СРАВНИТЕЛЬНЫЙ АНАЛИЗ ДВУХФАКТОРНОЙ АУТЕНТИФИКАЦИИ

COMPARATIVE ANALYSIS OF TWO-FACTOR AUTHENTICATION

Dmitry Yuryev

graduate student of Far Eastern Federal University,

Russia, Vladivostok

Olesya Rogova

graduate student of Far Eastern Federal University,

Russia, Vladivostok

АННОТАЦИЯ

В связи с увеличением количества прецедентов взлома пользовательских аккаунтов, а именно перехватов контроля над учетными записями, решено посвятить статью одному из методов аутентификации, которая в большинстве случаев решает проблему безопасности использования различных сервисов. В статье приводятся различные методы двухфакторной аутентификации, примеры использования, а также сравнительный анализ преимуществ и недостатков каждого из методов.

ABSTRACT

Due to the increase in precedents of cracking of the user accounts, for example, as interceptions of control over accounting entries, it is decided to devote article about one of methods of authentication which in most cases solves a problem of safety of use of different services. Different methods of two-factor authentication, examples of use, and also comparative analysis of advantages and shortcomings of each of methods are given in article.

Ключевые слова: информационная безопасность, двухфакторная аутентификация, корпоративные сети.

Keywords: information security, two-factor authentication, corporate networks.

В современном мире при таком росте технических возможностей параллельно растет и преступность, большинство злоумышленников стараются присвоить чужую информацию посредством взлома. В связи с этим многие крупные корпорации, и не только они, уделяют внимание безопасности. Раньше логин и пароли отлично подходили для защиты учётных записей от взлома хакеров, однако с появлением «криптовалют» и других баз данных хеш-значений связки логина и пароля для защиты учётных записей стало недостаточно. Специалисты в области информационной безопасности постоянно совершенствуют алгоритмы криптозащиты, но это не всегда положительно сказывается на быстродействии кода. Однако если использовать несколько алгоритмов в одной или нескольких не зависящих друг от друга системах, то решением проблемы безопасности системы станет двухфакторная аутентификация. Этот способ аутентификации объединяет два параллельных метода проверки – пароль (кодовое слово, PIN-код) с внешним устройством или программным обеспечением (токен, SMS-сообщение, смартфон). Двухфакторная аутентификация затрудняет взлом, поскольку для доступа злоумышленников к паролю также должны быть взломаны два отдельных и несвязанных канала аутентификации.

Один из примеров двухфакторной аутентификации, с которым постоянно сталкивается каждый, – это снятие наличных через банкомат. Для того чтобы получить деньги, необходима карта, которая есть только у пользователя, и PIN-код, который знает только пользователь. Завладев картой, злоумышленник не сможет снять денежные средства, не зная PIN-кода, как и в случае если у него не будет карты, но при этом ему будет известен PIN-код.

Этот  же принцип двухфакторной аутентификации осуществляет доступ к аккаунтам в социальных сетях, почте и множеству других сервисов. Первично в качестве аутентификации применяется комбинация логин-пароль, в роли вторичного аутентификатора может выступать один из следующих способов, имеющий свои достоинства и, к сожалению, недостатки:

SMS-пароль. На сегодняшний день более распространенной и часто используемой в интернет-банкинге является вторичная аутентификация. SMS – идеальный канал для двухфакторной аутентификации, потому что он полностью отделен от вашего сайта, почты или приложения. Аутентификация с помощью данного метода известна как внеполосная аутентификация, и это более безопасный вариант, чем, например, локально созданные пароли в приложении. При этом данный метод очень прост в использовании. Как обычно, пользователь вводит свой логин и пароль, после чего на номер его телефона приходит SMS с кодом, который необходимо ввести для входа в аккаунт. При следующем входе отправляется уже другой SMS-код, действительный лишь для текущей сессии.

Преимущества:

– при каждом входе происходит генерация нового пароля. Даже если злоумышленник перехватит логин и пароль, то взлом системы невозможен без дополнительного кода;

– привязка к телефонному номеру пользователя. Без привязанного к аккаунту телефона вход невозможен.

Недостатки:

– при отсутствии сигнала сотовой сети произвести вход невозможно;

– существует уязвимость: подмена номера через услугу оператора или работников салонов связи;

– если авторизация происходит через мобильное устройство (например, смартфон) и получение кода происходит через то же устройство, то защита перестаёт быть двухфакторной.

Приложения-аутентификаторы. Данный метод похож на предыдущий, однако генерация кода происходит не при помощи входящих SMS-сообщений с кодом, а на мобильном устройстве с использованием специализированного программного обеспечения (Google Authenticator, Authy и т. п.). Для входа в систему генерируется первичный клюй (например, QR-код), в котором содержится одноразовый пароль на основе криптографического алгоритма ограниченного срока действия (как правило, до одной минуты). Даже в случае перехвата злоумышленником одного пароля до момента начала сессии спустя некоторое время он потеряет свою актуальность.

Преимущества:

– не требуется сотовая связь или SMS-служба, нужен только Интернет для открытия начала сессии;

– поддержка мультиаккаунтов.

Недостатки:

– есть вероятность взлома первичного ключа, тогда злоумышленник получает возможность генерировать все последующие пароли;

– теряется двухфакторность при использовании на одном и том же устройстве, с которого осуществляется вход.

Мобильные приложения. Данный метод является комбинацией двух предыдущих методов. Вместо одноразовых паролей используется подтверждение входа с мобильного устройства пользователя, на котором установлено приложение сервиса. На устройстве пользователя хранится приватный ключ, который проверяется при каждом входе. Такая проверка работает в Twitter, Snapchat и различных онлайн-играх. Например, при входе в Twitter-аккаунт в веб-версии пользователь вводит логин и пароль, потом на мобильное устройство (например, смартфон) приходит уведомление с запросом о входе, после подтверждения которого в браузере открывается лента пользователя.

Преимущества:

– нет необходимости дополнительно вводить подтверждающий пароль при входе;

– не требуется сотовая связь или SMS-служба, а в некоторых случаях Интернет;

– поддержка мультиаккаунтов.

Недостатки:

– при перехвате приватного ключа возможна подделка идентификатора;

– теряется двухфакторность при использовании на одном и том же устройстве, с которого осуществляется вход.

Аппаратные (физические) токены. Один из самых надёжных способов двухфакторной аутентификации. В отличие от всех перечисленных выше способов, применение внешнего устройства позволяет избежать потери двухфакторности, как в случае использования на одном устройстве.

Чаще всего это USB-брелоки со встроенным процессором генератора случайных чисел, генерирующим криптографические ключи, которые автоматически вводятся при подключении к компьютеру.

Преимущества:

– нет надобности в использовании мобильного телефона;

– полностью самостоятельное устройство.

Недостатки:

– устройство покупается отдельно;

– не все сервисы имеют поддержку данного метода;

– на несколько аккаунтов необходимо несколько токенов;

– потеря токена влечет за собой взлом системы злоумышленником.

Резервные ключи. Запасной вариант в случае потери устройства с открытыми или одноразовыми ключами. Резервные ключи, как правило, выдаются сервисами для возможности дальнейшего изменения в случае порчи, кражи или смены одного элемента, необходимого для аутентификации. Эти ключи должны храниться в надёжном, недоступном для посторонних месте.

Использование двухфакторной аутентификации, на первый взгляд, может показаться неудобным или сложным, но все затруднения оправданны, когда речь идет о безопасности платёжных данных или личной информации, не предназначенной для чужих глаз. Идеальное соотношение защиты и удобства каждый пользователь выбирает для себя сам.

Ниже приводится несколько примеров, где необходимо внедрение двухфакторной аутентификации.

Удаленный доступ к корпоративным сетям. Большинство компаний, с сегодняшней мобильной рабочей силой, используют для обработки и хранения данных VPN-каналы, через которые сотрудники подключаются удаленно. Дополнительный способ аутентификации на обычном мобильном устройстве помогает еще более обезопасить корпоративную сеть.

Сайты электронной торговли. Интернет-бизнес требует, чтобы пользователи делились информацией о частных платежах, личными данными или точками лояльности. Сохранить свои персональные данные клиентам помогает двухфакторная аутентификация, позволяющая обеспечить безопасность от взлома личного кабинета путем подтверждения по SMS об изменении пароля, совершении покупки или каких-либо изменениях в личном кабинете.

Загрузка приложений. Если пользователь загружает приложение из социальных сетей, приложение для связи или даже приложение для повышения производительности, важно убедиться, что это реальный пользователь, пытающийся войти в систему, а не неопознанный объект или автоматический «бот».

Тем самым двухфакторная аутентификация позволяет избежать несанкционированного взлома системы или аккаунта, снизить риск утечки персональных данных и другой важной информации в корпоративных сетях, а также обезопасить пользователя от ошибочных транзакций в интернет-магазинах, социальных сетях и т. д.

Список литературы:

1. Бирюков А.А. Информационная безопасность: защита и нападение. – ДМК издательство, 2013. – 473с.
2. Давыдов А.Е. Защита и безопасность ведомственных интегрированных инфокоммуникационных систем   / Р.В. Максимов, О.К. Савицкий. – ОАО Воентелеком, 2015. – 519 с.
3. Официальный сайт «kaspersky lab» [Электронный ресурс] – Режим доступа:https://blog.kaspersky.ru/what_is_two_factor_authenticatio/4272/ (дата обращения).