Autentificare cu mai mulți factori

Versiunea actuală a paginii nu a fost încă examinată de colaboratori experimentați și poate diferi semnificativ de versiunea revizuită pe 20 noiembrie 2019; verificările necesită 11 modificări .

Autentificare multifactor ( MFA , engleză  multi-factor authentication , MFA ) - autentificare avansată , o metodă de control al accesului la ceva ( calculator , site și așa mai departe) în care utilizatorul trebuie să prezinte mai mult de o „dovadă a mecanismului de autentificare „ pentru a avea acces la informaţie .

Categoriile de astfel de dovezi includ:

• Cunoașterea este informații pe care subiectul le cunoaște. De exemplu , parola , codul PIN , codul , cuvântul de control și așa mai departe.
• Posesia este un lucru posedat de subiect. De exemplu, un card electronic sau magnetic, un token, o memorie flash.
• O proprietate pe care o deține o entitate. De exemplu, biometrie, diferențe naturale unice: față, amprente (modele papilare), iris, secvență ADN.

Factori de autentificare

Articolul principal: Autentificare

Chiar înainte de apariția computerelor, au fost folosite diverse trăsături distinctive ale subiectului, caracteristicile sale. Acum, utilizarea uneia sau alteia caracteristici în sistem depinde de fiabilitatea, securitatea și costul implementării necesare. Există trei factori de autentificare:

• Factorul de cunoaștere: ceva ce știm este o parolă . Acestea sunt informații secrete pe care ar trebui să le dețină doar un subiect autorizat. Parola poate fi un cuvânt vorbit, un cuvânt text, o combinație pentru un lacăt sau un număr personal de identificare ( PIN ). Mecanismul de parole poate fi implementat destul de ușor și are un cost redus. Cu toate acestea, are dezavantaje semnificative: este adesea dificil să păstrați secreta parolei, atacatorii vin în mod constant cu noi modalități de a fura, de a sparge și de a ghici parola (vezi criptoanaliza banditului , metoda forței brute ). Acest lucru face ca mecanismul de parole să fie slab sigur. Multe întrebări secrete, precum „Unde te-ai născut?”, sunt exemple elementare ale factorului cunoaștere, deoarece pot fi cunoscute unui grup larg de oameni sau pot fi cercetate.
• Factor de proprietate: ceea ce avem este un dispozitiv de autentificare . Aici, împrejurarea deținerii de către subiect a unui obiect unic este importantă. Poate fi un sigiliu personal, o cheie a unei încuietori , pentru un computer este un fișier de date care conține o caracteristică. Caracteristica este adesea încorporată într-un anumit dispozitiv de autentificare, cum ar fi un card de plastic , un card inteligent . Este mai dificil pentru un atacator să pună mâna pe un astfel de dispozitiv decât să spargă o parolă, iar subiectul poate raporta imediat dacă dispozitivul este furat. Acest lucru face ca această metodă să fie mai sigură decât mecanismul de parole, dar costul unui astfel de sistem este mai mare.
• Factor caracteristică: ceva care face parte din noi - biometrie . O caracteristică este o trăsătură fizică a unui subiect. Poate fi un portret, o amprentă digitală sau palmă , o voce sau o trăsătură a ochiului . Din punctul de vedere al subiectului, această metodă este cea mai simplă: nu trebuie să îți amintești parola sau să porți cu tine un dispozitiv de autentificare. Cu toate acestea, sistemul biometric trebuie să fie foarte sensibil pentru a confirma un utilizator autorizat, dar pentru a respinge un atacator cu parametri biometrici similari. De asemenea, costul unui astfel de sistem este destul de mare. Dar, în ciuda deficiențelor sale, biometria rămâne un factor destul de promițător.

Securitate

Potrivit experților, autentificarea cu mai mulți factori reduce drastic posibilitatea furtului de identitate online, deoarece cunoașterea parolei victimei nu este suficientă pentru a comite fraudă. Cu toate acestea, multe abordări de autentificare cu mai mulți factori rămân vulnerabile la atacuri de tip phishing , man-in-the-browser și man-in-the- middle .

Articolul principal: Autentificare

Atunci când alegeți unul sau altul factor sau metodă de autentificare pentru sistem, este necesar, în primul rând, să se construiască pe gradul de securitate necesar, costul construirii sistemului și asigurarea mobilității subiectului.

Iată un tabel de comparație:

Nivelul de risc	Cerințe de sistem	Tehnologia de autentificare	Exemple de aplicații
Mic de statura	Autentificarea este necesară pentru a accesa sistemul, iar furtul, piratarea, dezvăluirea informațiilor confidențiale nu vor avea consecințe semnificative	Cerința minimă recomandată este utilizarea parolelor reutilizabile.	Înregistrare pe portal de pe Internet
In medie	Este necesară autentificarea pentru a accesa sistemul, iar furtul, hackingul, dezvăluirea informațiilor confidențiale vor cauza pagube mici	Cerința minimă recomandată este utilizarea parolelor unice	Efectuarea operațiunilor bancare de către subiect
Înalt	Autentificarea este necesară pentru a accesa sistemul, iar furtul, piratarea, dezvăluirea informațiilor confidențiale vor cauza daune semnificative	Cerință minimă recomandată - Utilizați autentificarea cu mai mulți factori	Efectuarea de tranzacții interbancare majore de către personalul de conducere

Legislație și reglementare

Standardul de securitate a datelor pentru industria cardurilor de plată (PCI), cerința 8.3, necesită utilizarea unui MFA pentru toate accesul la rețea de la distanță în afara rețelei la mediul de date card (CDE). [1] Începând cu versiunea PCI-DSS 3.2, utilizarea MFA este necesară pentru orice acces administrativ la CDE, chiar dacă utilizatorul se află într-o rețea de încredere.

Autentificare cu doi factori

Autentificarea cu doi factori ( DFA , în engleză  autentificarea cu doi factori , cunoscută și sub numele de verificare în doi pași ) este un tip de autentificare cu mai mulți factori. DFA este o tehnologie care oferă identificarea utilizatorului printr-o combinație a două componente diferite.

Exemple de autentificare cu doi factori sunt autorizarea Google și Microsoft . Când un utilizator se conectează de pe un dispozitiv nou, pe lângă autentificarea nume de utilizator-parolă, i se cere să introducă un cod de verificare de șase cifre (Google) sau de opt cifre (Microsoft). Abonatul îl poate primi prin SMS , folosind un apel vocal către telefonul său, codul de confirmare poate fi preluat dintr-un registru precompilat de coduri unice sau o nouă parolă unică poate fi generată de aplicația de autentificare pe scurt perioade de timp . Metoda este selectată în setările contului Google sau, respectiv, Microsoft.

Avantajul autentificării cu doi factori prin intermediul unui dispozitiv mobil:

• Nu sunt necesare jetoane suplimentare , deoarece dispozitivul mobil este întotdeauna la îndemână.
• Codul de confirmare se schimbă constant, ceea ce este mai sigur decât o parolă de conectare cu un singur factor.

Dezavantajele autentificării cu doi factori prin intermediul unui dispozitiv mobil:

• Telefonul mobil trebuie să prindă rețeaua atunci când are loc autentificarea, altfel mesajul cu parola pur și simplu nu va ajunge.
• Este necesar să furnizați un număr de telefon mobil, care, de exemplu, poate provoca spam în viitor.
• Mesaje text (SMS), care, atunci când sunt primite de un telefon mobil, pot fi interceptate [2] [3] .
• Mesajele text ajung cu o oarecare întârziere, deoarece este nevoie de ceva timp pentru a se autentifica.
• Telefoanele inteligente moderne sunt folosite pentru a primi atât e-mail, cât și SMS-uri. De regulă, e-mailul de pe un telefon mobil este întotdeauna pornit. Astfel, toate conturile pentru care mail este cheia pot fi piratate (primul factor). Dispozitiv mobil (al doilea factor). Concluzie: smartphone-ul amestecă doi factori într-unul singur.

Acum multe servicii mari, cum ar fi Microsoft, Google, Dropbox, Facebook, oferă deja capacitatea de a utiliza autentificarea cu doi factori. Și pentru toate acestea, puteți utiliza o singură aplicație de autentificare care îndeplinește anumite standarde, cum ar fi Google Authenticator, Microsoft Authentificator, Authy sau FreeOTP.

Implementare practică

Multe produse de autentificare multifactor necesită utilizatorului să aibă software client pentru ca sistemul de autentificare multifactor să funcționeze. Unii dezvoltatori au creat pachete de instalare separate pentru autentificarea la rețea, acreditările de acces web și conexiunea VPN. Pentru a utiliza un token sau un smart card cu aceste produse , va trebui să instalați patru sau cinci pachete software speciale pe computer. Acestea pot fi pachete de control al versiunilor sau pachete pentru a verifica dacă există conflicte cu aplicațiile de afaceri. Dacă accesul se poate face folosind pagini web, atunci nu există costuri neașteptate. Cu alte soluții software de autentificare cu mai mulți factori, cum ar fi jetoanele „virtuale” sau unele jetoane hardware, niciunul dintre software nu poate fi instalat de utilizatori direcți.

Autentificarea cu mai mulți factori nu este standardizată. Există diferite forme de implementare a acestuia. Prin urmare, problema constă în capacitatea sa de a interacționa. Există multe procese și aspecte care trebuie luate în considerare la selectarea, dezvoltarea, testarea, implementarea și menținerea unui sistem complet de management al identității de securitate, inclusiv toate mecanismele de autentificare relevante și tehnologiile aferente: toate acestea sunt descrise de Brent Williams în contextul „Identității”. Ciclul de viață" [1]

Autentificarea cu mai mulți factori are o serie de dezavantaje care împiedică distribuirea acesteia. În special, este dificil pentru o persoană care nu înțelege acest domeniu să urmărească dezvoltarea jetoanelor hardware sau a cheilor USB. Mulți utilizatori nu pot instala ei înșiși software-ul client certificat deoarece nu au abilitățile tehnice adecvate. În general, soluțiile multifactoriale necesită costuri suplimentare de instalare și operare. Multe complexe hardware bazate pe jetoane sunt brevetate, iar unii dezvoltatori percep utilizatorilor o taxă anuală. Din punct de vedere logistic, este dificil să plasați jetoane hardware, deoarece acestea pot fi deteriorate sau pierdute. Ar trebui reglementată emiterea de jetoane în organizații mari, cum ar fi băncile și alte întreprinderi mari. Pe lângă costul instalării autentificării multifactoriale, se plătește și o sumă semnificativă pentru întreținere. În 2008, principala resursă media Credit Union Journal a realizat un sondaj în rândul a peste 120 de uniuni de credit din SUA. Scopul sondajului este de a arăta costul de întreținere asociat cu autentificarea cu doi factori. În cele din urmă, s-a dovedit că certificarea software și accesul la bara de instrumente au cel mai mare cost.

Brevete

În 2013, Dotcom, Kim a susținut că a inventat autentificarea cu doi factori brevetată în 2000 [4] și a amenințat pentru scurt timp că va da în judecată toate serviciile web majore. Cu toate acestea, Oficiul European de Brevete i-a revocat brevetul [5] în lumina unui brevet american anterior din 1998 deținut de AT&T. [6]

Vezi și

• Autentificare
• Jeton
• card destept
• HOTP / TOTP

Note

1. ↑ Site-ul oficial al Consiliului pentru Standardele de Securitate PCI - Verificați conformitatea PCI, descărcați standardele de securitate a datelor și a cardurilor de credit . www.pcisecuritystandards.org . Preluat la 25 iulie 2016. Arhivat din original la 27 decembrie 2021. (nedefinit)
2. ↑ NIST se pregătește să elimine codurile de securitate de conectare bazate pe SMS. Timpul se scurge pentru această tehnică populară de securitate online  (engleză) , Fortune (26 iulie 2016). Arhivat din original pe 20 aprilie 2018. Recuperat la 13 august 2016.  „Din cauza riscului ca mesajele SMS să fie interceptate sau redirecționate, implementatorii de noi sisteme ar trebui să ia în considerare cu atenție autentificatoarele alternative”, NIST.”
3. ↑ Durov a anunțat implicarea serviciilor speciale în hacking-ul Telegramei opoziției . RosBusinessConsulting (2 mai 2016, 20:18). - „... vineri seara, departamentul de securitate tehnologică MTS i-a oprit serviciul de livrare de SMS-uri pentru el (Oleg Kozlovsky), după care, 15 minute mai târziu, cineva din consola Unix la adresa IP de pe unul dintre serverele de anonimizare Tor a trimis-o la Telegram cererea de autorizare a unui nou dispozitiv cu numărul de telefon al lui Kozlovsky. I s-a trimis un SMS cu un cod care nu a fost livrat deoarece serviciul i-a fost dezactivat. Atacatorul a introdus apoi un cod de autorizare și a obținut acces la contul Telegram al activistului. „Întrebarea principală este cum persoane necunoscute au avut acces la codul care a fost trimis prin SMS, dar nu a fost livrat. Din păcate, am o singură versiune: prin sistemul SORM sau direct prin departamentul tehnic de securitate MTS (de exemplu, printr-un apel de la „autoritățile competente”)”, a subliniat activistul. Preluat la 11 mai 2017. Arhivat din original la 17 iunie 2018. (Rusă)
4. ↑ Schmitz, Kim, „Metoda de autorizare în sistemele de transmisie de date”, US 6078908
5. ↑ Brodkin, Jon Kim Dotcom susține că a inventat autentificarea cu doi factori — dar nu a fost primul (html). Ars Technica (23 mai 2013). Preluat la 25 iulie 2019. Arhivat din original la 9 iulie 2019.  (nedefinit)
6. ↑ Blonder și colab., „Transaction authorization and alert system”, US 5708422

Link -uri

• Eric Grosse, Mayank Upadhyay, Autentificare la scară. IEEE Security and Privacy, ianuarie/februarie 2013 , IEEE Computer and Reliability Societies. (Engleză)
• DRAFT NIST Special Publication 800-63B. Ghid de autentificare digitală. Autentificare și management al ciclului de viață // NIST, 2016  (ing.)
• Autentificare cu mai mulți factori în cuvinte simple