Ежедневно мы получаем доступ к различным системам и проходим аутентификацию, зачастую даже не задумываясь об этом. Тем не менее, в целях вашей личной информационной безопасности и сохранности персональных данных стоит уделить этому процессу особое внимание. Расскажем о том, почему это важно, и что такое двухфакторная аутентификация.
Что такое аутентификация
Аутентификация - это часть трехступенчатого процесса получения доступа к каким-либо данным в информационной системе. В ее процессе сначала происходит идентификация, в результате которой субъект, желающий получить доступ, распознается по личному идентификатору. На этом этапе вводится, например, логин, фамилия, имя, номер телефона, т.е. некие идентификаторы, позволяющие системе находить вас в базе данных.
Аутентификация и ее факторы
Далее информационная система, к которой пользователь хочет получить доступ, уточняет: может ли пользователь доказать, что действительно он? Это и есть аутентификация. Эта часть процедуры выполняется с помощью сравнения данных, которые вы предоставляете, с теми, которые сохранены в базе данных соответственно идентификатору (например, пароль).
Это могут быть разные сведения – факторы аутентификации. Выделяют 3 фактора:
- нечто, известное лишь вам (знание);
- нечто, чем обладаете только вы (носитель информации: физический объект, карта, личная печать, ключ и др.);
- нечто, что является вашей физической особенностью (биометрические данные).
Итак, в зависимости от условий системы, это могут быть разные факторы: биометрические данные, ПИН-коды, и обычные пароли, а также устройства, имеющиеся у пользователя. Далее, если идентификация и аутентификация прошли успешно, процесс получения доступа к системе завершается авторизацией. Пользователь авторизован, он получил доступ.
Каковы риски при однофакторной аутентификации?
Вернемся на этап, когда система запрашивает доказательства, что вы – это вы. Если ей нужен только один способ подтверждения (фактор), то это – однофакторная аутентификация.
Например, самым привычным форматом в части аутентификации для нас, пожалуй, является пароль. Вы вводите пароль – и система вас авторизует.
Однако, с точки зрения информационной безопасности, такой способ содержит риски:
- если мы формируем простой пароль, недоброжелателю проще его подобрать и пройти аутентификацию за вас.
- если мы формируем сложный пароль, риск аутентификации недоброжелателем снижается. Но, поскольку такое сочетание символов сложнее запомнить, мы можем его куда-либо записать, а далее, по беспечности, также оказаться в ситуации, когда доступ к паролю может получить злоумышленник.
В целом, в процессе аутентификации не рекомендуется ограничиваться паролем: кроме того, что при написании его может кто-то подсмотреть, он может быть перехвачен программами в момент ввода.
Мы, как пользователи, часто получаем доступ к разным базам данных и системам. Возможно, защитить доступ к каким-то из них не так уж и важно. Скажем, какой-то развлекательный портал не содержит стратегически важной информации. А есть такие данные, защита которых имеет весомое значение. Например, данные, обеспечивающие бизнес-процессы системы: ИТ-инфраструктура компании, учетные записи сотрудников. Здесь защита должна быть комплексной. В таком случае можно применить двухфакторную аутентификацию (2ФА): это способ, при котором вы подтверждаете свою личность с помощью сочетания двух факторов.
Ситуации могут быть разные. Допустим, злоумышленник украл корпоративный ноутбук, или сотрудник работает удаленно, при этом защищая свой компьютер самостоятельно, что упрощает процедуру взлома. Чтобы снизить риск нежелательного доступа и обезопасить себя или бизнес, нужно добавить дополнительный фактор аутентификации.
Двухфакторная аутентификация с использованием электронной подписи
Биометрические факторы, конечно, интересны для рассмотрения, но это отдельная тема, поэтому остановимся на двухфакторной аутентификации с помощью фактора обладания неким физическим объектом в сочетании с фактором знания. Физическим объектом может быть токен или смарт-карта – такие продукты защищены от несанкционированного доступа и копирования. Устройство нужно подключить к системе и ввести PIN-код. Тогда у пользователя будет два фактора аутентификации: первый – обладание конкретным объектом, и второй – знание кода доступа.
Если допустить пропажу устройства при таких условиях, то недоброжелатель, даже завладев им, не сможет получить доступ к сети, ведь он не знает PIN-код. Например, Рутокен обладает ограниченным количеством ввода неправильного PIN-кода, после десяти попыток токен блокируется автоматически. Если Рутокен будет украден или утерян, то владелец своевременно заметит это, уведомит администратора, и использование устройства будет заблокировано. Подробнее о действиях при компрометации ключевых носителей мы рассказывали в статье Что такое компрометация ключа ЭП и почему она происходит.
Строгая двухфакторная аутентификация с использованием электронной подписи
Для осуществления строгой двухфакторной аутентификации с использованием электронной подписи в организации должны присутствовать доменная инфраструктура и инфраструктура открытых ключей (PKI).
В таком случае, каждому сотруднику компании выдается индивидуальное устройство (токен или смарт-карта), на которых должны быть созданы ключи электронной подписи и сертификат формата Х509. Закрытый ключ создается непосредственно в защищенной памяти устройства и не может быть извлечен и скопирован на другое. Рутокен заменяет ввод логина-пароля на предъявление электронной подписи.
Так, сочетание двух факторов аутентификации защитит учетные записи надежнее, чем один. Используя специальные устройства, вы повышаете безопасность своих учетных записей.