Интеграция IdM с другими системами ИБ
Узнать большеЧтобы препятствовать несанкционированному использованию конфиденциальных данных, необходимо применять различные методы защиты, один из которых — аутентификация. Это проверка, позволяющая системе убедиться, что прошедший идентификацию пользователь действительно тот, кем представляется. Аутентификация бывает однофакторной, двухфакторной (2FA) и многофакторной (MFA). Как можно понять из названий, различие при прохождении процедуры заключается в количестве факторов, используемых для проверки личности пользователя. Чаще всего применяется двухфакторная аутентификация, поскольку ее, как правило, достаточно, чтобы подтвердить права на аккаунт и пресечь несанкционированный вход в систему (приложение, программу и т.д). В статье рассказываем, что это за процедура и в чем ее особенности, какие факторы используются для проверки.
Что такое двухфакторная аутентификация, зачем она нужна
Двухфакторная аутентификация подразумевает два этапа проверки пользователя. Первым этапом чаще всего выступает ввод пароля от учетной записи, затем следует предъявление второго фактора согласно преднастроенному алгоритму. Например, нужно ввести одноразовый код или предоставить электронный ключ. В ходе такой проверки комбинируются два фактора — то, что пользователь знает и то, чем он обладает или что для него характерно (биометрия). Пример фактора знания — пароль, фактора обладания — мобильный телефон, куда придет одноразовый код.
Двухфакторная аутентификация позволяет обеспечить надежную защиту аккаунтов и информации ограниченного доступа, поскольку злоумышленникам будет сложно предъявить два фактора. Именно поэтому такая проверка применяется там, где нужна повышенная безопасность, например, в корпоративной электронной почте, банковских и коммерческих системах. Если речь идет о доступе к критически важной информационной инфраструктуре, в некоторых случаях применяется многофакторная аутентификация.
Стоит отметить, что двухфакторная аутентификация не заменяет пароль — она его усиливает. Предпосылкой для ее внедрения стали проблемы с обеспечением должной парольной защиты. Современные технологии позволяют злоумышленникам достаточно легко завладеть паролями, даже если они сложные и надежно хранятся в зашифрованном виде. Тем более, сейчас распространен фишинг — атаки, основанные на приемах социальной инженерии. Мошенники с помощью манипуляций и обмана вынуждают жертв сообщать требуемые учетные данные. В таких случаях принятые компаниями меры безопасности не помогут, и при отсутствии как минимум двухфакторной аутентификации аккаунт попадет в руки злоумышленников.
Где используется двухфакторная аутентификация? Почти везде. Сейчас в большинстве систем, сервисов и приложений есть возможность подключить двухэтапную проверку принадлежности к аккаунтам. Для социальных приложений и сервисов соответствующую опцию можно выбрать в настройках безопасности, а для рабочих корпоративных ресурсов такая функция уже настроена по умолчанию.
Виды двухфакторной аутентификации
Можно выделить следующие виды двухфакторной аутентификации:
- Мобильная аутентификация, подразумевающая подтверждение идентификационной информации с помощью мобильного устройства.
- Аутентификация через специальные приложения, генерирующие одноразовые коды.
- Аутентификация с помощью аппаратных ключей безопасности, через USB, NFC или Bluetooth подключаемых к устройству, с которого осуществляется вход в аккаунт.
- Биометрическая аутентификация с помощью физиологических характеристик пользователя.
Выбор видов двухфакторной аутентификации осуществляется с учетом требований к уровню безопасности, специфики и возможностей защищаемых систем.
Методы двухфакторной аутентификации
Существует несколько методов дополнительной проверки на наличие доступа к аккаунту:
- SMS-сообщение на мобильный номер.
- Письмо с кодом на электронную почту.
- Голосовой вызов с указанием кода для ввода.
- Токен — ключ, закрепленный за конкретным пользователем.
- SecurID — запрос логина и кодовой фразы (так называемый passcode, состоящий из цифр).
- Запрос через специальное TOTP-приложение
- TAN-пароли — заранее сгенерированные коды, которые можно использовать в качестве второго фактора только один раз.
Самые распространенные методы двухфакторной аутентификации — это пароль плюс одноразовый код, направленный через SMS-сообщение, Push-уведомление и посредством звонка или на электронную почту. Для подтверждения доступа к специфическим ресурсам и системам используются токены или SecurID. Остальные методы чаще применяются в определенных сферах, например, в банковской.
Возникает резонный вопрос — что делать, если под рукой у пользователя нет мобильного телефона или не получается зайти в электронную почту? На такие случаи во многих системах предусмотрены альтернативные способы аутентификации, например, с помощью кодового слова.
Существует еще один метод, используемый при двухфакторной аутентификации, о котором стоит сказать отдельно, потому что он только набирает популярность. Это подтверждение личности человека по биометрии — уникальным физиологическим характеристикам, например, изображению лица, голосу, отпечатку пальца. Этот метод — один из самых надежных, поскольку подделать биометрические данные практически невозможно.
Как работает двухфакторная аутентификация
Пошаговый алгоритм входа в систему с двойным подтверждением:
- Пользователь проходит идентификацию в системе, указывая логин от учетной записи.
- Владелец аккаунта вводит пароль.
- Если пароль корректный, система запрашивает следующий фактор, например, одноразовый код из SMS или приложения-аутентификатора, токен, биометрию.
- Если пользователь проходит оба этапа проверки, он попадает в систему. Если нет — в доступе будет отказано.
Бывают случаи, что владелец аккаунта не может войти в систему под своей учетной записью, хотя корректно выполняет действия. В таком случае необходимо обратиться в службу поддержки за разъяснениями и получением помощи.
Преимущества использования двухфакторной аутентификации
Ключевое преимущество двухфакторной проверки — снижение вероятности инцидента информационной безопасности, поскольку злоумышленникам будет сложнее получить доступ к учетным записям и конфиденциальной информации, даже если удастся украсть пароль или подобрать его методом перебора.
Если вторым фактором проверки выступает код из SMS или электронного письма, пользователь поймет, что его аккаунт пытаются взломать. Например, человек не входил в систему под своей учетной записью, а на его телефон приходит код. Получив такое предупреждение, можно своевременно принять меры по усилению защиты аккаунта.
Двухфакторная аутентификация как дополнение к использованию IdM/IGA-системы Solar inRights
Solar inRights — IdM/IGA-система (Identity Management/Identity Governance and Administration), позволяющая автоматизировать управление правами доступа в информационных системах компании, контролировать процессы аутентификации и использование учетных записей на протяжении всего жизненного цикла. Главная цель внедрения решения — обеспечить соблюдение регламентов в части доступа к корпоративным информационным ресурсам и снизить риски инцидентов, связанных с несанкционированным использованием чувствительных данных.
Также система Solar inRights будет полезна в усилении первого эшелона защиты аккаунтов — паролей. Она позволяет эффективно управлять паролями, например, обеспечивает их автоматическую генерацию в соответствии с требованиями политики безопасности, предоставляет возможности для самостоятельной установки/сброса паролей и гибкой настройки парольных политик как для всех используемых информационных систем, так и для отдельных.
Если в компании применяется комплексный подход к защите данных, то одновременное использование решений IdM/IGA и 2FA будет надежной защитой ресурсов. Решение по управлению доступом позволит обеспечить принцип минимально достаточных полномочий для выполнения обязанностей, а двухфакторная аутентификация — защитить учетные данные.
Ключевые преимущества Solar inRights:
- Возможность подключать десятки управляемых систем с целью обеспечения соблюдения регламентов в части управления доступом.
- Соответствие требованиям компаний сегмента Enterprise, кастомизация под нужды организаций.
- Доступность всей необходимой функциональности «из коробки».
- Интуитивно понятные визуальные средства настройки системы и пользовательского интерфейса.
Также в качестве преимущества можно выделить то, что IdM/IGA-система предоставляет владельцам систем, специалистам по информационной безопасности и руководителям подразделений эффективные инструменты прямого контроля за доступами.
