Skip to content Skip to navigation Skip to footer

Что такое двухфакторная идентификация (2FA)?

Свяжитесь с нами

Двухфакторная идентификация, определение

Двухфакторная аутентификация (2FA) — это процесс обеспечения безопасности, который повышает вероятность того, что человек является тем, за кого себя выдает. Процесс требует, чтобы пользователи предоставили два различных фактора аутентификации, прежде чем они смогут получить доступ к приложению или системе, а не просто имя пользователя и пароль.

2FA (двухэтапная аутентификация — это жизненно важный инструмент безопасности для организаций, позволяющий защитить свои данные и пользователей в условиях кибербезопасности, характеризующихся увеличением количества все более изощренных кибератак. Компании любого размера должны поспевать за изощренностью злоумышленников и постоянно совершенствовать свои средства защиты, чтобы не допустить злоумышленников в свои сети и системы.

Чтобы ответить на вопрос что такое 2FA, хорошей отправной точкой является понимание, что это процесс, который позволяет организациям отказаться от использования только паролей для получения доступа к приложениям и веб-сайтам. 2FA делает именно то, о чем говорит: обеспечивает двухэтапную аутентификацию, которая добавляет еще один уровень безопасности для защиты бизнеса. 

Это затрудняет киберпреступникам кражу личных данных пользователей или доступ к их устройствам и учетным записям. Он также помогает организациям не допустить злоумышленников в свои системы, даже если пароль пользователя был украден. Этот процесс все чаще используется для предотвращения распространенных киберугроз, таких как фишинговые атаки, которые позволяют злоумышленникам подделывать личные данные после кражи паролей своих жертв.

Каковы факторы проверки подлинности?

Существует несколько типов факторов авторизации, которые могут быть использованы для подтверждения личности человека. Наиболее распространенными являются:

  1. Фактор знаний: это информация, которую знает пользователь и которая может включать пароль, персональный идентификационный номер (PIN) или код доступа.
  2. Фактор владения: это то, что есть у пользователя или чем он владеет, это могут быть водительские права, идентификационная карта, мобильное устройство или приложение-аутентификатор на смартфоне.
  3. Фактор наследования: это личный атрибут или то, что представляет собой пользователь, обычно это является каким-либо биометрическим параметром. К ним относятся считыватели отпечатков пальцев, распознавание лица и голоса, а также поведенческая биометрия, например динамика нажатия клавиш и отслеживание речевых моделей.
  4. Фактор местоположения: обычно это определяется местом, где пользователь пытается подтвердить свою личность. Организации могут ограничить попытки аутентификации для определенных устройств в определенных местоположениях в зависимости от того, как и где сотрудники входят в свои системы. 
  5. Фактор времени: этот фактор ограничивает запросы на аутентификацию определенным временем, когда пользователям разрешено войти в систему. Все попытки доступа за пределами этого времени будут заблокированы или ограничены. 

Как работает двухфакторная аутентификация?

Процесс двухфакторной аутентификации начинается, когда пользователь пытается войти в приложение, сервис или систему, до тех пор, пока ему не будет предоставлен доступ для его использования. Процесс проверки подлинности выглядит следующим образом:

  • Шаг 1. Пользователь открывает приложение или веб-сайт службы или системы, к которым он хочет получить доступ. Затем ему предлагается войти в систему, используя свои учетные данные. 
  • Шаг 2. Пользователь вводит свои учетные данные, которыми обычно являются его имя пользователя и пароль. Приложение или веб-сайт подтверждает данные и признает, что были введены правильные исходные данные для проверки подлинности. 
  • Шаг 3. Если приложение или веб-сайт не использует парольные учетные данные для входа в систему, то он генерирует ключ безопасности для пользователя. Ключ будет обработан средством двойной аутентификации, а сервер утвердит первоначальный запрос.
  • Шаг 4. Затем пользователю предлагается ввести второй фактор проверки подлинности. Обычно это фактор владения, который должен быть только у него. Например, приложение или веб-сайт отправят уникальный код на мобильное устройство пользователя.
  • Шаг 5. Пользователь вводит код в приложение или на сайт, и если код одобрен, он проходит аутентификацию и получает доступ к системе.

Некоторые распространенные типы 2FA

Существует несколько типов 2FA, которые можно использовать для дополнительного подтверждения того, что пользователь является тем, за кого себя выдает. Некоторые из наиболее простых примеров включают ответы на контрольные вопросы и предоставление одноразовых кодов. Другие используют различные типы токенов и приложений для смартфонов. К обычным типам 2FA относятся следующие:

Аппаратные токены для 2FA

Аппаратные токены являются одним из начальных типов форматов 2FA. Как правило, это небольшие устройства-брелоки, которые генерируют уникальный цифровой код каждые 30 секунд. Когда пользователь отправляет свой первый запрос на аутентификацию, он может посмотреть на брелок и ввести код, который тот показывает. Другие формы аппаратных токенов включают универсальные устройства с последовательной шиной (USB), которые при установке в компьютер автоматически передают код аутентификации.

Примером может служить YubiKey, что является сокращением от ubiquitous key, ключ безопасности, который позволяет пользователям добавлять второй фактор аутентификации в такие сервисы, как Amazon, Google, Microsoft и Salesforce. USB-устройство используется, когда пользователи подключаются к сервису, который поддерживает одноразовые пароли (OTP), например GitHub, Gmail или WordPress. Пользователь подключает YubiKey к USB-порту, вводит пароль, щелкает поле YubiKey и нажимает кнопку на устройстве. Устройство генерирует 44-символьный OTP и автоматически вводит его на устройстве пользователя для его верификации с помощью фактора владения 2FA.

Применение аппаратных токенов обычно дорого обходится организациям. Кроме того, они легко теряются пользователями и могут быть взломаны хакерами, что делает их небезопасным вариантом аутентификации.

Двухфакторная аутентификация с помощью текстовых сообщений и СМС

При двухфакторной аутентификации при попытке пользователя войти в приложение или систему генерируются текстовые сообщения 2FA и СМС. При этом на мобильное устройство будет отправлено СМС-сообщение, содержащее уникальный код, который пользователь вводит в приложении или системе. Этот тип двухфакторной аутентификации используется банками и финансовыми службами для проверки покупок или изменений, внесенных клиентами на их онлайн-банковские счета. Однако, как правило, они отходят от этой опции, учитывая простоту перехвата текстовых сообщений.

Аналогично СМС-фактору существует 2FA для голосовых вызовов. Когда пользователь вводит свои учетные данные, он получает вызов на свое мобильное устройство, который сообщает ему код 2FA, который необходимо ввести. Этот фактор используется реже, но применяется организациями в странах с низким уровнем распространенности смартфонов.

Push-уведомления для 2FA

Более распространенным форматом двухэтапной аутентификации без пароля являются push-уведомления. Вместо того чтобы получать код на своем мобильном устройстве через СМС или голосовую связь, которую можно взломать, пользователи могут получать push-уведомления в защищенное приложение на устройстве, зарегистрированном в системе аутентификации. Уведомление информирует пользователя о действии, которое было запрошено, и предупреждает его о предпринятой попытке аутентификации. Затем клиенты просто подтверждают или отклоняют запрос на доступ. 

Этот формат аутентификации создает связь между приложением или сервисом, к которому пытается получить доступ пользователь, поставщиком услуг 2FA, самим пользователем и его устройством. Она удобна в использовании и снижает вероятность возникновения таких рисков безопасности, как фишинг, атаки по принципу «человек в середине» (MITM), социальная инженерия и попытки несанкционированного доступа.

Этот формат аутентификации более безопасен, чем СМС-сообщения или голосовые звонки, но все еще несет в себе риски. Например, пользователю легко случайно подтвердить запрос на проверку подлинности, который был мошеннически запрошен, нажав кнопку «Одобрить» при появлении push-уведомления.

2FA для мобильных устройств

Смартфоны предлагают множество возможностей для двухфакторной аутентификации, давая компаниям возможность использовать то, что подходит им лучше всего. Некоторые устройства способны распознавать отпечатки пальцев. Для распознавания лиц или сканирования радужной оболочки глаза можно использовать встроенную камеру смартфона, а для распознавания голоса — микрофон. Смартфоны, оснащенные глобальной системой позиционирования (GPS), могут проверять местоположение как дополнительный фактор. Голосовые сообщения или СМС также могут использоваться для аутентификации по внешнему каналу.

Доверенный номер телефона можно использовать для получения подтверждающих кодов в виде текстового сообщения или автоматического телефонного звонка. Чтобы зарегистрироваться в 2FA, пользователь должен подтвердить хотя бы один доверенный номер телефона. Все приложения Apple iOS, Google Android и Windows 10 поддерживают двухфакторную аутентификацию, что позволяет самому телефону выполнять функции физического устройства, удовлетворяющего фактор владения. 

Компания Duo Security из города Анн-Арбор, штат Мичиган, которая была приобретена компанией Cisco в 2018 году за 2,35 миллиарда долларов, является поставщиком платформы 2FA, чей продукт позволяет клиентам использовать свои доверенные устройства для 2FA. Платформа Duo сначала устанавливает, что пользователю доверяют, а затем проверяет, что конкретному мобильному устройству также можно доверять для аутентификации пользователя.

Приложения для проверки подлинности заменяют необходимость получения проверочного кода посредством текста, голосового вызова или электронной почты. Например, для доступа к веб-сайту или веб-службе, которая поддерживает Google Authenticator, пользователи вводят свое имя пользователя и пароль — фактор знаний. Пользователям будет предложено ввести шестизначный номер. Вместо того чтобы ждать несколько секунд для получения текстового сообщения от пользователей, аутентификатор генерирует номер за них. Эти числа меняются каждые 30 секунд и различаются при каждом входе в систему. Введя правильный номер, пользователи завершают процесс проверки и доказывают, что они владеют нужным устройством — фактор владения.

Сравнение многофакторной и двухфакторной аутентификации (MFA и 2FA)

2FA — это часть более широкой концепции многофакторной аутентификации (MFA). MFA требует от пользователей проверки нескольких факторов аутентификации до того, как им будет предоставлен доступ к сервису. Это основной элемент любого решения по управлению идентификацией и доступом (IAM), который снижает вероятность утечки данных или кибератаки, обеспечивая повышенную уверенность в том, что пользователь является тем, за кого себя выдает.

Основное различие между 2FA и MFA состоит в том, что 2FA требует только одной дополнительной формы аутентификации. MFA, с другой стороны, может включать использование стольких факторов аутентификации, сколько требуется приложению, прежде чем будет установлено, что пользователь является тем, за кого себя выдает.

Это связано с тем, что злоумышленник может взломать фактор аутентификации, например идентификационную карту или пароль сотрудника. В результате компаниям следует добавить дополнительные факторы аутентификации, которые усложняют задачу хакера. Например, в высокозащищенных средах часто требуется более высокий уровень MFA-процессов, включающих сочетание физических факторов и факторов знаний, а также биометрическую аутентификацию. Часто они также учитывают такие факторы, как геолокация, используемое устройство, время доступа к сервису и постоянная проверка поведения.

Ключевым моментом в любом процессе аутентификации является нахождение золотой середины между системой, которую конечные пользователи считают простой в использовании, и уровнем безопасности, который необходим предприятию для защиты своих данных и систем. Сотрудники не хотят, чтобы их сдерживало медленное и ненадежное средство аутентификации, и неизбежно будут пытаться обойти громоздкие процессы, которые мешают им выполнять работу. 

Является ли 2FA безопасным?

Требование многофакторной аутентификации перед предоставлением пользователю доступа к приложению или веб-сайту по своей сути является более безопасным, чем использование только комбинации имени пользователя и пароля. Таким образом, 2FA более безопасен, чем просто требование ввода пользователем одного пароля. По той же логике MFA можно считать более безопасным, чем 2FA, поскольку он позволяет организациям просить пользователей предоставить больше факторов аутентификации.

Однако в уровнях безопасности 2FA есть недостатки. Например, использование аппаратных токенов может сделать организацию уязвимой в случае, если производитель устройства допустит ошибку в системе безопасности. Это произошло, когда фирма по безопасности RSA столкнулась с утечкой данных в результате взлома токена аутентификации SecurID в 2011 году.

Другие факторы аутентификации также имеют свои недостатки. Двухфакторная аутентификация через СМС – дешевый и простой метод в использовании для сотрудников, но уязвимый для кибератак. Национальный институт стандартов и технологий (NIST) не рекомендует использовать СМС для 2FA, утверждая, что это уязвимо для атак на различных платформах и вредоносного ПО.

Несмотря на это, большинство хакерских атак происходят из удаленных мест, что делает 2FA относительно полезным инструментом для защиты бизнеса. Как правило, она предотвращает получение злоумышленниками доступа к приложению или системе с помощью украденных учетных данных пользователя и паролей. Также маловероятно, что злоумышленник сможет получить доступ ко второму элементу аутентификации пользователя, особенно если речь идет о биометрических факторах.

Решение Fortinet для двухфакторной аутентификации и управления доступом к идентификационным данным

Предприятия все чаще управляют средами идентификации, состоящими из нескольких систем, включающих облачные приложения, службы каталогов, сетевые устройства и серверы. Они быстро превращаются в чрезвычайно сложную административную задачу, которая в конечном итоге приводит к снижению комфортности работы пользователей, путанице с разработчиками приложений и кошмару для администраторов. В результате предприятия становятся уязвимыми к утечке данных из-за уязвимости кода, несоответствующего уровня доступа пользователей и плохого управления обновлениями программного обеспечения. 

Решение Fortinet для управления идентификацией и доступом  предоставляет организациям услуги, необходимые для безопасного подтверждения и управления идентификационными данными пользователей и устройств в их сетях. Надежное решение позволяет предприятиям взять под контроль идентификацию пользователей и обеспечить им доступ только к тем системам и ресурсам, которые им необходимы.

Решение Fortinet IAM состоит из трех основных компонентов:

  1. FortiAuthenticator: решение FortiAuthenticator обеспечивает защиту от несанкционированного доступа к корпоративным ресурсам, предоставляя централизованные услуги аутентификации для Fortinet Security Fabric, включая услуги единого входа, управление сертификатами и управление гостевым доступом.
  2. FortiToken: этот компонент обеспечивает дополнительное подтверждение личности пользователя, предоставляя второй фактор аутентификации. Для этого используются мобильные приложения и физические токены.
  3. FortiToken Cloud: это решение предоставляет MFA как услугу и поставляется с интуитивно понятной приборной панелью, которая позволяет организациям управлять своим решением MFA.

Эти три компонента в совокупности решают проблемы IAM, с которыми сталкиваются организации при управлении большим количеством сотрудников, запрашивающих доступ к своим системам с растущего числа устройств.

Ответы на вопросы

Что означает 2FA?

2FA означает двухфакторную аутентификацию, которая представляет собой процесс обеспечения безопасности, позволяющий организациям повысить безопасность своих приложений, систем и веб-сайтов.

Что означает двухфакторная аутентификация?

Двухфакторная аутентификация означает, что пользователь должен представить два фактора аутентификации, которые подтверждают, что он является тем, за кого себя выдает. Он используется при входе пользователя в приложение или систему, добавляя еще один уровень безопасности по сравнению с простым входом в систему с именем пользователя и паролем, которые могут быть легко взломаны или украдены.

Можно ли взломать двухфакторную аутентификацию?

Процессы двухфакторной аутентификации могут быть взломаны. 2FA-инструменты, такие как аппаратные токены, могут быть взломаны, а СМС-сообщения могут быть перехвачены злоумышленниками. Однако 2FA — это более безопасный процесс входа в систему, чем использование только паролей.

Что представляет собой многофакторная проверка подлинности?

Многофакторная аутентификация — это процесс обеспечения безопасности, который позволяет использовать несколько факторов аутентификации для подтверждения того, что пользователь является тем, за кого себя выдает. MFA означает использование более одного фактора аутентификации для получения пользователем доступа к своей учетной записи.