Двухфакторная аутентификация что это простыми словами
Содержание:
- Введение
- Что такое идентификация?
- Таблица с кодами
- Литература
- How to create a remote access policy
- Что документируется в разделе аутентификации
- Что нужно знать о защите данных в банке с помощью 3D-Secure
- Способы решения подобных проблем
- Ошибки аутентификации: причины и пути решения
- Факторы аутентификации
- Архитектура SafeNet Authentication Service
- Стандарты
- Методы и средства аутентификации
Введение
При современном развитии технологий понятие рабочего места настолько размыто, что под ним может подразумеваться любое мобильное устройство, имеющее доступ к интернету. При такой организации работы необходимо обеспечить гарантированную аутентификацию пользователя, что предполагает использование стойкой парольной защиты.
Пароль, созданный сегодня по всем правилам безопасности и являющийся образцом в стойкости к различного рода взломам, уже завтра может считаться совершенно небезопасным. Информационные технологии ежедневно совершенствуются, а вместе с ними совершенствуются и технологии взлома защиты информации. Для сохранения стойкости пароля его необходимо постоянно усложнять и запоминать длинные буквенно-цифровые комбинации. И все равно эти методы не гарантируют стопроцентную защиту. Массовые утечки учетных данных пользователей подтверждают, что использование одного лишь пароля небезопасно, даже если он и соответствует всем требованиям парольной защиты. Эти выводы подтверждает масштабный опрос интернет‑пользователей, который проводила компания ESET. При проведении опроса 60% пользователей ответили, что они как минимум единожды сталкивались с кражей данных от своих учетных записей, а 25% из них ответили, что становились объектами злоумышленников неоднократно.
Сотрудникам, работающим удаленно, необходимо обеспечить стабильный и безопасный доступ к обрабатываемой информации, а работодателю необходимо точно знать, что именно их сотрудник, а не злоумышленник в настоящий момент получил доступ к информационным ресурсам организации. Информация, циркулирующая внутри организации, как правило, значима для компании, и ее конфиденциальность является одной из составляющей успешного бизнеса.
Все эти угрозы позволяет минимизировать использование многофакторной аутентификации, а как частное решение — двухфакторная аутентификация (Two Factor Authentication — 2FA).
Двухфакторная аутентификация обеспечивает эффективную защиту пользовательских аккаунтов от несанкционированного проникновения в различных сервисах, при помощи запроса двух разных аутентификационных данных. Первый — это стандартное использование связки логин/пароль, а второй — ввод одноразового пароля (OTP). На сегодняшний день процесс двухфакторной аутентификации можно считать надежным барьером, который значительно усложняет злоумышленнику доступ к защищаемой информации.
ESET Secure Authentication (далее сокращенно ESA) позволяет внедрить двухфакторную аутентификацию при осуществлении входа в операционную систему компьютера, при обращении к веб‑приложениям Microsoft, при осуществлении доступа к облачным сервисам, а также при обращении к VPN и VDI-системам компании.
Плюс ко всему перечисленному ESA 2.8 позволяет использовать push‑сообщения для подтверждения аутентификации пользователем и позволяет использовать аутентификаторы, соответствующие стандартам FIDO2, что повышает уровень безопасности и удобство для пользователя. В случае применения push‑сообщения для подтверждения аутентификации, пользователю на установленное мобильное приложение или смарт-часы приходит push‑уведомление, и для успешной аутентификации необходимо лишь одним касанием подтвердить его, или же наоборот отклонить, если по каким-либо причинам необходимость в аутентификации пропала.
Далее в обзоре более подробно расскажем о продукте ESET Secure Authentication и рассмотрим, чем же он выгодно выделяется на фоне остальных подобных решений.
Что такое идентификация?
Предположим, что есть определенная система или база данных, где содержится ряд из параметров (идентификаторов), например:
- ID пользователя;
- ФИО (фамилия, имя и отчество);
- номер телефона;
- IMEI-устройства;
- адрес электронной почты;
- логин (никнейм);
- реквизиты банковской карты;
- номер автомобиля;
- серийный номер (штрих-код);
- трек-номер;
- смарт-карта;
- адрес веб-сайта;
- и т. д.
Каждый раз, когда что-либо покупаете в Интернете, где-либо регистрируетесь, Вы получаете идентификатор — определенный параметр позволяющий взаимодействовать с системой. Как правило, он является уникальным — не пересекается с другими информационными системами, участниками и пользователями. Таким образом, при необходимости получить доступ к системе или узнать какие-либо сведения, потребуется предоставить один или несколько идентификаторов. Исходя из этого, можно сказать, что идентификации — процесс позволяющий однозначно определить (распознать) субъект или объект, по его идентификатору, в той или иной системе.
Для большего понимания давайте рассмотрим на примере простой ситуации. Вы находитесь дома, занимаетесь своими делами: смотрите фильмы для взрослых, делаете физические упражнения или читаете статью про кибербезопасность на моём сайте. В один момент Вы слышите звонок в дверь, прекращаете заниматься своей деятельностью и направляетесь открывать. Подойдя к двери смотрите в глазок, но никого не видите, спрашиваете: «Кто там?» и слышите в ответ: «Это я, ИМЯ человека!». Имя человека по ту стороны двери, в данной ситуации, является идентификатором. Правильный или неправильный ответ на вопрос — процесс идентификации.
Рассмотрим на примере другой ситуации. Вы совершаете звонок в банк с целью получить какую-либо информацию по Вашей банковской карте. Сотрудник, отвечающий на Ваш звонок, прежде чем предоставить информацию, обязан Вас идентифицировать. Помимо номера телефона, он может запросить у Вас другой идентификатор, например, номер банковской карты или ФИО. Ваш ответ, в данном случае — идентификация.
Таблица с кодами
Таблица с кодами – способ дополнительной защиты, когда вам выдается таблица с нумерованными кодами. При авторизации запрашивается какой-либо код из таблицы.
Такую таблицу обязательно надо распечатать, не имеет смысла хранить ее в электронном виде. Ее основная задача – защищать от кражи пароля, например при помощи вредоносного программного обеспечения.
Злоумышленники могут получить доступ к вашему компьютеру и украсть у вас пароль, но он им ничего не даст, так как для авторизации будет необходимо указать код из таблицы, которой нет на вашем компьютере.
К сожалению, пользователи часто не понимают этого, храня таблицу с кодами в электронном виде. Этим они облегчают злоумышленникам задачу, фактически сводя на нет двухфакторную аутентификацию.
Литература
- Ричард Э. Смит. Аутентификация: от паролей до открытых ключей = Authentication: From Passwords to Public Keys First Edition. — М.: Вильямс, 2002. — С. 432. — ISBN 0-201-61599-1.
- под. редакцией А.А. Шелупанова, С.Л. Груздева, Ю.С. Нахаева. Аутентификация. Теория и практика обеспечения доступа к информационным ресурсам. = Authentication. Theory and practice of ensuring access to information resources.. — М.: Горячая линия – Телеком, 2009. — С. 552. — ISBN 978-5-9912-0110-0.
- Шнайер Б. Прикладная криптография. Протоколы, алгоритмы, исходные тексты на языке Си = Applied Cryptography. Protocols, Algorithms and Source Code in C. — М.: Триумф, 2002. — 816 с. — 3000 экз. — ISBN 5-89392-055-4.
- Linn J. Common Authentication Technology Overview,.
- Bellovin S. and M. Merritt. Limitations of the Kerberos Authentication System.
- Kaufman, C. Distributed Authentication Security Service (DASS).
- Anderson, B.,. TACACS User Identification Telnet Option. — December 1984.
- Tardo J. and K. Alagappan. SPX: Global Authentication Using Public Key Certificates. — М.California, 1991. — С. pp.232-244.
- А.А. Гладких, В.Е. Дементьев. Базовые принципы информационной безопасности вычислительных сетей.. — Ульяновск: УлГТУ, 2009. — С. 156.
How to create a remote access policy
-
Click Start, Programs, Administrative Tools, and then Internet Authentication Service.
-
Right-click Remote Access Policies and then click New Remote Access Policy on the shortcut menu.
-
This action starts the New Remote Access Policy Wizard. Click Next on the welcome screen of the wizard.
-
Click the Use the wizard to set up a typical policy for a common scenario option, and enter a name for the new remote access policy in the Policy name box. Click Next.
-
When the Access Method screen appears, choose the Dialup access method. The other access method options include:
-
VPN access
-
Wireless access
-
-
Click Next.
-
Select Group and then choose the group to which you want to grant remote access permission. Click Next.
-
When the Authentication Methods screen appears, choose the one of the following authentication methods for the new remote access policy.
-
Extensible Authentication Protocol (EAP)
-
Microsoft Challenge Handshake Authentication Protocol version 2 (MS-CHAPv2)
-
Microsoft Challenge Handshake Authentication Protocol (MS-CHAP)
-
-
Click Next
-
Specify the encryption level which users should utilize to connct to the IAS server. Click Next.
-
Click Finish.
If you want to set any further remote access conditions, right-click the particular remote access policy, and click Properties from the shortcut menu.
Что документируется в разделе аутентификации
В документации API не нужно подробно объяснять внешним пользователям, как работает аутентификация. Отсутствие объяснений внутренних процессов аутентификации, является лучшей практикой, поскольку хакерам будет сложнее злоупотреблять API.
Тем не менее нужно объяснить необходимую информацию:
- как получить API ключ;
- как пройти аутентификацию запроса;
- сообщения об ошибках, связанных с неверной аутентификацией;
- чувствительность информации аутентификации;
- период действия токена доступа (авторизации).
Если есть открытый и закрытый ключи, нужно объяснить, где следует использовать каждый ключ, и отметить, что закрытые ключи не должны использоваться совместно. Если разные уровни лицензий предоставляют разный доступ к вызовам API, эти уровни лицензирования должны быть явно указаны в разделе авторизации или в другом месте.
Поскольку раздел API ключей важен, и нужен разработчикам до того, как они начнут использовать API, этот раздел должен быть в начале руководства.
Что нужно знать о защите данных в банке с помощью 3D-Secure
Безопасность покупок в сети – одна из самых важных задач для банков и платёжных систем. Рост количества таких покупок привлекает множество злоумышленников, желающих получить доступ к пользовательским данным, а затем и выполнить кражу денег с банковских счетов таких пользователей. Для предотвращения подобных сценариев банки активно задействуют разнообразные технологии, одной из которых является популярная технология «3Д-Secure».
«3D-Secure» — это специальный XML-протокол, поддерживающий безопасность расчётов в сети с применением платёжных карт. Кодификация «3D» означает использование трёх независимых доменов (D):
- банка, обслуживающего конкретный сетевой магазин;
- банка – эмитента платёжной карты;
- домена платёжной системы (Visa, Master Card и других).
Важным этапом платёжной идентификации клиента в 3D-Secure является ввод подтверждающего пароля на защищённой странице в сети. Такой пароль можно получить только по телефону через смс, что существенно уменьшает шансы злоумышленника на перехват и подмену такого пароля. После ввода пароля осуществляется подтверждение платежа и оплата выбранного товара.
Способы решения подобных проблем
В случае появления уведомления «нет данных для вашей аутентификации» нужно подключить 3D-Secure, мобильный банк, проверить срок действия пластика или получать новую карту Сбербанка.
Мнение эксперта
Анастасия Яковлева
Банковский кредитный эксперт
Подать заявку
Прямо сейчас вы можете бесплатно подать заявку на займ, кредит или карту сразу в несколько банков. Предварительно узнать условия и рассчитать переплату на калькуляторе. Хотите попробовать?
Подключение 3D-Secure
Технология защищает от несанкционированного доступа к платежам и работает по схеме:
Система оповестит вас, если постороннее лицо попытается расплатиться картой. Подключить 3D-Secure можно на официальном сайте банковского учреждения. Адрес легко найти в интернете. Если появится уведомление о невозможности активации защиты, значит, карта устарела. Необходимо обратиться в банковский офис с заявлением на перевыпуск.
Активация услуги «Мобильный банк»
Сервис немного напоминает 3D-Secure: при приобретении товаров на интернет-площадках на телефон высылают сообщение с кодом. Его указывают в специальном окошке.
Активирование «Мобильного банка»:
- В банкомат поместить платёжный инструмент.
- Пройти авторизацию.
- Найти в меню пункт «Подключить мобильный банк».
- Выбрать оптимальный тариф из появившегося списка.
- Подтвердить действие.
Опрос: довольны ли Вы качеством услуг предоставляемых Сбербанком в целом?
ДаНет
Проверка срока действия карты
На передней стороне банковского продукта обозначен период его действия. Если он истёк или подходит к концу, посетите ближайшее отделение финансового учреждения, чтобы получить новую карточку.
Другие способы решения проблемы
Если появилось уведомление, что нет данных для вашей аутентификации, сделайте звонок в колл-центр Сбербанка по номеру 900 (это бесплатно). Сообщите оператору о проблеме, и он активирует опцию «мобильный банк» для подключённого к услуге пластика.
Раньше владельцы карт, которые оказались заблокированы, получали через банкомат одноразовые пароли. Их использовали для подтверждения платежей в интернете. Этот способ отменили, так как информация легко попадала в руки мошенников.
Если при попытке оплатить что-либо через интернет вы получили оповещение: «к сожалению, нет ваших данных для аутентификации» и не знаете, что это значит и что делать, не паникуйте. Система может блокировать платёж, так как невозможно подтвердить вашу личность. Пластик не предназначен для подобных расчётов или не действует опция «мобильный банкинг». Позвоните в колл-центр Сбербанка и сообщите оператору о проблеме.
Ошибки аутентификации: причины и пути решения
При подключении к сети Wi-Fi, одного устройства к другому или при входе в любую программу и на сайт могут возникнуть проблемы. Чаще всего они связаны с такими причинами:
Неправильный идентификатор, то есть вы просто забыли или перепутали логин, пароль, ПИН-код, банковскую карту. Тут не возникает особых вопросов, как исправить ошибку
Проверьте данные для входа, возможно, вы не обратили внимание на регистр и написали строчные буквы вместо больших. Также часто при входе на сайт или в программу мы забываем проверить раскладку клавиатуры и пишем не на английском, а на русском языке.
Повреждение физического носителя, например, магнитная лента на банковской карте поцарапалась, карта погнулась, ключ от онлайн-банка или электронная подпись сломались, на глазу появился конъюнктивит, на пальце ранка, что препятствует считыванию биометрических данных, а телефон потерялся или утонул в Волге
Все это приводит к определенным затруднениям, и нужно искать способ убрать ошибку и получить доступ к данным или деньгам в каждом конкретном случае. Можно перевыпустить карту, а тем временем перевести деньги на другой счет и обналичить с него, заказать новую подпись или ключ, обратиться в офис, чтобы подтвердить действие без отпечатка пальцев, а, к примеру, при помощи кодового слова.
Разная система шифрования на телефоне и роутере приводит к их несовместимости. Чтобы подключиться к Wi-Fi в случае такой ошибки, потребуется изменить настройки роутера, применив шифрование, доступное в мобильном устройстве.
Иногда телефон не подключается к сети из-за программного сбоя ОС или ошибки в работе роутера. В таком случае попробуйте обновить программу в мобильном устройстве и перезапустите маршрутизатор.
Разная скорость передачи данных на устройствах, тут придется разбираться и снова лезть в настройки выставлять приемлемый объем данных, передаваемый за определенный промежуток времени.
В настройках роутера или другого прибора могут быть четко прописаны устройства, с которыми он может поддерживать связь. Если нужно добавить новый гаджет, то снова-таки придется поработать с настройками.
Как видим, причины могут быть разными. Чтобы разобраться с ними, нужно иметь запасной план, уметь работать с настройками программ и устройств или знать того, кто умеет это делать.
Факторы аутентификации
Ещё до появления компьютеров использовались различные отличительные черты субъекта, его характеристики. Сейчас использование той или иной характеристики в системе зависит от требуемой надёжности, защищённости и стоимости внедрения. Выделяют 3 фактора аутентификации:
Нечто, что нам известно, например, какая-либо секретная информация. Это тайные сведения, которыми должен обладать только авторизованный субъект. Секретом может быть некая фраза или пароль, например в виде устного сообщения, текстового представления, комбинации для замка или личного идентификационного номера (PIN). Парольный механизм может быть довольно легко воплощён и имеет низкую стоимость. Но имеет существенные недостатки: сохранить пароль в тайне зачастую бывает сложно, злоумышленники постоянно придумывают новые способы кражи, взлома и подбора пароля (см. бандитский криптоанализ, метод грубой силы). Это делает парольный механизм слабозащищённым.
Нечто, чем мы обладаем, например, какой-либо уникальный физический объект
Здесь важно обстоятельство обладания субъектом каким-то неповторимым предметом. Это может быть личная печать, ключ от замка, для компьютера это файл данных, содержащих характеристику
Характеристика часто встраивается в особое устройство аутентификации, например, пластиковая карта, смарт-карта. Для злоумышленника заполучить такое устройство становится более сложно, чем взломать пароль, а субъект может сразу же сообщить в случае кражи устройства. Это делает данный метод более защищённым, чем парольный механизм, однако стоимость такой системы более высокая.
Нечто, что является неотъемлемой частью нас самих — биометрика. Характеристикой является физическая особенность субъекта. Это может быть портрет, отпечаток пальца или ладони, голос или особенность глаза. С точки зрения субъекта, данный способ является наиболее простым: не надо ни запоминать пароль, ни переносить с собой устройство аутентификации. Однако биометрическая система должна обладать высокой чувствительностью, чтобы подтверждать авторизованного пользователя, но отвергать злоумышленника со схожими биометрическими параметрами. Также стоимость такой системы довольно велика. Но, несмотря на свои недостатки, биометрика остается довольно перспективным фактором.
Архитектура SafeNet Authentication Service
SAS поддерживает все типы генераторов одноразовых паролей: с синхронизацией по событию (формируется одноразовый пароль, который может использоваться один раз), по времени (формируется одноразовый пароль, который можно использовать только один раз и только в течение короткого промежутка времени), а также по технологии «запрос — ответ» (сервер формирует последовательность на основании идентификатора, предоставленного пользователю перед аутентификацией; сотрудник вводит эту последовательность («запрос») в генераторе одноразовых паролей, который в свою очередь формирует некий «ответ», который и будет выступать динамическим паролем для аутентификации).
Для интеграции в SAS применяются либо протоколы RADIUS / SAML, либо специализированные агенты — на тот случай, если приложения или устройства не поддерживают протокольный сценарий. В Linux / UNIX-системах интеграция реализована посредством агента, поддерживающего все аутентификаторы, либо через RADIUS-протокол, для чего выполняется установка соответствующего агента в операционной системе и в настройках PAM указывается требование о выполнении процедуры аутентификации через RADIUS-сервер.
Таким образом, SAS можно интегрировать в большинство современных инфраструктур или приложений.
Главными преимуществами архитектуры SAS являются:
- поддержка принципа «Multi-tier multi-tenant», который позволяет создавать независимые серверы аутентификации на одной установке SAS,
- синхронизация с Active Directory / LDAP / СУБД,
- гибкая настройка параметров для каждого типа аутентификатора,
- автоматизация процесса назначения и отзыва токена,
- портал самообслуживания с возможностью индивидуализации.
Рисунок 15. Архитектура SafeNet Authentication Service
Стандарты
Документы, определяющие стандарты аутентификации
ГОСТ Р ИСО/МЭК 9594-8-98 — Основы аутентификации
Настоящий стандарт:
- определяет формат информации аутентификации, хранимой справочником;
- описывает способ получения из справочника информации аутентификации;
- устанавливает предпосылки о способах формирования и размещения в справочнике информации аутентификации;
- определяет три способа, с помощью которых прикладные программы могут использовать такую информацию аутентификации для выполнения аутентификации, и описывает, каким образом с помощью аутентификации могут быть обеспечены другие услуги защиты.
В настоящем стандарте изложены два вида аутентификации: простая, использующая пароль как проверку заявленной идентичности, и строгая, использующая удостоверения личности, созданные с использованием криптографических методов
FIPS 113 — COMPUTER DATA AUTHENTICATION
Настоящий стандарт устанавливает Data Authentication Algorithm(DAA), который может быть использован для обнаружения несанкционированных изменений данных, как преднамеренных, так и случайных, стандарт основан на алгоритме, указанном в Data Encryption Standard(DES) Federal Information Processing Standards Publication(FIPS PUB) 46, и совместим как с Department of the Treasury’s Electronic Funds and Security Transfer Policy and the American National Standards Institute(ANSI) так и с Standard for Financial Institution Message Authentication.
Данный стандарт используется для контроля над целостностью передаваемой информации средствами криптографической аутентификации.
Методы и средства аутентификации
Методы аутентификации делятся на четыре основные группы в зависимости от используемых в процессе проверки подлинности средств. Так, различают методы, основанные на:
- Знаниях, которыми владеет субъект (парольные методы).
- Предметах, которые принадлежат субъекту (комбинированные).
- Свойствах данных субъекта (биометрические).
- Информации, которая имеет непосредственное отношение к субъекту.
Парольные методы
Наиболее распространенные методы аутентификации, основанные на секретных характеристиках субъектов — паролях. В процессе проверки подлинности система сравнивает указный пользователем пароль с эталонным паролем, который хранится в ее БД в зашифрованном виде. Для аутентификации посредством данного метода могут использоваться постоянные (многоразовые, неизменные для каждой сессии) или динамические (одноразовые, постоянно меняющиеся для каждой сессии) пароли.
Комбинированные методы
Сущность данного метода заключается в использовании для подтверждения подлинности субъекта помимо пароля дополнительных предметов (мобильных телефонов, смарт-карт, токенов) или атрибутов (криптографических сертификатов). Авторизация при помощи предметов и атрибутов субъекта происходит только при наличии специального устройства, которое может считывать информацию с перечисленных идентификаторов.
Биометрические методы
Для аутентификации посредством биометрического метода субъекты должны пройти сканирование и анализ одного или нескольких физиологических (отпечатки пальцев, радужная оболочка глаза, сетчатка глаза, кисть руки, черты лица) или поведенческих характеристик (подпись, тембр голоса, клавиатурный почерк). Данный метод, как правило, используется только на особо важных объектах и системах, так как требует наличия специальной дорогостоящей техники и оборудования.
Методы, основанные на информации о субъекте
Данная группа методов относится к новейшим механизмам аутентификации: в основе лежит использование спутниковой системы навигации GPS. Основным идентификатором подлинности субъекта является его местонахождение.