Двухфакторную авторизацию

Что такое двухфакторная аутентификация, или 2ФА?

Когда дело касается сетевой безопасности вашей организации, предосторожность не бывает лишней. Количество угроз кибербезопасности и уровень их изощренности растут быстрыми темпами. Malwarebytes сообщает, что атаки на предприятия в 2019 году увеличились на 13 %. В результате многие компании критически оценивают свои текущие методы обеспечения информационной безопасности. В конце концов, значительная часть личной, финансовой и конфиденциальной информации хранится в онлайн-аккаунтах вашей компании, а утечка данных часто приводит к потере дохода. Однако есть один простой способ, который поможет повысить культуру кибербезопасности сотрудников большинства организаций. Это двухфакторная аутентификация, или 2ФА.

Подробнее о двухфакторной аутентификации

Что такое двухфакторная аутентификация? Аутентификация — это процесс подтверждения личности пользователя с целью получения доступа к компьютерной системе или онлайн-аккаунту. Выделяют три основных фактора аутентификации: фактор знания (то, что мы знаем, например пароль или PIN-код), фактор владения (то, что мы имеем, например мобильное устройство или удостоверение личности) и фактор свойства (то, что является частью нас, например отпечаток пальца или голос). Существуют также факторы местоположения и факторы времени, но они встречаются гораздо реже. Двухфакторная аутентификация просто означает, что ваша система безопасности использует два фактора.

Иными словами, двухфакторная аутентификация предполагает дополнительный уровень безопасности помимо вашего пароля или PIN-кода. Если после входа в систему с помощью пароля вас когда-либо просили ввести цифровой код, отправленный вам на ваше мобильное устройство для подтверждения вашей личности, значит, вы уже знакомы с 2ФА. Однако получение кода в виде текстового сообщения — это не единственный метод двухфакторной аутентификации. Существует целый ряд способов, в том числе приложения для аутентификации, push-уведомления, программные маркеры, голосовая аутентификация и т. д. Но в большинстве случаев дополнительным уровнем безопасности, скорее всего, будет код, полученный через SMS-сообщение.

Что такое приложение для аутентификации?

Даже если вам знакомо большинство методов двухфакторной аутентификации, таких как текстовые и голосовые сообщения, push-уведомления, возможно, вы гораздо меньше слышали о приложениях для аутентификации. На самом деле они относительно просты в использовании. Так что же представляет собой приложение для аутентификации? По сути, это приложение на вашем мобильном телефоне, которое генерирует цифровые коды подтверждения, используемые для проверки вашей личности при входе на веб-сайт или в приложение. Существует множество различных приложений для аутентификации, в том числе Google Authenticator, Duo Mobile и Authenticator, но в каждом из них используется приблизительно одна и та же процедура.

Обычно приложения для аутентификации считаются чуть более безопасной формой 2ФА, чем получение кода доступа посредством SMS-сообщения. Причина этого кроется в том, что с технической точки зрения SMS-сообщения — это не то, что у нас есть, а то, что мы отправляем. Таким образом, существует небольшая вероятность, что хакеры смогут обмануть вашего оператора и перенести номер вашего мобильного телефона на другое устройство (тип мошенничества, называемый «SIM-свопинг»). Если у злоумышленников уже есть ваш пароль, это позволит им получить доступ к вашему аккаунту. В отличие от SMS-сообщения код подтверждения, сгенерированный в приложении для аутентификации, имеет короткий срок действия (обычно 20 или 30 секунд), и он остается полностью внутри приложения.

Как работает 2ФА? Двухфакторная аутентификация относительно проста в использовании: достаточно один раз настроить ее в своей системе с помощью приложения для аутентификации, push-уведомления или SMS-сообщения. Ниже представлена подробная инструкция, касающаяся непосредственно процесса 2ФА:

  1. Пользователю предлагается войти в систему через веб-сайт или приложение.
  2. Пользователь вводит свое имя пользователя и пароль согласно первому фактору безопасности.
  3. После того, как сайт распознает пользователя, ему будет предложено приступить ко второму этапу процесса входа в систему. На данном этапе пользователю необходимо подтвердить, что у него есть нечто (например, удостоверение личности или смартфон), отвечающее второму фактору безопасности, а именно фактору владения. В большинстве случаев пользователям будет отправлен одноразовый код доступа, который они могут использовать для подтверждения своей личности.
  4. Наконец, пользователь вводит ключ безопасности, и после того, как сайт проверит подлинность его личности, ему будет предоставлен доступ.
Зачем использовать двухфакторную аутентификацию?

Когда дело касается сетевой безопасности, самым распространенным фактором аутентификации⁠, безусловно, является комбинация имени пользователя и пароля. Это означает, что в большинстве систем используется только однофакторная аутентификация. Хотя пароли оставались стандартом информационной безопасности на протяжении десятилетий, существует ряд причин, по которым, наконец, стоит перестать использовать только парольную защиту. Начнем с того, что пароль относительно легко угадать. У пользователей, как правило, плохая память, и очень часто они выбирают пароли, которые невероятно легко угадать: «password», «12345», «qwerty» и так далее.

Также важно помнить, что у пользователей сейчас гораздо больше онлайн-аккаунтов, чем в те времена, когда только начали применяться пароли, а это означает, что им нужно запоминать слишком много паролей. Это может привести к повторному использованию пароля, когда один и тот же пароль используется для нескольких аккаунтов, что значительно облегчает задачу хакерам, пытающимся получить доступ к вашим данным. Когда вы сами становитесь одним из факторов роста киберпреступности и утечки данных (например, в 2013 году было взломано 3 млрд аккаунтов Yahoo), легко понять, почему пароли больше не являются самой безопасной формой защиты.

Вместо полноценной двухфакторной аутентификации некоторые веб-сайты используют секретный вопрос как своего рода второй фактор. Например, возможно, вам придется ответить на вопрос типа: «Какова девичья фамилия вашей матери?» или «Как звали вашего первого домашнего питомца?» Однако эта практика также имеет целый ряд недостатков. При обилии личной информации, доступной в сети, хакеры часто могут угадать ответы на эти относительно простые вопросы. Кроме того, важно отметить, что эта практика не является полноценной двухфакторной аутентификацией, поскольку секретные вопросы — это просто дополнительный фактор знания. По сути, вы создаете резервную копию пароля с помощью другого пароля. Такой подход намного ближе к двухэтапной проверке (2SV), которая использует два этапа верификации вместо различных факторов.

Итак, подведем итог: пароли обеспечивают самый низкий уровень защиты, поэтому двухфакторная аутентификация все чаще становится основным стандартом безопасности для предприятий.

Другие решения для аутентификации

Как видите, 2ФА имеет множество преимуществ. Однако двухфакторная аутентификация не является финальной точкой в обеспечении информационной безопасности. Она даже близко не является таковой. В конце концов, двухфакторная аутентификация не безупречна. Если злоумышленник хочет получить доступ к вашим компьютерным системам, личный обыск вашего помещения может привести к тому, что он найдет идентификатор сотрудника или выброшенное устройство хранения, содержащее пароли. Кроме того, хакеры могут перехватывать текстовые сообщения с помощью фишинговых писем, которые позволяют им обойти второй фактор аутентификации. В конечном счете надежность двухфакторной аутентификации определяется надежностью самого слабого звена в обеспечении безопасности.

Итак, какие еще есть решения? 2ФА — это часть гораздо более широкой концепции, а именно многофакторной аутентификации (MFA). Теоретически вы можете использовать трехфакторную, четырехфакторную, пятифакторную аутентификацию и так далее до бесконечности. Хотя обычные пользователи вряд ли когда-либо будут применять что-либо, кроме двухфакторной аутентификации, лицам, работающим в средах, требующих высокого уровня защиты, может понадобиться трехфакторная аутентификация (3FA), которая обычно включает фактор свойства, такой как отпечаток пальца или радужная оболочка глаза.

Защита ваших файлов с помощью двухфакторной аутентификации

Важность защиты файлов и содержимого вашей компании невозможно переоценить. По оценкам, к 2021 году глобальный ущерб от киберпреступлений достигнет около 6 трлн долларов в год. К потерям, связанным с киберпреступностью, можно отнести уничтожение или неправильное использование данных, кражу денежных средств, прерывание работы после кибератаки, воровство интеллектуальной собственности и снижение производительности труда. Вам также следует принять во внимание потенциальные расходы, связанные с восстановлением взломанных данных или систем, судебной экспертизой и причинением ущерба репутации. В то время как угрозы становятся все более изощренными, а двухфакторная аутентификация во всем мире становится стандартом безопасности, предприятия, которые не обращают внимание на риски, могут оказаться уязвимыми для хакерских атак. Это как непристегнутый ремень безопасности, потому что машина оборудована подушками безопасности. Технически вы защищены, но не настолько надежно, как могло бы быть.

Как пройти 2ФА для аккаунта Dropbox

Понятно, что включение двухфакторной аутентификации может принести огромную пользу вашему бизнесу, но процесс развертывания 2ФА в масштабе всей компании может показаться вам немного сложным. К счастью, это не настолько сложно. Dropbox предлагает двухфакторную аутентификацию. Если вы активируете 2ФА, Dropbox будет требовать от вас и вашей рабочей группы вторую форму аутентификации (например, шестизначный код доступа или ключ безопасности) каждый раз, когда вы входите в свой аккаунт либо привязываете к нему новый планшет, компьютер или телефон. Кроме того, Dropbox предлагает ряд функций защиты паролем, которые могут помочь вам обезопасить и надежнее контролировать конфиденциальную информацию вашей компании. Также вы можете установить сроки действия общих ссылок и паролей, защищающих ваши PDF-файлы и папки.

Существуют и другие меры кибербезопасности, которые вы можете реализовать с помощью Dropbox, чтобы еще эффективнее защитить свои файлы. Облачная безопасность Dropbox — идеальное дополнение к двухфакторной аутентификации. Проще говоря, защита данных в облаке является основным приоритетом Dropbox. Используя несколько уровней защиты в распределенной облачной инфраструктуре, вы можете быть уверены, что всем вашим онлайн-файлам предоставляется одинаковый уровень защиты. Кроме того, облачное хранилище с системой защиты корпоративного класса Dropbox соответствует требованиям многих международных нормативных актов.

Заключительные соображения

Двухфакторная аутентификация обеспечивает дополнительный уровень безопасности для онлайн-файлов вашей компании, защищая конфиденциальные данные от потенциальных киберугроз.

Двухфакторная аутентификация — тема, которой мы так или иначе касаемся во многих наших постах. В прошлом году мы даже записали на эту тему целый подкаст. Однако ввиду возрастающего количества разных сервисов и все чаще случающихся атак на пользовательские аккаунты (как, например, перехваты контроля над учетными записями iCloud) мы решили посвятить этому виду аутентификации отдельную статью и рассказать о том, что это такое, как она работает и почему ее стоит использовать везде, где это возможно.

Двухфакторная аутентификация — это метод идентификации пользователя в каком-либо сервисе (как правило, в Интернете) при помощи запроса аутентификационных данных двух разных типов, что обеспечивает двухслойную, а значит, более эффективную защиту аккаунта от несанкционированного проникновения. На практике это обычно выглядит так: первый рубеж — это логин и пароль, второй — специальный код, приходящий по SMS или электронной почте. Реже второй «слой» защиты запрашивает специальный USB-ключ или биометрические данные пользователя. В общем, суть подхода очень проста: чтобы куда-то попасть, нужно дважды подтвердить тот факт, что вы — это вы, причем при помощи двух «ключей», одним из которых вы владеете, а другой держите в памяти.

Двухфакторная аутентификация — это система доступа, основанная на двух «ключах»: одним вы владеете (телефон, на который приходит SMS с кодом), другой запоминаете (обычные логин и пароль).

Впрочем, двухфакторная защита не панацея от угона аккаунта, но достаточно надежный барьер, серьезно усложняющий злоумышленникам доступ к чужим данным и в какой-то степени нивелирующий недостатки классической парольной защиты. Ведь у паролей, на которых основано подавляющее большинство авторизационных механизмов в Интернете, есть неизбежные недостатки, которые фактически являются продолжением достоинств: короткие и простые пароли легко запомнить, но так же легко подобрать, а длинные и сложные трудно взломать, но и запомнить непросто. По этой причине многие люди используют довольно тривиальные пароли, причем сразу во многих местах. Второй фактор в подобных случаях оказывается крайне полезен, поскольку, даже если пароль был скомпрометирован, злоумышленнику придется или раздобыть мобильник жертвы, или угнать ее почтовый ящик.

Несмотря на многочисленные попытки современного человечества заменить пароли чем-то поинтереснее, полностью избавиться от этой привычной всем парадигмы оказалось не так просто, так что двухфакторную аутентификацию можно считать одним из самых надежных механизмов защиты на сегодняшний день. Кстати, этот метод удобен еще и тем, что способен предупреждать хозяина аккаунта о попытке взлома: если на ваш телефон или почту вдруг приходит сообщение с одноразовым кодом при том, что вы никаких попыток логина не предпринимали, значит, вас пытаются взломать — самое время менять оказавшийся ненадежным пароль!

Где можно включить двухфакторную аутентификацию?

Ответом на этот вопрос может служить простое правило: если используемый вами сервис содержит важные для вас данные и позволяет включить двухфакторную аутентификацию, активируйте ее не раздумывая! Вот, скажем, какой-нибудь Pinterest. Ну, не знаю… Если бы у меня был аккаунт в этом сервисе, я бы вряд ли захотел каждый раз проходить долгую процедуру двухслойной авторизации. А вот интернет-банкинг, аккаунты в соцсетях, учетка в iCloud, почтовые ящики и особенно ваши служебные учетные записи — все это однозначно стоит защитить двухфакторной аутентификацией. Сервисы Google, Apple и все основные социальные сети позволяют это сделать в настройках без особого труда.

Двухфакторная аутентификация — один из лучших методов защиты ваших аккаунтов #security

Tweet

К слову, если у вас есть свой сайт, скажем, на базе WordPress или другой подобной платформе, включить в настройках двухфакторную защиту тоже не будет лишним. В общем, повторюсь: если аккаунт и его содержимое вам дороги, не игнорируйте возможность усилить защиту.

Какие еще существуют виды двухфакторной аутентификации?

Выше я уже упомянул рассылку специального кода в виде SMS и email-сообщений и USB-ключи и смарт-карты, используемые преимущественно для доступа к некоторым видам интернет-ресурсов и VPN-сетям. Кроме того, существуют еще генераторы кодов (в виде брелока с кнопкой и небольшим экранчиком), технология SecureID и некоторые другие специфические методы, характерные в основном для корпоративного сектора. Есть и менее современные интерпретации: например, так называемые TAN-пароли (TAN, Transaction Authentication Number — аутентификационный номер транзакции). Возможно, вы даже сталкивались с ними, если были клиентом какого-нибудь не самого прогрессивного банка: при подключении интернет-банкинга клиенту выдавалась бумажка с заранее сформированным списком одноразовых паролей, которые вводятся один за другим при каждом входе в систему и/или совершении транзакции. Кстати, ваша банковская карта и PIN тоже формируют систему двухфакторной аутентификации: карточка — «ключ», которым вы владеете, а PIN-код к ней — «ключ», который вы запоминаете.

Как я уже упомянул выше, существует и биометрический способ идентификации пользователя, который часто выступает в роли вторичного фактора защиты: одни системы подразумевают сканирование отпечатка пальца, другие определяют человека по глазам, есть даже те, которые ориентируются по «рисунку» сердцебиения. Но пока это все довольно экзотические методы, хотя и куда более популярные, чем, скажем, электромагнитные татуировки, которые по примеру радиочипов могут служить вторичным фактором аутентификации пользователя. Я бы от такой не отказался 🙂

Оставить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *