Реклама на сайте Вход
in Фраза дня

Фраза дня: многофакторная аутентификация

апреля 21, 2026

Что такое многофакторная аутентификация?
Многофакторная аутентификация (Multifactor authentication - MFA) - это технология безопасности, которая требует нескольких методов аутентификации из независимых категорий учетных данных для проверки личности пользователя для входа в систему или другой транзакции. Многофакторная аутентификация объединяет две или более независимых учетных данных: то, что известно пользователю, например пароль; что есть у пользователя, например токен безопасности; и что такое пользователь, используя методы биометрической проверки.

Цель MFA - создать многоуровневую защиту, которая затрудняет несанкционированный доступ к цели, такой как физическое местоположение, вычислительное устройство, сеть или база данных. Если один фактор будет скомпрометирован или сломан, у злоумышленника все еще есть по крайней мере один или несколько барьеров, которые нужно взломать, прежде чем успешно взломать цель.

В прошлом системы MFA обычно полагались на двухфакторную аутентификацию (2FA). Поставщики все чаще используют многофакторную метку для описания любой схемы аутентификации, которая требует двух или более учетных данных, чтобы снизить вероятность кибератаки. Многофакторная аутентификация - это основной компонент структуры управления идентификацией и доступом.

Почему важна многофакторная аутентификация?
Одним из самых больших недостатков традиционных логинов с использованием идентификаторов пользователей и паролей является то, что пароли могут быть легко взломаны, что может стоить организациям миллионы долларов. Атаки методом грубой силы также представляют собой реальную угрозу, поскольку злоумышленники могут использовать инструменты автоматического взлома паролей, чтобы угадывать различные комбинации имен пользователей и паролей, пока не найдут правильную последовательность. Хотя блокировка учетной записи после определенного количества неправильных попыток входа в систему может помочь защитить организацию, у хакеров есть множество других методов доступа к системе. Вот почему так важна многофакторная аутентификация, поскольку она может помочь снизить риски безопасности.

Методы аутентификации MFA
Фактор аутентификации - это категория учетных данных, используемых для проверки личности. Для MFA каждый дополнительный фактор предназначен для повышения уверенности в том, что субъект, участвующий в каком-либо виде связи или запрашивающий доступ к системе, является тем, кем - или чем - он себя называет. Использование нескольких форм аутентификации может затруднить работу хакера.

Три наиболее распространенные категории или факторы аутентификации часто описываются как фактор, который вы знаете, или фактор знания; то, что у вас есть, или фактор владения; и то, что вы есть, или фактор принадлежности. MFA работает путем объединения двух или более факторов из этих категорий.

Фактор знаний. Аутентификация на основе знаний обычно требует от пользователя ответа на личный секретный вопрос. Технологии фактора знаний обычно включают пароли, четырехзначные персональные идентификационные номера (ПИН-коды) и одноразовые пароли (ОТП). Типичные пользовательские сценарии включают следующее:

  • считывание дебетовой карты и ввод ПИН-кода при оформлении заказа в продуктовом магазине;
  • загрузка клиента виртуальной частной сети с действующим цифровым сертификатом и вход в VPN перед получением доступа к сети; а также
  • предоставление информации, такой как девичья фамилия или предыдущий адрес матери, для получения доступа к системе.

Фактор владения. Для входа в систему у пользователей должно быть что-то особенное, например, значок, жетон, брелок или SIM-карта модуля идентификации абонента. Для мобильной аутентификации смартфон часто предоставляет фактор владения вместе с приложением OTP.

Технологии фактора владения включают следующее:

  • Жетоны безопасности - это небольшие аппаратные устройства, которые хранят личную информацию пользователя и используются для электронной аутентификации личности этого человека. Устройство может быть смарт-картой, встроенным чипом в объект, например накопитель с универсальной последовательной шиной (USB), или беспроводной тег.
  • Приложение с программным маркером безопасности генерирует одноразовый PIN-код для входа. Программные токены часто используются для мобильной многофакторной аутентификации, при которой само устройство, например смартфон, обеспечивает аутентификацию по фактору владения.

Типичные пользовательские сценарии фактора владения включают следующее:

  • мобильная аутентификация, при которой пользователи получают код через свой смартфон для получения или предоставления доступа - варианты включают текстовые сообщения и телефонные звонки, отправляемые пользователю как внеполосный метод, приложения для смартфонов с OTP, SIM-карты и смарт-карты с сохраненной аутентификацией данные; а также
  • прикрепление аппаратного токена USB к рабочему столу, который генерирует OTP, и использование его для входа в VPN-клиент.

Фактор принадлежности. Любые биологические особенности пользователя, подтвержденные для входа в систему. Технологии фактора принадлежности включают следующие методы биометрической верификации:

  • сканирование сетчатки или радужной оболочки
  • сканирование отпечатков пальцев
  • голосовая аутентификация
  • геометрия руки
  • сканеры цифровой подписи
  • распознавание лиц
  • геометрия мочки уха

Компоненты биометрического устройства включают считывающее устройство, базу данных и программное обеспечение для преобразования сканированных биометрических данных в стандартизированный цифровой формат и для сравнения точек совпадения наблюдаемых данных с сохраненными данными.

Типичные сценарии фактора принадлежности включают следующее:

  • использование отпечатка пальца или распознавания лиц для доступа к смартфону;
  • предоставление электронной подписи на кассе розничной торговли; а также
  • идентификация преступника по геометрии мочки уха.

Местоположение пользователя часто предлагается в качестве четвертого фактора аутентификации. Опять же, повсеместное распространение смартфонов может помочь облегчить бремя аутентификации: пользователи обычно носят свои телефоны, и все базовые смартфоны имеют функцию отслеживания глобальной системы позиционирования, обеспечивающую надежное подтверждение местоположения входа.

Аутентификация на основе времени также используется для подтверждения личности человека путем обнаружения присутствия в определенное время суток и предоставления доступа к определенной системе или местоположению. Например, клиенты банка не могут физически использовать свою карту банкомата в США, а затем в России через 15 минут. Эти типы логических блокировок могут использоваться для предотвращения многих случаев мошенничества в онлайн-банках.

Плюсы и минусы MFA
Многофакторная аутентификация была введена для усиления безопасности доступа к системам и приложениям через оборудование и программное обеспечение. Цель заключалась в аутентификации личности пользователей и обеспечении целостности их цифровых транзакций. Обратной стороной MFA является то, что пользователи часто забывают ответы на личные вопросы, подтверждающие их личность, а некоторые пользователи делятся личными идентификаторами и паролями. MFA имеет другие преимущества и недостатки.

Плюсы

  • добавляет уровни безопасности на уровне оборудования, программного обеспечения и персонального идентификатора;
  • может использовать одноразовые пароли, отправленные на телефоны, которые генерируются случайным образом в реальном времени и которые хакерам сложно взломать;
  • может уменьшить количество нарушений безопасности на 99,9% с помощью одних только паролей;
  • легко настраиваются пользователями;
  • позволяет предприятиям выбрать ограничение доступа по времени дня или местоположению; а также
  • имеет масштабируемую стоимость, так как существуют дорогие и очень сложные инструменты MFA, но также и более доступные для малого бизнеса.

Минусы

  • телефон необходим для получения кода текстового сообщения;
  • аппаратные токены могут быть потеряны или украдены;
  • телефоны можно потерять или украсть;
  • биометрические данные, рассчитываемые алгоритмами MFA для личных идентификаторов, например отпечатки большого пальца, не всегда точны и могут создавать ложные срабатывания или отрицания;
  • Проверка MFA может завершиться ошибкой при отключении сети или Интернета; а также
  • Методы MFA должны постоянно совершенствоваться для защиты от преступников, которые постоянно работают над их взломом.

Многофакторная аутентификация против двухфакторной аутентификации
Когда были впервые представлены стратегии аутентификации, целью было обеспечить безопасность, но при этом сделать ее как можно более простой. Пользователей попросили предоставить только две формы ключей безопасности, которые будут информировать систему о том, что они являются подлинными и авторизованными пользователями. Распространенными формами 2FA были идентификатор пользователя и пароль или банковская карта и PIN-код банкомата.

К сожалению, хакеры быстро обнаружили способы покупать или взламывать пароли или снимать дебетовые карты в банкоматах. Это побудило компании и поставщиков средств безопасности искать более жесткие формы аутентификации пользователей, в которых для проверки использовались бы дополнительные факторы безопасности.

Упрощение MFA
Добавление факторов безопасности в MFA еще больше усложняет использование для пользователей, которым необходимо помнить несколько паролей. Следовательно, цель MFA - упростить методы MFA для пользователей. Вот три подхода, которые используются для упрощения MFA:

  1. Адаптивный MFA. При этом знания, бизнес-правила или политики применяются к пользовательским факторам, таким как устройство или местоположение. Например, корпоративная VPN знает, что пользователь может входить в систему из дома, потому что он видит местоположение пользователя и может определить риск неправильного использования или компрометации. Но сотрудник, который получает доступ к VPN из кафе, запустит систему и должен будет ввести учетные данные MFA.
  2. Единый вход (SSO). Этот универсальный метод проверки подлинности позволяет пользователям поддерживать одну учетную запись, которая автоматически выполняет вход в несколько приложений или веб-сайтов с одним идентификатором и паролем. SSO работает путем установления личности пользователя и последующего обмена этой информацией с каждым приложением или системой, которые в ней нуждаются.
  3. Push аутентификация. Это автоматизированный метод аутентификации мобильного устройства, при котором система безопасности автоматически выдает третий одноразовый идентификационный код мобильному устройству пользователя. Например, пользователи, которые хотят получить доступ к защищенной системе, вводят свой идентификатор пользователя и пароль, а система безопасности автоматически выдает третий одноразовый идентификационный код на их мобильное устройство. Пользователи вводят этот код в систему, чтобы получить доступ. Push-аутентификация упрощает MFA, предоставляя пользователям третий код, устраняя необходимость его запоминания.
Фраза дня
Популярные посты
1
Фраза дня: CIA triad
2
Фраза дня: матрица Эйзенхауэра
3
Фраза дня: supply chain
4
Фраза дня: procure to pay (P2P)
5
Фраза дня: видеоконференции
Sign In Register