La Многофакторното удостоверяване се е превърнало в основно изискване на всяка съвременна стратегия за киберсигурност. Една наполовина прилична парола вече не е достатъчна: с обема на пробивите в данните, все по-сложния фишинг и автоматизираните атаки, разчитането единствено на „това, което знаете“, е почти като да оставите входната си врата открехната.
През последните години се появиха Нови методи за удостоверяване, насоки от организации като PCI SSC и стандарти като FIDO2 или WebAuthn, които напълно промениха пейзажа. Резултатът е, че днес има много различни начини за проверка на самоличността на потребителя, с много различни нива на сигурност и удобство. Проблемът вече не е само в активирането на MFA, но изберете правилната комбинация от фактори, които да използвате в зависимост от риска, контекста и вида на услугата.
Основи на идентификацията, удостоверяването и оторизацията
Преди да сравним методите, е важно да се помни, че Удостоверяването на самоличността не е същото като самоидентифицирането или самоупълномощаването.въпреки че на практика всичко е част от един и същ поток на достъп.
Първо, Идентификацията е просто присвояване на уникална идентичност. към лице, система или акаунт: потребителско име, служебен номер, сертификат и т.н. Това е „кой сте вие?“, без все още да се провери дали наистина сте това лице, система или акаунт.
La Удостоверяването е процес на проверка дали тази самоличност е валидна.За да направи това, системата ви моли да предоставите един или повече фактори за удостоверяване, които само вие трябва да знаете, притежавате или да бъдете. Ако тази проверка е успешна, системата валидира вашата самоличност.
Накрая Авторизацията определя до какво всъщност може да има достъп този потребител След удостоверяване: какви приложения вижда, до какви данни има достъп, дали може да управлява други потребители и т.н. Това може да бъде допълнено с инструменти, които ви позволяват да знаете кой има достъп до вашите файлове и по този начин да одитира разрешенията и споделянето.
Съгласуваното управление на тези три елемента формира това, което е известно като Управление на самоличността и достъпа (IAM)А в рамки като PCI DSS, той е обстойно прегледан по отношение на специфичните изисквания за контрол на достъпа. В Windows среди това обикновено се управлява с… Редактор на групови политики.
Фактори за удостоверяване: нещо, което знаете, имате или сте
Всяка съвременна система за удостоверяване се върти около три основни семейства факторикоито могат да се комбинират за изграждане на двойни или многофакторни схеми:
От една страна е „нещо, което знаеш“Пароли, ПИН кодове, пароли или въпроси за сигурност. Основното им предимство е, че са лесни за внедряване и много познати на всеки потребител, но те са и предпочитана цел на нападателите, независимо дали чрез груба сила, фишинг, изтичане на база данни или подправяне на идентификационни данни.
Второ намираме „нещо, което имаш“Това може да бъде мобилен телефон, на който се изпраща SMS, приложение за удостоверяване, смарт карта, физически токен или FIDO ключ. В този случай нападателят ще трябва да открадне или клонира този елемент, за да заобиколи филтъра, което теоретично значително увеличава сигурността.
Третата категория е „нещо, което си ти“Тоест, биометрични фактори като пръстови отпечатъци, разпознаване на лица, сканиране на ириса или дори поведенчески характеристики (стил на писане, походка, гласови модели). Те са много удобни и трудни за възпроизвеждане, но представляват сериозни предизвикателства пред поверителността и управлението: не можете лесно да „промените пръстовия си отпечатък“, ако е компрометиран.
Освен това, контекстуалните или поведенческите фактори стават все по-важни, понякога групирани като „нещо, което правите“ или „нещо, което се случва около вас“Местоположение, устройство, от което се свързвате, обичайно време от деня, известен IP адрес и т.н. Сами по себе си те обикновено не се считат за „силни“ фактори, но са в основата на адаптивното удостоверяване, базирано на риска.
Пароли, ПИН кодове и удостоверяване, базирано на знания
Поканата за представяне на предложения Удостоверяване, базирано на знания (KBA) Това е традиционният модел: въвеждате потребителско име и парола или отговаряте на въпрос като „В кой град сте родени?“. Изключително евтино е за внедряване, поддържа се от всяка платформа и потребителите вече знаят как работи.
Проблемът е, че на практика, Паролите се използват повторно в голям мащаб между услугите и често са слаби. Различни проучвания показват, че огромен процент от хората използват една и съща парола на десетки сайтове, така че ако само един уебсайт има уязвимост, останалите акаунти са изложени на риск чрез атаки с „credential stuffing“.
на Традиционните въпроси за сигурност са още по-лоши.Много отговори могат да бъдат намерени чрез малко търсене в социалните медии или в публични източници, а други са сравнително лесни за отгатване. Затова сега се препоръчва да се ограничат до много специфични случаи или да се заменят с други механизми за извличане на информация.
Лос ПИН кодовете са интересен специален случайНа хартия, 4-цифреният ПИН код има много малка ентропия и не би отговорил на изискванията за сложност, които обикновено изискваме от паролите. Въпреки това, последните насоки на PCI SSC поясняват, че ПИН кодът може да бъде приет като фактор „нещо, което знаете“, стига да е комбиниран с допълнителни контроли, като например заключване след множество неуспешни опити, прогресивно изчакване и сигурно съхранение.
Когато не е възможно защитете този ПИН с мерки против груба силаСледователно, тя трябва да отговаря на същите критерии като силна парола: достатъчно висока минимална дължина, забрана на тривиални модели, история и др. В противен случай се превръща в лесно използваема слабост.
Еднократни кодове: SMS, имейл и предварително генерирани списъци
Един от най-разпространените методи за многостранна практическа помощ (МФА) продължава да бъде използването на еднократни кодове (OTP) изпратени по различни канали или предварително отпечатани. Това е втори фактор, който е много лесен за разбиране от потребителя и който много услуги предлагат по подразбиране.
В случай на Еднократна парола чрез SMS или гласово повикванеПроцесът е лесен: след въвеждане на потребителско име и парола, системата изпраща многоцифрен код до регистрирания номер. Потребителят въвежда кода и ако той съвпада, достъпът се предоставя. По същество, системата проверява дали все още имате контрол над този телефонен номер.
Ние също можем да намерим Еднократни пароли, изпратени по имейлТова е по-рядко срещано, но все пак е налице. Рискът тук е очевиден: ако паролата за имейла ви е същата като паролата за акаунта, който се опитвате да защитите, допълнителната сигурност изчезва, защото нападателят може първо да получи достъп до входящата ви поща и лесно да прочете кода.
По-класическият подход е този на предварително генерирани списъци с кодовеТези кодове се предоставят от някои банки в печатна форма или могат да бъдат изтеглени от определени услуги (като например големи онлайн платформи) за възстановяване на акаунт. Всеки код се използва само веднъж и при следващите опити трябва да се използва различен код от списъка.
Тези списъци са доста защитени срещу атаки за прихващане, защото Те се генерират и доставят в много специфични моменти.Критичният момент е съхранението: ако държите листа в отключено чекмедже или направите снимка и я оставите в галерията некриптирана, всеки с физически достъп до вашите неща може да открадне вашите акаунти или средства.
За да управлявате добре тези списъци, е препоръчително да съхранявайте ги на сигурно физическо място или в криптиран дигитален контейнеркато например защитените бележки в мениджър на пароли. Те обаче имат ясен проблем с мащабируемостта: ако извършвате много транзакции или имате много акаунти, те бързо се изчерпват и стават трудни за управление, така че все по-често се използват по-малко като основен метод и повече като механизъм за спешни случаи.
Приложения за удостоверяване и TOTP
Най-новите насоки и практическият опит са съгласни, че Приложения за удостоверяване, базирано на време (TOTP) Те предлагат много добър баланс между безопасност и комфорт, поради което се препоръчват като „стандартна“ опция, когато е възможно.
Принципът е прост: по време на изхвърлянето на втория фактор, Услугата и вашето приложение за удостоверяване споделят секретен ключ (обикновено чрез сканиране на QR код). Оттам, както приложението, така и сървърът генерират един и същ 6- или 8-цифрен код на всеки 30 секунди, без да е необходима връзка, благодарение на стандартен алгоритъм.
Инструменти като Google Authenticator, Microsoft Authenticator, Authy, Aegis или Duo Mobile Те ви позволяват да регистрирате множество акаунти и да държите всичките си кодове централизирани. Някои включват криптирани облачни резервни копия или синхронизация между устройства, което е много практично, но трябва да се конфигурира внимателно, за да се избегне въвеждането на нови рискове.
Има и такива Мениджъри на пароли, които интегрират TOTP (1Password, Bitwarden, Dashlane и други). В тези случаи един и същ продукт съхранява паролата и генерира временния код, което прави влизането изключително удобно. От чисто гледна точка на сигурност обаче, губите известна независимост между факторите, тъй като и двата разчитат на една единствена точка на отказ.
Във всеки случай, в сравнение с SMS или имейл, TOTP имат ясни предимства: Те не зависят от мобилната мрежа или оператора.Те са по-малко податливи на атаки за размяна на SIM карти, работят без покритие и не излагат код на лесно прихващаеми канали.
Биометрични данни: пръстов отпечатък, лице, глас и други характеристики
La Биометричното удостоверяване вече не е научна фантастика да стане част от ежедневието: почти всеки съвременен смартфон ви позволява да го отключите с пръстов отпечатък или лице, а много лаптопи интегрират четци за пръстови отпечатъци или камери, съвместими със сигурно лицево разпознаване.
Биометричните данни разчитат на физически или поведенчески характеристики, които са трудни за възпроизвежданеПръстови отпечатъци, черти на лицето, ирис, глас, динамика на писане, походка и др. От гледна точка на потребителя, това е изключително удобно, защото избягва необходимостта от запомняне на каквото и да било и намалява триенето при достъпа.
Има обаче важни нюанси. Първият е, че Биометричните данни са по своята същност чувствителниНе можете да „отмените“ лицето или пръстовите си отпечатъци, ако са компрометирани, и те служат не само за удостоверяване, но и за правна идентификация. Това означава, че тяхното заснемане, съхранение и обработка трябва да се извършват с много високо ниво на защита.
Поради тази причина повечето съвременни архитектури ограничават биометрията до локални процеси за удостоверяване на самото устройствоНапример, когато използвате Face ID или четец на пръстови отпечатъци, данните се съхраняват и обработват в защитен анклав на телефона и не се изпращат към отдалечената услуга. Това, което се предава, е „да“ или „не“ от операционната система, показващо, че легитимният потребител е отключил устройството.
В случай на чисто дистанционно биометрично удостоверяване, услугата, която получава тези данни Трябва безусловно да се доверява на производителя на устройството или на доставчика на системата.Това е нещо, което малко организации са склонни да направят, освен в много затворени екосистеми. Отличен пример е Apple, която има пълен контрол върху хардуера и софтуера и предлага механизми като Face ID, интегрирани с ключове за достъп.
Въпреки че има недостатъци, биометрията предлага Ключово предимство: драстично намалява триенетоПотребител, който отключва мобилния си телефон с пръст или лице стотици пъти на ден, е много по-склонен да приеме многофакторна автентификация (MFA), ако това е допълнителното „неудобство“, което трябва да поеме, вместо да въвежда километрични пароли всеки път, когато има достъп до него.
Удостоверяване въз основа на местоположение, контекст и риск (RBA)
Освен класическите фактори, се прилагат много съвременни системи удостоверяване, базирано на риска (RBA)динамично коригиране на изискванията въз основа на това, което наблюдават в реално време.
По същество системата анализира контекстуални променливи като местоположение, устройство, IP адрес, време от деня или модел на употребаАко някой се опита да влезе от обичайния си лаптоп, в обичайното си време и от офисната мрежа, рискът се счита за нисък и от него може да не се изисква нищо допълнително освен паролата или SSO сесията.
Въпреки това, ако Влизане от друга държава, в необичайно време или от неразпознато устройствоМеханизмът за управление на риска може да повиши нивото на изискванията и да изисква втори допълнителен фактор, като например еднократна парола (OTP), одобрение на приложение или биометрична проверка.
Този подход има голямото предимство, че балансиране на сигурността и използваемосттаНе наказва потребителя с ненужни стъпки, когато всичко изглежда наред, но повишава бдителността, когато нещо изглежда нередно. За банки, големи онлайн платформи или компании с хиляди служители, това е практически стандарт.
Основният му недостатък е, че Не е тривиално да се проектира или настройваАко праговете на риска са неправилно калибрирани, може да се окажете постоянно в ситуация, в която изисквате многофакторна автентификация (MFA) от легитимни потребители или, в обратния край, да пренебрегвате подозрително поведение. Тук усъвършенстваните анализи и все по-често изкуственият интелект играят ключова роля в откриването на аномалии и необичайни модели.
Многофакторно удостоверяване: многофакторно срещу многостъпково
Когато комбинираме два или повече различни фактора, говорим за многофакторно удостоверяване (MFA)Идеята е, че дори ако нападателят успее да пробие един от факторите (например паролата), той все пак ще трябва да преодолее втори независим филтър (като OTP или физически ключ).
От гледна точка на съответствието, рамки като PCI DSS свързват концепцията за MFA с много специфични изисквания: отдалечен достъп до вътрешни мрежи, достъп до среди с данни за карти, акаунти с повишени привилегиии т.н. В тези случаи разчитането единствено на потребителско име и парола вече не е приемливо.
В продължение на години имаше доста объркване относно разликата между Многоетапно удостоверяване и PCI-съвместима MFAПо-старите насоки изискваха всички фактори да бъдат оценявани, без потребителят да получава частична обратна връзка, т.е. да не му се казва дали паролата е правилна, преди да бъде поискан вторият фактор.
Най-новите версии на ръководството поясняват критериите: Приемливо е да се посочи успехът на един фактор, преди да се поиска следващият.при условие че достъпът не се предоставя, докато всички не бъдат успешно проверени. Това означава, че потоци като „първо парола, след това OTP“ са съвместими, дори ако потребителят е потвърдил, че паролата му е валидна.
Въпреки това, остава така добра практика за намаляване на тази подробна обратна връзка: или неразкриване на валидността на който и да е фактор, докато всички не бъдат представени, или първо удостоверяване с еднократен фактор за сесия (OTP, ключ, устойчив на фишинг), преди валидиране на други статични фактори, като например паролата.
Хардуерни ключове и пароли за FIDO U2F / FIDO2
Изправени пред проблемите с фишинга и атаките „човек по средата“, причинени от много традиционни методи, се появиха решения като следните: FIDO U2F/FIDO2 ключове за сигурностпопуляризиран от устройства като YubiKey, Google Titan или модели от Feitian и SoloKeys.
Тези ключове прилагат криптография с публичен ключ и по време на регистрацията, Те генерират уникален ключ, свързан с всяка услугаКогато се удостоверявате повторно, сървърът изпраща предизвикателство, че ключът подписва само ако домейнът и контекстът съвпадат с регистрираните. Ако някой се опита да ви измами с фалшив уебсайт, ключът открива, че това не е легитимният сайт и не подписва нищо. Много платформи използват това. TPM 2.0 за защита на ключовете, свързани с устройството.
По този начин, този тип удостоверяване не само проверява потребителя, но и Той също така проверява самата услуга.Те предлагат много висока устойчивост срещу фишинг, повторно възпроизвеждане и препредаване на атаки. Ето защо много организации ги смятат за златен стандарт за защита на критични акаунти, администраторски идентификационни данни и корпоративен имейл достъп.
От гледна точка на потребителя, процесът е изненадващо прост: Свържете ключа към USB порта или го доближете чрез NFC. Просто докоснете капацитивния сензор на телефона си и сте готови. Зад него се крие сложна криптография, но жестът е по-лесен от въвеждането на еднократна парола (OTP).
На същата основа, Алиансът FIDO е насърчил ключове за достъп или паролиТези решения развиват идеята още по-напред, като директно заместват паролите. Частният ключ се съхранява на устройството (или е криптиран и синхронизиран чрез облака на доставчика) и потребителят се удостоверява, като отключва устройството с биометрични данни или ПИН код.
Паролите остават многофакторни по дизайн, тъй като се комбинират нещо, което притежавате (устройството), комбинирано с нещо, което сте или познавате (биометрични данни или ПИН)Но те елиминират традиционната парола от уравнението. Все повече големи услуги започват да ги предлагат, въпреки че екосистемата остава донякъде фрагментирана и всяка платформа прилага различни нюанси.
SSO, удостоверяване на базата на токени и цифрови сертификати
В корпоративна среда е обичайно тези фактори да се комбинират с механизми като Единен вход (SSO)което ви позволява да влезете веднъж чрез надежден доставчик на самоличност (напр. Azure AD, Okta, Google Workspace) и да получите достъп до множество приложения, без непрекъснато да повтаряте идентификационни данни.
В тези схеми доставчикът на самоличност издава токени за сигурност (като JWT) След силно първоначално удостоверяване (в идеалния случай с MFA), тези токени се представят на интегрирани приложения, за да докажат вашата самоличност, без да е необходимо да въвеждате паролата си отново при всяко прехвърляне.
Удостоверяването, базирано на токени, намалява натоварването на сървърите и улеснява архитектурите без гражданство Широко използван в съвременните API и приложения. Управлението на изтичането, подновяването и анулирането на токени обаче трябва да бъде много добре проектирано, за да се предотврати превръщането на откраднат токен в неограничен пропуск.
Друг много надежден метод, особено за вътрешни мрежи и VPN достъп, е удостоверяване, базирано на цифрови сертификатиВместо парола, потребителят представя сертификат, издаден от корпоративен сертифициращ орган, а сървърът криптографски проверява неговата валидност.
Този подход е изключително устойчив срещу много често срещани атаки, но включва поддържайте добре управлявана инфраструктура с публични ключове (PKI)Издаване, подновяване, отмяна, правила за употреба, управление на устройства и др. Ето защо обикновено е запазено за среди с висока сигурност, където усилията си заслужават.
Управление на сесии и нулево доверие
След като първоначалният процес на удостоверяване приключи, почти всички системи установяват сесия, която представлява връзката на доверие между потребителя и услугата. Вместо да се изисква MFA при всяко кликване – нещо непрактично – тази сесия се използва повторно за оторизиране на последващи заявки.
Това кара много нападатели да се фокусират върху кражба или отвличане на активни сесии чрез „бисквитки“, токени или подобни механизми, вместо да се опитва да се заобиколи директно многофакторното удостоверяване. Ето защо е толкова важно MFA да се допълни с добри практики за управление на сесиите.
Сред обичайните препоръки, които откриваме свързване на сесии с конкретни потребители и устройства За да предотвратите повторна употреба от различни устройства, прилагайте разумни времена за неактивност, принудително повторно удостоверяване на MFA при особено чувствителни операции и винаги използвайте криптирани канали, като TLS.
Всички тези елементи се вписват много добре в подхода на Архитектура с нулево доверие (ZTA)където имплицитното доверие не се предполага просто заради това, че е „вътре“ в корпоративната мрежа. Всяка съответна заявка се оценява въз основа на контекст, състояние на устройството и идентичност, намалявайки въздействието на потенциално компрометирана сесия.
Практическо сравнение на методите и препоръките за многостранна статистическа диагностика (МФА)
С всичко гореизложено е разумно да се запитаме Кои методи за многофакторно удостоверяване са най-добри? и как да изберем правилната комбинация за всеки случай на употреба, без да подлудим потребителя.
Ако подредим факторите от най-слабите към най-стабилните, можем да ги поставим на дъното SMS, имейл и въпроси за сигурностТе отговарят на формалното изискване за „нещо, което имате/знаете“, но са силно уязвими към смяна на SIM карти, пренасочване, фишинг и повторна употреба на пароли.
На средно ниво са TOTP приложения, прости физически токени и някои биометрични методи Те са добре внедрени, предлагат добър баланс между сигурност и използваемост и са стандартната препоръка за защита на повечето лични акаунти и много корпоративни акаунти.
По-горе намираме FIDO U2F/FIDO2 ключове и защитени от фишинг паролиТези методи съчетават надеждна криптография, обвързване с домейн и удостоверяване, свързано с устройството. За акаунти с висока стойност – финанси, системна администрация, достъп до критични табла – те са предпочитаният метод.
От този момент нататък, изборът на конкретен бизнес трябва да се вземе предвид Какъв тип данни защитава, какво ниво на триене могат да понесат потребителите му и с какъв бюджет разполага? за внедряване и поддръжка на инфраструктурата. Повечето организации в крайна сметка комбинират няколко подхода: силна MFA за чувствителен достъп, SSO за ежедневно удобство и RBA за балансиране на сигурността и потребителското изживяване.
Във всеки случай има ясни точки на консенсус: Активирайте многофакторна автентичност (MFA), когато е възможно, и приоритизирайте методите, устойчиви на фишинг. Когато рискът го оправдава, защитете много добре възстановяването на акаунти, например. Възстановете достъпа до Windowsи да обучат потребителите да разбират защо се изисква тази „втора стъпка“ и как да откриват опити за измама.
В среда, където кражбата на самоличност представлява голяма част от инцидентите, засилването на удостоверяването с подходящите методи позволява драстично намалява шансовете за компрометиране на акаунта без да се жертва разумното потребителско изживяване и се е превърнало в основно изискване както за отделните потребители, така и за всяка организация, която иска да се отнася дори минимално сериозно към сигурността.
