Что значит аутентификация?

Стандартным примером аутентификации можно назвать вход пользователя в операционную систему Windows по паролю, когда после ввода пароля компьютер сравнивает данные, введённые с клавиатуры, с информацией, которая хранится в памяти машины. В случае если данные совпадают, процедура завершается успешно и пользователь получает разрешение на вход в компьютер.

Таким образом, аутентификация — процедура, в ходе которой пользователь должен предъявить системе секретную информацию, известную только ему одному.

Отметим, что механизм стандартной аутентификации на компьютере по паролю — достаточно несовершенен. К примеру, под легального пользователя может замаскироваться любой другой человек, который тем или иным образом узнал пароль владельца ПК. Именно поэтому вход в операционную систему Windows при помощи пароля не гарантирует надёжной защиты информации, хранящейся на вашем компьютере или ноутбуке.

Чтобы минимизировать подобные риски специалисты стали применять дополнительные виды информации, которые требуется предъявить при входе в систему. Такая информация может носить различный характер и называется факторами аутентификации.

Три фактора аутентификации

• Знание чего либо — пароль, парольная фраза, ПИН-код
• Обладание чем либо — физический USB-токен, смарт-карта, ключ iButton
• Биометрические характеристики — голос, рисунок сетчатки глаза, отпечаток пальца

Аутентификацию, которая использует только один из вышеназванных факторов, называют однофакторной. Аутентификацию, в процессе которой применяется несколько факторов, называют многофакторной.

Пример однофакторной аутентификации мы уже привели выше — это вход в компьютер с помощью пароля, а традиционным примером многофакторной аутентификации можно назвать использование банковской карточки для получения денежных средств в банкомате (двухфакторная аутентификация). В этом случае для того, чтобы снять деньги со своего банковского счёта, системе нужно предъявить не только банковскую карту, но и ввести правильный ПИН-код. Только после этого банкомат выдаст запрошенную денежную сумму.

Ещё один пример двухфакторной аутентификации — применение смарт-карты или электронного ключа JaCarta или eToken в комбинации с паролем для входа в компьютер по USB-токену или смарт-карте. В этом случае для загрузки компьютера требуется не только предъявить физический носитель (eToken или JaCarta), но и ввести его пароль, задействовав, таким образом, два фактора аутентификации.

Трёхфакторная аутентификация, в свою очередь, использует все три фактора, описанные выше. Очень часто её называют «аутентификацией типа 123». В настоящий момент трёхфакторная аутентификация является одним из самых надёжных инструментов защиты информации, хранящейся на компьютерах и ноутбуках.

Источник: Эримекс, Новосибирск — защита данных, информации и программ

Аутентификация — что это такое и почему сейчас повсеместно используется двухфакторная аутентификация

Обновлено 24 июля 2021

1. Что это такое?
2. Двухфакторная аутентификация (2FA)
3. Ошибки проверки подлинности

Здравствуйте, уважаемые читатели блога KtoNaNovenkogo.ru. Хочу продолжить тему толкования простыми словами распространенных терминов, которые можно повсеместно встретить в наш компьютерный век. Чуть ранее мы уже поговорили про валидацию и верификацию, а так же про девайсы с гаджетами и про аутсорсинг.

Сегодня у нас на очереди аутентификация. Что означает это слово? Отличается ли сие понятие от авторизации или идентификации? Какие методы аутентификации существуют, насколько сильно они защищены, почему могут возникать ошибки и почему двухфакторная аутентификация лучше однофакторной?

Интересно? Тогда продолжим, а я постараюсь вас не разочаровать.

Что такое аутентификация?

На самом деле, это та процедура, которая хорошо знакома не только нам (современным жителям), но и нашим далеким предкам (практически испокон веков).

Если говорить кратко, то аутентификация — это процесс проверки подлинности (аутентичность — это значит подлинность). Причем не важно каким способом (их существует как минимум несколько типов). Простейший пример. Вы заходите в свою квартиру открывая замок ключом. И если дверь таки открылась, то значит вы успешно прошли аутентификацию.

Разложим в этом примере все по полочкам:

1. Ключ от замка — это ваш идентификатор (вставили и повернули — прошли идентификацию). В компьютерном мире это аналог того, что вы сообщили системе свое имя (ник, никнейм).
2. Процесс открывания (совпадения ключа и замка) — это аутентификация. В компьютерном мире — это аналог прохождения этапа проверки подлинности (сверке введенного пароля).
3. Открывание двери и вход в квартиру — это уже авторизация (получение доступа). В сети — это вход на сайт, сервис, программу или приложение.

Как вы уже, наверное, поняли — двухфакторной аутентификации в данном примере будет отвечать наличие на двери второго замка (либо наличие собаки в доме, которая уже проведет свою собственную аутентификацию опираясь на биометрические признаки — запах, внешний вид, наличие вкусняшек у вас в кармане).

Еще один пример. Печать на документе (в паспорте, сургучная печать на старинных письмах).

Как видите — все предельно просто. Но сегодня под этим термином чаще всего понимают именно электронную аутентификацию, т.е. процесс входа на сайты, сервисы, в системы, электронные кошельки, программы и даже подключение к домашней WiFi сети. Но по сути, тут мало отличий от приведенного примера.

В электронном варианте у вас так же будет идентификатор (в простейшем случае это логин) и пароль (аналог замка), необходимый для аутентификации (входа в систему, получение доступа к интернету, входа в онлайн-сервис и т.п.).

Как я уже говорил выше, существует несколько типов аутентифаторов:

1. Пароль. Знаешь пароль — проходи. Это самый простой и дешевый способ проверки подлинности. Фишка в том, что пароль знают только те, кому надо. Но есть несколько «но». Пароль можно подобрать, либо украсть, либо получить путем социального инжиниринга (развода), поэтому его надежность всегда находится под сомнением.
2. Устройство (токены). Простейший пример — это карта или ключ доступа (на манер того, что используется в домофонах). Ну, или банковская карта, дающая доступ к вашим деньгам. Защита тут выше, чем у пароля, но устройство можно украсть и несанкционировано использовать. К тому же, такая проверка подлинности подразумевает под собой расходы.

3. Биометрия. Отпечаток пальца, сетчатка глаза, голос, лицо и т.п. Этот способ аутентификации считается наиболее надежным и тут не нужно с собой носить устройство, которое можно потерять или украсть (просто достаточно быть собой).

   Правда, точность идентификации тут не стопроцентная, да и системы эти не из дешевых.

Как видите, нет идеала. Поэтому зачастую для усиления безопасности используют так называемую двухфакторную (двухэтапную) аутентификацию. Давайте рассмотрим на примере.

Двухфакторная (2FA — двухэтапная) аутентификация

Например, во многих кошельках для хранения криптовалюты, и прочих сервисах связанных с доступом к деньгам, двухфакторная аутентификация сводится к следующему:

1. Первым этапом проверки подлинности служит обычный вход с помощью логина и пароля (многоразового, т.е. постоянного, не меняющегося на протяжении какого-то времени).
2. А вот второй этап обычно сводится к вводу еще и одноразового пароля (при следующем входе он будет уже другой). Эти пароли сообщаются непосредственно в процессе входа в систему и передают пользователю обычно так:
   1. В СМС-сообщении на ваш мобильный телефон, но иногда эти одноразоваые пароли могут присылать на электронную почту или в ваш телеграм.
   2. С помощью специально предназначенного для этого приложения, которое устанавливается на мобильный телефон и проходит привязку к данному сервису. Чаще всего для этой цели используют Google Authenticator или Authy (их еще называют 2FA-токены).

Что это дает? Существенное повышение безопасности и снижение риска аутентификации вместо вас мошенников. Дело в том, что перехватить одноразовый пароль намного сложенее, чем узнать пароль многоразовый. К тому же, получить доступ к мобильному телефону (да и просто узнать его номер) намного сложнее, чем покопаться у вас на компьютере или в электронной почте.

Но это лишь один из примеров двухфакторной аутентификации (2FA). Возьмем уже упоминавшиеся выше банковские карты. Тут тоже используется два этапа — проверка подлинности с помощью устройства (идентификационного кода на карте) и с помощью ввода личного пароля (пинкода).

Еще пример из фильмов, когда сначала вводят код доступа, а потом идет проверка сетчатки глаза или отпечатка пальца. По идее, можно сделать и три этапа, и четыре, и пять. Все определяется целесообразностью соблюдения компромисса (что это такое?) между обострившейся паранойей и разумным числом проверок, которые в ряде случаев приходится проходить довольно часто.

В большинстве случаев хватает совмещения двух факторов и при этом не доставляет очень уж больших неудобств при частом использовании.

Ошибки аутентификации

При использовании любого из упомянутых выше типов аутентификаторов (паролей, устройств и биометрии) возможны ошибки. Откуда они берутся и как их можно избегать и разрешать? Давайте посмотрим на примере.

Допустим, что вы хотите подключить компьютер или смартфон к имеющейся у вас в квартире беспроводной сети. Для этого от вас потребуют ввести название сети (идентификатор) и пароль доступа (аутентификатор). Если все введено правильно, то вас авторузует и вы получите доступ с подключаемого устройства в интернет.

Но иногда вам при этом может выдаваться сообщении об ошибке аутентификации. Что в этом случае вам сделать?

1. Ну, во-первых, проверить правильность вводимых данных. Часто при вводе пароль закрывается звездочками, что мешает понять причину ошибки.
2. Часто используются пароли с символами в разных регистрах (с большими и маленькими буквами), что не все учитывают при наборе.
3. Иногда причиной ошибки может быть не совсем очевидная двухфакторная система проверки подлинности. Например, на роутере может быть включена блокировка доступа по MAC-адресу. В этом случае система проверяет не только правильность ввода логина и пароля, но и совпадение Мак-адреса устройства (с которого вы осуществляете вход) со списком разрешенных адресов. В этом случае придется лезть в настройки роутера (через браузер с подключенного по Lan компьютера) и добавлять адрес этого устройства в настройках безопасности беспроводной сети.

Системы биометрии тоже могут выдавать ошибки при распознавании в силу их несовершенства или в силу изменения ваших биометрических данных (охрипли, опухли, глаза затекли, палец порезали). То же самое может случиться и с приложениями, используемыми для двухфакторной аутентификации. Именно для этаких случаев предусматривают систему получения доступа по резервным кодам. По сути, это одноразовые пароли, которые нужно будет распечатать и хранить в ящике стола (сейфе).

Если обычным способом аутентифицироваться не получается (выдается ошибка), то резервные коды дадут возможность войти. Для следующего входа нужно будет использовать уже новый резервный код. Но у этой палочки-выручалочки есть и обратная сторона медали — если у вас эти резервные коды украдут или выманят (как это было со мной, когда я потерял свои Яндекс деньги), то они сработают как мастер-ключ (универсальная отмычка) и вся защита пойдет прахом.

Удачи вам! До скорых встреч на страницах блога KtoNaNovenkogo.ru

Эта статья относится к рубрикам:

Что такое двухфакторная аутентификация? — Dropbox

Что такое двухфакторная аутентификация, или 2ФА?

Когда дело касается сетевой безопасности вашей организации, предосторожность не бывает лишней. Количество угроз кибербезопасности и уровень их изощренности растут быстрыми темпами. Malwarebytes сообщает, что доля атак на предприятия в 2019 году увеличились на 13 %. В результате многие компании критически оценивают свои текущие методы обеспечения информационной безопасности. В конце концов, значительная часть личной, финансовой и конфиденциальной информации хранится в онлайн-аккаунтах вашей компании, а утечка данных часто приводит к потере дохода. Однако есть один простой способ, который поможет повысить культуру кибербезопасности сотрудников большинства организаций. Это двухфакторная аутентификация, или сокращенно 2ФА.

Подробнее о двухфакторной аутентификации

Что такое двухфакторная аутентификация? Аутентификация — это процесс подтверждения личности пользователя с целью получения доступа к компьютерной системе или онлайн-аккаунту. Выделяют три основных фактора аутентификации: фактор знания (то, что мы знаем, например пароль или PIN-код), фактор владения (то, что мы имеем, например мобильное устройство или удостоверение личности) и фактор свойства (то, что является частью нас, например отпечаток пальца или голос). Существуют также факторы местоположения и факторы времени, но они встречаются гораздо реже. Двухфакторная аутентификация просто означает, что ваша система безопасности использует два фактора.

Иными словами, двухфакторная аутентификация предполагает дополнительный уровень безопасности помимо вашего пароля или PIN-кода. Если после входа в систему с помощью пароля вас когда-либо просили ввести цифровой код, отправленный вам на ваше мобильное устройство для подтверждения вашей личности, значит, вы уже знакомы с 2ФА. Однако получение кода в виде текстового сообщения — это не единственный метод двухфакторной аутентификации. Существует целый ряд способов, в том числе приложения для аутентификации, push-уведомления, программные маркеры, голосовая аутентификация и т. д. Но в большинстве случаев дополнительным уровнем безопасности, скорее всего, будет код, полученный через SMS-сообщение.

Что такое приложение для аутентификации?

Даже если вам знакомо большинство методов двухфакторной аутентификации, таких как текстовые и голосовые сообщения, push-уведомления, возможно, вы гораздо меньше слышали о приложениях для проверки подлинности. На самом деле они относительно просты в использовании. Так что же представляет собой приложение для проверки подлинности? По сути, это приложение на вашем мобильном телефоне, которое генерирует цифровые коды подтверждения, используемые для проверки вашей личности при входе на веб-сайт или в другое приложение. Существует множество различных приложений для проверки подлинности, в том числе Google Authenticator, Duo Mobile и Authenticator, но в каждом из них используется приблизительно одна и та же процедура.

Обычно приложения для аутентификации считаются чуть более безопасной формой 2ФА, чем получение кода доступа посредством SMS-сообщения. Причина этого кроется в том, что с технической точки зрения SMS-сообщения — это не то, что у нас есть, а то, что мы отправляем. Таким образом, существует небольшая вероятность, что хакеры смогут обмануть вашего оператора и перенести номер вашего мобильного телефона на другое устройство (тип мошенничества, называемый «SIM-свопинг»). Если у злоумышленников уже есть ваш пароль, это позволит им получить доступ к вашему аккаунту. В отличие от SMS-сообщения код подтверждения, сгенерированный в приложении для аутентификации, имеет короткий срок действия (обычно 20 или 30 секунд), и он остается полностью внутри приложения.

Как работает 2ФА? Двухфакторная аутентификация относительно проста в использовании: достаточно один раз настроить ее в своей системе с помощью приложения для аутентификации, push-уведомления или SMS-сообщения. Ниже представлена подробная инструкция, касающаяся непосредственно процесса 2ФА:

1. Пользователю предлагается войти в систему через веб-сайт или приложение.
   
2. Пользователь вводит свое имя пользователя и пароль согласно первому фактору безопасности.
   
3. После того, как сайт распознает пользователя, ему будет предложено приступить ко второму этапу процесса входа в систему. На данном этапе пользователю необходимо подтвердить, что у него есть нечто, например удостоверение личности или смартфон, отвечающее второму фактору безопасности, а именно фактору владения. В большинстве случаев пользователям будет отправлен одноразовый код доступа, который они могут применить для подтверждения своей личности.
   
4. Наконец, пользователь вводит ключ безопасности, и после того, как сайт проверит подлинность его личности, ему будет предоставлен доступ.

Зачем использовать двухфакторную аутентификацию?

Когда дело касается сетевой безопасности, самым распространенным фактором аутентификации⁠, безусловно, является комбинация имени пользователя и пароля. Это означает, что в большинстве систем используется только однофакторная аутентификация. Хотя пароли оставались стандартом информационной безопасности на протяжении десятилетий, существует ряд причин, по которым, наконец, стоит перестать использовать только парольную защиту. Начнем с того, что пароль относительно легко угадать. У пользователей, как правило, плохая память, и очень часто они выбирают пароли, которые невероятно легко угадать: «password», «12345», «qwerty» и так далее.

Также важно помнить, что у пользователей сейчас гораздо больше онлайн-аккаунтов, чем в те времена, когда только начали применяться пароли, а это означает, что нужно запоминать слишком много паролей. Это может привести к повторному использованию пароля, когда один и тот же пароль применяется для нескольких аккаунтов, что значительно облегчает задачу хакерам, пытающимся получить доступ к вашим данным. Когда вы сами становитесь одним из факторов роста киберпреступности и утечки данных (например, в 2013 году было взломано 3 млрд аккаунтов Yahoo), легко понять, почему пароли больше не являются самой безопасной формой защиты.

Вместо полноценной двухфакторной аутентификации некоторые веб-сайты используют секретный вопрос как своего рода второй фактор. Например, возможно, вам придется ответить на вопрос типа: «Какова девичья фамилия вашей матери?» или «Как звали вашего первого домашнего питомца?» Однако эта практика также имеет целый ряд недостатков. При обилии личной информации, доступной в сети, хакеры часто могут угадать ответы на эти относительно простые вопросы. Кроме того, важно отметить, что эта практика не является полноценной двухфакторной аутентификацией, поскольку секретные вопросы — это просто дополнительный фактор знания. По сути, вы создаете резервную копию пароля с помощью другого пароля. Такой подход намного ближе к двухэтапной проверке (2SV), которая использует два этапа верификации вместо различных факторов.

Итак, подведем итог: пароли обеспечивают самый низкий уровень защиты, поэтому двухфакторная аутентификация все чаще становится основным стандартом безопасности для предприятий.

Другие решения для аутентификации

Как видите, 2ФА имеет множество преимуществ. Однако двухфакторная аутентификация не является финальной точкой в обеспечении информационной безопасности. Она даже близко не является таковой. В конце концов, двухфакторная аутентификация не безупречна. Если злоумышленник хочет получить доступ к вашим компьютерным системам, личный обыск вашего помещения может привести к тому, что он найдет идентификатор сотрудника или выброшенное устройство хранения, содержащее пароли. Кроме того, хакеры могут перехватывать текстовые сообщения с помощью фишинговых писем, которые позволяют им обойти второй фактор аутентификации. В конечном счете надежность двухфакторной аутентификации определяется надежностью самого слабого звена в обеспечении безопасности.

Итак, какие еще есть решения? 2ФА — это часть гораздо более широкой концепции, а именно многофакторной аутентификации (MFA). Теоретически вы можете использовать трехфакторную, четырехфакторную, пятифакторную аутентификацию и так далее до бесконечности. Хотя обычные пользователи вряд ли когда-либо будут применять что-либо, кроме двухфакторной аутентификации, лицам, работающим в средах, требующих высокого уровня защиты, может понадобиться трехфакторная аутентификация (3FA), которая обычно включает фактор свойства, такой как отпечаток пальца или радужная оболочка глаза.

Защита ваших файлов с помощью двухфакторной аутентификации

Важность защиты файлов и содержимого вашей компании невозможно переоценить. По оценкам, к 2021 году глобальный ущерб от киберпреступлений достигнет около 6 трлн долларов в год. К потерям, связанным с киберпреступностью, можно отнести уничтожение или неправильное использование данных, кражу денежных средств, прерывание работы после кибератаки, воровство интеллектуальной собственности и снижение производительности труда. Вам также следует принять во внимание потенциальные расходы, связанные с восстановлением взломанных данных или систем, судебной экспертизой и причинением ущерба репутации. В то время как угрозы становятся все более изощренными, а двухфакторная аутентификация во всем мире внедряется как стандарт безопасности, предприятия, которые не обращают внимания на риски, могут оказаться уязвимыми для хакерских атак. Это как не пристегивать ремень безопасности, потому что машина оборудована подушками безопасности. Технически вы защищены, но не настолько надежно, как могло бы быть.

Как пройти 2ФА для аккаунта Dropbox

Понятно, что включение двухфакторной аутентификации может принести огромную пользу вашему бизнесу, но процесс развертывания 2ФА в масштабе всей компании может показаться вам немного сложным. К счастью, это не настолько большая проблема. Dropbox предлагает двухфакторную аутентификацию. Если вы активируете 2ФА, Dropbox будет требовать от вас и вашей рабочей группы вторую форму проверки подлинности, например шестизначный код доступа или ключ безопасности, каждый раз, когда вы входите в свой аккаунт или привязываете к нему новый планшет, компьютер или телефон. Кроме того, Dropbox предлагает ряд функций защиты паролем, которые могут помочь вам обезопасить и надежнее контролировать конфиденциальную информацию вашей компании. Также вы можете установить сроки действия общих ссылок и паролей для защиты ваших PDF-файлов и папок.

Существуют и другие меры кибербезопасности, реализуемые с помощью Dropbox, чтобы еще эффективнее защитить файлы. Облачная безопасность Dropbox — идеальное дополнение к двухфакторной аутентификации. Проще говоря, защита данных в облаке является основным приоритетом Dropbox. Используя несколько уровней защиты в распределенной облачной инфраструктуре, вы можете быть уверены, что всем вашим онлайн-файлам предоставляется одинаковый уровень защиты. Кроме того, облачное хранилище с системой защиты корпоративного класса Dropbox соответствует требованиям многих международных нормативных актов.

Заключительные соображения

Двухфакторная аутентификация обеспечивает дополнительный уровень безопасности для онлайн-файлов вашей компании, защищая конфиденциальные данные от потенциальных киберугроз.

Что такое двухфакторная аутентификация и почему ее важно использовать

Взломать или забыть можно даже самый сложный пароль. Чтобы ваши данные не украли, в соцсетях, почте и любых других сервисах стоит использовать двухфакторную идентификацию или 2FA. Разбираемся, как ей пользоваться

Что такое двухфакторная аутентификация?

2FA, или двухфакторная аутентификация — это такой метод идентификации пользователя для входа в сервис, при котором нужно двумя разными способами подтвердить, что именно он — хозяин аккаунта. В некоторых сервисах, например, «ВКонтакте», она называется «подтверждение входа».

Эта функция серьезно повышает уровень безопасности. Злоумышленникам, которым по разным причинам могут пригодиться ваши данные, гораздо сложнее получить доступ одновременно к вашему паролю, а также телефону, электронной почте или другому методу аутентификации. Если использовать только пароль, то аккаунт остается уязвимым. Пароли легко утекают в Сеть, и далеко не всегда по вине пользователя.

Как можно подтвердить свою личность?

Большинство приложений и сервисов предлагают пользователю на выбор такие варианты двойной аутентификации:

• Ввести код, который пользователь получает в SMS или email, после того, как он ввел логин и пароль. Это самый распространенный и простой способ, но у него есть свои недостатки: например, SMS с паролем могут перехватить через уязвимость в протоколе [1], через который они передаются.
• Ввести код, который генерируется в отдельном приложении-аутентификаторе. Специалисты называют этот способ более надежным [2], к тому же он остается доступен пользователю, даже если у него нет мобильной связи. Чтобы им воспользоваться, нужно сначала установить одно из таких приложений (например, Google Authenticator, Twilio Authy, Duo Mobile, «Яндекс.Ключ»), а потом выбрать в меню нужного сервиса (например, Facebook) вариант двойной аутентификации через приложение. На экране появится QR-код, который нужно будет отсканировать через это приложение — и им сразу можно пользоваться.
• Многие сервисы (например, Facebook и «ВКонтакте») также генерируют для пользователя некоторое количество резервных кодов, которые он может использовать в случае, если у него не будет мобильной связи или он потеряет телефон. Для этого нужно заранее распечатать или сохранить эти коды в надежном месте.

Кроме того, есть еще несколько видов подтверждения входа, которые используют реже:

• Физический ключ безопасности: это устройство в виде USB-флэшки (для использования со смартфоном ее иногда оборудуют NFC и Bluetooth-интерфейсами) [2]. Такой ключ можно использовать для входа в те же соцсети, но столь серьезный подход, скорее, имеет смысл для хранения очень важных данных.
• Подтверждение личности с помощью биометрии. Этот способ пока не используется в широко распространенных сервисах типа соцсетей.

Гарантирует ли двухфакторная аутентификация абсолютную безопасность?

«В идеале второй фактор для входа должен приходить пользователю на другое устройство, не на то, с которого осуществляется вход в учетную запись, — говорит старший эксперт по кибербезопасности «Лаборатории Касперского» Денис Легезо. — Риск появляется при использовании одного и того же устройства и для входа в учетную запись, и для получения одноразового пароля. Если атакующие смогли заразить это устройство определенными видами троянцев, то считать одноразовый пароль защищенным больше не получится. Но по сравнению со сценарием, когда пользователь вовсе не включает двухфакторную аутентификацию, даже вариант с одним устройством выглядит несравненно лучше».

Что, если второе устройство потеряли?

Обычно сервисы всегда предусматривают некий альтернативный способ аутентификации. Но иногда пользователю в таких случаях приходится обратиться в службу поддержки.

Как и где стоит включить двухфакторную аутентификацию:

1. «ВКонтакте»
2. Facebook
3. Google
4. «Яндекс»
5. Telegram
6. Instagram

Как подключить двухфакторную аутентификацию во «ВКонтакте»

Зайдите в «Настройки» → Во вкладке «Безопасность» выберите «Подтверждение входа» → «Подключить». Дальше нужно будет ввести свой пароль, ввести последние цифры номера, с которого на ваш телефон поступит звонок, и функция подтверждения входа будет подключена. При желании можно выбрать аутентификацию через приложения для генерации кодов, а также распечатать или записать резервные коды.

Зайдите в «Настройки» (в приложении они находятся в меню в нижней части экрана) → выберите «Управление аккаунтом VK Connect» → «Безопасность и вход» → «Подтверждение входа».

Далее, как и в полной версии, выбираете способ подтверждения входа и восстановления доступа.

Как подключить двухфакторную аутентификацию в Facebook

В меню (рядом со значком уведомлений) нужно выбрать «Настройки и конфиденциальность» → «Быстрые настройки конфиденциальности». В разделе «Безопасность аккаунта» выбрать «Использовать двухфакторную аутентификацию». Далее нужно выбрать оптимальный способ идентификации, ввести код, полученный на мобильный телефон и — при желании — сохранить резервные коды.

В приложении двухфакторная аутентификация подключается таким же образом.

Как подключить двухфакторную аутентификацию в Google

Настроить подтверждение входа в почте и других сервисах Google можно на странице аккаунта. Процесс настройки здесь чуть сложнее, чем в других сервисах. В первую очередь нужно подтвердить, что это действительно ваш аккаунт, введя свой пароль и подтвердив вход (можно сделать это, просто нажав «да» на выбранном устройстве, либо выбрав другой способ).

Дальше необходимо выбрать способ, которым вы будете получать коды в дальнейшем: SMS, звонок, резервные коды.

Дальше нужно убедиться, что выбранный способ аутентификации работает.

Подтвердите, что вы действительно хотите подключить эту функцию.

Как подключить двухфакторную аутентификацию в «Яндексе»

Чтобы подключить двухфакторную аутентификацию в сервисах «Яндекса», обязательно нужно приложение «Яндекс.Ключ». Это же приложение можно использовать для входа в любые другие сервисы, поддерживающие подтверждение входа через приложения-аутентификаторы.

В первую очередь нужно зайти на эту страницу. Подтвердив номер телефона, нужно придумать PIN-код и скачать приложение «Яндекс.Ключ». Через приложение нужно будет сканировать QR-код. После этого в приложении появится первый из автоматически генерируемых кодов. Его нужно будет ввести на сайте, и новый способ аутентификации будет подключен.

Как подключить двухфакторную аутентификацию в Telegram

В Telegram двухэтапная аутентификация настраивается нестандартно: при входе с каждого нового устройства пользователю и так нужно вводить код, полученный в SMS. Поэтому второй этап аутентификации, который можно подключить — это как раз обычный пароль.

Нужно выбрать «Настройки» → «Конфиденциальность» → «Безопасность» → «Двухэтапная аутентификация».

Дальше вы придумываете новый пароль, подсказку к нему (при желании) и вводите свой адрес электронной почты, чтобы получить на нее код для подтверждения этой операции.

Как подключить двухфакторную аутентификацию в Instagram

Зайдите в меню, выберите «Настройки» → «Безопасность» → «Двухфакторная аутентификация». Затем нужно выбрать удобный способ и ввести полученный код.

Кроме того, двухэтапную аутентификацию можно подключить для Apple ID (здесь) и для сервисов Microsoft (здесь).

Другие статьи РБК Трендов про кибербезопасность

Что такое Двухфакторная аутентификация пользователя

Если вашу учетку защищает только пароль, это часто небезопасно. Мошенникам не сложно взломать его и получить доступ к конфиденциальным данными. Поэтому двухфакторная аутентификация стала одним из основных способов сделать онлайн-услуги безопасными. Сегодня почти каждый сайт с формой входа предлагает пользователям включить двухфакторную аутентификацию.

В статье расскажем, что значит двухфакторная аутентификация, какая она бывает и как ее использовать.

Что такое двухфакторная аутентификация

Двухфакторная аутентификация — это дополнительный уровень защиты учетной записи. Кроме ввода пароля, нужно также ввести одноразовый код, который приходит на почту или телефон, или отпечаток пальца. Этим вы подтверждаете свою личностья. Когда вы активируете эту опцию, кроме пароля хакеру нужно также ввести код, чтобы зайти в ваш аккаунт. Вы также получите уведомление, если кто-то попытается получить доступ в вашу учетку.

Одноразовый код действует только пару минут или часов, после чего он самоуничтожается. Таким образом, благодаря двухфакторной аутентификации ваши онлайн-аккаунты становятся неуязвимыми для киберпреступников.

Виды двухфакторной аутентификации

В двухфакторной аутентификации пользователи должны ввести такие данные:

Шаг 1:

• То, что вы уже знаете: имя пользователя и пароль;

Шаг 2:

• Сгенерированный код из телефона, почты или другого ПО; или
• Биометрические данные — отпечаток пальца, скан сетчатки или голосовая проверка.

Двухфакторная аутентификация с помощью смартфона или ПО — самый распространенный метод.

Двухфакторная аутентификация по SMS

Секретный одноразовый пароль приходит на мобильный пользователя в SMS-сообщении.

Преимущества:

• Так как приходит SMS, каждый может воспользоваться этой опцией — вне зависимости от наличия интернета.

Недостатки:

• Сигнал сети — главный фактор, чтобы получить SMS с кодом.
• Если вы потеряли SIM-карту или телефон, вы не сможете пройти аутентификацию.

Двухфакторная аутентификация по телефону

Пользователи получают проверочный код по звонку после того, как они правильно ввели пароль и имя пользователя.

Преимущества:

• Так как это звонок, каждый может воспользоваться этой опцией — вне зависимости от наличия интернета.

Недостатки:

• Сигнал сети — главный фактор, чтобы вам дозвонились.
• Если вы в роуминге, это будет дорого стоить.
• Если вы потеряли SIM-карту или телефон, вы не сможете пройти аутентификацию.

Двухфакторная аутентификация по почте

Пользователи получают проверочный код или уникальную ссылку на почту после того, как они правильно ввели пароль и имя пользователя.

Преимущества:

• Доступно на компьютерах и телефонах.

Недостатки:

• В отличие от SMS или звонка, для получения кода нужен интернет.
• Письмо может попасть в спам или не дойти из-за проблемы с сервером.
• Если хакеры взломали ваши почтовые учетные записи, они также могут получить доступ к коду.

Двухфакторная аутентификация через ПО

Это более продвинутый метод, который набирает популярность.

Пользователям нужно установить приложение на компьютер или смартфон, чтобы получить код. ПО динамически генерирует коды для пользователя на короткий период времени. После успешного входа в учетную запись пользователю нужно открыть приложение и ввести код, который сгенерировало приложение.

Примеры ПО для двухфакторной аутентификации — Google Authenticator, Authy, Microsoft Authenticator.

Преимущества:

• Легко использовать.
• Код автоматически генерируется в приложении аутентификации.
• Кроссплатформенная поддержка — программа работает и на компьютере, и на смартфоне. Даже если вы потеряли смартфон, вы все равно сможете сгенерировать код на компьютере.

Недостатки:

• Любой с доступом к вашему телефону или компьютеру может взломать вашу учетку.

Двухфакторная аутентификация через аппаратное обеспечение

Этот метод используется в основном в корпорациях, но его также можно использовать на персональных компьютерах. В этом случае код аутентификации генерируется с помощью оборудования — брелока или электронного ключа. На оборудовании есть экран, где каждые 30-60 секунд динамически генерируется код.

Преимущества:

• Легко использовать.
• Не нужно интернет-соединение.
• Очень безопасный метод, потому что код генерируется с помощью стороннего оборудования.

Недостатки:

• Дорого в установке и поддержке.
• Устройство можно потерять.

Двухфакторная аутентификация по биометрическим данным

При биометрической проверке пользователь сам становится кодом. Ваши отпечатки, сетчатка, распознавание вашего голоса или лица может быть проверочным ключом при аутентификации.

Преимущества:

• Безопасный метод, потому что никто не сможет скопировать ваши отпечатки, голос или лицо.
• Легко использовать.
• Не нужно интернет-соединение.

Недостатки:

• В то же время хранить биометрические данные на сторонних серверах может быть небезопасным.
• Нужны специальные устройства типа сканеров или камер.

Вам решать, какой метод аутентификации использовать. Но советуем не избегать аутентификации совсем и использовать хотя бы самую простую ее вариацию — по почте или телефону.

Источник: статья в издании TechLog360

Двухфакторная аутентификация для идентификатора Apple ID

Двухфакторная аутентификация — это дополнительный уровень безопасности Apple ID, который гарантирует, что доступ к вашей учетной записи сможете получить только вы, даже если ваш пароль стал известен кому-то еще.

Как это работает

Благодаря двухфакторной аутентификации доступ к вашей учетной записи с доверенного устройства или на веб-сайте сможете получить только вы. При первом входе на новом устройстве вам потребуется предоставить два элемента данных: ваш пароль и шестизначный цифровой код подтверждения, который автоматически отображается на доверенных устройствах или может быть отправлен на ваш телефон. После ввода кода новое устройство включается в число доверенных устройств. Например, если у вас есть устройство iPhone, то при первом входе в учетную запись на недавно приобретенном компьютере Mac вам будет предложено ввести пароль и код подтверждения, который автоматически отобразится на экране вашего iPhone.

Поскольку для доступа к учетной записи при двухфакторной аутентификации недостаточно только знания пароля, безопасность вашего идентификатора Apple ID и хранимых на серверах Apple данных существенно возрастает.

После выполнения входа код подтверждения больше не будет запрашиваться на этом устройстве, пока не будет полностью выполнен выход, не будут стерты все данные на устройстве или пока не потребуется сменить пароль из соображений безопасности. При выполнении входа на веб-сайте можно указать, что браузер является доверенным, и в следующий раз при выполнении входа с этого компьютера код подтверждения не будет запрашиваться.

Доверенные устройства

Доверенным устройством может быть iPhone, iPad или iPod touch с iOS 9 и более поздней версии либо компьютер Mac с OS X El Capitan и более поздней версии, на котором уже выполнен вход в учетную запись с использованием двухфакторной аутентификации. Это устройство, для которого нам известна его принадлежность вам и которое можно использовать для проверки личности путем отображения кода подтверждения Apple при входе с использованием другого устройства или браузера. Apple Watch с watchOS 6 или более поздней версии могут использоваться для получения кодов подтверждения при входе в систему с помощью идентификатора Apple ID, но они не могут выступать в качестве доверенного устройства для сброса пароля. 

Доверенные номера телефонов

Доверенный номер телефона — это номер, который можно использовать для получения кодов подтверждения посредством текстовых сообщений или автоматических телефонных вызовов. Чтобы включить двухфакторную аутентификацию, необходимо подтвердить хотя бы один доверенный номер телефона.

Следует также рассмотреть вариант подтверждения дополнительного номера телефона, к которому вы можете получить доступ, — такого как домашний телефон или номер, используемый членом семьи или близким другом. Вы можете использовать этот номер, если у вас временно нет доступа к основному номеру или вашим устройствам.

Коды подтверждения

Настройка двухфакторной аутентификации для идентификатора Apple ID

Включение двухфакторной аутентификации на iPhone, iPad или iPod touch

1. Выберите «Настройки» > [ваше имя] > «Пароль и безопасность».  
2. Нажмите «Включить двухфакторную аутентификацию».
   
3. Коснитесь «Продолжить».
4. Укажите номер телефона, на который необходимо получать коды подтверждения при входе в систему. Можно выбрать получение кодов в виде текстовых сообщений или автоматических телефонных вызовов.
5. Нажмите «Далее».
6. Введите код подтверждения, чтобы подтвердить номер телефона и включить двухфакторную аутентификацию.

Возможно, потребуется ответить на контрольные вопросы Apple ID.

Включение двухфакторной аутентификации на компьютере Mac

1. Выберите меню Apple () > «Системные настройки», затем щелкните идентификатор Apple ID. 
2. Щелкните «Пароль и безопасность» (под своим именем).  
3. Рядом с пунктом «Двухфакторная аутентификация» нажмите «Включить».
   

Если установлена ОС macOS Mojave или более ранней версии: 

1. Перейдите в меню Apple  > «Системные настройки», затем нажмите iCloud и выберите «Сведения об учетной записи».
2. Щелкните значок «Безопасность».
3. Щелкните «Включить двухфакторную аутентификацию».

Некоторые идентификаторы Apple ID, созданные в ОС iOS 10.3 или macOS 10.12.4 и более поздних версий, защищены двухфакторной аутентификацией по умолчанию. В этом случае двухфакторная аутентификация будет уже включена.

Переход на двухфакторную аутентификацию в Интернете

1. Перейдите на веб-страницу appleid.apple.com, затем войдите в систему с помощью идентификатора Apple ID.
2. Ответьте на контрольные вопросы и нажмите «Продолжить».
3. Вы увидите предложение повысить уровень безопасности вашей учетной записи. Коснитесь «Продолжить».
4. Нажмите «Повысить безопасность учетной записи». 
5. Укажите номер телефона, на который необходимо получать коды подтверждения при входе в систему. Можно выбрать получение кодов в виде текстовых сообщений или автоматических телефонных вызовов.
6. Нажмите кнопку «Продолжить».
7. Введите код подтверждения, чтобы подтвердить номер телефона и включить двухфакторную аутентификацию.

Если идентификатор Apple ID не защищен двухфакторной аутентификацией, некоторые сайты Apple могут попросить вас обновить учетную запись. 

Что следует помнить при использовании двухфакторной аутентификации

Двухфакторная аутентификация значительно усиливает защиту Apple ID. После включения этой функции для выполнения входа в учетную запись потребуются пароль и доступ к доверенным устройствам или доверенному номеру телефона. Чтобы обеспечить максимальную защиту своей учетной записи и постоянный доступ, существует несколько простых рекомендаций, которым необходимо следовать: 

• Запомните свой пароль Apple ID.
• Используйте код-пароли для всех своих устройств.
• Своевременно обновляйте доверенные номера телефонов.
• Обеспечивайте физическую безопасность доверенных устройств.

Управление учетной записью

Управление доверенными номерами телефонов

Для использования двухфакторной аутентификации потребуется наличие в базе данных хотя бы одного доверенного номера телефона, на который можно получать коды подтверждения. Следует также рассмотреть вариант подтверждения дополнительного доверенного номера телефона, помимо вашего собственного. Если ваш iPhone утерян или поврежден и при этом является вашим единственным доверенным устройством, вы не сможете получить коды подтверждения, необходимые для доступа к вашей учетной записи.

Обновление доверенного номера телефона на странице учетной записи Apple ID

1. Перейдите на веб-страницу appleid.apple.com.
2. Выполните вход с помощью идентификатора Apple ID.
3. Перейдите в раздел «Безопасность» и нажмите «Изменить».

Если необходимо добавить номер телефона, нажмите «Добавить проверенный номер телефона» и введите номер телефона. Выберите способ подтверждения номера (текстовым сообщением или автоматическим телефонным вызовом) и нажмите «Продолжить». Чтобы удалить доверенный номер телефона, щелкните  рядом с номером телефона, который необходимо удалить.

Обновление доверенного номера телефона через восстановление учетной записи

Просмотр доверенных устройств и управление ими

Просматривать список доверенных устройств и управлять ими можно на устройстве под управлением операционных систем iOS и macOS, а также в разделе «Устройства» страницы учетной записи Apple ID.

В iOS:

1. Выберите «Настройки» > [ваше имя].
2. Выберите устройство из списка.

Для macOS Catalina или более поздней версии:

1. Выберите меню Apple () > «Системные настройки».
2. Выберите «Apple ID».
3. Выберите устройство на боковой панели. 

В macOS Mojave или более ранней версии:

1. Выберите меню Apple () > «Системные настройки».
2. Выберите «iCloud», затем нажмите «Сведения об учетной записи».
3. Перейдите на вкладку «Устройства».
4. Выберите устройство из списка. 

На веб-сайте:

1. Перейдите на страницу своей учетной записи Apple ID.
2. Выполните вход с помощью идентификатора Apple ID.
3. Перейдите в раздел «Устройства».

В списке устройств перечислены устройства, для которых выполнен вход с помощью вашего Apple ID. Выберите устройство, чтобы просмотреть информацию о нем, такую как модель и серийный номер. Ниже вы можете увидеть другую полезную информацию, включая сведения о том, является ли устройство доверенным и может ли оно использоваться для получения кодов проверки Apple ID.

Вы также можете удалить доверенное устройство, выбрав «Удалить из учетной записи» в списке устройств. Удаление доверенного устройства приводит к прекращению отображения на нем кодов подтверждения и блокировке доступа с этого устройства в iCloud и другие службы Apple до тех пор, пока на нем не будет выполнен повторный вход с помощью двухфакторной аутентификации. Если необходимо найти устройство или удалить с него данные до того, как удалять его из списка доверенных устройств, можно использовать функцию «Найти iPhone». 

Создание паролей для приложений

При использовании двухфакторной аутентификации для входа в учетную запись из приложений или служб сторонних разработчиков, например из приложений для работы с электронной почтой, контактами или календарями, которые разработаны не компанией Apple, потребуются особые пароли для этих приложений. Чтобы создать пароль для приложения, выполните следующие действия.

1. Перейдите на страницу учетной записи Apple ID.
2. Щелкните «Создать пароль» в разделе «Пароли приложений».
3. Следуйте инструкциям на экране.

После создания пароля для приложения введите или вставьте его в поле ввода пароля в приложении обычным способом.

Часто задаваемые вопросы

Нужна помощь? Возможно, вы найдете ответы на свои вопросы ниже.

Что делать, если я не помню пароль?

Можно сбросить пароль или изменить его с доверенного устройства либо с использованием браузера, выполнив следующие действия.

На iPhone, iPad или iPod touch

1. Выберите «Настройки» > [ваше имя].
2. Нажмите «Пароль и безопасность» > «Сменить пароль».
3. Введите новый пароль.

На компьютере Mac

1. Выберите меню Apple  > «Системные настройки», затем щелкните идентификатор Apple ID.
2. Щелкните «Пароль и безопасность» и нажмите кнопку «Изменить пароль».

Если установлена ОС macOS Mojave или более ранней версии:

1. Перейдите в меню Apple  > «Системные настройки», затем щелкните значок iCloud.
2. Выберите пункт «Учетная запись». Если необходимо ввести пароль Apple ID, щелкните «Забыли Apple ID или пароль?» и следуйте инструкциям на экране. Следующие действия можно пропустить.
3. Выберите «Безопасность» > «Сбросить пароль». Перед сбросом пароля Apple ID введите пароль, который используется для разблокировки компьютера Mac.

На веб-сайте

Если у вас нет доступа к iPhone, iPad, iPod touch или компьютеру Mac, вы можете сбросить или изменить свой пароль на веб-сайте iforgot.apple.com.

Что делать, если у меня нет доступа к доверенному устройству или не был получен код подтверждения?

При выполнении входа, когда под рукой нет доверенного устройства, на котором отображается код подтверждения, код отправляется на доверенный номер телефона посредством текстового сообщения или автоматического телефонного вызова. Щелкните «Код не получен» на экране входа и выберите отправку кода на доверенный номер телефона. Также код можно получить непосредственно на доверенном устройстве в меню «Настройки». Узнайте, как получить код подтверждения.

Если на вашем iPhone установлена iOS 11.3 или более поздней версии, вам не придется постоянно вводить проверочный код. В некоторых случаях доверенный номер телефона будет подтверждаться на iPhone автоматически в фоновом режиме. Вам не придется совершать дополнительных действий, а учетная запись по-прежнему будет защищена с помощью двухфакторной аутентификации.

Как восстановить доступ к учетной записи, если не удается выполнить вход?

Если не удается выполнить вход в систему, получить доступ к доверенному устройству, сбросить пароль или получить коды подтверждения, можно запросить восстановление учетной записи, чтобы вновь получить к ней доступ. Восстановление учетной записи — это автоматический процесс, который поможет вам как можно быстрее получить доступ к учетной записи и предотвратить возможный доступ других пользователей якобы от вашего имени. Это может занять несколько дней — или больше — в зависимости от того, насколько точную информацию об учетной записи вы можете предоставить для подтверждения своей личности.

Если вы создали ключ восстановления, то сможете использовать его, чтобы снова получить доступ к своей учетной записи. Узнайте подробнее об использовании ключа восстановления. 

Нужно ли теперь запоминать ответы на контрольные вопросы?

Нет. При использовании двухфакторной аутентификации вам не потребуется запоминать ответы на контрольные вопросы. Мы подтверждаем вашу личность исключительно с помощью вашего пароля и кодов подтверждения, отправленных на ваши доверенные устройства и номера телефона. После настройки двухфакторной аутентификации старые контрольные вопросы сохраняются в течение двух недель на случай, если вам потребуется вернуть старые настройки безопасности своей учетной записи. По истечении этого периода они будут удалены.

Может ли служба поддержки Apple помочь мне восстановить доступ к моей учетной записи?

Служба поддержки Apple может ответить на ваши вопросы о процессе восстановления учетной записи, но не может подтвердить вашу личность или ускорить процесс каким-либо образом.

Каковы системные требования для двухфакторной аутентификации?

Для оптимальной работы необходимо, чтобы все устройства, которые используются с идентификатором Apple ID, удовлетворяли следующим системным требованиям.

• iPhone, iPad или iPod touch с iOS 9 или более поздней версии
• Компьютер Mac с OS X El Capitan и iTunes 12.3 или более поздней версии
• Apple Watch с watchOS 2 или более поздней версии
• Apple TV HD с tvOS
• Компьютер с ОС Windows с установленными приложениями iCloud для Windows 5 и iTunes 12.3.3 или более поздней версии

Можно ли использовать двухфакторную аутентификацию с идентификатором Apple ID, созданным для ребенка?

Да. Для любого идентификатора Apple ID, который отвечает базовым системным требованиям, можно включить двухфакторную аутентификацию. Дополнительные сведения о том, кто может использовать двухфакторную аутентификацию, см. в этой статье.

Что делать, если я не узнаю местоположение, показанное в уведомлении о входе?

При выполнении входа на новом устройстве вы получаете на других доверенных устройствах уведомление, в котором отображается карта с приблизительным местоположением нового устройства. Это приблизительное местоположение, основанное на IP-адресе используемого в настоящий момент устройства, а не точное местоположение устройства. Показанное местоположение может отражать информацию о сети, к которой вы подключены, а не о физическом местоположении.

Если вы знаете, что являетесь тем самым пользователем, который пытается выполнить вход, но не узнаете показанное местоположение, вы можете нажать «Разрешить» и продолжить регистрацию. Однако если вы получите уведомление о том, что ваш идентификатор Apple ID используется для входа на новом устройстве, и это не вы, нажмите «Не разрешать», чтобы заблокировать попытку входа.

Что произойдет в случае использования двухфакторной аутентификации на устройстве с более ранними версиями программного обеспечения?

При использовании двухфакторной аутентификации на устройствах под управлением более ранних версий ОС (таких как Apple TV 2-го или 3-го поколения) во время выполнения входа может понадобиться добавить код подтверждения из шести цифр в конце пароля. Получите код подтверждения на доверенном устройстве под управлением iOS 9 или OS X El Capitan или их более поздних версий либо получите его на свой доверенный номер телефона. Затем введите пароль, добавив к нему код подтверждения из шести цифр непосредственно в поле пароля.

Можно ли отключить двухфакторную аутентификацию после ее включения?

Если двухфакторная аутентификация уже используется, отключить ее невозможно. Для некоторых функций в последних версиях iOS и macOS этот дополнительный уровень безопасности, предназначенный для защиты ваших данных, обязателен. Если вы недавно обновили свою учетную запись, вы можете отменить регистрацию в течение двух недель после регистрации. Для этого откройте сообщение с подтверждением регистрации и перейдите по ссылке для возврата к предыдущим настройкам безопасности. Имейте в виду, что это делает вашу учетную запись менее защищенной, а функции, для которых требуется более высокий уровень безопасности, будут недоступны.

Это отличается от двухэтапной проверки Apple, использовавшейся раньше?

Да. Средства двухфакторной аутентификации встроены непосредственно в iOS, macOS, tvOS, watchOS и веб-сайты компании Apple. В ней используются другие методы подтверждения доверенных устройств и предоставления кодов подтверждения и оптимизируется работа в целом. Двухфакторная аутентификация необходима для использования определенных функций, требующих повышенной безопасности.

Если вы уже используете двухэтапную проверку и хотите перейти к использованию двухфакторной аутентификации, узнайте о том, как это сделать, ознакомившись с этой статьей. Если для вашей учетной записи нельзя включить двухфакторную аутентификацию, вы по-прежнему можете защищать свои данные с помощью двухэтапной проверки.

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.

Дата публикации: 31 декабря 2020 г.

Аутентификация — это… Что такое Аутентификация?

Аутентифика́ция (англ. Authentication) — процедура проверки подлинности^[1], например: проверка подлинности пользователя путём сравнения введённого им пароля с паролем в базе данных пользователей; подтверждение подлинности электронного письма путём проверки цифровой подписи письма по ключу проверки подписи отправителя; проверка контрольной суммы файла на соответствие сумме, заявленной автором этого файла. В русском языке термин применяется в основном в сфере информационных технологий.

Учитывая степень доверия и политику безопасности систем, проводимая проверка подлинности может быть односторонней или взаимной. Обычно она проводится с помощью криптографических методов.

Аутентификацию не следует путать с авторизацией^[2] (процедурой предоставления субъекту определённых прав) и идентификацией (процедурой распознавания субъекта по его идентификатору).

История

С древних времён перед людьми стояла довольно сложная задача — убедиться в достоверности важных сообщений. Придумывались речевые пароли, сложные печати. Появление методов аутентификации с применением механических устройств сильно упрощало задачу, например, обычный замок и ключ были придуманы очень давно. Пример системы аутентификации можно увидеть в старинной сказке «Приключения Али́-Бабы́ и сорока разбойников». В этой сказке говорится о сокровищах, спрятанных в пещере. Пещера была загорожена камнем. Отодвинуть его можно было только с помощью уникального речевого пароля: «Сезам, откройся!».

В настоящее время в связи с обширным развитием сетевых технологий, автоматическая аутентификация используется повсеместно.

Элементы системы аутентификации

В любой системе аутентификации обычно можно выделить несколько элементов^[3]:

• субъект, который будет проходить процедуру аутентификации
• характеристика субъекта — отличительная черта
• хозяин системы аутентификации, несущий ответственность и контролирующий её работу
• сам механизм аутентификации, то есть принцип работы системы
• механизм, предоставляющий или лишающий субъекта определенных прав доступа

Элемент аутентификации	Пещера 40 разбойников	Регистрация в системе	Банкомат
Субъект	Человек, знающий пароль	Авторизованный пользователь	Владелец банковской карты
Характеристика	Пароль «Сезам, откройся!»	Секретный пароль	Банковская карта и персональный идентификатор
Хозяин системы	40 разбойников	Предприятие, которому принадлежит система	Банк
Механизм аутентификации	Волшебное устройство, реагирующее на слова	Программное обеспечение, проверяющее пароль	Программное обеспечение, проверяющее карту и идентификатор
Механизм управления доступом	Механизм, отодвигающий камень от входа в пещеру	Процесс регистрации, управления доступом	Разрешение на выполнение банковских операций

Факторы аутентификации

Ещё до появления компьютеров использовались различные отличительные черты субъекта, его характеристики. Сейчас использование той или иной характеристики в системе зависит от требуемой надёжности, защищенности и стоимости внедрения. Выделяют 3 фактора аутентификации^[4]:

• Что-то, что мы знаем — пароль. Это секретная информация, которой должен обладать только авторизованный субъект. Паролем может быть речевое слово, текстовое слово, комбинация для замка или персональный идентификационный номер (PIN). Парольный механизм может быть довольно легко реализован и имеет низкую стоимость. Но имеет существенные минусы: сохранить пароль в секрете зачастую бывает проблематично, злоумышленники постоянно придумывают новые методы кражи, взлома и подбора пароля (см. бандитский криптоанализ). Это делает парольный механизм слабозащищенным.
• Что-то, что мы имеем — устройство аутентификации. Здесь важен факт обладания субъектом каким-то уникальным предметом. Это может быть личная печать, ключ от замка, для компьютера это файл данных, содержащих характеристику. Характеристика часто встраивается в специальное устройство аутентификации, например, пластиковая карта, смарт-карта. Для злоумышленника заполучить такое устройство становится более проблематично, чем взломать пароль, а субъект может сразу же сообщить в случае кражи устройства. Это делает данный метод более защищенным, чем парольный механизм, однако, стоимость такой системы более высокая.
• Что-то, что является частью нас — биометрика. Характеристикой является физическая особенность субъекта. Это может быть портрет, отпечаток пальца или ладони, голос или особенность глаза. С точки зрения субъекта, данный метод является наиболее простым: не надо ни запоминать пароль, ни переносить с собой устройство аутентификации. Однако, биометрическая система должна обладать высокой чувствительностью, чтобы подтверждать авторизованного пользователя, но отвергать злоумышленника со схожими биометрическими параметрами. Также стоимость такой системы довольно велика. Но несмотря на свои минусы, биометрика остается довольно перспективным фактором.

Способы аутентификации

Аутентификация по многоразовым паролям

Один из способов аутентификации в компьютерной системе состоит во вводе вашего пользовательского идентификатора, в просторечии называемого «логином» (англ. login — регистрационное имя пользователя) и пароля — некой конфиденциальной информации. Достоверная (эталонная) пара логин-пароль хранится в специальной базе данных.

Простая аутентификация имеет следующий общий алгоритм:

1. Субъект запрашивает доступ в систему и вводит личный идентификатор и пароль
2. Введенные уникальные данные поступают на сервер аутентификации, где сравниваются с эталонными
3. При совпадении данных с эталонными, аутентификация признается успешной, при различии — субъект перемещается к 1-му шагу

Введённый субъектом пароль может передаваться в сети двумя способами:

• Незашифрованно, в открытом виде, на основе протокола парольной аутентификации (Password Authentication Protocol, PAP)
• С использованием шифрования SSL или TLS. В этом случае уникальные данные, введённые субъектом передаются по сети защищенно.

Защищенность

С точки зрения максимальной защищенности, при хранении и передаче паролей следует использовать однонаправленные функции. Обычно для этих целей используются криптографически стойкие хэш-функции. В этом случае на сервере хранится только образ пароля. Получив пароль и проделав его хэш-преобразование, система сравнивает полученный результат с эталонным образом, хранящимся в ней. При их идентичности, пароли совпадают. Для злоумышленника, получившего доступ к образу, вычислить сам пароль практически невозможно.

Использование многоразовых паролей имеет ряд существенных минусов. Во-первых, сам эталонный пароль или его хэшированный образ хранятся на сервере аутентификации. Зачастую хранение пароля производится без криптографических преобразований, в системных файлах. Получив доступ к ним, злоумышленник легко доберётся до конфиденциальной информации. Во-вторых, субъект вынужден запоминать (или записывать) свой многоразовый пароль. Злоумышленник может заполучить его, просто применив навыки социальной инженерии, без всяких технических средств. Кроме того, сильно снижается защищенность системы в случае, когда субъект сам выбирает себе пароль. Зачастую это оказывается какое-то слово или комбинация слов, присутствующие в словаре. При достаточном количестве времени злоумышленник может взломать пароль простым перебором. Решением этой проблемы является использование случайных паролей или ограниченность по времени действия пароля субъекта, по истечении которого пароль необходимо поменять.

Базы учетных записей

На компьютерах с ОС семейства UNIX, базой является файл /etc/master.passwd (в дистрибутивах Linux обычно файл /etc/shadow, доступный для чтения только root), в котором пароли пользователей хранятся в виде хеш-функций от открытых паролей, кроме этого в этом же файле хранится информация о правах пользователя. Изначально в Unix-системах пароль (в зашифрованном виде) хранился в файле /etc/passwd, доступном для чтения всем пользователям, что было небезопасно.

На компьютерах с операционной системой Windows NT/2000/XP/2003 (не входящих в домен Windows) такая база данных называется SAM (Security Account Manager — Диспетчер защиты учётных записей). База SAM хранит учётные записи пользователей, включающие в себя все данные, необходимые системе защиты для функционирования. Находится в директории %windir%\system32\config\.

В доменах Windows Server 2000/2003 такой базой является Active Directory.

Однако более надёжным способом хранения аутентификационных данных признано использование специальных аппаратных средств (компонентов).

При необходимости обеспечения работы сотрудников на разных компьютерах (с поддержкой системы безопасности) используют аппаратно-программные системы, позволяющие хранить аутентификационные данные и криптографические ключи на сервере организации. Пользователи свободно могут работать на любом компьютере (рабочей станции), имея доступ к своим аутентификационным данным и криптографическим ключам.

Аутентификация по одноразовым паролям

Заполучив однажды многоразовый пароль субъекта, злоумышленник имеет постоянный доступ к взломанной конфиденциальной информации. Эта проблема решается применением одноразовых паролей (OTP – One Time Password). Суть этого метода — пароль действителен только для одного входа в систему, при каждом следующем запросе доступа — требуется новый пароль. Реализован механизм аутентификации по одноразовым паролям может быть как аппаратно, так и программно.

Технологии использования одноразовых паролей можно разделить на:

• Использование генератора псевдослучайных чисел, единого для субъекта и системы
• Использование временных меток вместе с системой единого времени
• Использование базы случайных паролей, единого для субъекта и для системы

В первом методе используется генератор псевдослучайных чисел с одинаковым значением для субъекта и для системы. Сгенерированный субъектом пароль может передаваться системе при последовательном использовании односторонней функции или при каждом новом запросе, основываясь на уникальной информации из предыдущего запроса.

Во втором методе используются временные метки. В качестве примера такой технологии можно привести SecurID. Она основана на использовании аппаратных ключей и синхронизации по времени. Аутентификация основана на генерации случайных чисел через определенные временные интервалы. Уникальный секретный ключ хранится только в базе системы и в аппаратном устройстве субъекта. Когда субъект запрашивает доступ в систему, ему предлагается ввести PIN-код, а также случайно генерируемое число, отображаемого в этот момент на аппаратном устройстве. Система сопоставляет введенный PIN-код и секретный ключ субъекта из своей базы и генерирует случайное число, основываясь на параметрах секретного ключа из базы и текущего времени. Далее проверяется идентичность сгенерированного числа и числа, введённого субъектом.

Третий метод основан на единой базе паролей для субъекта и системы и высокоточной синхронизации между ними. При этом каждый пароль из набора может быть использован только один раз. Благодаря этому, даже если злоумышленник перехватит используемый субъектом пароль, то он уже будет недействителен.

По сравнению с использованием многоразовых паролей, одноразовые пароли предоставляют более высокую степень защиты.

Многофакторная аутентификация

В последнее время всё чаще применяется, так называемая, расширенная или многофакторная аутентификация. Она построена на совместном использовании нескольких факторов аутентификации. Это значительно повышает защищенность системы.

В качестве примера можно привести использование SIM-карт в мобильных телефонах. Субъект вставляет аппаратно свою карту (устройство аутентификации) в телефон и при включении вводит свой PIN-код (пароль).

Также, к примеру в некоторых современных ноутбуках присутствует сканер отпечатка пальца. Таким образом, при входе в систему субъект должен пройти эту процедуру (биометрика), а потом ввести пароль.

Выбирая для системы тот или иной фактор или способ аутентификации необходимо прежде всего отталкиваться от требуемой степени защищенности, стоимости построения системы, обеспечения мобильности субъекта.

Можно привести сравнительную таблицу:

Уровень риска	Требования к системе	Технология аутентификации	Примеры применения
Низкий	Требуется осуществить аутентификацию для доступа к системе, причём кража, взлом, разглашение конфиденциальной информации не будет иметь значительных последствий	Рекомендуется минимальное требование — использование многоразовых паролей	Регистрация на портале в сети Интернет
Средний	Требуется осуществить аутентификацию для доступа к системе, причём кража, взлом, разглашение конфиденциальной информации причинит небольшой ущерб	Рекомендуется минимальное требование — использование одноразовых паролей	Произведение субъектом банковских операций
Высокий	Требуется осуществить аутентификацию для доступа к системе, причём кража, взлом, разглашение конфиденциальной информации причинит значительный ущерб	Рекомендуется минимальное требование — использование многофакторной аутентификации	Проведение крупных межбанковских операций руководящим аппаратом

Протоколы аутентификации

Процедура аутентификации используется при обмене информацией между компьютерами, при этом используются весьма сложные криптографические протоколы, обеспечивающие защиту линии связи от прослушивания или подмены одного из участников взаимодействия. А поскольку, как правило, аутентификация необходима обоим объектам, устанавливающим сетевое взаимодействие, то аутентификация может быть и взаимной.

Самый простой протокол аутентификации — доступ по паролю (Password Authentication Protocol, PAP). Его суть состоит в том, что вся информация о субъекте (идентификатор и пароль) передается по сети в открытом виде. Это и является главным недостатком PAP, так как злоумышленник может легко получить доступ к передающимся незашифрованным данным.

Более сложные протоколы аутентификации основаны на принципе «запрос-ответ», например, протокол CHAP (Challenge-Handshake Authentication Protocol). Работа протокола типа «запрос-ответ» может состоять минимум из четырех стадий:

1. Субъект отправляет системе запрос, содержащий его персональный идентификатор
2. Система генерирует случайное число и отправляет его субъекту
3. Субъект зашифровывает полученное число на основе своего уникального ключа и результат отправляет системе
4. Система расшифровывает полученное сообщение на основе того же уникального ключа. При совпадении результата с исходным случайным числом, аутентификация проходит успешно.

Сам уникальный ключ, на основе которого производится шифрование и с одной, и с другой стороны, не передается по сети, следовательно, злоумышленник не сможет его перехватить. Но субъект должен обладать собственным вычислительным шифрующим устройством, например, смарт-карта, мобильный телефон.

Принцип действия протоколов взаимной аутентификации отличаются от протоколов типа «запрос-ответ» незначительно:

1. Субъект отправляет системе запрос, содержащий его персональный идентификатор и случайное число N1
2. Система зашифровывает полученное число N1 на основе уникального ключа, генерирует случайное число N2, и отправляет их оба субъекту
3. Cубъект расшифровывает полученное число на основе своего уникального ключа и сравнивает результат с N1. Идентичность означает, что система обладает тем же уникальным ключом, что и субъект
4. Субъект зашифровывает полученное число N2 на основе своего уникального ключа и результат отправляет системе
5. Система расшифровывает полученное сообщение на основе того же уникального ключа. При совпадении результата с исходным числом N2, взаимная аутентификация проходит успешно.

Алгоритм, приведенный выше, часто называют рукопожатием. В обоих случаях аутентификация проходит успешно, только если субъект имеет идентичные с системой уникальные ключи.

В операционных системах семейства Windows NT 4 используется протокол NTLM (NT LAN Manager — Диспетчер локальной сети NT). А в доменах Windows 2000/2003 применяется гораздо более совершенный протокол Kerberos.

См. также

Примечания

Ссылки

Литература

• Ричард Э. Смит Аутентификация: от паролей до открытых ключей = Authentication: From Passwords to Public Keys First Edition. — М.: «Вильямс», 2002. — С. 432. — ISBN 0-201-61599-1

Что такое аутентификация? — Определение из WhatIs.com

Аутентификация — это процесс определения того, действительно ли кто-то или что-то является тем, кем или чем оно себя объявляет. Технология аутентификации обеспечивает контроль доступа для систем, проверяя, совпадают ли учетные данные пользователя с учетными данными в базе данных авторизованных пользователей или на сервере аутентификации данных.

Пользователи обычно идентифицируются с помощью идентификатора пользователя, и аутентификация выполняется, когда пользователь предоставляет учетные данные, например пароль, которые совпадают с этим идентификатором пользователя.Большинство пользователей лучше всего знакомы с использованием пароля, который как часть информации, которая должна быть известна только пользователю, называется фактором проверки подлинности знаний. Другие факторы аутентификации и способы их использования для двухфакторной или многофакторной аутентификации (MFA) описаны ниже.

Аутентификация в кибербезопасности

Аутентификация важна, поскольку она позволяет организациям обеспечивать безопасность своих сетей, разрешая только аутентифицированным пользователям (или процессам) доступ к своим защищенным ресурсам, которые могут включать компьютерные системы, сети, базы данных, веб-сайты и другие сетевые приложения или службы.

После аутентификации пользователь или процесс обычно также подвергаются процессу авторизации, чтобы определить, следует ли аутентифицированному объекту разрешить доступ к защищенному ресурсу или системе. Пользователь может быть аутентифицирован, но не может получить доступ к ресурсу, если этому пользователю не было предоставлено разрешение на доступ к нему.

Термины аутентификация и авторизация часто используются как синонимы; хотя они часто могут быть реализованы вместе, эти две функции различны.В то время как аутентификация — это процесс проверки личности зарегистрированного пользователя перед предоставлением доступа к защищенному ресурсу, авторизация — это процесс проверки того, что аутентифицированному пользователю было предоставлено разрешение на доступ к запрошенным ресурсам. Процесс, с помощью которого доступ к этим ресурсам ограничивается определенным числом пользователей, называется контролем доступа. Процесс аутентификации всегда предшествует процессу авторизации.

Как используется аутентификация

Аутентификация пользователя происходит при большинстве взаимодействий человека с компьютером за пределами гостевых учетных записей, учетных записей с автоматическим входом в систему и компьютерных систем киоска.Как правило, пользователь должен выбрать имя пользователя или идентификатор пользователя и предоставить действующий пароль, чтобы начать использовать систему. Аутентификация пользователя разрешает взаимодействие человека с машиной в операционных системах и приложениях, а также в проводных и беспроводных сетях, чтобы обеспечить доступ к сетевым и подключенным к Интернету системам, приложениям и ресурсам.

Многие компании используют аутентификацию для проверки пользователей, которые входят на их веб-сайты. Без надлежащих мер безопасности пользовательские данные, такие как номера кредитных и дебетовых карт, а также номера социального страхования, могут попасть в руки киберпреступников.

Организации также используют аутентификацию для контроля того, какие пользователи имеют доступ к корпоративным сетям и ресурсам, а также для определения и контроля того, какие машины и серверы имеют доступ. Компании также используют аутентификацию, чтобы позволить удаленным сотрудникам безопасно получать доступ к своим приложениям и сетям.

Для предприятий и других крупных организаций аутентификация может выполняться с использованием системы единого входа (SSO), которая предоставляет доступ к нескольким системам с одним набором учетных данных для входа.

Как работает аутентификация

Во время аутентификации учетные данные, предоставленные пользователем, сравниваются с данными, хранящимися в файле в базе данных информации авторизованных пользователей либо в локальной операционной системе, либо через сервер аутентификации. Если учетные данные совпадают и аутентифицированный объект авторизован на использование ресурса, процесс завершается, и пользователю предоставляется доступ. Возвращаемые разрешения и папки определяют как среду, которую видит пользователь, так и способ взаимодействия с ней, включая часы доступа и другие права, такие как объем пространства для хранения ресурсов.

Традиционно аутентификация выполнялась системами или ресурсами, к которым осуществлялся доступ; например, сервер будет аутентифицировать пользователей, используя свою собственную систему паролей, реализованную локально, с использованием идентификаторов входа (имен пользователей) и паролей. Предполагается, что знание учетных данных для входа гарантирует подлинность пользователя. Каждый пользователь сначала регистрируется (или регистрируется кем-то другим, например системным администратором), используя назначенный или самопровозглашенный пароль. При каждом последующем использовании пользователь должен знать и использовать ранее объявленный пароль.

Тем не менее, протоколы веб-приложений, HTTP и HTTPS, не имеют состояния, а это означает, что строгая аутентификация потребует от конечных пользователей повторной аутентификации каждый раз, когда они обращаются к ресурсу с использованием HTTPS. Вместо того, чтобы обременять конечных пользователей этим процессом для каждого взаимодействия через Интернет, защищенные системы часто полагаются на аутентификацию на основе токенов, при которой аутентификация выполняется один раз в начале сеанса. Система аутентификации выдает подписанный токен аутентификации приложению конечного пользователя, и этот токен добавляется к каждому запросу от клиента.

Аутентификация объекта для систем и процессов может выполняться с использованием учетных данных компьютера, которые работают как идентификатор пользователя и пароль, за исключением того, что учетные данные отправляются автоматически соответствующим устройством. Они также могут использовать цифровые сертификаты, которые были выпущены и проверены центром сертификации как часть инфраструктуры открытых ключей, для аутентификации личности при обмене информацией через Интернет.

Факторы аутентификации

Аутентификация пользователя с помощью идентификатора пользователя и пароля обычно считается самым основным типом аутентификации и зависит от того, знает ли пользователь две части информации: идентификатор пользователя или имя пользователя и пароль.Поскольку этот тип аутентификации полагается только на один фактор аутентификации, это тип однофакторной аутентификации.

Строгая аутентификация — это термин, который формально не определен, но обычно используется для обозначения того, что используемый тип аутентификации более надежен и устойчив к атакам; Общепризнано, что для достижения этого необходимо использовать как минимум два различных типа факторов аутентификации.

Фактор аутентификации представляет собой некоторую часть данных или атрибут, который может использоваться для аутентификации пользователя, запрашивающего доступ к системе.Старая поговорка о безопасности гласит, что факторы аутентификации могут быть «чем-то, что вы знаете, чем-то, что у вас есть, или чем-то, чем вы являетесь». Эти три фактора соответствуют фактору знания, фактору владения и фактору принадлежности. В последние годы были предложены и введены в действие дополнительные факторы, при этом местоположение во многих случаях выступает в качестве четвертого фактора, а время — в качестве пятого.

В настоящее время используются следующие факторы аутентификации:

• Фактор знания: «Что-то, что вы знаете.»Фактором знания могут быть любые учетные данные аутентификации, которые состоят из информации, которой обладает пользователь, включая персональный идентификационный номер (PIN), имя пользователя, пароль или ответ на секретный вопрос.
• Фактор владения: «То, что у вас есть». Фактором владения могут быть любые учетные данные, основанные на элементах, которыми пользователь может владеть и носить с собой, включая аппаратные устройства, такие как токен безопасности или мобильный телефон, используемый для приема текстового сообщения или для запуска приложения аутентификации, которое может генерировать одноразовое сообщение. пароль или ПИН-код.
• Фактор принадлежности: «То, что вы есть». Фактор принадлежности обычно основан на какой-либо форме биометрической идентификации, включая отпечатки пальцев или большого пальца, распознавание лиц, сканирование сетчатки глаза или любую другую форму биометрических данных.
• Фактор местоположения: «Где вы находитесь». Хотя он может быть менее конкретным, фактор местоположения иногда используется как дополнение к другим факторам. Местоположение может быть определено с разумной точностью с помощью устройств, оснащенных GPS, или с меньшей точностью путем проверки сетевых маршрутов.Фактор местоположения обычно не может использоваться сам по себе для аутентификации, но он может дополнять другие факторы, предоставляя средства для исключения некоторых запросов. Например, он может помешать злоумышленнику, находящемуся в удаленном географическом районе, выдать себя за пользователя, который обычно входит в систему только из дома или офиса в стране проживания организации.
• Фактор времени: «При аутентификации». Как и фактор местоположения, фактор времени сам по себе недостаточен, но он может быть дополнительным механизмом для отсеивания злоумышленников, которые пытаются получить доступ к ресурсу в то время, когда этот ресурс недоступен для авторизованного пользователя.Его также можно использовать вместе с местоположением. Например, если пользователь последний раз аутентифицировался в полдень в США, попытка аутентификации из Азии на час позже будет отклонена на основании комбинации времени и местоположения.

Несмотря на то, что они используются в качестве дополнительных факторов аутентификации, местоположение пользователя и текущее время сами по себе недостаточны, без хотя бы одного из первых трех факторов, для аутентификации пользователя. Однако повсеместное распространение смартфонов помогает облегчить бремя многофакторной аутентификации для многих пользователей.Большинство смартфонов оснащены GPS, что дает разумную уверенность в подтверждении местоположения входа в систему; MAC-адреса смартфона также могут использоваться для аутентификации удаленного пользователя, несмотря на то, что MAC-адреса относительно легко подделать.

Двухфакторная и многофакторная аутентификация

Добавление факторов аутентификации к процессу аутентификации обычно повышает безопасность. Строгая проверка подлинности обычно относится к проверке подлинности, которая использует как минимум два фактора, причем эти факторы относятся к разным типам.Различие важно; поскольку и имя пользователя, и пароль могут считаться типами фактора знаний, можно сказать, что базовая аутентификация по имени пользователя и паролю использует два фактора знания для аутентификации, однако это не будет считаться формой двухфакторной аутентификации (2FA). То же самое для систем аутентификации, которые полагаются на «вопросы безопасности», которые также являются «чем-то, что вы знаете», в дополнение к идентификатору пользователя и паролям.

Двухфакторная аутентификация обычно зависит от фактора знаний в сочетании с биометрическим фактором или фактором владения, таким как токен безопасности.Многофакторная аутентификация может включать любой тип аутентификации, который зависит от двух или более факторов, но процесс аутентификации, который использует пароль плюс два разных типа биометрических данных, не будет считаться трехфакторной аутентификацией, хотя, если для этого процесса требуется фактор знания, владение фактор и фактор неотъемлемости, это было бы. Системы, которые требуют учета этих трех факторов плюс географический или временной фактор, считаются примерами четырехфакторной аутентификации.

Аутентификация и авторизация

Авторизация включает в себя процесс, посредством которого администратор предоставляет права аутентифицированным пользователям, а также процесс проверки разрешений учетной записи пользователя, чтобы убедиться, что пользователю предоставлен доступ к этим ресурсам.Привилегии и предпочтения, предоставленные авторизованной учетной записи, зависят от разрешений пользователя, которые хранятся локально или на сервере аутентификации. Параметры, определенные для всех этих переменных среды, устанавливаются администратором.

Системам и процессам также может потребоваться авторизация их автоматизированных действий в сети. Онлайн-сервисы резервного копирования, системы исправлений и обновления и системы удаленного мониторинга, такие как те, которые используются в телемедицине и технологиях интеллектуальных сетей, — все они должны пройти безопасную аутентификацию, прежде чем они смогут убедиться, что это авторизованная система, участвующая в любом взаимодействии, а не хакер.

Типы методов аутентификации

Традиционная аутентификация зависит от использования файла паролей, в котором идентификаторы пользователей хранятся вместе с хэшами паролей, связанных с каждым пользователем. При входе в систему пароль, представленный пользователем, хешируется и сравнивается со значением в файле паролей. Если два хэша совпадают, пользователь аутентифицируется.

Этот подход к аутентификации имеет несколько недостатков, особенно для ресурсов, развернутых в разных системах.Во-первых, злоумышленники, которые могут получить доступ к файлу паролей для системы, могут использовать атаки грубой силы против хешированных паролей для извлечения паролей. С другой стороны, этот подход потребует множественной аутентификации для современных приложений, которые обращаются к ресурсам в нескольких системах.

Слабые места аутентификации на основе паролей можно до некоторой степени устранить с помощью более разумных имен пользователей и правил паролей, таких как минимальная длина и условия сложности, такие как включение заглавных букв и символов.Однако аутентификация на основе пароля и аутентификация на основе знаний более уязвимы, чем системы, требующие нескольких независимых методов.

Другие методы аутентификации включают:

• Двухфакторная аутентификация — Двухфакторная аутентификация добавляет дополнительный уровень защиты к процессу аутентификации. 2FA требует, чтобы пользователь предоставил второй фактор аутентификации в дополнение к паролю. Системы 2FA часто требуют, чтобы пользователь вводил проверочный код, полученный в текстовом сообщении на предварительно зарегистрированном мобильном телефоне, или код, сгенерированный приложением аутентификации.
• Многофакторная аутентификация — Многофакторная аутентификация требует от пользователей аутентификации с использованием нескольких факторов аутентификации, включая биометрический фактор, такой как отпечаток пальца или распознавание лица, фактор владения, такой как брелок безопасности или токен, сгенерированный приложением аутентификатора.
• Одноразовый пароль — Одноразовый пароль представляет собой автоматически сгенерированную числовую или буквенно-цифровую строку символов, которая аутентифицирует пользователя. Этот пароль действителен только для одного сеанса или транзакции входа в систему и обычно используется для новых пользователей или для пользователей, потерявших свои пароли и получивших одноразовый пароль для входа в систему и смены пароля на новый.
• Трехфакторная аутентификация — Трехфакторная аутентификация (3FA) — это тип MFA, который использует три фактора аутентификации, обычно фактор знания (пароль) в сочетании с фактором владения (токен безопасности) и фактором принадлежности (биометрический).
• Биометрия — Хотя некоторые системы аутентификации могут зависеть исключительно от биометрической идентификации, биометрия обычно используется в качестве второго или третьего фактора аутентификации. К наиболее распространенным доступным типам биометрической аутентификации относятся сканирование отпечатков пальцев, сканирование лица или сетчатки глаза и распознавание голоса.
• Мобильная аутентификация — Мобильная аутентификация — это процесс проверки пользователя с помощью его устройств или проверки самих устройств. Это позволяет пользователям входить в безопасные места и ресурсы из любого места. Процесс мобильной аутентификации включает многофакторную аутентификацию, которая может включать одноразовые пароли, биометрическую аутентификацию или проверку QR-кода.
• Непрерывная проверка подлинности — При непрерывной проверке подлинности вместо того, чтобы пользователь входил в систему или выходил из нее, приложение компании постоянно вычисляет «оценку проверки подлинности», которая измеряет, насколько уверенно владелец учетной записи является лицом, использующим устройство.
• Аутентификация API — Стандартные методы управления аутентификацией API: базовая аутентификация HTTP; Ключи API и OAuth.
• При базовой аутентификации HTTP сервер запрашивает информацию аутентификации, то есть имя пользователя и пароль, у клиента. Затем клиент передает аутентификационную информацию серверу в заголовке авторизации.
• В методе аутентификации ключа API первому пользователю назначается уникальное сгенерированное значение, которое указывает, что пользователь известен.Затем каждый раз, когда пользователь пытается войти в систему снова, его уникальный ключ используется для проверки того, что он тот же пользователь, который входил в систему ранее.
• Open Authorization (OAuth) — это открытый стандарт аутентификации и авторизации на основе токенов в Интернете. OAuth позволяет использовать информацию учетной записи пользователя сторонними службами, такими как Facebook, без раскрытия пароля пользователя. OAuth действует как посредник от имени пользователя, предоставляя службе токен доступа, который разрешает совместное использование определенной информации учетной записи.

Аутентификация пользователя и машинная аутентификация

Машины также должны авторизовать свои автоматизированные действия в сети. Онлайн-сервисы резервного копирования, системы исправлений и обновлений и системы удаленного мониторинга, такие как те, которые используются в телемедицине и технологиях интеллектуальных сетей, — все они должны пройти безопасную аутентификацию, чтобы убедиться, что это авторизованная система, участвующая в любом взаимодействии, а не хакер.

Машинная аутентификация может быть выполнена с использованием машинных учетных данных, подобных идентификатору пользователя и паролю, только предоставленным данным устройством.Они также могут использовать цифровые сертификаты, выпущенные и проверенные центром сертификации, как часть инфраструктуры открытых ключей для подтверждения идентификации при обмене информацией через Интернет, например, типа цифрового пароля.

С ростом числа устройств с доступом в Интернет надежная машинная аутентификация имеет решающее значение для обеспечения безопасной связи для домашней автоматизации и других приложений Интернета вещей, где почти любой объект или объект может быть адресован и иметь возможность обмениваться данными по сети.Важно понимать, что каждая точка доступа является потенциальной точкой вторжения. Каждому сетевому устройству требуется строгая машинная аутентификация, а также, несмотря на их обычно ограниченную активность, эти устройства также должны быть настроены для доступа с ограниченными разрешениями, чтобы ограничить то, что можно сделать, даже если они будут нарушены.

Что такое аутентификация? Определение и использование

Аутентификация с использованием имени пользователя и пароля

Комбинация имени пользователя и пароля — самый популярный механизм аутентификации, также известный как аутентификация по паролю.

Хорошо известным примером является доступ к учетной записи пользователя на веб-сайте или у поставщика услуг, такого как Facebook или Gmail. Прежде чем вы сможете получить доступ к своей учетной записи, вы должны доказать, что у вас есть правильные учетные данные для входа. Сервисы обычно представляют собой экран, на котором запрашивается имя пользователя и пароль. Затем они сравнивают данные, введенные пользователем, со значениями, ранее сохраненными во внутреннем репозитории.

Если вы введете допустимую комбинацию этих учетных данных, поставщик услуг позволит вам продолжить и предоставит вам доступ к вашей учетной записи.

Хотя имя пользователя может быть общедоступным, например, адрес электронной почты, пароль должен быть конфиденциальным. Из-за своей конфиденциальности пароли должны быть защищены от кражи злоумышленниками. Фактически, хотя имена пользователей и пароли широко используются в Интернете, они печально известны тем, что являются слабым механизмом безопасности, который хакеры регулярно используют.

Первый способ защиты — обеспечение надежности пароля, то есть такого уровня сложности, чтобы злоумышленники не могли легко их угадать.Как показывает практика, сложное сочетание строчных и прописных букв, цифр и специальных символов приводит к созданию надежного пароля. В противном случае плохое сочетание символов приведет к слабому паролю.

Конечные пользователи, как известно, склонны использовать слабые пароли. В ежегодном отчете SplashData, фирмы, занимающейся интернет-безопасностью, они определили 25 наиболее распространенных паролей. Список, основанный на миллионах паролей, обнаруженных в результате утечки данных, показывает, что миллионы пользователей для аутентификации полагаются на такие пароли, как «123456» и «пароль».

Это вопрос удобства использования, поскольку слабые пароли обычно легче запомнить. Кроме того, они часто повторно используют один и тот же пароль с разными веб-сайтами или службами.

Сочетание этих ситуаций может привести к проблемам с безопасностью, поскольку слабые пароли легко угадать, а утекший пароль можно использовать для доступа к нескольким службам для одного и того же пользователя.

С другой стороны, надежные пароли, используемые для аутентификации, могут противостоять атакам методом грубой силы, но бесполезны против таких атак, как фишинг и программное обеспечение клавиатурных шпионов или добавление паролей.Эти типы атак не пытаются угадать пароль пользователя, а крадут его непосредственно у пользователя.

Пароли также представляют собой проблему, если они хранятся ненадежно. Например, в недавнем новостном сообщении было показано, что Facebook хранит миллионы паролей Instagram в виде простого текста. Пароли всегда следует хранить с использованием передовых методов, таких как хеширование.

Что такое аутентификация в информационной безопасности?

Одно из слов, которое мы часто используем, говоря об информационной безопасности, — это аутентификация.

Что такое аутентификация?

В сфере безопасности аутентификация — это процесс проверки того, действительно ли кто-то (или что-то) является тем, кем (или чем) он объявлен.

Аутентификация: проверка личности пользователя, процесса или устройства, часто в качестве предварительного условия для разрешения доступа к ресурсам в информационной системе.

Определение из CSRC NIST

Независимо от того, входите ли вы в свою компьютерную систему в офисе, проверяете баланс своего счета на веб-сайте своего банка или посещаете свои любимые каналы социальных сетей, процесс аутентификации помогает этим сайтам определить, что вы правильный человек пытается получить доступ.

Ценность аутентификации

Выросший в маленьком городке человек мог зайти в местный банк, и кассир узнал бы его. Это один из методов, используемых кассирами, чтобы узнать, что человек, который мог вносить и снимать средства с их счета, был нужным человеком.

Сегодня мы заходим на сайт нашего национального банка, и там нет кассира, который приветствовал бы нас по имени. Требуются другие методы аутентификации. Когда вы аутентифицируете свою учетную запись, вы устанавливаете свою личность и сообщаете сайту, к которому пытаетесь получить доступ, что вы на самом деле являетесь тем человеком, которым себя называете.

Этот процесс установления вашей личности для получения доступа к системе обычно состоит из двух этапов: вы должны сначала идентифицировать себя (т.е. идентификатор пользователя, номер учетной записи или адрес электронной почты), а затем вы должны доказать, что вы являетесь тем, кем вы себя называете. являются (подтвердите свою подлинность).

В конечном итоге это снижает вероятность того, что выдающий себя за другое лицо получит доступ к конфиденциальной информации, которая ему не принадлежит.

Способы аутентификации

Есть три метода аутентификации: то, что вы знаете (т.е. пароли), что-то, что у вас есть (например, токен-ключи) или что-то, что вы есть (отсканированная часть тела, например, отпечаток пальца):

Something You Are

Это, как правило, самое надежное и сложное для взлома — его непросто воспроизвести сканирование радужной оболочки глаза или дубликат отпечатка пальца. Однако технология для развертывания этого типа аутентификации стоит дорого, и ее нелегко применить ко всем способам доступа к ресурсам. Мы начинаем видеть более широкое распространение этого метода аутентификации (подумайте о Face ID в iPhone), но мы далеки от того, чтобы добиться серьезного прогресса в этом направлении.

Что-то, что у вас есть

Это становится все более популярным, учитывая наше общее нежелание отключаться от наших мобильных телефонов. Этот тип управления доступом обычно принимает форму одноразового ключа-токена, который вы получаете из внешнего источника (ключ, ваш адрес электронной почты, текстовое сообщение или приложение для проверки подлинности). Традиционно предоставление пользователям устройства, доставляющего токен-ключ, было самым большим сдерживающим фактором для более широкого развертывания, но сегодня, когда у большинства пользователей всегда доступны смарт-устройства, все более популярным становится тот, который у вас есть, метод аутентификации.

Something You Kno w

Самый распространенный пример — наши пароли — не требуется специального оборудования для биосканирования, не требуется дополнительных инструментов для предоставления секретных кодов. Вот почему так важно создавать пароли, которые трудно угадать. В большинстве случаев ваш пароль — это единственная информация, которую другие люди не знают, и единственный способ защитить вашу информацию.

Обеспечение конфиденциальности и надежности вашей аутентификационной информации

Если вернуться к сценарию местного банка в небольшом городке, если ваш друг подойдет к кассиру и попытается предъявить квитанцию ​​на снятие средств с вашего счета, кассир сможет сказать, что это были не вы, и опровергнуть сделку.

Но если тот же самый друг попытается войти в вашу текущую банковскую учетную запись с моим именем пользователя и паролем, сайт не помешает ему сделать это. «Вы хотели войти на свой сайт, а не на сайт друга?»

Платформа не заметит разницы. Имея правильную комбинацию, он примет имя пользователя и пароль независимо от того, правильный это человек или нет.

Таким образом, крайне важно, чтобы вы держали при себе любую потенциально идентифицирующую информацию или устройства для аутентификации.

Как насчет двухфакторной аутентификации?

Многофакторная аутентификация (MFA) — действительно хорошая вещь. MFA сочетает в себе два разных метода аутентификации (то есть пароль и токен) для обеспечения большей безопасности при подтверждении вашей личности.

Продолжая наш пример онлайн-банковского счета, если бы друг угадал пароль к вашей учетной записи, но у вас была включена аутентификация MFA, ему было бы отказано в доступе, если бы у нее также не был мой мобильный телефон, знавший ПИН-код для доступа к телефону. , и смог получить одноразовый код, необходимый в качестве второго метода проверки.

То же самое и со злоумышленниками. Если они смогут взломать ваши учетные данные и включен MFA, они, скорее всего, будут остановлены из-за отсутствия доступа.

Многие организации теперь требуют, чтобы MFA устанавливал соединение с их сетью и программами — разумный шаг для защиты вас на случай, если ваши учетные данные будут скомпрометированы.

Если какая-либо из ваших защищенных систем предлагает MFA, я рекомендую вам включить эту услугу, чтобы обеспечить большую безопасность вашей личной информации.

---

Аутентификация стала полезным методом защиты информации как для компаний, так и для людей.Надежные пароли, хорошие привычки к совместному использованию и инструменты MFA — все это способы защитить ваши учетные записи и сети от взлома.

Чтобы получить дополнительные советы и уловки по предотвращению атак на вашу сеть или поработать с поставщиком услуг безопасности для улучшения методов обеспечения безопасности вашего бизнеса, посетите сайт frsecure.com.

Автор: Мишель Киллиан

Опыт Мишель в качестве бизнес-лидера и мастера коммуникативных коммуникаций однозначно позиционирует ее как высокоэффективного виртуального директора по информационной безопасности. Ее способность реализовывать инициативы в области безопасности, соответствующие потребностям бизнеса, и привлекать поддержку со стороны всех подразделений ее клиентских организаций, хорошо известна среди наших клиентов.Создание надежных и устойчивых программ безопасности и обучение — это страсть Мишель в области безопасности.

Что такое аутентификация? — Полное руководство — Veriff

Проще говоря, аутентификация — это процедура распознавания личности пользователя. Он запускается при запуске приложения и проверяет пользователей, чтобы убедиться, что они соответствуют всем требованиям безопасности.

В разных системах требуются разные учетные данные для подтверждения личности. Эти учетные данные часто являются паролем, но это также могут быть другие формы аутентификации, в зависимости от служб и функций безопасности, которые должны иметь приложение.Вся процедура состоит из двух основных этапов — идентификации и фактической аутентификации, которая гарантирует, что все в безопасности и пользователь имеет доступ к нужным инструментам.

В этой статье мы углубимся в эту тему и поговорим о различных формах аутентификации, технологиях, методах и поможем вам понять, почему для вашего бизнеса важно иметь надлежащую систему аутентификации.

Типы аутентификации

Существует много различных типов аутентификации.Кибератаки со временем улучшаются, и службы безопасности должны быть готовы к новым вызовам. Они стремятся внедрить более сложные системы, чтобы обезопасить своих пользователей и гарантировать безопасность. Вот почему доступно так много типов аутентификации, которые пытаются удовлетворить самые разные требования. Наиболее распространенными типами аутентификации являются:

Однофакторная / первичная аутентификация

Самый простой способ защитить ваш доступ к системе. В этом случае вам нужно сопоставить только одно удостоверение, чтобы подтвердить себя в Интернете.Чаще всего это пароль, самая популярная форма аутентификации.

Двухфакторная аутентификация (2FA)

Дополнительный уровень безопасности, гарантирующий безопасность системы для пользователей. После ввода имени пользователя и пароля вам необходимо выполнить дополнительный шаг и предоставить другую информацию, которая может быть PIN-кодом, ответом на «секретный вопрос», номером, отправленным по SMS / электронной почте, или даже вашими биометрическими характеристиками ( например, с помощью Face ID или Touch ID).

Единый вход (SSO)

SSO позволяет безопасно аутентифицировать себя с помощью нескольких учетных записей в Интернете, используя только один набор учетных данных.Это действительно в любой момент, когда у вас есть возможность войти в систему с помощью Google, Apple, Facebook или другого провайдера. Эта система основана на сертификате, которым обмениваются поставщик услуг и поставщик удостоверений. Провайдер идентификации отправляет идентификационную информацию поставщику услуг через этот сертификат, чтобы знать, что он исходит из надежного источника.

Многофакторная аутентификация (MFA)

При использовании MFA вам необходимо предоставить два или более факторов проверки для доступа к системе.Система может быть приложением, онлайн-аккаунтом или VPN. Этот метод аутентификации является основным компонентом строгой политики управления идентификацией и доступом. Использование MFA для ваших систем снизит шансы на успешную кибератаку.

Протокол аутентификации по паролю (PAP)

Схема аутентификации с открытым текстом, которая использует двустороннее рукопожатие, чтобы предоставить системе метод для установления личности. В этом случае информация не шифруется, поэтому такая форма аутентификации небезопасна от кибератак.

Challenge Handshake Authentication Protocol (CHAP)

CHAP — это протокол проверки личности, который периодически повторно аутентифицирует пользователя во время онлайн-сеанса. В отличие от PAP, этот протокол безопасен и устойчив к атакам. Для аутентификации аутентификатор должен отправить сообщение стороне, которая запрашивает доступ.

Extensible Authentication Protocol (EAP)

Наконец, EAP может поддерживать несколько механизмов аутентификации — в настоящее время доступно около 40 различных методов.EAP — это структура, которая в основном используется в двухточечных соединениях и беспроводных сетях. Это не конкретный механизм аутентификации.

Что такое ошибка аутентификации?

Пользователи часто получают уведомление об ошибке аутентификации, когда они пытаются либо настроить Wi-Fi, либо сделать запрос API, либо просто где-то зарегистрироваться. Это означает, что устройство не может аутентифицировать систему по какой-либо конкретной причине, которая может быть недавним обновлением устройства, нестабильным сетевым соединением или перегрузкой сервера.В этом случае всегда есть способ настроить детали и решить проблемы с помощью самого метода аутентификации, но это сильно зависит от проблемы.

Технологии и программное обеспечение аутентификации

Существует довольно много доступных инновационных технологий, которые помогают нам защищать системы и аутентифицировать людей с помощью различных методов. Ведущие технологии аутентификации включают программное обеспечение для распознавания лиц, смарт-карты, аутентификацию как услугу и многое другое. Вот четыре основных типа этих технологий, которые упрощают нашу повседневную жизнь:

• Технологии аутентификации на основе паролей
• Технологии аутентификации на основе биометрических данных
• Технологии аутентификации на основе сертификатов
• Технологии аутентификации на основе электронных токенов

Методы аутентификации людей прогрессировали с течением времени.Пару лет назад это были в первую очередь пароли. Но теперь мы видим все больше и больше возможностей и технологий по всем направлениям. Этот рынок быстро развивается, и технологии должны адаптироваться к новой реальности. Это движущая сила различных появляющихся вариантов и методов защиты наших онлайн-систем.

Методы аутентификации

В последнее время аутентификация стала одним из самых распространенных процессов в мире мобильных приложений и веб-разработки. Важно знать о различных методах аутентификации пользователей и предоставления им доступа к определенному программному обеспечению.Наиболее распространенными типами методов аутентификации являются:

• Аутентификация на основе токенов
• Аутентификация на основе сеансов
• Аутентификация на основе файлов cookie
• Аутентификация на основе утверждений
• Дайджест-аутентификация

Каждый из этих методов имеет свою цель и вариант использования. Все зависит от типа услуг, которые вы предлагаете пользователям, и уровней безопасности, необходимых для защиты себя и своих клиентов.

Принципы и важность аутентификации

Контроль доступа и пропуск нужных людей важны для успешной системы онлайн-безопасности.Вы можете убедиться в этом, используя различные методы аутентификации, чтобы проверить, имеет ли лицо, ищущее доступ, право на вход или нет. Обычно это основной элемент для легкой защиты вашей системы.

Процедура довольно проста. Чтобы получить доступ к системе, пользователю необходимо ввести свой идентификатор пользователя и секретный пароль. Но у этого процесса есть свои риски — он не позволяет установить личность отдельного человека. Возможно, преступник получает эту информацию, позволяя ему получить доступ к системе.Таким образом, этот метод аутентифицирует устройство независимо от того, кто находится за экраном. Вот почему доступно так много различных методов аутентификации. Компании могут внедрить те, которые им нужны, в зависимости от характера того, что они делают, и необходимых функций безопасности. Цель аутентификации — убедиться, что нужные люди получают доступ к системам.

Аутентификация и авторизация

Авторизация может показаться похожей на аутентификацию, но на самом деле это очень разные процессы безопасности.Аутентификация гарантирует, что пользователи являются теми, кем они себя называют. Но авторизация дает этим пользователям доступ к определенному ресурсу или функции.

Давайте попробуем понять взаимосвязь между этими двумя на простом примере. Если у вас есть ресторан, проверка подлинности поможет вам предоставить вашим сотрудникам доступ к рабочим местам, если они предоставят правильные учетные данные для ваших систем. А авторизация дает им разрешение на доступ к определенным местам и данным, которые им нужны для успешного выполнения своей работы.Обе эти системы помогают повысить безопасность, но их цель различна.

Резюме

Подводя итог, можно сказать, что аутентификация является неотъемлемой частью нашей онлайн-безопасности и повседневной жизни. Это помогает нам обеспечить безопасность наших учетных записей от кибератак с помощью множества различных доступных эффективных методов.

Здесь, в Veriff, мы упорно работаем, чтобы завоевать доверие в Интернете и сделать цифровой мир более безопасным с помощью инструментов, которые мы создаем ежедневно. Вот почему мы недавно запустили Face Match, наш инновационный метод аутентификации и повторной проверки, чтобы наши клиенты могли обеспечить безопасность своих пользователей.И если вам интересно: «Почему именно Veriff?», Почему бы не взглянуть на наши сравнения с Onfido и Jumio, чтобы понять, почему наши клиенты выбирают нас.

Уча Векуа

Создатель контента

Уча — молодой создатель контента из Грузии. Он любит рассказывать истории о своем международном опыте и приключениях в сфере стартапов. Он является частью команды Veriff с 2019 года, и помимо этого Уча активно работает с несколькими техническими организациями, чтобы поделиться своим успешным путешествием.

Что такое аутентификация? | Вебопедия

Аутентификация относится к процессу идентификации человека, обычно на основе имени пользователя, пароля и некоторого типа дополнительной проверки.Аутентификация подтверждает, что человек является тем, кем он себя называет, что предотвращает несанкционированный доступ к программе, системе, сети или устройству, но не влияет на права доступа человека. В системах безопасности аутентификация — это отдельная форма авторизации, процесс допуска людей к системным объектам на основе их личности.

Уровни аутентификации

Аутентификация обычно состоит из одной из следующих переменных или их комбинации:

• Знание: кое-что, что вы знаете , обычно это адрес электронной почты, идентификационный номер или имя пользователя и пароль, хотя он также может включать настраиваемые вопросы безопасности и проверку CAPTCHA
• Владение: то, что у вас есть , что может быть ссылкой для подтверждения адреса электронной почты, одноразовым паролем (OTP), идентификационным номером, карточкой-ключом или файлом cookie браузера
• Наследование: то, что вы являетесь , включая биометрические данные, такие как сканирование сетчатки глаза, отпечатки пальцев, распознавание голоса или лица

Любая комбинация этих переменных создает процесс многофакторной аутентификации, который иногда требует участия пользователя, но также может выполняться незаметно, как в случае аутентификации cookie.Аутентификация происходит в большинстве случаев, когда пользователь пытается получить доступ к программе, сети, устройству и т. Д., За исключением случая гостевого доступа и автоматического входа в систему.

Обычная проверка подлинности сравнивает переменную пользователя с тем, что хранится в системе, к которой осуществляется доступ. В случае имени пользователя и пароля, например, учетные данные, которые пользователь вводит при входе в систему, будут перекрестно ссылаться на базу данных сохраненных имен пользователей и соответствующих паролей. Если оба учетных данных совпадают, пользователю будет предоставлен доступ.Если одна или обе учетные данные недействительны, будет возвращено сообщение об ошибке (хотя разные сценарии могут возвращать разные сообщения). В особо чувствительных или высокорисковых ситуациях входа в систему слишком много неудачных попыток аутентификации может привести к блокировке учетной записи, когда пользователь должен предпринять дополнительные шаги для аутентификации своей личности.

Что такое двухфакторная аутентификация (2FA)?

А почему пароли недостаточно хороши?

Прежде чем ответить на вопрос «что такое двухфакторная аутентификация» или «что такое двухфакторная аутентификация», давайте рассмотрим, почему так важно сделать все возможное для повышения безопасности вашей учетной записи в Интернете.Поскольку большая часть нашей жизни происходит на мобильных устройствах и ноутбуках, неудивительно, что наши цифровые учетные записи стали магнитом для преступников. Вредоносные атаки на правительства, компании и отдельных лиц становятся все более распространенными. И нет никаких признаков того, что взломы, утечки данных и другие формы киберпреступности замедляются!

К счастью, предприятиям легко добавить дополнительный уровень защиты к учетным записям пользователей в виде двухфакторной аутентификации, также обычно называемой 2FA.

———

ВЫ РАЗРАБОТЧИК ЗАИНТЕРЕСОВАНЫ В ДОБАВЛЕНИИ 2FA К ВАШЕМУ ПРИЛОЖЕНИЮ? ПОСМОТРЕТЬ API И РУКОВОДСТВО TWILIO

———

Рост киберпреступности требует большей безопасности с 2FA

В последние годы мы стали свидетелями значительного увеличения количества веб-сайтов, теряющих личные данные своих пользователей. По мере того как киберпреступность становится все более изощренной, компании обнаруживают, что их старые системы безопасности не подходят для современных угроз и атак.Иногда их раскрывает простая человеческая ошибка. И не только доверие пользователей может быть подорвано. Все типы организаций — глобальные компании, малые предприятия, стартапы и даже некоммерческие организации — могут понести серьезные финансовые и репутационные потери.

Для потребителей последствия целенаправленного взлома или кражи личных данных могут быть разрушительными. Украденные учетные данные используются для защиты поддельных кредитных карт и финансирования покупок, что может повредить кредитному рейтингу жертвы. И все банковские и криптовалютные счета могут быть опустошены в одночасье.Недавнее исследование показало, что в 2016 году более 16 миллиардов долларов было получено от 15,4 миллионов потребителей в США. Что еще более невероятно, только за последние шесть лет воры украли более 107 миллиардов долларов.

Очевидно, что онлайн-сайты и приложения должны обеспечивать более строгую безопасность. И, по возможности, потребители должны иметь привычку защищать себя чем-то более надежным, чем просто пароль. Для многих этот дополнительный уровень безопасности — это двухфакторная аутентификация.

Пароли: исторически плохие, но все еще используются

Как и когда пароли стали настолько уязвимыми? Еще в 1961 году Массачусетский технологический институт разработал Совместимую систему разделения времени (CTSS).Чтобы убедиться, что все имеют равные возможности использовать компьютер, Массачусетский технологический институт потребовал, чтобы все студенты входили в систему с надежным паролем. Вскоре студенты поняли, что они могут взломать систему, распечатать пароли и потратить больше компьютерного времени.

Несмотря на это и на то, что существуют гораздо более безопасные альтернативы, имена пользователей и пароли остаются наиболее распространенной формой аутентификации пользователей. Общее эмпирическое правило состоит в том, что пароль должен быть известен только вам, в то время как его трудно угадать кому-либо еще.И хотя использование паролей лучше, чем отсутствие защиты вообще, они не являются надежными. Вот почему:

• У людей паршивая память. В недавнем отчете было рассмотрено более 1,4 миллиарда украденных паролей и выяснилось, что большинство из них были поразительно простыми. Среди худших — «111111», «123456», «123456789», «qwerty» и «пароль». Хотя их легко запомнить, любой порядочный хакер может взломать эти простые пароли в кратчайшие сроки.
• Слишком много учетных записей: По мере того, как пользователи привыкают делать все в Интернете, они открывают все больше и больше учетных записей.Это в конечном итоге создает слишком много паролей для запоминания и открывает путь к опасной привычке: повторному использованию паролей. Вот почему хакерам нравится эта тенденция: для взлома программного обеспечения требуется всего несколько секунд, чтобы проверить тысячи украденных учетных данных на популярных интернет-банках и сайтах покупок. Если повторно использовать пару имени пользователя и пароля, весьма вероятно, что это откроет множество других прибыльных учетных записей.
• Усталость от безопасности начинается: Чтобы защитить себя, некоторые потребители пытаются усложнить задачу злоумышленникам, создавая более сложные пароли и парольные фразы.Но с таким количеством утечек данных, наводняющих темную сеть информацией о пользователях, многие просто сдаются и возвращаются к использованию слабых паролей для нескольких учетных записей.

2FA к спасению

2FA — это дополнительный уровень безопасности, позволяющий убедиться, что люди, пытающиеся получить доступ к онлайн-аккаунту, являются теми, кем они себя называют. Сначала пользователь вводит свое имя пользователя и пароль. Тогда вместо того, чтобы сразу получить доступ, они должны будут предоставить другую информацию.Этот второй фактор может происходить из одной из следующих категорий:

• Что-то, что вы знаете: Это может быть личный идентификационный номер (ПИН), пароль, ответы на «секретные вопросы» или особая комбинация клавиш
• Что-то, что у вас есть: Обычно у пользователя есть что-то в своем распоряжении, например, кредитная карта, смартфон или небольшой аппаратный токен
• Что-то вы: Эта категория немного более продвинутая и может включать биометрический образец отпечатка пальца, сканирование радужной оболочки глаза или голосовой отпечаток

С двухфакторной аутентификацией учетная запись не будет разблокирована из-за возможной компрометации только одного из этих факторов.Таким образом, даже если ваш пароль украден или ваш телефон утерян, вероятность того, что кто-то другой получит вашу информацию второго фактора, очень маловероятна. С другой стороны, если потребитель правильно использует 2FA, веб-сайты и приложения могут быть более уверены в личности пользователя и разблокировать учетную запись.

Общие типы 2FA

Если сайт, который вы используете, требует только пароль для входа и не предлагает двухфакторную аутентификацию, есть большая вероятность, что в конечном итоге он будет взломан.Это не означает, что все двухфакторные аутентификации одинаковы. Сегодня используются несколько типов двухфакторной аутентификации; некоторые из них могут быть сильнее или сложнее, чем другие, но все они обеспечивают лучшую защиту, чем одни пароли. Давайте посмотрим на наиболее распространенные формы двухфакторной аутентификации.

аппаратных токенов для 2FA

Вероятно, самая старая форма 2FA, аппаратные токены имеют небольшие размеры, как брелок, и создают новый числовой код каждые 30 секунд. Когда пользователь пытается получить доступ к учетной записи, он смотрит на устройство и вводит отображаемый код 2FA обратно на сайт или в приложение.Другие версии аппаратных токенов автоматически передают код 2FA при подключении к USB-порту компьютера.

Однако у них есть несколько недостатков. Для предприятий распространение этих единиц обходится дорого. Пользователи считают, что их размер позволяет легко потерять или потерять их. Самое главное, что они не полностью защищены от взлома.

SMS, текстовые и голосовые сообщения 2FA

Двухфакторная аутентификация на основе SMS напрямую взаимодействует с телефоном пользователя. После получения имени пользователя и пароля сайт отправляет пользователю уникальный одноразовый код доступа (OTP) в текстовом сообщении.Как и в случае с аппаратным токеном, пользователь должен затем ввести OTP обратно в приложение, прежде чем получить доступ. Точно так же голосовая двухфакторная аутентификация автоматически набирает номер пользователя и устно доставляет код двухфакторной аутентификации. Хотя это не является распространенным явлением, он все еще используется в странах, где смартфоны дороги или где сотовая связь оставляет желать лучшего.

Для онлайн-активности с низким уровнем риска может потребоваться аутентификация с помощью текста или голоса. Но для веб-сайтов, которые хранят вашу личную информацию, таких как коммунальные предприятия, банки или учетные записи электронной почты, этот уровень 2FA может быть недостаточно безопасным.Фактически, SMS считается наименее безопасным способом аутентификации пользователей. Из-за этого многие компании повышают свою безопасность, выходя за рамки двухфакторной аутентификации на основе SMS.

Программных токенов для 2FA

Самая популярная форма двухфакторной аутентификации (и предпочтительная альтернатива SMS и голосовой связи) использует программно сгенерированный временный одноразовый код доступа (также называемый TOTP или «программный токен»).

Во-первых, пользователь должен загрузить и установить бесплатное приложение 2FA на свой смартфон или рабочий стол.Затем они могут использовать приложение с любым сайтом, поддерживающим этот тип аутентификации. При входе в систему пользователь сначала вводит имя пользователя и пароль, а затем, при появлении запроса, вводит код, показанный в приложении. Как и аппаратные токены, программный токен обычно действителен менее минуты. А поскольку код генерируется и отображается на одном устройстве, программные токены исключают возможность перехвата хакерами. Это большая проблема с SMS или голосовыми методами доставки.

Лучше всего то, что решения 2FA на основе приложений доступны для мобильных, носимых или настольных платформ — и даже работают в автономном режиме — аутентификация пользователей возможна практически везде.

Push-уведомление для 2FA

Вместо того, чтобы полагаться на получение и ввод токена 2FA, веб-сайты и приложения теперь могут отправлять пользователю push-уведомление о попытке аутентификации. Владелец устройства просто просматривает сведения и может одобрить или запретить доступ одним касанием. Это аутентификация без пароля, без ввода кодов и дополнительных действий.

Имея прямое и безопасное соединение между продавцом, службой 2FA и устройством, push-уведомление исключает любую возможность для фишинга, атак типа «злоумышленник в середине» или несанкционированного доступа.Но он работает только с подключенным к Интернету устройством, на которое можно устанавливать приложения. Кроме того, в регионах, где проникновение смартфонов низкое или где Интернет ненадежен, двухфакторная аутентификация на основе SMS может быть предпочтительным запасным вариантом. Но там, где это возможно, push-уведомления обеспечивают более удобную и безопасную форму безопасности.

Другие формы двухфакторной аутентификации

Биометрическая 2FA, аутентификация, которая рассматривает пользователя как токен, не за горами. Последние инновации включают проверку личности по отпечаткам пальцев, сетчатке глаза и распознаванию лиц.Также исследуются окружающий шум, пульс, шаблоны набора текста и голосовые отпечатки. Это только вопрос времени, когда один из этих методов двухфакторной аутентификации станет популярным … и хакеры, работающие с биометрическими данными, смогут выяснить, как их использовать.

Всем следует 2FA

Согласно недавнему отчету, украденные, повторно используемые и ненадежные пароли остаются основной причиной нарушений безопасности. К сожалению, пароли по-прежнему являются основным (или единственным) способом защиты пользователей для многих компаний. Хорошая новость заключается в том, что о киберпреступности так много говорится в новостях, что осведомленность о 2FA быстро растет, и usres требует, чтобы компании, с которыми они ведут бизнес, повысили безопасность.Мы согласны: «Всем следует 2FA»

Хотите узнать больше о 2FA?

Потребители: Не знаете, есть ли у ваших любимых сайтов или приложений двухфакторная аутентификация? Посетите TwoFactorAuth.org, чтобы узнать. Или посетите следующие ссылки, чтобы узнать больше:

Компании: Многие компании считают, что вместо того, чтобы строить двухфакторную аутентификацию самостоятельно, разумнее и рентабельнее сотрудничать с экспертом. Twilio предлагает полный набор удобных для разработчиков API-интерфейсов аутентификации и SDK, которые могут превратить любое приложение в аутентификатор с собственной маркой.Ознакомьтесь с этими полезными ссылками для предприятий и разработчиков:

Что такое аутентификация и как она работает?

Крупный план страницы входа на экран компьютера.

Гетти

Прежде чем говорить о том, что такое аутентификация и как она работает, важно пояснить, что аутентификация отличается от авторизации. Эти функции часто путают, но они различны и являются частью более широкого контроля безопасности, который называется Identity and Access Management (IAM).

Что такое аутентификация?

Вообще говоря, аутентификация — это термин, который относится к процессу доказательства подлинности факта или документа. Термин происходит от греческого слова «подлинный» (= αυθεντικός), что означает «подлинный». В информатике аутентификация — это процесс определения того, является ли кто-то тем, кем он себя называет. Решения для аутентификации обеспечивают контроль доступа путем проверки учетных данных пользователя на соответствие учетным данным в базе данных авторизованных пользователей или на сервере аутентификации.

Хотя большинство из нас относятся к аутентификации как личности, распространение устройств и служб Интернета вещей, запрашивающих доступ к системам и данным, привело к появлению так называемых машинных удостоверений. Таким образом, процесс аутентификации теперь распространяется также на устройства и службы.

Давным-давно был пароль

Самая популярная форма аутентификации — это комбинация имени пользователя и пароля, известная как аутентификация по паролю. Прежде чем пользователи смогут получить доступ к устройству или онлайн-аккаунту, они должны подтвердить свою «подлинность», введя правильные учетные данные на экране входа в систему.Эти учетные данные сравниваются со значениями, ранее сохраненными во внутреннем репозитории, и, если они действительны, поставщик услуг позволит пользователю получить доступ к своей учетной записи.

Хотя имена пользователей являются общедоступными, связанные с ними пароли должны рассматриваться как секретная информация. Несмотря на то, что аутентификация по паролю является наиболее популярным механизмом, пароли известны своей небезопасностью и вредят пользовательскому опыту. Термин «усталость от паролей» означает боль и сложность для пользователей и ИТ-отделов управления множеством надежных паролей, необходимых для доступа к нескольким устройствам и учетным записям.В результате многие пользователи склонны повторно использовать пароли или — когда требуется частая смена паролей — чтобы легко угадать изменения в исходном надежном пароле. Еще больше беспокоит тот факт, что многие пользователи склонны использовать общеизвестно слабые пароли, такие как «1,2,3,4,5».

Сочетание этих ситуаций может привести к скомпрометированным или украденным учетным данным, которые злоумышленники используют для выдачи себя за законные объекты или для получения доступа к корпоративным сетям, перемещения в боковом направлении незамеченным и кражи конфиденциальных или личных данных.Даже если компании применяют политику надежных паролей, эти пароли не могут защитить организацию от социальной инженерии, фишинга и других атак, вынуждающих пользователей раскрыть свои учетные данные.

На пути к беспарольной условной аутентификации

Вышеупомянутые проблемы, а также достижения в области технологий связи и кибербезопасности привели к появлению новых механизмов аутентификации, которые в основном полагаются на факторы аутентификации. Есть три фактора аутентификации, а именно:

1. Знание — что-то, что вы знаете, например пароль или PIN-код, которые пользователь передает системе управления идентификацией и доступом (IAM).

2. Possession — где вы доказываете, что у вас есть что-то вроде смартфона. Система IAM предлагает пользователю подтвердить право собственности, как правило, с помощью одноразовых паролей (OTP), отправленных на телефон пользователя или сгенерированных приложением-аутентификатором.

3. Inherence — где аутентификация основана на информации, присущей пользователю, такой как биометрия.

Краткое примечание о системах IAM — эти системы помогают предприятиям классифицировать пользователей и предоставлять доступ к корпоративным ресурсам. IAM включает в себя различные функции, такие как подключение и предоставление доступа к активам, аутентификация людей, авторизация людей путем предоставления прав доступа к ресурсам и деинициализация уходящих пользователей. Важность IAM значительно возросла в последние несколько лет после ускоренного внедрения облачных сред, в которых идентификация является новым периметром безопасности.

Предприятия, желающие укрепить свою позицию безопасности доступа, избавляются от небезопасных однофакторных аутентификаторов и используют либо двухфакторную аутентификацию (2FA), либо многофакторную аутентификацию (MFA). 2FA — это комбинация двух факторов — например, пароля и токенов OTP или пароля и биометрии. Большинство облачных приложений и сервисов, от социальных сетей до инструментов для совместной работы, предлагают двухфакторную аутентификацию для повышения конфиденциальности и безопасности.

Когда мы комбинируем несколько факторов аутентификации, чтобы еще больше повысить уровень безопасности личности, мы используем MFA.Чтобы было ясно, 2FA — это форма MFA, поэтому эти термины используются взаимозаменяемо. В последнее время МИД набирает обороты благодаря указу президента Байдена о кибербезопасности федеральных систем и агентств.

Комбинация любых факторов, не требующих ввода паролей, приводит к так называемой аутентификации без пароля. Хотя основной целью является устранение утомляемости паролей, аутентификация без пароля очень эффективна против фишинговых атак — нет пароля для запоминания, нет пароля, который можно раскрыть непреднамеренно.Самым популярным решением MFA без пароля является FIDO2.

Помимо MFA, многие предприятия переходят на аутентификацию единого входа. Единый вход в систему (SSO) — это технология, которая обеспечивает возможность однократной аутентификации с последующей автоматической аутентификацией при доступе к другим платформам или приложениям. При использовании единого входа пользователю нужно только один раз ввести свои учетные данные для доступа ко всем своим приложениям.

В деловом мире, где преобладают тенденции мобильности и удаленной работы, статическая одноразовая аутентификация SSO может создавать различные бреши в безопасности.Для дальнейшего повышения безопасности доступа предприятиям рекомендуется перейти на условную аутентификацию. Условная аутентификация постоянно оценивает риск, связанный с запросом доступа, на основе контекстной информации, такой как поведенческие, географические и другие атрибуты. Если риск определен как низкий или средний, пользователь может войти в систему с помощью SSO. В противном случае система IAM запрашивает повышающую аутентификацию с использованием MFA.

Будущее аутентификации

Аутентификация быстро развивается.Это результат возрастающей сложности и увеличения количества активов, ресурсов и идентификационных данных, которые сейчас преобладают в большинстве организаций. «Современная аутентификация» выходит за рамки традиционных концепций знания, владения и принадлежности и включает такие возможности, как адаптивные и контекстные атрибуты, UEBA (анализ поведения пользователей и объектов), оценка доверия и аутентификация без пароля. Доступ на основе политик и оценка рисков вместе с современной аутентификацией и более традиционными двухфакторными методами аутентификации позволят организациям принимать более разумные и интеллектуальные решения о доступе в сложных ИТ-средах.

Заключение

В постоянно меняющейся бизнес-среде обеспечение надежной современной аутентификации необходимо по следующим двум причинам. Это не только повышает общую позицию в области кибербезопасности, но также поддерживает соответствие с лоскутным одеялом правил конфиденциальности и безопасности. Достижения в области технологий контроля доступа предоставляют предприятиям множество вариантов на выбор. Выбор инфраструктуры аутентификации должен основываться на оценке рисков и учитывать потребности и требования безопасности, относящиеся к вашей среде.