Что такое двухфакторная аутентификация?
- Глоссарий IAM
- Что такое двухфакторная аутентификация?
Двухфакторная аутентификация — это процесс безопасности, в котором пользователи предоставляют два разных фактора аутентификации для подтверждения личности. Этот способ представляет собой дополнительный уровень безопасности, призванный гарантировать, что лицо, пытающееся получить доступ к учетной записи в Интернете, является тем, за кого себя выдает. Первым фактором, как правило, является пароль или личный идентификационный номер (PIN-код), а второй может варьироваться от физических объектов (таких как смарт-карта или токен безопасности) до биометрических данных (таких как отпечаток пальца или распознавание лица) или сигнала местоположения.
Элементы двухфакторной аутентификации
Двухфакторная аутентификация обычно включает в себя сочетание двух различных типов способов аутентификации из следующих категорий.
Фактор знаний — то, что вы знаете
Это может быть пароль, PIN-код или ответ на секретный вопрос.
Фактор владения — то, чем вы обладаете
Это может быть физический токен, такой как смарт-карта или ключ безопасности USB, или виртуальный токен, сгенерированный приложением для аутентификации на смартфоне пользователя. Эти виртуальные токены называются одноразовыми паролями (OTP) или одноразовыми паролями на основе времени (TOTP).
Биометрический фактор — то, кем вы являетесь
Биометрическая информация, такая как отпечаток пальца, распознавание лица или сканирование радужной оболочки глаза.
Фактор местоположения — то, где вы находитесь
Ваше географическое местоположение. Некоторые приложения и службы доступны только пользователям, находящимся в определенном географическом регионе. Этот конкретный фактор аутентификации часто используется в средах безопасности с нулевым доверием.
Различия между двухфакторной и многофакторной аутентификацией
Двухфакторная аутентификация — это процесс безопасности, который сочетает в себе два разных фактора аутентификации. Многофакторная аутентификация, напротив, использует два или более факторов аутентификации, что обеспечивает более высокий уровень безопасности. Проще говоря, двухфакторная аутентификация является типом многофакторной аутентификации, и многофакторная аутентификация может требовать большего количества шагов, чем двухфакторная, для дальнейшего повышения безопасности. Подробную информацию см. в этой статье.
Разница между двухфакторной и двухэтапной аутентификацией
Двухфакторная аутентификация требует от пользователей предоставления двух различных типов учетных данных для подтверждения личности. Эти учетные данные основаны на том, что знает пользователь (например, пароль), чем владеет пользователь (например, смартфон) или на неотъемлемом аспекте биометрических данных пользователя (например, отпечаток пальца). Таким образом, двухфакторная аутентификация требует использования двух полностью отдельных уровней безопасности, что повышает защиту процесса аутентификации. Следовательно, даже если один из уровней скомпрометируют, второй продолжит защищать учетную запись.
И наоборот, двухэтапная проверка (также называемая двухэтапной аутентификацией) включает в себя процедуру, требующую от пользователей выполнения двух отдельных этапов для подтверждения личности. Примечательно, что эти этапы могут не требовать разных типов учетных данных для аутентификации. Например, первый шаг может включать в себя ввод пароля, а следующий — использование временного кода, отправленного на мобильный телефон пользователя. Существенным аспектом двухэтапной проверки является требование к двум отдельным действиям, которые не обязательно должны включать различные типы учетных данных для аутентификации.
| Характеристика | Двухфакторная аутентификация (2FA) | Двухэтапная проверка |
|---|---|---|
| Определение | Требуется два разных типа факторов аутентификации. | Требуется два этапа проверки, которые могут быть результатом одного или разных типов факторов. |
| Факторы аутентификации | Использует два разных фактора: то, что вы знаете (пароль), то, что у вас есть (токен безопасности, телефон), или то, кем вы являетесь (биометрическая проверка). | Может использовать два экземпляра одного и того же типа фактора (например, пароль за которым следует код, отправленный в SMS) или разные типы. |
| Уровень безопасности | Как правило, считается более безопасным, поскольку требует от пользователя двух разных типов доказательств, что затрудняет несанкционированный доступ. | Обеспечивает дополнительную безопасность по сравнению с одним паролем, но может быть менее безопасной, чем двухфакторная аутентификация, если в обоих случаях используются одинаковые факторы. |
Способы двухфакторной аутентификации
Существуют различные способы реализации двухфакторной аутентификации, и каждый из них выбирают на основе потребностей пользователя и требований к безопасности. Ниже приведены некоторые распространенные способы двухфакторной аутентификации.
1. Аутентификация на основе SMS
При аутентификации на основе SMS, когда пользователь пытается войти в систему, с сервера на мобильный телефон пользователя отправляется временный код аутентификации. Пользователю необходимо ввести этот код аутентификации во время входа в систему. Преимущество этого способа заключается в том, что его можно легко реализовать, поскольку мобильный телефон есть у большинства пользователей. Однако существуют риски безопасности, такие как перехват SMS-сообщений и атаки с подменой SIM-карты, поэтому этот способ не рекомендуется, если доступны другие варианты.
2. Приложения для аутентификации
Использование приложений для аутентификации (например, определенных менеджеров паролей, Google Authenticator, Authy) для двухфакторной аутентификации безопаснее, чем аутентификация на основе SMS. В этом способе пользователи генерируют временный код аутентификации с помощью приложения для аутентификации на своем смартфоне. Этот код необходимо ввести во время входа в систему. Код аутентификации меняется каждые несколько секунд, что повышает безопасность. Кроме того, он не требует подключения к Интернету, поэтому его можно использовать в автономных средах.
3. Физические ключи безопасности
Использование физических ключей безопасности (например, YubiKey) позволяет пользователям аутентифицировать себя путем подключения определенного устройства USB или устройства NFC к компьютеру или смартфону. Этот способ считается очень надежным средством против фишинговых атак. Поскольку ключом безопасности нужно владеть физически, он эффективно снижает риск несанкционированного доступа, но также необходимо учитывать риск потери ключа.
4. Биометрическая аутентификация
Биометрическая аутентификация использует биометрическую информацию пользователя, такую как отпечаток пальца, распознавание лица или радужной оболочки глаза, для аутентификации. Этот способ очень удобен для пользователей и обеспечивает высокую безопасность. Биометрическая аутентификация широко поддерживается на мобильных устройствах и некоторых новейших компьютерах. Однако, поскольку биометрическую информацию невозможно изменить, необходимо также учитывать риск утечки данных.
