Поиск по сайту:

Что такое многофакторная аутентификация (MFA) и чем она отличается от 2FA?

Двухфакторная аутентификация, или 2FA, существует уже некоторое время. Обычно это относится к использованию SMS-кода в качестве дополнительного шага для входа в свою учетную запись. Однако этот термин был заменен на «Многофакторная аутентификация». Какая разница?

Аутентификация по паролю отстой

До того, как появилась двухфакторная аутентификация, мир работал на паролях. Пароли по-прежнему широко используются сегодня, поскольку они весьма полезны для большинства людей — короткая легко запоминающаяся фраза, которая дает вам доступ к вашим защищенным службам.

Но на практике у паролей много проблем с безопасностью. Основная проблема заключается в том, что вы доверяете свой пароль большому количеству случайных третьих лиц, что может привести к краже хэша вашего пароля в результате взлома данных. Если у вас хороший длинный пароль, вы должны быть в безопасности, но у многих людей ужасные пароли. Кроме того, многие люди повторно используют один и тот же пароль, а это означает, что утечка данных в одной компании может повлиять на вашу учетную запись в другой службе.

Даже если игнорировать все остальное, пароль — это единственная строка, которая дает доступ к вашей учетной записи. Любой, у кого есть эта строка, может действовать и выполнять действия как вы. Единая точка отказа никогда не бывает хорошей идеей.

Итак, было принято решение под названием «Двухфакторная аутентификация». У всех есть телефон; Во многих отношениях устройство в вашем кармане публично идентифицирует вас. Итак, идея проста — вам будет отправляться текст с коротким кодом на ваш телефон всякий раз, когда кто-то пытается войти в систему. Без кода злоумышленник заблокирован. Если злоумышленник украл ваш пароль и хотел войти в вашу учетную запись, он не сможет этого сделать без доступа к вашему телефону.

«Два фактора» в 2FA — это ваш пароль и код, отправленный на ваш телефон. Без доступа к обоим факторам (а не к одному или другому) никто не сможет получить доступ к вашему аккаунту.

Но у двухфакторной аутентификации тоже есть проблемы

Хотя двухфакторная аутентификация отлично подходит для блокировки учетных записей и работает достаточно хорошо, у многих ее реализаций есть свои проблемы. Поскольку двухфакторная аутентификация использует SMS для отправки кодов, на самом деле это не комбинация «пароль + телефон», которая открывает доступ к вашей учетной записи, а «пароль + номер телефона номер».

Это проблема, потому что невероятно украсть чей-то номер телефона с помощью атаки с подменой SIM-карты. Это работает следующим образом: решительный злоумышленник хочет получить доступ к вашей учетной записи, поэтому он проводит некоторое исследование и находит ваш номер телефона и, возможно, дату вашего рождения. С этими двумя вещами они могут пойти в магазин оператора телефонной связи и купить новый телефон. В большинстве случаев сотрудники этих магазинов не знают об этой угрозе безопасности и по умолчанию просто спрашивают вас о вашем дне рождения. Все, что нужно сделать злоумышленнику, это соврать, и он выйдет из магазина с вашим номером телефона на своей SIM-карте. Это не просто теория — это случилось со мной лично, когда я обновил свой телефон в Verizon. Они не спрашивали мой день рождения, какую-либо идентифицирующую информацию или даже мой старый телефон. Я дал им свой номер телефона для обмена, но он вполне мог быть вашим.

Конечно, злоумышленнику по-прежнему потребуется ваш пароль для входа в вашу учетную запись, но многие сервисы также будут использовать ваш телефон в качестве устройства для восстановления. Даже без вашего пароля злоумышленник может сбросить его, отправить код восстановления на ваш телефон (который теперь является его телефоном) и разблокировать вашу учетную запись, не зная ни одного из двух ваших факторов.

«Многофакторная аутентификация» устраняет все эти проблемы

Исправить это довольно просто. Вместо того, чтобы использовать SMS для доставки кодов на ваше устройство, вы вместо этого загрузите «приложение для аутентификации» и надежно свяжете его со своей учетной записью. Вместо того, чтобы получать код, вам просто нужно ввести код, показанный в приложении, который будет меняться каждые 30 секунд или около того. В остальном это то же самое, что и 2FA; нет телефона, нет доступа.

Под капотом используется одноразовый пароль на основе времени (TOTP), который очень безопасен. Вы и сервис обмениваетесь секретами при привязке приложения к вашей учетной записи. Этот секрет используется в качестве начального значения для генератора случайных чисел, который генерирует уникальные коды каждые 30 секунд. Поскольку вы и сервер связаны, у вас будут одинаковые коды, и никто другой не будет на той же странице, не зная секрета, которым вы обменялись. Это само по себе решает проблему с подменой SIM-карты, потому что секрет связан с телефоном, а не с номером телефона.

Приложения TOTP — это лишь один пример фактора MFA. Этот термин является обобщением, используемым для применения к любому типу двухэтапной аутентификации или более. MFA — это новый, более всеобъемлющий термин, который обычно используется службами, поддерживающими приложения TOTP и другие факторы аутентификации. Хотя фраза «Двухфакторная аутентификация» технически может применяться к аутентификации с помощью брелока + пароля, обычно она всегда относится к SMS.

Факторы MFA обычно попадают в одну из трех категорий:

  • Что-то, что пользователь знает, например пароли или PIN-коды
  • Что-то, есть у пользователя, например телефон или брелок.
  • Что-то, что есть у пользователя, например распознавание лица или отпечатка пальца.

Из них аутентификация с помощью брелока (has) является наиболее распространенной после приложений TOTP. Это физические устройства (похожие на флэш-накопители), которые вы подключаете к своему устройству при входе в систему:

Они содержат сертификат, подтверждающий вашу личность. По сути, это сертификат SSH на легкодоступном ключе, который очень безопасен, даже в большей степени, чем ваш обычный ключ SSH, поскольку они не существуют на устройстве, подключенном к Интернету. Теоретически нет никакого способа взломать аутентификацию с помощью брелока, за исключением физической кражи брелока, что маловероятно, или удаления самой двери, что в любом случае нельзя предотвратить.

Следует отметить, что MFA не всегда полностью безопасна — восстановление пароля иногда может обойти его, в зависимости от сервиса. В частности, для Google учетные записи, заблокированные приложениями для аутентификации, все еще могут быть сброшены таким образом. Если вы используете учетную запись Google для бизнес-услуг или просто хотите, чтобы ваша электронная почта была заблокирована, вам следует включить «Расширенную защиту» Google, для которой требуется брелок и устраняется эта проблема.