Двухфакторная аутентификация

Двухфакторная аутентификация относится к методам расширенной аутентификации и является подмножеством мультифакторной аутентификации. По своей сути она предназначена для обеспечения дополнительного уровня защиты электронного устройства или хранящейся на нём информации от несанкционированного доступа.

Двухфакторная аутентификация успешно применяется во многих предметных областях. Это и магнитные брелоки для разблокирования двигателя автомобиля, и всевозможные флеш-карты или токены для компьютера, и секретные вопросы при входе в аккаунт после успешного ввода пароля и даже сканеры радужной оболочки глаза или отпечатков пальцев. Методы двухфакторной аутентификации на сегодняшний день являются одним из необходимых механизмов для обеспечения защиты аккаунтов пользователей от брутфорс-атак. Они успешно применяются и в открытом интернете, например, личный кабинет Сбербанка (https://online.sberbank.ru/), так и в даркнете, например магазин психоактивных веществ Гидра (http://hydraruzxpnew4af.onion/).

Двухфакторная аутентификация категорируется по трём типам:

- знание – то есть информация, которая известна одному человеку или ограниченной группе лиц. Сюда можно отнести одноразовые коды доступа, генерируемые для пользователя по запросу, например, код подтверждения перевода денег в банковском личном кабинете;

- владение – некий физический предмет, наличие которого позволяет войти в систему. Это могут быть магнитные карты, токены, флешки и так далее;

- свойство. Здесь подразумевается наличие некоего уникального параметра человека, присущего только ему. Сюда относятся отпечатки пальцев, узор радужки глаз, цепочка ДНК и другие.

Теоретическим и опытным путём доказано, что наличие механизма даже двухфакторной аутентификации на сайте значительно снижает вероятность получения несанкционированного доступа к личному кабинету пользователя. Увеличивая количество требуемых проверок подлинности личности пользователя, можно добиться почти невзламываемой снаружи системы. Тем не менее, ни двухфакторная, ни многофакторная аутентификации не способны обеспечить защиту от атак “man-in-the-middle”. Для этого требуется использовать как минимум зашифрованный канал передачи данных. Также двухфакторная и многофакторная аутентификации никак не защищают от фишинга. Профессиональные фишинговые сайты умеют производить моментальную передачу введённых данных на подлинный сервер и возвращая ответ незадачливому пользователю, успешно собирая все корректно введённые данные. Это позволяет мошенникам получать доступ даже к надёжно защищённым системам, не прибегая к прямым методам взлома.

Применение двухфакторной аутентификации должно происходить совместно с применением других методов защиты, взаимокомпенсирующих слабые стороны друг другу. В таких случаях защищённый ресурс действительно будет “крепкий орешек”, который не по зубам никаким мошенникам.