Самый надежный метод аутентификации: токен и это всё о нем!

Содержание

Как выбрать метод аутентификации пользователей в СУБД

Как грамотно выбрать надёжный метод аутентификации для пользователей в системе управления базами данных (СУБД), опираясь на такие критерии, как сложность и цена реализации, а также уровень безопасности? Как расширение и графический веб-интерфейс могут упростить работу? Рассмотрим на примере отечественной СУБД Jatoba.

 

 

 

 

 

  1. Введение
  2. Все ли методы аутентификации одинаково безопасны?
    1. 2.1. Аутентифицируйся и властвуй
  3. Доменная аутентификация
  4. Как расширение и веб-интерфейс могут упростить работу
  5. Выводы

Введение

Безопасность системы управления базами данных начинается с надёжного механизма аутентификации её пользователей. Аутентификация — установление подлинности получающего доступ к автоматизированной системе лица путём сопоставления сообщённого им идентификатора и предъявленного подтверждающего фактора. Современные СУБД поддерживают множество механизмов аутентификации пользователей, различающихся сложностью, ценой реализации и, как следствие, уровнем безопасности. Что выбрать, если СУБД обслуживает задачи крупного и среднего бизнеса? Рассмотрим этот вопрос в статье на примере отечественной СУБД Jatoba.

Все ли методы аутентификации одинаково безопасны?

Методов аутентификации существует множество, СУБД Jatoba поддерживает следующие:

  • Доверительный (trust authentication). Самый простой метод аутентификации. Вход разрешается любому пользователю с любого настроенного узла сети. Малоприменим из-за низкой степени защиты.
  • Парольный (password authentication). Позволяет выполнять проверку пароля пользователя (хранится в системных таблицах СУБД в хешированном виде). Наиболее распространённый механизм аутентификации со сбалансированным уровнем защиты и удобством использования.
  • С применением GSSAPI (Generic Security Services Application Programming Interface
    ).
    Основывается на совместимой с GSSAPI библиотеке безопасности. Чаще всего этот метод используется для доступа к выделенному серверу аутентификации, например к серверу Kerberos или Microsoft Active Directory. Этот механизм очень удобен, когда управление учётными записями централизовано в домене, а решения класса IDM не используются.
  • С применением SSPI (Security Support Provider Interface). Этот программный интерфейс в Microsoft Windows позволяет приложениям использовать различные провайдеры безопасности для аутентификации и является реализацией GSSAPI в Windows. Со стороны СУБД поддерживается Negotiate SSP (Security Service Provider), использующий протоколы аутентификации Kerberos или NTLM.
  • Идентификационный (ident authentication). Аутентификация с использованием службы «Протокол идентификации» (RFC 1413) на клиентском компьютере. Может использоваться только для TCP/IP-соединений. Для локальных соединений через Unix-сокеты заменяется на метод «хостовой» (peer) аутентификации.
  • Хостовый (peer authentication). Механизм использующий средства операционной системы (хоста) для идентификации пользователя при локальном подключении. СУБД в состоянии идентифицировать пользователя по его учётным данным в ОС. Этот механизм не используется для удалённых подключений.
  • С использованием LDAP (Lightweight Directory Access Protocol).
  • С использованием RADIUS (Remote Authentication in Dial-In User Service). 
  • С использованием сертификатов (certificate authentication). Механизм аутентификации в защищённых SSL-соединениях, основанный на проверке сертификатов клиента и сервера.
  • С использованием PAM (Pluggable Authentication Modules). Применяется собственная настроенная цепочка PAM-совместимых модулей, установленных в системе.
  • С использованием BSD (Berkeley Software Distribution). Метод, который схож с аутентификацией по паролю, но использует фреймворк аутентификации BSD (в настоящее время доступен только в OpenBSD).

Выбор механизма аутентификации часто обусловлен внешними требованиями или желанием упростить и облегчить эксплуатацию базы данных (БД) в сложной ИТ-инфраструктуре. Это особенно актуально, когда серверов баз данных много.

Аутентифицируйся и властвуй

Сегодня мы остановимся на варианте аутентификации через GSSAPI с использованием сервера Active Directory (AD), так как этот механизм удобен для применения в инфраструктуре продуктов компании Microsoft, когда управление учётными записями централизовано в домене, а решения класса IDM не используются.

Важно понимать, что это — весьма надёжный способ аутентификации, однако при его выборе некоторым пользователям приходится испытывать ряд неудобств, связанных со сложностью синхронизации учётных записей. Расскажем, как эти проблемы решены в СУБД Jatoba. Общая схема аутентификации представлена на рисунке 1.

 

Рисунок 1. Общая схема аутентификации

 

Клиент БД, запрашивая через драйвер аутентификацию, предоставляет на сервер БД параметры учётной записи. Если в СУБД будет указана настройка «Password authentication», то сервер будет сравнивать хеш пароля с тем, что лежит в системных таблицах БД. При аутентификации с использованием внешних средств, в том числе LDAP, сервер БД будет перенаправлять запрос на аутентификацию на указанный внешний сервер.

Доменная аутентификация

Клиент аутентифицируется на сервере Active Directory и получает мандат безопасности. В терминах Kerberos-протокола это — «ticket granting ticket» (TGT). Далее этот мандат используется и передаётся для аутентификации на сервер СУБД, выступающий в роли сервиса и обладающий своим мандатом для аутентификации клиентов. После успешной проверки сервер БД в соответствии с настройками в конфигурационных файлах «pg_ident.conf» и «pg_hba.conf» соотносит пользователя домена с пользователем БД. Для этого запись пользователя БД со всеми привилегиями должна быть создана до начала аутентификации, но во многих популярных СУБД, например Jatoba / PostgreSQL, не предполагается штатное создание учётных записей в БД средствами самой базы данных, так как это не является задачей СУБД и относится к инфраструктурным решениям. Часто для этого используют отдельные средства-утилиты.

Как расширение и веб-интерфейс могут упростить работу

В СУБД Jatoba для синхронизации учётных записей с Active Directory созданы специальное расширение (extension) под названием «pg_ldaprolesync» и графический веб-интерфейс для удобства использования этого расширения. «pg_ldaprolesync» поставляется в комплекте с СУБД Jatoba и обеспечивает её взаимодействие с Active Directory во время синхронизации. При использовании механизма «LDAP authentication» наличие пользователя в БД на момент начала аутентификации обеспечивается синхронизацией учётных данных при помощи «pg_ldaprolesync». Такой подход позволяет штатными средствами безопасно и контролируемо производить манипуляции с учётными записями внутри СУБД, так как «pg_ldaprolesynс» является проверенным внутренним компонентом самой системы и выпускается её производителем.

Расширение предоставляет определённый набор функций, позволяющих настраивать подключения ко внешним LDAP-серверам (включая Active Directory) и правила синхронизации пользователей в определённых группах каталога и СУБД, а также выполнять саму синхронизацию. В рамках расширения ведётся собственный журнал сообщений, который доступен администратору для анализа результатов операций, выполняемых в ходе синхронизации.

Собственно синхронизацию учётных записей администратор может выполнять тремя способами:

  • Использовать API расширения и самостоятельно писать соответствующие SQL-запросы для вызова функций по настройке и синхронизации.
  • Использовать дополнительное расширение запуска запросов по расписанию (входит в состав СУБД Jatoba). Фактически этот способ автоматизирует предыдущий: администратор разово вносит все необходимые настройки синхронизации, а потом настраивает вызов функции по расписанию. Этот же способ работы возможен и с использованием инструментария операционных систем; тогда за расписание синхронизации отвечает некоторая системная служба управления фоновыми заданиями, а запуск задачи состоит в выполнении соответствующего SQL-запроса (классический пример — cron).
  • Использовать веб-портал управления СУБД Jatoba Data Safe и в интерактивном режиме выполнять настройку и синхронизацию учётных записей. Фактически этот способ тоже повторяет первый, но уже с использованием наглядного пользовательского интерфейса, что позволяет исключать ошибки при написании соответствующих SQL-запросов по настройке и синхронизации и значительно экономить время администратора.

Более подробно опишем третий способ (с использованием портала управления СУБД Jatoba Data Safe): эти действия максимально наглядно покажут удобство инструмента. Для осуществления настройки и проведения синхронизации используется вкладка «LDAP Sync» в веб-портале управления СУБД Jatoba Data Safe.

В соответствующем разделе присутствуют основные информационные блоки, изображённые на рисунке 2:

  1. раздел «Список профилей»;
  2. раздел «Маппинг»;
  3. раздел «Журнал».

Рисунок 2. Общий вид интерфейса LDAP Sync на портале Jatoba Data Safe

 

Для синхронизации требуется задать параметры подключения к Active Directory по протоколу LDAP. Обязательными параметрами должны быть: название профиля, имя пользователя и пароль для подключения, IP-адрес сервера домена. Совокупность этих параметров и правил соотнесения учётных записей пользователей AD и БД называется «Профиль».

Задать название «Профиля» и указать нужные параметры подключения к Active Directory можно в разделе «Список профилей», используя кнопку добавления / редактирования.

 

Рисунок 3. Добавление «Профиля»

 

Важной функцией, позволяющей реализовывать гибкие правила соотнесения пользователей из групп домена и пользователей с ролью в БД, является «Маппинг». На портале Jatoba Data Safe в разделе «LDAP Sync» под этим понимают набор правил соотнесения ролей в БД и правил поиска учётных записей в AD.

 

Рисунок 4. Создание правил маппинга

 

Ошибки и результаты выполнения синхронизации можно увидеть в информационном блоке «Журнал».

 

Рисунок 5. «Журнал» синхронизации

 

Нередко конфигурирование аутентификации делают таким образом, что несколько учётных записей пользователей домена соответствуют одной учётной записи пользователя БД. Делать это не рекомендуется, потому что такой подход хоть и упрощает управление ролями и привилегиями, но вместе с тем ухудшает аудит и уменьшает количество успешных расследований инцидентов на уровне БД, т. к. сложно выяснить, кто же конкретно был аутентифицирован под определённой учётной записью в конкретный момент времени. Для обеспечения должного уровня безопасности рекомендуется выстраивать цепочки событий.

Выводы

Вы можете выбирать любой из способов аутентификации для вашей базы данных, однако специалисты «Газинформсервиса» рекомендуют учитывать, что надёжный способ аутентификации уменьшает вероятность ошибок интеграции и снижает риск несанкционированного доступа к данным, а следовательно, повышает уровень вашей информационной безопасности.

Что выбрать для двухфакторной аутентификации вместо кодов в SMS

За последние пару лет идея двухфакторной аутентификации, о которой так долго говорили гики, сильно продвинулась в массы. Однако до сих пор в большинстве случаев речь идет о двухфакторной аутентификации при помощи одноразовых паролей, приходящих в SMS. А это, к сожалению, не очень-то надежный вариант. Вот что может пойти не так:

  • Пароль в SMS можно подсмотреть, если у вас включен показ уведомлений на экране блокировки.
  • Даже если показ уведомлений отключен, можно извлечь SIM-карту из смартфона, установить в другой смартфон и принять SMS с паролем.
  • SMS с паролем может перехватить пробравшийся в смартфон троян.
  • Также с помощью различных махинаций (убеждение, подкуп, сговор и так далее) можно заполучить новую SIM-карту с номером жертвы в салоне сотовой связи. Тогда SMS будут приходить на эту карту, а телефон жертвы просто не будет связываться с сетью.
  • Наконец, SMS с паролем может быть перехвачена через фундаментальную уязвимость в протоколе SS7, по которому эти SMS передаются.

Надо заметить, что даже самый трудоемкий и высокотехнологичный из перечисленных методов перехвата пароля в SMS — с помощью взлома протокола SS7 — уже был использован на практике. Так что речь не о теоретической возможности возникновения неприятностей, а о вполне практической угрозе.

В общем, пароли в SMS — это не очень-то безопасно, а иногда даже и очень небезопасно. Поэтому есть смысл озаботиться поиском альтернативных вариантов двухэтапной аутентификации, о чем мы сегодня и поговорим.

Одноразовые коды в файле или на бумажке

Наиболее простая замена одноразовым паролям, присылаемым в SMS, — это те же самые одноразовые пароли, но заготовленные заранее. Это не самый плохой вариант, особенно для тех сервисов, в которых вам надо авторизовываться сравнительно редко. Собственно, даже для того же «Фейсбука» этот метод вполне может подойти, особенно в качестве резервного способа входа.

Работает это очень просто: по запросу сервис генерирует и показывает на экране десяток одноразовых кодов, которые в дальнейшем могут быть использованы для подтверждения входа в него. Дальше вы просто распечатываете или переписываете эти коды на бумагу и кладете в сейф. Или, что еще проще, сохраняете в зашифрованных записях в менеджере паролей.

В общем, не так важно, будете ли вы хранить эти коды на теплой ламповой бумаге или в бездушном цифровом виде — важно сохранить их так, чтобы они а) не потерялись и б) не могли быть украдены.

Приложения для двухфакторной аутентификации

У единожды сгенерированного набора одноразовых кодов есть один недостаток: рано или поздно он закончится, и вполне может так получиться, что вы останетесь без кода в самый неподходящий момент. Поэтому есть способ лучше: можно генерировать одноразовые коды на лету с помощью небольшого и, как правило, очень простого приложения — аутентификатора.

Как работают приложения-аутентификаторы

Работают приложения для двухфакторной аутентификации очень просто. Вот что придется сделать:

  • устанавливаете на смартфон приложение для двухфакторной аутентификации;
  • заходите в настройки безопасности сервиса, который среди опций для двухфакторной аутентификации предлагает использовать такие приложения;
  • выбираете двухфакторную аутентификацию с помощью приложения;
  • сервис покажет вам QR-код, который можно отсканировать прямо в 2FA-приложении;
  • сканируете код приложением — и оно начинает каждые 30 секунд создавать новый одноразовый код.

Коды создаются на основе ключа, который известен только вам и серверу, а также текущего времени, округленного до 30 секунд. Поскольку обе составляющие одинаковы и у вас, и у сервиса, коды генерируются синхронно. Этот алгоритм называется OATH TOTP (Time-based One-time Password), и в подавляющем большинстве случаев используется именно он.

Также существует альтернатива — алгоритм OATH HOTP (HMAC-based One-time Password). В нем вместо текущего времени используется счетчик, увеличивающийся на 1 при каждом новом созданном коде. Но этот алгоритм редко встречается в реальности, поскольку при его использовании гораздо сложнее обеспечить синхронное создание кодов на стороне сервиса и приложения. Проще говоря, есть немалый риск, что в один не очень прекрасный момент счетчик собьется и ваш одноразовый пароль не сработает.

Так что можно считать OATH TOTP де-факто индустриальным стандартом (хотя формально это даже не стандарт, на чем создатели этого алгоритма очень настаивают в его описании).

Совместимость приложений для двухфакторной аутентификации и сервисов

Подавляющее большинство приложений для двухфакторной аутентификации работает по одному и тому же алгоритму, так что для всех сервисов, которые поддерживают аутентификаторы, можно использовать любое из них — какое вам больше нравится.

Как и в любом добротном правиле, в этом тоже есть определенное количество исключений. Некоторые сервисы по каким-то причинам, ведомым только им одним, предпочитают делать свои собственные приложения для двухфакторной аутентификации, которые работают только с ними. Более того, сами сервисы не работают ни с какими другими приложениями, кроме своих собственных.

Особенно это распространено среди крупных издателей компьютерных игр — например, существуют несовместимые со сторонними сервисами приложения Blizzard Authenticator, Steam Mobile с встроенным аутентификатором Steam Guard, Wargaming Auth и так далее. Для этих сервисов придется ставить именно эти приложения.

Также по этому странному пути пошла Adobe, разработавшая Adobe Authenticator, который работает только с аккаунтами AdobeID. Но при этом вы можете использовать для защиты AdobeID и другие аутентификаторы, так что вообще непонятно, ради чего было городить огород.

Так или иначе, большинство нормальных ИТ-компаний не ограничивает пользователей в выборе 2FA-приложения. И даже если по каким-то соображениям им хочется контролировать этот процесс и создать свое приложение, то чаще всего они позволяют защищать с его помощью не только «свои» аккаунты, но и учетные записи сторонних сервисов.

Поэтому просто выбирайте приложение-аутентификатор, которое вам больше нравится по набору дополнительных функций — оно будет работать с большинством сервисов, которые вообще поддерживают 2FA-приложения.

Лучшие приложения для двухфакторной аутентификации

Выбор 2FA-приложений на удивление велик: поиск по запросу «authenticator» в Google Play или Apple App Store выдает не один десяток результатов. Мы не советуем устанавливать первое попавшееся приложение — это может быть небезопасно, ведь, по сути, вы собираетесь доверить ему ключи от своих аккаунтов (оно не будет знать ваши пароли, конечно, но ведь 2FA вы добавляете именно потому, что пароли имеют свойство утекать). В общем, стоит выбирать из приложений, созданных крупными и уважаемыми разработчиками.

Несмотря на то что базовая функция у всех этих приложений одна и та же — создание одноразовых кодов по одному и тому же алгоритму, некоторые аутентификаторы обладают дополнительными функциями или особенностями интерфейса, которые могут показаться вам удобными. Перечислим несколько самых интересных вариантов.

1. Google Authenticator

Поддерживаемые платформы: Android, iOS

Как отмечают буквально все публикации, Google Authenticator — это самое простое в использовании из всех существующих приложений для двухфакторной аутентификации. У него даже настроек нет. Все, что можно сделать, — это добавить новый токен (так называется генератор кодов для отдельного аккаунта) или удалить один из имеющихся. А чтобы скопировать код в буфер обмена, достаточно коснуться его пальцем на сенсорном экране смартфона или планшета. Все!

Однако у такой простоты есть и недостаток: если вам что-то не нравится в интерфейсе или хочется от аутентификатора чего-то большего — придется устанавливать другое приложение.
 
+ Очень просто использовать.
 

2. Duo Mobile

Поддерживаемые платформы: Android, iOS

Duo Mobile также крайне прост в использовании, минималистичен и лишен дополнительных настроек. По сравнению с Google Authenticator у него есть одно преимущество: по умолчанию Duo Mobile скрывает коды — чтобы увидеть код, надо нажать на конкретный токен. Если вы, как и я, испытываете дискомфорт каждый раз, когда открываете аутентификатор и показываете всем окружающим кучу кодов от всех своих аккаунтов сразу, то вам эта особенность Duo Mobile наверняка понравится.
 
+ По умолчанию скрывает коды.
 

3. Microsoft Authenticator

Поддерживаемые платформы: Android, iOS

В Microsoft тоже не стали усложнять и сделали свой аутентификатор на вид очень минималистичным. Но при этом Microsoft Authenticator заметно функциональнее, чем Google Authenticator. Во-первых, хоть по умолчанию все коды показываются, но каждый из токенов можно отдельно настроить так, чтобы при запуске приложения код был скрыт.

Во-вторых, Microsoft Authenticator упрощает вход в аккаунты Microsoft. В этом случае после ввода пароля достаточно будет нажать в приложении кнопку подтверждения входа — и все, можно даже не вводить одноразовый код.
 
+ Можно настроить, чтобы коды скрывались.
+ Дополнительные возможности для входа в аккаунты Microsoft.
 

4. FreeOTP

Поддерживаемые платформы: Android, iOS

Есть четыре причины, по которым вам может понравиться этот аутентификатор, разработанный Red Hat. Во-первых, это ваш выбор, если вы любите программное обеспечение с открытым кодом. Во-вторых, это самое маленькое приложение из всех рассматриваемых — версия для iOS занимает всего 750 Кбайт. Для сравнения: минималистичный Google Authenticator занимает почти 14 Мбайт, а приложение Authy, о котором мы поговорим ниже, — аж 44 Мбайта.

В-третьих, по умолчанию приложение скрывает коды и показывает их только после касания. Наконец, в-четвертых, FreeOTP позволяет максимально гибко конфигурировать токены вручную, если вам это зачем-нибудь нужно. Разумеется, обычный способ создания токена с помощью сканирования QR-кода тоже поддерживается.
 
+ По умолчанию скрывает коды.
+ Приложение занимает всего 700 Кбайт.
+ Открытый код.
+ Максимум настроек при создании токена вручную.
 

5. Authy

Поддерживаемые платформы: Android, iOS, Windows, macOS, Chrome

Самое навороченное из приложений для двухфакторной аутентификации, основным достоинством которого является то, что все токены хранятся в облаке. Это позволяет получить доступ к токенам с любого из ваших устройств. Заодно это упрощает переезд на новые устройства — не придется заново активировать 2FA в каждом сервисе, можно продолжить пользоваться существующими токенами.

В облаке токены зашифрованы ключом, который создается на основе заданного пользователем пароля, — то есть данные хранятся безопасно, и украсть их будет нелегко. Также можно установить ПИН-код на вход в приложение — или защитить его отпечатком пальца, если ваш смартфон оснащен соответствующим сканером.

Основной недостаток Authy состоит в том, что приложение с ходу требует завести аккаунт, привязанный к вашему телефонному номеру, — без этого просто не получится начать с ним работать.
 
+ Токены хранятся в облаке, что позволяет использовать их на всех своих устройствах.
+ По той же причине очень удобно переезжать на новое устройство.
+ Вход в приложение защищен PIN-кодом или отпечатком пальца.
+ На экране показывается код только для последнего использованного токена.
+ В отличие от остальных приложений, поддерживает не только Android и iOS, но и Windows, macOS и Chrome.

− Требуется зарегистрироваться в Authy, используя номер телефона, — без этого приложение не работает.
 

6. «Яндекс.Ключ»

Поддерживаемые платформы: Android, iOS

На мой взгляд, по концепции «Яндекс.Ключ» — это самое удачное из существующих приложений для двухфакторной аутентификации. С одной стороны, оно не требует с ходу регистрироваться — можно начать им пользоваться с той же легкостью, как и Google Authenticator. С другой стороны, в нем есть несколько дополнительных возможностей, которые открываются тем, кто не поленится зайти в настройки.

Во-первых, «Яндекс.Ключ» можно «запереть» на PIN-код или отпечаток пальца. Во-вторых, можно создать в облаке «Яндекса» резервную копию токенов, защищенную паролем (а вот на этом этапе уже придется указать номер телефона), и восстановить ее на любом из используемых вами устройств. Точно так же можно будет перенести токены на новое устройство, когда понадобится переезжать.

Получается, что «Яндекс.Ключ» сочетает в себе простоту Google Authenticator и расширенную функциональность Authy — в зависимости от того, что вы предпочитаете. Единственный недостаток приложения — не вполне удобный для использования с большим количеством токенов интерфейс.
 
+ Минимализм на старте, расширенная функциональность доступна через настройки.
+ Создание резервных копий токенов в облаке для использования на нескольких устройствах и переезда на новые.
+ Вход в приложение защищен PIN-кодом или отпечатком пальца.
+ На экране показывается код только для последнего использованного токена.
+ Заменяет постоянный пароль к аккаунту «Яндекса».

− При большом количестве токенов не очень удобно искать нужный.
 

«Железные» аутентификаторы FIDO U2F: YubiKey и все-все-все

Если приложение, генерирующее одноразовые коды, кажется вам слишком эфемерным способом защитить свои аккаунты, и хочется чего-то более постоянного, надежного и материального — буквально запереть аккаунт на ключ и положить его в карман, — то у меня есть для вас хорошая новость: такой вариант также существует. Это аппаратные токены стандарта U2F (Universal 2nd Factor), созданного FIDO Alliance.

Как работают токены FIDO U2F

Аппаратные U2F-токены очень полюбились специалистам по безопасности — в первую очередь потому, что с точки зрения пользователя они работают очень просто. Для начала работы достаточно подключить U2F-токен к вашему устройству и зарегистрировать его в совместимом сервисе, причем делается это буквально в пару кликов.

Впоследствии при необходимости подтвердить вход в этот сервис нужно будет подключить U2F-токен к тому устройству, с которого вы входите, и нажать на токене кнопку (в некоторых устройствах — ввести PIN или приложить палец к сканеру). Все — никаких сложных настроек, ввода длинных последовательностей случайных символов и прочих танцев с бубном, которые обычно все себе представляют при упоминании слова «криптография».

Вставьте ключ и нажмите кнопку — и это действительно все

При этом «под капотом» все устроено очень умно и криптографически надежно: при регистрации токена на сервисе создается пара криптографических ключей — приватный и публичный. Публичный сохраняется на сервере, а приватный хранится в защищенном хранилище Secure Element, которое является сердцем U2F-токена, — и этот ключ никогда не покидает устройство.

Приватный ключ используется для того, чтобы зашифровать подтверждение входа, которое передается на сервер и может быть расшифровано с помощью публичного ключа. Если кто-то от вашего имени попытается передать подтверждение входа, зашифрованное неправильным приватным ключом, то при расшифровке с помощью известного сервису публичного ключа вместо подтверждения получится бессмыслица, и сервис не пустит его в аккаунт.

Какими бывают U2F-устройства

Наиболее известный и распространенный пример U2F — это «ключи» YubiKey, которые производит компания Yubico. Собственно, она и стояла у истоков этого стандарта, но предпочла сделать его открытым, для чего и был создан FIDO Alliance. А поскольку стандарт открытый, вы не ограничены в выборе: U2F-совместимые устройства производят и продают разные компании — в онлайн-магазинах можно найти множество разнообразных моделей.

YubiKey — вероятно, самые популярные U2F-токены

Например, Google недавно представила свой комплект аппаратных аутентификаторов Google Titan Security Keys. На самом деле это ключи производства Feitian Technologies (второй по популярности производитель U2F-токенов после Yubico), для которых в Google написали собственную прошивку.

Разумеется, все аппаратные аутентификаторы, совместимые со стандартом U2F, будут с одинаковым успехом работать со всеми сервисами, которые также с этим стандартом совместимы. Однако у разных моделей есть несколько важных различий, и самое важное из них — это интерфейсы, которыми оборудован «ключ». От этого напрямую зависит, с какими устройствами он сможет работать:

USB — для подключения к компьютерам (Windows, Mac или Linux — неважно, «ключи» работают без установки каких-либо драйверов). Помимо обычного USB-A бывают «ключи» с USB-C.

NFC — необходим для использования со смартфонами и планшетами на Android.

Bluetooth — понадобится на тех мобильных устройствах, в которых нет NFC. К примеру, аутентификатор с Bluetooth все еще нужен владельцам iPhone: несмотря на то, что в iOS уже разрешили приложениям использовать NFC (до 2018 года это было позволено только Apple Pay), разработчики большинства совместимых с U2F приложений еще не воспользовались этой возможностью. У Bluetooth-аутентификаторов есть пара минусов: во-первых, их нужно заряжать, а во-вторых, их подключение занимает гораздо больше времени.

В базовых моделях U2F-токенов обычно есть только поддержка собственно U2F — такой ключ обойдется в $10–20. Есть устройства подороже ($20–50), которые заодно умеют работать в качестве смарт-карты, генерировать одноразовые пароли (в том числе OATH TOTP и HOTP), генерировать и хранить ключи PGP-шифрования, могут использоваться для входа в Windows, macOS и Linux и так далее.

Что же выбрать: SMS, приложение или YubiKey?

Универсального ответа на этот вопрос не существует — для разных сервисов можно использовать разные варианты двухфакторной аутентификации в различных сочетаниях. Например, наиболее важные аккаунты (скажем, вашу основную почту, к которой привязаны остальные учетные записи) стоит защитить по максимуму — запереть на «железный» U2F-токен и запретить любые другие опции 2FA. Так можно быть уверенным, что никто и никогда не получит доступ к аккаунту без этого токена.

Хороший вариант — привязать к аккаунту два «ключа», как это делается с ключами от автомобиля: один всегда с собой, а другой лежит в надежном месте — на случай, если первый потеряется. При этом «ключи» могут быть разного типа: скажем, приложение-аутентификатор на смартфоне в качестве основного и U2F-токен или листочек с одноразовыми паролями, лежащий в сейфе, в качестве резервного средства.

Так или иначе, главный совет — по возможности избегать использования одноразовых паролей в SMS. Правда, получится это не всегда: например, финансовые сервисы в силу своей консервативности продолжают использовать SMS и крайне редко позволяют пользоваться чем-либо еще.

Защита вашего аккаунта — Яндекс ID. Справка

Если при регистрации аккаунта вы отказались подтвердить номер телефона, ваш аккаунт защищен только контрольным вопросом. В сущности, ответ на контрольный вопрос — это еще один пароль, который можно узнать или угадать так же, как и обычный пароль. Поэтому мы рекомендуем по возможности настроить более надежный способ восстановления доступа.

Если вам приходится использовать контрольный вопрос, постарайтесь защитить его.

Устройство на базе Android или iOS позволяет вам установить приложение Яндекс Ключ — с ним вам не придется запоминать и защищать пароль. Для каждого входа в Яндекс приложение генерирует одноразовый пароль, который перестанет работать сразу после того, как вы его введете.

Двухфакторная аутентификация – это самый надежный способ защиты Яндекс ID. Для взлома такой защиты необходимо, кроме прочего, украсть ваше устройство и разблокировать его.

Подробнее об этом способе защиты читайте в разделе Двухфакторная аутентификация.

Защищенный номер телефона позволяет восстановить доступ к вашему аккаунту с помощью кода, который Яндекс отправит вам в SMS. Не забывайте изменить защищенный номер, если вы больше не можете читать сообщения, которые на него приходят.

Даже если злоумышленник сможет войти в ваш аккаунт, у вас будет как минимум 30 дней на то, чтобы вернуть себе контроль над аккаунтом и сменить пароль.

Подробнее об этом способе защиты читайте в разделе Привязка телефонных номеров.

Дополнительный адрес позволяет восстановить доступ к вашему аккаунту с помощью кода, который Яндекс отправляет на этот адрес в письме. Злоумышленник, который смог войти в ваш аккаунт, может сравнительно легко отвязать дополнительный адрес от Яндекс ID, чтобы помешать вам вернуть контроль над аккаунтом. Поэтому мы рекомендуем по возможности настроить более надежный способ восстановления доступа.

Если вы используете дополнительный адрес, злоумышленник, взломав его, сможет получить доступ к вашему Яндекс ID. Дополнительный адрес нужно хорошо защитить: придумать сильный пароль, по возможности включить двухфакторную аутентификацию или привязать номер телефона.

Подробнее об этом способе защиты читайте в разделе Дополнительные адреса почты.

Если вы не используете другой способ восстановления доступа, ваш аккаунт будет защищен от взлома только контрольным вопросом. Поэтому ответ на контрольный вопрос подобрать или угадать должно быть так же сложно, как и пароль.

На контрольный вопрос лучше указывать ответ, известный только вам. Девичья фамилия матери, любимое блюдо, кличка домашнего животного, номер телефона или квартиры — все эти сведения могут быть известны вашим знакомым или даже общедоступны (например, если вы указали их в социальной сети). Попробуйте указать собственный контрольный вопрос, ответ на который вам будет легче запомнить, а злоумышленнику — сложнее угадать.

какую выбрать для держателя криптовалют

Двухфакторная аутентификация (2FA) всего за несколько лет стала стандартом безопасности в криптовалютных сервисах. Если раньше пользователи бирж полагались только на пароли для обеспечения максимальной безопасности своих аккаунтов, то сейчас пароли можно запросто взломать. По этой причине держатели криптовалют нуждаются в повышенной безопасности.

Зачастую команда разработчиков того или иного сервиса жертвует безопасностью ради простого пользовательского интерфейса, поэтому стоит учитывать, что далеко не все 2FA-методы одинаково защищают аккаунт.

Лучшей двухфакторной аутентификацией считается только та, в котором пользовать не будет взаимодействовать с третьими лицами. Давайте рассмотрим наилучшие и наихудшие типы двухфакторной аутентификации.

Электронная почта

Использовать e-mail для аутентификации аккаунта – это большой риск, поскольку пользователь по-умолчанию взаимодействует с посредником. Если вдруг хакер сможет взломать почтовый ящик, то он автоматически получает доступ к вашему аккаунту на криптовалютном сервисе (веб-кошелек, биржа).

SMS

SMS-аутентификация один из самых популярных методов защиты аккунтов на сервисах, связанных с финансами (начиная от традиционного банкинга и заканчивая крипто-биржей). В странах СНГ передача доступа к номеру телефона намного сложнее, нежели в США. Тем не менее, взломы аккаунтов с заменой сим-карты были, есть и будут, поэтому использовать SMS можно только на свой страх и риск.

Приложения для двухфакторной аутентификации

Мобильные приложения для 2FA является лучшим выбором на сегодняшний день. Они способны генерировать уникальные шестизначные коды, действующие всего 30 секунд. Наиболее популярным приложением является Google Authenticator (GA), доступным для бесплатной загрузки как с App Store, так и с Google Play и Windows Phone.

Пользователю необходимо просто отсканировать через экран монитора QR-код, выдаваемый криптовалютным сервисом, а после этого ввести соответствующий код, который выдаст GA.

Аппаратные ключи

Самый надежный метод двухфакторной аутентификации, который только есть на рынке. Самым популярным аппаратным ключом безопасности является YubiKey (ЮбиКей), поддерживающий протокол 2FA, одноразовые пароли и асимметричное шифрование.

Владелец Yubikey должен вставить устройство в USB-порт ПК или MicroUSB-порт смартфона для доступа к аккаунтам самых разных сервисов. Это может быть как Facebook, Gmail, GitHub, Dropbox, так и криптовалютная биржа Binance. Безопасность на высшем уровне, поскольку хакеру нужен будет уникальный аппаратный ключ для взлома аккаунта. Одновременно с этим, Yubikey далеко не самый удобный. Он должен быть всегда в кармане, а это риск потери самого ключа.

Подведем итоги

Чем надежнее способ двухфакторной аутентификации, тем лучше. Мы настоятельно рекомендуем использовать e-mail в связке с Google Authenticator для обеспечения высокого уровня безопасности аккаунта. Если пользователь криптовалютного кошелька или биржи хранит огромное количество криптовалют на крупную сумму, то лучше не пожалеть $40 и приобрести защитный ключ YubiKey, потому что это самый продвинутый метод обеспечения защиты аккаунта, не позволяющий злоумышленникам получать доступ к данным/деньгам.

 860 

Аутентификация как способ подтверждения личности [Эссе №5276]

Все мы без проблем узнаем друг друга в обычной жизни. Знакомые узнаются в лицо, а незнакомые — по паспорту или же другому документу, где есть фотография, подтверждающая личность. Но как опознать человека, который находится за компьютером по другую сторону Сети? Эта задача намного сложнее, и здесь применяется специфический метод – аутентификация. Это способ подтверждения личности в сети Интернет.

Для аутентификации пользователей обычно используют некий программный модуль, который находится непосредственно на том компьютере, к которому человек хочет получить удаленный или прямой доступ. Условно работа такого модуля делится на два этапа. Давайте их рассмотрим:

– предварительный. Здесь формируется «эталонный образец». К примеру, может запрашиваться пароль. Также проверочный код может назначаться системой;

– завершающий этап. Это прохождение аутентификации. Здесь запрашиваемая идентификационная информация сравнивается с эталоном. По результатам такой проверки пользователь считается опознанным или неопознанным.

Аутентификация — это процедура, которая проводится с использованием информации трех основных видов:

– пользователь демонстрирует компьютеру нечто уникальное, что он знает заранее. Самый распространенный вид – парольная аутентификация. Это простой, но не самый надежный способ;

– у пользователя есть предмет с уникальными характеристиками или содержимым. В качестве такого объекта может выступать сим-карта, карта с магнитной полоской и т.д.. Каждый такой предмет содержит информацию, которая определяет его уникальность.

– в другом случае информация для проверки пользователя – неотъемлемая его часть. По такому принципу построена биометрическая аутентификация. Здесь в качестве информации может применяться, к примеру, отпечаток пальца.

О последней — биометрической — аутентификации стоит поговорить отдельно. Встречавшиеся когда-то лишь в фантастических произведениях, эти технологии в наше время находятся на этапе бурного развития. Здесь как аутентификаторы используются оригинальные характеристики человека, которые присущи только ему. Особенно часто применяются отпечатки пальцев, карта радужной оболочки глаза, черты лица.

Недостатки аутентификации

Самое большое количество недостатков у парольной аутентификации. Секретное слово могут похитить у владельца или взломать его. Часто пользователи выбирают легкоугадываемые простые пароли: производная от идентификатора (часто она является самим идентификатором), слово какого-либо языка и т. п.

Не лишена недостатков и предметная аутентификация. Это похищение или отнятие предмета у владельца.

Я считаю , прежде чем начать внедрение систем аутентификации, необходимо соответствующим образом скорректировать (или же создать) политику информационной безопасности компании. Её основная задача стать рабочим инструментом, повышающим надёжность и эффективность защиты информационных рубежей компании, в связи с чем она должна чётко определять регламенты работы с конфиденциальными данными, а также условия использования персональных идентификаторов при получении доступа из локальной сети или через Интернет.

Какой метод аутентификации самый безопасный?

На прошлой неделе мы описали наиболее распространенные типы методов аутентификации. Надеюсь, наше краткое изложение того, как работает каждый метод аутентификации, дало вам общее представление о наиболее распространенных способах проверки личности пользователя. На этот раз мы поговорим о безопасности каждого метода MFA.

Безопасность

MFA — важная тема для каждой организации, которая хочет внедрить MFA. Администраторы должны иметь возможность определить, какой метод проверки подлинности лучше всего подходит для их случая использования, а безопасность является одним из важных факторов при выборе правильного метода проверки подлинности, особенно в адаптивных системах проверки подлинности, которые позволяют использовать разные наборы методов проверки подлинности для каждого приложения. .

В этой статье мы сначала перечислим плюсы и минусы каждого метода аутентификации, а затем углубимся в детали.

Таблица методов аутентификации

Метод Безопасность Плюсы Минусы
Push-уведомление Высокий
  • Безопасность
  • Удобно
  • Быстро
  • Удобный для пользователя
  • Простота использования
  • Низкая стоимость
  • Требуется смартфон и подключение к Интернету
  • Пользователь может подтвердить мошенническую попытку входа по ошибке
  • Телефон можно украсть или потерять
Ключи безопасности U2F/WebAuthn Очень высокий
  • Очень надежный
  • Сочетает в себе два сильных фактора аутентификации
  • Чрезвычайно трудно подделать
  • Лучшая защита от атак типа «человек посередине»
  • Высокая стоимость развертывания и обслуживания
  • Пользователи должны носить с собой дополнительное оборудование
  • Ключ безопасности можно потерять или украсть
Ссылка на электронную почту Низкий
  • Не требует дополнительного оборудования или программного обеспечения
  • Не MFA
  • Легко взломать
  • Уязвим к атакам «человек посередине»
Аппаратные OTP-токены Средний
  • Дорого
  • Пользователи должны носить с собой дополнительное оборудование
  • Токен можно потерять или украсть
Программные OTP-токены Средний
  • Требуется смартфон
  • Телефон может быть потерян или украден
SMS-пароль Средний
  • Работает в автономном режиме
  • Знакомо большинству пользователей
  • Пользователям не нужны смартфоны или какое-либо дополнительное аппаратное или программное обеспечение
  • Дорого
  • Уязвим к SIM-атакам
  • Телефон или SIM-карта могут быть утеряны, украдены или повреждены
QR-код Средний
  • Требуется смартфон и подключение к Интернету
  • Телефон может быть потерян или украден
Биометрия (распознавание отпечатков пальцев и лиц) Высокий
  • Строгая биометрическая аутентификация
  • Возможность взлома с помощью скрытого отпечатка пальца или изображения высокой четкости
  • Вы не можете изменить свой отпечаток пальца, поэтому, как только он будет скомпрометирован, он будет скомпрометирован на всю жизнь
Пароль Очень низкий уровень
  • Не требует внесения изменений в текущую систему безопасности
  • Легко догадаться
  • Легко украсть
  • Легко взломать
  • Легко взломать
  • Уязвим к атаке на пароль
  • Уязвим к фишинговым атакам
  • Уязвим к атакам клавиатурного шпиона

Отправить уведомление

Push Notification — безопасный, удобный и быстрый метод аутентификации.Push-уведомления — идеальный выбор, если вы ищете удобный метод аутентификации, но не хотите жертвовать безопасностью MFA.

Тем не менее, Push-уведомления имеют некоторые недостатки.

  • Пользователь должен иметь смартфон . В то время как большинство людей используют смартфоны ежедневно, многие люди не хотят использовать свои личные телефоны для работы. Более того, современные смартфоны нуждаются в ежедневной подзарядке. Если батарея телефона разрядится, вы не сможете использовать этот телефон для аутентификации с помощью push-уведомлений.
  • Пользователь должен установить мобильное приложение (например, Rublon Authenticator). К счастью, мобильные приложения легко устанавливаются и не занимают много места в памяти.
  • Пользователь должен убедиться, что его мобильное устройство имеет доступ в Интернет . При отсутствии подключения к Интернету метод аутентификации с помощью push-уведомлений не будет работать.
  • Пользователь может потерять свой телефон. Или кто-то может украсть их телефон. Современные системы безопасности позволяют деактивировать мобильное приложение на телефоне, который был заявлен как утерянный или украденный.Всегда используйте как минимум два активных метода аутентификации, чтобы подобный инцидент не обездвижил пользователя.
  • Пользователь может принять мошенническую попытку входа по ошибке. Утверждение запроса на проверку подлинности одним нажатием может быть и проклятием. Пользователь может нажать «Утвердить» при незаконном запросе на аутентификацию по многим причинам: привычка, ошибка, усталость или невнимательность.

Ключ безопасности U2F/WebAuthn

Эксперты считают, что ключи безопасности U2F/WebAuthn являются наиболее безопасным методом аутентификации.Ключи безопасности, поддерживающие биометрию, объединяют Фактор владения (что у вас есть) с Фактором принадлежности (кто вы), чтобы создать очень безопасный метод проверки личности пользователя.

Ключи безопасности

U2F/WebAuthn — лучший способ защиты от атак типа «человек посередине». Аутентификация ключа безопасности происходит локально. Ключ безопасности взаимодействует с браузером пользователя, поэтому кто-то другой не может войти вместо него.

Несмотря на безупречную безопасность MFA, ключи безопасности имеют некоторые недостатки:

  • Дорого в развертывании и обслуживании. Каждому пользователю, желающему использовать этот метод аутентификации, необходим собственный ключ безопасности. Хотя один ключ безопасности не очень дорог, чем больше у вас пользователей, тем больше вам придется платить.
  • Пользователь должен носить с собой дополнительное оборудование. Ключи безопасности маленькие, но некоторые пользователи могут не захотеть всегда носить их с собой.
  • Пользователь может потерять свой ключ безопасности. Или кто-то может украсть их ключ. Злоумышленник не может использовать ключ безопасности, если у него нет отпечатка пальца.Но пользователь, потерявший ключ, не сможет войти в систему, и организации придется покупать для него новый ключ.

Ссылка по электронной почте

Самым большим преимуществом

Email Link является то, что он не требует дополнительного оборудования или программного обеспечения. Однако ссылки на электронную почту имеют много проблем:

  • Не совсем МИД. Если вы используете пароль на первом этапе процесса аутентификации, а затем используете ссылку электронной почты на втором этапе, то вы используете фактор знаний дважды.В результате вы используете не двухфакторную аутентификацию (2FA), а двухэтапную аутентификацию (2SA). Это различие важно и может стать решающим фактором в том, соблюдаете ли вы правила безопасности, такие как NYDFS, NAIC, PCI DSS или HIPAA.
  • Хакер может легко взломать учетную запись электронной почты. Если пользователь везде использует один и тот же пароль, то получить доступ к своей учетной записи электронной почты не составит труда.
  • Уязвим к атакам «человек посередине» (MITM). Лучше использовать push-уведомления или ключи безопасности U2F/WebAuthn, которые устойчивы к таким атакам.

Аппаратный OTP-токен

Аппаратные OTP-токены

раньше были популярным выбором, но сегодня большинство людей предпочитают вместо этого использовать мобильное приложение. Аппаратные OTP-токены работают в автономном режиме, но возникают некоторые проблемы:

  • Дорого в развертывании и обслуживании. Каждому пользователю, который хочет использовать этот метод, необходим собственный аппаратный токен. Токены OTP дешевле, но и менее безопасны, чем ключи безопасности U2F/WebAuthn.
  • Пользователь должен носить с собой дополнительное оборудование. Аппаратные OTP-токены невелики, но некоторые пользователи могут предпочесть использовать мобильное приложение, потому что телефон — это то, что они все равно носят с собой.
  • Пользователь может потерять свой OTP-токен. Или кто-то может украсть их токен. Затем злоумышленник может использовать токен для получения несанкционированного доступа. Пользователь, потерявший токен, не сможет получить доступ к своим данным, и организации придется покупать для него новый токен.

Программный OTP-токен

Программные OTP-токены

бесплатны и работают в автономном режиме так же, как аппаратные OTP-токены. Пользователям не нужно носить с собой отдельный токен и проходить аутентификацию с помощью своих смартфонов.

Нет идеальных методов, и вот некоторые недостатки программных OTP-токенов:

  • Пользователь должен иметь смартфон . Это требование может быть проблемой, если ваш пользователь не хочет использовать свой личный телефон для работы или у него нет смартфона.Вы можете купить им рабочий телефон, но это повлечет за собой дополнительные расходы.
  • Пользователь должен установить мобильное приложение (например, Rublon Authenticator). Помимо наличия смартфона пользователю необходимо установить дополнительное мобильное приложение. Тем не менее, это должно занять меньше минуты и значительно повысить безопасность MFA.
  • Пользователь может потерять свой телефон. Или кто-то может украсть их телефон.

SMS-пароль

SMS-пароль — это метод аутентификации, который знаком большинству пользователей.Банки используют эту форму аутентификации. SMS-пароль работает на любом телефоне, поддерживающем обмен текстовыми сообщениями, и не требует дополнительного оборудования или программного обеспечения. Пока все хорошо, но вот недостатки SMS-пароля:

  • Дорого. Отправка SMS-сообщения стоит денег. Если у вас много пользователей, которые используют для аутентификации только SMS-код-пароль, вам придется подготовиться к дополнительным расходам.
  • Уязвим к атакам. Замена SIM-карты, взлом SIM-карты и атаки SS7 — это лишь некоторые из возможностей того, как можно взломать, казалось бы, безопасный метод SMS-пароля.
  • Пользователь может потерять свой телефон или SIM-карту . Возможны также кражи и повреждения. Злоумышленник может использовать украденную SIM-карту или украденный телефон.

QR код

QR-коды могут быть не такими знакомыми, как коды доступа SMS, но технически подкованные пользователи будут знать, как они работают. Тем не менее, метод аутентификации QR Code имеет некоторые недостатки:

  • Пользователь должен иметь смартфон . Для метода аутентификации QR-кода требуется мобильное приложение, поэтому он не будет работать на старом телефоне.
  • Пользователь должен установить мобильное приложение (например, Rublon Authenticator). Пользователю необходимо приложение, которое позволяет сканировать, а затем проверять QR-код.
  • Пользователь должен убедиться, что его мобильное устройство имеет доступ в Интернет . Если нет подключения к Интернету, метод аутентификации с помощью QR-кода не будет работать.
  • Пользователь может потерять свой телефон. Или кто-то может украсть их телефон. Правда, украсть телефон намного сложнее, чем пароль, но все же возможно.

Биометрия (отпечатки пальцев и Face ID)

Биометрия часто используется в качестве третьего метода аутентификации после пароля и второго метода, такого как Mobile Push компании Rublon. Например, Rublon позволяет включить блокировку отпечатков пальцев в мобильном приложении Rublon Authenticator. Биометрия безопасна и мощна, но лучше всего работает в сочетании с другим методом аутентификации, например с push-уведомлением.

Общий недостаток биометрии заключается в том, что:

  • Вы не можете изменить свой отпечаток пальца или свое лицо. Как только они будут скомпрометированы, они будут скомпрометированы на всю жизнь. Хакеры разработали несколько вредоносных способов компрометации биометрических методов. Эти методы включают, помимо прочего, использование скрытого отпечатка пальца или изображения лица в высоком разрешении.

Пароль

Даже пароли значительной сложности и длины сравнительно легко взломать.

Пароли уязвимы для атак методом перебора, атак по словарю, атак с использованием радужных таблиц, спуфинга, атак типа «человек посередине», фишинга, атак с использованием кейлогинга, утечек данных и многого другого.

Взломать длинный и сложный пароль по-прежнему намного проще, чем скомпрометировать любой другой метод аутентификации.

Никогда не используйте пароли сами по себе. Всегда включайте хотя бы один другой метод аутентификации.

Образование является ключевым

Важно отметить, что в конечном счете каждый метод аутентификации уязвим для атак социальной инженерии. Злоумышленник может завоевать достаточно доверия, чтобы убедить вашего пользователя раскрыть свой секрет.В качестве альтернативы атака может заставить пользователя выполнить определенные действия, которые приведут к несанкционированному доступу злоумышленника.

Обучайте и обучайте своих пользователей безопасности MFA. Пользователь, который больше знает о безопасности MFA, с меньшей вероятностью станет жертвой атаки с использованием социальной инженерии, такой как фишинг.

Лучшие методы аутентификации значительно усложняют проведение атак социальной инженерии. Но какой метод аутентификации обеспечивает наилучшую безопасность MFA?

Какой метод аутентификации самый безопасный?

Если безопасность является вашим приоритетом номер один, используйте ключи безопасности U2F/WebAuthn. Сочетание Фактора владения (что у вас есть: аппаратный токен) и Фактора причастности (кто вы: отпечаток пальца) дает вашим пользователям самый высокий уровень безопасности MFA из всех методов аутентификации. Чтобы взломать учетную запись, защищенную ключом безопасности U2F/WebAuthn, злоумышленник должен не только украсть физический ключ, но и подделать отпечаток пальца. Ключи безопасности очень трудно подделать, и их единственный реальный недостаток — цена.

Если вам нужен идеальный баланс между безопасностью и удобством для пользователя, используйте Push-уведомления.Rublon Authenticator является бесплатным и позволяет использовать метод аутентификации Mobile Push в тандеме с блокировкой по отпечатку пальца, что приводит к сильному сочетанию как фактора владения, так и фактора причастности. В дополнение к этому, Mobile Push — это всего лишь одно уведомление, которое вы либо одобряете, либо отклоняете — обучение пользователя не требуется. Если оплата ключей безопасности является для вас препятствием, используйте Mobile Push от Rublon и включите отпечатки пальцев в Rublon Authenticator для достижения аналогичного уровня безопасности.

Доверяйте Рублону

У нас есть многолетний опыт в предоставлении передовых решений безопасности для организаций в различных отраслях. Мы любим рассказывать о безопасности MFA. Сегодня мы можем улучшить состояние безопасности вашей организации и помочь вам снизить риски безопасности. Если вы не уверены, какой метод аутентификации подойдет вам лучше всего, обратитесь в службу поддержки Rublon. Мы поможем.

ТОП-5 самых надежных и удобных способов аутентификации в онлайн-платежах

Взаимозависимость безопасности и пользовательского опыта — вечная тема.Общим знаменателем, который связывает эти два понятия, является метод аутентификации, используемый при обработке онлайн-платежей. Узнайте, какие методы аутентификации обеспечивают бесперебойную работу пользователей и защищают вас от мошеннических атак.

Кратко о методах аутентификации

Определение аутентификации можно объяснить как процесс идентификации пользователя, запрашивающего доступ к определенной службе. До недавнего времени было достаточно простых учетных данных в виде имени пользователя и пароля, но с сегодняшними стандартами безопасности нам нужно что-то гораздо более надежное.

Различные бизнес-требования требуют разных уровней безопасности, которые достигаются за счет тщательного выбора или сочетания различных доступных методов аутентификации. Когда дело доходит до пользовательского опыта, он играет важную роль в удовлетворенности пользователей во время обработки онлайн-платежей. Поэтому применяемый метод аутентификации должен обеспечивать удобство и безопасность одновременно. Если процесс аутентификации не обеспечивает удобства и проходит гладко, это приводит к высокому проценту отказов от корзины.С другой стороны, если аутентификация не обеспечивает надлежащих мер безопасности, возрастает угроза мошеннических действий с использованием платежных карт, что приводит к затратам на возврат средств.

Балансировать между безопасностью и удобством для пользователя — сложная задача, но мы в ASEE знаем, как решить эту проблему. Ответ заключается в Strong Customer Authentication (SCA) , который позволяет использовать различные методы аутентификации, адаптированные к потребностям пользователя.

PSD2 внедряет инновации в безопасность онлайн-платежей

В рамках регламента PSD2 от сентября 2019 г. действует требование строгой аутентификации клиентов (SCA).SCA представляет собой дополнительный уровень безопасности при онлайн-платежах и основан как минимум на двух факторах аутентификации из следующих категорий:

.
  • знание (что знает владелец карты, например, PIN-код, пароль),
  • владение (что есть у держателя карты, например, телефон, аппаратный токен),
  • принадлежность (что представляет собой владелец карты, например, распознавание лиц, отпечатки пальцев).

Это означает, что заинтересованным сторонам необходимо проявить творческий подход и принять различные методы аутентификации, доступные для конечного пользователя, чтобы иметь возможность обрабатывать беспроблемные и безопасные онлайн-платежи.

Наши 5 лучших методов аутентификации

Мы подготовили исчерпывающий список методов аутентификации, обеспечивающих безопасность и удобство при обработке онлайн-платежей. Давайте копать!

1. Методы биометрической аутентификации

Биометрическая аутентификация опирается на уникальные биологические характеристики пользователя для проверки его личности. Это делает биометрию одним из самых безопасных методов аутентификации на сегодняшний день. Кроме того, он вызывает меньше трений в процессе аутентификации по сравнению с ранее упомянутыми методами, что обеспечивает удобство работы пользователей.Наиболее распространенные идентификаторы включают сканирование отпечатков пальцев, распознавание лиц и идентификацию на основе голоса.

Трудно подделать – биометрические идентификаторы, такие как отпечаток пальца и сетчатка глаза, по определению уникальны для каждого человека. Кроме того, в сочетании с Динамическое связывание (т. е. добавление дополнительных данных транзакции в данные аутентификации) спуфинг почти невозможен.

Простота использования – не требует запоминания различных PIN-кодов и паролей, простой процесс аутентификации.

Быстрая и надежная – биометрическая аутентификация обеспечивает большую безопасность и требует меньше времени.

Вопросы конфиденциальности — одна из основных проблем, с которыми сталкиваются пользователи при использовании этого метода, — это вопросы конфиденциальности. Несмотря на то, что это ощущение очень субъективно, оно мешает значительному числу держателей карт использовать его. Биометрические данные хранятся в доверенной среде, зашифрованы и недоступны для обычных операционных систем.

Возможные ошибки – ошибки, в том числе ложное принятие и ложное отклонение попытки аутентификации.

2

. QR-код Аутентификация

QR-кода обычно используется для аутентификации пользователя и проверки транзакции. Типичный процесс проверки транзакции начинается с того, что пользователь входит в свое веб-приложение интернет-банкинга и открывает платежное поручение. Приложение интернет-банкинга предлагает пользователю провести этот платеж с помощью представленного на экране QR-кода. Для обработки платежа пользователю необходимо отсканировать QR-код своим смартфоном с помощью программного обеспечения для аутентификации (может быть отдельно от приложения мобильного банкинга).Для завершения платежа пользователю предоставляется информация о транзакции, и после проверки достоверности отображаемых данных пользователь дополнительно подтверждает онлайн-платеж.

Простота использования – процесс аутентификации прост.

2FA proof — легко комбинируется с другими факторами аутентификации для повышения безопасности.

Без дополнительного оборудования – независимо от стороннего оборудования.

Незнание — широкая общественность мало знакома с этим конкретным методом аутентификации, что может привести к ухудшению качества обслуживания клиентов.

Зависимость от устройства — требует использования смартфонов вместе с правильным программным обеспечением для считывания, способным сканировать QR-код.

3. SMS OTP

Этот простой, но эффективный метод аутентификации включает отправку SMS-сообщения на мобильный телефон пользователя, содержащего одноразовый пароль, используемый для завершения аутентификации онлайн-платежей.

Простота использования – процесс аутентификации прост.

Доступ – в случае подозрительной активности только пользователь, у которого есть устройство, может проверить действительность транзакции, введя полученный OTP.

Знакомство — SMS OTP — одна из старейших форм двухфакторной аутентификации, что делает ее широко используемой как пользователями, так и протоколами безопасности.

Требование к сети передачи данных — если пользователь не может использовать свою телефонную сеть (например, соединение не работает), он не сможет получить одноразовый пароль. Кроме того, доставка одноразового пароля по SMS может происходить не в режиме реального времени, что вызывает задержку, а время аутентификации может истечь.

Соответствие — аутентификация SMS OTP не полностью совместима с PSD2, т.е. если мобильный телефон не находится у его законного владельца, мошенник может легко получить SMS OTP на украденное устройство и провести транзакцию.

4. Метод аутентификации push-уведомлений

Система аутентификации на основе push-уведомлений отправляет уведомление в приложение на устройстве пользователя, информируя его о попытке аутентификации. Пользователь может проверить детали попытки аутентификации и, основываясь на своих знаниях, например, о происходящей транзакции, либо подтвердить, либо отклонить запрос на проверку.

Простота использования – если данные аутентификации не вызывают никаких подозрений, пользователь просто подтверждает запрос аутентификации.

Эффективная защита от мошенничества — аутентификация на основе push-уведомлений позволяет легко реализовать динамическое связывание, которое эффективно предотвращает фишинг и атаки MITM (человек посередине).

Низкая стоимость – этот метод позволяет использовать имеющиеся у пользователя мобильные телефоны, исключая дополнительные затраты на оборудование и затраты на техническое обслуживание.

Доступ к данным – уведомления отправляются через сети передачи данных, поэтому для применения этого метода пользователь должен иметь доступ к данным.

Вопросы безопасности — пользователь может случайно одобрить мошенническую транзакцию из-за нашей привычки автоматически одобрять входящие уведомления.

Зависимость — аутентификация с помощью push-уведомлений требует наличия соответствующего приложения mToken, установленного на устройстве пользователя, а также активации mToken, т. е. требует выполнения определенных действий, чтобы метод аутентификации был доступен держателю карты.

5. Метод поведенческой аутентификации

Поведенческая аутентификация проверяет личность пользователя на основе уникальных шаблонов, записанных во время взаимодействия с устройствами (например, смартфоном, планшетом, компьютером). Факторы идентификации включают в себя все, от угла, под которым пользователь держит свой телефон, до давления, оказываемого при наборе текста. Этот тип метода аутентификации обеспечивает по-настоящему беспроблемную работу, не беспокоясь об уровне безопасности, который он предоставляет пользователю.

Простота использования – простой процесс аутентификации.

Трудно подделать — точно так же, как отпечаток пальца и сетчатка глаза уникальны по определению для каждого человека, то же самое относится и к тому, как пользователь взаимодействует со своим устройством.

Отличный пользовательский интерфейс — процесс аутентификации является пассивным, поэтому трения исключены.

С учетом регистра – может зависеть от физического состояния и эмоционального поведения пользователя.

Вторжение в частную жизнь — основная проблема, с которой пользователи сталкиваются при использовании этого метода, связана с конфиденциальностью. Больше всего пользователей беспокоит незнание того, какие данные на самом деле собираются, кто имеет к ним доступ и как они будут использоваться в будущем. Как далеко слишком далеко?

Если вы хотите узнать больше о самых надежных и удобных методах аутентификации, свяжитесь с вашей командой Asseco 3D Secure или загрузите техническое описание .

Какой самый безопасный метод аутентификации Wi-Fi?

Первым уровнем защиты беспроводной сети является процесс аутентификации. С сильным барьером аутентификации организация может быть уверена, что только утвержденные пользователи сети могут получить доступ к сети и необходимым им ресурсам. Без надлежащей аутентификации сеть может быть легко скомпрометирована. Существует несколько методов аутентификации, каждый из которых имеет свои сильные и слабые стороны.

Защищенный доступ Wi-Fi

ВПА

Wi-Fi Protected Access (WPA) был впервые сертифицирован для использования беспроводными устройствами в 2003 году. В то время он заменил Wired Equivalent Privacy (WEP), поскольку старый протокол оказался небезопасным против современных атак.

Несмотря на то, что WPA принесла такие обновления, как использование протокола целостности временного ключа (TKIP), ему суждено было просуществовать недолго. WPA был запущен во время разработки стандарта 802.11i, поэтому в 2004 году WPA был быстро заменен на WPA2.К 2006 году WPA2 стал новым отраслевым стандартом, который будет действовать следующие 15 лет.

WPA2

WPA2 стал синонимом товарного знака Wi-Fi и является обязательным для всех, кто хочет использовать этот товарный знак. Есть много улучшений, которые приносит WPA2, но самые важные из них сосредоточены на безопасности и взаимодействии с пользователем.

Обновленное шифрование AES-CCMP значительно улучшило методы WEP и WPA. Процесс ручной настройки беспроводной сети был значительно упрощен.И, возможно, наиболее заметным для конечного пользователя было требование более сложных паролей, а также предложение WPA2-Personal и WPA2-Enterprise для личного и делового использования соответственно.

WPA3

Хотя WPA2 просуществовал более десяти лет, он начинает проявлять признаки своего возраста. В результате в 2018 году был запущен WPA3. WPA3 работал аналогично WPA2, но был модернизирован для современной эпохи. Некоторые обновления включали требование большей длины ключа для шифрования AES, добавление шифрования в открытые сети аутентификации и реализацию одновременной аутентификации равных.

Если вам интересно, почему вы до сих пор используете сеть WPA2, не пугайтесь; WPA3 не получил широкого распространения. WPA3 не может поддерживать устаревшие устройства, поэтому многие организации просто не могут поддерживать и WPA2, и WPA3. Но новые устройства предназначены для включения WPA3, поэтому в ближайшие годы мы, вероятно, увидим огромный всплеск использования WPA3.

Аутентификация в сети WPA

Существует несколько методов аутентификации, которые можно применять к сети WPA, каждый из которых имеет разный уровень простоты, безопасности и эффективности.

Открытая аутентификация

Метод открытой аутентификации является самым простым. Пользователь находит SSID, соответствующий сети, в которой он хочет пройти аутентификацию, а затем подключается к сети. Этот метод не требует подтверждения личности и не шифрует трафик.

Открытых сетей следует избегать любой ценой. Их часто можно увидеть в общественных местах, таких как магазины или зоны отдыха, и они притягивают злоумышленников. Даже низкоквалифицированный злоумышленник может легко просмотреть трафик в открытой сети и атаковать ее пользователей.Правительство США выпустило предупреждение об опасностях использования открытых сетей и настоятельно рекомендовало воздержаться от их использования.

Общий ключ

WPA2-PSK позволяет любому подключаться к сети с использованием общего пароля. Это распространенный метод, используемый в домах, кафе и небольших офисах. Хотя он использует защищенный WPA2, PSK по-прежнему является проблематичным методом аутентификации, особенно в офисе.

Поскольку единый пароль известен всем, им можно легко поделиться за пределами организации, намеренно или случайно.В офисе, если пользователь покидает организацию, рекомендуется сбросить пароль. Это не совсем эффективная система и может быстро привести к взлому. В целом, PSK является рискованным методом, и его, вероятно, следует избегать.

WPA2-предприятие

WPA2-Enterprise требует, чтобы каждый пользователь аутентифицировался с помощью уникального идентификатора. Этот метод используется предприятиями, школами, больницами — практически любой крупной организацией с ценными данными, которые необходимо защитить. Это, безусловно, самый безопасный из распространенных типов аутентификации, поскольку каждый пользователь должен быть зарегистрирован и идентифицирован в IDP.

WPA2-Enterprise требует использования безопасного метода EAP для аутентификации. Наиболее часто используемые включают PEAP-MSCHAPv2, EAP-TTLS/PAP и EAP-TLS. Его можно настроить для приема широкого спектра идентификаторов и включить MFA для более безопасной проверки подлинности.

Обычный опыт работы с WPA2-Enterprise заключается в том, что каждому пользователю присваивается уникальный идентификатор при подключении к сети. Хотя этот идентификатор обычно представляет собой индивидуальный пароль, связанный с отдельным пользователем, многие организации начали использовать вместо паролей сертификаты.

Сертификаты превосходят пароли по всем показателям. Для конечного пользователя сертификаты — это то, что у вас есть, а не сложный пароль, который нужно запоминать или регулярно менять. Они просто подключаются к сети, и сертификат автоматически аутентифицируется. Сертификаты не могут быть переданы другим пользователям или удалены с устройства, если только они не были отозваны сетевым администратором. Криптография с открытым ключом предотвращает кражу сертификатов для использования злоумышленниками.

Упрощение WPA2-Enterprise

Для большинства организаций WPA2-Enterprise является единственным выбором для защиты сети.Он использует самые безопасные методы аутентификации и допускает огромное количество настроек. Хотите ли вы использовать пароли или многофакторную аутентификацию, WPA2-Enterprise подойдет.

SecureW2 предоставляет все инструменты, необходимые для настройки защищенной сети WPA2-Enterprise. Наша инфраструктура «установи и забудь» может быть быстро настроена и предназначена для простого управления на протяжении всего срока службы. Предоставленная инфраструктура интегрируется со всеми основными производителями сетевой инфраструктуры, поэтому вы можете строить поверх существующей системы вместо полной замены всего.

Самым большим преимуществом SecureW2 являются эффективные решения для сертификатов. Как для администраторов, так и для конечных пользователей процесс запуска сертификатов упрощен. Пользователи могут легко настроить и получить сертификат, а администраторы могут управлять сетью с помощью множества инструментов на портале управления.

Ознакомьтесь со страницей цен SecureW2, чтобы узнать, могут ли наши решения для сертификатов революционизировать способ аутентификации в вашей защищенной сети.

Какой самый безопасный метод аутентификации?

Ответить на вопрос

Аналогичные вопросы

  1. Какой метод аутентификации лучше всего
  2. Какой метод аутентификации самый безопасный и какой вариант следует использовать, когда это возможно
  3. Как защитить аутентификацию
  4. Каковы 4 основные формы аутентификации
  5. Что происходит если компания управляет аутентификацией, а не авторизацией
  6. Какой метод аутентификации на основе пароля является наиболее безопасным
  7. Почему пароли неэффективны при аутентификации
  8. Пример двухфакторной аутентификации
  9. Какие существуют 3 типа аутентификации
  10. Как проходит аутентификация don
  11. Какой тип аутентификации наиболее безопасен
  12. Какой метод MFA самый безопасный
  13. Какие существуют три метода аутентификации
  14. Каковы 5 факторов аутентификации

Автор вопроса: Louis Turner Дата: создано : 15 июля 2021 г.

Какой метод аутентификации лучше всего

A Ответил: Картер Уорд Дата создания: 18 июля 2021 г.

Пароли.

Одним из самых распространенных и известных способов аутентификации являются пароли.

Двухфакторная аутентификация.

Проверка капчи.

Биометрическая аутентификация.

Аутентификация и машинное обучение.

Пары открытого и закрытого ключей.

Нижняя линия. 12 января 2018 г.

Автор вопроса: Стэнли Мартинес Дата: создано: 23 октября 2021 г.

Какой метод аутентификации является наиболее безопасным и какой вариант следует использовать, когда это возможно

Ответил: Коди Брайант Дата: создано: 26 октября 2021 г.

Вам следует использовать MFA всегда, когда это возможно, особенно когда речь идет о ваших наиболее конфиденциальных данных, таких как ваша основная электронная почта, ваши финансовые счета и ваши медицинские записи.Хотя некоторые организации требуют, чтобы вы использовали MFA, многие предлагают его в качестве дополнительной опции, которую вы можете включить, но вы должны проявить инициативу, чтобы включить ее.

Автор вопроса: Родриго Ричардсон Дата: создано: 03 апреля 2021 г.

Как защитить аутентификацию

Ответил: Лоуренс Грин Дата: создано: 03 апреля 2021 г.

Как защитить ваши механизмы аутентификации Будьте осторожны с учетными данными пользователя. … Не рассчитывайте на безопасность пользователей. … Запретить перечисление имени пользователя. … Реализовать надежную защиту от грубой силы.… Трижды проверьте свою логику проверки. … Не забывайте о дополнительных функциях. … Реализуйте надлежащую многофакторную аутентификацию.

Автор вопроса: Филип Хьюз Дата: создано: 25 октября 2021 г.

Каковы 4 основные формы аутентификации

Ответил: Мэтью Бейли Дата: создано: 25 октября 2021 г.

Четырехфакторная аутентификация (4FA) — это использование четырех типов учетных данных для подтверждения личности, которые обычно классифицируются как факторы знания, владения, принадлежности и местоположения.

Автор вопроса: Wyatt Ross Дата: создание: 21 февраля 2021 г.

Что произойдет, если компания управляет аутентификацией, а не авторизацией

Ответил: Oliver Lewis Дата: создание: 21 февраля 2021 г.

При доступе к любому типу конфиденциальных данных требуются как аутентификация, так и авторизация. Без того и другого вы рискуете раскрыть информацию из-за взлома или несанкционированного доступа, что в конечном итоге приведет к негативным отзывам в прессе, потере клиентов и возможным штрафам регулирующих органов.

Автор вопроса: Мигель Уилсон Дата: создано: 07 октября 2021 г.

Какой метод аутентификации на основе пароля является наиболее безопасным

Ответил: Льюис Тейлор Дата: создано: 09 октября 2021 г.

Наиболее безопасная форма методов проверки подлинности пользователя — это процесс многофакторной или двухфакторной проверки подлинности, который понимает важность взаимодействия с пользователем (UX) и является внешним по отношению к защищенной сети, приложениям и устройствам.

Автор вопроса: Джордж Холл Дата: создано: 16 ноября 2021 г.

Почему пароли неэффективны при аутентификации

Ответил: Кэмерон Кэмпбелл Дата: создано: 18 ноября 2021 г.

Однако пароли также являются одной из самых небезопасных форм аутентификации пользователей.… В идеале пользователь — единственный человек, который знает свой пароль, что делает его единственным, кто может получить доступ к учетной записи.

Автор вопроса: Мигель Андерсон Дата: создано: 10 февраля 2021 г.

Пример двухфакторной аутентификации

Ответил: Грегори Томас Дата: создано: 12 февраля 2021 г.

Хорошим примером двухфакторной аутентификации является снятие денег в банкомате; только правильная комбинация банковской карты (то, что есть у пользователя) и PIN-кода (то, что знает пользователь) позволяет провести транзакцию.

Автор вопроса: Джеймс Гриффин Дата: создано: 27 января 2021 г.

Какие существуют 3 типа аутентификации

Ответил: Чарльз Рассел Дата: создано: 28 января 2021 г.

Обычно существует три признанных типа факторов аутентификации: Тип 1 — Что-то, что вы знаете — включает в себя пароли, PIN-коды, комбинации, кодовые слова или секретные рукопожатия. … Тип 2 — Что-то, что у вас есть — включает в себя все предметы, которые являются физическими объектами, такие как ключи, смартфоны, смарт-карты, USB-накопители и токен-устройства.Еще товары…•26 июня 2018 г.

Автор вопроса: Сет Томпсон Дата: создано: 31 января 2021 г.

Как выполняется аутентификация

Ответил: Алан Скотт Дата: создано: 02 февраля 2021 г.

При аутентификации пользователь или компьютер должны подтвердить свою личность серверу или клиенту. Обычно аутентификация на сервере подразумевает использование имени пользователя и пароля. Другими способами аутентификации могут быть карты, сканирование сетчатки глаза, распознавание голоса и отпечатки пальцев.

Автор вопроса: Эштон Хьюз Дата: создано: 16 июня 2021 г.

Какой тип аутентификации наиболее безопасен

Ответил: Девин Нельсон Дата: создано: 18 июня 2021 г.

В настоящее время использование биометрических устройств, таких как ручные сканеры и сканеры сетчатки глаза, становится все более распространенным явлением в бизнес-среде.Это самый безопасный метод аутентификации.

Автор вопроса: Чейз Рассел Дата: создано: 17 февраля 2022 г.

Какой метод MFA является наиболее безопасным

Ответил: Генри Флорес Дата: создано: 18 февраля 2022 г.

Приобретение электронного ключа (например, YubiKey или Thetis) — самый безопасный способ получить код MFA. Он не привязан к мобильному номеру или мобильному устройству, которое можно взломать. Вместо этого пользователь использует небольшое устройство размером с USB-накопитель или меньше.

Автор вопроса: Тимоти Лопес Дата: создано: 08 января 2021 г.

Какие существуют три метода аутентификации

Ответил: Дилан Кокс Дата: создано: 08 января 2021 г.

5 Общие типы аутентификации Аутентификация на основе пароля. Пароли являются наиболее распространенными методами аутентификации. … Многофакторная аутентификация. … Аутентификация на основе сертификата. … Биометрическая аутентификация. … Аутентификация на основе токенов.

Автор вопроса: Лукас Робертс Дата: создано: 26 января 2022 г.

Каковы 5 факторов аутентификации

Ответил: Доминик Хилл Дата: создано: 27 января 2022 г.

Пять категорий факторов аутентификации и как они работаютФакторы знаний.Факторы знаний требуют, чтобы пользователь предоставил некоторые данные или информацию, прежде чем он сможет получить доступ к защищенной системе. … Факторы владения. … Факторы наследственности. … Факторы местоположения. … Факторы поведения.

Что такое аутентификация? [Основы цифровой аутентификации]

Аутентификация — это процесс безопасности, позволяющий проверить, является ли лицо или объект подлинным и соответствует ли заявленное. Акт аутентификации человека, объекта или объекта не нов, поскольку корень слова «подлинный» происходит от греческого « authentikos », что означает «подлинный, подлинный».Таким образом, акт аутентификации сравнивает и сопоставляет, чтобы определить, является ли что-то или кто-то тем или кем они себя выдают.

Краткая история цифровой аутентификации

Аутентификация для компьютеров началась примерно в 1960-х годах, когда пароли впервые были сохранены в базе данных, и введенный пользователем пароль должен был соответствовать тому, что было в хранилище. Несмотря на то, что аутентификация развивалась, с 1960-х и 1970-х годов, когда в игру вступила криптография, пароли по-прежнему являются нормой и наиболее используемым методом аутентификации.

Около 40 лет назад, когда было признано, что пароли не являются надежными для цифровой аутентификации, появились динамические пароли. Затем, когда вычислительная мощность компьютеров стала выше, появилась возможность разрабатывать и использовать одноразовые пароли (OTP) в качестве однофакторной или даже многофакторной аутентификации.

К концу 1990-х и началу 2000-х годов с широким использованием Интернета веб-сайты, такие как электронная коммерция и финансовые учреждения, обрабатывали беспрецедентный объем конфиденциальных данных.Потребность в более надежной аутентификации привела к более широкому использованию многофакторной аутентификации (MFA), включая использование пароля вместе с другой формой аутентификации, такой как одноразовый пароль, вопросы, основанные на знаниях, или использование приложения для аутентификации. Сочетание двух или более факторов повышает надежность аутентификации.

Запуск и широкое использование мобильных телефонов предоставили общественности дополнительные типы технологий, которые ранее были доступны только экспертам и государственным учреждениям, такие как использование биометрической аутентификации, включая отпечатки пальцев, сетчатку глаза, голос и распознавание лиц.Поведенческая биометрия и сигналы распознавания в последнее время также играют важную роль в аутентификации.

Несмотря на то, что методы аутентификации со временем эволюционировали, удивительно, что даже сегодня наиболее широко используемыми методами, по крайней мере, в мобильных банках, по-прежнему являются пароли и одноразовые пароли — два наименее безопасных типа аутентификации.

Для аутентификации крайне важно использовать многоуровневый подход, и это самый большой вклад, который могут обеспечить все новые методы, поскольку универсального решения не существует.

Самая большая и самая важная эволюция в области аутентификации — это все более широкое развертывание и внедрение простых и удобных для пользователя методов, которые не требуют, чтобы пользователь был экспертом по безопасности.

Аутентификация против авторизации

Идентификация пользователя, и авторизация важны для безопасности. Аутентификация подтверждает личность пользователя, а авторизация предоставляет пользователю доступ, поэтому будет справедливо сказать, что аутентификация является необходимым условием для авторизации.

Как работает аутентификация?

Целью аутентификации человека в современных цифровых системах является предотвращение доступа неавторизованного персонала к определенным учетным записям, физическим или цифровым средам. Аутентификация гарантирует, что только законным пользователям предоставляется доступ, распознавая и сопоставляя учетные данные, которые ранее были зарегистрированы на физическое лицо. Если предоставленные учетные данные совпадают, пользователь может быть аутентифицирован. Если предоставленные учетные данные не совпадают, существует риск того, что злоумышленник попытается получить несанкционированный доступ.

Наиболее распространенным методом проверки подлинности является однофакторная проверка подлинности, но в зависимости от риска несанкционированного доступа рекомендуется использовать многофакторную проверку подлинности.

Однофакторная проверка подлинности требует, чтобы пользователи выполняли проверку подлинности только с одним типом доказательства для проверки подлинности, которым в большинстве случаев является пароль. Многофакторная проверка подлинности осуществляется с помощью многоуровневого подхода с двумя или более типами проверки подлинности.

Что такое многофакторная аутентификация?

MFA используется для проверки подлинности личности пользователя.Он требует от пользователя предоставления двух или более доказательств или факторов для аутентификации. Ключевой целью MFA является добавление дополнительных факторов аутентификации для повышения безопасности. Хорошо продуманная стратегия многофакторной аутентификации направлена ​​на поддержание баланса между дополнительной безопасностью и удобством для пользователя.

Типы многофакторной аутентификации

MFA требует использования нескольких (не менее двух) факторов для проверки авторизованного доступа пользователя. Существует три основных типа используемых факторов аутентификации, и для каждого фактора существуют разные методы аутентификации:

Знания — Что-то, что вы знаете

Обычно включает информацию, известную только пользователю.Комбинация имени пользователя и пароля или PIN-кода являются наиболее распространенными примерами фактора знаний. Некоторым организациям могут потребоваться контрольные вопросы, такие как девичья фамилия матери или название школы, в которой они впервые побывали, для подтверждения личности пользователя.

Владение — Что-то, что у вас есть

Фактор проверки подлинности владения полезен, когда пользователи держат на хранении что-то конкретное, например физические жетоны, смарт-карты, брелоки или мобильные телефоны. Аутентификатор Google — хороший пример приложения на телефоне в качестве токена.Маловероятно, что хакер, укравший пароль пользователя, также украл его физическое имущество. Этот тип аутентификации может включать подтверждение через всплывающее уведомление на мобильном телефоне или запрос на вставку карты безопасности или даже устаревший и устаревший одноразовый пароль, который может быть предоставлен в текстовом сообщении или по электронной почте.

Принадлежность — Что-то, чем ты являешься

Фактор неотъемлемости использует поведение или биологические черты пользователей для входа в систему.Обычно используемые факторы принадлежности включают отпечатки пальцев, сканирование сетчатки глаза или распознавание голоса или лица. Поведенческие биометрические данные и сигналы распознавания также являются факторами, присущими им, поскольку мошенникам трудно имитировать или подделывать поведение пользователя. Этот тип аутентификации считается не только надежным, но и типом с наименьшими трудностями для пользователей.

Сравнительный список методов MFA с ранжированием обоих уровней безопасности и трения показан в следующей таблице

Приложения могут использовать комбинации этих факторов и механизмов аутентификации, которые лучше всего подходят для приложения, затрат, ИТ-структуры и необходимой степени безопасности.Примером многофакторной аутентификации является вход в мобильный банк, который после запроса пароля (знания) для входа в систему, чтобы пользователи могли получить доступ к учетной записи, дополнительно предлагает пользователю ввести номер из приложения-аутентификатора на мобильном телефоне ( владение). Другим допустимым примером является вход в финтех-приложение с использованием аутентификации с нулевым фактором, включаемой поведением местоположения (присущие), что позволит пользователю входить в систему без пароля и переводить деньги. Если поведение пользователя по местоположению не соответствует шаблону истории поведения пользователя по местоположению, может потребоваться использование приложения-аутентификатора в качестве дополнительного фактора для создания необходимого токена для проверки, таким образом аутентифицируя доверенного пользователя или предотвращая доступ мошенника.

Что такое двухфакторная аутентификация?

2fa или двухфакторная аутентификация, также называемая двухэтапной аутентификацией, представляет собой метод безопасности, требующий от пользователей предоставления двух факторов аутентификации для доступа к учетной записи. Остаются вопросы о различиях между 2fa и mfa, но суть в том, что 2FA является подмножеством MFA, поэтому все 2FA — это MFA, но не все MFA — это 2FA.

Каковы самые большие проблемы для мобильной аутентификации?

По мере того, как компании стремятся запускать и развивать мобильные сервисы, две самые большие проблемы заключаются в том, чтобы сбалансировать потребность в повышенной безопасности и обеспечить отличное взаимодействие с пользователем.

Минимизация трения для превосходного взаимодействия с пользователем

Средняя продолжительность концентрации внимания человека сокращается с 12 секунд в 2000 году до 8 секунд в 2015 году, а на мобильных устройствах у пользователей особенно короткая продолжительность концентрации внимания. Одной из привлекательных черт мобильных устройств для потребителей является возможность мгновенно получать информацию и мгновенно принимать решения и делать выбор. Когда безопасность добавляет трений и замедляет доступ к информации и мобильным сервисам, в результате повышается процент отказов и снижается коэффициент конверсии.Эта потребность в мгновенном ответе от мобильных сервисов является причиной того, что минимизация трения является задачей №1 для обеспечения превосходного пользовательского опыта на мобильных устройствах.

Обеспечение безопасности учетных записей пользователей

С ростом распространения мобильных устройств неудивительно, что мошенники теперь переключают свое внимание на мобильные устройства. Мошенники используют слабые места в методах аутентификации, в том числе в паролях, OTP через SMS и биометрии, с целью захвата учетной записи. И здесь в игру вступает перетягивание каната между безопасностью и трениями.Риск того, что мошенники и киберпреступники получат доступ к учетным записям пользователей на мобильных устройствах, привел к тому, что все больше внимания уделяется средствам контроля безопасности, которые, к сожалению, также не пускают законных клиентов.

Лучшие варианты аутентификации для мобильных устройств

При рассмотрении вариантов проверки подлинности становится очевидным, что факторы проверки подлинности имеют разное значение для безопасности и трения. Ни одно решение для аутентификации не предлагает одновременно наилучшую безопасность и наименьшие трения. Хорошей новостью является то, что при многофакторной аутентификации требуется два или более факторов аутентификации, поэтому можно комбинировать факторы аутентификации, чтобы получить оптимальный баланс безопасности и трения.

Учитывая, что пароли и одноразовые коды доступа (OTP) имеют самый низкий рейтинг безопасности, трудно поверить, что пароли по-прежнему являются распространенным методом безопасности, а одноразовые коды доступа (OTP) являются наиболее часто используемым вторым фактором для аутентификации. .

Пароли обеспечивают самую слабую защиту

Проблемы с паролями теперь широко известны. Поскольку сегодня пользователи управляют в среднем 70–80 учетными записями, они неизбежно используют простые пароли, такие как 1234, или повторно используют пароли на разных сайтах, когда это возможно.Забыть пароли — это проблема номер один для службы поддержки клиентов, которая создает трения для пользователей и операционные расходы для компаний. Крупномасштабные утечки данных и все более широкое использование мошенничества с использованием социальной инженерии делают пользователей уязвимыми для захвата учетных записей с использованием украденных учетных данных.

OTP через SMS — уязвимость системы безопасности

В течение последних нескольких лет специалисты по безопасности внимательно следили за использованием одноразовых паролей по SMS. В Руководстве по идентификации NIST он обозначен как ограниченная форма аутентификации, поскольку мошенники могут легко использовать его не по назначению.Мошенничество с подменой SIM-карты появилось еще в 2017 году и стало популярным методом захвата учетных записей.

Биометрия — вопросы безопасности и предвзятости

Хотя пользователи проявляют интерес к использованию датчиков отпечатков пальцев, идентификации по лицу и голосу, растет обеспокоенность по поводу кражи биометрических данных, а также того, как эти типы технологий распознавания могут внести предвзятость в наше использование и доступность технологий. Биометрические данные, такие как пароли, при централизованном хранении на серверах также уязвимы для кражи и подделки, и, в отличие от паролей, которые можно изменить или обновить, мы не можем изменить наши отпечатки пальцев или лица, голосовые идентификаторы.Биометрические данные, хранящиеся локально на устройстве, более безопасны, но требуют от пользователей дополнительных усилий по регистрации своих биометрических данных отдельно на каждом устройстве. Кроме того, использование лица или селфи теперь включает в себя обнаружение живости, чтобы бороться с использованием фотографий в качестве замены реального человека, однако технология подделки deek теперь демонстрирует способность имитировать обнаружение живости.

Предвзятость также связана с использованием биометрии для предотвращения мошенничества и других приложений. Производительность программного обеспечения для распознавания лиц и голоса зависит от обучающих данных, и проблема заключается в том, что наборы данных, которые смещены в сторону типов лиц или голосов, могут внести смещение в результаты.Для предотвращения мошенничества это может означать, что определенные этнические группы будут чаще помечаться как группы высокого риска, потому что они недостаточно широко представлены в обучающей выборке.

Сигналы распознавания и поведенческая биометрия — динамическая безопасность

Сигналы распознавания и методы аутентификации на основе поведенческой биометрии используют уникальное человеческое поведение, однако между биометрической и поведенческой биометрией есть ключевое различие. Это то, что шаблоны поведения, хотя и являются уникальными для каждого человека, также постоянно меняются и обновляются, и поэтому по сравнению со статическим идентификатором, таким как отпечаток пальца или идентификатор лица, поведенческая биометрия создает динамический фактор аутентификации, который очень трудно имитировать или подделать. .

Сигналы распознавания и поведенческая биометрия — минимальное трение

Реальность такова, что современные мобильные устройства оснащены датчиками, которые предоставляют ценную информацию о поведении пользователя. Сигналы распознавания и поведенческая биометрия используют эти данные для определения уникальных шаблонов для каждого пользователя. Одним из ключевых различий между сигналами распознавания и поведенческой биометрией является время, необходимое моделям для обучения и оценки рисков. Сигналы распознавания предлагают немедленные сигналы риска с нуля, в то время как поведенческим биометрическим моделям может потребоваться длительное время для обучения, дни или недели.

Существует множество типов сигналов и поведенческих биометрических данных, которые используются для обнаружения мошенничества. Движения мыши и скорость набора текста широко используются в приложениях для настольных компьютеров и ноутбуков, однако для мобильных устройств самым сильным сигналом является поведение при определении местоположения.

Местоположение как самый сильный сигнал доверия на мобильных устройствах

Из всех сигналов распознавания местоположение имеет наибольшее значение для предотвращения мошенничества на мобильных устройствах.

В современном мире мобильные устройства стали продолжением нас самих.Мы повсюду носим свои телефоны с собой, и движения каждого человека в мире уникальны и создают уникальные модели поведения на месте. Мобильные устройства сегодня содержат множество датчиков, которые относятся к движению и положению, а также к состоянию устройства.

Комбинация MFA с проверкой подлинности на основе рисков дает возможность предоставить пользователям первоначальный вариант проверки подлинности с низким уровнем трения и использовать только более безопасные, более сложные методы проверки подлинности для входов в систему с высоким риском или конфиденциальных транзакций.

Ключевые выводы

  • Существует множество вариантов аутентификации
  • Факторы аутентификации ранжируются по-разному для безопасности и трения
  • Использование сигналов распознавания или поведенческой биометрии предлагает метод аутентификации с наименьшими трениями и может использоваться для аутентификации с нулевым фактором
  • Аппаратные ключи безопасности предлагают наиболее безопасный метод аутентификации
  • Аутентификация на основе рисков с помощью MFA обеспечивает наилучший баланс безопасности и трения

5 методов удаленной аутентификации

Существует множество методов удаленной аутентификации пользователей, от паролей и одноразовых паролей (OTP) до сканирования отпечатков пальцев и аутентификации по лицу.

Каждый из них опирается на разные факторы для установления доверия:

  • Что-то, что вы знаете (например, пароли)
  • Что-то, что у вас есть (использование телефона для одноразовых паролей)
  • Что-то, чем вы являетесь (биометрические данные, например, ваше лицо).

В последние годы организации начали отказываться от аутентификации на основе знаний. Пароли небезопасны, потому что ими можно поделиться, угадать или украсть. Пароли также вызывают разочарование у пользователей, поскольку их легко забыть.В конечном итоге это приводит к отсеву и низкому уровню завершения.

Вместо этого организации переходят на беспарольные решения. Биометрические формы аутентификации используют то, что вы , чтобы подтвердить вашу личность. Это удобно — например, ваше лицо всегда с вами — и хотя их можно скопировать  (с помощью фотографии), их нельзя украсть .

Зачем нужна аутентификация?

 Аутентификация необходима для надежной идентификации пользователей в Интернете.Чаще всего он используется, например, при входе в учетную запись или удаленной авторизации финансовой транзакции. В конечном счете, аутентификация необходима для ограничения и разрешения доступа к личной информации и учетным записям.

По мере роста спроса на удаленные услуги и роста числа киберпреступлений растет и спрос на безопасную аутентификацию в Интернете.

Безопасная аутентификация пользователя…

  • Защищает ваших клиентов от эмоциональных и финансовых последствий кражи личных данных
  • Защищает вашу организацию от финансовых потерь в результате мошенничества и других преступлений
  • Снижает риск использования вашей организации для отмывания денег
  • Помогает убедиться, что ваша организация соблюдает правила, такие как KYC
  • .
  • Гарантирует, что ваша организация успокаивает своих пользователей и защищает свою репутацию

Но какой метод аутентификации является «лучшим» или правильным методом аутентификации для вас?

Как выбрать правильный метод аутентификации

Для ваших пользователей лучшим методом аутентификации будет то, что предлагает удобство, скорость и надежность.Для вашей организации наилучшее решение обеспечит соответствующий уровень безопасности, высокие показатели завершения и будет доступно для наибольшего числа клиентов или граждан.

Необходимо учитывать следующее:

  • Безопасность: Если профиль риска транзакции высок, вам потребуется более безопасный метод аутентификации. Например, действия с высокой финансовой ценностью (такие как перевод средств с банковского счета или доступ к пенсионному фонду или государственным пособиям) требуют наивысшего уровня безопасности аутентификации.
  • Удобство использования:  Если проверка подлинности слишком сложна, люди находят обходные пути — например, когда пароли требуют нескольких специальных символов, люди склонны записывать их, что делает их менее безопасными и удобными для пользователя. Подумайте, на кого нацелены ваши услуги, но помните, что они должны быть инклюзивными. Большинство онлайн-сервисов должны предлагать максимальную инклюзивность, поэтому целью всегда является простота и легкость.
  • Удобство:  Клиенты ценят удобство, и некоторые методы аутентификации в этом отношении лучше других.Например, клиент, совершающий платеж на своем настольном компьютере, которому затем необходимо получить одноразовый пароль со своего мобильного устройства, скорее всего, испытает разочарование.
  • Успокоение:  Все можно сделать слишком простым. Если клиент совершает крупный платеж и не проходит какой-либо проверки подлинности безопасности, он может нервничать, что может привести к недоверию к вашей компании.
  • Доля завершения:  Если в процессе аутентификации пользователю требуется выполнить слишком много инструкций, или если он занимает слишком много времени или требует повторных попыток, прежде чем он увенчается успехом, существует высокий риск отказа и потери бизнеса.Это влияет на любую организацию, будь то розничный продавец, имеющий дело с брошенными корзинами, или граждане, которые не могут вернуться, чтобы получить доступ к государственным онлайн-услугам.
  • Конфиденциальность: Метод аутентификации не должен нарушать конфиденциальность пользователя. Например, пассажир в поезде, желающий совершить транзакцию на своем мобильном устройстве, может не оценить необходимость говорить вслух с распознаванием голоса.

Давайте рассмотрим пять самых популярных методов онлайн-аутентификации.

  1. Аутентификация по лицу

Аутентификация по лицу использует сканирование лица, сделанное человеком на любом устройстве с фронтальной камерой, чтобы доказать, что он тот, за кого себя выдает. Чтобы аутентификация по лицу была безопасной, необходимо убедиться, что пользователь является правильным человеком, реальным человеком, и что он аутентифицируется прямо сейчас. Это то, что обеспечивает технология Genuine Presence Assurance от iProov.

В некоторых других формах аутентификации по лицу используются одиночные изображения для сопоставления физического лица с доверенным изображением, но их можно подделать с помощью «презентационных атак», включая фотографии, демонстрируемые на камеру устройства.Технологии iProov используют несколько кадров для надежного определения подлинности человека.

Аутентификация по лицу имеет много преимуществ по сравнению с другими биометрическими методами. Во-первых, у каждого есть лицо, и в большинстве документов, удостоверяющих личность, есть фотография, но нет отпечатков пальцев или других биометрических данных. Это означает, что пользователь может отсканировать свой документ, удостоверяющий личность, с помощью своего мобильного устройства, а затем отсканировать свое лицо, чтобы доказать, что он тот, за кого себя выдает, завершив весь процесс проверки, не вставая с дивана.

Аутентификация по лицу также может выполняться на оборудовании общего назначения. Любой смартфон, компьютер или другие устройства с обращенной к пользователю камерой могут поддерживать аутентификацию по лицу, в то время как для сканирования отпечатков пальцев или радужной оболочки требуется специальное оборудование.

Это изменяет способ, с помощью которого правительства и предприятия могут безопасно проверять личность онлайн-пользователей. Граждане могут подать заявку на получение банковских счетов, кредитных карт, медицинских, налоговых или любых других безопасных услуг без необходимости посещения физического здания для проверки личности.

Аутентификацию и верификацию лица иногда называют «распознаванием лиц»⁠, но это совершенно разные технологии.

  1. Сканирование отпечатков пальцев

Аутентификация по отпечатку пальца сравнивает отпечаток пальца пользователя с сохраненным шаблоном для подтверждения личности пользователя. Отпечатки пальцев сложны и уникальны, поэтому их невозможно угадать. Их также удобно использовать на смартфоне или другом устройстве, способном считывать отпечатки пальцев.

Существуют ограничения на аутентификацию по отпечатку пальца. Во-первых, поскольку не у всех есть сканер отпечатков пальцев на устройстве, аутентификация по отпечаткам пальцев не является доступным и инклюзивным методом для всех. Этот метод ограничен теми, у кого есть более дорогие устройства.

Как и в случае с паролями, существуют проблемы с безопасностью. Отпечатки пальцев можно скопировать с помощью силиконового каучука, а на большинстве устройств их можно взломать примерно за 20 минут. Аутентификация по отпечатку пальца может быть хороша для сценариев с низким уровнем риска, где необходим быстрый доступ, но ей не хватает доступности других методов, таких как аутентификация по лицу.

  1. Голосовая аутентификация

Голосовая аутентификация измеряет физические и поведенческие маркеры в речи пользователя для подтверждения его личности. Использование всей информации в человеческой речи обеспечивает эффективное средство аутентификации, которое работает во время телефонного или видеозвонка.

Голос стал популярной формой проверки в финансовых учреждениях, но он подвержен фоновому шуму, может быть подслушан и может быть подделан с помощью записи или дипфейка.

  1. SMS-одноразовые пароли

SMS-одноразовые коды доступа (OTP) – это уникальные коды, основанные на времени, которые отправляются на номер телефона, привязанный к учетной записи пользователя. OTP доказывают владение устройством/SIM-картой — то, что у вас есть , — потому что только один человек должен иметь доступ к своей SIM-карте и текстовым сообщениям.

Этот метод вызывает ряд проблем.

  1. SMS-коды могут  усложнить и добавить дополнительные шаги в процесс аутентификации.Если клиенты используют компьютер для выполнения онлайн-задачи и их просят найти свое мобильное устройство, чтобы получить SMS-код, это может быть неприятно и может привести к тому, что пользователь прекратит транзакцию и откажется от нее.
  2. SMS-коды небезопасны — их можно взломать и перенаправить. Устройства также часто теряются, воруются и передаются в общий доступ. OTP настолько безопасны, насколько безопасно устройство, на которое они отправляются.
  3. SMS-коды — это внутриполосная аутентификация, которая обеспечивает меньшую безопасность, чем вы могли бы ожидать . Если пользователь покупает что-то через мобильное приложение, а поставщик приложения отправляет SMS-код на это мобильное устройство для подтверждения покупки, SMS-код фактически не обеспечивает никакой дополнительной безопасности — код отправляется на то же устройство и , поэтому «внутриполосный». Если устройство было скомпрометировано, OTP бесполезен. Аутентификация по лицу iProov — это вне диапазона : предполагается, что устройство было скомпрометировано, поэтому аутентификация обрабатывается безопасно и конфиденциально в облаке.Даже если злоумышленник имел полный доступ к чужому устройству, процесс аутентификации остается безопасным.
  4. Пароли

Пароли распространены повсеместно, и метод аутентификации нам наиболее знаком. Но они не безопасны. Их часто забывают, крадут, теряют или делят. Кроме того, наше исследование показало, что потребители все больше разочаровываются в паролях, из-за чего они бросают свои корзины, когда забывают их.

Пароли и аутентификация на основе знаний в целом имеют фатальный недостаток: чем надежнее вы их делаете, тем менее они доступны для пользователей.Пароли, которые мошенники не могут угадать или взломать, людям сложнее запомнить. И по мере того, как мы создаем все больше и больше учетных записей, становится все труднее запомнить их все. Другие векторы угроз, такие как атаки методом грубой силы и подмена учетных данных, также вызывают серьезную озабоченность.

Наше предыдущее исследование также показало, что более 50 % пользователей отказались от покупок, потому что они забыли свой пароль, а его получение заняло слишком много времени, так что здесь явное коммерческое наказание.

Это повсеместное распространение делает пароли обычным выбором для аутентификации.Но правда в том, что пароли лучше использовать в сочетании с другими, более безопасными и простыми методами, такими как аутентификация по лицу. Эти приложения включают многофакторную аутентификацию и пошаговую аутентификацию. Однако одна надежная аутентификация лучше двух слабых.

iProov использует биометрические данные лица для безопасной и всеобъемлющей аутентификации пользователей

Здесь, в iProov, мы предоставляем биометрическую проверку лица некоторым из самых безопасных организаций в мире, чтобы они могли аутентифицировать онлайн-пользователей.

Потребители предпочитают методы, которые не усложняют их услуги, транзакции и учетные записи. Таким образом, мы устранили сложность, сохранив при этом безопасность национального уровня. Это позволяет подключать и аутентифицировать клиентов и пользователей с минимальным количеством шагов для пользователей.

Биометрическая аутентификация iProov обеспечивает:

  1. Гарантия подлинного присутствия: Чтобы обеспечить безопасную биометрическую аутентификацию лица, вы должны иметь возможность установить, что онлайн-пользователь является нужным человеком, реальным человеком, и что он проходит аутентификацию прямо сейчас.Гарантия подлинного присутствия выявляет атаки с цифровым внедрением, а также атаки с использованием артефактов и самозванцев.
  2. Облачная аутентификация: Облачные решения не полагаются на устройство пользователя для обеспечения безопасности и менее подвержены компрометации биометрической безопасности. Облачная аутентификация также обеспечивает непрерывный активный мониторинг угроз для постоянной оценки и реагирования на возникающие атаки.
  3. Возможности, не зависящие от устройства и платформы:  Пользователи должны иметь возможность беспрепятственно аутентифицировать себя на любом устройстве без необходимости использования специального оборудования или устройств.
  4. Удобный пользовательский интерфейс:  Аутентификация с iProov так же проста, как и просмотр камеры, обращенной к пользователю. Пользователям не нужно читать или следовать инструкциям или менять устройства, а пользовательский интерфейс является инклюзивным и доступным.

Вкратце

  • Потребность организаций во внедрении безопасной онлайн-аутентификации удаленных пользователей растет по мере роста киберпреступности и изменения правил
  • Существует множество доступных методов аутентификации, предлагающих различные подходы в трех категориях: что-то, что вы знаете, что-то, что у вас есть, что-то, чем вы являетесь
  • Важно решить, какой метод подходит для вашего варианта использования, принимая во внимание безопасность, удобство использования, удобство, уверенность, скорость выполнения и конфиденциальность.
  • Биометрия лица предлагает множество преимуществ по сравнению с другими методами. Скан лица можно сверить с доверенным документом, что позволяет надежно подтвердить личность пользователя. В частности, биометрическая технология лица iProov очень универсальна, поскольку ее можно использовать на любом устройстве с камерой, обращенной к пользователю.
  • Технология Genuine Presence Assurance от iProov обеспечивает аутентификацию по лицу с высочайшим уровнем безопасности, удобства, конфиденциальности и инклюзивности.

_____________________________________________________________________

iProov спонсирует фестиваль Future Identity Festival 2021, который пройдет 15 и 16 ноября в The Brewery London.

Различные типы методов аутентификации и технологий безопасности

Когда используется слово «технология», на ум сразу приходит фраза «аутентификация и безопасность». Аутентификация становится первым шагом в повышении безопасности, учитывая растущий спрос на нее. Основная задача аутентификации заключается в управлении идентификацией пользователей и предоставлении им надлежащего контроля доступа для бесперебойной работы и безопасности. Индивидуальная аутентификация не должна ограничиваться именами пользователей и паролями. Single Sign-On (SSO) , Multi-Factor Authentication (MFA) , Provisioning , Adaptive Authentication и другие инструменты управления идентификацией и доступом (IAM) расширяют возможности стандартной аутентификации.

 

Что такое аутентификация?

Аутентификация — это процесс идентификации пользователей, запрашивающих доступ к системе, сети, серверу, приложению, веб-сайту или устройству. Основная цель аутентификации — убедиться, что пользователь является тем, за кого себя выдает.Пользователь А, например, имеет доступ только к релевантной информации и не может видеть личную информацию пользователя Б. Неавторизованным пользователям запрещается доступ к конфиденциальным данным с помощью аутентификации пользователя. Аутентификация повышает безопасность, позволяя любому администратору организации управлять идентификацией и доступом отдельного пользователя. Базовая аутентификация, используемая для проверки личности и управления доступом, — это имя пользователя и пароль, а также различных методов аутентификации , которые мы рассмотрим в дальнейшем.

 

Почему важна аутентификация пользователя?

В современном мире нет организации, системы, сети, веб-сайта или сервера, для которых не требуется какая-либо форма аутентификации. В противном случае они подвергают себя риску атак, которые могут привести как минимум к незаконному присвоению их ресурсов и конфиденциальных данных. Единственная ошибка может подвергнуть данные вашей организации киберпреступникам, поскольку они всегда подготовлены с использованием различных кибероружий, таких как (фишинг, утечка данных, спуфинг и т. д.).Когда ваша система аутентификации не на должном уровне, они могут быстро получить доступ и украсть информацию. Несколько последних крупных атак приведут вас к выводу, что независимо от того, являетесь ли вы небольшим бизнесом или крупной корпорацией, аутентификация с использованием лучших методов безопасности является обязательным условием для стабильной работы в этой технологической среде.

 

Различные типы аутентификации:

Когда дело доходит до аутентификации и безопасности, существует огромное количество различных вариантов аутентификации на выбор.Перед принятием или выбором любого из методов аутентификации для сотрудников или конечных пользователей вашей организации вы должны знать о нескольких ключевых факторах, которые помогут вам выбрать наиболее подходящий для вас метод аутентификации:

  1. Возможности безопасности этого метода аутентификации
  2. Интерфейс удобства использования

Давайте подробнее рассмотрим множество доступных методов аутентификации:

 

 

1.Логин на основе пароля:

Наиболее часто используемая система аутентификации при обычном входе в систему, которую вы будете использовать ежедневно при использовании онлайн-сервиса, — это вход на основе пароля. При использовании метода проверки подлинности на основе пароля необходимо ввести комбинацию имени пользователя/номера мобильного телефона и пароля. Лицо авторизовано только тогда, когда оба эти элемента были проверены. Однако, поскольку современные клиенты используют несколько онлайн-сервисов (приложений и веб-сайтов), сложно отслеживать все их имена пользователей и пароли.В результате конечные пользователи ведут себя неэтично, например забывают пароли, используют один и тот же пароль для нескольких служб и т. д. Киберпреступники входят в этот момент и начинают такие действия, как фишинг, утечка данных и так далее. Это основная причина, по которой стандартная аутентификация на основе пароля теряет популярность, и все больше организаций обращаются к расширенным дополнительным факторам аутентификации безопасности.

 

2. Многофакторная аутентификация:

Многофакторная аутентификация (MFA) — это метод аутентификации, при котором человек должен пройти несколько факторов, чтобы получить доступ к услуге или сети.Это дополнительный уровень безопасности поверх стандартного входа на основе пароля. Физические лица также должны предоставить второй фактор в виде одноразового кода, который они получат по телефону или электронной почте в дополнение к своему имени пользователя и паролю.

Вы можете быстро настроить несколько методов многофакторной аутентификации (MFA), чтобы обеспечить дополнительный уровень безопасности для ваших ресурсов. OTP/TOTP через SMS, OTP/TOTP по электронной почте, push-уведомление, аппаратный токен и мобильный аутентификатор — все это примеры методов MFA (Google, Microsoft, Authy и т. д.).Вы можете выбрать любой из методов MFA и внедрить их для обеспечения безопасности организации в соответствии с вашими потребностями и требованиями. После традиционного входа на основе пароля многофакторная аутентификация является наиболее надежным механизмом аутентификации. Для повышения безопасности обычно одновременно используются традиционная аутентификация на основе пароля и методы многофакторной аутентификации.

 

3. Биометрическая аутентификация:

Индивидуальные физические атрибуты, такие как отпечатки пальцев, ладони, сетчатка, голос, лицо и распознавание голоса, используются в биометрической аутентификации.Биометрическая аутентификация работает следующим образом: сначала физические характеристики людей сохраняются в базе данных. Физические характеристики людей проверяются по данным, содержащимся в базе данных, всякий раз, когда пользователь хочет получить доступ к любому устройству или физически войти в какое-либо помещение (организация, школа, колледжи, рабочее место). Технология биометрической аутентификации в основном используется частными организациями, аэропортами и пограничными пунктами, где безопасность является главным приоритетом. Благодаря своей способности обеспечивать высокий уровень безопасности и удобный для пользователя поток без трения, биометрия является одной из наиболее часто используемых технологий безопасности.Среди наиболее распространенных методов биометрической аутентификации:

1. Отпечаток пальца: Чтобы разрешить доступ, аутентификация по отпечатку пальца соответствует уникальному шаблону отпечатка пальца. В некоторых передовых системах аутентификации по отпечаткам пальцев также определяется сосудистая структура пальца. Поскольку это одна из самых удобных и точных биометрических систем, аутентификация по отпечатку пальца в настоящее время является наиболее распространенной биометрической технологией для обычных клиентов. Популярность биометрии может быть связана с тем, что вы регулярно используете свои мобильные телефоны с отпечатками пальцев, а также с компаниями или учреждениями, которые используют аутентификацию по отпечаткам пальцев.

2. Сетчатка и радужная оболочка : Сканеры направляют сильный свет в глаз и ищут отличительные узоры в цветном кольце вокруг зрачка глаза в этом биометрическом параметре. После этого отсканированный рисунок сравнивается с данными, записанными в базу данных. Когда человек носит очки или контактные линзы, аутентификация по глазам может быть неточной.

3. Лицо: При аутентификации по лицу сканируются несколько аспектов лица человека, когда он пытается получить доступ к определенному ресурсу.При сравнении лиц с разных ракурсов или людей, которые выглядят одинаково, например членов семьи, результаты распознавания лиц могут быть противоречивыми.

4. Распознавание голоса: Тон вашего голоса сохраняется со стандартным секретным кодом так же, как и в вышеупомянутом подходе. Проверка происходит, потому что вы должны говорить каждый раз, когда вам нужен доступ.

 

4. Проверка подлинности на основе сертификата:

Аутентификация на основе сертификата идентифицирует людей, серверы, рабочие станции и устройства с помощью электронного цифрового удостоверения.В нашей повседневной жизни цифровой сертификат функционирует аналогично водительскому удостоверению или паспорту. Сертификат состоит из цифровой идентификации пользователя, которая содержит открытый ключ и цифровую подпись центра сертификации. Этот сертификат подтверждает, что открытый ключ и лицо, выдавшее сертификат, являются одним и тем же лицом. Когда пользователь пытается войти на сервер, он должен сначала предъявить свой цифровой сертификат. Сервер проверяет подлинность и достоверность цифрового сертификата, подтверждая, что у пользователя есть правильно связанный закрытый ключ с сертификатом с использованием криптографии.

 

5. Аутентификация на основе токенов:

Аутентификация на основе токенов

позволяет пользователям вводить свои учетные данные только один раз и получать взамен единственную в своем роде зашифрованную строку. После этого вам не придется вводить свои учетные данные каждый раз, когда вы хотите войти в систему или получить доступ. Цифровой токен гарантирует, что вам уже предоставлен доступ. В большинстве случаев использования, таких как Restful API, к которым обращаются многие платформы и клиенты, требуется аутентификация на основе токенов.

 

Чем вам помогут технологии miniOrange advanced Authentication?

По мере того, как мы будем больше узнавать о различных типах аутентификации, мы перейдем к некоторым передовым решениям аутентификации, которые miniOrange предлагает с «Все в одном подходе» . Это поможет вам управлять идентификацией и получить доступ к обоим с расширенными функциями безопасности.

 

Аутентификация единого входа (SSO):

Single Sign-On — это подмножество базовой аутентификации на основе имени пользователя и пароля.Использование SSO-аутентификации обеспечит повышенную безопасность и множество функций, обеспечивающих удобство для ваших конечных пользователей. Единый вход, как следует из названия, позволяет пользователям ввести свое имя пользователя и пароль один раз и получить доступ ко всем настроенным приложениям. Просто заявив, что у вас будет возможность настроить «N no apps» с помощью miniOrange, и вы можете установить один пароль для всех этих приложений. При этом вам не нужно запоминать несколько паролей для разных приложений, достаточно один раз войти в систему, и вы автоматически получите доступ ко всем приложениям.Преимущество этого будет заключаться в том, что пользователям нужно помнить только один пароль, они не забудут его и не напишут на каких-либо стикерах. Доступ к нескольким приложениям станет проще, что повысит эффективность и производительность. Со стороны администратора они будут получать меньше обращений в службу поддержки по поводу сброса пароля и проблем со входом в систему.

 

2-факторная аутентификация (двухфакторная аутентификация):

Как следует из названия, «двухфакторная аутентификация» требует, чтобы человек прошел две отдельные процедуры аутентификации, чтобы получить доступ к определенному ресурсу.Рассмотрим следующий сценарий: у вас есть веб-сайт/приложение/группа приложений, и вы хотите добавить к нему дополнительную защиту, чтобы предотвратить текущие кибератаки, такие как утечка данных, фишинг или использование клавиатурных шпионов. С miniOrange вы можете настроить любое приложение/веб-сайт, созданное на любой платформе, и включить двухфакторную аутентификацию для этого приложения. MiniOrange предлагает одноразовые пароли (OTP через SMS/электронную почту), push-уведомления, биометрические данные, средства аутентификации (Google, Microsoft, Authy), Yubikey и аппаратный токен, а также другие варианты двухфакторной аутентификации.Согласно одному из последних исследований безопасности, двухфакторная аутентификация может предотвратить 80 % утечек данных.

 

Адаптивная аутентификация:

Adaptive Authentication — это тип аутентификации, который адаптируется к обстоятельствам». Адаптивная аутентификация» представляет собой более продвинутый тип аутентификации 2FA/MFA. Вы можете аутентифицировать пользователей в зависимости от их «IP, устройства, местоположения, устройства и времени доступа» в этом разделе. Если включена аутентификация на основе IP и местоположения, после ввода имени пользователя и пароля адаптивная аутентификация проверит, совпадает ли IP-адрес пользователя с IP-адресом, используемым администратором, и находится ли он в месте, которому он был назначен.В случае несоблюдения ему будет отказано в доступе к ресурсам. Это один из самых передовых методов аутентификации, используемых предприятиями для обеспечения своей безопасности.

 

Аутентификация API:

В настоящее время API стал популярной моделью, поскольку он обрабатывает большие объемы данных и представляет собой новое измерение в мире онлайн-безопасности. Существует множество методов аутентификации API, самые популярные из них — HTTP Basic Auth, ключи API, OAuth.

 

Базовая аутентификация HTTP:

Чтобы доказать свою подлинность, пользовательский агент просто предлагает имя пользователя и пароль.Поскольку оно верит в сам заголовок HTTP, это решение не требует файлов cookie, идентификаторов сеансов или страниц входа.

 

Пароли API:

Ключ API — это уникальный идентификатор запросов веб-службы, который идентифицирует их источник (или аналогичные типы запросов). Когда пользователь впервые пытается получить разрешенный доступ к системе посредством регистрации, создается ключ. После этого ключ API связан с секретным токеном и отправляется с последующими запросами.Когда пользователь пытается повторно войти в систему, его уникальный ключ используется для проверки того, что это тот же человек, который ранее использовал систему.

 

OAuth:

OAuth — это популярный метод аутентификации API, который позволяет выполнять как аутентификацию, так и авторизацию. OAuth позволяет API аутентифицировать и получать доступ к запрошенной системе или ресурсу, устанавливая область действия.

 

Заключение

В сегодняшней быстро меняющейся технологической среде безопасность является наиболее важным компонентом, позволяющим выделиться среди конкурентов и обеспечить безупречный опыт для конечных потребителей.

Угроза вашей безопасности может иметь ряд негативных последствий для вашей компании, таких как фишинговые атаки и утечка данных. Чтобы избежать подобных проблем, вам следует выбрать систему аутентификации для вашей компании, которая соответствует вашему бюджету и обеспечивает беспрепятственный поток пользователей.

Добавить комментарий

Ваш адрес email не будет опубликован.