Двухфакторная аутентификация в облаке
Для усиления безопасности в облачной инфраструктуре тоже применяется двухфакторная проверка подлинности.
Мы привыкли к аутентификации, основанной на вводе логина и пароля. Однако такой способ не отличается высокой надежностью. Злоумышленнику достаточно легко выяснить ваш логин, ведь часто он совпадает с адресом электронной почты или учетной записью, а пароль можно подобрать или «восстановить» по контрольным вопросам. Для усиления безопасности была разработана двухфакторная проверка подлинности, которая нашла применение не только в различных онлайн-сервисах, но и в облачной инфраструктуре.
Аутентификация — проверка подлинности
Обеспечение безопасности при доступе к информационным системам — одна из главных задач управления информационными технологиями. В первую очередь она заключается в проверке прав пользователя на вход в систему, запуск приложения или открытие файла. И подтвердить такое право пользователь может, введя свой персональный логин и пароль, этот способ аутентификации является основным уже на протяжении многих лет.
Каждая компания, которая ответственно относится к защите своей информации и соблюдению уровня сервиса, использует хотя бы базовую аутентификацию по логину и паролю для доступа к своим информационным ресурсам, поскольку отсутствие даже такого метода может привести к катастрофе. Данные требования прописываются в политиках безопасности и должны выполняться всеми работниками без исключения, а специальное подразделение или сотрудник обязан вести строгий контроль. К сожалению, зачастую такого метода аутентификации бывает недостаточно.
В жизни, помимо визуального контакта, существует еще много способов идентификации человека: можно попросить его паспорт или другой документ, удостоверяющий личность, зайти на страничку в социальной сети или совершить звонок по контактному номеру. При доступе в корпоративную систему с использованием логина и пароля гораздо проще осуществить подлог, воспользоваться чужой учетной записью, подсмотреть пароль или найти его на листке бумаги под монитором.
Чтобы исключить такие способы обхода проверки подлинности, применяется двухфакторная аутентификация.
Особенности двухфакторной аутентификации
Для того чтобы усилить безопасность проверки подлинности, добавляется второй рубеж контроля. То есть помимо ввода логина и пароля необходимо подтвердить себя еще одним способом аутентификации, поэтому она называется двухфакторной, сокращенно — 2FA.
Логин и пароль, а также пин-код, секретная фраза — это способ аутентификации «Нечто известное», к нему добавляется один из дополнительных способов: «Нечто имеющееся» или «Нечто присущее (биометрика)», который и создает второй фактор аутентификации.
К «Нечто имеющееся» можно отнести физические токены, приложения для генерации одноразовых паролей (Google Authenticator, Яндекс.Ключ и т.п.) или SMS с кодом подтверждения.
"Нечто присущее"— это различные биометрические способы аутентификации, такие как отпечаток пальца, сетчатки глаза или лица человека. Еще несколько лет назад данные способы применялись только для контроля доступа внутри здания крупных компаний, но сейчас сканер отпечатка пальца есть во многих смартфонах, а последняя модель iPhoneX содержит современную систему идентификации лица человека FaceID.
Согласно опросу, проведенному университетом штата Мэриленд совместно с университетом Джона Хопкинса, среди 526 пользователей, 25% используют 2FA на всех своих устройствах и сервисах, 45% используют 2FA, но не везде и только 28% никогда не используют 2FA.
Двухфакторная аутентификация не гарантирует стопроцентной защиты, злоумышленник может получить доступ к файлам cookies, из которых расшифровать требуемые коды доступа, или воспользоваться функцией восстановления пароля, но в любом случае она во много раз повышает степень безопасности.
Аутентификация в облаке
Потребовать от облачного провайдера включить механизм двухфакторной аутентификации — ваше право как клиента, заботящегося о своей безопасности. Не каждый поставщик услуг сейчас поддерживает такой метод проверки подлинности, но большинство уже перешли на 2FA.
Этот способ занимает чуть больше времени, поскольку требует дополнительных действий со стороны пользователя, но вместе с тем сильно усложняет взлом вашей корпоративной инфраструктуры.
Помимо стандартных способов дополнительной аутентификации по SMS или с помощью генератора кодов доступа, используйте программные токены, инфраструктуру публичных ключей или shared-secret-файлов. Главное, чтобы все перечисленные методы были протестированы на совместимость с вашей физической и виртуальной инфраструктурой, а также соответствовали требованиям безопасности организации.
Заключение
Облачные технологии завоевывают все большую популярность и используются повсеместно — как для личного использования, так и для создания инфраструктуры бизнеса. Двухфакторная аутентификация при работе с такими сервисами, как электронная почта и социальные сети, уже становится стандартном безопасной работы, а значит, полагаться только на защиту в виде логина и пароля в IaaS-облаке точно не стоит. Двухфакторная аутентификация — доступная опция у большинства провайдеров, и мы однозначно рекомендуем ее использовать.