Плюсы и минусы различных способов многофакторной аутентификации

Многофакторная аутентификация помогает дополнительно защитить учетные записи, но важно понимать, что не все способы многофакторной аутентификации одинаковы с точки зрения простоты использования и безопасности. В этом блоге мы рассмотрим различные способы многофакторной аутентификации, а также плюсы и минусы каждого из них.

Многофакторная аутентификация на основе SMS

Многофакторная аутентификация на основе SMS позволяет пользователям подтверждать личность с помощью одноразового пароля (OTP), отправляемого на телефон. Когда пользователь пытается войти в учетную запись, система отправляет уникальный одноразовый пароль в текстовом сообщении на соответствующий номер телефона. Затем пользователь должен ввести код в интерфейс входа в систему, чтобы завершить процесс аутентификации и получить доступ к учетной записи.

Плюсы

1. Простота настройки и использования. Пользователям нужен только действительный номер телефона.

2. Широкая доступность. Принимать SMS-сообщения можно практически на все мобильные телефоны, будь то смартфоны или простые телефоны.

3. Отсутствие потребности в специальном оборудовании. Пользователям нужен только мобильный телефон, способный принимать сообщения.

Минусы

1. Уязвимость к подмене SIM-карты. Злоумышленники могут убедить оператора мобильной связи пользователя перенести его номер телефона на новую SIM-карту, которую контролируют злоумышленники. Это позволяет злоумышленникам перехватывать SMS-сообщения, включая одноразовые пароли.

2. Уязвимость к фишингу. Злоумышленники могут выдавать себя за законные организации в текстовых сообщениях, обманом заставляя пользователей раскрывать одноразовые пароли.

3. Не так безопасно, как другие способы многофакторной аутентификации. SMS-сообщения не шифруются, а это означает, что существует риск перехвата одноразового пароля во время его передачи.

Многофакторная аутентификация на основе электронной почты

Многофакторная аутентификация на основе электронной почты позволяет пользователям подтверждать личность с помощью кода или волшебной ссылки, отправляемой на зарегистрированный адрес электронной почты. Когда пользователь пытается войти в учетную запись, он получает электронное письмо с одноразовым кодом или волшебной ссылкой. Затем пользователь должен ввести одноразовый пароль или нажать волшебную ссылку, чтобы завершить процесс аутентификации и получить доступ к учетной записи.

Плюсы

1. Простота настройки и использования. Пользователям нужен всего лишь адрес электронной почты, который у большинства из них уже есть.

2. Отсутствие необходимости в дополнительных приложениях или устройствах. Требуется только устройство с доступом к учетной записи электронной почты пользователя: смартфон, планшет или компьютер.

Минусы

1. Уязвимость к компрометации электронной почты. Если учетную запись электронной почты пользователя скомпрометируют, злоумышленники смогут узнать одноразовый код и обойти многофакторную аутентификацию.

2. Потребность в доступе к электронной почте. Если пользователи не смогут получить доступ к учетной записи электронной почты из-за таких проблем, как недоступное интернет-соединение или перебои в работе, они не смогут войти в учетную запись, поскольку не смогут получить одноразовый пароль или волшебную ссылку.

Аутентификация по голосовому вызову

Аутентификация по голосовому вызову позволяет пользователям подтверждать свою личность с помощью одноразового пароля, доставляемого посредством голосового вызова на зарегистрированный номер телефона, связанный с их учетной записью. Когда пользователь пытается войти в учетную запись, он получает автоматизированный голосовой звонок, в котором система зачитывает уникальный одноразовый пароль. Затем пользователь вводит этот код в интерфейс входа в систему, чтобы завершить процесс аутентификации и получить доступ к учетной записи.

Плюсы

1. Простота и доступность для пользователей без смартфонов. Пользователям не требуется наличие смартфона или тарифного плана на передачу данных, в отличие от приложений на основе SMS или приложений для аутентификации. Им всего лишь нужен обычный мобильный телефон, способный принимать звонки.

2. Работа без подключения к Интернету. Пока у пользователя есть доступ к мобильной сети, он может принимать голосовые звонки с одноразовым паролем независимо от доступа к Интернету.

Минусы

1. Уязвимость к подмене SIM-карты. Злоумышленники могут убедить оператора мобильной связи пользователя перенести его номер телефона на новую SIM-карту, которую контролируют злоумышленники. Это позволит злоумышленникам перехватывать одноразовые пароли, отправляемые по голосовому вызову.

2. Уязвимость к спуфингу и вишингу. Злоумышленники могут подделать номер телефона законной службы и обманом заставить пользователей поверить, что они получают звонок с одноразовым паролем. Затем злоумышленники могут запросить конфиденциальную информацию или убедить пользователя ввести одноразовый пароль на вредоносном веб-сайте.

3. Ограничения для людей с нарушениями слуха. Пользователи с нарушениями слуха могут не расслышать одноразовый пароль во время звонка.

Приложения для аутентификации

Приложения для аутентификации генерируют одноразовые коды за счет модели проверки, где применяются одноразовые пароли на основе времени (TOTP). Качественные менеджеры паролей обычно имеют функцию приложения для аутентификации на платформе, что позволяет пользователям сохранять коды и получать к ним доступ на всех устройствах.

Настраивая многофакторную аутентификацию, пользователи либо сканируют QR-код, либо вводят секретный ключ вручную. С помощью этого ключа приложение применяет алгоритм для генерации уникальных одноразовых паролей, которые меняются каждые 30–60 секунд. Когда пользователь пытается войти в учетную запись, он должен ввести код, отображаемый в приложении для аутентификации. Сервер проверяет, соответствует ли введенный код сгенерированному коду. Если да, пользователю предоставляется доступ.

Плюсы

1. Доступность в автономном режиме. Для генерации одноразовых кодов не требуется подключение к Интернету, поскольку приложение использует секретный ключ, хранящийся на устройстве, для создания временных кодов.

2. Бесплатное использование. Большинство приложений для аутентификации можно скачать и использовать бесплатно, что делает их безопасным и экономичным решением для многофакторной аутентификации.

Минусы

1. Потребность в наличии смартфона или другого выделенного устройства. Пользователи должны иметь доступ к устройству, которое поддерживает приложение.

2. Уязвимость к атакам на конкретные приложения. Если злоумышленники получат доступ к устройству пользователя, они смогут узнать сохраненные секретные ключи для генерации одноразовых паролей.

3. Непростая задача для некоторых пользователей. Для менее технологически подкованных пользователей процесс установки приложения, сканирования QR-кода и управления несколькими учетными записями в Интернете может показаться сложным.

Ключи безопасности FIDO2

Ключ безопасности FIDO2 — это аппаратный способ многофакторной аутентификации, предназначенный для того, чтобы пользователи могли безопасно входить в учетные записи без ввода пароля или кода. Он представляет собой физическое устройство, которое пользователь подключает к компьютеру или мобильному устройству, как правило, через USB, NFC или Bluetooth. Ключи безопасности FIDO2 используют криптографию с открытым ключом для создания пары ключей: открытого ключа, хранящегося на сервере, и закрытого ключа, надежно хранимого на самом ключе безопасности. Когда пользователь пытается войти в учетную запись, он вставляет ключ безопасности FIDO2 при появлении запроса и касается него, подписывая запрос на аутентификацию закрытым ключом для подтверждения личности.

Плюсы

1. Невосприимчивость к атакам через посредника. Злоумышленники не смогут перехватить данные, передаваемые между пользователем и сервером, поскольку у них не будет закрытого ключа, необходимого для завершения аутентификации.

2. Невосприимчивость к фишинговым атакам. Злоумышленники не смогут обманом заставить пользователей раскрыть закрытый ключ или коды аутентификации, поскольку в основе лежит криптография с открытым ключом и им потребуется физический доступ к ключу безопасности.

3. Устойчивость к подмене SIM-карты. Ключи безопасности не зависят от номера телефона, поэтому уязвимость к подмене SIM-карты исключается.

4. Поддержка работы с различными приложениями и веб-сайтами. Ключи безопасности FIDO2 широко поддерживаются в основных браузерах, на платформах и устройствах.

Минусы

1. Необходимость в приобретении. Ключи безопасности FIDO2 могут стоить от 20 до 100 долларов США и более в зависимости от функций и торговой марки.

2. Утрата ключа может привести к потере доступа, если не настроен резервный способ аутентификации. При утрате ключа безопасности FIDO2 пользователь может потерять доступ к учетной записи, если у него нет запасного способа аутентификации, такого как другой ключ, резервный код или какой-либо вариант восстановления.

3. Потребность в наличии физического устройства. Пользователи должны всегда иметь при себе ключ для аутентификации, что может вызвать неудобства, если его потеряют, забудут или к нему не будет свободного доступа.

Аппаратные токены

Аппаратные токены — это физические устройства, такие как брелоки или смарт-карты, которые используются для подтверждения личности пользователей путем генерации одноразовых паролей на основе времени. Когда пользователь пытается войти в учетную запись, система предлагает ему ввести одноразовый пароль, сгенерированный аппаратным токеном. В зависимости от типа токена пользователь либо считывает код с экрана устройства, либо нажимает кнопку для отображения кода, который затем вводит в интерфейс входа в систему. На основе общего секрета и текущего времени сервер проверяет соответствие введенного кода сгенерированному. Если коды совпадают, пользователю будет предоставлен доступ.

Плюсы

1. Генерация одноразовых паролей даже без подключения к Интернету. Этот способ идеально подходит для пользователей, находящихся в условиях, где отсутствует доступ к Интернету.

2. Простота настройки и использования. Пользователю достаточно привязать аппаратный токен к учетной записи, и он готов автоматически генерировать одноразовые пароли без дополнительного вмешательства.

Минусы

1. Потребность в приобретении. Пользователи или организации должны приобрести физическое устройство, что может привести к значительным затратам, особенно для крупных предприятий, которым необходимо предоставлять токены нескольким или всем пользователям. Токены могут стоить от 20 до 100 долларов США и более.

2. Потеря или кража токенов. Пользователи могут потерять доступ к учетным записям, пока не будет предоставлена замена, что может занять много времени.

3. Потребность в наличии физического устройства. Для доступа к учетным записям пользователи должны постоянно иметь устройства при себе, что может вызвать неудобства, если токен потеряют или забудут.

Биометрическая аутентификация

Биометрическая аутентификация — это разновидность многофакторной аутентификации, которая использует физические или поведенческие характеристики для подтверждения личности пользователей. В отличие от традиционных паролей или кодов одноразовых паролей, биометрическая аутентификация основана на уникальных чертах, присущих каждому пользователю. К этим признакам могут относиться отпечатки пальцев, черты лица, голос, сканирование радужной оболочки или сетчатки глаза, а также шаблоны набора текста. Когда пользователь пытается войти в систему, система записывает и анализирует его биометрические данные и сравнивает их с сохраненными сведениями во время первоначальной настройки, чтобы подтвердить личность.

Плюсы

1. Быстро, просто и требует минимальной настройки. Первоначальная настройка требует от пользователя отсканировать отпечаток пальца, лицо или другой биометрический признак. После настройки для аутентификации требуется всего лишь взгляд или касание.

2. Уникальность для каждого пользователя. Биометрические признаки трудно воспроизвести, а вероятность того, что у двух людей будут одинаковые отпечатки пальцев, черты лица или рисунок сетчатки глаза, крайне мала.

Минусы

1. Вероятность неэффективной работы при определенных обстоятельствах. Например, если палец пользователя грязный или поврежден, системе может быть трудно правильно считать его. Аналогичным образом, если он носит очки, маску или шляпу, система может неточно отсканировать лицо.

2. Проблемы, связанные с конфиденциальностью и неправомерным использованием биометрических данных. Если биометрические данные хранятся или доступ к ним организован небезопасно, они могут быть уязвимы к краже или неправомерному использованию.

3. Возможность ложного срабатывания. Например, близнецы или похожие друг на друга люди со схожими чертами лица могут вызвать ложное срабатывание.

Push-уведомления

Push-уведомления позволяют пользователям подтверждать личность, получая уведомления на мобильное устройство. При попытке войти в систему пользователь получает push-уведомление вместо того, чтобы вводить одноразовый код, с предложением подтвердить попытку входа в систему или отклонить ее. Нажимая «Подтвердить», пользователи подтверждают личность и то, что они выполняют вход в систему, без необходимости вводить код вручную.

Плюсы

1. Быстрый процесс подтверждения. В отличие от одноразовых кодов, когда пользователю приходится ждать текстового сообщения и вводить код, процесс подтверждения с помощью уведомлений происходит мгновенно.

2. Безопаснее SMS. Push-уведомления доставляются посредством зашифрованного соединения с сервером, что делает их менее уязвимыми к перехвату.

Минусы

1. Потребность в наличии смартфона или устройства для получения push-уведомлений. Для завершения процесса аутентификации необходимо устройство, способное получать уведомления.

2. Этот способ может быть неэффективным, если телефон пользователя потерян, украден, отключен от Интернета или находится в авиарежиме. Если у пользователя нет смартфона или он находится в ситуации, когда его устройство недоступно, он не сможет войти в учетные записи.

Что следует учитывать при выборе способа многофакторной аутентификации?

Выбирая способ многофакторной аутентификации, важно оценить несколько критериев, чтобы убедиться, что выбранное решение соответствует вашим конкретным требованиям. К этим критериям относятся ваши потребности в безопасности, удобство и стоимость внедрения.

• Потребности в безопасности. Необходимый уровень безопасности зависит от конфиденциальности защищаемой информации. Для высококонфиденциальных данных лучше всего выбирать решение для многофакторной аутентификации, которое обеспечивает наивысший уровень защиты. Такие решения, как биометрические данные, аппаратные токены или ключи безопасности FIDO2, считаются самыми надежными формами многофакторной аутентификации благодаря устойчивости к распространенным киберугрозам.
• Удобство в использовании. Определите, что вы предпочитаете — простоту доступа или максимальную безопасность. Важно найти баланс между простотой и безопасностью, чтобы обеспечить удобство для пользователей и в то же время защитить конфиденциальную информацию. Если приоритетом является удобство, идеально подойдут такие решения, как биометрические данные или push-уведомления, поскольку они обеспечивают быструю и простую аутентификацию.
• Стоимость. Оцените как начальные затраты на внедрение, так и расходы на текущее обслуживание. Некоторые решения для многофакторной аутентификации могут быть недорогими, например аутентификация на основе SMS, а другие, например аппаратные токены или ключи безопасности FIDO2, могут оказаться более дорогими в развертывании и обслуживании.

Защитите учетные записи с помощью безопасных способов многофакторной аутентификации

Понимание как преимуществ, так и недостатков различных способов имеет решающее значение при выборе подходящего решения для многофакторной аутентификации. Независимо от выбранного способа, всегда включайте многофакторную аутентификацию для каждой учетной записи, которая предлагает ее в качестве варианта. Любой вариант многофакторной аутентификации намного безопаснее, чем ее полное отсутствие.

Keeper Password Manager позволяет хранить коды одноразовых паролей на основе времени, получать к ним доступ и безопасно обмениваться ими, а также автоматически заполнять их за вас. Это позволяет всем пользователям в вашей организации использовать надежные пароли и включать многофакторную аутентификацию для каждой учетной записи.

Чтобы повысить безопасность учетной записи, начните использовать бесплатную 14-дневную пробную версию Keeper Password Manager.