Трохи про 2FA: Двофакторна аутентифікація



Сьогодні ми вирішили звернути увагу на тему двофакторної аутентифікації і розповісти про те, як вона працює.

Двофакторна аутентифікація або 2FA – це метод ідентифікації користувача в якомусь сервісі, де використовуються два різних типи аутентифікаційних даних. Введення додаткового рівня безпеки забезпечує більш ефективний захист аккаунта від несанкціонованого доступу.

Двофакторна аутентифікація вимагає, щоб користувач мав два з трьох типів ідентифікаційних даних.

Ось ці типи:

  • Щось, що йому відоме;
  • Щось, що у нього наявне;
  • Щось, йому властиве (біометрика).
Очевидно, що до першого пункту відносяться різні паролі, pin-коди, секретні фрази і так далі, то є щось, що користувач запам'ятовує і вводить в систему при запиті.

Другий пункт – це токен, тобто компактний пристрій, що перебуває у власності користувача. Найпростіші токени не потребують фізичного підключення до комп'ютера – у них є дисплей, де відображається число, яке користувач вводить в систему для здійснення входу – більш складні підключаються до пк за допомогою USB і Bluetooth-інтерфейсів.

Сьогодні в якості токенів можуть виступати смартфони, тому що вони стали невід'ємною частиною нашого життя. У цьому випадку так званий одноразовий пароль генерується або за допомогою спеціального додатка (наприклад Google Authenticator), або приходить SMS – це менш надійний спосіб роботи, але при цьому він є максимально простим і дружнім до користувача.



В ході проведеного дослідження, в якому взяли участь 219 осіб різних статей, віку і професій, стало відомо, що більше половини опитаних використовують двофакторну SMS-аутентифікацію в соціальних мережах (54,48%) і при роботі з фінансами (69,42%).

Однак, коли справа стосується робочих питань, то тут перевага віддається токенам (45,36%). Але ось що цікаво, кількість респондентів, які користуються цими технологіями як добровільно, так і за наказом начальства (або внаслідок інших змушують обставин), приблизно однаково.



Графік популярності різних технологій за сферами діяльності



Графік зацікавленості респондентів 2FA

Серед токенів можна выделить одноразові паролі, синхронізовані за часом, і одноразові паролі на основі математичного алгоритму. Синхронізовані за часом одноразові паролі постійно і періодично змінюються. Такі токени зберігають у пам'яті кількість секунд, що пройшли з 1 січня 1970 року, і відображають частину цього числа на дисплеї.

Щоб користувач міг здійснити вхід, між токеном клієнта і сервером аутентифікації повинна існувати синхронізація. Головна проблема полягає в тому, що з часом вони здатні рассінхронізіроваться, однак деякі системи, такі як RSA SecurID, дають можливість повторно синхронізувати токен з сервером шляхом введення декількох кодів доступу. Більш того, багато з цих пристроїв не мають змінних батарей, тому володіють обмеженим терміном служби.

Як випливає з назви, паролі на основі математичного алгоритму використовують алгоритми (наприклад ланцюжка хешей) для генерації серії одноразових паролів по секретному ключу. У цьому випадку неможливо передбачити, яким буде наступний пароль, навіть знаючи всі попередні.

Іноді 2FA реалізується із застосуванням біометричних пристроїв і методів аутентифікації (третій пункт). Це можуть бути, наприклад, сканери обличчя, відбитків пальців або сітківки ока.

Проблема тут полягає в тому, що подібні технології дуже дорогі, хоча й точні. Іншою проблемою використання біометричних сканерів є неочевидність визначення необхідного ступеня точності.

Якщо встановити дозвіл сканера відбитка пальця на максимум, то ви ризикуєте не отримати доступ до сервісу або пристрою в тому випадку, якщо ви отримали опік або ваші руки просто замерзли. Тому для успішного підтвердження цього аутентификатора досить неповного відповідності відбитку еталону. Також варто відзначити, що змінити такий «биопароль» фізично неможливо.

Наскільки надійна двофакторна аутентифікація

Це хороше питання. 2FA не є непроникною для зловмисників, проте вона серйозно ускладнює їм життя. «Використовуючи 2FA ви виключаєте досить велику категорію атак», – говорить Джим Фентон (Jim Fenton), директор з безпеки OneID. Щоб зламати двофакторну аутентифікацію «поганим хлопцям» доведеться вкрасти ваші відбитки або отримати доступ до cookie-файлів або кодами, згенерованим токенами.

Останнього можна досягти, наприклад, за допомогою фішингових атак або шкідливого програмного забезпечення. Є ще один незвичайний спосіб: доступ до аккаунту журналіста Wired Метта Хоннана (Matt Honnan) зловмисники отримали з допомогою функції відновлення облікового запису.

Відновлення облікового запису виступає в якості інструменту для обходу двофакторної аутентифікації. Фентон, після історії з Меттом, особисто створив аккаунт в Google, активував 2FA і прикинувся, що «втратив» дані для входу. «Відновлення облікового запису зайняло якийсь час, але через три дні я отримав лист, що 2FA була відключена», – зазначає Фентон. Однак і у цієї проблеми є рішення. Принаймні, над ними працюють.

«Я вважаю, що біометрія – це один з таких способів, – говорить технічний директор Duo Security Джон Оберхайд (Jon Oberheide). – Якщо я втрачу свій телефон, щоб відновити всі акаунти мені не вистачить вічності. Якщо б існував хороший биотметрический метод, то він би став надійним і корисним механізмом відновлення». По суті, Джон пропонує використовувати одну форму 2FA для аутентифікації, а іншу – для відновлення.

Де застосовується 2FA

Ось кілька основних сервісів та соціальних мереж, які пропонують цю функцію – це Facebook, Gmail, Twitter, LinkedIn, Steam. Їх розробники пропонують на вибір: SMS-аутентифікацію, список одноразових паролів, Google Authenticator та ін. Нещодавно 2FA ввів Instagram, щоб захистити всі ваші фотографії.

Однак тут є цікавий момент. Варто враховувати, що двофакторна аутентифікація додає до процесу аутентифікації ще один додатковий крок, і, в залежності від реалізації, це може викликати як невеликі складнощі зі входом (або не викликати їх зовсім), так і серйозні проблеми.

Здебільшого ставлення до цього залежить від терплячості користувача і бажання підвищити безпеку облікового запису. Фентон висловив наступну думку: «2FA – це хороша штука, але вона здатна ускладнити життя користувачам. Тому має сенс вводити її тільки для тих випадків, коли вхід здійснюється з невідомого пристрою».

Двофакторна аутентифікація не панацея, але вона допомагає значно підвищити захищеність аккаунта, витративши мінімум зусиль. Ускладнення життя зломщиків – це завжди добре, тому користуватися 2FA можна і потрібно.

Що чекає 2FA

Методів захисту, заснованим на методиках багатофакторної аутентифікації, сьогодні довіряє велике число компаній, серед яких організації зі сфери високих технологій, фінансового і страхового секторів ринку, великі банківські установи та підприємства держсектора, незалежні експертні організації, а також дослідницькі фірми.



Оберхайд відзначає, що багато людей, які скептично ставилися до двофакторної аутентифікації, дуже скоро виявляли, що тут все не так складно. Сьогодні 2FA переживає справжній бум, а будь-яку популярну технологію набагато простіше вдосконалювати. Незважаючи на наявність складностей, що її чекає світле майбутнє.

P. S. до Речі, зовсім нещодавно ми запровадили двофакторну аутентифікацію, щоб підвищити безпеку особистого кабінету 1cloud. Після активації даного методу для входу в панель управління користувачеві потрібно не тільки ввести адресу електронної пошти та пароль, але і унікальний код, отриманий SMS.

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.