Что такое фактор аутентификации, зачем нужен второй и сколько их всего

В современных системах взаимодействие людей друг с другом, с компьютерами и внешним миром часто осуществляется через различные сервисы: вызов такси, заказ еды, конференцсвязь с коллегами в будни и далёкими друзьями в свободное время. Люди используют их постоянно, сохраняя адреса, любимые продукты, номера телефонов, а сохранность таких данных может быть нарушена, если злоумышленник получит доступ вместо «правильного» пользователя.

Многофакторная аутентификация (Multi-Factor Authentication, MFA) - совершенно не новое средство защиты от несанкционированного доступа, которое доказывает свою эффективность год за годом. В этой статье мы расскажем про разные варианты второго фактора, третьего и остальных, но для начала разберем задачу доступа к чему-то на составляющие.

Применение такой защиты может быть актуальным для некоторых особых случаев:

· Сервисы могут быть платными (звонки за границу с использованием роуминга, оплата доставки продуктов на дом, дополнительное место в облаке для фотографий с телефона), поэтому доступ к данным может дать злоумышленнику и возможность использовать финансы жертвы в своих целях.

· Данные в сервисе могут быть просто важными для человека (личная переписка в мессенджере, коммерческая тайна внутренней рабочей переписки), поэтому при утрате пароля или смартфона без блокировки есть риски не только финансового характера.

В обоих случаях затронут вопрос пароля в прямом смысле (пароль от личного кабинета в электронном магазине, пароль от аккаунта корпоративной почты) или другие способы защиты (ПИН-код от банковской карты, графический ключ на экране смартфона). Эти способы защиты данных можно объединить общим понятием – фактор аутентификации. Иногда помимо единого фактора самые важные данные защищают вторым, и сравнить это можно с такой ситуацией: запирая двери дома и уходя по делам, самые ценные вещи дома можно:

1. Спрятать;

2. Положить в сейф;

3. Забрать с собой.

В таком случае мы можем усложнить работу гипотетического грабителя и к первому фактору защиты (дверному замку) добавить новые «слои» безопасности. В жизни компаний происходит что-то похожее: самые ценные данные не покидают определенный периметр (дом), шифруются (прячутся) и размещаются в базах данных различных сервисов (помещаются в сейф). Дополнительно к ним могут применяться метки конфиденциальности и специальные средства защиты, которые мы уже разбирали (тут и тут). Для обычных людей и бытовых вещей это чем-то похоже на GPS-трекеры на собаке или яркую одежду ребёнка, чтобы быстро найти его в толпе. На самом деле есть множество различных средств защиты, но сейчас мы вернёмся ко второму фактору аутентификации. Если вспомнить три варианта защиты ценных вещей из примера с жилым домом выше, можно выделить три способа доказательств владения (факторы аутентификации):

1. Свойства владельца, такие как форма лица, цвет глаз, отпечатки пальцев;

2. Знание о пароле, коде от сейфа, секретном слове для банка или чем-то уникальном и недоступном посторонним лицам;

3. Владение, когда информация или ценный предмет физически находятся у вас (файлы на флешке, любимое украшение в сумочке и т.д.).

На этих трех видах доказательств права владения построены дополнительные методы защиты. Помимо первого фактора (пароля от учётной записи, ключа от дома) для самого важного можно применить второй фактор (2FA) или сразу несколько (MFA), комбинируя их и создавая новые препятствия на пути злоумышленника. При этом порядковый номер в нашем списке не связан с порядком применения средств или глубиной защиты. Возьмём, например, пароль. Это самый популярный и распространённый фактор защиты данных. Само по себе наличие пароля только косвенно влияет на сохранность данных, ведь это может быть «12345678», для подбора которого понадобится пара минут. С другой стороны, пароль можно создать и сложный, тогда перебором займётся скорее всего уже не человек, а компьютер, при этом, если злоумышленник поставил цель получения доступа к данным – только вопрос времени, когда он её достигнет.

На основе свойств владельца защищены многие смартфоны и с недавнего времени – компьютеры. Такие дополнительные факторы работают обычно очень быстро, поэтому востребованы там, где низкая скорость обработки может негативно повлиять на процессы. Например, при оплате картой, «привязанной» к смартфону на кассе магазина в вашем доме, когда СМС (далее разберем и такой фактор) может идти дольше, чем гнев очереди. Отпечаток пальцев, используемый при расследовании преступлений, используется и в ИТ как способ подтверждения личности, зачастую в качестве замены первому фактору (вместо пароля) или его дополнения (покупка в Google Play или с NFC-терминала).

Однако иногда свойства можно подделать, например, распознавание лиц азиатов было затруднено особенностями обучения нейросети, поэтому многие из них могли использовать «лицо» для получения данных совершенно другого человека. В общем смысле сравнить этот фактор защиты можно с печатью для входа в ночной клуб или пропуском для прохода в университет: идея быстрая и простая, но при должном усердии и творческих навыках – не идеальна и поддаётся обходу.

Третий способ организации фактора защиты основан на владении каким-то предметом или ИТ-средством. Так, например, при наличии личного устройства в кармане можно открыть умный замок для входа в подъезд, а при получении СМС от банка (на тот же личный телефон) – оплатить онлайн-покупку при помощи карты с 3D-secure. В качестве примера можно привести и пропуск СКУД-системы, открывающий не только турникеты для входа в офис, но и умные ключницы и доступ к принтерам и закрывающий доступ в отдельные помещения.

Такой способ не будет работать эффективно, если пропуск потерян, а мобильный телефон украден злоумышленником. Для окружающего мира человек, владеющий вашим вторым фактором, может подтвердить, что он – это вы.

На основе знаний формируются факторы аутентификации, которые по статистике 2022 года «взломать» может человек без дополнительных и сложных технических средств. В ходе общения злоумышленники могут «вытянуть» из жертв знания, которые используются для, например, онлайн оплаты. Речь идёт не только про CVC-код, который фактически только первый фактор защиты при онлайн платежах, а про кодовое слово, кличку питомца, девичью фамилию матери и другие сведения, которые где-то используются в качестве дополнительного фактора защиты данных.

Сами того не подозревая, мы укрепляем свою безопасность и используем десятки вариантов защитных факторов. И есть несколько привычек, которые точно помогут повысить ваше спокойствие в сети и привычных делах. Невозможно выделить один, самый лучший и эффективный, фактор для защиты данных от несанкционированного доступа, но свобода комбинирования и применения сразу нескольких их них – подстраховывают друг друга, закрывая недостатки.