Спим спокойно с 2FA: факторы аутентификации пользователя и их выбор

Все вокруг пугают, что ваш аккаунт непременно угонят и будут использовать самыми извращёнными способами. Складывается ощущение, что это проблема пользователя, ведь крадут у него. Это не совсем так. Риску подвергаются компании, которые предоставляют возможность иметь аккаунт на своей инфраструктуре клиентам и сотрудникам. Защита от злоумышленников волнует любой нормальный бизнес точно так же, как любого человека.

Роль аутентификации

Процедура «входа» человека в онлайн-сервис, в приложение или даже в настоящее здание делится на три составляющие:

1. Идентификация — выявление идентификатора, однозначно определяющего данный субъект в информационной системе
2. Аутентификация — проверка подлинности личности путём сравнения введённых им данных с базой
3. Авторизация — предоставление личности или группе прав на выполнение определённых действий

Почему в этих трёх шагах очень важна аутентификация? После неё идёт авторизация, то есть выдача прав. Вы можете предоставить права не тому человеку, а какие последствия это повлечёт, зависит от продукта. В любом случае, если на шаге аутентификации есть ошибка, это значит:

• страдает пользователь — потенциальный злоумышленник распоряжается его данными, его контентом и его личностью в отдельно взятой экосистеме, масштабы потерь могут варьироваться от репутационных из-за спама в чатах до финансовых и правовых махинаций и краж реальных объектов
• страдает компания — фальшивый пользователь может совершать фальшивые запросы, получать доступ к коммерческой информации, заниматься социальным инжинирингом и так далее

С целью отсеять вредоносные запросы компании усложняют аутентификацию, стараясь поставить такой порог, чтобы он был статистически безопасен и не отваживал благонадёжных людей.

Это игра, в которую можно только играть, но не выиграть, потому что нет на 100% эффективной вакцины. Балансирование между потребностями безопасности и потребителей позволяет избегать кибератак и минимизировать их последствия.

Фактор развития

Несколько лет назад даже в самых известных сервисах аутентификацию проводили по одному фактору. То есть, был лишь один способ подтверждения личности. Между тем, с 2023 года второй фактор стал обязательным на Госуслугах, что можно считать принятием его как фактического национального стандарта.

Самое время вводить 2FA, если вы этого ещё не сделали. Злоумышленники тоже не стоят на месте, подвесить сервис конкурента на день массовыми запросами или втереться в доверие к сотруднику с целью выпытать конфиденциальную информацию — в порядке вещей.

Двухфакторная аутентификация требует предоставить два подтверждения своей личности разными способами. Чем больше факторов, тем выше безопасность, потому что злоумышленнику труднее их выяснить и подделать, а системе — ошибиться.

Хуже становится только пользователю. Дело может затрудняться настолько, что человеку проще отказаться от сервиса, чем мучаться с ним. Такова плата за то, что аккаунт останется при нём. А если упростить проверку, её смогут пройти взломщики.

Это баланс между силой потребности и количеством усилий для преодоления порога. Факторов может быть сколько угодно, но именно желание оставить свободной дорогу для пользователя заставляет со скрипом вводить даже второй, не говоря о третьем факторе, а также их наиболее сложные виды.

Очень важен выбор удачной конфигурации.

Виды факторов аутентификации

Есть общепринятая, народная типологизация факторов. Согласно ей, существует три типа. Их названия могут быть непонятны сходу, зато потом обязательно наступает момент “а-а-а, ну конечно же!”.

• Знания (в англоязычной классификации Something you know — «То, что вы знаете») — информация, которую знает только пользователь, такая как пароль, PIN-код, ответ на секретный вопрос
• Физический объект (Something you have — «То, что у вас есть») — нечто физическое, что находится у пользователя, например, смартфон, смарт-карта, USB-ключ
• Характеристика пользователя (Something you are — «То, чем вы являетесь») — фактор основан на свойствах самого пользователя, таких как отпечатки пальцев, радужка глаза, голосовые данные и другие, более замысловатые параметры

Их можно сочетать в любом порядке и количестве. Частотность употребления того или иного подхода дискуссионна. На наш взгляд, даже простой, непрофессиональный пользователь смартфона и ПК может сталкиваться со всеми тремя ежедневно. Скажем, на Госуслугах ввести код с телефона, восстановить пароль от соцсети ответом на контрольный вопрос и открыть мессенджер через FaceID.

Знания (Something you know)

Информация, которую знает только пользователь

Хакеру довольно трудно влезть вам в голову. Усилия обычно слишком велики, несопоставимы с результатом. Никто не будет досконально изучать каждого из сотен тысяч людей, чтобы создать, например, ботнет. Такой взлом производится массово и автоматически.

Однако, с важностью личности пользователя для конкретной потребности заказчика взлома вероятность изучения увеличивается. Если кто-то кому-то очень нужен, взлом рано или поздно состоится. Но на высоком уровне выгоды будет большой риск оставить следы, и взломщиком вместо службы поддержки займутся совсем другие службы.

Поэтому уникальные знания человека остаются хорошей защитой его данных. Вопрос в том, насколько сложные знания вы выбрали.

Примеры:

• PIN-код. Пользователь вводит уникальный код, который заранее задал любым способом. Иногда их присылают на почты или телефоны, чтобы бороться с забывчивостью
• Ответ на вопрос. Пользователь должен предоставить ответ на заранее выбранный вопрос (например, «Кличка первого домашнего животного?»)
• Кодовое слово или фраза. Предварительно установленное сочетание букв или слов

Эти методы дают дополнительный уровень безопасности, но имеют недостатки, которые связаны с человеческой природой. Вы можете просто забыть пароль; любое знание стирается из памяти, заставляя угадывать, перебирать варианты, восстанавливать доступ, что с точки зрения бизнеса не очень хорошо, потому что влечёт затраты на обработку запросов и на эмоциональном уровне понижает желание человека работать с сервисом.

Физический объект (Something you have)

Вещь, которая есть только у пользователя

В веб-сервисах и мобильных приложениях этот метод 2FA чаще всего обращается к личным мобильным устройствам. В бизнесе и госучреждениях часто встречаются ключ-карты и USB-ключи для цифровой подписи.

Преимущества такого подхода — это удобство, принятие массовым пользователем, которого не будет шокировать требование конкретного устройства, а также потенциальное наличие дополнительного уровня защиты собственно в устройстве. Скажем, в смартфонах можно скрыть тексты сообщений на экране блокировки, чтобы даже укравший гаджет злоумышленник не мог посмотреть второй фактор без разблокировки по биометрии.

Примеры:

• SMS-коды. Пользователю отправляется одноразовый код на зарегистрированный телефон посредством SMS. При входе в систему нужно должен ввести этот код, чтобы завершить процесс аутентификации
• USB-ключи (токены). Это физические устройства, которые генерируют одноразовые ключи доступа. Пользователь получает доступ к системе, вставив токен в компьютер или мобильное устройство и вводя сгенерированный пароль.
• Приложения-аутентификаторы. Это мобильные приложения, которые генерируют одноразовые пароли. Пользователь открывает такое, получает пароль или просто разрешает доступ нажатием кнопки
• Смарт-карты. Пластиковые карты с информацией для аутентификации. Пользователь должен вставить смарт-карту в устройство считывания и ввести PIN-код

Как и прочие, этот метод не лишён недостатков. Казалось бы, дополнительный уровень безопасности на устройстве защищает вас от кражи. Но если гаджет украли, вы тоже не получите свой доступ. Для таких случаев нужно предусмотреть защиту от краж. При растущей важности цифровизации легко упустить из виду старые-добрые воровство и грабёж.

Характеристика пользователя (Something you are)

Человек — это то, что он есть

Здесь можно было бы говорить о биометрии, если бы дело касалось только человека. Есть, например, посты весового контроля грузовых автомобилей. Они могут не пропускать машины с избыточной загрузкой или даже определять загрязнение номеров и требовать их очистки от водителя. Это уже не био-, а машинометрия. Хотя водителя при этом тоже могут проверять.

Проходить контроль может любая сущность в любом составе, контролирующая система может замерять самые разные характеристики её в целом и составных частей. Однако чаще всего встречается именно биометрическая аутентификация.

Примеры:

• Отпечатки пальцев. Уникальные узоры на ваших пальцах, метод старый и надёжный, датчики точные и скоростные, могут располагаться под поверхностями для физической защиты
• Сетчатка или радужка глаза. Распознавание по сетчатке учитывает уникальное строение внутренней оболочки глаза, обусловленное расположением тончайших сосудов. Распознавание по радужной оболочке — совершенно иной тип аутентификации, основанный на другой части зрительной системы
• Голос. Системы аутентификации могут замерять параметры извлекаемого человеком звука и выделять паттерны таких особенностей, как частота, тональность и тембр
• Скан лица. Такие сканы могут делать как обычные камеры, так и датчики с лазерной проекцией, вроде LiDAR. Последнее надёжнее, но алгоритмы искусственного интеллекта показывают чудеса и с 2D-кадрами. Здесь играют роль цвет, форма, размер лица, относительное расположение органов

Плюсами подхода Something you are в некоторых реализациях принято считать высокую трудоёмкость подделки и удобство использования. Но эти вещи очень сильно зависят от выбранной технологии. Данная сфера быстро развивается и предлагает широкий диапазон возможностей.

Минусы вытекают из плюсов: если данные скомпрометированы, у вас будут проблемы, а подделать их всё же можно. Людям кажется, что биометрия — это панацея, однако это не так. Поэтому в чувствительных системах это лишь один из факторов.

Выбор факторов аутентификации для мобильного приложения и веб-сервиса

Родной рынок Spider Group — мобильные приложения и корпоративные веб-системы. Поэтому мы можем компетентно поделиться опытом о защите данных в таких случаях.

В нашей практике наиболее популярными методами двухфакторной аутентификации являются отправка кодов в SMS и по почте, PIN-коды и биометрия. Третий фактор встречается крайне редко, хотя в финансовой сфере он уместен. Компании не заморачивают своих клиентов и сотрудников более сложными входами, потому что всегда есть риск перегнуть палку.

Тем не менее, в кейсах ниже вы увидите, что чаще возникает риск её недогнуть. Проблемы вызывает первичность продаж над безопасностью, когда ей жертвуют ради главных KPI, но забывают, что объём последствий не всегда можно предугадать. Низкое качество применяемых решений компрометирует любую защиту.

Наконец, непродуманность защиты может повлечь непредвиденные потери. Такое происходит, к примеру, если службу отправки SMS-подтверждений завалили запросами, а в ней не установлены лимиты на оплату и тайм-ауты. С email гораздо проще, это почти бесплатно, но не всегда подходит мобильным сервисам. Не все люди следят за почтой, зато все получат SMS. Это вопрос цифровой готовности целевой аудитории и конкретных путей пользователя.

Внутрикорпоративные порталы есть смысл защищать серьёзнее. Здесь адекватен более высокий порог входа, потому что у людей почти непреодолимый стимул его проходить — работа. Однако портить людям труд глупостями, вроде частого разлогина и несохранения данных в формах, тоже не стоит.

Как ни странно, кодовая фраза или набор символов, записанные на бумаге, оказываются одним из самых безопасных способов, потому что попытка их узнать для злоумышленника будет иметь высокий риск компрометации. Этим пользовались банки, но в современном мире такой способ не находит понимания у аудитории, которая хочет решать всё на смартфоне. И теряет бумажки.

Случаи, которые сначала смешные, а потом не очень

SMS-фобия

Одно знакомое нам кафе с доставкой не хотело платить за SMS-уведомления для подтверждения заказов. А тут ещё и риск DDoS от конкурентов, когда и деньги утекут, и система упадёт. Ребята подошли к вопросу творчески и заставили клиентов звонить им и подтверждать заказы. Схема работает, но неудобно.

Слушаю и повинуюсь

Игрушечный-монстра-трак на пневме, 112 водных горок и гидромассажная ванна за $500 — вот лишь некоторые из товаров, которые заказал на Amazon пятилетний сын Такера Бохмана через голосового помощника Алексу. Ребёнок два часа приказывал Алексе выполнять задания, не связывая их с последствиями более чем на тысячу долларов. Ролик с записью беседы юного разума с искусственным набрал в TikTok миллионы просмотров. Вернул ли Бохман деньги — мы не знаем.

Грабитель в маске

Гость московского Ашана Антон Леушин одним из первых испытал на себе «преимущества» новой системы распознавания лиц. В октябре 2020 года он зашёл в гипермаркет за покупками, но не смог ничего купить, потому что охранники обвинили его в краже. Оказалось, что система распознавания лиц ошибочно узнала в нём преступника, который за три недели до этого украл алкоголь на ₽78 000. Особый шик истории придаёт то, что система смогла сделать вывод, несмотря на наличие на человеке медицинской маски из-за ограничений в пандемию COVID-19. Так Антона лишили доступа в магазин и чуть не лишили свободы, хотя он даже не знал, что проходит проверку.

Пятилетний шопоголик

В 2022 году пятилетняя девочка с телефона мамы случайно заказала 93 товара на Wildberries. Неизвестно, как ребёнок прошёл подтверждение личности, но мама решила не забирать товары и лишилась 9300 рублей — по 100 рублей за обратную отправку товара, как гласят правила маркетплейса. Вернуть деньги удалось только через суд. Этот и подобные (1, 2, 3, 4) кейсы ставят вопрос о том, так ли хороша система аутентификации Wildberries, и является ли экономически целесообразным её усложнение для всех.

Над всеми такими случаями принято смеяться. До того, как нечто подобное произойдёт со смеющимся или его близкими. Вопрос ввода двухфакторной аутентификации перед бизнесом уже не стоит — он решён, надо вводить. Для выбора метода обратитесь к богато описанному в Сети опыту других компаний или к профессионалам, которые делают это на потоке и изучили предмет вдоль и поперёк, чтобы вам не пришлось.

Теперь взгляните на свой телефон и вспомните, сколько чудесного в нём есть; порадуйтесь тому, что кто-то поработал над защитой всего, что он хранит. Ваши данные под замком. Или нет?

Далее: Защитились от DDoS в пик продаж. Пошаговый кейс

В Spider Group на вас работает более чем двадцатилетний опыт в разработке мобильных приложений, веб-разработке, серверных проектах, дополненной реальности, искусственном интеллекте и интернете вещей.