Многофакторная аутентификация как стандарт безопасности

Многофакторная аутентификация как стандарт безопасности

Многофакторная аутентификация как стандарт безопасности

Главной проблемой многофакторной аутентификации считают её реализацию: требуется обеспечить техническую поддержку современных протоколов безопасности. Сервер аутентификации Blitz Identity Provider даёт возможность пользоваться различными механизмами MFA или выбрать один наиболее подходящий.

 

 

 

 

 

  1. Введение
  2. Почему многофакторная аутентификация важна?
  3. Требования ФСТЭК России относительно многофакторной аутентификации
  4. Как работает многофакторная аутентификация
    1. 4.1. Факторы MFA
    2. 4.2. Методы проверки факторов
      1. 4.2.1. Проверка с использованием телефона
      2. 4.2.2. Подтверждение по электронной почте
      3. 4.2.3. Одноразовый пароль на основе времени (TOTP) или состояния (HOTP)
      4. 4.2.4. Аппаратный ключ безопасности
      5. 4.2.5. Биометрическая проверка
    3. 4.3. Классификация MFA
  5. Сложности внедрения многофакторной аутентификации
  6. Как упростить внедрение MFA в организации
  7. Выводы

Введение

Аутентификация является неотъемлемой частью Zero Trust — современного подхода к обеспечению корпоративной безопасности. Однако однофакторная аутентификация недостаточна для обеспечения должного уровня безопасности при доступе ко критически важным информационным системам.

Продолжая использовать привычный механизм доступа на основе паролей, предприятия и организации ставят под угрозу не только свои данные, но и репутацию. Компрометация паролей уже не раз приводила к утечке персональных данных и конфиденциальной информации, даже когда речь шла о крупных корпорациях с развитыми службами ИБ.

Почему многофакторная аутентификация важна?

Многофакторная аутентификация (Multi-Factor Authentication, MFA) — это метод контроля доступа, при котором личность субъекта удостоверяется на основе нескольких независимых признаков. Разновидностью MFA является двухфакторная аутентификация (2FA).

Сейчас для большинства организаций стало нормой использование облачных технологий. Нередко доступ к информационным ресурсам компании можно получить с различных устройств — например, со смартфона или планшета, при помощи технологий туннелирования. За счёт этого увеличилась площадь атаки и появилось больше возможностей для несанкционированного проникновения, о чём свидетельствует рост числа киберинцидентов.

При использовании однофакторной аутентификации компрометация паролей сотрудников открывает злоумышленнику возможность использовать их учётные данные для беспрепятственного входа в систему. Взлом корпоративных аккаунтов упрощается и тем, что многие россияне применяют один и тот же пароль для нескольких своих «учёток».

Многофакторная аутентификация помешает злоумышленнику получить доступ к корпоративным ИС, даже если набор учётных данных пользователей был скомпрометирован.

Требования ФСТЭК России относительно многофакторной аутентификации

Ещё в 2014 году ФСТЭК утвердила методический документ «Меры защиты информации в государственных информационных системах». Цель создания этого документа заключалась в том, чтобы разъяснить требования по защите информации в ГИС, утверждённые приказом ведомства от 11.02.2013 № 17.

Согласно этому документу, для усиления защиты ФСТЭК России рекомендует отказаться от однофакторной аутентификации на основе паролей и перейти к более надёжному методу MFA, с использованием одноразовых паролей и аппаратных токенов.

Как работает многофакторная аутентификация

Рассмотрим вкратце факторы MFA и методы их проверки, наиболее распространённые в современной цифровой среде.

Факторы MFA

Классификация факторов в ряде источников различается, однако эксперты, принявшие участие в эфире AM Live на эту тему, придерживаются мнения, что MFA объединяет три фактора:

  • Фактор знания. Аутентификация опирается на то, что известно пользователю. Подтвердить принадлежность учётной записи можно путём предоставления связанной с ней приватной информации — например, пароля, ПИН-кода или кодового слова.
  • Фактор владения. Аутентификация удостоверяет личность на основании физического носителя данных, которым обладает пользователь. В качестве уникального предмета может выступать USB-ключ (токен), пропуск со встроенным чипом, другой контактный или бесконтактный идентификатор, связанный с учётной записью.
  • Фактор свойства. Биометрическая проверка подтверждает наличие у пользователя уникальных свойств. Аутентификация может производиться через систему распознавания лиц, считывания отпечатков пальцев / рисунка радужной оболочки глаза и пр.

Иногда отдельно выделяют фактор местоположения. В системах кибербезопасности с «нулевым доверием» может быть чётко обозначен периметр, в пределах которого возможно предоставление пользователю доступа к информационным сервисам и системам. Чтобы успешно пройти аутентификацию, пользователь должен находиться в определённом месте.

Методы проверки факторов

Перечисленные факторы служат основой для конкретных способов реализации MFA, основные из которых приведены ниже. При этом следует учитывать, что проверка логина и пароля выступает в качестве первого критерия идентификации пользователя.

Проверка с использованием телефона

В дополнение к идентификации путём ввода логина и пароля пользователю часто предлагают подтвердить свою личность при помощи смартфона. Преимущество данного метода заключается в том, что пользователи практически всегда держат телефоны при себе.

Проверка может проводиться через одноразовые коды, отправляемые на ассоциированный с учётной записью телефон, а также через звонки или пуш-уведомления.

Этот метод популярен в системах двухфакторной аутентификации. Чаще всего используют подтверждение входа по СМС, поскольку в этом случае не предъявляется требований к аппаратным характеристикам устройства и не нужно устанавливать на него дополнительные приложения.

Однако этот метод нельзя считать достаточно защищённым: телефонные номера пользователей можно найти в интернете, а сообщения — перехватить. Ситуация осложняется возможностью применять подменные номера. Конечно, этот метод лучше, чем полное отсутствие MFA, но при возможности лучше отдать предпочтение альтернативам.

Подтверждение по электронной почте

Этот метод реализовывается аналогично отправке кода доступа по СМС, однако в данном случае одноразовый код направляется пользователю по электронной почте. Метод сопряжён с теми же самыми рисками: электронную почту можно взломать, а письмо — перехватить.

Если вы используете этот метод как часть MFA, напоминайте пользователям о необходимости использования сложных паролей и периодической их смены.

Одноразовый пароль на основе времени (TOTP) или состояния (HOTP)

TOTP — это уникальный код (чаще всего шестизначный), сгенерированный алгоритмом и действующий в течение ограниченного интервала времени, обычно — от 30 до 60 секунд.

Такой метод подтверждения личности считают одним из наиболее защищённых, поэтому его активно используют в системах двухфакторной аутентификации для входа в учётную запись после ввода логина и пароля. Способ удобен и тем, что пользователь может использовать для хранения кодов менеджер паролей TOTP или специальное приложение.

При аутентификации на основе состояния коды формируются с учётом количества ранее поступивших запросов. Одноразовые пароли HOTP генерируются при помощи хеш-функции (HMAC). В отличие от TOTP, они опираются на значение счётчика, а не времени. Такой код действителен до тех пор, пока он не будет использован либо пока не будет запрошен новый.

Коды TOTP / HOTP вполне надёжно защищены: злоумышленник может украсть пароль только в том случае, если получит доступ к устройству, генерирующему код, или инфицирует его вредоносной программой.

Аппаратный ключ безопасности

В роли физических токенов могут выступать средства электронной подписи (смарт-карты, USB-ключи) и ключи доступа FIDO2 / U2F. Проверка личности производится путём считывания аппаратного ключа через USB-порт или специальное устройство. 

FIDO2 и U2F — это стандарты двухфакторной аутентификации, обеспечивающие высокую надёжность. Аппаратные токены FIDO2 / U2F становятся всё более популярными среди специалистов по ИБ. Удобны они и для простых пользователей. Чтобы начать пользоваться аппаратным ключом, достаточно привязать токен к рабочей машине и зарегистрировать его в совместимом с 2FA сервисе. Сделать это можно буквально за несколько щелчков мышью.

Этот способ аутентификации считают одним из самых надёжных, поскольку генерируемые токеном данные не могут быть скомпрометированы через интернет. Однако он не исключает возможность кражи или утери физического токена.

Биометрическая проверка

Ранее биометрическую идентификацию применяли только крупные компании, но сейчас эта технология стала доступна большинству пользователей. Система распознавания лиц или отпечатков пальцев есть во многих современных смартфонах.

Этот метод считают наиболее безопасным, поскольку подтверждение личности производится на основе сравнения считанных устройством характеристик с теми данными, которые хранятся в системе. Могут использоваться различные параметры, присущие только этому субъекту: рисунок вен, радужной оболочки глаза и пр.

Однако возможность утечки биометрической информации тоже невозможно полностью исключить. К примеру, раньше в системах биометрии применялись распознавание голоса и анализ клавиатурного почерка, но сейчас возможности шпионских программ сделали эти методы малоэффективными. Кроме того, некоторые биометрические факторы дают сравнительно высокое количество ошибок. Именно поэтому биометрическую аутентификацию используют обычно не как основной фактор идентификации, а в качестве дополнительного.

Классификация MFA

В зависимости от того, как реализованы выбранные факторы, процесс многофакторной аутентификации может быть внутриполосным (In-Band) или внеполосным (Out-of-Band).

Многофакторная аутентификация In-Band подразумевает, что для передачи данных в процессе реализации первого и последующих факторов проверки используется один и тот же канал. Типичный пример: для доступа к веб-сервису через рабочий компьютер пользователь сначала вводит логин и пароль, а затем на этом же ПК набирает одноразовый числовой код, поступивший ему в СМС. Хотя в подобной процедуре MFA фактически задействованы два клиентских устройства, вся аутентификационная информация проходит через компьютер пользователя. Если программа-шпион перехватила парольные данные, таким же способом она получит доступ и к коду подтверждения.

Многофакторная аутентификация Out-of-Band реализовывается таким образом, что данные для проверки первого и последующих факторов передаются по отдельным каналам связи. Например, в качестве первичного фактора аутентификации в веб-сервисе пользователь вводит логин и пароль со своего компьютера, а затем сервер предлагает ему подтвердить свою личность путём наведения камеры смартфона на QR-код. В этом случае в аутентификации участвуют два пользовательских устройства.

Многофакторную аутентификацию Out-of-Band считают более безопасной. Чтобы провести кибератаку в этом случае, злоумышленник должен добиться контроля сразу над несколькими каналами связи и устройствами, что гораздо сложнее, чем контролировать один канал и одно клиентское устройство.

Сложности внедрения многофакторной аутентификации

Чаще всего MFA нужна для доступа в приложения — разработанные самой компанией либо сторонними организациями. При этом во многих веб-приложениях встроенная MFA изначально отсутствует. Тем не менее в них может быть реализована поддержка различных стандартов, через которые удастся организовать подключение к специализированным сервисам, обеспечивающим MFA. Например, программы могут иметь поддержку взаимодействия с системой аутентификации по OpenID Connect, SAML, RADIUS, LDAP или иным протоколам. Соответственно, нужно провести техническую экспертизу по этим протоколам и выбрать техническое решение с поддержкой того или иного стандарта.

Внедрение MFA подразумевает не только настройку процессов подтверждения входа с проверкой дополнительных факторов, организованную тем или иным методом. Также нужно настроить процессы, через которые будет производиться настройка аутентификаторов для учётных записей. Это можно реализовать так: администраторы будут осуществлять первичную настройку, а далее пользователи смогут менять данные своей «учётки» самостоятельно. 

Конечно, процесс аутентификации в разных компаниях может быть выстроен по-разному, с учётом особенностей их работы и организационной структуры. Однако нужно учитывать тот факт, что пользователи будут периодически терять аппаратные ключи, менять телефоны, забывать пароли. Поэтому необходимо предусмотреть поддержку альтернативных сценариев входа либо наличие инструментов администратора для помощи пользователям на этот случай.

Также следует учитывать, что MFA — это не панацея от несанкционированного доступа. Многофакторную аутентификацию можно обойти, все перечисленные выше методы в той или иной мере уязвимы. Потому решение относительно контроля доступа должно предусматривать протоколирование существенных событий из области безопасности для возможностей мониторинга ИБ и выявления инцидентов.

Как упростить внедрение MFA в организации

Сервер аутентификации Blitz Identity Provider — это современное MFA-решение, которое легко адаптировать под потребности организации любого масштаба. Механизм защиты выбирают с опорой на доступные сотрудникам средства аутентификации и принимая в расчёт все устройства, которые они используют для доступа к информационным ресурсам компании.

Например, с помощью использования брелоков OATH HOTP / TOTP можно эффективно решить проблему компрометации паролей, в т. ч. обусловленную проникновением клавиатурных шпионов или возможностью использовать аккаунты коллег. Blitz Identity Provider обеспечивает поддержку любых аппаратных брелоков, генерирующих коды по состоянию (HOTP, RFC 4226) или по времени (TOTP, RFC 6238).

Упростить многофакторную аутентификацию можно и при использовании сотрудником корпоративного смартфона или ноутбука. В защищённой области такого устройства выпускается Passkey — ключевая пара, соответствующая определённой учётной записи.

Если сотрудник входит в ИС компании с устройства, на котором выпущена ключевая пара, распознавание пользователя производится на основе систем Touch ID / Face ID либо путём ввода ПИН-кода / код-пароля. После этого на сервер аутентификации Blitz Identity Provider передаётся ответ на запрос аутентификации, подписанный ключом Passkey.

Если же пользователь хочет подключиться к веб-ресурсам компании с другого устройства, отличного от того, на котором выпущен Passkey, браузер предложит ему войти с помощью QR-кода. Сотрудник наводит смартфон на QR-код и одновременно проходит биометрическую идентификацию. В этот момент ПК и смартфон связываются по Bluetooth, а сервер Blitz Identity Provider проверяет подпись и соответствие открытого ключа учётной записи пользователя.

Можно использовать и более привычные инструменты MFA, такие как смарт-карты или USB-токены (U2F и FIDO2). В частности, завершено тестирование на совместимость сервера аутентификации Blitz Identity Provider с устройствами линейки «Рутокен MFA», используемыми для аутентификации в веб-сервисах работающих по протоколу FIDO2 (CTAP2).

 

Рисунок 1. Blitz Identity Provider совместим с устройствами линейки «Рутокен MFA»

Blitz Identity Provider совместим с устройствами линейки «Рутокен MFA»

 

Blitz Identity Provider поддерживает 2FA на базе любых программных TOTP-генераторов (RFC 6238) — например, «Яндекс.Ключа» или Google Authenticator. Также можно подключить ПО к СМС-шлюзу и предоставлять пользователям одноразовые коды доступа по СМС или электронной почте.

Кроме того, Blitz Identity Provider может выступать и в качестве сервера OAuth 2.0, доставляя коды подтверждения в мобильное приложение посредством пуш-уведомлений. Также Blitz Identity Provider можно использовать в качестве поставщика идентификации для сервисов сторонних организаций, настольных и мобильных приложений — например, для платформы «Яндекс 360». 

При этом платформа Blitz Identity Provider не прекращает развиваться. Так, совсем недавно компания Identity Blitz сообщила о достижении совместимости с ОС «РОСА Хром 12».

Выводы

Многофакторная аутентификация (MFA) считается одним из наиболее эффективных методов защиты учётных записей, поскольку значительно снижает риски несанкционированного доступа даже в случае утечки или компрометации паролей. Особенно актуальна она для тех компаний, которые активно внедряют удалённый или гибридный формат работы, ведь сотрудники в таких организациях часто работают из разных сетей и устройств, что повышает вероятность атак.

С каждым годом потребность в инструментах многофакторной аутентификации только растёт. На отечественном рынке представлены различные решения, значительно различающиеся по функциональности, удобству и стоимости использования. Выбор продукта и метода защиты должен быть взвешенным и опираться на потребности бизнеса.

Программное обеспечение Blitz Identity Provider внесено в реестр отечественного ПО (запись от 20.05.2016 № 842) и одобрено ФСТЭК России (сертификат от 10.03.2022 № 4525), поэтому может применяться как в государственных организациях, так и в частных. Платформа предоставляет возможность использовать широкий спектр методов аутентификации, а также внедрить технологию единого доступа (Single Sign-On) для сотрудников. Благодаря этому достаточно проходить однократную аутентификацию (например, при входе в ОС рабочей станции) и не вводить различные пароли доступа каждый раз при переключении между веб-приложениями.

Независимо от выбранного варианта идентификации пользователей, рекомендуется использовать MFA для всех учётных записей, если у организации есть такая возможность. MFA помогает создавать дополнительный уровень защиты, что критически важно для обеспечения безопасности корпоративных данных и предотвращения финансовых и репутационных потерь.

Полезные ссылки: 
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru