Цифровая гигиена: один фактор — хорошо, а два — вообще норм
В очередном материале о цифровой гигиене рассматриваем двухфакторную аутентификацию и ее особенности.
Продолжаем говорить о цифровой гигиене как важнейшей составляющей информационной безопасности. Но прежде чем говорить о двухфакторной аутентификации, предлагаю понять, что же такое просто аутентификация и почему правильно говорить именно «двухфакторная аутентификация», а не, как часто ее называют, «двухфакторная авторизация».
Аутентификация и авторизация
Если кратко, аутентификация — это попытка получить ответ на вопрос «ты кто?», а авторизация — ответ на вопрос «можно ли это тебе?». Полагаю, большинство из вас уже четко увидело разницу между аутентификацией и авторизацией. А тем, кто еще не разглядел, рекомендую потратить немного своего времени и разобраться. Лишним это точно не будет. Дальше имеет смысл читать, только если вы четко понимаете разницу между аутентификацией и авторизацией.
Факторы аутентификации
Однофакторная аутентификация — это использование исключительно одного фактора для получения ответа на вопрос «ты кто?». Чаще всего для этого используется фактор знания (логин/пароль).
Многофакторная аутентификация, как вы уже догадались — это использование комбинации одновременно нескольких факторов (т.е. все факторы должны быть использованы в рамках одного процесса аутентификации). Да, факторов может быть больше, чем два. На нынешнем этапе научно-технического прогресса считается, что их четыре.
1. Нечто, что вы знаете (знание). Наиболее часто используемый сейчас фактор. Например, пара логин-пароль.
2. Нечто, что у вас есть (владение). Например, некое устройство, файл данных.
3. Кто вы есть (свойство). Например, ваши отпечатки пальцев, рисунок радужной оболочки глаза, голос.
4. Там, где вы (место). Например, географические координаты, физическое подключение к определенной сети связи.
Ну, а двухфакторная аутентификация (2FA) — это частный случай многофакторной аутентификации. В ней используются любые два фактора. Обычно это факторы знания (например, логин/пароль) и владения (например, одноразовый код на мобильном устройстве, которым вы владеете).
Одноразовые коды
Чаще всего, фактор владения подтверждается при помощи одноразовых паролей (кодов). Есть несколько вариантов реализации этого.
Распечатка. Пользователю предоставляется набор из паролей, каждый из которых действителен только один раз. К плюсам можно отнести то, что для получения одноразового пароля нет необходимости в электричестве и вообще чем-либо, кроме листа бумаги. К минусам, понятное дело, лист бумаги можно скопировать и использовать потом в своих корыстных целях.
Специальные устройства. Пользователю выдается устройство, которое по запросу пользователя отображает на экране одноразовый пароль. К плюсам отнесем простоту использования, ну, а к минусам — сложность восстановления в случае утери или порчи.
Программные решения. Делают все то же самое, что и специальные устройства, но без специальных устройств. Чаще всего, программные решения делают для использования в смартфонах. Наиболее популярные реализации: Google Authenticator, Microsoft Authenticator, Yandex.Key, 1Password. К плюсам также можно отнести простоту использования, а к минусам — необходимость наличия смартфона для работы.
SMS. Пользователю отправляется SMS с одноразовым паролем на номер его мобильного телефона. К плюсам отнесем необычайную простоту использования. Сейчас мобильные телефоны есть почти у всех. А к минусам — небезопасность SMS в качестве канала распространения одноразовых паролей. Более-менее безопасный вариант использования SMS для отправки одноразовых паролей — это когда дополнительно осуществляется проверка, что и SIM-карта не была заменена (перевыпущена), и мобильное устройство не было заменено (подменено). Но в реальной жизни мало какая информационная система делает такие проверки и еще меньшее их количество не принимает коды, если SIM-карта или устройство были заменены.
Практические примеры: Telegram
Для того чтобы установить приложение Telegram и начать им пользоваться, достаточно обладать сотовым телефоном с номером, который вы указываете в приложении (фактор владения, однофакторная аутентификация). Однако, при желании, вы можете дополнительно установить пароль. И тогда, чтобы начать пользоваться приложением, помимо кода из SMS, нужно ввести еще и пароль (фактор владения и фактор знания, двухфакторная аутентификация).
Практические примеры: egov.kz
Войти на портал «электронного правительства» можно при помощи логина/пароля, ЭЦП и одноразового SMS-пароля (что-либо одно на выбор пользователя). Вход и получение услуг при помощи ЭЦП вопросов не вызывает: для успешного входа нужен один ключ ЭЦП и пароль от него, для получения услуги — другой ключ ЭЦП и пароль от него. Вход по логину/паролю, хоть и не является двухфакторной аутентификацией, в принципе, тоже не вызывает вопросов: получить услуги, критичные к раскрытию персональных данных, по логину/паролю нельзя. И даже вход по логину/паролю и получение ряда услуг по одноразовому SMS-паролю, если и вызывают вопросы, то не по аутентификации.
А вот вход по одноразовому SMS-паролю вопросы вызывает: получается, что для входа на портал, что для получения ряда услуг достаточно лишь одного фактора — пароля из SMS. Удобно? Безусловно! Безопасно? Ни разу!
Помимо того, что сами по себе SMS-пароли небезопасны, это еще и нарушает Приказ Министра по инвестициям и развитию Республики Казахстан от 19 января 2016 года № 10 «Об утверждении Правил классификации государственных услуг в электронной форме для определения способа аутентификации услугополучателя». Согласно данному приказу, не предусмотрено оказание государственных услуг в электронной форме, где способ аутентификации лишь только одноразовый пароль. И не смотрите на то, что приказ введен в действие 3 года назад: он действующий и последние изменения в него были внесены в январе 2019 года. Хотел было и дальше развить здесь данную тему, но внезапно осознал, что это уже совсем другая история.
Зачем вот эти вот все 2FA?!
Получить несанкционированный доступ можно к любой информационной системе. Без вариантов. Вопрос лишь в количестве ресурсов (время, деньги, человеческие жизни и т. п.), которые придется на это потратить. А насколько большие ресурсы злоумышленники готовы на это тратить? Очевидно, что вряд ли больше цены той информации, которую они заполучат в случае успеха.
Подсмотреть (узнать, подобрать и т. п.) пароль пользователя можно. Завладеть мобильным устройством пользователя тоже можно. А вот одновременно подсмотреть пароль и завладеть мобильным устройством одного и того же пользователя, хоть и тоже можно, но уже значительно сложнее (читай — дороже).
Таким образом, использование многофакторной, в том числе, и двухфакторной, аутентификации — значительное усложнение получения несанкционированного доступа. В идеале, усложнение до уровня нецелесообразности взлома.
Мы — свободные люди (не все), живем в свободной стране (не точно), а потому сами можем принимать решение (не всегда), что нам ближе: удобство или безопасность. Думайте (да, и здесь не помешает думать) и делайте единственно верный для вас выбор.