Для совершения операций в интернет банке требуется двухфакторная авторизация что это

Двухфакторная аутентификация для безопасности учетной записи — что это, ее виды и как использовать

Если вашу учетку защищает только пароль, это часто небезопасно. Мошенникам не сложно взломать его и получить доступ к конфиденциальным данными. Поэтому двухфакторная аутентификация стала одним из основных способов сделать онлайн-услуги безопасными. Сегодня почти каждый сайт с формой входа предлагает пользователям включить двухфакторную аутентификацию.

В статье расскажем, что значит двухфакторная аутентификация, какая она бывает и как ее использовать.

Что такое двухфакторная аутентификация

Двухфакторная аутентификация — это дополнительный уровень защиты учетной записи. Кроме ввода пароля, нужно также ввести одноразовый код, который приходит на почту или телефон, или отпечаток пальца. Этим вы подтверждаете свою личностья. Когда вы активируете эту опцию, кроме пароля хакеру нужно также ввести код, чтобы зайти в ваш аккаунт. Вы также получите уведомление, если кто-то попытается получить доступ в вашу учетку.

Одноразовый код действует только пару минут или часов, после чего он самоуничтожается. Таким образом, благодаря двухфакторной аутентификации ваши онлайн-аккаунты становятся неуязвимыми для киберпреступников.

Виды двухфакторной аутентификации

В двухфакторной аутентификации пользователи должны ввести такие данные:

Шаг 1:

• То, что вы уже знаете: имя пользователя и пароль;

Шаг 2:

• Сгенерированный код из телефона, почты или другого ПО; или
• Биометрические данные — отпечаток пальца, скан сетчатки или голосовая проверка.

Двухфакторная аутентификация с помощью смартфона или ПО — самый распространенный метод.

Двухфакторная аутентификация по SMS

Секретный одноразовый пароль приходит на мобильный пользователя в SMS-сообщении.

Преимущества:

• Так как приходит SMS, каждый может воспользоваться этой опцией — вне зависимости от наличия интернета.

Недостатки:

• Сигнал сети — главный фактор, чтобы получить SMS с кодом.
• Если вы потеряли SIM-карту или телефон, вы не сможете пройти аутентификацию.

Двухфакторная аутентификация по телефону

Пользователи получают проверочный код по звонку после того, как они правильно ввели пароль и имя пользователя.

Преимущества:

• Так как это звонок, каждый может воспользоваться этой опцией — вне зависимости от наличия интернета.

Недостатки:

• Сигнал сети — главный фактор, чтобы вам дозвонились.
• Если вы в роуминге, это будет дорого стоить.
• Если вы потеряли SIM-карту или телефон, вы не сможете пройти аутентификацию.

Двухфакторная аутентификация по почте

Пользователи получают проверочный код или уникальную ссылку на почту после того, как они правильно ввели пароль и имя пользователя.

Преимущества:

• Доступно на компьютерах и телефонах.

Недостатки:

• В отличие от SMS или звонка, для получения кода нужен интернет.
• Письмо может попасть в спам или не дойти из-за проблемы с сервером.
• Если хакеры взломали ваши почтовые учетные записи, они также могут получить доступ к коду.

Двухфакторная аутентификация через ПО

Это более продвинутый метод, который набирает популярность.

Пользователям нужно установить приложение на компьютер или смартфон, чтобы получить код. ПО динамически генерирует коды для пользователя на короткий период времени. После успешного входа в учетную запись пользователю нужно открыть приложение и ввести код, который сгенерировало приложение.

Примеры ПО для двухфакторной аутентификации — Google Authenticator, Authy, Microsoft Authenticator.

Преимущества:

• Легко использовать.
• Код автоматически генерируется в приложении аутентификации.
• Кроссплатформенная поддержка — программа работает и на компьютере, и на смартфоне. Даже если вы потеряли смартфон, вы все равно сможете сгенерировать код на компьютере.

Недостатки:

• Любой с доступом к вашему телефону или компьютеру может взломать вашу учетку.

Двухфакторная аутентификация через аппаратное обеспечение

Этот метод используется в основном в корпорациях, но его также можно использовать на персональных компьютерах. В этом случае код аутентификации генерируется с помощью оборудования — брелока или электронного ключа. На оборудовании есть экран, где каждые 30-60 секунд динамически генерируется код.

Преимущества:

• Легко использовать.
• Не нужно интернет-соединение.
• Очень безопасный метод, потому что код генерируется с помощью стороннего оборудования.

Недостатки:

• Дорого в установке и поддержке.
• Устройство можно потерять.

Двухфакторная аутентификация по биометрическим данным

При биометрической проверке пользователь сам становится кодом. Ваши отпечатки, сетчатка, распознавание вашего голоса или лица может быть проверочным ключом при аутентификации.

Преимущества:

• Безопасный метод, потому что никто не сможет скопировать ваши отпечатки, голос или лицо.
• Легко использовать.
• Не нужно интернет-соединение.

Недостатки:

• В то же время хранить биометрические данные на сторонних серверах может быть небезопасным.
• Нужны специальные устройства типа сканеров или камер.

Вам решать, какой метод аутентификации использовать. Но советуем не избегать аутентификации совсем и использовать хотя бы самую простую ее вариацию — по почте или телефону.

Пресс-центр

Двухфакторная аутентификация: что это и зачем она нужна?

Что такое двухфакторная идентификация

Мы каждый день заходим в почту, читаем новости, заказываем товары через интернет-магазин – и во всех этих случаях нам нужно вводить код доступа. У некоторых пользователей разные пароли для каждого из аккаунтов, которые легко забыть. К тому же, многие из них, несмотря на их длину и сложность, легко взломать. Две эти проблемы сможет решить двухфакторная идентификация.

Что такое 2Fa

Двухфакторная идентификация – это способ идентификации пользователя двумя разными методами при пользовании каким-либо сервисом. При запросе двух разных типов аутентификационных данных надежность защиты возрастает в два раза. В большинстве случаев на первом этапе необходимо ввести логин и пароль, а на втором – указать код, отправленный по смс или на электронный ящик. Каждый из ключей, держите ли вы его в памяти или получаете через другой источник, подтверждает вашу личность.

Зачем нужна двухфакторная идентификация

Данный метод используется для защиты персональных данных, «усложнения» работы злоумышленникам. В современном мире взломать простой и короткий пароль, которым пользуется большинство людей из-за удобства запоминания, не составит большого труда. Поэтому если хакер пройдет первый слой защиты, ему придется раздобыть доступ к телефонному номеру или электронной почте, что гораздо сложнее. Также двухфакторная идентификация предупреждает о попытках взлома аккаунта. В этом случае вам на телефон или почту может прийти одноразовый код, который вы не запрашивали, и нужно как можно быстрее менять пароль.

Виды 2Fa

Большинство приложений используют следующие виды аутентификации:

· Через одноразовый код, высылаемый на телефон или электронную почту. Один из самых простых способов, но не самый надежный. В последнее время участились случаи перехвата кодов через смс.

· С использованием отдельного приложения. Считается наиболее надежным способом защиты, им можно воспользоваться без доступа в сеть. Сначала нужно установить специальную программы Google Authenticator, LastPass, «Яндекс. Ключ», выбрать желаемый сайт и настроить двухуровневую защиту. Вход будет осуществляться по числовому или QR-коду в приложении.

· С помощью QR-кода. В некоторых приложениях, в частности версиях мессенджеров для ПК, есть возможность зайти через QR-код. Вы сканируете шифр и доступ разрешен.

· Применяя резервные ключи. Некоторые социальные сети предлагают пользователю несколько кодов, которым он может воспользоваться в случае потери телефона. Их лучше хранить на другом устройстве или бумажном носителе.

· Через специальное устройство-аутентификатор. Метод чаще всего используется в больших компаниях. Прибор похож на флешку с небольшой кнопкой, на которую нужно нажать, чтобы получить код доступа. Если устройство будет потеряно, доступ придется восстанавливать.

· Используя NFC-карту. Система актуальны для банковских работников. Прежде чем провести операцию сотрудник должен провести личной картой по специальному ридеру.

· С помощью биометрии. Применяется на некоторых новых устройствах или важных объектах. Программа сканирует сетчатку глаза или отпечатки пальцев для идентификации личности пользователя.

Где стоит включить двухфакторную идентификацию

Установить двойную защиту стоит на любых устройствах и аккаунты, в которых содержится важная информация. К ним относятся социальные сети, электронные ящики, приложения банков и интернет-магазинов. Если же вы не переживаете за доступ к программам по изучению английского или просмотра фильмов – не стоит усложнять себе жизнь, активируя двухуровневую авторизацию.

Сравнение двух типов защиты

+ Быстрый вход без лишних операций

+ Более высокая надежность защиты за счет использования двух различных кодов

+ Возможность отследить попытки взлома аккаунта

— Использование электронного адреса или номера телефона в качестве логина. Такую информацию легко найти в открытых источниках.

+ Шанс спасти личные данные, выиграв время, потраченное злоумышленниками на получение второго пароля.

— Применение простых паролей, содержащих личную информацию, которую нетрудно вычислить.

— Возможность взломать пароль через другие, менее защищенные сервисы, где у пользователя одинаковые пароли.

— Более долгий процесс авторизации

Как поставить 2Fa в Google

Двухфакторная идентификация появилась у гугл еще в 2010 году. При подключении доступные становятся несколько опций. Одна из них Google Prompt: после регистрация аккаунта в приложении при любом входе в гугл аккаунт будет приходить запрос на смартфон. Также можно привязать дополнительный номер или получить резервные коды на случай взлома или потери гаджета.

Включить режим 2Fa можно в браузере в разделе «Пароли и способы входа в аккаунт» или в приложении Google Authenticator, доступное для операционной системы Android и iOS.

Как подключить двухфакторную идентификацию на Яндекс

Алгоритм авторизации очень похож на работу с Google. Прежде всего нужно скачать приложение Яндекс. Ключ, его в дальнейшем можно использовать для доступа на другие сервисы. После подтверждения номера телефона придумайте PIN-код и переходите к следующему шагу. Сканируйте QR-код, получите персональный генерируемый код, и двойная защита установлена.

Как включить 2Fa для Facebook

Установить двухуровневую защиту можно как с компьютера, так и со смартфона — порядок действий в обоих случаях будет одинаковый. В настройках выбираете раздел «Безопасность аккаунта» и включаете нужную функцию. Вам на выбор предлагается несколько вариантов идентификации: код из смс, на другой электронный ящик или резервные пароли.

Как сделать двухфакторную идентификацию в Telegram

Настройка защиты в Телеграм немного отличается от других мессенджеров. При каждом новом входе пользователем с другого устройства система запрашивает код из смс, поэтому здесь вторым элементом идентификации будет установка привычного пароля. В разделе «Безопасность» нужно придумать фразу для авторизации, подсказку, если вы ее забудете и подтвердить изменения через электронную почту.

Гарантирует ли 2Fa полную безопасность

Многие пользователи после повышения уровня защиты забывают об элементарных правилах работы с личными данными. Еще одной проблемой, как отмечают некоторые специалисты, является использование одного устройства для обоих этапов. Если устройство было взломано и в нем есть вредоносные программы, одноразовый код не будет защищен, его с легкостью можно перехватить. Но взламывание двух кодов займет больше времени, что может стать плюсом при попытках спасти устройства и данные на нем.

Как отключить двухуровневую идентификацию

После нескольких месяцев пользования некоторые пользователи устают от постоянных новых кодов и уведомлений и решают вернуться к привычной защите. Чтобы отключить функцию, необходимо проделать аналогичные действия при установке, только в обратном порядке. Для некоторых программ потребуется ввести резервные коды, поэтому не торопитесь от них избавляться. Также лучше сразу поменять пароль из-за резкого снижения уровня защиты.

Полезные советы при установке и работе с 2Fa

· Используйте вторую сим-карту, на которую будут приходить коды из смс. Не указывайте этот номер на сайтах и при регистрации других аккаунтов.

· Не ставьте на PIN-код свою дату рождения или любую другую очевидную информацию.

· Используйте разные пароли. Если вы боитесь запутаться – имейте три или четыре варианты, к которым добавляйте название сайта или приложения.

· Загружайте программы с официальных сайтов. При загрузке пиратских версий ваши коды могут быть моментально перехвачены.

Что такое двухфакторная аутентификация и почему ее важно использовать

Взломать или забыть можно даже самый сложный пароль. Чтобы ваши данные не украли, в соцсетях, почте и любых других сервисах стоит использовать двухфакторную идентификацию или 2FA. Разбираемся, как ей пользоваться

• Что это
• Как подтвердить свою личность
• Где стоит включить
• Как включить в ВК
• Как включить в Google
• Как включить в «Яндексе»
• Как включить в Telegram

Что такое двухфакторная аутентификация?

Двухфакторная аутентификация — это такой метод идентификации пользователя для входа в сервис, при котором нужно двумя разными способами подтвердить, что именно он — хозяин аккаунта. В некоторых сервисах, например, «ВКонтакте», она называется «подтверждение входа».

Эта функция серьезно повышает уровень безопасности. Злоумышленникам, которым по разным причинам могут пригодиться ваши данные, гораздо сложнее получить доступ одновременно к вашему паролю, а также телефону, электронной почте или другому методу аутентификации. Если использовать только пароль, то аккаунт остается уязвимым. Пароли легко утекают в Сеть, и далеко не всегда по вине пользователя.

Как можно подтвердить свою личность?

Большинство приложений и сервисов предлагают пользователю на выбор такие варианты двойной аутентификации:

• Ввести код, который пользователь получает в SMS или email, после того, как он ввел логин и пароль. Это самый распространенный и простой способ, но у него есть свои недостатки: например, SMS с паролем могут перехватить через уязвимость в протоколе [1], через который они передаются.
• Ввести код, который генерируется в отдельном приложении-аутентификаторе. Специалисты называют этот способ более надежным [2], к тому же он остается доступен пользователю, даже если у него нет мобильной связи. Чтобы им воспользоваться, нужно сначала установить одно из таких приложений (например, Google Authenticator, Twilio Authy, Duo Mobile, «Яндекс.Ключ»), а потом выбрать в меню нужного сервиса вариант двойной аутентификации через приложение. На экране появится QR-код, который нужно будет отсканировать через это приложение — и им сразу можно пользоваться.
• Многие сервисы (например, «ВКонтакте») также генерируют для пользователя некоторое количество резервных кодов, которые он может использовать в случае, если у него не будет мобильной связи или он потеряет телефон. Для этого нужно заранее распечатать или сохранить эти коды в надежном месте.

Кроме того, есть еще несколько видов подтверждения входа, которые используют реже:

• Физический ключ безопасности: это устройство в виде USB-флэшки (для использования со смартфоном ее иногда оборудуют NFC и Bluetooth-интерфейсами) [2]. Такой ключ можно использовать для входа в те же соцсети, но столь серьезный подход, скорее, имеет смысл для хранения очень важных данных.
• Подтверждение личности с помощью биометрии. Этот способ пока не используется в широко распространенных сервисах типа соцсетей.

Гарантирует ли двухфакторная аутентификация абсолютную безопасность?

«В идеале второй фактор для входа должен приходить пользователю на другое устройство, не на то, с которого осуществляется вход в учетную запись, — говорит старший эксперт по кибербезопасности «Лаборатории Касперского» Денис Легезо. — Риск появляется при использовании одного и того же устройства и для входа в учетную запись, и для получения одноразового пароля. Если атакующие смогли заразить это устройство определенными видами троянцев, то считать одноразовый пароль защищенным больше не получится. Но по сравнению со сценарием, когда пользователь вовсе не включает двухфакторную аутентификацию, даже вариант с одним устройством выглядит несравненно лучше».

Что, если второе устройство потеряли?

Обычно сервисы всегда предусматривают некий альтернативный способ аутентификации. Но иногда пользователю в таких случаях приходится обратиться в службу поддержки.

Где стоит включить двухфакторную аутентификацию:

1. «ВКонтакте»
2. Google
3. «Яндекс»
4. Telegram

Как включить двухфакторную аутентификацию во «ВКонтакте»

Зайдите в «Настройки» → Во вкладке «Безопасность» выберите «Подтверждение входа» → «Подключить». Дальше нужно будет ввести свой пароль, ввести последние цифры номера, с которого на ваш телефон поступит звонок, и функция подтверждения входа будет подключена. При желании можно выбрать аутентификацию через приложения для генерации кодов, а также распечатать или записать резервные коды.

Зайдите в «Настройки» (в приложении они находятся в меню в нижней части экрана) → выберите «Управление аккаунтом VK Connect» → «Безопасность и вход» → «Подтверждение входа».

Далее, как и в полной версии, выбираете способ подтверждения входа и восстановления доступа.

Как включить двухфакторную аутентификацию в Google

Настроить подтверждение входа в почте и других сервисах Google можно на странице аккаунта. Процесс настройки здесь чуть сложнее, чем в других сервисах. В первую очередь нужно подтвердить, что это действительно ваш аккаунт, введя свой пароль и подтвердив вход (можно сделать это, просто нажав «да» на выбранном устройстве, либо выбрав другой способ).

Дальше необходимо выбрать способ, которым вы будете получать коды в дальнейшем: SMS, звонок, резервные коды.

Дальше нужно убедиться, что выбранный способ аутентификации работает.

Подтвердите, что вы действительно хотите подключить эту функцию.

Как включить двухфакторную аутентификацию в «Яндексе»

Чтобы подключить двухфакторную аутентификацию в сервисах «Яндекса», обязательно нужно приложение «Яндекс.Ключ». Это же приложение можно использовать для входа в любые другие сервисы, поддерживающие подтверждение входа через приложения-аутентификаторы.

В первую очередь нужно зайти на эту страницу. Подтвердив номер телефона, нужно придумать PIN-код и скачать приложение «Яндекс.Ключ». Через приложение нужно будет сканировать QR-код. После этого в приложении появится первый из автоматически генерируемых кодов. Его нужно будет ввести на сайте, и новый способ аутентификации будет подключен.

Как включить двухфакторную аутентификацию в Telegram

В Telegram двухэтапная аутентификация настраивается нестандартно: при входе с каждого нового устройства пользователю и так нужно вводить код, полученный в SMS. Поэтому второй этап аутентификации, который можно подключить — это как раз обычный пароль.

Нужно выбрать «Настройки» → «Конфиденциальность» → «Безопасность» → «Двухэтапная аутентификация».

Дальше вы придумываете новый пароль, подсказку к нему (при желании) и вводите свой адрес электронной почты, чтобы получить на нее код для подтверждения этой операции.

Другие статьи РБК Трендов про кибербезопасность

• Как защитить телефон и аккаунт от взлома: инструкция
• Что такое сквозное шифрование?
• Как обезопаситься от прослушивания телефона
• Десять самых громких кибератак XXI века
• Что такое cookie и как они влияют на сохранность наших данных

Что такое двухфакторная аутентификация?

Двухфакторная аутентификация (2FA) — это метод аутентификации, требующий от пользователя предоставить ровно два фактора проверки для получения доступа к веб-сайту, приложению или ресурсу. Двухфакторная аутентификация — это подмножество многофакторной аутентификации, которое требует по меньшей мере двух форм аутентификации. Организации используют двухфакторную аутентификацию для добавления дополнительного уровня защиты от распространенных схем атак, таких как фишинг, социальная инженерия и атаки методом подбора пароля.

Зачем нужна двухфакторная аутентификация?

В наши дни утечка данных является более распространенным явлением, и она оказывает тревожное воздействие на бизнес во всем мире, нанося ущерб на сумму более 2 триллионов долл. США в год. В ходе работы организаций над защитой цифровой инфраструктуры и активов становится очевидно, что однофакторной аутентификации (и особенно аутентификации на основе пароля) далеко не достаточно. Пароли легко взломать, особенно из-за плохой гигиены паролей, а также потому, что они редко меняются, используются в разных учетных записях, часто используются совместно и нередко хранятся в незащищенном месте.

Сегодня в работе почти каждого предприятия возникает необходимость добавить второй фактор для аутентификации пользователей.

От каких угроз защищает двухфакторная аутентификация?

Двухфакторная аутентификация обеспечивает дополнительный уровень защиты от многих наиболее распространенных типов киберугроз, в том числе перечисленных ниже.

• Украденные пароли. Как упоминалось выше, плохая гигиена паролей позволяет легко красть пароли. В системе двухфакторной аутентификации одного лишь украденного пароля еще недостаточно для взлома учетной записи.
• Атаки методом подбора (взлом пароля). Вычислительные мощности становятся все более доступными, и хакеры их используют для случайной генерации паролей до тех пор, пока они не взломают код. Однако взлом второго фактора таким же способом невозможен.
• Фишинг. Фишинг остается одним из наиболее распространенных и эффективных способов кражи учетных данных пользователей. Двухфакторная аутентификация защищает от несанкционированного доступа в случае кражи имени пользователя и пароля путем фишинговой атаки.
• Социальная инженерия. Умные хакеры все чаще используют социальные сети для совершения атак, обманом заставляя пользователей добровольно предоставить свои учетные данные. Но без второго фактора хакер не сможет получить доступ к учетной записи.

Как работает двухфакторная аутентификация

Базовый процесс входа с помощью двухфакторной аутентификации уже знаком почти всем. Конкретные шаги отличаются в зависимости от используемых факторов, однако суть процесса заключается в следующем:

1. Приложение или веб-сайт предлагает пользователю войти в систему.
2. Пользователь предъявляет первый фактор. Этот первый фактор почти всегда является тем, что пользователь «знает», например сочетанием его имени и пароля или одноразовым паролем, сгенерированным аппаратным токеном или приложением для смартфона.
3. Сайт или приложение проверяет первый фактор, а затем предлагает пользователю предъявить второй фактор. Этот второй фактор обычно является тем, что пользователь «имеет», например маркером безопасности, идентификационной картой, приложением для смартфона и т. д.
4. После того как сайт или приложение подтвердит второй фактор, пользователю будет предоставлен доступ.

Какие бывают примеры двухфакторной аутентификации?

Аутентификаторы и токены аутентификации делятся на четыре основные категории: то, что у вас есть; то, что вы знаете; то, кем вы являетесь; то, где вы находитесь.

• То, что у вас есть. Карта физического доступа, смартфон или другое устройство, цифровой сертификат.
• То, что вы знаете. PIN-код или пароль.
• То, кем вы являетесь. Биометрические данные, например отпечатки пальцев или снимки сетчатки.

Классическое сочетание имени пользователя и пароля формально является рудиментарной формой двухфакторной аутентификации. Но поскольку имя пользователя и пароль попадают в категорию «то, что вы знаете», это сочетание легче скомпрометировать.

История аутентификаторов и факторов

Аппаратные токены

Аппаратные токены — это небольшие физические устройства, которые пользователи предъявляют для получения доступа к ресурсу. Аппаратные токены могут быть подключенными (например, USB, смарт-карта, брелоки одноразовых паролей) или бесконтактными (например, токены Bluetooth). Эти токены пользователь носит с собой. В самой первой версии современной двухфакторной аутентификации, введенной в 1993 году RSA, использовалось портативное устройство с крошечным экраном, где отображались случайно сгенерированные числа, которые сопоставлялись с алгоритмом для подтверждения личности держателя устройства. Аппаратные токены также могут быть утеряны или украдены.

Токены на основе SMS

С распространением мобильных телефонов широкую популярность быстро получила двухфакторная аутентификация на основе SMS-сообщений. Пользователь вводит имя, а затем получает одноразовый пароль (OTP) в SMS (текстовом сообщении). В похожем варианте для предоставления одноразового пароля используется голосовой вызов на сотовый телефон. В обоих случаях передачу одноразового пароля относительно легко взломать, из-за чего такая форма двухфакторной аутентификации считается не самой надежной.

Токены на основе приложений

С появлением смартфонов и других умных мобильных устройств широкую популярность получила двухфакторная аутентификация на основе приложений. Пользователи устанавливают приложение на свое устройство (также его можно использовать на компьютере). При входе в систему приложение предоставляет «программный токен», например одноразовый пароль, который отображается на устройстве и должен быть введен на экране входа в систему. Поскольку программный токен генерируется приложением на устройстве, это исключает риск перехвата одноразового пароля или программного токена при передаче.

Push-уведомления

В методе двухфакторной аутентификации через push-уведомление — возможно, самом простом и удобном — пользователя не просят ввести программный токен. Вместо этого сайт или приложение напрямую отправляет push-уведомление на мобильное устройство пользователя. Уведомление оповещает пользователя о попытке аутентификации и просит пользователя подтвердить или отклонить доступ одним щелчком мыши или касанием. Этот метод двухфакторной аутентификации очень безопасен и чрезвычайно удобен, но он зависит от подключения к Интернету.

Беспарольные аутентификаторы

Сейчас появились новые типы доступных аутентификаторов, в том числе беспарольных, например с использованием токенов FIDO, биометрических систем и цифровых учетных данных на основе PKI для аутентификации.

2FA в сравнении с MFA: в чем разница?

При двухфакторной аутентификации (2FA) пользователь должен предъявить аутентификаторы двух типов, а при многофакторной аутентификации (MFA) — аутентификаторы не менее чем двух типов. Это означает, что все системы двухфакторной аутентификации являются системами многофакторной аутентификации, но не все системы многофакторной аутентификации являются системами двухфакторной аутентификации. Для многофакторной аутентификации может потребоваться любая комбинация аутентификаторов и токенов аутентификации, чтобы получить доступ к ресурсу, приложению или веб-сайту, тогда как в случае с двухфакторной аутентификацией для доступа к ресурсу требуется только два предопределенных аутентификатора. В зависимости от потребностей организации двухфакторная аутентификация может стать тем решением, которое позволит обеспечить повышенный уровень безопасности и одновременно беспрепятственный доступ для конечных пользователей.

Как выбрать правильные факторы для двухфакторной аутентификации

Различные типы факторов, которые могут использоваться для двухфакторной аутентификации, обсуждаются выше. Но каждый тип аутентификатора включает в себя целый ряд различных вариантов, и при этом постоянно выходят новые технологии. Как выбрать факторы, которые следует использовать для протокола двухфакторной аутентификации? Далее приводится несколько вопросов, которые помогут выбрать правильный вариант.

• Вы хотите, чтобы аутентификация была прозрачной для пользователя?
• Вы хотите, чтобы пользователь носил физическое устройство или проходил аутентификацию онлайн?
• Вы хотите, чтобы веб-сайт также проходил аутентификацию для пользователя?
• Насколько конфиденциальной является информация, которую вы защищаете, и каков связанный с этим риск?
• Является ли физический доступ к офисам, лабораториям или другим помещениям (связь с ними) одним из требований пользователей?

Entrust предоставляет экспертные рекомендации для повышения уровня безопасности с помощью высоконадежной многофакторной аутентификации. Мы поддерживаем самый широкий спектр аутентификаторов безопасности 2FA, давая возможность выбрать оптимальный вариант, соответствующий вашим требованиям и задачам с точки зрения безопасности. Что еще более важно, Entrust может предоставить экспертные консультации, чтобы помочь выбрать правильные варианты и упростить переход на высоконадежную двухфакторную аутентификацию.

Варианты использования двухфакторной аутентификации

Двухфакторная аутентификация является наиболее распространенной формой многофакторной аутентификации, что делает ее идеальным выбором для использования в тех случаях, когда доступ к данным необходим множеству людей. Например, в медицинских приложениях обычно используется двухфакторная аутентификация, поскольку она позволяет врачам и другому лечащему персоналу по требованию получать доступ к конфиденциальным данным пациентов, часто с личных устройств.

Аналогично банковские и финансовые приложения с двухфакторной аутентификацией могут помочь защитить данные счета от фишинговых атак и социальной инженерии, обеспечив потребителям возможность пользоваться услугами мобильного банкинга.

Отрасли, где находит применение двухфакторная аутентификация:

• Здравоохранение
• Банковское дело.
• Решения для розничной торговли.
• Высшее образование.
• Социальные сети.
• Государственные и федеральные учреждения.

Каковы угрозы и риски двухфакторной аутентификации?

Есть несколько способов, которыми хакеры могут попытаться взломать системы много- и двухфакторной аутентификации. Они перечислены ниже.

• Социальная инженерия. Хакеры, занимающиеся социальной инженерией, выдают себя за законное лицо, которое запрашивает информацию, позволяющую установить личность.
• Технические атаки. К числу технических атак относятся вредоносные и троянские программы.
• Физическая кража. Злоумышленник, который физически завладел смартфоном или другим мобильным устройством, может представлять угрозу для двухфакторной аутентификации.
• Взлом через восстановление учетной записи. Поскольку сброс пароля часто происходит в обход двухфакторной аутентификации, хакеры иногда могут взломать такую систему лишь с помощью имени пользователя.

Достаточно ли безопасна двухфакторная аутентификация?

Двухфакторная аутентификация обеспечивает намного более высокий уровень защиты по сравнению с однофакторной аутентификацией, особенно традиционной аутентификацией на основе пароля со всеми ее недостатками, обусловленными человеческим фактором. Она достаточно безопасна, но сегодня именно многофакторная аутентификация (MFA) считается фактическим стандартном аутентификации пользователей. Нормативно-правовые требования, например стандарт безопасности данных индустрии платежных карт (PCI DSS), также заменили двухфакторную аутентификацию на многофакторную, и правительственные органы делают многофакторную аутентификацию обязательной во всех федеральных учреждениях. Многофакторная аутентификация дает возможность добавлять больше форм-факторов (не паролей) для повышения безопасности. Использование биометрических данных для аутентификации пользователя в сочетании с верификацией устройства и добавлением контекстных элементов управления, основанных на рисках, позволяет оценить степень риска пользователя и устройства перед предоставлением доступа. Многофакторная аутентификация с использованием средств беспарольного доступа и адаптивной аутентификации на основе рисков — это верный шаг на пути к повышению безопасности.

Каковы наиболее распространенные аутентификаторы, или токены аутентификации?

• Прозрачный метод аутентификации
• Аутентификация физическим форм-фактором
• Аутентификация нефизическим форм-фактором

Прозрачные аутентификаторы, проверяющие пользователей без их повседневного участия.

• Цифровые сертификаты
• IP-геолокация
• Аутентификация устройств

Материальные устройства, которые пользователи носят с собой и используют при аутентификации.

• Токены с одноразовым паролем (OTP)
• Карта с дисплеем
• Матричная аутентификация
• Список одноразовых секретных кодов
• Биометрические данные

Способы проверки личности пользователя без необходимости носить с собой дополнительное физическое устройство.

• Аутентификация на основе знания
• Аутентификация по внешнему каналу
• Интеллектуальные учетные данные для мобильной аутентификации
• Программные SMS-токены