УДК 004.056.53

ПРИМЕНЕНИЕ МНОГОФАКТОРНОЙ АУТЕНТИФИКАЦИИ В ЦЕЛЯХ ЗАЩИТЫ СРЕДСТВ ЭВТ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА

Кротов Андрей Вячеславович1, Кутузов Александр Викторович1
1Академия ФСО России

Аннотация
В современным мире проблема несанкционированного доступа к данным стоит особенно остро, особенно, когда речь идёт о личных данных граждан или сведений, составляющих государственную тайну. В данной статье представлено детальное обоснование использования многофакторной аутентификации в целях ограничения доступа к этим данным.

Ключевые слова: , , ,


Рубрика: 05.00.00 ТЕХНИЧЕСКИЕ НАУКИ

Библиографическая ссылка на статью:
Кротов А.В., Кутузов А.В. Применение многофакторной аутентификации в целях защиты средств ЭВТ от несанкционированного доступа // Современные научные исследования и инновации. 2021. № 3 [Электронный ресурс]. URL: https://web.snauka.ru/issues/2021/03/94873 (дата обращения: 28.04.2021).

Многофакторная аутентификация (МФА) – это метод контроля безопасности, который требует от пользователей отвечать на запросы о проверке своей личности, прежде чем они смогут получить доступ к данным, сетям или онлайн–приложениями [1]. МФА может использовать данные, доступные лишь пользователю, сведения о физических объектах с который осуществляется попытка доступа, данные о географическом или сетевом местоположении для подтверждения личности.

По мере того как государственные структуры всё больше используют цифровые операции и берут на себя большую ответственность за хранение как данных граждан, так и сведений, составляющих государственную тайну, риски и потребность в безопасности возрастают. Поскольку злоумышленники постоянно пытаются использовать данные граждан для  доступа к их личным данным, проверка личности пользователя стала очень важным аспектов обеспечения безопасности.

Аутентификация, основанная только на именах пользователей (логинах) и паролях, ненадежна и накладывает дополнительные трудности, поскольку пользователи могут испытывать проблемы с хранением, запоминанием и управлением своими данными для входа в нескольких учетных записях, а многие повторно используют пароли в разных службах и создают пароли, которые не имеют сложности.

Наиболее распространенным примером МФА является процесс использования банкомата в банке. Чтобы получить доступ к своим счетам, пользователи должны вставить банковскую карту (физический фактор) и ввести PIN-код (фактор знаний).

Другим знакомым примером является метод  временного одноразового пароля, используемый финансовыми учреждениями и другими крупными предприятиями для защиты рабочих процессов, приложений и учетных записей. При запросе входа в систему пользователям предлагается предоставить временный пароль, отправленный с помощью текстового сообщения, телефонного звонка или электронной почты.

Поскольку паролей недостаточно для проверки личности, МФА требует нескольких параметров (факторов) для проверки личности. Наиболее распространенным вариантом МФА является двухфакторная аутентификация (2FA). Смысл её заключается в том, что даже если субъекты угроз могут выдать себя за пользователя с одним фактором, они не смогут предоставить два или более [1].

Правильная многофакторная аутентификация использует факторы по крайней мере из двух различных категорий. Использование двух факторов из одной категории не соответствует требованиям МФА. Несмотря на широкое использование комбинации «пароль + секретный вопрос», оба фактора относятся к категории знания и не являются многофакторной аутентификацией [2].  Комбинация «пароль + временный пароль» подходят, т.к. временный пароль является фактором владения, подтверждающим владение определенной учетной записью электронной почты или мобильным устройством.

Многофакторная аутентификация вводит дополнительный этап или два во время процесса входа в систему, но даже это не всегда гарантирует безопасность. Индустрия обеспечения безопасности создает всё новые решения для оптимизации процесса МФА, при этом технология аутентификации становится все более интуитивной по мере ее развития. Например, биометрические факторы, такие как отпечатки пальцев и сканирование лица, обеспечивают быстрый и надежный вход в систему. Новые технологии, использующие такие возможности мобильных устройств, как геолокация, камеры и микрофоны в качестве факторов аутентификации, обещают еще больше улучшить процесс проверки личности.

Многие операционные системы, поставщики услуг и платформы, основанные на учетных записях, используют МФА для обеспечения необходимой надёжности проверки личности. Для отдельных пользователей или малого бизнеса внедрение МФА так же просто, как настройка операционных систем и вебплатформ.

Крупным государственным организациям с их собственными сетевыми порталами и сложными задачами управления пользователям может потребоваться использование приложения аутентификации, которые добавляют дополнительный этап аутентификации во время входа в систему [2].

Одним из перспективных разновидностей многофакторной аутентификации является адаптивная аутентификация [1]. В адаптивной аутентификации правила подтверждения личности постоянно корректируются на основе следующих переменных:

– «Степень важности»: применение различных факторов для аутентификации пользователя или группы пользователей, определяемых их ролью, ответственностью или родом деятельности.

– «Область применения»: применение более безопасных методов МФА–таких как push–уведомление или 2–й универсальный фактор (Universal 2nd Factor, U2F) – для приложений и сервисов с наибольшей степенью риска.

– «Географическое местоположение»: ограничение доступа к ресурсам на основе физического местоположения пользователя или установка правил, ограничивающих использование определенных методов аутентификации в некоторых местах.

– «Сетевой адрес пользователя»: использование информацию сети IP в качестве фактора аутентификации и блокировать попытки аутентификации из анонимных сетей, таких как Tor, Proxy и VPN.

Многофакторная аутентификация обладает рядом преимуществ, посредством которых в будущем может стать основным способом для получения доступа к данным. Во-первых, это повышение уровня доверия пользователя. Поскольку МФА помогает защитить системы от несанкционированных пользователей (и связанных с этим угроз), эта система в целом более безопасна.

Если государственные структуры не решаются просить своих граждан соблюдать более строгие меры безопасности, им следует учитывать, что сами пользователи, а особенно клиенты могут оценить дополнительную безопасность своих данных. Когда граждане доверяют системе безопасности, они с большей вероятностью доверяют государственной организации в целом, а это означает, что МФА становится важным преимуществом [3].

Успешная защита от атак (например, предотвращение дорогостоящей и разрушительной атаки) может обеспечить возврат инвестиций, который покрывает расходы на введения и обеспечения МФА. Даже не предотвращая атаки, МФА может сэкономить деньги организаций, позволяя обеспечить возможность защиты других частей сети от различных угроз [2].

По мере развития технологии многофакторной аутентификации, все шире использующей пассивные методы, такие как биометрия и программные токены, она становится все более удобной для пользователя. Простые в использовании процессы МФА помогают пользователям гораздо быстрее входить в систему, поэтому можно считать их более продуктивными.

Все факторы аутентификации, представленные на рисунке 1, имеют смысл использования для той или иной системы [1].

Рисунок 1. Основные и дополнительные факторы, используемые для аутентификации

Фактор знания

Знание (обычно пароль) является наиболее часто используемым инструментом в решении МФА. Однако, несмотря на свою простоту, пароли стали проблемой безопасности, к тому же они уменьшают скорость аутентификации.

Сегодня пользователи имеют слишком много паролей; чтобы облегчить управление ими, пользователи создают пароли, которые не являются безопасными или которые используются повторно на разных платформах. Другим недостатком является то, что знания могут быть забыты или, если они где–то хранятся, украдены.

Секретный вопрос – еще один метод познания, широко используемый, но не пользующийся популярностью. Секретный вопрос требует, чтобы пользователь хранил ответ на личный вопрос в своем профиле, а затем вводил его во время входа в систему. Этот процесс рассматривается многими пользователями как обременительный из–за необходимости повторного ввода данных, хранения и управления ответами.

Динамический контрольный вопрос, который является более эффективным и удобным для пользователя, обычно запрашивает контекстную информацию, к которой пользователь имеет доступ, например, недавнюю финансовую транзакцию.

Фактор владения

Физические факторы (также называемые факторами владения) используют токены, такие как USB-ключ или портативное устройство, которые генерируют временный QR-код (код быстрого реагирования). Мобильные телефоны широко используются в этом плане, поскольку они легко доступны в большинстве ситуаций.

Физические факторы существуют независимо от сети и обычно их трудно подделать, но такие устройства, как телефоны, могут быть потеряны или украдены, а мобильные сети могут представлять свои собственные уязвимости безопасности.

Виртуальные “программные” токены – это файлы cookie или фрагменты кода, хранящиеся таким образом, что устройство эффективно превращается в физический токен. Однако, программные токены не подходят всем пользователям, поскольку для их правильного использования требуется программное обеспечение и опыт. Кроме того, программные токены могут быть скопированы, что может привести к несанкционированному доступу.

Стандарт U2F сочетает в себе маркер USB и NFC (near-field communication) с приложением открытого стандарта, обеспечивая простой способ использования дополнительных факторов аутентификации с платформами, которые их поддерживают.

Фактор свойства

Фактор свойства включает в себя физическую особенность субъекта. Это могут быть биометрические данные лица, сетчатки глаза, отпечатки пальцев. По мере развития технологий он сможет также включать голосовой идентификатор или другие поведенческие входные данные, например, показатели нажатия клавиш. Поскольку факторы свойства надежно уникальны, всегда присутствуют и безопасны, эта категория демонстрирует многообещающие перспективы.

Однако не все устройства имеют необходимое программное обеспечение, вычислительную мощность и аппаратные функции (такие как микрофоны и камеры), поэтому некоторые пользователи не смогут воспользоваться преимуществами этих достижений в области удобства использования и безопасности МФА.

Фактор на основе местоположения и времени

Системы аутентификации могут использовать координаты GPS, параметры сети, метаданные используемой сети, а также распознавание устройств для МФА. Адаптивная аутентификация объединяет эти данные с используемыми ранее или контекстными пользовательскими данными.

Эти факторы одно очень большое преимущество. Они работают в фоновом режиме и используют очень небольшое количеством входных данных, требуемых от пользователей. Это означает, что они не препятствуют производительности. Однако, поскольку они требуют программного обеспечения и специальных знаний для использования, как правило они подходят для крупных организаций с необходимыми ресурсами для управления ими.

Ключ безопасности обычно представляет собой QR–код, который пользователь сканирует с помощью мобильного устройства для генерации серии чисел. Затем пользователь вводит эти числа в веб–сайт или приложение, чтобы получить доступ. Срок действия кодов доступа истекает через определенный промежуток времени, и новый код будет сгенерирован при следующем входе пользователя в учетную запись.

Использование социальных сетей

В этом случае пользователь предоставляет веб-сайту разрешение использовать свое имя пользователя и пароль из социальных сетях для входа в систему. Это обеспечивает простой процесс входа в систему, и он, как правило, доступен для всех пользователей.

Но социальные сети часто становятся мишенью интернет-преступников, т.к. они предоставляют богатый источник пользовательских данных. Кроме того, некоторые пользователи могут испытывать озабоченность по поводу последствий для безопасности и конфиденциальности совместного использования логинов в социальных сетях.

Аутентификация на основе рисков

Иногда называемый адаптивной многофакторной аутентификацией, этот метод сочетает в себе адаптивную аутентификацию и алгоритмы, которые вычисляют риск и учитывает контекст конкретных запросов на вход в систему. Цель этого метода – уменьшить количество избыточных логинов и обеспечить более удобный для пользователя рабочий процесс.

Для пользователей с большим количеством учётных записей для различных систем аутентификация на основе риска может быть ключевой экономией времени. Однако для её организации и управления требуется программное обеспечение, которое анализирует, как пользователи взаимодействуют с системой.

Выводы

Исходя из методов аутентификации, описанных в данной статье можно сделать вывод о том, что в системах, содержащих данные о гражданах или даже сведения, содержащие государственную тайну просто необходимо использовать МФА для защиты этих данных от несанкционированного доступа. В качестве факторов аутентификации в большинстве случаев лучше использовать сразу все основные факторы аутентификации, поскольку в этом случае сам факт несанкционированного доступа становится практически невозможным событием.


Библиографический список
  1. Родичев Ю.А. Информационная безопасность. Национальные стандарты Российской Федерации: учебное пособие / Ю.А. Родичев – СПб.: Питер, 2019. – 480 с.
  2. Малюк А.А. Основы политики безопасности критических систем информационной инфраструктуры / А.А. Малюк – М.: Горячая линия, 2019. – 314 с.
  3. Гребенников В.В. Управление информационной безопасностью / В.В. Гребенников – Екатеринбург: Издательские решения, 2019. – 290 с.


Количество просмотров публикации: Please wait

Все статьи автора «Кротов Андрей Вячеславович»


© Если вы обнаружили нарушение авторских или смежных прав, пожалуйста, незамедлительно сообщите нам об этом по электронной почте или через форму обратной связи.

Связь с автором (комментарии/рецензии к статье)

Оставить комментарий

Вы должны авторизоваться, чтобы оставить комментарий.

Если Вы еще не зарегистрированы на сайте, то Вам необходимо зарегистрироваться:
  • Регистрация