Написать пост

Один раз недостаточно: двухфакторная аутентификация как норма безопасности

Поговорим о том, как применение двухфакторной аутентификации (2FA) помогает в борьбе с киберпреступниками и как ее могут применять различные организации.

Обложка поста Один раз недостаточно:
двухфакторная аутентификация как норма безопасности

Кража данных компании в сети – один из распространенных видов мошенничества. Урон от подобных происшествий может измеряться не только в миллиардах рублей. Речь идет о репутации, честном имени фирмы и ее ответственности перед своими клиентами и партнерами.

Вариантов взлома и проникновения к сведениям, хранящимся в электронным виде – масса. Один из распространенных способов мошенничества – вход в систему через определенное физическое лицо – проще говоря, через человека, имеющего доступ к той или иной корпоративной информации. Речь идет об удаленном доступе. С одной стороны это могут быть клиенты. С другой – сами сотрудники, имеющие допуск к определенным данным.

Традиционно пользователь должен войти в систему под своим логином, введя личный пароль. Но, как мы знаем, все это взламывается и подбирается. 80% инцидентов в сфере кибер-преступлений случаются из-за использования слабых паролей.

Двухфакторная аутентификация

Сегодня однофакторной или парольной аутентификации для безопасной работы с информационными системами в современном мире уже недостаточно. Выход – 2FA – технология контроля доступа в два этапа: когда помимо ввода логина и пароля к аккаунту, пользователя просят подтвердить свою личность дополнительным способом. Утрируя, можно сказать, что вход на территорию предприятия при предъявлении охраннику пропуска – это шаг один. Открыть дверь своего кабинета личным ключом – шаг второй. Все то же самое применяется и в отношении электронных данных.

Именно двухфакторная аутентификации позволяет компании защитить информацию как от внутренних угроз, так и от внешних вторжений. Онлайн-банкинг, платформы электронной коммерции, различные системы бронирования все чаще используют ее для обеспечения безопасности своих клиентов. Например, вы не можете попасть в личный кабинет госорганизации, не подтвердив, что вы – это вы. Как правило, это происходит с помощью СМС или мобильного приложения. Но есть и другой момент – когда 2FA используется не пользователями, а самими представителями компании или госоргана.

Доступ к данным в любом случае происходит через физическое лицо, а значит даже в случае противоправных действий можно обнаружить пользователя, с чьей стороны они были совершены. Это само по себе уже является средством обеспечения безопасности: сотрудник не пойдет на преступление, заведомо зная, что его обнаружат. Однако не будем брать во внимание подобные обстоятельства. Сейчас мы говорим о добросовестных работниках, предполагая, что основная угроза взлома может исходить от третьих лиц. Именно чтобы они не могли получить доступ к информации, вход в систему персонализирован. В таком случае человек отвечающий за погрузку вагонов и их отправку и находящийся, к примеру, не в офисе, а непосредственно на станции и ведя учет с помощью планшета, для подтверждения определенных действий вводит не только общий ключ доступа, но и вторым шагом идентифицирует лично себя. Так компания может быть уверена, что даже если рабочий планшет попадет в руки преступника, тот не сможет отправить вагоны с металлом в Воркуту вместо Воронежа.

Внедрение 2FA

Какие способы есть у компаний, чтобы внедрить на своих ресурсах двухфакторную аутентификацию. По сути не важно, делается это для доступа клиентов или для своих же сотрудников. Существуют разные варианты, и каждая организация сама рассматривает, насколько удобнее и надежнее пользоваться тем или иным из них.

Внедрение 2FA начинается с определения требований к системе безопасности. Затем выбирается подходящий метод. После этого производится настройка системы, включая регистрацию пользователей и обучение их использованию нового метода. Заключительный шаг – тестирование системы на наличие уязвимостей.

Аутентификация через социальные сети

Один из распространенных вариантов – аутентификация через социальные сети, ведь почти у каждого из нас есть аккаунт хотя бы в одной из них. Например, вы заходите в почту, а вас просят подтвердить свою личность через VK или Яндекс. Авторизация через соцсети — удобный инструмент взаимодействия с пользователями, позволяющий им избежать утомительной процедуры регистрации с заполнением длинных форм и получить быстрый доступ к функциям сайта. На данный момент для обеспечения доступа через авторизацию в соцсетях возможна интеграция более чем с тридцатью сервисами. Назвать такой способ, увы, нельзя самым надежным. Как минимум, потому что в соцсетях может зарегистрироваться кто угодно под каким угодно именем. Ко всему прочему, взломав ваш логин и пароль, злоумышленник может добраться и до вашего доступа к социальным сетям. Использовать данный механизм можно, если речь не идет о данных с большой степенью конфиденциальности. Для входа в систему сотрудников предпочтительнее выбрать другой вариант.

Аутентификация через Госуслуги

Наверняка вы встречали ситуации, когда аутентификации идет через Госуслуги. Для владельцев различных сервисов этот вариант всегда надежнее, так как он предполагает идентификацию конкретного лица. Минусом является то, что это подходит не для всех ресурсов и не каждый пользователь имеет аккаунт на Госуслугах. Применять подобную схему могут крупные организации, имеющие отношение к государственной деятельности.

Аутентификация по СМС или почте

Аутентификация через СМС или электронную почту может считаться достаточно надежной. Пользователю после входа в систему приходит сообщение с определенным кодом. Так же есть вариант, когда используется биометрия – например, отпечаток пальца. Эти два способа мы не случайно поставили вместе. При всех положительных моментах, у них есть свои минусы. Если украли пароль от основного сервиса, то высока вероятность, что и от почты тоже. Способ СМС надежнее, потому что требует наличие отдельного физического устройства, однако этот метод используется скорее просто по причине распространенности мобильных телефонов. СМС можно перехватывать по дороге, или обойти дублированием сим-карты. А если злоумышленник орудует не только в кибер-среде, но и готов пойти на разбой – есть риск, что устройство пользователя будет украдено и преступник получит доступ и к СМС, и к почте. Ко всему прочему, напавший шантажом может заставить человека поднести палец к сенсору… а то и еще хуже – приведя жертву в бессознательное состояние, сделать это без ее ведома.

Сервисы для аутентификации

Один из удобных способов двухфакторной аутентификации – использование специальных приложений для смартфонов. В настройках безопасности сервиса, который поддерживает 2FA, выбирается аутентификация с помощью приложения. Сервис генерирует QR-код, который сканируется приложением, и оно начинает каждые 30 секунд создавать новый одноразовый код. Именно он и вводится в поле запроса. Коды создаются на основе ключа, который известен только вам и серверу, а также текущего времени, округленного до 30 секунд. Поскольку обе составляющие одинаковы и у вас, и у сервиса, коды генерируются синхронно.

Прочие методы аутентификации

Еще один способ идентификации позволяет выполнять доступ к корпоративным приложениям только от достоверных устройств и пользователей. Для реализации этих возможностей могут использоваться различные технологии (в конкретном случае – одна или несколько): сертификаты, ключи, доступные конкретному лицу в виде зашифрованных файлов. Так же может применятся технология, отлеживающая различную контекстную информацию (например, время или местоположение), помогающую принимать решения при предоставлении доступа.

Использовать готовый 2FA сервис или внедрять свой?

Сегодня существует ряд готовых продуктов в каждом из этих направлений. Но и тут встает вопрос – нужно ли компании пользоваться чьим-то предложением, или проще разработать что-то свое. Часто внедрение стороннего продукта требует материальных и временных затрат. Крупные организации, как то банки или перевозчики, обычно имеют личные возможности для разработки и внедрения сугубо своего продукта. Компании не столь крупные, не имея своего штата разработчиков и технических возможностей, могут заказать разработку системы двухфакторной аутентификации у ИТ-компаний, предлагающих такие услуги. В таком случае это будет индивидуальное решение, учитывающее все возможности и потребности заказчика.

В материале использовано изображение от rawpixel.com на Freepik.

Следите за новыми постами
Следите за новыми постами по любимым темам
321 открытий5К показов