Многофакторная аутентификация

Физические ключи аутентификации

Многофа́кторная аутентифика́ция (МФА, англ. multi-factor authentication, MFA) — расширенная аутентификация, метод контроля доступа к чему-либо (компьютеру, сайту и так далее) в котором пользователю для получения доступа к информации необходимо предъявить более одного «доказательства механизма аутентификации».

К категориям таких доказательств относят:

Знание — информация, которую знает субъект. Например пароль, ПИН-код, код, контрольное слово и так далее.
Владение — вещь, которой обладает субъект. Например электронная или магнитная карта, токен, флеш-память.
Свойство, которым обладает субъект. Например биометрия, природные уникальные отличия: лицо, отпечатки пальцев (папиллярные узоры), радужная оболочка глаз, последовательность ДНК.

Факторы аутентификации

Основная статья: Аутентификация

Ещё до появления компьютеров использовались различные отличительные черты субъекта, его характеристики. Сейчас использование той или иной характеристики в системе зависит от требуемой надёжности, защищённости и стоимости внедрения. Выделяют четыре фактора аутентификации^[1]:

Фактор знания: что-то, что мы знаем — пароль. Это тайные сведения, которыми должен обладать только авторизованный субъект. Паролем может быть речевое слово, текстовое слово, комбинация для замка или личный идентификационный номер (PIN). Парольный механизм может быть довольно легко реализован и имеет низкую стоимость. Однако он имеет существенные недостатки: сохранить пароль в тайне зачастую бывает сложно, злоумышленники постоянно придумывают новые способы кражи, взлома и подбора пароля (см. бандитский криптоанализ, метод грубой силы). Это делает парольный механизм слабозащищённым. Многие секретные вопросы, такие как «Где вы родились?», элементарные примеры фактора знаний, потому что ответы могут быть известны широкой группе людей или легко установлены^[1].
Фактор владения: что-то, что мы имеем — устройство аутентификации. Здесь важно обстоятельство обладания субъектом каким-то уникальным предметом. Это может быть личная печать, ключ от замка, для компьютера это файл данных, содержащих характеристику. Характеристика часто встраивается в особое устройство аутентификации, например пластиковую карту, смарт-карту. Злоумышленнику заполучить такое устройство сложнее, чем подобрать пароль, а субъект может сразу же сообщить о краже устройства. Это делает данный метод более защищённым, чем парольный механизм, однако стоимость такой системы выше^[1].
Фактор свойства: что-то, что является частью нас — биометрия. Характеристикой является физическая особенность субъекта. Это может быть портрет, отпечаток пальца или ладони, голос или особенность глаза. С точки зрения субъекта, данный способ является наиболее простым: не надо ни запоминать пароль, ни переносить с собой устройство аутентификации. Однако биометрическая система должна обладать высокой чувствительностью, чтобы подтверждать авторизованного пользователя, но отвергать злоумышленника со схожими биометрическими параметрами. Стоимость такой системы сравнительно высока^[1].
Фактор местоположения: нахождения пользователя в каком-то определенном месте. Например, если речь идет о корпоративных ресурсах, необходимо нахождение внутри офиса компании^[1].

Безопасность

Согласно мнению экспертов, многофакторная аутентификация резко снижает возможность кражи личных данных онлайн, так как знание пароля жертвы недостаточно для совершения мошенничества. Тем не менее многие многофакторные подходы аутентификации остаются уязвимыми для «фишинга» и атак вида «человек-в-браузере» и «атака посредника».

Основная статья: Аутентификация

Выбирая для системы тот или иной фактор или способ аутентификации, необходимо, прежде всего, отталкиваться от требуемой степени защищённости, стоимости построения системы, обеспечения мобильности субъекта.

Можно привести сравнительную таблицу:

Уровень риска	Требования к системе	Технология аутентификации	Примеры применения
Низкий	Требуется выполнить аутентификацию для доступа к системе, причём кража, взлом, разглашение конфиденциальных сведений не будут иметь значительных последствий	Рекомендуется минимальное требование — использование многоразовых паролей	Регистрация на портале в Интернете
Средний	Требуется выполнить аутентификацию для доступа к системе, причём кража, взлом, разглашение конфиденциальных сведений причинят небольшой ущерб	Рекомендуется минимальное требование — использование одноразовых паролей	Проведение субъектом банковских операций
Высокий	Требуется выполнить аутентификацию для доступа к системе, причём кража, взлом, разглашение конфиденциальных сведений причинят значительный ущерб	Рекомендуется минимальное требование — использование многофакторной аутентификации	Проведение крупных межбанковских операций руководящим аппаратом

Чтобы обезопасить аккаунты, необходимо:

настроить двухфакторную аутентификацию во всех сервисах и приложениях, где есть такая возможность;
никому не сообщать одноразовые коды из СМС и другую информацию, которая требуется для входа в аккаунт;
установить комплексное решение для защиты цифровой жизни^[2].

Законодательство и регулирование

Стандарт безопасности данных индустрии платежных карт (PCI), требование 8.3, требует использования MFA для всего удалённого сетевого доступа, исходящего из-за пределов сети, в среду данных карт (CDE)^[3]. Начиная с PCI-DSS версии 3.2, использование MFA требуется для любого административного доступа к CDE, даже если пользователь находится в доверенной сети.

Двухфакторная аутентификация

Пример аутентификации через мобильный телефон с использованием одноразовых паролей

Двухфакторная аутентификация (ДФА, англ. two-factor authentication, также известна как двухэтапная верификация) является типом многофакторной аутентификации. ДФА представляет собой технологию, обеспечивающую идентификацию пользователей с помощью комбинации двух различных компонентов.

Примеры двухфакторной аутентификации — авторизация Google и Microsoft. Когда пользователь заходит с нового устройства, помимо аутентификации по имени-паролю его просят ввести шестизначный (Google) или восьмизначный (Microsoft) код подтверждения. Абонент может получить его по SMS, с помощью голосового звонка на его телефон, код подтверждения может быть взят из заранее составленного реестра разовых кодов или новый одноразовый пароль может быть сгенерирован приложением-аутентификатором за короткие промежутки времени. Метод выбирается в настройках аккаунта Google или Microsoft соответственно.

Преимущество двухфакторной аутентификации через мобильное устройство:

Не нужны дополнительные токены, потому что мобильное устройство всегда под рукой.
Код подтверждения постоянно меняется, а это безопаснее, чем однофакторный логин-пароль^[4].

Недостатки двухфакторной аутентификации через мобильное устройство:

Мобильный телефон должен ловить сеть, когда происходит аутентификация, иначе сообщение с паролем просто не дойдёт.
Необходимо сообщить номер мобильного телефона, из-за чего, например, в будущем может приходить спам.
Текстовые сообщения (SMS), которые, поступая на мобильный телефон, могут быть перехвачены.
Текстовые сообщения приходят с некоторой задержкой, так как некоторое время уходит на проверку подлинности.
Современные смартфоны используются для получения как почты, так и SMS. Как правило, электронная почта на мобильном телефоне всегда включена. Таким образом, все аккаунты, для которых почта является ключом, могут быть взломаны (первый фактор). Как и само мобильное устройство (второй фактор). Вывод: смартфон смешивает два фактора в один^[4].

Многие крупные современные сервисы предоставляют возможность использовать двухфакторную аутентификацию. Причём для них всех можно использовать единое приложение — аутентификатор, соответствующее определённым стандартам, например Google Authenticator, Microsoft Authentificator, Authy или FreeOTP.

При взломе аккаунта наличие активной двухфакторной аутентификации позволяет быстро восстановить доступ: завершить все сессии на других устройствах, сбросить пароль и предотвратить дальнейшее вмешательство злоумышленника. Особенно это важно в мессенджерах и почтовых сервисах, где попытки захвата учётной записи происходят с использованием фишинга и социальной инженерии^[5].

Методы обхода двухфакторной аутентификации

Даже при наличии второго фактора аутентификации личные аккаунты остаются потенциально уязвимыми для OTP-ботов — автоматизированного программного обеспечения, способного выманивать у пользователей одноразовые пароли методом социальной инженерии.

Как правило, выманивание одноразового пароля происходит во время звонка жертве. OTP-боты имеют множество функций, позволяющих тонко настраивать параметры звонка. В бота вводится имя жертвы, её номер, банковские данные, название организации, от лица которой якобы поступит звонок. Во время атаки возможно задействовать функцию спуфинга (подделки номера входящего звонка), а также смоделировать речь бота на любом языке, с любым тембром голоса или акцентом. Некоторые OTP-боты позволяют для усыпления бдительности жертвы перед набором номера отправлять SMS-сообщения с предупреждением о предстоящем звонке^[6].

Однако возможный обход двухфакторной аутентификации не является главной угрозой безопасности пользователей. Основная проблема кроется в пренебрежении двухфакторной аутентификацией как таковой. Исследования показывают, что только 18 % опрошенных россиян используют двухфакторную аутентификацию для всех аккаунтов, где это возможно, а 28 % ограничиваются дополнительными мерами защиты только в тех сервисах, которые этого требуют^[7].

Отказ от традиционных методов аутентификации в пользу альтернативных отчасти может помочь людям минимизировать риски с точки зрения кибербезопасности, которые возникают при использовании ненадёжных паролей или их утечек. При этом нельзя сказать, что классические пароли неэффективны. Важно только использовать разные и сложные комбинации, регулярно их менять и безопасно хранить. Однако самым оптимальным способом защиты аккаунтов остаётся многофакторная аутентификация, даже если одним её элементов является пароль^[8].

— Дмитрий Галов, руководитель Kaspersky GReAT в России

См. также

Примечания

↑ ¹ ² ³ ⁴ ⁵ Alanna Titterington. Что такое двухфакторная аутентификация (неопр.). Лаборатория Касперского (29 мая 2023). Дата обращения: 27 мая 2025.
↑ Приложить лапку питомца или улыбнуться: россияне назвали перспективные методы входа в аккаунты, Лаборатория Касперского (26 марта 2025). Дата обращения: 10 июня 2025.
↑ Official PCI Security Standards Council Site – Verify PCI Compliance, Download Data Security and Credit Card Security Standards (неопр.). www.pcisecuritystandards.org. Дата обращения: 25 июля 2016. Архивировано 27 декабря 2021 года.
↑ ¹ ² Alanna Titterington. Какой бывает двухфакторная аутентификация (неопр.). Лаборатория Касперского (16 июня 2023). Дата обращения: 27 мая 2025.
↑ Взломали аккаунт Telegram, WhatsApp, ВК, Instagram, почты, смартфона (неопр.). Дата обращения: 21 мая 2025.
↑ Olga Svistunova. Как мошенники обходят двухфакторную аутентификацию с помощью фишинга и OTP-ботов (неопр.). Лаборатория Касперского (10 июня 2024). Дата обращения: 27 мая 2025.
↑ Четверть россиян не уверены в безопасности созданных ими паролей (неопр.). Лаборатория Касперского (18 октября 2024). Дата обращения: 27 мая 2025.
↑ Более трети опрошенных россиян готовы отказаться от традиционных паролей (неопр.). Лаборатория Касперского (14 марта 2025). Дата обращения: 10 июня 2025.

Ссылки

Eric Grosse, Mayank Upadhyay, Authentication at Scale. IEEE Security and Privacy, January/February 2013, IEEE Computer and Reliability Societies. (англ.)
DRAFT NIST Special Publication 800-63B. Digital Authentication Guideline. Authentication and Lifecycle Management // NIST, 2016 (англ.)
Многофакторная аутентификация простыми словами

[Titterington2-1] ¹ ² ³ ⁴ ⁵ Alanna Titterington. Что такое двухфакторная аутентификация (неопр.). Лаборатория Касперского (29 мая 2023). Дата обращения: 27 мая 2025.

[2] Приложить лапку питомца или улыбнуться: россияне назвали перспективные методы входа в аккаунты, Лаборатория Касперского (26 марта 2025). Дата обращения: 10 июня 2025.

[3] Official PCI Security Standards Council Site – Verify PCI Compliance, Download Data Security and Credit Card Security Standards (неопр.). www.pcisecuritystandards.org. Дата обращения: 25 июля 2016. Архивировано 27 декабря 2021 года.

[Titterington-4] ¹ ² Alanna Titterington. Какой бывает двухфакторная аутентификация (неопр.). Лаборатория Касперского (16 июня 2023). Дата обращения: 27 мая 2025.

[5] Взломали аккаунт Telegram, WhatsApp, ВК, Instagram, почты, смартфона (неопр.). Дата обращения: 21 мая 2025.

[6] Olga Svistunova. Как мошенники обходят двухфакторную аутентификацию с помощью фишинга и OTP-ботов (неопр.). Лаборатория Касперского (10 июня 2024). Дата обращения: 27 мая 2025.

[7] Четверть россиян не уверены в безопасности созданных ими паролей (неопр.). Лаборатория Касперского (18 октября 2024). Дата обращения: 27 мая 2025.

[8] Более трети опрошенных россиян готовы отказаться от традиционных паролей (неопр.). Лаборатория Касперского (14 марта 2025). Дата обращения: 10 июня 2025.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]