Мультифакторная авторизация

Безопасность
Мультифакторная авторизацияЭтот год начался в вереницы громких взломов и компьютерных атак на крупные, популярные ресурсы известных корпораций. Реальность наших дней такова, что от атаки не застрахован никто, а уязвимости существуют везде. Чем сложнее становится интернет, тем меньше наша способность уследить за уязвимостями в разных его компонентах, а самым слабым звеном, как правило, является стык – системы авторизации. Они же зачастую становятся объектами атаки хакеров.

Похищена личность, просьба вернуть за вознаграждение


Случаи «кражи личности» пока что не так распространены, но и тех случаев, которые произошли, достаточно, чтобы озаботиться сохранностью наших личных данных в хранимых на просторах сети. Сейчас любой, чья жизнь (профессиональная карьера, заработки) накрепко связана с интернетом оставляет в нем много следов и определенную часть «себя» – цифровую идентичность, «аватар», представляющий нас в информационном пространстве.

Этот «аватар», со временем, по мере того как мы вкладываем в него силы, а зачастую и средства, становится значительной ценностью – не только потому что к нему могут быть привязаны какие-то материальные ценности (кредитные карты, учетные записи Paypal etc), но и потому что он является островком идентифицируемости в анонимном пространстве интернета.

Людям всегда тяжело доверять незнакомцами и интернет с его повсеместной анонимностью усилил эту проблему. Поэтому так популярны социальные сети. Они позволяют ассоциировать «ники» с конкретными людьми, которым мы может доверять или не доверять, но это будут личности. Это же так привлекает кибермошенников к социальным сетям. Люди, привыкнув к кажущейся идентефицируемости, расслабляются и становятся беспечны. Ведь несмотря на то что в профиле может быть написано «Иван Сидоров» и стоять фотография Ивана Сидорова, печатать сообщения от его имени может кто угодно.

Но подозревать и проверять всех и каждого неудобно и раздражает других – современная интернет-культура (хотя она все больше просачивается и в оффлайн) поощряет бесконтрольное распространение личной информации. Это выгодно интернет-компаниям, делающим деньги в основном на рекламе и нуждающимся в значительном количестве этой информации для эффективного таргетинга.

Сочетание вышеупомянутых факторов делает веб, в современном виде, благоприятной средой для действий разного рода мошенников, пользующихся средствами социальной инженерии и техническими приемами для «освобождения» пользователей от принадлежащей им информации или денег. О средствах защиты от социальной инженерии мы поговорим в другой раз, а вот проблема защиты информации, которая хранится на серверах сейчас чрезвычайно актуальна.

Один замок – плохо. А два?


Как известно, «где тонко – там и рвется». Найти самое слабое звено в безопасности зачастую непросто. Есть множество векторов атаки, и защита от каждого из способов требует особого подхода. Но несколько мест можно выделить сходу, и одно из них – это система авторизации при входе в систему. Мало кто знает, но продолжение пословицы из первого предложения – «а тонко — на стыке».

Системы авторизации, в том виде в котором они существуют сейчас – это результат эволюции технологий и принципов, появившихся еще на заре интернет (тогда еще ARPANET). Они были приемлемы тогда, но не сейчас.

Сейчас традиционный метод авторизации «логин/пароль», использующийся на 99% сайтов сети, явно устарел. Он неудобен для технически малограмотных пользователей и плохо защищает от технически подкованных взломщиков.

Если один замок не спасает, то почему бы не поставить еще один? И желательно, чтобы он не открывался тем же ключом. Такая логика стоит за системами многофакторной авторизации. Факторы должны быть разными и независимыми друг от друга. Завладев одним из них, хакер не должен получить никакой информации или инструментов, которые могли бы облегчить ему нахождение второго. В идеале это должны быть разные и независимые системы.

Распространенные сейчас техники идентификации выделяют такие основные факторы, как, то, что пользователь знает (традиционный пароль), то, чем пользователь обладает (код, получаемый по телефону или смарт-карта) и то, чем пользователь является (биометрические данные, скажем отпечаток пальца или скан радужной оболочки глаза).

Использование нескольких факторов снижает шансы несанкционированного доступа, так как злоумышленнику будет затруднительно завладеть всеми необходимыми компонентами авторизации, особенно теми, которые невозможно похитить удаленно.

Сейчас наибольшее распространение получила комбинация «пароль + код, полученный через СМС по телефону» как достаточно простая в использовании, не требующая чрезмерных вложений в поддерживающую инфраструктуру (мобильные телефоны сейчас есть практически у всех) и достаточно надежная (мобильные телефоны сейчас не менее личный и оберегаемый предмет чем ключи или кредитная карточка). Подтип такой схемы, получивший распространение в связи с широким распространением смартфонов – получение кода через приложение, которое устанавливается на аппарат. Как правило это Google authenticator, версии которого есть для всех мобильных платформ и работают со всеми сервисами, которые поддерживают такой вариант авторизации. В таком случае достаточно единожды авторизовать приложение в системе, после чего оно может генерировать коды доступа автономно, что в некоторых ситуациях может оказаться незаменимым – например, в самолете, на борту которого есть Wi-Fi, но нет сотового покрытия.

Остальные тоже используются, но для массового внедрения в публичную инфраструктуру малопригодны. Физические токены стоят денег и могут быть потеряны, а для их считывания требуется специальное оборудование. То же относится и к средствам биометрической идентификации.

Ударники информационного фронта


Но вернемся в несовершенную реальность, где пока что далеко не все внедряют такие меры безопасности.

Пионером стал Google, который и начал популяризировать технологию в массах, за ним последовали некоторые другие. К сожалению, таких «других» пока можно пересчитать по пальцам одной руки – собственно Google, Dropbox, Facebook, Amazon Web Services и Paypal. Впрочем, со временем (читай: после взломов) можно ожидать, что другие присоединятся к этой практике, учитывая что более надежного и в то же время доступного для пользователей средства пока что не изобретено.

Уже сейчас можно утверждать, что вложения в такие системы – это вложения в спокойное будущее, репутацию компании и доверие клиентов. Повышенный интерес к таким системам проявляют уже подвергнувшиеся атаке компании – например Twitter после взлома разместил объявление о наборе в штат, и среди всего прочего там была вакансия инженера по системам авторизации. Хотя разумнее, конечно, не дожидаться когда грянет гром.

Своя рубашка


Внедрение такой системы авторизации значительно повышает устойчивость ИТ-инфраструктуры предприятия к разного рода атакам, и как результат – экономит силы и средства на устранение их последствий. Два основных способа интеграции – это построение своей системы идентификации на своем оборудовании, либо использование услуг посредника. Подход к развертыванию инфраструктуры может сильно разниться в зависимости от масштаба бизнеса. Рассмотрим два примера.

Малый и средний бизнес. Критичны экономическая эффективность, надежность, гибкость. Для таких предприятий интересным вариантом были бы услуги посредников, предоставляющих готовый комплекс решений – сервер авторизации, приложения для работы с ним, смарт-карты, поддержка различных методов логина. Примером такой компании может быть Duo Security. Эта компания работает по freemium-модели, предоставляя базовый пакет услуг для ограниченного количества пользователей (до 10) бесплатно, и платные корпоративные пакеты (до $3 за пользователя) для организаций разного размера. Такой подход позволяет получить работающее решение максимально быстро и снять с себя заботы по поддержке. Но учитывая характер предоставляемых услуг, стоит выбирать партнера очень тщательно

Крупный бизнес. Критичны автономность, надежность, независимость. Для крупных предприятий с высокими требованиями по безопасности имеет смысл разворачивать автономную инфраструктуру. Это обеспечит максимальную надежность – никакая информация не уходит за пределы организации. Разрабатывая и внедряя решение самостоятельно можно максимально адаптировать его к потребностям и возможностям конкретной организации. Но такие проекты дороги в разработке, а для обслуживания потребуется своя собственная служба поддержки.

Комментарии (0)


Добавление комментариев доступно только зарегистрированным пользователям. Используйте свою существующую учетную запись для авторизации. Если у Вас еще нет учетной записи на сайте ее можно создать пройдя несложную процедуру регистрации. Кстати, для входа на сайт, наравне с учетной записью на cloudzone.ru, можно использовать аккаунт из следующих популярных сервисов: Яндекс, Facebook, Google и LinkedIn