Консультации экспертов по вопросам защиты бизнеса

Наши сайты Линия консультаций +7 (495) 748-02-22
7000@7000.ru

Двухфакторная защита доступа

Двухфакторная защита доступа

Как устроена двухфакторная защита доступа

Доступ к сервисам должен быть защищен соразмерно ценности данных и необходимости бесперебойного функционирования службы, будь это беспроводная сеть, база 1С, файловый сервер, любой облачный корпоративный сервис, интернет-банк или что-либо другое. Но классическая авторизация с помощью логина и пароля не всегда обеспечивает соответствующий уровень безопасности – пароль можно подобрать или узнать одним из множества способов, как технических, так и социальных. Наиболее надежным методом является использование дополнительного ключа помимо пароля. В чем отличие между различными системами двухфакторной защиты доступа?

SMS и мобильные приложения

Дополнительная проверка по коду, отправленному на мобильный телефон SMS-сообщением или с помощью мобильного приложения, применяется, когда передача аппаратного идентификатора затруднена из-за большого числа пользователей или при отсутствии физической связи. Способ получил широкое распространение в массовых сервисах – социальных сетях, почтовых службах, банковских системах.

Этот метод является самым простым в технической реализации – после ввода логина и пароля, на телефон или в мобильное приложение приходит одноразовый код подтверждения. Пользователь вводит его в специальную форму входа и получает доступ. К сожалению, полагаться на смартфон, как на защищенное устройство нельзя из-за широкой распространенности вирусов для мобильных операционных систем. Также высока вероятность перехвата SMS-сообщений или данных из мобильного приложения.

Кроме того, способ является дорогостоящим для владельцев публичных сервисов – необходимость отправки большого количества SMS-сообщений, не смотря на их низкую стоимость, приводит к большим расходам, а разработка мобильного приложения требует привлечения сторонних специалистов или увеличения штата.

Для частных сервисов разработка и обслуживание подобной службы обойдется дешевле, но также потребует привлечения специалистов для разработки, так как рынок не предлагает готовых решений.

Одноразовые пароли

Данный метод может обеспечить лучшую защиту, чем SMS-сообщения. Одноразовые пароли могут быть получены разными способами – с помощью устройств, выдающих уникальный код, с помощью карточек или распечаток с заранее созданными паролями. Основной угрозой является утрата самого устройства или карточки. Кроме того, заранее созданные пароли при невнимательном хранении могут попасть в руки злоумышленника.

Данный способ наименее затратный в реализации – метод аутентификации по одноразовым паролям поддерживает большинство корпоративных решений, аппаратное устройство никак не привязывается к самой системе, что упрощает его передачу пользователю, а карточка с кодами может быть распечатана на любом принтере

Некоторое время назад данный способ активно использовался в интернет-банках, но позднее был заменен на SMS-аутентификацию. Активного применения в публичных сервисах сегодня одноразовые пароли не имеют. В приватных сервисах используются устройства, генерирующие ключи для доступа к частным локальным сетям.

Ключи-сертификаты

Сертификаты являются одним из самых популярных способов дополнительной аутентификации. Они представляют собой защищенные надежным шифрованием файлы, используемы для авторизации с помощью двух ключей: открытого и закрытого. При этом открытый ключ хранится на сервере и используется для проверки подписи, генерируемой закрытым, находящимся у пользователя.

Данный способ поддерживается практически всеми решениями, в которых присутствуют расширенные способы аутентификации. Среди публичных сервисов сертификаты используют некоторые «электронные кошельки». В частных случаях наиболее распространен такой способ для организации удаленного доступа к серверу или защищенному веб-порталу

Основная проблема данного метода – безопасность закрытого ключа. Хранить его на компьютере или съемном Flash-накопителе нельзя. Поэтому, по-настоящему надежной система становится, если использовать специальные устройства - аппаратные идентификаторы.

 

Аппаратные идентификаторы

Существует три типа аппаратных идентификаторов, специальных устройств для хранения файла-ключа – USB-токены, смарт-карты и контактная память.

Идентификатор-токен представляют собой устройство, размером с Flash-накопитель, имеющее чип, в котором хранятся зашифрованные данные и подключается к компьютеру через USB. Смарт-карты похожи на «визитку», имеют такой же чип, но для работы требуют специальные считыватели, внешние или интегрированные в устройство. Контактная память, называемая на сленге «таблетка», также требует отдельного устройства для чтения.

Токены и смарт-карты не позволяют выкрасть данные о закрытом ключе, так как все шифрование происходит внутри их чипов. Такие аппаратные идентификаторы являются самым надежным методом аутентификации, и основной угрозой является их утрата или кража. Поэтому они часто используются для доступа в частные локальные сети, иногда к публичным веб-сайтам (например, авторизация на портале госуслуг может быть осуществлена с использованием смарт-карт) и наиболее защищенным интернет-банкам.

Контактная память работает по более простому принципу, выступая в роли хранилища небольшого объема данных. Она не защищена от клонирования и подделки данных, является на порядок менее безопасной и поэтому распространена сейчас разве что в бытовых домофонах.

Может возникнуть вопрос – почему же нельзя отказаться от пароля вовсе? Кажется, что это упростит работу с системой и при этом сохранит ее максимально защищенной, но это не так – аппаратный идентификатор можно украсть, SMS-сообщение перехватить с помощью мобильного вируса, сертификат скопировать с помощью вредоносной программы на компьютере.

Взломать, как известно, можно любую систему, вопрос лишь во времени и стоимости. Пароль, не смотря на его несовершенство, значительно усложняет этот процесс, так как злоумышленнику нужно одновременно завладеть паролем и получить доступ ко второму идентификатору. Таким образом, при использовании двухфакторной защиты ощутимо повышается надежность системы, и многократно снижается риск несанкционированного доступа.




Комментарии


Комментарии отсутсвуют

Оставить комментарий

Комментарий будет опубликован после модерации.




CAPTCHA

Нажимая кнопку, я принимаю условия Оферты по использованию сайта и согласен с Политикой конфиденциальности