Что такое многофакторная аутентификация (MFA)?

Как работает многофакторная аутентификация?

Многофакторная аутентификация (MFA) использует несколько технологий для аутентификации личности пользователя. Напротив, однофакторная аутентификация (или просто «аутентификация») использует единую технологию для подтверждения подлинности пользователя. С MFA пользователи должны комбинировать технологии проверки как минимум из двух разных групп или факторов аутентификации. Эти факторы делятся на три категории: то, что вы знаете, что у вас есть, и то, чем вы являетесь. Вот почему использование PIN-кода с паролем (как из категории «что-то, что вы знаете») не будет считаться многофакторной аутентификацией, в то время как использование PIN-кода с распознаванием лиц (из категории «что-то вы есть») будет считаться. Обратите внимание, что пароль не требуется для получения права на MFA. Решение MFA может быть полностью беспарольным.

Также допустимо использовать более двух методов аутентификации. Однако большинству пользователей нужна беспроблемная аутентификация (возможность проверки без необходимости выполнения проверки).

Какие факторы аутентификации используются в MFA?

Ниже приведены три основные категории:

• Кое-что, что вы знаете (фактор знания)
  Обычно это пароль, PIN-код или кодовая фраза, или набор секретных вопросов и соответствующие ответы на них, известные только человеку. Чтобы использовать фактор знаний для MFA, конечный пользователь должен правильно ввести информацию, соответствующую деталям, которые ранее хранились в онлайн-приложении.
• То, что у вас есть (фактор владения)
  До смартфонов пользователи носили токены или смарт-карты, которые генерировали одноразовый пароль или код доступа (OTP), который можно было ввести в онлайн-приложение. Сегодня большинство пользователей устанавливают на свои смартфоны приложение-аутентификатор для генерации ключей безопасности OTP.
• То, что вы есть (фактор неотъемлемости)
  Биометрические данные о человеке варьируются от отпечатков пальцев, сканирования сетчатки глаза, распознавание лиц , а также распознавание голоса для поведения (например, насколько сильно или быстро человек набирает текст или проводит пальцем по экрану).

Чтобы добиться многофакторной аутентификации, для процесса аутентификации должны использоваться как минимум две разные технологии из как минимум двух разных технологических групп. В результате использование PIN-кода в сочетании с паролем не будет считаться многофакторной аутентификацией, в то время как использование PIN-кода с распознаванием лиц в качестве второго фактора будет. Также допустимо использовать более двух форм аутентификации. Однако большинству пользователей все чаще требуется беспроблемная аутентификация (возможность проверки без необходимости выполнения проверки).

В чем разница между двухфакторной и многофакторной аутентификацией?

Следует рассматривать двухфакторная аутентификация (2FA) , решение всегда требует от пользователя представления двух факторов аутентификации из двух разных категорий, таких как фактор владения и фактор знания, для проверки своей личности. Многофакторная аутентификация шире, чем двухфакторная аутентификация. Это требует от организации использования двух или более факторов в процессе аутентификации.

Какие существуют типы технологий многофакторной аутентификации?

Ниже приведены распространенные технологии MFA:

• Биометрическая аутентификация
  Биометрические технологии — это форма аутентификации, которая точно и безопасно аутентифицирует пользователей через их мобильные устройства. Наиболее распространенными биометрическими методами являются сканирование отпечатков пальцев и распознавание лиц. Биометрическая аутентификация также включает в себя поведенческую биометрию, которая обеспечивает невидимый уровень безопасности за счет постоянной аутентификации человека на основе уникальных способов его взаимодействия со своим компьютером или мобильным устройством: нажатия клавиш, рисунок смахивания, движения мыши и т. Д.
• Аппаратные токены
  Аппаратные аутентификаторы — это небольшие, простые в использовании устройства, которые владелец несет для авторизации доступа к сетевой службе. Поддерживая строгую аутентификацию с одноразовыми паролями (OTP), физические токены обеспечивают фактор владения для многофакторной аутентификации, обеспечивая повышенную безопасность для банков и поставщиков приложений, которым необходимо защитить несколько приложений с помощью одного устройства.
• Мобильная аутентификация
  Мобильная аутентификация — это процесс проверки пользователя с помощью его устройства Android или iOS или проверки самого устройства. Эта технология позволяет пользователям входить в систему для защиты местоположений и получать доступ к ресурсам из любого места с повышенной безопасностью.
• Внеполосная аутентификация
  Этот тип аутентификации требует вторичного метода проверки через отдельный канал связи, обычно через Интернет-соединение человека и беспроводную сеть, в которой работает его мобильный телефон. Это примеры внеполосных технологий:
  • Код Cronto®
    Этот цветной QR-код может аутентифицировать или авторизовать финансовую транзакцию. Человек видит этот цветной QR-подобный код, отображаемый через его веб-браузер. Только зарегистрированное устройство человека может прочитать и расшифровать код. Он содержит детали транзакции, которые пользователь может проверить перед завершением транзакции, что делает ее очень безопасной.
  • Отправить уведомление
    Push-уведомления доставляют код аутентификации или одноразовый пароль на мобильное устройство пользователя. В отличие от SMS-сообщения, уведомление появляется на экране блокировки устройства.
  • SMS-сообщение или голосовое сообщение
    Одноразовые коды доступа доставляются на мобильное устройство пользователя с помощью текстового SMS-сообщения или голосового сообщения.
  • Мягкий токен
    Программные аутентификаторы или «токены на основе приложений» генерируют одноразовый PIN-код для входа. Часто эти программные токены используются для случаев использования MFA, когда устройство пользователя — в данном случае смартфон — обеспечивает фактор владения.

Зачем организациям нужна многофакторная аутентификация?

Мошенничество с захватом учетных записей (ATO) — это растущая угроза кибербезопасности, подпитываемая изощренной социальной инженерией (например, фишинговыми атаками), мобильным вредоносным ПО и другими атаками. Правильно разработанные и реализованные методы MFA более надежны и эффективны против изощренных атак, чем устаревшая однофакторная аутентификация по имени пользователя и паролю, которая может быть легко взломана киберпреступниками с помощью широко доступных хакерских инструментов.

Каковы основные преимущества MFA?

В рамках своей стратегии безопасности организации используют MFA для достижения:

• Повышенная безопасность
  Многофакторная аутентификация обеспечивает повышенную безопасность по сравнению со статическими паролями и процессами однофакторной аутентификации.

• Соответствие нормативным требованиям
  Многофакторная аутентификация может помочь организациям соблюдать отраслевые нормы. Например, MFA необходим для удовлетворения требований строгой аутентификации PSD2 для строгой аутентификации клиентов (SCA).

• Улучшенный пользовательский интерфейс
  Отказ от использования паролей может улучшить качество обслуживания клиентов. Сосредоточившись на задачах аутентификации с низким уровнем трения, организации могут повысить безопасность и улучшить взаимодействие с пользователем.

Как облачные вычисления влияют на MFA?

Банки, финансовые учреждения и другие организации, предоставляющие финансовые услуги, начинают переходить от приложений с внутренним хостингом к облачным приложениям типа «программное обеспечение как услуга» (SaaS), таким как Office 365, Salesforce, Slack и OneSpan Sign. В результате количество конфиденциальных данных и файлов, размещенных в облаке, увеличивается, что повышает риск утечки данных скомпрометированной личной информации (PII), что приводит к захвату учетных записей. Угрозу безопасности усугубляет то, что пользователи приложений SaaS могут находиться где угодно, а не только в корпоративных сетях. Дополнительные уровни безопасности, обеспечиваемые MFA, по сравнению с простой защитой паролем могут помочь противостоять этим рискам. В дополнение к факторам знания, владения и принадлежности некоторые технологии MFA используют факторы местоположения, такие как адреса управления доступом к среде (MAC) для устройств, чтобы гарантировать, что ресурс доступен только с определенных устройств.  

Еще один способ воздействия облака на MFA — облачный хостинг решений MFA, которые, как правило, более рентабельны в реализации, менее сложны в администрировании и более гибки, чем локальные решения. Облачные продукты могут предоставлять больше возможностей, ориентированных на мобильных пользователей, таких как мобильные приложения для аутентификации, push-уведомления, контекстная аналитика, такая как геолокация, и биометрия.

Как банкам начать работу с многофакторной аутентификацией?

Решения для многофакторной аутентификации OneSpan были разработаны с нуля для защиты учетных записей и транзакций, предлагая несколько факторов аутентификации при одновременном удовлетворении требований к простому процессу входа в систему. OneSpan потратила значительное время и ресурсы на создание простых в использовании, масштабируемых и надежных решений, обеспечивающих надежную аутентификацию с использованием ряда простых вариантов проверки, таких как цветные QR-коды и Bluetooth. Это включает:

Почему потребители финансовых услуг должны использовать MFA?

Потребители должны использовать MFA всякий раз, когда они получают доступ к конфиденциальным данным. Хороший пример — использование банкомата для доступа к банковскому счету. Владелец учетной записи использует MFA, комбинируя то, что он знает (PIN-код), и то, что у него есть (карта банкомата). Точно так же при входе в учетную запись Facebook, Google или Microsoft из нового места или устройства потребители используют MFA, вводя что-то, что они знают (пароль), и второй фактор, что-то, что у них есть (мобильное приложение, которое получает push или SMS-уведомление).

Двухфакторная и строгая аутентификация — настройка

Одной из основных составляющих системы безопасности информации, является процедура аутентификации пользователя. Аутентификация обеспечивает защиту доступа к информации, и чем важнее и ценнее информация, тем надежнее должна быть аутентификация.

Надёжность, а также, тип, технология и средства аутентификации зависят, прежде всего, от важности защищаемой информации, полномочий и прав пользователей ресурса и его администраторов. Также, требования к надежности аутентификации могут определяться на основании вероятности инцидента и анализа рисков возможного финансового, репутационного, или организационного ущерба.

Тип аутентификации может быть выбран в зависимости от сценария работы — будь то удалённое пользование системой, мобильное, или же, работа с компьютера домашнего — и от полномочий и прав доступа к системе пользователя (администратор, менеджер, руководитель).

Надёжную защиту в процессе допуска к системе обеспечивает двухфакторная аутентификация. Это процедура аутентификации, состоящая из ввода данных двумя параллельными способами. Например, уполномоченный пользователь предоставляет смарт-карту и вводит пароль на устройстве ввода. В таком случае, злоумышленникам недостаточно будет подобрать, или подсмотреть пароль — необходимо использовать и физическое устройство хранения данных, украсть которое, уже, становится большой проблемой.

Строгая аутентификация

Более надежным способом, позволяющим избежать несанкционированный доступ к информационному ресурсу, является строгая аутентификация. В данном случае, пользователь, с помощью закрытого криптографического ключа, доказывает свои права проникновения в систему, обмениваясь последовательно подписываемой информацией с другой стороной в защищенном режиме. При этом, строгая аутентификация полностью исключает возможность подделки, или клонирования закрытого криптографического ключа, который представляет собой персональный секрет пользователя.

Для обеспечения строгой аутентификации используется инфраструктура и криптография открытых ключей (PKI) — смарт-карты, USB- и MicroSD- токены, базирующиеся на специализированном микроконтроллере, которые выполняют криптографические алгоритмы, и представляют собой аппаратное решение PKI-инфраструктуры. Они способны обеспечить надежную безопасность закрытого криптографического ключа пользователя, даже во время работы в опасных средах.

Строгая аутентификация подразумевает использование двух факторов аутентификации различных типов:

• первый фактор — наличие токена, или смарт-карты;
• второй фактор — PIN-код для совершения криптографических операций, непосредственно, внутри устройства (токен, смарт-карта).

Если же, речь идёт о доступе к системе с критически важной информацией, рационально будет применить и третий фактор аутентификации — идентификацию пользователя с помощью биометрических данных. В данном случае, использование токена без его владельца, является совершенно невозможным.

ИТ-компания «Азон» предлагает своим клиентам самые безопасные, надёжные и эффективные решения, касающиеся строгой и двухфакторной аутентификации от лидеров рынка информационной безопасности, для реализации квалифицированной защиты доступов к различным информационным ресурсам.

Решения для двухфакторной и строгой аутентификации

Продукция компании «Рутокен»

Среди продуктов компании «Рутокен» имеется выбор программных комплексов и устройств для осуществления многофакторной аутентификации пользователей, а также, формирования электронной подписи и обеспечения безопасности хранения криптографических ключей. Данные устройства, согласно стандартам ГОСТ, способны на аппаратном уровне осуществлять криптографические операции и обеспечить надежную безопасность информации внутри контроллера.

Вся продукция «Рутокен» сертифицирована ФСБ и ФСТЭК Российской Федерации.

Продукция компании «Аладдин Р.Д.»

«Аладдин Р.Д.» сегодня является ведущим лидером на российском рынке технологий строгой, двухфакторной и биометрической аутентификации пользователей. С помощью смарт-карт, USB-, MicroUSB- и MicroSD-токенов воплощается строгая и двухфакторная аутентификация.

Продукция «Аладдин Р.Д.», также, имеет все необходимые сертификаты ФСТЭК и ФСБ России.

Продукция компании ESET

Двухфакторная аутентификация ESET Secure Authentication — корпоративное решение для организации двухфакторной аутентификации (2FA) безопасного доступа к программному обеспечению и важной информации компании.

Узнать стоимость внедрения двухфакторной аутентификации

В чем состоит разница между аутентификацией и авторизацией

Аутентификация и авторизация – две ключевые функции сервисной инфраструктуры для защиты конфиденциальных данных и операций от несанкционированного доступа со стороны злоумышленников.

Хотя эти два термина используются в одном контексте, они представляют собой принципиально разные понятия, поскольку осуществляют защиту взаимодополняющими способами.

Аутентификация

Аутентификация используется для подтверждения личности зарегистрированного пользователя. Проверка подлинности – это процесс проверки учетных данных: идентификатора пользователя (имени, адреса электронной почты, номера телефона) и пароля.

Если идентификатор и пароль совпадают с записями, хранящимися в базе данных системы, пользователю предоставляется доступ. В случае неправильного ввода данных программа вызывает предупреждение безопасности и блокирует вход. Если неудачных попыток будет несколько, система заблокирует саму учетную запись.

Факторы аутентификации

Метод стандартной аутентификации не может обеспечить абсолютную безопасность при входе пользователя в систему. Для создания более надежной защиты используются дополнительные категории учетных данных (факторов).

• Однофакторная аутентификация (SFA) – базовый, традиционный метод проверки подлинности с использованием только одной категории. Наиболее распространенным примером SFA являются учетные данные, связанные с введением имени пользователя и обычного пароля.

• Двухфакторная аутентификация (2FA) – двухступенчатый процесс проверки, который учитывает два разных типа пользовательских данных. Помимо логина и пароля, для обеспечения дополнительного уровня защиты, система может запросить особый код, присланный в SMS сообщении или в письме электронной почты.

• Многофакторная аутентификация (MFA) – самый современный метод проверки подлинности, который использует два, три (или больше) уровня безопасности. Категории всех уровней должны быть независимыми друг от друга, чтобы устранить любую уязвимость в системе. Финансовые организации, банки, правоохранительные органы пользуются многофакторной аутентификацией для защиты своих данных от потенциальных угроз.

Примером MFA является использование банковских карт. Наличие карты – первый фактор защиты, введение пин-кода – второй.

Авторизация

Происходит после того, как личность пользователя успешно аутентифицируется системой. Процесс авторизации определяет, имеет ли прошедший проверку человек доступ к определенным ресурсам: информации, файлам, базе данных. Факторы проверки подлинности, необходимые для авторизации, могут различаться в зависимости от уровня безопасности.

Например, процесс проверки и подтверждения идентификаторов сотрудников и паролей в организации называется аутентификацией, но определение того, какой сотрудник имеет доступ к определенным ресурсам, называется авторизацией. Предположим, что вы путешествуете и собираетесь сесть на самолет. Когда вы предъявляете свой билет и удостоверение личности перед регистрацией, то получаете посадочный талон, который подтверждает, что администрация аэропорта удостоверила вашу личность. Но это не все. Чтобы получить доступ к внутренней части самолета и его ресурсам, вам необходимо получить разрешение бортпроводника на посадку.

Заключение

Доступ к системе защищен как аутентификацией, так и авторизацией. Любая попытка доступа аутентифицируется путем ввода учетных данных, но она может быть принята только после успешной авторизации. И наоборот, если попытка аутентифицирована, но не авторизована, система запретит доступ к своим ресурсам.
Хотя, оба термина часто используются в сочетании друг с другом, они имеют совершенно разные понятия и значения. Если аутентификация – это то, кем вы являетесь, авторизация –это то, к чему вы можете получить доступ.

Что такое MFA — многофакторная аутентификация? —

Что такое многофакторная аутентификация (MFA)?

Наша жизнь давно насыщена различными гаджетами, через которые мы общаемся с внешним миром, передаем информацию и получаем ее. Мы просыпаемся и засыпаем с смартфоном в руках, мы завтракаем с ноутбуком и с ним же ложимся спать после просмотра очередного фильма. Жизнь сместилась в цифровой мир.

Вы проверяете электронную почту, входите в аккаунты социальных сетей и вводите номер своей кредитной карты для оплаты новых покупок в Интернете. Каждый раз, когда мы обмениваемся конфиденциальными данными, такими как пароли, банковская информация или адрес проживания в Интернете, все чаще становится важным находить способы защиты в области кибербезопасности в Интернете и знать как обеспечить свою информационную безопасность .

Каждая из наших цифровых учетных записей подвержена риску взлома, поэтому важно добавить дополнительный уровень защиты с многофакторной аутентификацией (MFA).

Многофакторная аутентификация — это метод аутентификации (идентификации), который требует от пользователя представления двух или более доказательств личности, чтобы получить доступ и войти в свою учетную запись. И только после ввода всей этой необходимой информации, Вы получаете доступ в свой аккаунт. Это может быть номер телефона, адрес электронной почты или ответ на какой-то (известный только Вам) секретный вопрос.

Хотя MFA объединяет любое количество факторов аутентификации, наиболее распространенным из них является двухфакторная аутентификация (2FA). Необходимость в MFA также может быть вызвано неудачной идентификацией в 2FA или подозрительными действиями предполагаемой личности.

Это характерно для систем 2FA, способных переходить в MFA. Это может также потребоваться для обеспечения дополнительной безопасности при доступе к более важным файлам или конфиденциальным данным, таким как медицинские или финансовые записи. То есть обычная 2FA может давать доступ ко всем социальным сетям, например, а MFA к медицинским или финансовым Вашим данным.

Дополнительные уровни безопасности в процессе входа в систему могут обеспечить уверенность в том, что ваша личная информация останется защищенной и не попадет в чужие руки.

Как работает многофакторная аутентификация?

Важно отметить, что существует два основных типа многофакторной аутентификации .

• Приложение MFA: процесс аутентификации, который активируется, когда пользователь пытается получить доступ к одному или нескольким приложениям.
• Устройство MFA: процесс аутентификации, который немедленно активирует MFA в точке входа в систему.

Хотя они являются отдельными процессами, MFA в основном одинаковый для обоих типов. Когда пользователь пытается получить доступ к чему-либо (телефону, ноутбуку, серверу), он сталкивается с многофакторной аутентификацией и вынужден вводить два или более факторов аутентификации. Если основные поставщики удостоверений (IdP) подтвердит эти факторы, им будет предоставлен доступ.

Одним из наиболее часто задаваемых факторов аутентификации — ваш номер телефона. Обычно с помощью MFA вы вводите свое имя пользователя и пароль при входе в систему, а затем уникальный код, который отправляется посредством текстового сообщения на Ваш мобильный телефон.

Это доказывает, что вы помните как имя пользователя и пароль, так и то, что у вас есть смартфон, который «зарегистрирован» как устройство для получения кодов этих типов.

Каковы факторы аутентификации?

Фактор аутентификации — это категория учетных данных для идентификации во время проверки. Когда эти факторы используются в MFA, каждый дополнительный фактор увеличивает уверенность в том, что лицо, пытающееся получить доступ к учетной записи, является тем, кем оно о себе заявляет.

Ваши учетные данные делятся на три категории:

• Знание: что-то, что знает только пользователь, например, его пароль или уникальный пин-код.

• Владение: что-то, что есть только у пользователя, например, смартфон или аппаратный токен., флэшка.
• Принадлежность: нечто, принадлежащее только этому пользователю, например, отпечаток пальца, голос или сетчатка глаза.

Например, при входе в банковское приложение на смартфоне приложение отправляет пользователю текст для ввода кода, прежде чем он сможет получить доступ к своей учетной записи. Этот метод MFA относится к категории «что-то, что вы знаете», так как это PIN-код, который пользователь должен ввести, прежде чем он сможет полностью подключиться к своему банковскому счету в Интернете.

В этом случае приложение Discover Card делает еще один шаг, запрашивая у Вас при входе в систему отпечаток пальца.

Или ситуация с заправкой топлива на АЗС. Например после того, как Вы вставите банковскую карту для оплаты — система может запросить какую-либо информацию, которую Вы точно знаете — индекс или девичью фамилию мамы. И это Вы точно знаете. Но такой способ уже устарел.

Адаптивная аутентификация

Более современные факторы аутентификации учитывают контекст поведения входа в систему.

Например, система может распознать, что хакер выполняет вход из странного места за тысячи миль, или заметить, что новое устройство пытается получить доступ к вашей учетной записи. Система также учитывает время попытки входа в систему и тип сети, к которой вы обращаетесь. Если какой-либо из этих факторов окажется необычным, будет активирована адаптивная аутентификация. Этот способ идентификации сейчас очень популярен, так как позволяет собрать некоторые привычные факторы пользователя в единый портрет.

Адаптивная аутентификация использует искусственный интеллект и машинное обучение, чтобы заметить любые странные действия (поведение) в вашей учетной записи. Любое необычное, не стандартное поведение (вход в систему с нового места или в уникальное время суток) заставит систему активизировать дополнительные проверки, такие как идентификационный код человека или коды с электронной почты.

Со временем адаптивная аутентификация изучит все возможные шаблоны поведения пользователя и в конечном итоге перестанет требовать проверку своей личности, если они начнут часто посещать новое местоположение или все больше и больше использовать новое устройство. То есть система самообучаемая.

Типы многофакторной аутентификации

Обычно при покупках в онлайн магазинах для доступа к своим аккаунтам, Вы используете 2-3 типа MFA, но на самом деле их существует намного больше. Давайте разберемся.

Коды с электронной почты

Эти коды будут отправлены пользователю, запрашивающему доступ по электронной почте. Получение кода по электронной почте является одним из наиболее распространенных типов MFA и может быть хорошим вариантом, если ваш телефон потерян, украден или просто находится в другом недоступном месте.

Текстовые токены

Текстовый токен идентичен коду электронной почты, только через другое средство связи. Получение текстовых токенов является простым вариантом реализации и может использоваться практически любым.

После ввода вашего имени пользователя и пароля на ваш телефон будет отправлен одноразовый пароль (OTP) в виде пин-кода. Номер действует как второй фактор аутентификации и вводится на следующей странице / экране.

Биометрическая проверка

Биометрическая проверка может быть разной, от идентификации отпечатков пальцев до распознавания лица. Пользователи со смарт-устройствами или компьютерами могут воспользоваться этой технологией для дальнейшего усиления своей онлайн-защиты. Использование биометрической проверки обычно менее хлопотно, чем одноразовый пароль, и может сделать МФА быстрее и проще.

Аппаратные токены (устройства)

Хотя предыдущие три типа MFA были виртуальными, аппаратный токен является физическим. Этот способ идентификации считается одним из самых безопасных методов MFA, но и более дорогим.

Многие компании будут предлагать аппаратные токены своим наиболее ценным пользователям и клиентам, чтобы сохранить их в качестве постоянных. Как правило, аппаратный токен является лучшим вариантом для защиты таких вещей, как банковская информация, страховка или информация о финансах и инвестициях.

Пользователи вставляют токен в устройство или компьютер для доступа к информации. Это может быть доступ к информации на мобильном устройстве. В этом случае им может понадобиться «ключ» USB.

Единственный недостаток — вы должны следить за тем, где находится токен. И если вы потеряли его или забыли его дома, вы не сможете получить доступ к своим учетным записям. То есть Вы крайне сильно привязаны к физическому объекту.

Вопросы безопасности (секретные вопросы)

Я думаю каждый из нас не раз сталкивался с секретными вопросами безопасности. Чаще всего это происходит в банках и финансовых структурах, как одна из проверок Вас как личности. В этом случае Вам надо придумать (или принять один из предложенных вариантов) некоторый вопрос, ответ на который будет записан в Ваше личное дело.
Ранее мы публиковали статью топ книг для чтения о кибербезопасности, которая может помочь не только обычному пользователю, но и рядовому бизнесу узнать основы кибербезопасности.

Примеры вопросов:

• — Как звали Вашего первого питомца?
• — На какой улице Вы выросли (родился)?
• — Какая девичья фамилия вашей матери?
• — Какая у Вас была кличка в детстве?

При входе в свою учетную запись вы вводите свое имя пользователя и пароль, а затем вас попросят дать ответ на секретный вопрос. Более сильные версии секретных вопросов (так называемые динамические вопросы) создаются в режиме реального времени на основе таких записей в истории, как последние транзакции и кредитная история.

Надо понимать, что MFA довольно защищенный способ, но если хакер фокусируется на Вас, он может проанализировать все ваши социальные сети и найденный контент о Вас и попытаться собрать все данные, которые могли бы касаться перечня вопросов выше.

Другие примеры многофакторной аутентификации:

• — Сканирование сетчатки или радужной оболочки
• — Одноразовые коды приложений для смартфонов
• — Поведенческий анализ
• — USB-устройства, значки, другие физические устройства

Чем больше типов многофакторной аутентификации вы внедрили, тем безопаснее становятся ваши конфиденциальные данные. Даже если у хакера есть доступ к двум из трех типов, он все равно не сможет идти дальше, и ваш процесс MFA будет успешным.

Зачем использовать многофакторную аутентификацию?

Хотя некоторые считают, что этот процесс является незначительным неудобством или его настройка занимает слишком много времени, в долгосрочной перспективе стоит задуматься о более высоком уровне безопасности. В 2016 году во всем мире было взломано около одного миллиарда учетных записей.

Конечная цель MFA — создать линию защиты между вашей информацией и хакерами. Сами сайты, к которым Вы подключаетесь значительно затрудняют доступ посторонних лиц. И даже если они могут знать ваш пароль, они не смогут воссоздать второй фактор аутентификации (ваш отпечаток пальца, текстовый код или ответ на секретный вопрос).

В прошлом в системах MFA применялась только двухфакторная аутентификация, но с ростом числа кибератак пользователи начали активно использовать двух и более факторов для дополнительных уровней защиты. Хотя мы не можем предотвратить все онлайн-преступления, принятие таких простых мер, как использование 2FA или MFA, может значительно снизить вероятность взлома.

Если МФА доступен, вы должны использовать его, особенно когда речь идет о вашей наиболее конфиденциальной информации, такой как ваши финансовые счета, медицинские записи и ваш основной адрес электронной почты.

Безопасность MFA

Насколько безопасна многофакторная аутентификация? Безопасность в конечном итоге зависит от вашей настойчивости. Если вы готовы потратить время на ввод нескольких факторов аутентификации для доступа к своей учетной записи, вы можете потерять несколько минут своего дня, но в долгосрочной перспективе вы будете намного лучше защищены.

Кроме того, хитрые пароли (особенно разнообразные хитрые пароли) — ваш лучший выбор, когда речь заходит о безопасности аккаунта. Если вы хотите улучшить свой процесс MFA, вы можете выполнить одно из следующих действий:

• — Попросите свой банк внедрить многофакторную аутентификацию.
• — Старайтесь избегать аутентификации вашей личности с помощью социальной проверки, так как они подвергаются наибольшему риску взлома. Не идентифицируйтесь по возможности на сайтах через социальные сети.
• — Изучите какие методы MFA для Вас будут более комфортны.

Достижение 100% гарантии безопасности никогда не произойдет, но если вы будете настойчивы в своей онлайн-безопасности, даже самые умные хакеры не смогут украсть вашу личную информацию.

Преимущества многофакторной аутентификации

В настоящее время люди ожидают, что многофакторная аутентификация будет частью любой настройки учетной записи. Сейчас она внедряется как базовый элемент безопасности.

• — MFA обеспечивает более высокий уровень защиты, чем просто имя пользователя и пароль.
• — Пользователи и клиенты могут чувствовать себя более ценными компаниями, которые используют MFA.
• — MFA может подключаться с помощью программного обеспечения единого входа и предоставлять пользователям более простой и безопасный процесс входа в систему.

Сегодня становится все опаснее хранить конфиденциальную информацию в Интернете или даже в облаке. Рост количества использования многофакторной аутентификации облегчает жизнь и компаний и обычных людей, а также значительно усиливает общую защиту от хакерских атак

Если вы готовы найти идеальное решение для обеспечения безопасности вашей информации, посмотрите лучшие инструменты многофакторной аутентификации на G2.

Два лучше, чем один ( а три еще лучще)

В следующий раз, когда вы зарегистрируете учетную запись, убедитесь, что у вас есть дополнительные несколько минут, чтобы настроить MFA и защитить все ваши конфиденциальные данные.

Чем отличается авторизация от аутентификации

Послушать аудиоверсию этой статьи (6 минут):

Так. Минутка терминологии для грамотных айтишников. 

Аутентификация — это когда нужно подтвердить, что мы это именно мы, а не кто-то другой. 

Например, можно пройти аутентификацию по логину и паролю. Предполагается, что никто не передаёт свой пароль другому человеку, и если кто-то ввёл логин и пароль Васи — он и есть Вася (потому что этот пароль знает только Вася).

Есть и другие варианты. Например, когда звонит телефон и на нём высвечивается надпись «Мама», мы предполагаем, что, ответив на звонок, мы будем разговаривать с мамой. Это аутентификация по номеру звонящего. Но окончательно мы в этом убедимся, только когда услышим её голос в трубке. Это аутентификация по голосу. 

Раньше для разблокировки телефона нужно было вводить код, пароль или рисовать узор на экране — это тоже способы аутентификации, чтобы доказать телефону, что вы его владелец. С появлением датчика отпечатка пальца и распознавания лица мы перешли на биометрическую аутентификацию. 

Авторизация — это когда система смотрит на результат аутентификации и решает, что этому пользователю можно делать, а что нельзя. В ИТ для этого вводят разные уровни доступа, например:

• Гостевой логин и пароль разрешают только просматривать файлы на сервере в определённой папке и больше ничего. 
• Обычные пользователи могут входить по своим логинам и паролям и могут просматривать файлы во всех папках. Но добавлять новые файлы они тоже не могут — не хватает прав доступа.
• Администраторы могут делать на сервере что угодно.

Пример авторизации из жизни

Давайте представим ситуацию в очень законопослушной стране:

— Здравствуйте, гражданин, предъявите документы!

— А вы, собственно, кто? 

— Я лейтенант Иванов, 3-е отделение ППС, вот моё удостоверение.

— Ну-ка, дайте гляну фото. Да, действительно, вы Иванов из полиции, вот мой паспорт.

Перед тем как гражданин согласился показать документы, он убедился, что Иванов — именно тот, за кого себя выдаёт. Это был этап аутентификации — гражданин запросил документы, сверил лицо человека с фотографией, прочитал должность и срок действия документов.

После того как аутентификация была пройдена, человек с удостоверением получил нужный уровень доступа — право запрашивать документы у этого гражданина. Если бы удостоверение было просрочено или на фотографии был другой человек, то уровень авторизации остался бы тем же, что и в самом начале, и документы можно не показывать.

Аутентификация и авторизация одной картинкой

Что дальше

Следующий этап — двухфакторная аутентификация. Она нужна, чтобы усложнить жизнь злоумышленникам, которые украли чей-то логин и пароль. Про неё — в другой раз.

Текст:

Михаил Полянин

Редактура:

Максим Ильяхов

Художник:

Даня Берковский

Корректор:

Ирина Михеева

Вёрстка:

Мария Дронова

Соцсети:

Олег Вешкурцев

Двухэтапная аутентификация — Справка

Ваш сайт WordPress.com — это ваш дом в Интернете, поэтому следует внимательно отнестись к его безопасности. Вы наверняка уже установили для вашей учетной записи уникальный и сложный пароль. Для дополнительной безопасности включите двухэтапную аутентификацию.

Содержание

---

Что такое двухэтапная аутентификация?

Двухэтапная аутентификация — это метод защиты учетной записи, основанный на применении следующих двух факторов: известная только вам информация (пароль) для входа в систему и ваше физическое устройство (мобильное устройство или ключ). Преимущество этого метода обеспечения безопасности заключается в том, что даже если кто-то сможет подобрать ваш пароль, то для доступа в вашу учетную запись ему понадобится доступ к вашему устройству.

На платформе WordPress.com используется двухэтапная аутентификация с помощью мобильного устройства и физического ключа безопасности. Сначала необходимо подтвердить ваше мобильное устройство, отправив на него код одним из возможных способов. После проверки мобильного устройства можно также добавить аутентификацию с использованием физического ключа.

После настройки двухэтапной аутентификации каждый раз при входе с паролем система будет отправлять на ваше устройство новый код, который вам необходимо будет ввести, либо вы можете подключить физический ключ к устройству перед входом в систему. Это небольшой дополнительный шаг при входе в систему, который позволяет существенно повысить безопасность вашей учетной записи.

---

Настройка с использованием приложения аутентификации

Чтобы настроить двухэтапную аутентификацию с использованием приложения для аутентификации, такого как Google Authenticator, Authy или Duo на вашем устройстве, для начала откройте браузер на настольном компьютере.

Откройте страницу настроек двухэтапной аутентификации на WordPress.com.

Вы также можете перейти к настройкам, нажав изображение вашего профиля на домашней странице WordPress.com.

Затем нажмите ссылку «Безопасность» в навигационной панели в левой части экрана.

После щелкните Двухэтапная аутентификация, а затем — Начать.

На этом этапе вам будет предложено выбрать страну местонахождения и указать номер вашего мобильного телефона (без кода страны, пробелов и тире). После этого щелкните Проверка с помощью приложения.

Теперь отсканируйте QR-код из приложения аутентификации. В приложении аутентификации будет показано 6-значное число. Введите его в соответствующее поле и нажмите Включить.

Наконец, вам будет предложено распечатать резервные коды. Не пропускайте этот шаг, поскольку это ваш единственный способ входа в учетную запись без помощи наших сотрудников в случае потери вашего устройства.

Обратите внимание. Если в вашем веб-браузере настроена блокировка всплывающих окон, может потребоваться временное отключение этой функции, так как она препятствует открытию окна с резервными кодами.

Нажмите Готово.

Теперь у вас на веб-сайте используется двухэтапная аутентификация. В следующем шаге необходимо проверить резервные коды, указав один из напечатанных кодов.

---

Настройка с использованием SMS-кодов

При невозможности использования двухэтапной аутентификации с помощью приложения аутентификации ее также можно настроить с помощью SMS-сообщений. Для этого укажите номер телефона, как указано выше, а затем нажмите Подтверждение по SMS.

Через несколько секунд вы получите текстовое сообщение с 7-значным кодом. Введите его в пустое поле и нажмите Включить.

Сейчас вы можете распечатать и проверить резервные коды, как описано выше. Ваша учетная запись теперь защищена с помощью двухэтапной аутентификации.

Приложения для смартфонов, блокирующие автоматические вызовы, также могут блокировать сообщения с кодами.

---

Аутентификация с ключом безопасности

WordPress.com поддерживает проверку входа с помощью физического ключа безопасности по стандарту WebAuthn.

Вместо ввода кода из SMS-сообщения или приложения, такого как Google Authenticator, после ввода пароля необходимо подключить физический ключ. Затем следует нажать кнопку на этом ключе, чтобы завершить аутентификацию и войти в систему. Без физического ключа никто не сможет войти в вашу учетную запись даже при наличии пароля.

Требования

• Компьютер с USB-портом и последней версией совместимого браузера, например Chrome, Firefox, Opera или Edge.
  (Примечание. В настоящее время эта функция наилучшим образом поддерживается в браузерах Chrome и Firefox, поэтому для наиболее согласованной работы рекомендуется использовать эти браузеры.)
• Необходим ключ, подключаемый к USB-порту и работающий по стандарту FIDO2, например Yubico YubiKey или Google Titan Key (также могут использоваться устройства с более ранним стандартом FIDO U2F). Проверьте справочную документацию вашего ключа для получения дополнительной информации о типах устройств и браузерах, в которых поддерживается ваш ключ.

Добавление ключа

Примечание. Чтобы добавить ключ безопасности, необходимо сначала включить двухэтапную аутентификацию с помощью SMS или приложения аутентификации в соответствии с приведенными выше инструкциями.

После настройки двухэтапной аутентификации с помощью приложения или SMS отобразится параметр для добавления ключа безопасности. Нажмите Зарегистрировать ключ.

Можно зарегистрировать несколько ключей и дать название каждому из них, чтобы впоследствии отличать их друг от друга. Введите уникальное имя и щелкните Зарегистрировать ключ.

Теперь подключите ключ к USB-порту компьютера и, в зависимости от типа ключа, нажмите кнопку или золотой диск на ключе.

На экране должно появиться сообщение об успешной регистрации. Теперь ключ будет указан в разделе ключей безопасности.

После выполнения этой настройки вы сможете получить доступ к вашей учетной записи только при наличии физического ключа, поэтому отнеситесь к нему так же, как к ключам от вашего дома или автомобиля и храните его в безопасности.

Также рассмотрите возможность добавления второго ключа в качестве запасного варианта для входа, который необходимо хранить в доступном для вас месте на тот случай, если что-то случится с вашим первым ключом. Для добавления дополнительных ключей щелкните Зарегистрировать ключ повторно.

Удаление ключа

Чтобы удалить добавленный ранее ключ безопасности (например, если ключ потерян или перестал работать), его следует отключить от учетной записи.

Перейдите на страницу двухэтапной аутентификации в настройках профиля, нажмите на значок корзины рядом с ключом и выберите Удалить ключ в появившемся сообщении о подтверждении.

---

Вход в систему

Процесс входа с двухэтапной аутентификацией немного отличается от обычного входа. Независимо от применяемого метода (Google Authenticator или SMS-код) двухэтапной аутентификации, для входа в систему сначала всегда требуется ввести имя пользователя и пароль.

Войдите на WordPress.com

Далее вам будет предложено ввести проверочный код, отправленный на ваше устройство.

Если настроена двухэтапная аутентификация с помощью приложения аутентификации, откройте приложение на своем устройстве и используйте для вашей учетной записи соответствующий 6-значный код. Если настроена двухэтапная аутентификация по SMS, посмотрите 6-значный код в отправленном на ваше устройство текстовом сообщении. Указав код, вы завершите вход в систему и будете готовы к работе.

Если у вас настроен ключ безопасности, появится всплывающее окно с запросом подтверждения с помощью ключа, приложения аутентификации или SMS. Чтобы войти с помощью ключа, нажмите Продолжить, используя ключ безопасности.

Далее появится всплывающее окно с запросом подключения ключа. Подключите ключ к USB-порту компьютера и, в зависимости от типа ключа, нажмите кнопку или коснитесь золотого диска на ключе, чтобы завершить вход в систему.

Примечание. Если с момента появления запроса на подтверждение до момента проверки пройдет некоторое время, запрос будет отменен и появится сообщение об ошибке. Просто нажмите Продолжить, используя ключ безопасности еще раз, чтобы возобновить проверку.

---

Резервные коды

Мы хотим, чтобы вы сохранили возможность входа в систему, даже если вы потеряли доступ к своей учетной записи WordPress.com (она была потеряна, украдена, заблокирована по какой-либо причине) или ваше устройство было сброшено (с удалением приложения Google Authenticator).

Чтобы всегда иметь возможность войти в учетную запись, можно создать набор из 10 одноразовых резервных кодов. Рекомендуется распечатать резервные коды и хранить их в надежном месте, например в кошельке или среди важных документов. (Не храните их на компьютере. Так они будут доступны любому пользователю вашего компьютера.) 

Создание резервных кодов является обязательной процедурой. Чтобы использовать резервный код, просто начните вход в систему как обычно и в ответ на запрос кода для входа введите резервный код.

В конце процесса настройки двухэтапной аутентификации вам будет предложено создать резервные коды.

Распечатайте коды, а не просто сохраните их, и подтвердите, что вы это сделали. Затем нажмите Готово, чтобы закрыть экран настройки.

В случае потери или кражи списка резервных кодов можно создать новый. Для дополнительной безопасности после создания нового набора кодов все созданные ранее коды будут аннулированы.

Набор резервных кодов можно создать только в браузере на настольном компьютере. Например, в браузере Safari в системе iOS резервные коды отображаться не будут. Кроме того, если в веб-браузере настроена блокировка всплывающих окон, необходимо временно отключить эту функцию, так как она препятствует открытию окна с резервными кодами.

---

Пароли для приложений

Возможно, некоторые приложения, подключенные к вашей учетной записи WordPress.com, еще не полностью поддерживают двухэтапную аутентификацию. Наиболее распространенные среди них — это приложения Jabber, используемые для подписки на блоги WordPress.com. Для этих приложений можно создавать уникальные пароли (например, пароли на телефоне и планшете могут отличаться). Впоследствии можно отключить отдельные пароли и заблокировать приложения из своей учетной записи, чтобы другие пользователи не могли получить доступ к вашим сайтам.

Чтобы создать пароли для конкретного приложения, перейдите в меню двухэтапной аутентификации в раздел «Пароли для приложений».

Укажите название приложения (только вы будете видеть это имя, поэтому выберите название по своему усмотрению) и нажмите «Создать пароль». WordPress.com создаст уникальный 16-значный пароль, который необходимо скопировать и вставить при следующем входе в учетную запись на этом устройстве. Приложение автоматически запомнит этот пароль, поэтому вам не обязательно его где-то хранить.

На странице безопасности будет приведен список всех приложений, для которых были созданы пароли. Если какое-либо из ваших устройств потеряно, украдено или вы просто хотите закрыть доступ определенному приложению, в любой момент откройте страницу безопасности и нажмите значок «X», чтобы отключить пароль и запретить доступ приложения к вашей учетной записи.

---

Отключение двухэтапной аутентификации

Не рекомендуется отключать двухэтапную аутентификацию, поскольку она обеспечивает высокий уровень безопасности, даже несмотря на надежный пароль. Однако вы можете отключить эту функцию на странице двухэтапной аутентификации. 

На странице будет показано, что функция включена, для ее отключения следует нажать кнопку Отключить двухэтапную аутентификацию.  Появится окно с запросом ввода кода для подтверждения наличия у вас доступа к устройству, использованному при первоначальной настройке двухэтапной аутентификации. При использовании приложения аутентификации, откройте его и введите указанный в нем код. Если настроена отправка кода по SMS, вам будет отправлен соответствующий код. (Этот код отличается от кода, который вы использовали для входа в учетную запись. На этом этапе можно также использовать один из резервных кодов.)

Нажмите Отключить после ввода кода, и в вашей учетной записи больше не будет применяться защита с помощью двухэтапной аутентификации.

Примечание.Для отключения двухэтапной аутентификации нельзя использовать ключ безопасности, только код, полученный по SMS, в приложении аутентификации или резервный код.

---

Переход на новое устройство

Если вы планируете сменить устройство и в учетной записи включена двухэтапная аутентификация, необходимо выполнить следующие действия во избежание случайной блокировки учетной записи.

При использовании приложения аутентификации для создания проверочных кодов.

1. Распечатайте набор резервных кодов для входа в учетную запись пользователя, выполнив указанные здесь действия. НЕ ПРОПУСКАЙТЕ ЭТОТ ШАГ.
2. На новом устройстве установите приложение аутентификации.
3. Отключите привязку двухэтапной аутентификации к старому устройству, следуя этой инструкции.
4. Настройте в учетной записи пользователя новое устройство в соответствии с этими инструкциями.
5. Если вам будет предложено ввести код подтверждения, используйте код из списка резервных кодов. Каждый из резервных кодов можно использовать только один раз.
6. Теперь можно удалить приложение аутентификации со старого устройства.

При использовании мобильного приложения WordPress.com для управления и публикаций на сайте.

1. Создайте новый пароль для приложения следуя этим инструкциям.
2. Введите созданный пароль при использовании приложения на новом устройстве.

Если у вас настроена аутентификация с помощью SMS-кода, при переходе на новое устройство настройки изменять нужно только в том случае, если вы также меняете и номер телефона. В этом случае следует установить новый номер для восстановления перед отключением старого номера для отправки SMS-кодов в соответствии с этими инструкциями.

---

Действия в случае потери устройства

Если устройство потеряно, удалено приложение аутентификации или вы просто не можете войти в учетную запись, резервный код — это единственная возможность восстановить доступ.

Чтобы использовать резервный код, введите данные для входа как обычно. При запросе кода для входа введите резервный код. Напоминание. Каждый резервный код можно использовать только один раз, поэтому будьте внимательны при их применении.

Двухфакторная аутентификация, что такое, для чего нужна

Что такое двухфакторная аутентификация, как она защищает пользователя и обязательно ли ее устанавливать?

07 мая 2021 года Разное 3 минуты, 29 секунд читать 543

Защита данных — это важно. Благодаря взлому социальных сетей, мошенники могут добыть информацию о ваших картах, личной жизни и получить доступ к фото.

Что такое двухфакторная аутентификация?

Этот механизм защитит ваш аккаунт. Он работает надежнее, чем обычный пароль.

Двухфакторная аутентификация — это распознавание пользователя с помощью двух запросов. Так злоумышленники не смогут получить доступ к вашим данным.

Обычно, чтобы эффективно защитить аккаунт, нужно придумывать сложные пароли и помнить их, причем для разных платформ требуется разный пароль. На практике это сложно реализовать, потому что информация о ключах теряется, и мошенники могут обходить первый слой защиты различными методами. Например, вирусы могут перехватывать ваши действия на устройстве, запоминать то, что вы вводите на клавиатуре или считывать данные буфера обмена.

Если включить двухфакторную аутентификацию, то перед входом в учетную запись, вам придет смс на телефон или почту с дополнительным ключом. 

Система запрашивает дополнительный код в нескольких случаях: после включения двухфакторной аутентификации, пользователь впервые входит в учетную запись, вход на новом устройстве, после очистки файлов cookie, с последнего входа прошло 30 и более дней.

Выглядит это так: сначала вы вводите логин пароль, вам на почту, либо в смс, либо в специальное приложение приходит код, который вы позже вводите на платформе. По сути, вы должны пройти два этапа подтверждения личности, что очень полезно. Иногда второй слой двухфакторной аутентификации бывает в виде биометрических данных или USB-ключа.

Итак, двухфакторная аутентификация — это два ключа: тем, что вы запоминаете — логин и пароль, и тем, что вам приходит в виде смс.

Зачем нужна двухфакторная аутентификация?

Двухфакторная аутентификация эффективна в защите ваших данных, но не гарантирует 100% безопасности. Нужно понимать, что киберпреступники придумывают гениальные способы обойти любую систему защиты. Однако двухфакторная система наиболее надежный барьер, который хотя бы осложнит махинации мошенников. Благодаря ей вы сможете заранее вычислить, что ваш аккаунт на платформе пытаются взломать. Тогда вы можете сменить пароль, чтобы наверняка защитить данные.

Пароли проигрывают, потому что у них есть 2 основных недостатка: легкая пробиваемость и незамысловатость. Пользователи часто используют легкие пароли и сразу один для нескольких платформ, что есть большая ошибка. Если же человек придумывает сложные пароли, то с большей вероятностью, он их потеряет. Хранить пароли в заметках тоже опасно, потому что злоумышленники вирусом проникают в устройство и считывают данные.

В случае с двухфакторной аутентификацией, мошеннику придется влезать вам в телефон, либо взломать почту. Поэтому на почте также лучше ставить систему “второго фактора”.

Как включить двухфакторную аутентификацию?

На любой из платформ почти одинаковый алгоритм для включения двухфакторной аутентификации:

• Откройте настройки учетной записи любой социальной сети или программы и перейдите по кнопке «Пароль и безопасность».
• Внизу страницы, под заголовком «Двухфакторная аутентификация», щелкните «Включить аутентификатор».
• Потом нужно будет выполнить несколько действий, которые потребует система, чтобы уточнить данные пользователя.

Есть также несколько приложений для настройки двухфакторной аутентификации, которые мы рекомендуем:

• Google Authenticator
• LastPass Authenticator
• Microsoft Authenticator
• Authy

Какой бы вы сервис не использовали, всегда включайте двухфакторную аутентификацию, чтобы элементарно подстраховаться от кражи данных. Банковские приложения, аккаунты в соцсетях, iCloud, почтовые ящики и ваши служебные учетные записи — все это стоит защитить двухфакторной аутентификацией. Сервисы Google, Apple и все основные социальные сети позволяют это сделать в настройках.

Если аккаунт и его содержимое вам дороги, усиливайте защиту данных.

Что такое аутентификация?

За последние несколько лет мы все стали свидетелями всплеска числа пользовательских онлайн-платформ, обслуживающих все услуги, которые только можно себе представить. Это связано с тем, что предоставление доступа к цифровым данным облегчило борьбу потребителей.

Например, теперь вы можете заказать еду, просто войдя на сайт общепита. Легко, верно? Теперь все на расстоянии одного клика. Ваши банковские операции, бизнес, развлечения, такие как фильмы и Netflix. Все!

Но со всеми этими сервисами возникает серьезная задача для поставщиков услуг, и эта задача состоит в том, чтобы убедиться, что вы являетесь их реальным потребителем, а не самозванцем, пытающимся украсть данные.Таким образом, для проверки пользователей предприятия используют технический подход, называемый аутентификацией.

Что такое аутентификация

Аутентификация — это процесс уникальной идентификации человека с помощью набора учетных данных. В цифровом мире аутентификация называется проверкой личности человека или электронного устройства.

Аутентификация становится необходимой, поскольку повышает безопасность данных потребителя. Без подтверждения или аутентификации никто не сможет войти на сайт и получить доступ к вашим данным.Самый популярный пример аутентификации — вход в систему с использованием учетных данных для входа.

В связи с огромным увеличением числа цифровых платформ растет спрос на различные процессы аутентификации как для онлайновых, так и для физических систем.

Как используется аутентификация

Аутентификацию можно разделить на две основные категории.

1. Аутентификация между человеком и машиной
2. Межмашинная аутентификация

При любом из указанных выше типов аутентификации требуются определенные учетные данные.При проверке человеком у нас есть идентификатор пользователя и пароль, установленные потребителем, а для машин у нас есть сертификаты и IP-адреса, а также другая информация.

Как правило, потребитель должен выбрать или создать идентификатор пользователя и соответствующий пароль для этого уникального идентификатора, который система будет использовать для проверки достоверности пользователя. Многие компании используют аутентификацию для проверки пользователей, которые пытаются войти на их цифровые платформы. Но если данные потребителей попадут в руки киберпреступников, это может вызвать серьезные проблемы.Следовательно, компании обеспечивают использование мер безопасности высокого уровня, которые включают использование другого расширенного уровня аутентификации, такого как многофакторная аутентификация.

Как работает аутентификация

Как упоминалось выше, потребитель должен создать уникальный идентификатор пользователя и пароль при регистрации. Система будет использовать эти данные для проверки потребителя всякий раз, когда он попытается войти в систему в следующий раз. Эти учетные данные будут храниться в базе данных компаний или в локальной операционной системе через сервер аутентификации.

Теперь, когда потребитель вводит эти учетные данные при входе в систему, введенные учетные данные сопоставляются с теми, которые хранятся в базе данных. Если учетные данные совпадают, потребителю предоставляется доступ на портал; иначе доступ запрещен.

Теперь возникает вопрос, как создать такие учетные данные, которые можно легко запомнить?

Существует несколько способов упростить проверку. Эти способы:

1. Вещи, которые вы знаете (знания) : Этот метод включает вопросы, на которые можете ответить только вы.Какая девичья фамилия вашей матери? Или как зовут вашего ребенка? Цель состоит в том, чтобы подтвердить вашу личность с помощью этих вопросов, потому что вы единственный, кто может ответить на них.
2. Вещи, которые у вас есть (владение) : Этот метод включает проверку с помощью вещей, которые у вас есть или которыми вы владеете, таких как мобильный телефон. Уведомление о проверке будет отправлено на экран вашего телефона, и когда вы разрешите его только с этого экрана, вы сможете войти в свою учетную запись.
3. Вещи, которыми вы являетесь (наследство) : Отпечаток пальца или сканирование сетчатки глаза обычно подтверждают этот фактор.Цель этого метода ясна; только вы можете иметь свой отпечаток пальца и никто другой.

Чем полезна аутентификация для бизнеса

В связи с тем, что сообщения об утечках данных постоянно становятся все более популярными, а потребители все более активно участвуют в обеспечении своей информационной безопасности, большинство компаний уже осознают важность кибербезопасности.

Даже малые предприятия имеют некоторую аутентификацию для своих систем. Для этого сотрудникам предлагается ввести единый пароль для доступа к данным компании.Таким образом, предприятия обеспечивают доступ к конфиденциальной информации только уполномоченным лицам.

Заключение

В этой статье мы рассказали об основах аутентификации и о том, как она используется. Мы также рассмотрели, как работает аутентификация и каковы преимущества для организаций.

Привет!

Авторизация и аутентификация: поймите разницу

Две неразделимые стороны медали сетевой безопасности: аутентификация и авторизация гарантируют, что только нужные люди получат доступ к ИТ-ресурсам вашей компании.Аутентификация проверяет личность пользователя, а авторизация гарантирует, что аутентифицированные пользователи получают доступ только к определенным разрешенным ресурсам.

Поскольку сетевая безопасность выходит за рамки устаревших технологий, таких как VPN, четкое понимание роли каждого процесса в управлении доступом становится как никогда важным. В этой статье объясняется разница между авторизацией и аутентификацией и обсуждается растущая роль каждого из них в современных подходах к безопасности, таких как сеть с нулевым доверием.

Что такое аутентификация?

Аутентификация — это процесс подтверждения личности. Он отвечает на вопрос: «Является ли этот человек тем, за кого себя выдает?»

Код ключа для многоквартирного дома является повседневным примером аутентификации. Наличие кода является доказательством того, что человек является резидентом дома. Эквивалентным примером в мире сетевой безопасности может быть веб-сайт, защищенный паролем. Владение пользователем паролем подтверждает личность пользователя.

Конечно, эти сценарии зависят от того, будут ли люди сохранять конфиденциальность своих учетных данных.Процесс аутентификации может быть скомпрометирован, если пароль будет передан другим, например, если жильцы дома передают свои коды доставщику.

Факторы аутентификации

Оба сценария являются примерами однофакторной аутентификации, когда для проверки личности пользователя используются одни учетные данные или фактор. Факторы аутентификации можно разделить на три широкие категории: знание, владение и неотъемлемость. Вы часто слышите, как эти факторы резюмируются как что-то, что вы знаете, что-то, что у вас есть, или что-то, чем вы являетесь.

• Факторы знаний:  Коды доступа, PIN-коды и пароли являются наиболее распространенными примерами факторов идентификации, основанных на том, что люди знают. Аутентификация проверяется на основе уникальной информации, которую знает пользователь, а не владения физическим объектом или сертификатом. Как мы видели, этот тип аутентификации может быть легко скомпрометирован из-за плохой безопасности или небрежности.
• Факторы владения:  Идентификационные бейджи, защитные брелоки и приложения для проверки подлинности могут подтверждать личность, используя то, что есть у людей.Однако их можно потерять, украсть или оставить, поскольку они являются физическими объектами. Цифровые элементы, такие как сертификаты безопасности, представляют собой еще один тип проверки подлинности на основе владения, который связывает проверку с уникальными факторами, хранящимися у конкретного пользователя или устройства.
• Присущие факторы:  Сканирование отпечатков пальцев, распознавание лиц и другие биометрические технологии подтверждают личность пользователя на основе того, кто он есть. Эти факторы аутентификации считаются более безопасными из-за их уникальности для конечного пользователя; однако еще предстоит доказать эффективность этих методов обеспечения безопасности против растущей изощренности нарушений безопасности.Кроме того, перчатки или другие распространенные помехи могут помешать работе проверки подлинности, что затрудняет реализацию таких функций безопасности.

Комбинация факторов аутентификации

Используемый в системе однофакторной аутентификации каждый тип фактора аутентификации имеет режимы отказа, которые препятствуют подтверждению личности пользователя или могут позволить кому-то другому выдать себя за пользователя.

Поэтому системы многофакторной аутентификации (MFA) были построены так, чтобы полагаться на два или более факторов, предпочтительно из разных категорий, для подтверждения личности человека.

Простой пример многофакторной аутентификации происходит всякий раз, когда вы проходите через службу безопасности аэропорта. Сотрудник TSA попросит ваши водительские права государственного образца (что-то, что у вас есть) и сравнит изображение на правах с вашим лицом (что-то, чем вы являетесь).

Заботящиеся о безопасности веб-сайты не только запрашивают ваш пароль (что-то, что вы знаете), отправляя код безопасности на ваш смартфон (что-то, что у вас есть).

Но проверки личности пользователя недостаточно. Прохождение службы безопасности в аэропорту не дает вам возможности свободно бродить по взлетно-посадочной полосе.Аутентификация завершает только первый шаг в управлении доступом. Далее идет Авторизация.

Что такое авторизация?

Авторизация дает пользователю право доступа к определенным ресурсам. Он отвечает на вопрос: «Что разрешено делать этому аутентифицированному лицу?»

Политика безопасности в аэропорту или на веб-сайте определяет, к чему у вас есть доступ. Прохождение через контрольно-пропускной пункт TSA дает вам право бродить по общественным зонам аэропорта, но не в запретных зонах, таких как взлетно-посадочная полоса.Точно так же двухфакторная аутентификация веб-сайта позволяет вам получить доступ только к информации, относящейся к вашей учетной записи.

Ваша система авторизации определяет, какие пользователи имеют разрешение на доступ к определенным ресурсам при определенных обстоятельствах. Контекст доступа пользователя — состояние его устройства или сетевого подключения — становится все более важным, поскольку компании внедряют политику работы на дому, использования собственных устройств (BYOD) и смешанной рабочей силы. Разработка стратегий для динамической идентификации контекста пользовательского запроса на доступ сегодня является явным пробелом в сетевой безопасности.

Крах безопасности VPN

Сочетание общедоступного Интернета с технологиями безопасности VPN сделало удаленный доступ простым и доступным даже для самого малого бизнеса. Но основные предположения безопасности VPN делают эту технологию важным вектором для нарушений безопасности.

Первоначально разработанная для подключения удаленных сотрудников к офисной сети, парадигма VPN предполагает, что аутентифицированные соединения имеют право доступа ко всему в защищаемой сети. В результате скомпрометированные учетные данные пользователей и неисправленная прошивка VPN предоставили киберпреступникам свободный доступ к корпоративным и государственным сетям по всему миру.

Критерии авторизации

Системы авторизации заменяют универсальный доступ технологий VPN раздельным подходом. Компании разрабатывают политики и критерии, ограничивающие доступ пользователей к бизнес-ресурсам. Эти политики должны включать:

• Разрешения на основе ролей:  Сотрудники должны получать доступ только к тем ресурсам, которые им необходимы для выполнения их работы, концепция, называемая «доступ с наименьшими привилегиями». Продавцам нужен доступ к системам управления взаимоотношениями с клиентами, но они не должны иметь доступа к серверу разработки.
• Разрешения устройства:  Благодаря политикам BYOD и работы на дому меньше сотрудников используют локальные компьютеры, управляемые компанией. Если пользователи своевременно не установят обновления операционной системы и исправления безопасности, их устройства могут быть скомпрометированы. Оценка уровня безопасности каждого устройства должна ограничивать права доступа пользователя.
• Разрешения на размещение:  Таким образом, характер сетевого подключения пользователя также должен влиять на разрешения на доступ.Предоставление администратору отдела кадров доступа к записям сотрудников из их домашнего офиса — это одно. Но позволить им это делать при использовании незащищенного общедоступного Wi-Fi в кофейне во время поездки за границу — совсем другое дело.
• Статические и динамические разрешения:  В идеале срок действия разрешений должен истекать в конце каждого сеанса. На практике традиционные системы безопасности делают это слишком неудобным для пользователей. Вот почему общедоступный веб-сайт газеты разрешает доступ до тех пор, пока файл cookie находится в браузере подписчика.К сожалению, те же рассуждения часто применимы и к корпоративным сетям.

В чем разница между авторизацией и аутентификацией?

Аутентификация и авторизация — это два отдельных и обязательных шага в процессе управления доступом компании. Вы не можете иметь одно без другого и сохранить целостность безопасности вашей сети.

• Аутентификация ничего не делает, кроме подтверждения личности. Пользователь не может получить доступ к сетевым каталогам, файлам или другим ресурсам.
• Авторизация  без аутентификации ничего не делает. Система авторизации должна знать, кто такой пользователь, прежде чем она сможет предоставить разрешения на доступ.

Совместная работа аутентификации и авторизации дает вашей компании больший контроль над тем, кто получает доступ к каким ресурсам.

Как реализовать авторизацию и аутентификацию?

Вы найдете разнообразную экосистему поставщиков и поставщиков услуг, готовых улучшить управление аутентификацией на основе удостоверений уже сегодня.Однако простая привязка этих аутентификационных данных к динамическим правам авторизации — это следующий «гигантский скачок» для ИТ-команд. Поставщики, ориентированные на аутентификацию, обычно нацелены на следующие ниши:

• Поставщики облачной аутентификации:  Okta и Auth0 предоставляют решения для аутентификации для облачных корпоративных инфраструктур.
• Традиционные сетевые поставщики:  Cisco и Aruba Networks предлагают решения по управлению доступом, оптимизированные для компаний, использующих стандартное оборудование.
• Поставщики облачных услуг:  Microsoft Azure и Amazon Web Services предлагают собственные системы управления идентификацией и работают со сторонними поставщиками.
• Решения для смешанной аутентификации: Yubico и RSA Security разрабатывают аппаратные и программные решения для аутентификации.
• Поставщики услуг единого входа через социальные сети:  через OpenID и проприетарные системы пользователи проходят аутентификацию через учетные записи Facebook, Twitter и других социальных сетей.

Идентификация и разрешения в сети с нулевым доверием

Сеть с нулевым доверием (ZTN) — это современный подход к сетевой безопасности, который устраняет недостатки традиционных технологий безопасности, таких как VPN.Как мы уже упоминали ранее, технологии VPN защищают доступ к сети, но обеспечивают универсальный доступ к ресурсам в этой сети. Для устранения этой внутренней слабости безопасности требуются уровни инфраструктуры. В совокупности эти обходные пути делают сетевую безопасность хрупкой, дорогой в управлении и сложной в масштабировании.

Как следует из названия, ZTN исходит из того, что ничему в сети нельзя доверять. Поскольку ни один пользователь никогда не заслуживает доверия, ZTN относится к ИТ-руководителю, сидящему за рабочим столом в центре обработки данных, так же, как к представителю службы поддержки, подключенному к сети Wi-Fi в отеле на своем ноутбуке.Независимо от того, кто они, как они подключаются или какое устройство используют, ZTN требует новой аутентификации каждый раз, когда пользователь пытается получить доступ к любому ресурсу.

В отличие от решений VPN, системы безопасности ZTN не предоставляют пользователям неограниченную авторизацию ко всем ресурсам в сети компании. ZTN создает безопасный периметр вокруг каждого ресурса. После аутентификации в системе ZTN пользователи могут видеть только те ресурсы, к которым им разрешен доступ в соответствии с требованиями, установленными ИТ-командой. Каждая попытка доступа истекает в конце каждого сеанса и должна быть возобновлена ​​при повторном подключении пользователя.

Решение Twingate ZTN заменяет накладные расходы устаревших систем VPN за счет упрощенной, но более безопасной системы контроля доступа. Twingate интегрируется с поставщиками удостоверений (IdP), такими как Okta и OneLogin, что упрощает реализацию политик доступа с минимальными привилегиями в существующей инфраструктуре компании.

Современная безопасность зависит от аутентификации и авторизации

Аутентификация и авторизация являются важными элементами вашей стратегии сетевой безопасности. Внедрение надежной политики MFA, которая уравновешивает пользовательский опыт с безопасностью динамической системы управления доступом, необходимо для минимизации риска нарушения безопасности вашей организации.Пользователи должны иметь доступ к необходимым им ресурсам, но только в тех случаях, когда это считается безопасным.

Ни аутентификация, ни авторизация не могут безопасно функционировать сами по себе, но вместе они представляют собой мощный инструмент. Twingate защищает ресурсы вашей компании, будь то локальные или облачные, и интегрируется с вашим предпочтительным IdP, чтобы обеспечить простое в развертывании решение с нулевым доверием.

Попробуйте Twingate бесплатно сегодня. Мы хотели бы услышать, что вы думаете.

Уязвимости аутентификации | Академия веб-безопасности

По крайней мере, с концептуальной точки зрения уязвимости аутентификации являются одними из самых простых проблем для понимания.Однако они могут быть одними из самых важных из-за очевидной связи между аутентификацией и безопасностью. Помимо потенциального предоставления злоумышленникам прямого доступа к конфиденциальным данным и функциональным возможностям, они также открывают дополнительную поверхность атаки для дальнейших эксплойтов. По этой причине изучение способов выявления и использования уязвимостей аутентификации, в том числе способов обхода общих мер защиты, является фундаментальным навыком.

В этом разделе мы рассмотрим некоторые из наиболее распространенных механизмов аутентификации, используемых веб-сайтами, и обсудим их потенциальные уязвимости.Мы выделим как врожденные уязвимости в различных механизмах аутентификации, так и некоторые типичные уязвимости, возникающие из-за их неправильной реализации. Наконец, мы предоставим некоторые основные рекомендации о том, как вы можете обеспечить максимальную надежность ваших собственных механизмов аутентификации.

Лаборатории

Если вы уже знакомы с основными понятиями, лежащими в основе уязвимостей аутентификации, и просто хотите попрактиковаться в их использовании на реальных, преднамеренно уязвимых целях, вы можете получить доступ ко всем лабораторным работам в этом разделе по ссылке ниже.

Посмотреть все лаборатории аутентификации

Что такое аутентификация?

Аутентификация — это процесс проверки личности данного пользователя или клиента. Другими словами, необходимо убедиться, что они действительно являются теми, за кого себя выдают. По крайней мере частично, веб-сайты открыты для всех, кто подключен к Интернету по дизайну. Таким образом, надежные механизмы аутентификации являются неотъемлемым аспектом эффективной веб-безопасности.

Существует три фактора аутентификации, на которые можно разделить различные типы аутентификации:

• Что-то, что вы знаете , например, пароль или ответ на секретный вопрос.Их иногда называют «факторами знаний».
• Что-то у вас есть , то есть физический объект вроде мобильного телефона или токена безопасности. Их иногда называют «факторами владения».
• Что-то вы или делаете, например, ваши биометрические данные или модели поведения. Их иногда называют «факторами неотъемлемости».

Механизмы аутентификации основаны на ряде технологий для проверки одного или нескольких из этих факторов.

В чем разница между аутентификацией и авторизацией?

Аутентификация — это процесс проверки того, что пользователь действительно является тем, за кого он себя выдает , тогда как авторизация включает проверку того, разрешено ли пользователю делать что-либо .

В контексте веб-сайта или веб-приложения аутентификация определяет, действительно ли кто-то, пытающийся получить доступ к сайту с именем пользователя Carlos123 , является тем же человеком, который создал учетную запись.

После аутентификации Carlos123 его разрешения определяют, имеет ли он право, например, получать доступ к личной информации о других пользователях или выполнять такие действия, как удаление учетной записи другого пользователя.

Как возникают уязвимости аутентификации?

Вообще говоря, большинство уязвимостей в механизмах аутентификации возникают одним из двух способов:

• Механизмы аутентификации слабы, потому что они не могут адекватно защитить от атак грубой силы.
• Логические недостатки или плохой код в реализации позволяют злоумышленнику полностью обойти механизмы аутентификации. Иногда это называют «сломанной аутентификацией».

Во многих областях веб-разработки логические ошибки просто приводят к неожиданному поведению веб-сайта, что может быть проблемой безопасности, а может и не быть. Однако, поскольку аутентификация настолько важна для безопасности, вероятность того, что ошибочная логика аутентификации подвергает веб-сайт проблемам безопасности, явно возрастает.

Каково влияние уязвимой аутентификации?

Воздействие уязвимостей аутентификации может быть очень серьезным. После того как злоумышленник либо обошел аутентификацию, либо взломал учетную запись другого пользователя, он получает доступ ко всем данным и функциям, которыми обладает взломанная учетная запись. Если им удастся скомпрометировать учетную запись с высоким уровнем привилегий, например системного администратора, они могут получить полный контроль над всем приложением и потенциально получить доступ к внутренней инфраструктуре.

Даже компрометация учетной записи с низким уровнем привилегий может по-прежнему предоставить злоумышленнику доступ к данным, которые в противном случае у него не должны быть, например к конфиденциальной коммерческой информации. Даже если учетная запись не имеет доступа к каким-либо конфиденциальным данным, она все равно может позволить злоумышленнику получить доступ к дополнительным страницам, которые обеспечивают дополнительную поверхность для атаки. Часто определенные атаки высокой серьезности невозможны с общедоступных страниц, но они могут быть возможны с внутренней страницы.

Уязвимости в механизмах аутентификации

Система аутентификации веб-сайта обычно состоит из нескольких отдельных механизмов, в которых могут возникать уязвимости. Некоторые уязвимости широко применимы во всех этих контекстах, тогда как другие более специфичны для предоставляемой функциональности.

Мы более подробно рассмотрим некоторые из наиболее распространенных уязвимостей в следующих областях:

Обратите внимание, что некоторые лабораторные работы требуют перечисления имен пользователей и подбора паролей.Чтобы помочь вам в этом процессе, мы предоставили краткий список возможных имен пользователей и паролей, которые вы должны использовать для решения лабораторных задач.

Уязвимости в сторонних механизмах аутентификации

Если вы любите взламывать механизмы аутентификации, после завершения наших основных лабораторий аутентификации более продвинутые пользователи могут попробовать наши лаборатории аутентификации OAuth.

Предотвращение атак на собственные механизмы аутентификации

Мы продемонстрировали несколько способов, которыми веб-сайты могут быть уязвимы из-за того, как они реализуют аутентификацию.Чтобы снизить риск таких атак на ваши собственные веб-сайты, существует несколько общих принципов, которым вы всегда должны следовать.

Что такое аутентификация? — JumpCloud

Аутентификация — это процесс подтверждения того, что кто-то является тем, кем он себя называет, особенно когда речь идет о цифровой идентификации. Это процесс, который должен происходить каждый раз, когда конечный пользователь обращается к ресурсу. Аутентификация абсолютно необходима для поддержания безопасной ИТ-инфраструктуры.Если в вашем процессе аутентификации есть какие-либо недостатки, то кто-то, кто не должен, может получить доступ к критически важным компонентам вашей инфраструктуры.

Итак, давайте посмотрим, как происходит процесс аутентификации, и какие существуют различные методы аутентификации.

Процесс аутентификации

Процесс аутентификации обычно начинается с того, что пользователь попадает на экран входа в систему. Затем пользователь вводит свое имя пользователя, пароль или ключ SSH.Затем эти учетные данные сравниваются с учетными данными, которые находятся в файле в каталоге, приложении или устройстве. Если учетные данные совпадают, пользователь получает доступ, но если учетные данные не совпадают, пользователю отказано в доступе.

Методы аутентификации

Пароли

Имя пользователя и пароль — это один из самых простых методов аутентификации и один из самых популярных методов, используемых для аутентификации на ресурсе. Однако достижения в области технологий и все более изощренные методы взлома снизили эффективность этого метода.

Когда-то у пользователей было всего несколько паролей — один для своей системы и один для электронной почты. Но с появлением веб-приложений и облачных ресурсов сегодня пользователям требуется длинный список паролей для доступа ко всем своим ресурсам. Иметь десять разных паролей и помнить каждый из них сложно, поэтому конечные пользователи склонны использовать один и тот же пароль или использовать очень простые пароли.

Развитие социальных сетей также упростило поиск нужной информации, необходимой для взлома простого пароля.Это побудило организации использовать более длинные и сложные пароли или вообще использовать другие методы аутентификации, такие как ключи SSH.

Ключи SSH

Некоторым пользователям по роду деятельности требуются еще более безопасные методы аутентификации, чем те, которые может обеспечить пароль. В этих случаях ключи SSH являются распространенным методом безопасной аутентификации. Ключи SSH — это учетные данные для доступа к протоколу SSH. Протокол SSH — это безопасный процесс удаленного входа в одну систему из другой системы.Например, протокол SSH обычно используется для подключения систем к удаленным серверам. Соединение, которое устанавливается между системой и удаленным сервером, сильно зашифровано, поэтому информация, которая передается через это соединение, хорошо защищена.

Чтобы пользователь открыл это соединение, ключи SSH используются для аутентификации ресурса с использованием протокола SSH. Ключи SSH поставляются парами: один ключ является закрытым, а другой — открытым. Открытый ключ хранится на виртуальной машине, как на удаленном сервере, и действует как «замок».Пользователь размещает закрытый ключ, и это ключ, который открывает «замок» на виртуальной машине. Ключи SSH могут иметь длину до 2048 бит, что делает их невозможными для взлома или угадывания и является гораздо более безопасным методом аутентификации, чем метод пароля и имени пользователя.

Хотя ключи SSH более безопасны, чем имена пользователей и пароли, организации начинают внедрять многофакторную аутентификацию (MFA) и отказываются от использования только одного фактора для аутентификации.

МИД

MFA требует, чтобы конечный пользователь аутентифицировал что-то, что он знает, как правило, свое имя пользователя и пароль, а также что-то, что у него есть, например токен, сгенерированный приложением-аутентификатором на его телефоне, или USB-устройство аппаратной аутентификации.Это значительно повысило безопасность аутентификации, потому что теперь любой человек с плохими намерениями должен будет знать ваши учетные данные и каким-то образом получить ваш генератор токенов, будь то ваш телефон или небольшое устройство, которое вы держите в своей связке ключей.

Обеспечение безопасности обмена информацией

Методы аутентификации, которые вы используете в своей среде, играют важную роль в безопасности вашей инфраструктуры. Другой аспект, который следует учитывать, — это обеспечение фактического обмена учетными данными между пользователем и системой или приложением.Если для аутентификации на ресурсе используется небезопасное соединение, злоумышленник может перехватить эти учетные данные, использовать их для доступа к ресурсам, привязанным к этим учетным данным, а затем делать все, что захочет. Хуже всего то, что ИТ-отдел может даже не заметить, пока не станет слишком поздно.

Сегодня большинство запросов на проверку подлинности выполняются через Интернет, что можно защитить с помощью протокола защищенных сокетов (SSL). Защита этого обмена информацией имеет решающее значение для обеспечения точной аутентификации и защиты вашей ИТ-среды.

Теперь давайте посмотрим, как аутентификация развивалась с течением времени.

Разработка аутентификации

Раньше аутентификация выполнялась на фактическом ресурсе, к которому пользователь пытался получить доступ. Затем были введены службы каталогов, которые централизовали процесс аутентификации. Одним из компонентов, благодаря которому службы каталогов работали хорошо, было создание протокола LDAP. LDAP упростил обмен данными между технологиями в процессе аутентификации.Microsoft объединила службы каталогов и LDAP и создала Active Directory, которая предоставила ИТ-отделу безопасную аутентификацию и управление пользователями. Хитрость заключалась в том, что ИТ-среды отлично работали с AD, пока они состояли из конечных точек и приложений Microsoft, а инфраструктура оставалась локальной. Благодаря этому Microsoft удалось установить монополию на рабочем месте.

Затем в ИТ-среде произошли изменения в ресурсах. Пользователям стал нужен доступ к системам Mac и Linux, веб-приложениям, Wi-Fi и данным, хранящимся в облаке.В случае с Active Directory Microsoft хотела сохранить ИТ в своей экосистеме, поэтому решила не связывать AD с новыми протоколами аутентификации, такими как SAML, RADIUS и OAuth. Хорошая новость заключается в том, что современный облачный каталог меняет правила игры.

JumpCloud — многопротокольное решение

JumpCloud использует LDAP, SAML, RADIUS, OAuth и другие. Включая множество протоколов, Directory-as-a-Service позволяет ИТ-администраторам централизовать доступ своих пользователей и предоставлять пользователям единую идентификацию, связанную со всеми необходимыми им ресурсами.Наше комплексное решение для управления идентификацией не зависит от платформы, поэтому ИТ-специалисты могут управлять аутентификацией на конечных точках Windows, Mac и Linux. С помощью LDAP и SAML пользователи могут получить доступ к своим устаревшим и веб-приложениям, а также подключиться к WiFi с помощью RADIUS. OAuth позволяет легко интегрировать пользователей, созданных в G Suite или Office 365, и подключать эти удостоверения к таким ресурсам, как WiFi, устаревшее приложение или система Mac.

Мы надеемся, что эта статья не только помогла вам понять, что такое аутентификация, но и открыла вам глаза на возможность достижения более комплексной и оптимизированной стратегии аутентификации.Для более подробного ознакомления с тем, как JumpCloud использует LDAP, SAML, RADIUS и OAuth, рассмотрите возможность просмотра этого Cloud IAM | Видео с интерактивной доски «Протоколы и архитектура». Если вы хотите узнать больше о том, как начать использовать многопротокольную среду, свяжитесь с нами. Мы будем рады ответить на любые ваши вопросы. Начните пользоваться нашим облачным каталогом уже сегодня, зарегистрировав бесплатную учетную запись. Ваши первые десять пользователей бесплатны навсегда.

Что такое аутентификация и авторизация?

Предприятия используют решения для аутентификации и авторизации, чтобы точно идентифицировать пользователей и контролировать доступ к приложениям и ИТ-системам.Аутентификация относится к процессу подтверждения личности пользователя. Имена пользователей и пароли являются наиболее простыми и привычными формами аутентификации.

Авторизация относится к процессу предоставления пользователю разрешения на доступ к определенным ресурсам или возможностям после проверки их личности. Например, системному администратору могут быть предоставлены привилегии корневого уровня или привилегии суперпользователя для ресурса, в то время как обычному бизнес-пользователю может быть предоставлен ограниченный доступ или вообще не быть доступа к тому же ресурсу.

Большинство решений для управления идентификацией и доступом (IAM) обеспечивают функции аутентификации и авторизации и могут использоваться для жесткого контроля доступа к локальным и облачным приложениям, службам и ИТ-инфраструктуре. Решения для управления доступом помогают обеспечить доступ нужных пользователей к нужным ресурсам в нужное время по правильным причинам.

Многофакторная аутентификация

Базовые методы проверки подлинности, требующие только комбинаций имени пользователя и пароля, изначально уязвимы.Злоумышленники могут проводить фишинговые атаки или другие схемы для сбора учетных данных и выдавать себя за законных пользователей для кражи данных или совершения атак.

Большинство решений IAM поддерживают функцию многофакторной аутентификации (MFA) для защиты от кражи учетных данных и выдачи себя за пользователя. При использовании MFA пользователь должен предоставить несколько форм доказательств, чтобы получить доступ к приложению или системе — например, пароль и — одноразовый короткодействующий SMS-код.

Факторы аутентификации включают:

• Факторы знаний – то, что знает пользователь, например пароль или ответ на секретный вопрос
• Факторы владения – то, что есть у пользователя, например, мобильное устройство или бесконтактный значок
• Присущие факторы – что-то биологически уникальное для пользователя, например, отпечаток пальца или черты лица
• Факторы местоположения – географическое положение пользователя

Адаптивная аутентификация

Многие современные решения IAM поддерживают адаптивные методы аутентификации с использованием контекстной информации (местоположение, время суток, IP-адрес, тип устройства и т. д.).) и бизнес-правила для определения того, какие факторы аутентификации применять к конкретному пользователю в конкретной ситуации. Адаптивная аутентификация уравновешивает безопасность с удобством для пользователя.

Единый вход

Многие решения IAM поддерживают возможности единого входа (SSO), которые позволяют пользователям получать доступ ко всем своим приложениям и службам с помощью единого набора учетных данных. Система единого входа улучшает взаимодействие с пользователем, устраняя усталость от пароля, и повышает безопасность, устраняя рискованное поведение пользователей, такое как написание паролей на бумаге или использование одного и того же пароля для всех приложений.Многие решения IAM поддерживают основанные на стандартах протоколы управления идентификацией, такие как SAML, Oauth и OpenID Connect, чтобы обеспечить федерацию SSO и пиринг.

Авторизация

Большинство решений IAM предоставляют административные инструменты для адаптации сотрудников и управления правами доступа на протяжении всего жизненного цикла сотрудников, включая процесс увольнения и увольнения. Многие из этих решений поддерживают управление доступом на основе ролей (RBAC), чтобы согласовать привилегии пользователя с его должностными обязанностями.RBAC помогают предотвратить расползание привилегий и упростить администрирование, когда сотрудники меняют работу или покидают организацию. Многие решения IAM также поддерживают порталы самообслуживания и автоматизированные рабочие процессы утверждения, которые позволяют сотрудникам запрашивать права доступа и обновлять информацию об учетной записи без вмешательства службы поддержки.

Узнайте больше об аутентификации и авторизации

Что такое аутентификация? — AWS RoboMaker

Аутентификация — это то, как вы входите в AWS, используя свои учетные данные.

В качестве принципала вы должны пройти аутентификацию (выполнить вход в AWS) с использованием объекта (пользователя root, пользователя IAM или роли IAM) для отправки запроса в AWS. Ан Пользователь IAM может иметь долгосрочные учетные данные, такие как имя пользователя и пароль или набор прав доступа. ключи. Когда вы принимаете роль IAM, вам предоставляются временные учетные данные безопасности.

Чтобы пройти аутентификацию из консоли управления AWS в качестве пользователя, вы должны войти в систему, используя свое имя пользователя и пароль. Для аутентификации из AWS CLI или AWS API необходимо предоставить ключ доступа и секретный ключ или временные учетные данные.AWS предоставляет инструменты SDK и CLI для криптографического подпишите запрос, используя свои учетные данные. Если вы не используете инструменты AWS, вы должны подписать просить себя. Независимо от используемого вами метода аутентификации, вы также можете необходимо предоставить дополнительную информацию о безопасности. Например, AWS рекомендует вам используйте многофакторную аутентификацию (MFA) для повышения безопасности вашей учетной записи.

В качестве принципала вы можете войти в AWS, используя следующие сущности (пользователи или ролей):

• Корневой пользователь учетной записи AWS – Когда вы впервые создаете учетную запись AWS, вы начинаете с единого входа. удостоверение, имеющее полный доступ ко всем сервисам и ресурсам AWS в учетной записи.Этот Идентификация называется учетной записью AWS корневого пользователя , и доступ к ней осуществляется войдите в систему с адресом электронной почты и паролем, которые вы использовали для создания учетной записи. Мы настоятельно рекомендуем вам не использовать пользователя root для повседневных задач, даже административные. Вместо этого придерживайтесь лучших практик используя пользователя root только для создания первого пользователя IAM. Затем надежно заблокируйте учетные данные пользователя root и использовать их только для выполнения нескольких действий по управлению учетными записями и службами. задания.

• Пользователь IAM — пользователь IAM — это сущность в вашем AWS. учетная запись с определенными разрешениями. AWS RoboMaker поддерживает Signature Version 4 , протокол для аутентификации входящего API Запросы. Дополнительные сведения об аутентификации запросов см. в разделе Процесс подписания подписи версии 4. в Общем справочнике по AWS .

• Роль IAM – Роль IAM — это идентификатор IAM, который вы можете создать в своей учетной записи, которая имеет определенные разрешения.Роль IAM похожа на пользователя IAM, поскольку это удостоверение AWS с политиками разрешений, которые определяют что личность может и не может делать в AWS. Однако вместо однозначной связи с одним человеком роль предназначена для того, чтобы ее мог взять на себя любой, кто в ней нуждается. А также роль не имеет стандартных долгосрочных учетных данных, таких как пароль или ключи доступа, связанные с этим. Вместо этого, когда вы принимаете роль, она предоставляет вам временные учетные данные безопасности. для вашей ролевой сессии.Я роли с временными учетными данными полезны в следующих ситуациях:

  • Доступ федеративных пользователей – Вместо создания пользователя IAM вы можете использовать существующие удостоверения из службы каталогов AWS, вашего каталог корпоративных пользователей или поставщик веб-удостоверений. Они известны как федеративных пользователя . AWS назначает роль федеративному пользователю, когда доступ запрашивается через идентификатор провайдер.Дополнительные сведения о федеративных пользователях см. в разделе Федеративные пользователи и роли в руководстве пользователя IAM .

  • Временные права пользователя — Пользователь IAM может взять на себя роль, чтобы временно получить различные разрешения для конкретной задачи.

  • Доступ к нескольким учетным записям — Вы можете использовать Роль IAM, позволяющая доверенному субъекту в другой учетной записи получать доступ к ресурсам в ваш счет.Роли — это основной способ предоставления доступа к нескольким учетным записям. Однако с некоторые сервисы AWS, вы можете прикрепить политику непосредственно к ресурсу (вместо использования роль доверенного лица). AWS RoboMaker не поддерживает эти политики, основанные на ресурсах. Для получения дополнительной информации о выборе использования роли или политика на основе ресурсов, разрешающая доступ между учетными записями, см. Управление доступом к Принципалы в другой учетной записи.

  • Доступ к сервису AWS – Роль службы — это роль IAM, которую служба предполагает выполнять. действия от вашего имени.Администратор IAM может создавать, изменять и удалять роли службы из IAM. За дополнительные сведения см. в разделе Создание роли для делегирования разрешений. к сервису AWS в руководстве пользователя IAM .

  • Приложения, работающие на Amazon EC2 – Вы можете использовать роль IAM для управления временными учетными данными для приложений, которые работают на инстансе EC2 и отправляют запросы AWS CLI или AWS API. Это предпочтительнее хранения ключей доступа в экземпляре EC2.Чтобы назначить роль AWS экземпляру EC2 и сделать его доступным для всех его приложений, вы создаете профиль экземпляра, который прикрепляется к пример. Профиль экземпляра содержит роль и позволяет программам, работающим на экземпляре EC2, получить временные полномочия. Дополнительные сведения см. в разделе Использование роли IAM для предоставления разрешений приложениям, работающим на инстансах Amazon EC2 в Руководство пользователя IAM .

Что такое аутентификация? — 1Космос

Аутентификация

используется для проверки личности пользователя для защиты от утечки данных.Но как подтвердить подлинность чьего-либо удостоверения личности? Есть несколько способов.

Что является примером аутентификации? Типичным примером аутентификации может быть имя пользователя и пароль, которые кто-то будет использовать при входе на веб-сайт. Однако существуют гораздо более сложные процессы аутентификации, включая биометрию и аутентификацию по токену.

Что такое аутентификация?

Аутентификация — это процесс подтверждения того, что пользователь является тем, за кого себя выдает, для доступа к системным ресурсам или функциям.Как правило, это требует некоторого типа доказательства, будь то физическая часть информации, секретная информация или какая-либо другая неизменная форма доказательства.

Обратите внимание, что «аутентификация» — это не то же самое, что «идентификация». Идентификация – это создание и установление идентичности в данном контексте. В данном случае это пользователь вашей сети или ИТ-системы. Аутентификация — это процесс проверки соответствия пользователя заданному идентификатору. Следовательно, для аутентификации пользователя необходимо сравнить учетные данные с существующими удостоверениями для подтверждения доступа.

Имея это в виду, к учетным записям можно привязать несколько типов аутентификации, чтобы определить, являются ли они теми, за кого себя выдают:

• Пароли: наиболее распространенная форма проверки пользователя, пароли представляют собой просто скрытые наборы буквенно-цифровых символов (буквы, цифры, пробелы и знаки препинания, в зависимости от того, что разрешено). Перед предоставлением доступа пароль сравнивается с идентификационным маркером (например, с адресом электронной почты или именем пользователя).
Токены
• : Токены могут служить «верификацией» для пользователей.Как и билет, токен показывает различным частям вашей системы, что пользователь является тем, кем он себя называет. Часто пользователь уже предоставил какую-либо другую форму аутентификации, например пароль, для получения токена.
• Биометрия. Биометрия — это использование осязания, отпечатков пальцев, распознавания лиц, голоса или других форм личного взаимодействия для подтверждения личности. Считается, что их намного сложнее украсть или подделать, чем пароли. Биометрия быстро становится распространенной через мобильные телефоны, ноутбуки и планшеты.
• Секретные коды: когда пользователь пытается войти в вашу систему, он может отправить ему секретный код по электронной почте, SMS-сообщениям или в виде push-уведомления через приложение. Эти коды обновляются в течение короткого периода времени и быстро истекают.
• Безопасные ссылки: безопасные ссылки также можно отправлять по электронной почте или SMS. Идея состоит в том, что пользователь является единственным человеком, имеющим доступ к этим учетным записям, и поэтому он должен быть единственным, кто нажимает на ссылку.

Какие существуют «факторы» аутентификации?

Со всеми доступными типами аутентификации вполне вероятно, что любой из них будет работать.Но многие из этих подходов имеют недостатки, будь то из-за отсутствия безопасности, плохого пользовательского опыта или затрат. Вот почему многие системы используют разные «факторы» или комбинации типов.

По сути, аутентификация делится на три разных фактора:

• Факторы знаний, или то, что пользователь знает для входа в систему. Сюда входят пароли или PIN-коды.
• Владение, которое включает объекты или предметы, которые пользователь должен аутентифицировать. Сюда входят токены или коды, отправленные на мобильные устройства через SMS или приложения.
• Принадлежность, которая включает в себя уникальные для пользователя аспекты, такие как отпечатки пальцев, сканирование радужной оболочки глаза или распознавание голоса.

При наличии факторов ваша организация может затем объединить их в двухфакторную аутентификацию (2FA) или многофакторную аутентификацию (MFA). В то время как 2FA является более конкретным, 2FA по существу находится под эгидой MFA.

В любом случае использование MFA означает, что вы используете несколько конкретных методов с разными факторами для повышения безопасности и лучшего обеспечения целостности аутентификации.Например, распространенной формой MFA является требование от пользователя ввести имя и пароль (знание), а затем запрос дополнительного кода, который был автоматически сгенерирован и отправлен через SMS (владение).

Или, чтобы связать доступ к более сложным для подделки учетным данным, пользователь может ввести пароль и связать его со сканированием лица через камеру своего телефона.

2FA очень распространена для учетных записей пользователей. Однако многие корпоративные системы требуют дополнительных форм аутентификации, иногда не беспокоящих пользователя (например, генерация токенов после ввода пароля и биометрического входа или требование физического значка и сканирования отпечатка пальца).

Что такое беспарольная аутентификация?

С 1Kosmos BlockID вы можете внедрить беспарольную аутентификацию, используя некоторые из самых передовых доступных технологий, в том числе:

• Усовершенствованная биометрия: BlockID включает в себя не поддающиеся фальсификации биометрические данные и зашифрованные данные в бесконтактной среде с низким коэффициентом трения.
• Неизменяемые журналы и записи данных с экосистемой блокчейна: наша система использует технологию блокчейна Ethereum, чтобы гарантировать неизменность и возможность проверки журналов событий и информации.
Соответствие
• : BlockID предоставляет сотрудникам уровень доступа, который обеспечивает соответствие рекомендациям NIST 800-63-3 для IAL и AAL2.