Статьи

26
Январь 2018

Аутентификация: двухэтапная или двухфакторная?

Раздел: Статьи | Теги: аутентификация двухфакторная аутентификация многофакторная аутентификация строгая аутентификация

Если стандартной парольной проверки подлинности пользователя становится недостаточно, то в процесс аутентификации добавляют еще один шаг, чтобы она стала двухфакторной, или же полностью заменяют аутентификацию по паролям на что-то более приемлемое.

2-step or 2-factor authentication

Рассмотрим возможные варианты.

Двухфакторной называется такая аутентификация, при которой производится проверка двух разных факторов. Обычно факторы аутентификации разделяют на: знание чего-то, обладание чем-то и биометрию. Например, нельзя назвать двухфакторной аутентификацией проверку пароля совмещенную с проверкой одноразового кода, присланного на электронную почту, если почта сама защищена только паролем. Ведь такая проверка подтвердит только знание пользователем двух паролей: от приложения/сервиса/сайта и от почты. Другими словами, это однотипные факторы. А двухфакторная аутентификация должна состоять из факторов разных типов. В противопоставление такому примеру - использование смарт карты с обязательным вводом PIN-кода вполне может считаться двухфакторной аутентификацией: первый фактор — владение смарт картой, а второй — знание PIN кода.

Есть еще одна тонкость, которая и является причиной написания этой статьи. Часто встречаются термины двухфакторная аутентификация и двухэтапная (двухшаговая) аутентификация. И очень часто между этими терминами ставят знак равенства. Однако это неверно и вот почему.

Двухэтапная аутентификация

При двухэтапной аутентификации есть два последовательных проверочных действия, но они выполняются последовательно друг за другом — по этапам. Примером такой двухэтапной аутентификации может быть встречающееся достаточно часто совмещение проверки пароля с последующей проверкой одноразового кода из SMS. После ввода статического пароля, приложение или сервер аутентификации проверяет его и в случае, если пароль был верным, отправляет SMS на привязанный номер. Этот метод аутентификации требует предварительную проверку пароля, так как для того, чтобы отправить SMS сообщение, нужно узнать, кому именно его отправлять. В качестве такого триггера на отправку сообщения используется событие успешной аутентификации по паролю.

Кроме того, двухэтапная аутентификация вообще не обязана сочетать разные факторы. Бывает и такое, что проверяются, например, два биометрических признака.

Про использование SMS для аутентификации

Напомним, что метод аутентификации использующий SMS, в наше время рекомендовать для серьезной защиты уже неприлично. Слишком уж недорогие атаки на этот метод доступны злоумышленникам. А значит нет гарантии того, что правильно введенный код из SMS однозначно подтверждает владение телефоном (SIM-картой). NIST [не рекомендует] в будущих разработках использовать этот метод.

Всегда нужно помнить, что защита должна соответствовать угрозам и потенциальному ущербу. В некоторых случаях SMS может быть удобным способом доставки второго фактора и адекватным угрозам, например, когда речь не идет о доступе к финансам или приватной информации, и потенциальный негативный эффект от атаки очень низкий.

Двухфакторная аутентификация

Двухфакторная аутентификация отличается от двухэтапной тем, что результат проверки двух факторов становится известен только после предоставления обоих факторов. Таким образом достигается невозможность атаки на факторы аутентификации по отдельности. Злоумышленник уже не может подбирать отдельно пароль, делая вывод об успехе результата по ответу вроде такого: "Теперь введите одноразовый код из SMS".

Если надежность двухэтапной аутентификации условно можно ограничить сверху трудностью взлома самого стойкого своего этапа аутентификации, то компрометация двухфакторной аутентификации на порядок сложнее.

Вместо заключения

Возможно эта статья натолкнет на мысль разработчиков систем аутентификации на основе SMS, что лучше чтобы формы аутентификации всегда выдавали одно и тоже сообщение после первого фактора (обычно, проверки статического пароля) с предложением предоставить код из SMS. Но само сообщение с кодом можно все-таки отправлять только в случае успешного ввода этого первого фактора. А чтобы не лишаться возможности информировать пользователя о неудачно введенном пароле, можно просто написать, что если не пришло SMS, то, вероятно, пароль введен неверно.

Теги: аутентификациядвухфакторная аутентификациямногофакторная аутентификациястрогая аутентификация

    Статьи
Последние записи
Архив
Категории
Теги
Ленты
RSS / Atom