С 2FA сталкивался любой более-менее опытный пользователь интернета. Но в том, по какому принципу работает двухфакторная аутентификация, разбираются немногие. Для того, чтобы наиболее эффективно использовать этот мощный инструмент защиты данных, стоит узнать о нем побольше.
Первый фактор — постоянный пароль
Двухфакторная аутентификация начинается с обычного, знакомого по регистрации на любом сайте пароля. Он, как правило, выбирается самим пользователем при создании своей учетной записи. Сам по себе многоразовый пароль обладает не очень большой надежностью и может обеспечить только элементарный базовый уровень защиты аккаунта. В двухфакторной аутентификации он служит первым фактором, первым “ключом”, отпирающим аккаунт.
Тем не менее многоразовый пароль, особенно если выбран с умом, является важной составляющей процесса двухфакторной аутентификации, ведь является фактором знания. К категории факторов знания можно отнести также PIN-коды.
Что же следует за введением пароля? Тут могут быть разные варианты.
Фактор номер два — возможные разновидности
В качестве второго фактора двухфакторной аутентификации могут использоваться способы аутентификации двух типов:
- То, что мы имеем.
Аппаратные идентификаторы в виде смарт-карт, сертификаты с цифровой подписью, токены, генерирующие одноразовые пароли. Эти средства аутентификации пользователей требуют физического подключения и, обычно, знания PIN-кода. А на компьютер, с которого осуществляется вход в систему, нужно установить специальное ПО для взаимодействия с таким идентификатором. Подобный способ кажется некоторым пользователям не совсем удобным, ведь аутентификаторы такого типа нужно постоянно носить с собой и следить за их сохранностью. Если смарт-карта или OTP токен будут украдены или потеряны, то аутентификация клиента станет невозможной.
- То, что нам присуще.
В эту группу входят неотъемлемые биометрические характеристики человека. Это могут быть отпечатки пальцев, рисунок сетчатки глаза, очертания лица, звучание голоса. Идентификаторы этого типа не используют криптографических методов и средств. Чаще всего аутентификация на основе биометрии применяется для контроля доступа в помещения или к оборудованию — например, на проходных предприятий и организаций.
Для использования в условиях отдаленности проверяемого и проверяющего (как это и происходит в интернете) наиболее удобны и надежны одноразовые пароли дополнительно защищенные PIN-кодом. Временный пароль хорош именно тем, что он актуален только на один сеанс. Даже в случае перехвата злоумышленниками OTP пароля, он будет бесполезен при попытке повторного использования.
Способы генерации одноразовых паролей
Для того, чтобы понять, по какому принципу работает двухфакторная аутентификация, важно представлять, откуда “берутся” временные пароли и как они становятся известны легитимному пользователю, входящему в систему.
Есть несколько способов доставить пароль адресату:
- послать по электронной почте;
- отправить SMS на телефон;
- заранее выдать список паролей для однократного использования каждого из них;
- сгенерировать “на месте”, применив программные или аппаратные токены.
Устойчивость одноразового пароля прежде всего достигается использованием сложных алгоритмов его генерации, которые постоянно совершенствуются. В решениях, предлагаемых компанией Протектимус основными являются три из них.
- HOTP — по событию. За основу для создания ОТР берется количество процедур аутентификации, пройденных конкретным пользователем, и заранее известный обеим сторонам секретный ключ. Эти же значения учитываются при проверке подлинности на сервере.
- TOTP — по времени. Этот алгоритм аутентификации генерирует пароль, учитывая параметр времени. Обычно используется не конкретное число, а текущий интервал с заранее определенными границами.
- OCRA — система “запрос-ответ”. Данный алгоритм формирует одноразовые пароли, используя в качестве входных данных случайное значение, пришедшее от сервера. Также он может дополняться функцией подписи данных, которая помогает усилить защищенность процедуры аутентификации. Эта функция позволяет при создании и проверке пароля включать в вычисления конкретные параметры текущей транзакции, среди которых не только время, но и адресат, валюта, сумма перевода. Ввиду своей высокой надежности алгоритм OCRA лучше всего подходит для использования на наиболее важных участках системы передачи и хранения данных.
Алгоритмы HOTP и TOTP служат для односторонней аутентификации — то есть, сервер проверяет подлинность клиента. При использовании OCRA может осуществляться взаимная двухсторонняя аутентификация пользователя и сайта, к которому он обращается. Этот момент очень важен для устранения угрозы подмены данных и автозалива, которые особенно опасны при банковских операциях.
Преимущества двухфакторной аутентификации
Главное достоинство двухфакторной аутентификации состоит во взаимной поддержке одного ее фактора другим. В случае, если злоумышленникам удается завладеть логином и постоянным паролем, невозможность ввести временный пароль сможет предотвратить несанкционированный доступ к аккаунту. Если же ОТР токен окажется в руках мошенников, то аутентификация не произойдет без знания основного пароля. Подобный тип аутентификации силен именно тем, что недостатки одного фактора могут перекрываться преимуществами другого. И именно это делает двухфакторную аутентификацию такой работоспособной и надежной.
Subscribe To Our Newsletter
Join our mailing list to receive the latest news and updates from our team.
Подпишитесь на нашу рассылку!
Подпишитесь на нашу рассылку и получайте последние новости из мира информационной безопасности от блога Protectimus.
Спасибо за подписку на нашу рассылку!