Что такое MFA: виды и типы, методы, примеры многофакторной аутентификации

MFA (multifactor authentication) – многофакторная аутентификация. Если просто, то это комплексная мера безопасности. Разные виды и типы MFA похожи друг на друга следующим: пользователь сайта, сервиса или более сложной системы должен пройти несколько этапов подтверждения подлинности, доказать, что является тем, за кого себя выдает.

Так, аутентификация – средство доказательства, подтверждения личности. При этом в многофакторном случае речь о концепции защиты, предполагающей наличие как минимум пары способов подтверждения.

Варианты многофакторной аутентификации, виды и типы

 

Примеры многофакторной аутентификации, то есть ее виды можно представить в виде классификации, основанной на четырех критериях. Они следующие:

1. Знание. В данном смысле один из компонентов аутентификации – нечто, что известно пользователю. Примером можно считать секретный вопрос, ответ на который известен конкретному человеку или ограниченному кругу лиц.
2. Владение. Здесь компонент MFA – что-либо, имеющее физическое воплощение. Это, скажем, пропуск с чипом, который сотрудник должен приложить к считывателю, чтобы попасть на работу.
3. Присутствие. Предполагается, что пользователь, помимо прочего, проходит дополнительные процедуры проверки. Это, скажем, сканирование отпечатков пальцев, сетчатки глаза.
4. Местонахождение. Некоторые приложения могут быть доступными для конкретного пользователя только при условии, что он находится в определенном месте.

Еще одна классификация основана на критерии «количество этапов проверки». Она включает следующие варианты:

• аутентификация на основе двух факторов. Это 2FA. Простой пример можно представить в качестве попытки входа на какой-либо сайт, когда требуется указание логина и пароля (знание), а также кода из SMS (владение SIM-картой и смартфоном);
• аутентификация на основе трех и более факторов. 3-, 4FA – лишь примеры. В продвинутых системах возможно использование от 5 факторных компонентов (одноразовый пароль, e-mail-токен, аппаратный ключ безопасности, биометрия, секретный вопрос и т. д.).

Практика применения MFA

Использование многофакторной аутентификации можно описать разными сценариями. Как и ранее, целесообразны примеры. Это:

• проверка банковской карты защитным устройством в банкомате с последующим введением PIN-кода владельцем;
• получение доступа к личному кабинету на сайте биржи посредством указания логина и пароля, а также одноразового кода из SMS.

Это лишь примеры. Перечень сценариев можно продолжать бесконечно. Более сложный вариант представлен ситуацией, когда сотрудник какой-либо секретной организации до начала рабочего дня проходит такую последовательность шагов:

• предоставление пропуска с чипом;
• проверка биометрических данных;
• ввод пароля на входе в закрытое рабочее помещение, скажем, в лабораторию.

Методы многофакторной аутентификации используются в web-среде, банковском деле, на предприятиях и в организациях, работающих с информацией, требующей обеспечения особой защиты. И это, как и ранее, лишь примеры. Сфер и областей жизнедеятельности человека, где MFA распространена, достаточно много. Соответствующий перечень в будущем будет только расширяться.

Уже сейчас многофакторная аутентификация активно применяется как индивидуальными пользователями, так и в массовом сценарии.

Как происходит внедрение многофакторной аутентификации

Конкретный сценарий внедрения зависит от уровня. Личный, массовый – примеры. Целесообразно рассмотреть их обособленно.

Личный уровень

Индивидуальное использование предполагает, скажем, что человек включил MFA на часто открываемых сайтах и в приложениях для защиты данных от вероятных злоумышленников. Здесь вести речь о внедрении нецелесообразно, потому что комплекс мер отсутствует. Все куда проще. Часто достаточно пары кликов мышью, чтобы обеспечить защищенность личных, платежных и других данных.

Массовый сценарий

Когда дело касается масштабного уровня, скажем, бизнеса, требующего защиты данных, все резко меняется. Обычно предприятия и организации пользуются специализированными решениями. Для чего требуется внешний сервис многофакторной аутентификации, каким бы он ни был, понятно: защита данных покупателей, пользователей услуг, проверка персонала и т. д. Это же справедливо и для внутренних вариантов.

Куда интереснее алгоритм внедрения. Вот примерные шаги:

1. Подготовка. На этом этапе необходимо выявить факторы, адекватные потребностям в части обеспечения безопасности. Также важно понять, какие ресурсы нужны для достижения требуемых целей. Эксперты рекомендуют выбирать минимум 2 факторных компонента из разных категорий.
2. Подбор решения. Есть множество готовых коробочных вариантов с открытым исходным кодом, а также с типовыми аппаратными средствами. Они подойдут, если требования к результату минимальны или являются средними. При условии, что необходим повышенный уровень безопасности, лучше поручить задачу внешнему профильному исполнителю.
3. Интеграция. Когда требуемая система разработана, наступает этап ее внедрения. Простым примером может считаться установка многофакторной аутентификации как программного обеспечения на удаленные серверы. В более сложном сценарии предполагается применение аппаратных средств, скажем, сканеров и не только.

На практике многое зависит от масштабов бизнеса или массового сервиса, от конечных целей использования MFA.

Что отличает многофакторную аутентификацию от верификации и идентификации

 

Термины «аутентификация», «идентификация» и «верификация» нередко смешиваются. Они могут употребляться в качестве тождественных слов, обозначающих одно и то же. Но это грубая ошибка.

Так, идентификация предполагает отождествление, проверку схожести по ряду признаков, а также уточнение соответствия ряду требований. Некоторые идентификаторы в данном контексте могут напоминать факторы аутентификации. Это, скажем, имя, номер телефона и т. д. Верификация – почти тождественный процесс. Она позволяет проверять, соответствует ли действительности предъявленная пользователем информация.

Ранее отмечено, что в случае с MFA все иначе. Предполагается процедура проверки подлинности. Варианты можно представить аутентификацией:

• контрольной суммы файла. Величина, заявленная автором, должна соответствовать значению, указываемому пользователем;
• электронного письма. В этом случае цифровая подпись проверяется посредством машинной обработки открытого ключа отправителя;
• пользователя. Введенные логин и пароль должны соответствовать данным, хранящимся в конкретной системе.

Видно, что есть определенная связь. И хотя верификация и идентификация отличаются от аутентификации, они образуют последовательный процесс, в который, помимо прочего, входит и непосредственная авторизация.

Так, скажем, при обращении к какому-либо сайту условная система в первую очередь обязана провести идентификацию пользователя, его верификацию. Речь о подтверждении личности. За этим следует аутентификация, направленная на проверку корректности первого процесса и подлинности его результатов. Уже после этого происходит авторизация, сопряженная с доступом конкретного лица к чему-либо, скажем, к удаленной файловой системе.

Минусы технологий MFA

Известные способы многофакторной аутентификации характеризуются не только плюсами. Объективные недостатки следующие:

• потребность в расходах по поводу внедрения и поддержания функционирования конкретной системы;
• утрата доступа к чему-либо при условии неполадок на стороне программной части или аппаратных средств. Сбой считывающих устройств, отключение сервера с пользовательскими идентификаторами – банальные примеры. Также вероятен риск подмены биометрического фактора при компрометации;
• низкая эффективность наиболее массовых методов, скажем, основанных на использовании электронной почты, SMS и звонков. Когда требования к уровню безопасности данных являются повышенными, разумно рассмотреть другие способы.

Заключение

Так, MFA – средство обеспечения безопасности данных. Аутентификация – неотъемлемый элемент последовательности, в которую входят идентификация, верификация и авторизация.

Соответствующие методы используются на личном и массовом уровнях. В первом случае речь о самостоятельной защите пользователя от вероятных инцидентов, во втором – о масштабных автоматизированных сервисах безопасности для крупного бизнеса, и не только.

Многофакторная аутентификация будет становиться все более востребованной и распространенной. Предполагается, что это приведет к развитию и совершенствованию известных технологий, что постепенно исключит имеющиеся недостатки.