог разблокировать девайс пальцем спящей половинки).

Обратная сторона медали

На первый взгляд, повышение надежности не может быть плохим выбором, однако есть ряд нюансов:

1. Если второй этап аутентификации подразумевает использование мобильного телефона, обязательно нужно, чтобы он находился в зоне действия сети. Это может вызвать неудобства в поездке в другую страну. Когда нужно получить доступ к данным быстро, проверка в несколько этапов (особенно если речь идет о смс-сообщении, доставка которого может занять время) оказывается очень неудобной.
2. Текст сообщения, отправляемого пользователю на втором этапе стандартной двойной верификации, не шифруется и может быть перехвачен даже новичком-хакером, знающим нужный номер телефона.

Из-за подобных недостатков все больше систем применяют биометрическую идентификацию, в частности, сканер отпечатка пальца, встроенный в большинство современных смартфонов. Палец заполучить несколько сложнее, чем пароль (сенсор не сработает на отрезанную конечность).

Как выбрать подходящую защиту

Обычно пользователям рекомендуется применять многофакторную аутентификацию только если речь идет о доступе к данным, потеря или компрометация которых приведет к серьезным последствиям. В остальных случаях лучше пользоваться многоразовыми и, если нужно повысить уровень безопасности, одноразовыми паролями.

Меняйте пароли периодически (1-2 раза в год минимум). Чем важнее защищаемая информация, тем чаще нужно генерировать новый пароль. Никогда не используйте в качестве пароля имена, значимые даты и прочую информацию, которую легко подобрать. Вместо многоразового пароля лучше использовать пасфразы. Это набор слов, видоизмененный на усмотрение владельца.

Например, Вы — большой поклонник итальянской кухни. Можно сделать из слова «спагетти» пасфразу.
Спагетти — Spaghetti — sp48hett1.
Это все еще Ваши любимые макароны, но слово уже слабо угадывается и подобрать такой пароль, особенно, если сделать его длиннее, будет крайне сложно.

Также существуют специальные приложения, которые обеспечивают дополнительный уровень защиты учетных записей благодаря второму этапу проверки во время входа — введению кода. Одним из таких приложений является Google Authenticator. В нем можно сгенерировать код на телефоне даже при отсутствии интернет-соединения.

При организации системы безопасности на предприятии рекомендуется предусмотреть несколько этапов проверки. Сколько подтверждений потребуется предоставить, зависит от того, насколько серьезную операцию нужно выполнить. Для ежедневных действий будет достаточно сложного многоразового пароля, для чего-то более серьезного следует подключить второй этап проверки. Ну, а если речь идет о доступе к хранилищу бриллиантов/швейцарскому банку/секретной военной базе — лучше проверять в три этапа.

Добиться 100% защиты — нереальная задача, так как ежедневно появляются и совершенствуются всевозможные фишинговые атаки (мошенничество для получения личных данных пользователя) и вредоносные программы. Однако нужно идти в ногу со временем и не пренебрегать защитой данных. Используйте двухфакторную аутентификацию, если речь идет о защите деловой почты, аккаунта в интернет-банке и страницы в социальной сети с компрометирующей перепиской. На сайтах и в аккаунтах, где не храниться ничего важного, для авторизации будет достаточно пасфразы, многоуровневая система подтверждения попросту отнимет время.