Что такое многофакторная аутентификация MFA, варианты реализации и критерии выбора решения

- КиТ :: Будь в СЕТИ!

Многофакторная аутентификация (МФА) - это метод контроля доступа к какому-либо ресурсу или программному обеспечению, при котором пользователю необходимо предъявить несколько реквизитов, подтверждающих его право на доступ. Этим она отличается от однофакторной аутентификации, когда доступ предоставляется по одному реквизиту, например, связке логин-пароль.

MFA является обобщающим понятием для таких терминов как 2FA и 3FA - двухфакторной и трехфакторной аутентификации соответственно.

Причины появления

Причиной появления многофакторной аутентификации стал резкий рост числа киберпреступлений и взломов аккаунтов путем кражи или подбора пароля. Зная логин человека и тем или иным способом узнав его пароль, злоумышленник получал неограниченный доступ к ресурсу.

Еще одной проблемой является тот факт, что у многих пользователей на разные сервисы установлена одна и та же связка логин-пароль. Таким образом, подобрав эту пару для одного сервиса, злоумышленник мог попробовать применить ее на других сервисах и получить доступ к ним с гораздо большей долей вероятности, нежели подбирая пароль методом перебора.

В корпоративной среде одной из причин внедрения MFA стал тренд на удаленную работу, вызванную пандемией. Доступ из-за пределов контролируемого периметра к корпоративным системам - электронной почте, CRM и ERP-системам и другому ПО - потребовал усиление функции аутентификации по логину и паролю.

3 фактора аутентификации

  1. Фактор знания.
  2. Фактор владения.
  3. Фактор свойства.

Фактор знания

С его помощью пользователь может подтвердить, что он владеет каким-либо знанием, ранее заведенным в систему. Наибольшее распространение получили, собственно, пароли, а также кодовые слова, ответы на секретные вопросы, личные идентификационные номера PIN для банковских карт и приложений, Seed-фразы для криптокошельков и т.д.

Эти варианты защиты просты в реализации, но считаются наименее эффективными с точки зрения реальной защиты. Многие из них достаточно легко узнаются или вычисляются. Кроме того, невозможно отследить, чтобы для разных сервисов были придуманы разные пароли/ответы.

Фактор владения

Идентификация человека по фактору владения предполагает наличие у него некоторого предмета, который подтверждает право этого человека на доступ. Таким предметом может быть ключ, токен, чип, печать и т.д.

Современный способ реализации фактора владения - подтверждение входа на одном устройстве с помощью другого устройства, например, мобильного телефона. Тем самым проверяется фактор владения другим устройством с выполненным входом.

Реализация аутентификации с использованием фактора владения сложнее, чем в случае фактора знания, но и злоумышленникам получить доступ к такой системе гораздо сложнее.

Фактор свойства

Самым распространенным примером фактора свойства являются биометрические данные человека. Они неповторимы, а современные устройства научились считывать и анализировать их за доли секунды. Именно на этом принципе основана разблокировка телефона по отпечатку пальца или лицу, вход в метро по биометрике и другие решения.

Такие системы наиболее сложны в реализации и связаны с хранением персональных данных, но обладают наибольшей защищенностью, особенно вкупе с другими средствами аутентификации.

Каждый из указанных факторов хоть и обеспечивает определенный уровень защиты, но сильно уступает варианту с использованием комбинации этих факторов.

Преимущества MFA с одноразовыми паролями

Одним из наиболее популярных видов аутентификации стала MFA с одноразовыми паролями, которые могут быть сформированы в приложении на телефоне, отправлены пользователю посредством SMS, push-сообщений, мессенджеров, звонка или писем на электронную почту. Аутентификация на базе одноразовых паролей хорошо зарекомендовала себя во время пандемии. Обусловлено это было следующими факторами:

Варианты реализации MFA с одноразовыми паролями

Оптимальным вариантом является случай, когда заказчик вправе выбрать «расположение» решения без потери функциональности. То есть исходя из внутренних потребностей, политик безопасности, заказчик определяет, какой из вариантов более всего подходит для него.

Изначально «аутентификация как сервис» не пользовалась большим спросом среди российских заказчиков, однако с развитием облачных технологий (и не только в сфере информационной безопасности) такой вариант исполнения стал все более и более востребованным. Он может быть расширен за счет локальной инсталляции продукта для собственных нужд и предоставления его «как сервиса» дочерним организациям или филиальным подразделениям.

Наибольшего внимания заслуживает второй пункт. Дело в том, что средства защиты постоянно модифицируются и усложняются. Держать собственный штат специалистов по ИТ-безопасности подавляющему большинству компаний нерентабельно, а постоянное обновление коробочного ПО также требует определенных компетенций.

Облачные MFA-сервисы избавлены от этих недостатков и характеризуются низкой стоимостью, бесшовным обновлением и сопровождением проекта со стороны вендора или внутренних подразделений в случае предоставления сервиса из частного облака.

Примером облачного MFA-решения является Secure Authentication Server (SAS) - программное обеспечение для аутентификации по одноразовым паролям, разработанное компанией MFASOFT. Архитектура приложения позволяет развернуть его как в публичном, так и в частном облаке. В первом случае сервис предоставляется конечным заказчикам по подписке, во втором появляется возможность использовать его для собственных нужд.

MFA SAS применяется в централизованных решениях для защиты доступа к различным устройствам и приложениям, например, для безопасного входа в операционные системы и веб-приложения, удаленного подключения к сети организации, администрирования и т.д.

MFA SAS применяется в централизованных решениях для защиты доступа к различным устройствам и приложениям, например, для безопасного входа в операционные системы и веб-приложения, удаленного подключения к сети организации, администрирования и т.д.

Ключевой функцией решения является возможность создавать независимые виртуальные сервера на одной инсталляции продукта. Это позволяет подготовить сервер аутентификации к работе за несколько минут, обеспечив при этом безопасную интеграцию как с источником данных пользователей, так и с конечными сервисами внутри контролируемого периметра (агенты синхронизации и интеграции устанавливаются в рамках контролируемого периметра).

Критерии выбора MFA-решения

Вопросы импортозамещения

  1. Вхождение в реестр отечественного ПО.
  2. Локализация в РФ.
  3. Соблюдение требований российского законодательства.
  4. Отсутствие зависимости от санкционных продуктов.
  5. Поддержка на русском языке.
  6. Возможность кастомизации для крупного бизнеса.

Продукт российского производства обладает огромными преимуществами по сравнению с ушедшими западными, и это не только вопрос функциональности. Дело в том, что такое решение является предметом собственной разработки. Это позволяет развивать его в соответствии с требованием российского рынка, российского законодательства в сфере ИБ, проводить сертификационные испытания по высокому уровню доверия.

Что касается функционала, то в случае западного продукта пользователь использовал, как правило, около 20% его возможностей, а оплачивал все 100%. Резонно возникает вопрос: а стоит ли оплачивать остальные 80% функций или лучше внедрить решение, наиболее более точно отвечающее потребностям бизнеса? Кстати, такой переход позволяет упростить и эксплуатацию системы в целом.

Компетенции вендора

Уход западных вендоров в 2022 г. спровоцировал рост спроса на отечественные решения. Однако последние к этому моменту еще не имели завершенный продукт с накопленным опытом эксплуатации и налаженной обратной связью. В большинстве случаев на рынок выходили «сырые» версии, дорабатываемые разработчиками уже в процессе эксплуатации на «живых» системах заказчика.

Несколько иначе ситуация обстоит с MFA Secure Authentication Server от MFASOFT. Дело в том, что ключевые сотрудники компании являются выходцами из дистрибьютора Thales, который, в свою очередь, является одним из мировых лидеров в области аутентификации. Таким образом, MFA Secure Authentication Server изначально опережает конкурентов по ряду параметров. Ключевыми из них являются:

  1. Мультиарендность - возможность создания автономного виртуального сервера аутентификации на одной инсталляции продукта. Это позволяет повторить логическую структуру компании (виртуальный сервер выделяется для конкретной группы или подразделения компании) и подключить дочерние компании или удаленные офисы к центральному серверу аутентификации.
  2. Автоматизация процессов - возможность автоматизировать типовые задачи при работе с решением. Сюда относятся функции автоматического назначения и отзыва аутентификаторов, автоматической периодической синхронизации пользователей из внешних источников с необходимыми атрибутами, а также автоматическое формирование и рассылка отчетов аудита.
  3. Перенос типовых задач на сторону пользователя для снижения нагрузки на ИТ-подразделение и службу технической поддержки.

Адаптация под заказчика и другие факторы

Немаловажный вопрос - набор генераторов одноразовых паролей и механизмы их доставки. Чем больше их количество, тем проще определить наиболее безопасный и удобный аутентификатор, исключив возможность блокировки входа в случае утраты одного из генераторов.

ПодпискаБудь в СЕТИ! Новости социальных сетей - всегда актуальное
 
Группы: ВК | OK | Tg