Современная 2FA или причем здесь зубная щетка?
Двухфакторная аутентификация – это механизм, усиливающий функцию базовой аутентификации, которая наиболее распространена во всем мире: аутентификации по логину и паролю. Практика показывает, что для надежного обеспечения информационной безопасности аутентификации по логину и паролю сейчас уже недостаточно. К сожалению, возникло множество атак, которые позволяют ее обойти. Это и атака с подбором «грубой силой» (англ. brute force), и зловредное ПО, перехватывающее статические пароли, и атака с получением дампа базы данных и последующим восстановлением пароля через корреляцию в так называемых «радужных» таблицах (англ. rainbow table). То есть классическая пара «логин-пароль» уже не является безопасной.
Существует несколько механизмов усиления базовой аутентификации, по сути, различных вариантов двухфакторной аутентификации. Их разделяют на «усиленную», в частности, по одноразовым паролям (англ. one-time password, OTP), и «строгую» — с использованием ассиметричной криптографии, более защищенного способа, нежели симметричная криптография, лежащая в основе OTP. Хорошо знакомым и распространенным примером аутентификации по одноразовым паролям является двухэтапная аутентификация в личном кабинете на Госуслугах Российской Федерации и Госуслугах Москвы. Она же использовалась для регистрации в ходе дистанционного электронного голосования.
Строгая аутентификация лучше всего подходит для работы сотрудников в «классическом» офисе и доступа к информации, критической для бизнеса компании. В таком случае вполне оправдано использование ассиметричной криптографии, аппаратных ключей (USB-токенов и смарт-карт) и сертификатов, и в целом PKI-инфраструктуры. Когда же возникает необходимость мобильного или удаленного доступа к информационным ресурсам компании, то «строгая» аутентификация уступает свое место «усиленной», более простой и удобной для сотрудников, а аппаратные ключи — «бесконтактным» аутентификаторам: автономным OTP-токенам и программным генераторам OTP, сообщениям на мобильное устройство и приложениям, подтверждающим доступ «одним касанием» экрана. В частности, во время пандемии коронавируса, даже те заказчики, которые традиционно использовали PKI-инфраструктуру и аппаратные ключи, стали переходить на бесконтактные аутентификаторы.
Чем это было обусловлено?
Во-первых, использование бесконтактных аутентификаторов изначально является более понятным для большинства пользователей. Так или иначе, многие сотрудники уже используют их для доступа к системам ДБО, используют их для защиты своих аккаунтов в социальных сетях.
Во-вторых, это независимость от среды эксплуатации. Нет проблем с драйверами, нет проблем с выбором форм-фактора генератора OTP: это могут быть и «классические» сообщения SMS, это могут быть и push-сообщения, это могут быть и программные генераторы. Кроме того, эти программные генераторы могут быть устроены так, что ими будет удобно пользоваться. Например, расширение в браузере Chrome – пользователь поработал за одним своим рабочим местом, на котором есть расширение для генерации OTP, переместился на другое рабочее место, где это расширение синхронизировалось, и получил возможность продолжить свою работу, вновь получая второй фактор в браузере.
В-третьих, бесконтактные аутентификаторы, в частности, мобильные приложения, позволяют учитывать предпочтения конкретных пользователей и организаций в целом. У кого-то есть доверие к российским разработчикам, но нет доверия к иностранным, а у кого-то наоборот – доверие к иностранным приложениям, нежели к российским. Пожалуйста! Google-аутентификатор, Microsoft-аутентификатор, Яндекс-ключ, Bitrix OTP – все эти решения выглядят для пользователя одинаково, все они могут быть использованы при усилении базовых функций аутентификации.
У нас часто спрашивают: «кому нужна двухфакторная аутентификация?». Мы обычно отвечаем, что этот вопрос из разряда «кому нужна зубная щетка?». Зубы чистят все. Так и здесь: в любой правильно построенной информационной системе есть аутентификация. А вот насколько вам нужно внедрять двухфакторную аутентификацию для всех сотрудников, доступ к каким системам и ресурсам она будет усиливать, при работе из офиса или при удаленном доступе – ответы на эти вопросы связаны с теми системами, которые вы используете.