Какой вариант двухфакторной аутентификации является лучшим?

The Best Two-Factor Authentication Option

На первый взгляд, двухфакторная аутентификация (2FA) - безжалостно простая и невероятно эффективная функция безопасности. По сути, реализуя двухфакторную аутентификацию, вы гарантируете, что злоумышленник не сможет захватить учетную запись жертвы, используя только имя пользователя и пароль. В процессе аутентификации существует дополнительный шаг, без которого доступ не будет предоставлен. Пока все просто. Вот где все становится сложнее.

Большинство систем 2FA используют второй временный пароль (часто называемый одноразовым паролем или OTP), который пользователь должен ввести, чтобы разблокировать свою учетную запись. В других случаях для входа в систему требуется аппаратное устройство или токен, который служит доказательством того, что пользователь авторизован для доступа к учетной записи. Существует много споров о том, какой вариант лучше - аппаратный токен или OTP. Вопрос о том, какой аппаратный токен является наилучшим, также обсуждался, и то же самое относится и к различным способам реализации систем 2FA на основе OTP. Другими словами, для многих 2FA поднял больше вопросов, чем ответил.

ОТП обсуждение

OTP является достаточно надежным вторым фактором, но его необходимо правильно реализовать. Если OTP должны работать, они должны быть уникальными и случайными. Если хакеры могут выяснить алгоритм, лежащий в основе механизма, который создает OTP, они могут победить всю систему 2FA. Они также могут обойти это, если у них будет достаточно времени, чтобы угадать OTP. Для удобства использования часто OTP представляют собой 4- или 6-значные коды, которые можно угадать с относительной легкостью. Вот почему важно убедиться, что они истекают через разумный период времени. Конечно, надлежащие ограничения скорости также могут помешать злоумышленникам перебить их.

Справедливо сказать, что большинство разработчиков и системных администраторов, которые выбрали 2FA на основе OTP, соблюдают эти правила, и атаки такого типа встречаются не так часто. Однако когда дело доходит до способа доставки OTP, все совершенно иначе.

Существует несколько способов доставки OTP пользователю. Вы можете сделать это по электронной почте, SMS или через приложение для аутентификации на своем смартфоне. Довольно много людей теряют самообладание из-за небезопасности некоторых из этих сред. В прошлом мы обсуждали , например, технологию, лежащую в основе текстовых сообщений, которая довольно старая и теоретически позволяет хакерам перехватывать OTP и обходить 2FA. В течение некоторого времени электронные письма также были осуждены как слишком небезопасные для передачи конфиденциальной информации, такой как 2FA OTP.

Дело в том, что лучший способ обеспечить невозможность перехвата OTP во время передачи - это вообще не передавать их. Вот почему мобильные приложения 2FA, такие как Google Authenticator, считаются лучшим вариантом для систем двухфакторной аутентификации на основе OTP, для которых не требуется дополнительный аппаратный токен. Однако проблема с этими приложениями заключается в том, что пользователи, у которых нет смартфона, не могут их использовать.

Являются ли аппаратные токены решением?

Идея приложений 2FA основана на аппаратных токенах, которые также используют сложные криптографические функции для создания OTP на месте. Известные как RSA SecurID, они примерно размером с брелок и имеют небольшой монохромный ЖК-дисплей, отображающий текущее значение OTP. Вы можете рассматривать это как решение, особенно если у некоторых из ваших потенциальных пользователей нет смартфонов, но есть еще одна вещь, которую стоит рассмотреть. Уязвимость, связанная с одноразовыми паролями, заключается в том, что, как и обычные пароли, их можно взломать.

Вот почему, по мнению экспертов по безопасности, наиболее безопасные системы 2FA используют ключи U2F - аппаратные токены, которые вместо генерации и отображения OTP-сообщений напрямую связываются с вашим компьютером или мобильным устройством и автоматически аутентифицируют вас. Они достаточно малы, чтобы их можно было носить с собой на брелоке для ключей, у них нет батареи, а беспроводная технология, на которую опираются некоторые из них, означает, что аутентификация часто происходит мгновенно. Поскольку пользователю не требуется вводить OTP, это считается лучшим методом с точки зрения удобства использования и безопасности. Это все еще не идеально, хотя.

В отличие от приложений 2FA, электронных писем и, в большинстве случаев, текстовых сообщений, ключи U2F не являются бесплатными. Инвестиции не огромны, но печальный факт заключается в том, что большинство пользователей не особенно заинтересованы в том, чтобы платить за безопасность, и даже разумная цена может быть достаточным препятствием для них. Очевидно, что проблема потери маленьких токенов также присутствует.

Как выбрать наиболее подходящую реализацию 2FA для вашего сервиса?

В общем, нет такой вещи, как «идеальный 2FA». Некоторые реализации более безопасны, чем другие, но все они имеют свои отдельные проблемы, что означает, что если вы используете онлайн-сервис, вы должны решить, какой тип 2FA вы собираетесь реализовать, основываясь на ваших пользователях, их потребностях, и их модели угроз. Для дополнительной гибкости большинство поставщиков услуг позволяют людям выбирать, какую реализацию 2FA они хотят использовать, из списка нескольких различных вариантов, и это, пожалуй, самый разумный подход, учитывая, насколько разнообразной может быть база пользователей.

Убедитесь, что вы не забудете одну вещь - даже самый небезопасный 2FA лучше, чем никакой 2FA.

April 16, 2020
Loading ...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.