Безопасность корпоративной учетной записи
Узнать большеЗлоумышленники регулярно пытаются атаковать пользовательские аккаунты, поэтому помимо надежного логина и пароля следует предусмотреть дополнительные меры защиты. Высокую эффективность показывает двухфакторная аутентификация. Рассказываем, зачем и где она используется, как работает.
Что такое двухфакторная аутентификация
Двухфакторная аутентификация — способ распознавания пользователя в два этапа. При входе в сервис поступит запрос на ввод разноплановых сведений, с помощью которых пользователь сможет подтвердить свою принадлежность к аккаунту.
Принцип защиты базируется на формуле «то, что знает пользователь» + «то, что у него есть» или «то, что для него характерно». Например, работник владеет паролем/логином и может использовать мобильное устройство для получения SMS-кода или подтвердить вход сканированием отпечатка пальца. Точная схема зависит от назначенных системой требований.
Пример, как двухфакторная аутентификация с подтверждением по СМС или электронной почте защищает данные:
-
При входе в аккаунт пользователь вводит пароль и логин.
-
Если с учетными данными все в порядке, сервис затребует код, который приходит на электронный ящик или в СМС-сообщении.
-
Если пользователь ввел корректный код, он попадает в аккаунт. Если нет — в доступе будет отказано.
Иногда вместо кода ресурсы запрашивают USB-ключи или биометрические данные владельца аккаунта. Такая защита в основном предусмотрена для личных кабинетов на специализированных серьезных сервисах.
Виды двухфакторной идентификации
Самые популярные варианты дополнительной проверки перед входом в аккаунт — SMS-сообщения, письма на электронную почту, USB-ключи. Еще двухфакторная аутентификация поможет защитить данные с помощью смарт-карт, которые применяются для доступа к специфическим ресурсам и сетям VPN.
Более редкие виды двухфакторной проверки:
-
Генераторы кодов — устройства с экраном и кнопкой.
-
SecurID — технология, подразумевающая запрос логина и кодовой фразы вместо привычной входной пары.
-
TAN-пароли — заранее сгенерированные коды, которые нужно последовательно вводить при подтверждении операции.
Первые два метода чаще применяются в корпоративной среде. Третий — в банковской структуре. Некоторые финансовые организации выдают клиентам список одноразовых кодов для доступа в интернет-банкинг. Также их нужно вводить для подтверждения всех операций.
Вторичным этапом защиты аккаунтов иногда выступает биометрический метод идентификации. Что дает такая двухфакторная аутентификация? Она подтверждает, что в систему входит именно владелец аккаунта. Какие-то сервисы сканируют отпечатки пальцев, другие считывают сердцебиение и даже глаза пользователя. Последние системы пока крайне редко встречаются в России, однако перечень современных способов обеспечения безопасности стремительно расширяется.
Иногда пользователи сталкиваются с проблемами при прохождении аутентификации. Например, под рукой не оказывается второго устройства, куда может прийти SMS. Некоторые ресурсы предусматривают такие ситуации и предлагают альтернативные способы аутентификации. В отдельных случаях приходится обращаться в службу поддержки и доказывать свою принадлежность к аккаунту.
Преимущества и недостатки двухфакторной аутентификации
Двухэтапная защита станет препятствием для несанкционированного входа в аккаунт. Конечно, нельзя на 100% гарантировать, что план злоумышленников по взлому провалится. Роль сыграет также надежность логина и пароля. К сожалению, многие используют короткие и простые учетные данные, которые легко подобрать. И все же благодаря двухфакторной аутентификации инцидентов становится в разы меньше, ведь для взлома злоумышленникам как минимум придется сначала получить доступ к почте или телефону жертвы.
Помимо того, что двухфакторная аутентификация поможет защитить данные, она станет индикатором попытки взлома. Например, вы не собирались входить в аккаунт, но получили сообщение с кодом. Это почти всегда означает угрозу несанкционированного доступа. В таком случае вы успеете поменять ненадежный пароль.
Двухэтапная проверка вписывается в концепцию многофакторной аутентификации. Да, она не предусматривает дополнительных факторов защиты — таких, как отслеживание геолокации, IP-адреса, времени суток, типа устройства, с которого совершается вход. Однако ее вполне достаточно для обеспечения безопасности, если речь не идет о доступе к критически важным узлам информационной инфраструктуры.
Где работает двухфакторная аутентификация
Многие сервисы предлагают подключить такую процедуру, однако не везде это целесообразно. Например, в аккаунте на развлекательном портале вряд ли хранятся важные данные, поэтому нет смысла тратить время на лишние действия. А вот соцсети, рабочие ресурсы, интернет-банкинги и почтовые ящики однозначно стоит защитить.
Разработчики сервисов обычно указывают, как двухфакторная аутентификация поможет защитить ваши данные и предлагают подключить эту опцию. Например, Apple и все популярные социальные сети предусматривают раздел в настройках, где есть функция активации дополнительной защиты. Вы можете проигнорировать ее, однако в таком случае не будет никаких гарантий сохранности личных данных.
Если у вас имеется собственный сайт, тоже есть смысл включить двухфакторную защиту. Практически все известные платформы предлагают эту опцию.
Внедрение средств дополнительной защиты учетных данных
Мы разобрались, что такое двухфакторная аутентификация. Осталось только внедрить новый алгоритм проверки и обеспечить централизованное управление учетными записями. В этом поможет IDM-система Solar inRights. которая позволяет контролировать отдельные идентификационные данные и в целом процедуру аутентификации.
Ее преимущества:
-
Подходит любым организациям, в том числе и с масштабной информационной инфраструктурой.
-
Помогает контролировать исполнение регламентов и автоматизирует управление доступом.
-
Играет важную роль в расследовании кибератак на информационную инфраструктуру компании.
-
Помогает быстро собрать данные для аудита.
-
Адаптируется под нужды конкретных организаций.
Обобщаем — двухфакторная аутентификация подразумевает двойную проверку перед входом в аккаунт. То есть вы должны будете ввести известные вам ключи (пароль и логин), а также подтвердить действие с помощью доступного вам устройства (или дополнительной информации). Оптимизировать процессы управления входом поможет надежный инструмент Solar inRights. Система соответствует требованиям ФСТЭК и является эффективным представителем отечественного ПО.
