Многофакторная аутентификация — отнюдь не панацея

Многофакторная аутентификация, безусловно, более надежный метод аутентификации, чем просто пароль. Однако нужно понимать, что у данного метода есть как достоинства, так и недостатки.

Когда только появились технологии многофакторной аутентификации, некоторые специалисты утверждали, что это однозначно позволит решить все проблемы аутентификации и закроет двери для злоумышленников. Однако история, увы, говорит об ином.

Многофакторная аутентификации (или ее более доступная разновидность — двухэтапная аутентификация 2FA) не предотвращает атаки вредоносного ПО, фишинг, «человек посередине» (MitM) и другие атаки в сети. Вместе с тем предприятия, сталкивающиеся с увеличением числа пользователей, стали использовать данные технологии как способ защитить чувствительные корпоративные ресурсы.

Многофакторная аутентификация может помочь снизить количество украденных учетных данных пользователей или затруднить несанкционированный доступ к данным компании и в то же время добавить дополнительный уровень безопасности для локального доступа и общих сетевых точек входа. Вместе с тем хотелось бы, чтобы вы понимали, что 2FA — это не волшебная таблетка и всех проблем с помощью данной технологии вам не решить. Более того, на смену одним проблемам быстро могут прийти другие.

Обратная сторона многофакторной аутентификации

Первой проблемой многофакторной аутентификации является способ ее реализации. В настоящее время самым популярным вторым фактором, используемым поставщиками сервиса, является одноразовый пароль one time password — OTP.

Применяя данный тип 2FA пользователь вводит на первом уровне аутентификации персональный пароль. На следующем этапе он должен ввести маркер ОТР, обычно отправляемый с помощью SMS на его мобильное устройство. Идея способа понятна. ОТР будет доступен только тому, кто, как предполагается в теории, ввел недоступный постороннему пароль.

Однако, увы, отправлять OTP в SMS, вообще говоря, небезопасно, так как часто сообщения отправляются открытым текстом. Даже начинающие хакеры могут прочесть подобные текстовые сообщения, ведь фактически все, что им нужно — целевой номер телефона.

Кроме того, многофакторная аутентификация не в состоянии предотвратить атаки класса MitM, которые часто используются в ходе фишинговых компаний с помощью электронной почты. В случае успеха атаки пользователь перейдет по мошеннической ссылке и попадет на сайт, похожий на онлайн-портал банка. Там пользователь введет информацию о входе в систему и другие конфиденциальные данные, которые будут использоваться злоумышленником чтобы получить доступ к реальному сайту.

И хотя данная атака будет возможна для осуществления только ограниченный период времени, она все же возможна.

И последнее. А что будет, если скомпрометированы будут сами механизмы аутентификации? А ведь такое уже было. Например, успешная кибератака, приведшая к воровству данных, связанных с аутентификационными маркерами SecurID RSA в 2011 г., привела все безопасные сети по всему миру в небезопасное состояние. Можно вспомнить и другие инциденты с дырами в безопасности.

Не стоит опираться только на двухфакторную аутентификацию, ведь это всего лишь часть большой стратегии защиты, хотя, на мой взгляд, и обязательная к применению.

Автор статьи — Microsoft Most Valuable Professional, Microsoft Security Trusted Advisor.