Прежде чем говорить о двухфакторной аутентификации, предлагаю понять, что же такое просто аутентификация и почему правильно говорить именно «двухфакторная аутентификация», а не, как часто её называют, «двухфакторная авторизация».
Если кратко, аутентификация — это попытка получить ответ на вопрос «ты кто?», а авторизация — ответ на вопрос «можно ли это тебе?». Полагаю, большинство из вас уже чётко увидело разницу между аутентификацией и авторизацией. А тем, кто ещё не разглядел, рекомендую потратить немного своего времени и разобраться. Лишним это точно не будет. Дальше имеет смысл читать только если вы чётко понимаете разницу между аутентификацией и авторизацией.
Однофакторная аутентификация — это использование исключительно одного фактора для получения ответа на вопрос «ты кто?». Чаще всего для этого используется фактор знания (логин/пароль).
Многофакторная аутентификация, как вы уже догадались — это использование комбинации одновременно нескольких факторов (т.е. все факторы должны быть использованы в рамках одного процесса аутентификации). Да, факторов может быть больше, чем два. На нынешнем этапе научно-технического прогресса считается, что их четыре.
Ну а двухфакторная аутентификация (2FA) — это частный случай многофакторной аутентификации. В ней используется любые два фактора. Обычно, это факторы знания (например, логин/пароль) и владения (например, одноразовый код на мобильном устройстве, которым вы владеете).
Чаще всего, фактор владения подтверждается при помощи одноразовых паролей (кодов). Есть несколько вариантов реализации этого.
Распечатка. Пользователю предоставляется набор из паролей, каждый из которых действителен только один раз. К плюсам можно отнести то, что для получения одноразового пароля нет необходимости в электричестве и вообще чём-либо, кроме листа бумаги. К минусам, понятное дело, лист бумаги можно скопировать и использовать потом в своих корыстных целях.
Специальные устройства. Пользователю выдаётся устройство, которое по запросу пользователя отображает на экране одноразовый пароль. К плюсам отнесём простоту использования, ну а к минусам — сложность восстановления в случае утери или порчи.
Программные решения. Делают всё то же самое, что и специальные устройства, но без специальных устройств. Чаще всего, программные решения делают для использования в смартфонах. Наиболее популярные реализации: Google Authenticator, Microsoft Authenticator, Yandex.Key, 1Password. К плюсам также можно отнести простоту использования, а к минусам — необходимость наличия смартфона для работы.
SMS. Пользователю отправляется SMS с одноразовым паролем на номер его мобильного телефона. К плюсам отнесём необычайную простоту использования. Сейчас мобильные телефоны есть почти у всех. А к минусам - небезопасность SMS в качестве канала распространения одноразовых паролей. Более-менее безопасный вариант использования SMS для отправки одноразовых паролей - это когда дополнительно осуществляется проверка, что и SIM-карта не была заменена (перевыпущена), и мобильное устройство не было заменено (подменено). Но в реальной жизни мало какая информационная система делает такие проверки и ещё меньшее их количество не принимает коды, если SIM-карта или устройство были заменены.
Для того, чтобы установить приложение Telegram и начать им пользоваться, достаточно обладать сотовым телефоном с номером, который вы указываете в приложении (фактор владения, однофакторная аутентификация). Однако, при желании, вы можете дополнительно установить пароль. И тогда, чтобы начать пользоваться приложением, помимо кода из SMS, нужно ввести ещё и пароль (фактор владения и фактор знания, двухфакторная аутентификация).
Войти на портал «электронного правительства» можно при помощи логина/пароля, ЭЦП и одноразового SMS-пароля (что-либо одно на выбор пользователя). Вход и получение услуг при помощи ЭЦП вопросов не вызывает: для успешного входа нужен один ключ ЭЦП и пароль от него, для получение услуги — другой ключ ЭЦП и пароль от него. Вход по логину/паролю, хоть и не является двухвакторной аутентификацией, в принципе, тоже не вызывает вопросов: получить критичные к раскрытию персональных данных услуги по логину/паролю нельзя. И даже вход по логину/паролю и получение ряда услуг по одноразовому SMS-паролю если и вызывают вопросы, то не по аутентификации.
А вот вход по одноразовому SMS-паролю вопросы вызывает: получается, что для входа на портал, что для получения ряда услуг достаточно лишь одного фактора — пароля из SMS. Удобно? Безусловно! Безопасно? Ни разу!
Помимо того, что сами по себе SMS-пароли небезопасны, это ещё и нарушает Приказ Министра по инвестициям и развитию Республики Казахстан от 19 января 2016 года №10 «Об утверждении Правил классификации государственных услуг в электронной форме для определения способа аутентификации услугополучателя». Согласно данному приказу, не предусмотрено оказание государственных услуг в электронной форме, где способ аутентификации лишь только одноразовый пароль. И не смотрите на то, что приказ введён в действие 3 года назад: он действующий и последние изменения в него были внесены в январе 2019 года. Хотел было и дальше развить здесь данную тему, но внезапно осознал, что это уже совсем другая история.
Получить несанкционированный доступ можно к любой информационной системе. Без вариантов. Вопрос лишь в количестве ресурсов (время, деньги, человеческие жизни и т.п.), которые придётся на это потратить. А насколько большие ресурсы злоумышленники готовы на это тратить? Очевидно, что вряд ли больше цены той информации, которую они заполучат в случае успеха.
Подсмотреть (узнать, подобрать и т.п.) пароль пользователя можно. Завладеть мобильным устройством пользователя тоже можно. А вот одновременно подсмотреть пароль и завладеть мобильным устройством одного и того же пользователя, хоть и тоже можно, но уже значительно сложнее (читай — дороже).
Таким образом, использование многофакторной, в том числе, и двухфакторной, аутентификации — значительное усложнение получения несанкционированного доступа. В идеале, усложнение до уровня нецелесообразности взлома.
Мы — свободные люди (не все), живём в свободной стране (не точно), а потому сами можем принимать решение (не всегда), что нам ближе, удобство или безопасность. Думайте (да, и здесь не помешает думать) и делайте единственно верный для вас выбор.
← Не доверяй и проверяй | Содержание | ЭЦП, SMS и много других непонятных слов →