La Вишефакторска аутентификација је постала основни захтев било које модерне стратегије сајбер безбедности. Пристојна лозинка више није довољна: са обимом кршења података, све софистициранијим фишингом и аутоматизованим нападима, ослањање искључиво на „оно што знате“ је готово као да оставите улазна врата одшкринута.
Последњих година појавили су се Нове методе аутентификације, смернице организација као што је PCI SSC и стандарде попут FIDO2 или WebAuthn који су потпуно променили пејзаж. Резултат је да данас постоји много различитих начина за верификацију идентитета корисника, са веома различитим нивоима безбедности и практичности. Проблем више није само омогућавање вишеструке офсајдерске провере (MFA), већ изаберите праву комбинацију фактора коју ћете користити у зависности од ризика, контекста и врсте услуге.
Основе идентификације, аутентификације и ауторизације
Пре него што упоредимо методе, вреди запамтити да Аутентификација није исто што и идентификација или ауторизација.иако је у пракси све део истог тока приступа.
Прво, Идентификација је једноставно додељивање јединственог идентитета. особи, систему или налогу: корисничко име, број запосленог, сертификат итд. То је „ко сте ви?“ без још увек провере да ли сте заиста та особа, систем или налог.
La Аутентификација је процес провере да ли је тај идентитет валидан.Да би то урадио, систем вас тражи да наведете један или више фактора аутентификације које само ви треба да знате, поседујете или будете. Ако је ова провера успешна, систем потврђује ваш идентитет.
Коначно Ауторизација дефинише чему тај корисник заправо може приступити Након аутентификације: које апликације види, којим подацима може да приступи, да ли може да управља другим корисницима итд. Ово се може допунити алатима који вам омогућавају да знате ко има приступ вашим датотекама и самим тим ревидирати дозволе и дељење.
Кохерентно управљање ова три елемента формира оно што је познато као Управљање идентитетом и приступом (ИАМ)А у оквирима као што је PCI DSS, темељно се прегледа у смислу специфичних захтева за контролу приступа. У Windows окружењима се ово обично управља помоћу Едитор групних политика.
Фактори аутентификације: нешто што знате, имате или јесте
Сваки модерни систем аутентификације се врти око три главне породице факторакоји се могу комбиновати за изградњу двоструких или вишефакторских шема:
С једне стране је „нешто што знаш“Лозинке, ПИН-ови, лозинке или безбедносна питања. Њихова главна предност је што се лако примењују и веома су познате сваком кориснику, али су такође и преферирана мета нападача, било путем грубе силе, фишинга, цурења базе података или кршења акредитива.
Друго налазимо „нешто што имаш“То може бити мобилни телефон на који се шаље СМС, апликација за аутентификацију, паметна картица, физички токен или ФИДО кључ. У овом случају, нападач би морао да украде или клонира тај елемент да би заобишао филтер, што теоретски значајно повећава безбедност.
Трећа категорија је „нешто што јеси“То јест, биометријски фактори као што су отисци прстију, препознавање лица, скенирање ириса ока или чак карактеристике понашања (стил куцања, ход, гласовни обрасци). Они су веома погодни и тешки за реплицирање, али представљају озбиљне изазове за приватност и управљање: не можете лако „променити отисак прста“ ако је угрожен.
Штавише, контекстуални или бихевиорални фактори постају све важнији, понекад груписани као „нешто што радите“ или „нешто што се дешава око вас“Локација, уређај са ког се повезујете, уобичајено доба дана, позната ИП адреса итд. Сами по себи, ови фактори се обично не сматрају „јаким“ факторима, али су основа адаптивне аутентификације засноване на ризику.
Лозинке, ПИН-ови и аутентификација заснована на знању
ла лламада Аутентификација заснована на знању (KBA) То је традиционални модел: уносите корисничко име и лозинку или одговарате на питање попут „У ком граду сте рођени?“. Изузетно је јефтин за имплементацију, подржан је од стране било које платформе, а корисници већ знају како функционише.
Проблем је у томе што, у пракси, Лозинке се поново користе у великим размерама између сервиса и често су слабе. Различите студије показују да огроман проценат људи користи исту лозинку на десетинама сајтова, тако да ако само један веб сајт има рањивост, остали налози су угрожени нападима крађе података.
Тхе Традиционална безбедносна питања су још гора.Многи одговори се могу пронаћи мало претраживањем друштвених мрежа или у јавним изворима, а друге је релативно лако погодити. Стога се сада препоручује да се ограниче на веома специфичне случајеве или да се замене другим механизмима претраживања.
Л ПИН-ови су занимљив посебан случајНа папиру, четвороцифрени ПИН има врло мало ентропије и не би испунио захтеве сложености које обично захтевамо од лозинки. Међутим, недавне PCI SSC смернице појашњавају да се ПИН може прихватити као фактор „нешто што знате“ све док је комбинован са додатним контролама као што су закључавања након више неуспелих покушаја, прогресивна временска ограничења и безбедно складиштење.
Када није могуће осигурајте тај ПИН мерама против грубе силеСтога, мора да испуњава исте критеријуме као и јака лозинка: довољно високу минималну дужину, забрану тривијалних образаца, историју итд. У супротном, постаје лако искоришћена слабост.
Једнократни кодови: СМС, имејл и унапред генерисане листе
Једна од најраспрострањенијих метода МФА и даље је употреба једнократни кодови (OTP) послати путем различитих канала или одштампани унапред. Ово је други фактор који је кориснику веома једноставан за разумевање и који многе услуге нуде подразумевано.
У случају Једнократна лозинка путем СМС-а или гласовног позиваПроцес је једноставан: након уноса корисничког имена и лозинке, систем шаље вишецифрени код на регистровани број. Корисник уноси код и ако се подудара, приступ је одобрен. У суштини, потврђује да и даље имате контролу над тим бројем телефона.
Такође можемо наћи Једнократне лозинке послате имејломОво је ређе, али и даље присутно. Ризик овде је очигледан: ако је лозинка за вашу е-пошту иста као лозинка за налог који покушавате да заштитите, додатна безбедност нестаје јер нападач може прво да приступи вашем пријемном сандучету и лако прочита код.
Класичнији приступ је онај који унапред генерисане листе кодоваОве кодове неке банке дају у штампаном облику или их могу преузети одређени сервиси (као што су велике онлајн платформе) за опоравак налога. Сваки код се користи само једном, а за наредне покушаје морате користити други код са листе.
Ове листе су прилично безбедне од напада пресретања јер Генеришу се и испоручују у веома одређено време.Критична тачка је складиштење: ако држите лист у откључаној фиоци или направите фотографију и оставите је у галерији нешифровану, свако ко има физички приступ вашим стварима могао би да преотме ваше рачуне или средства.
Да би се ове листе добро управљале, препоручљиво је да чувајте их на безбедној физичкој локацији или у шифрованом дигиталном контејнерукао што су безбедносне белешке у менаџеру лозинки. Међутим, оне имају јасан проблем скалабилности: ако обављате много трансакција или имате много налога, брзо се исцрпе и постају тешке за управљање, па се све мање користе као примарна метода, а више као механизам за хитне случајеве.
Аутентификација и TOTP апликације
Најновије смернице и практично искуство се слажу да Апликације за аутентификацију засновану на времену (TOTP) Они нуде веома добру равнотежу између безбедности и удобности, због чега се препоручују као „подразумевана“ опција кад год је то могуће.
Принцип је једноставан: током пражњења другог фактора, Услуга и ваша апликација за аутентификацију деле тајни кључ (обично скенирањем QR кода). Одатле, и апликација и сервер генеришу исти 6-цифрени или 8-цифрени код сваких 30 секунди без потребе за конекцијом, захваљујући стандардном алгоритму.
Алати попут Google Authenticator, Microsoft Authenticator, Authy, Aegis или Duo Mobile Омогућавају вам да региструјете више налога и да све своје кодове држите централизоване. Неки укључују шифроване резервне копије у облаку или синхронизацију између уређаја, што је веома практично, али треба пажљиво конфигурисати како би се избегло увођење нових ризика.
Постоје Менаџери лозинки који интегришу TOTP (1Password, Bitwarden, Dashlane и други). У овим случајевима, исти производ чува лозинку и генерише привремени код, што пријављивање чини изузетно практичним. Међутим, са чисто безбедносног становишта, губите извесну независност између фактора, јер се оба ослањају на једну тачку отказа.
У сваком случају, у поређењу са СМС-ом или имејлом, ТОТП-ови имају јасне предности: Они не зависе од мобилне мреже или оператера.Мање су подложни нападима замене СИМ картица, раде без покривености и не откривају код на лако пресретљивим каналима.
Биометрија: отисак прста, лице, глас и друге карактеристике
La Биометријска аутентификација више није научна фантастика да постану део свакодневног живота: скоро сваки тренутни паметни телефон вам омогућава да га откључате отиском прста или лицем, а многи лаптопови интегришу читаче отисака прстију или камере компатибилне са безбедним препознавањем лица.
Биометрија се ослања на физичке или бихевиоралне карактеристике које је тешко реплициратиОтисци прстију, црте лица, ирис ока, глас, динамика куцања, ход итд. Са становишта корисника, изузетно је згодно јер избегава памћење било чега и смањује трење у приступу.
Међутим, постоје важне нијансе. Прва је да Биометријски подаци су по својој природи осетљивиНе можете „опозвати“ своје лице или отиске прстију ако су угрожени, а они служе не само за аутентификацију већ и за правну идентификацију. То значи да њихово снимање, чување и обрада морају бити обављени уз веома висок ниво заштите.
Због тога, већина модерних архитектура ограничава биометрију на локални процеси аутентификације на самом уређајуНа пример, када користите Face ID или читач отиска прста, подаци се чувају и обрађују у безбедној енклави на телефону и не шаљу се удаљеној услузи. Оно што се преноси јесте „да“ или „не“ од оперативног система, што указује да је легитимни корисник откључао уређај.
У случају чисте даљинске биометријске аутентификације, сервис који прима те податке Мора имплицитно веровати произвођачу уређаја или добављачу системаОво је нешто што је мало организација спремно да уради, осим у веома затвореним екосистемима. Одличан пример је Apple, који има потпуну контролу над хардвером и софтвером и нуди механизме попут Face ID-а интегрисаног са приступним тастерима.
Иако има недостатака, биометрија нуди Кључна предност: драстично смањује трењеКорисник који откључава мобилни телефон прстом или лицем стотине пута дневно је много спремнији да прихвати вишеструку офтабилну идентификацију (MFA) ако је то додатна „непријатност“ коју мора да претпостави, уместо да куца лозинке дугачке километрима сваки пут када му приступа.
Аутентификација на основу локације, контекста и ризика (RBA)
Поред класичних фактора, примењују се многи модерни системи аутентификација заснована на ризику (RBA)динамичко прилагођавање захтева на основу онога што посматрају у реалном времену.
У суштини, систем анализира контекстуалне променљиве као што су локација, уређај, IP адреса, доба дана или образац коришћењаАко неко покуша да се пријави са свог уобичајеног лаптопа, у своје уобичајено време и из канцеларијске мреже, ризик се сматра ниским и од њих се можда неће тражити ништа додатно осим лозинке или SSO сесије.
Међутим, ако Пријављивање из друге земље, у необично време или са непознатог уређајаМеханизам за процену ризика може подићи ниво захтева и захтевати други додатни фактор, као што је једнократна лозинка (OTP), одобрење апликације или биометријска провера.
Овај приступ има велику предност балансирање безбедности и употребљивостиНе кажњава корисника непотребним корацима када се чини да је све у реду, али подиже опрез када нешто делује чудно. За банке, велике онлајн платформе или компаније са хиљадама запослених, то је практично стандард.
Његов главни недостатак је то што Није тривијално дизајнирати или прилагодитиАко су прагови ризика погрешно калибрисани, могли бисте завршити тако што ћете стално захтевати вишеструку офсајдерску проверу (MFA) од легитимних корисника или, у супротном случају, превиђати сумњиво понашање. Овде напредна аналитика и, све више, вештачка интелигенција играју кључну улогу у откривању аномалија и необичних образаца.
Вишефакторска аутентификација: вишефакторска наспрам вишестепене
Када комбинујемо два или више различитих фактора, говоримо о вишефакторска аутентификација (МФА)Идеја је да, чак и ако нападач успе да пробије један од фактора (на пример, лозинку), и даље ће морати да превазиђе други независни филтер (као што је OTP или физички кључ).
Са становишта усклађености, оквири попут PCI DSS повезују концепт MFA са веома специфичним захтевима: даљински приступ до интерних мрежа, приступ окружењима са подацима о картицама, налози са повећаним привилегијамаитд. У овим случајевима, ослањање искључиво на корисничко име и лозинку више није прихватљиво.
Годинама је постојала поприлична забуна око разлике између Вишестепена аутентификација и PCI компатибилна MFAСтарије смернице су захтевале да се сви фактори процењују без делимичне повратне информације од стране корисника, односно да му се не каже да ли је лозинка исправна пре него што се затражи други фактор.
Најновије верзије водича појашњавају критеријуме: Прихватљиво је назначити успех једног фактора пре него што се затражи следећи.под условом да приступ није одобрен док се сви успешно не верификују. То значи да су токови попут „прво лозинка, па OTP“ компатибилни, чак и ако је кориснику потврђено да је његова лозинка важећа.
Ипак, остаје као што је добра пракса за смањење те детаљне повратне информације: или неоткривање валидности било ког фактора док се сви не предоче, или прво аутентификација помоћу једнократног фактора сесије (ОТП, кључ отпоран на фишинг) пре валидације других статичких фактора као што је лозинка.
FIDO U2F / FIDO2 хардверски кључеви и лозинке
Суочени са проблемима фишинга и напада „посредника“ из многих традиционалних метода, појавила су се решења као што су следећа: FIDO U2F/FIDO2 безбедносни кључевипопуларизовали су га уређаји као што су YubiKey, Google Titan или модели компанија Feitian и SoloKeys.
Ови кључеви имплементирају криптографију јавног кључа и, током регистрације, Они генеришу јединствени кључ повезан са сваком услугомКада поново извршите аутентификацију, сервер шаље захтев да кључ потпише само ако се домен и контекст подударају са онима који су регистровани. Ако неко покуша да вас превари лажним веб-сајтом, кључ детектује да то није легитиман сајт и не потписује ништа. Многе платформе користе ово. ТПМ КСНУМКС да заштити кључеве повезане са уређајем.
Дакле, ова врста аутентификације не само да верификује корисника, већ и Такође верификује саму услугу.Они нуде веома високу отпорност на фишинг, репродукцију и релејне нападе. Зато их многе организације сматрају златним стандардом за заштиту критичних налога, администраторских акредитива и приступа корпоративној е-пошти.
Са становишта корисника, процес је изненађујуће једноставан: Повежите кључ са УСБ портом или га приближите путем НФЦ-а. Једноставно додирните капацитивни сензор на телефону и готови сте. Иза тога се крије сложена криптографија, али је гест лакши од куцања OTP-а.
На истој основи, FIDO алијанса је промовисала приступни кључеви или лозинкеОве идеје иду корак даље директном заменом лозинки. Приватни кључ се чува на уређају (или је шифрован и синхронизован преко облака провајдера), а корисник се аутентификује откључавањем тог уређаја помоћу биометријских података или ПИН-а.
Лозинке остају вишефакторске по дизајну, јер се комбинују нешто што имате (уређај) у комбинацији са нечим што јесте или знате (биометрија или ПИН)Али они елиминишу традиционалну лозинку из једначине. Све више и више великих сервиса почиње да их нуди, иако екосистем остаје донекле фрагментиран и свака платформа имплементира различите нијансе.
SSO, аутентификација заснована на токенима и дигитални сертификати
У корпоративним окружењима, уобичајено је комбиновати ове факторе са механизмима као што су Једнократна пријава (ССО)што вам омогућава да се једном пријавите код поузданог добављача идентитета (нпр. Azure AD, Okta, Google Workspace) и приступите вишеструким апликацијама без сталног понављања акредитива.
У овим шемама, добављач идентитета издаје безбедносни токени (као што је JWT) Након јаке почетне аутентификације (идеално са MFA), ови токени се приказују интегрисаним апликацијама како би се доказао ваш идентитет без потребе за поновним уносом лозинке на сваком скоку.
Аутентификација заснована на токенима смањује оптерећење сервера и олакшава архитектуре без стања Широко се користи у модерним API-јима и апликацијама. Међутим, управљање истеком, обнављањем и опозивом токена мора бити веома добро осмишљено како би се спречило да украдени токен постане неограничена пропусница.
Још једна веома робусна метода, посебно за интерне мреже и VPN приступ, јесте аутентификација заснована на дигиталним сертификатимаУместо лозинке, корисник приказује сертификат који је издао корпоративни сертификациони ауторитет, а сервер криптографски проверава његову валидност.
Овај приступ је изузетно робустан против многих уобичајених напада, али укључује одржавати добро управљану инфраструктуру јавних кључева (PKI)Издавање, обнављање, опозивање, политике коришћења, управљање уређајима итд. Зато је обично резервисано за окружења са високим нивоом безбедности где се труд исплати.
Управљање сесијама и нулто поверење
Када се заврши почетни процес аутентификације, скоро сви системи успостављају сесија која представља однос поверења између корисника и сервиса. Уместо захтевања вишеструке офсајдерске провере (MFA) при сваком клику – што је непрактично – та сесија се поново користи за ауторизацију наредних захтева.
Због тога се многи нападачи фокусирају на крађа или отимање активних сесија путем колачића, токена или сличних механизама, уместо покушаја директног заобилажења вишефакторске аутентификације. Зато је толико важно допунити вишефакторску аутентификацију добрим праксама управљања сесијама.
Међу уобичајеним препорукама налазимо повезивање сесија са одређеним корисницима и уређајима Да бисте спречили поновну употребу са различитих уређаја, примените разумна временска ограничења неактивности, присилите поновну MFA аутентификацију у посебно осетљивим операцијама и увек користите шифроване канале као што је TLS.
Сви ови елементи се веома добро уклапају са приступом Архитектура нултог поверења (ЗТА)где се имплицитно поверење не претпоставља само зато што је неко „унутар“ корпоративне мреже. Сваки релевантни захтев се процењује на основу контекста, статуса уређаја и идентитета, смањујући утицај потенцијално угрожене сесије.
Практично поређење метода и препорука за вишеструку професионалну асоцијацију (МФА)
Узимајући у обзир све горе наведено, разумно је поставити питање Које су методе вишефакторске аутентификације најбоље? и како одабрати праву комбинацију за сваки случај употребе, а да се корисник не излуди.
Ако факторе поређамо од најслабијих до најробуснијих, можемо их сместити на дно СМС, имејл и безбедносна питањаИспуњавају формални захтев „нешто што имате/знате“, али су веома рањиви на замену СИМ картица, преусмеравање, фишинг и поновну употребу лозинки.
На средњем нивоу су TOTP апликације, једноставни физички токени и одређене биометријске методе Добро су имплементирани, нуде добру равнотежу између безбедности и употребљивости и представљају стандардну препоруку за заштиту већине личних налога и многих корпоративних налога.
Изнад налазимо FIDO U2F/FIDO2 кључеви и лозинке отпорне на фишингОве методе комбинују робусну криптографију, повезивање домена и аутентификацију повезану са уређајем. За налоге велике вредности – финансије, системска администрација, приступ критичној контролној табли – оне су преферирана метода.
Од овог тренутка, избор одређеног пословања треба узети у обзир Коју врсту података штити, који ниво трења могу да толеришу његови корисници и који буџет има? да распореде и одржавају инфраструктуру. Већина организација на крају комбинује неколико приступа: јаку вишеструку фазу провере (MFA) за осетљив приступ, једнократну пријаву (SSO) за свакодневну практичност и рад са ограниченим приступом (RBA) за балансирање безбедности и корисничког искуства.
У сваком сценарију, постоје јасне тачке консензуса: Омогућите вишеструку офтабилну проверу кад год је то могуће и дајте приоритет методама отпорним на фишинг Када ризик то оправдава, веома добро заштитите опоравак налога, на пример. Повратите приступ систему Windowsи обучити кориснике да разумеју зашто се од њих тражи тај „други корак“ и како да открију покушаје преваре.
У окружењу где крађа идентитета чини велики део инцидената, јачање аутентификације одговарајућим методама омогућава драстично смањити шансе за компромитовање налога без жртвовања разумног корисничког искуства, и постао је основни захтев како за појединачне кориснике, тако и за сваку организацију која жели да безбедност схвати чак и минимално озбиљно.
