Спецпроекты

Безопасность

Что такое многофакторная аутентификация MFA, варианты реализации и критерии выбора решения

Многофакторная аутентификация (МФА) — это метод контроля доступа к какому-либо ресурсу или программному обеспечению, при котором пользователю необходимо предъявить несколько реквизитов, подтверждающих его право на доступ. Этим она отличается от однофакторной аутентификации, когда доступ предоставляется по одному реквизиту, например, связке логин-пароль.

MFA является обобщающим понятием для таких терминов как 2FA и 3FA — двухфакторной и трехфакторной аутентификации соответственно.

Причины появления

Причиной появления многофакторной аутентификации стал резкий рост числа киберпреступлений и взломов аккаунтов путем кражи или подбора пароля. Зная логин человека и тем или иным способом узнав его пароль, злоумышленник получал неограниченный доступ к ресурсу.

Еще одной проблемой является тот факт, что у многих пользователей на разные сервисы установлена одна и та же связка логин-пароль. Таким образом, подобрав эту пару для одного сервиса, злоумышленник мог попробовать применить ее на других сервисах и получить доступ к ним с гораздо большей долей вероятности, нежели подбирая пароль методом перебора.

Многофакторная аутентификация (МФА) — это метод контроля доступа к какому-либо ресурсу или программному обеспечению, при котором пользователю необходимо предъявить несколько реквизитов, подтверждающих его право на доступ

В корпоративной среде одной из причин внедрения MFA стал тренд на удаленную работу, вызванную пандемией. Доступ из-за пределов контролируемого периметра к корпоративным системам — электронной почте, CRM и ERP-системам и другому ПО — потребовал усиление функции аутентификации по логину и паролю.

3 фактора аутентификации

При использовании многофакторной аутентификации может быть задействован целый ряд различных способов проверки пользователя на достоверность. Все они делятся на три категории:

  1. Фактор знания.
  2. Фактор владения.
  3. Фактор свойства.

Фактор знания

С его помощью пользователь может подтвердить, что он владеет каким-либо знанием, ранее заведенным в систему. Наибольшее распространение получили, собственно, пароли, а также кодовые слова, ответы на секретные вопросы, личные идентификационные номера PIN для банковских карт и приложений, Seed-фразы для криптокошельков и т.д.

Эти варианты защиты просты в реализации, но считаются наименее эффективными с точки зрения реальной защиты. Многие из них достаточно легко узнаются или вычисляются. Кроме того, невозможно отследить, чтобы для разных сервисов были придуманы разные пароли/ответы.

Фактор владения

Идентификация человека по фактору владения предполагает наличие у него некоторого предмета, который подтверждает право этого человека на доступ. Таким предметом может быть ключ, токен, чип, печать и т.д.

Современный способ реализации фактора владения — подтверждение входа на одном устройстве с помощью другого устройства, например, мобильного телефона. Тем самым проверяется фактор владения другим устройством с выполненным входом.

Реализация аутентификации с использованием фактора владения сложнее, чем в случае фактора знания, но и злоумышленникам получить доступ к такой системе гораздо сложнее.

Фактор свойства

Самым распространенным примером фактора свойства являются биометрические данные человека. Они неповторимы, а современные устройства научились считывать и анализировать их за доли секунды. Именно на этом принципе основана разблокировка телефона по отпечатку пальца или лицу, вход в метро по биометрике и другие решения.

Такие системы наиболее сложны в реализации и связаны с хранением персональных данных, но обладают наибольшей защищенностью, особенно вкупе с другими средствами аутентификации.

Каждый из указанных факторов хоть и обеспечивает определенный уровень защиты, но сильно уступает варианту с использованием комбинации этих факторов.

Преимущества MFA с одноразовыми паролями

Одним из наиболее популярных видов аутентификации стала MFA с одноразовыми паролями, которые могут быть сформированы в приложении на телефоне, отправлены пользователю посредством SMS, push-сообщений, мессенджеров, звонка или писем на электронную почту. Аутентификация на базе одноразовых паролей хорошо зарекомендовала себя во время пандемии. Обусловлено это было следующими факторами:

  • разнообразие видов генераторов (доставки одноразовых паролей) позволяло избежать проблем с доставкой физических устройств;
  • интеграция за счет стандартных протоколов внешней аутентификации позволяла избежать проблем с установкой и совместимостью со средой (генераторы паролей являются бесконтактными аутентификаторами), что позволяло работать на любом устройстве;
  • схожесть метода аутентификации с привычными в жизни методами аутентификации (двухфакторная аутентификация в системах банковского обслуживания, социальных сетях) позволяла внедрить механизм без дополнительного обучения и нагрузки на службу технической поддержки.

Варианты реализации MFA с одноразовыми паролями

Реализация MFA с одноразовыми паролями выполняется чаще всего с помощью:

  • собственного ПО (вариант актуален только для крупных организаций),
  • покупки специализированного ПО (здесь в числе потенциальных пользователей числится более широкий круг компаний),
  • облачного сервиса для MFA (доступно как для крупных компаний, так и для СМБ).

Оптимальным вариантом является случай, когда заказчик вправе выбрать «расположение» решения без потери функциональности. То есть исходя из внутренних потребностей, политик безопасности, заказчик определяет, какой из вариантов более всего подходит для него.

Изначально «аутентификация как сервис» не пользовалась большим спросом среди российских заказчиков, однако с развитием облачных технологий (и не только в сфере информационной безопасности) такой вариант исполнения стал все более и более востребованным. Он может быть расширен за счет локальной инсталляции продукта для собственных нужд и предоставления его «как сервиса» дочерним организациям или филиальным подразделениям.

Сервисный подход имеет ряд преимуществ:

  • Экономия существенных капитальных затрат на разработку собственного решения или единоразовую покупку готового ПО.
  • Постоянное обновление функционала и повышение надежности MFA за счет вендора, а не собственных сил.
  • Техническая поддержка решения.

Наибольшего внимания заслуживает второй пункт. Дело в том, что средства защиты постоянно модифицируются и усложняются. Держать собственный штат специалистов по ИТ-безопасности подавляющему большинству компаний нерентабельно, а постоянное обновление коробочного ПО также требует определенных компетенций.

Облачные MFA-сервисы избавлены от этих недостатков и характеризуются низкой стоимостью, бесшовным обновлением и сопровождением проекта со стороны вендора или внутренних подразделений в случае предоставления сервиса из частного облака.

Примером облачного MFA-решения является Secure Authentication Server (SAS) — программное обеспечение для аутентификации по одноразовым паролям, разработанное компанией MFASOFT. Архитектура приложения позволяет развернуть его как в публичном, так и в частном облаке. В первом случае сервис предоставляется конечным заказчикам по подписке, во втором появляется возможность использовать его для собственных нужд.

MFA SAS применяется в централизованных решениях для защиты доступа к различным устройствам и приложениям, например, для безопасного входа в операционные системы и веб-приложения, удаленного подключения к сети организации, администрирования и т.д.

MFA SAS применяется в централизованных решениях для защиты доступа к различным устройствам и приложениям, например, для безопасного входа в операционные системы и веб-приложения, удаленного подключения к сети организации, администрирования и т.д.

Ключевой функцией решения является возможность создавать независимые виртуальные сервера на одной инсталляции продукта. Это позволяет подготовить сервер аутентификации к работе за несколько минут, обеспечив при этом безопасную интеграцию как с источником данных пользователей, так и с конечными сервисами внутри контролируемого периметра (агенты синхронизации и интеграции устанавливаются в рамках контролируемого периметра).

Критерии выбора MFA-решения

Вопросы импортозамещения

Говоря о критериях выбора какого-либо ИТ-решения, в текущих реалиях на первое место выходит необходимость выполнения требований по импортозамещению:

  1. Вхождение в реестр отечественного ПО.
  2. Локализация в РФ.
  3. Соблюдение требований российского законодательства.
  4. Отсутствие зависимости от санкционных продуктов.
  5. Поддержка на русском языке.
  6. Возможность кастомизации для крупного бизнеса.

Продукт российского производства обладает огромными преимуществами по сравнению с ушедшими западными, и это не только вопрос функциональности. Дело в том, что такое решение является предметом собственной разработки. Это позволяет развивать его в соответствии с требованием российского рынка, российского законодательства в сфере ИБ, проводить сертификационные испытания по высокому уровню доверия.

Что касается функционала, то в случае западного продукта пользователь использовал, как правило, около 20% его возможностей, а оплачивал все 100%. Резонно возникает вопрос: а стоит ли оплачивать остальные 80% функций или лучше внедрить решение, наиболее более точно отвечающее потребностям бизнеса? Кстати, такой переход позволяет упростить и эксплуатацию системы в целом.

Компетенции вендора

Уход западных вендоров в 2022 г. спровоцировал рост спроса на отечественные решения. Однако последние к этому моменту еще не имели завершенный продукт с накопленным опытом эксплуатации и налаженной обратной связью. В большинстве случаев на рынок выходили «сырые» версии, дорабатываемые разработчиками уже в процессе эксплуатации на «живых» системах заказчика.

Несколько иначе ситуация обстоит с MFA Secure Authentication Server от MFASOFT. Дело в том, что ключевые сотрудники компании являются выходцами из дистрибьютора Thales, который, в свою очередь, является одним из мировых лидеров в области аутентификации. Таким образом, MFA Secure Authentication Server изначально опережает конкурентов по ряду параметров. Ключевыми из них являются:

  1. Мультиарендность — возможность создания автономного виртуального сервера аутентификации на одной инсталляции продукта. Это позволяет повторить логическую структуру компании (виртуальный сервер выделяется для конкретной группы или подразделения компании) и подключить дочерние компании или удаленные офисы к центральному серверу аутентификации.
  2. Автоматизация процессов — возможность автоматизировать типовые задачи при работе с решением. Сюда относятся функции автоматического назначения и отзыва аутентификаторов, автоматической периодической синхронизации пользователей из внешних источников с необходимыми атрибутами, а также автоматическое формирование и рассылка отчетов аудита.
  3. Перенос типовых задач на сторону пользователя для снижения нагрузки на ИТ-подразделение и службу технической поддержки.

Адаптация под заказчика и другие факторы

Современное MFA-решение должно адаптироваться под любого заказчика независимо от масштаба его бизнеса. Более того, внедрение MFA происходит постепенно:

  • сначала оно затрагивает критически важные субъекты VPN, администраторов и VIP пользователей,
  • а потом покрывает всех остальных пользователей инфраструктуры.

Как следствие, решение должно масштабироваться с минимальными задержками.

Немаловажный вопрос — набор генераторов одноразовых паролей и механизмы их доставки. Чем больше их количество, тем проще определить наиболее безопасный и удобный аутентификатор, исключив возможность блокировки входа в случае утраты одного из генераторов.

Кроме того, рекомендуется обращать внимание на следующие моменты:

  • Решения должны функционировать в доверенных средах.
  • Сертификация по ФСТЭК.
  • Функциональные возможности.
  • Возможности адаптации для крупного бизнеса.

MFASOFT (ООО «СИС разработка») — российская компания, которая разрабатывает, внедряет и поддерживает программное обеспечение для аутентификации и управления доступом https://mfasoft.ru/

Короткая ссылка