Статьи

Раздел: Статьи | Теги: аутентификация двухфакторная аутентификация многофакторная аутентификация строгая аутентификация

Если стандартной парольной проверки подлинности пользователя становится недостаточно, то в процесс аутентификации добавляют еще один шаг, чтобы она стала двухфакторной, или же полностью заменяют аутентификацию по паролям на что-то более приемлемое.

Рассмотрим возможные варианты.

Двухфакторной называется такая аутентификация, при которой производится проверка двух разных факторов. Обычно факторы аутентификации разделяют на: знание чего-то, обладание чем-то и биометрию. Например, нельзя назвать двухфакторной аутентификацией проверку пароля совмещенную с проверкой одноразового кода, присланного на электронную почту, если почта сама защищена только паролем. Ведь такая проверка подтвердит только знание пользователем двух паролей: от приложения/сервиса/сайта и от почты. Другими словами, это однотипные факторы. А двухфакторная аутентификация должна состоять из факторов разных типов. В противопоставление такому примеру - использование смарт карты с обязательным вводом PIN-кода вполне может считаться двухфакторной аутентификацией: первый фактор — владение смарт картой, а второй — знание PIN кода.

Есть еще одна тонкость, которая и является причиной написания этой статьи. Часто встречаются термины двухфакторная аутентификация и двухэтапная (двухшаговая) аутентификация. И очень часто между этими терминами ставят знак равенства. Однако это неверно и вот почему.

Двухэтапная аутентификация

При двухэтапной аутентификации есть два последовательных проверочных действия, но они выполняются последовательно друг за другом — по этапам. Примером такой двухэтапной аутентификации может быть встречающееся достаточно часто совмещение проверки пароля с последующей проверкой одноразового кода из SMS. После ввода статического пароля, приложение или сервер аутентификации проверяет его и в случае, если пароль был верным, отправляет SMS на привязанный номер. Этот метод аутентификации требует предварительную проверку пароля, так как для того, чтобы отправить SMS сообщение, нужно узнать, кому именно его отправлять. В качестве такого триггера на отправку сообщения используется событие успешной аутентификации по паролю.

Кроме того, двухэтапная аутентификация вообще не обязана сочетать разные факторы. Бывает и такое, что проверяются, например, два биометрических признака.

Двухфакторная аутентификация

Двухфакторная аутентификация отличается от двухэтапной тем, что результат проверки двух факторов становится известен только после предоставления обоих факторов. Таким образом достигается невозможность атаки на факторы аутентификации по отдельности. Злоумышленник уже не может подбирать отдельно пароль, делая вывод об успехе результата по ответу вроде такого: "Теперь введите одноразовый код из SMS".

Если надежность двухэтапной аутентификации условно можно ограничить сверху трудностью взлома самого стойкого своего этапа аутентификации, то компрометация двухфакторной аутентификации на порядок сложнее.

Вместо заключения

Возможно эта статья натолкнет на мысль разработчиков систем аутентификации на основе SMS, что лучше чтобы формы аутентификации всегда выдавали одно и тоже сообщение после первого фактора (обычно, проверки статического пароля) с предложением предоставить код из SMS. Но само сообщение с кодом можно все-таки отправлять только в случае успешного ввода этого первого фактора. А чтобы не лишаться возможности информировать пользователя о неудачно введенном пароле, можно просто написать, что если не пришло SMS, то, вероятно, пароль введен неверно.

Теги: аутентификациядвухфакторная аутентификациямногофакторная аутентификациястрогая аутентификация

• ← Безопасность SWIFT требует современных подходов
• Защита доступа на примере Office 365 →