Аутентификация

Аутентификация - это процесс проверки личности пользователя, устройства или системы. Это метод кибербезопасности, используемый для обеспечения того, что лицо или организация, пытающаяся получить доступ к ресурсу, имеет на это право. Аутентификация включает в себя проверку учетных данных, таких как имя пользователя и пароль, цифровой сертификат или биометрический фактор, например отпечаток пальца или распознавание лица. Это важная часть защиты конфиденциальной информации и предотвращения несанкционированного доступа к системам и данным.

БЕСПЛАТНАЯ ПРОВЕРКА НА ВИРУСЫ

Что такое аутентификация

Методы аутентификации и лучшие практики 

С момента зарождения цивилизации человечество искало надежные и удобные способы аутентификации личности, чтобы предоставить доступ только тем, кто имеет на это право, и опередить на шаг злоумышленников. Черты лица, токены, криптография, подписи, отпечатки пальцев и пароли - вот лишь некоторые из методов аутентификации, использовавшихся до наступления цифровой эры. Сегодня аутентификация осуществляется на основе эволюции этих методов.

Например, вместо того чтобы полагаться на человеческий глаз для распознавания черт лица, мы полагаемся набиометрические инструменты , позволяющие установить подлинность человека по его радужной оболочке глаза, сетчатке глаза, отпечатку пальца, голосу или другим отличительным биологическим характеристикам. Аналогично, вместо физических жетонов системы безопасности выдают цифровые жетоны пользователям, успешно подтвердившим свою личность.

Тем не менее, злоумышленники продолжают находить способы обхода аутентификации. В прежние времена преступники могли подделывать печати, чтобы обойти защиту. Сегодня все большекиберпреступников крадут токены аутентификации, чтобы обойти MFA (многофакторную аутентификацию), иногда с разрушительными последствиями. Например, хакеры похитили токены сеансов, чтобы эффектно захватить три канала Linus Media Group на YouTube.

Команды кибербезопасности таких технологических гигантов, как Google, Microsoft и Apple, постоянно стремятся усовершенствовать свои системы аутентификации, чтобы защитить пользователей и организации от все более изощренных и частых кибератак.

Однако многие пользователи предпочитают больше удобства, чем безопасности, что объясняетмедленное внедрение MFA пользователями Microsoft , несмотря на 25,6 миллиарда попыток взлома учетных записей с помощью грубого взлома украденных паролей в 2021 году. Это также может объяснить, почему Microsoft отключила Basic аутентификацию для Exchange Online в пользу современной аутентификации, включающей такие опции, как MFA, смарт-карты, аутентификация на основе сертификатов (CBA) и сторонние Security Assertion Markup Language (SAML) провайдеры идентификации.

Читайте наше подробное руководство, чтобы узнать больше:

  1. Значение аутентификации.
  2. Двухфакторная аутентификация против многофакторной аутентификации.
  3. Аутентификация и авторизация.
  4. Методы аутентификации.
  5. Аутентификация без пароля.

Значение аутентификации

Аутентификация - это метод кибербезопасности, который помогает проверить личность системы или пользователя. Наиболее распространенным методом аутентификации является использование имен пользователей и паролей. Другие методы аутентификации, такие как биометрическая проверка, являются более сложными и тщательными. В качестве примера аутентификации можно привести попытку доступа к электронной почте: чтобы попасть в почтовый ящик, вам нужно будет ввести имя пользователя и пароль.

Почему аутентификация важна? 

Аутентификация имеет решающее значение для защиты нашей безопасности и конфиденциальности. Мы выполняем множество различных действий в Интернете, от работы и общения до покупок или хранения конфиденциальных данных, как правило, удаленно. Аутентификация помогает сохранить целостность любого цифрового пространства, например банков, облачных вычислительных платформ, страниц в социальных сетях и других, снижая риск несанкционированного доступа. Именно благодаря аутентификации мы можем доверять физически невидимым системам и личностям.

Некоторые средства аутентификации могут также замедлить или остановить кибератаку. Например, киберпреступник с украденным именем пользователя и паролем может проникнуть в учетную запись, чтобы украсть данные, распространить вредоносное ПО или инициировать атаку "человек посередине" ( Man-in-the-Middle, MitM). Однако в системе с более глубокими протоколами аутентификации их боковые перемещения могут быть остановлены.

Аутентификация также важна, поскольку она повышает ответственность пользователей. Пользователь, прошедший аутентификацию, может с меньшей вероятностью совершить вредоносные действия, поскольку знает, что за ним следят. Аутентификация может помочь организациям некоторых отраслей соблюдать законы о безопасности и конфиденциальности, повышая уровень защиты данных.

Для чего используется аутентификация? 

Аутентификация может использоваться для различных целей:

  • Безопасность устройств: Все типы устройств с операционными системами используют аутентификацию для обеспечения безопасности, включая настольные компьютеры, ноутбуки, смартфоны, планшеты и даже широкий спектр устройств Интернета вещей (IoT).
  • Безопасность учетных записей: Многие платформы используют аутентификацию для повышения безопасности учетных записей. Например, учетные записи электронной почты и социальных сетей используют аутентификацию для предотвращения доступа неавторизованных пользователей к учетным записям. Финансовые платформы защищают онлайн-банкинг, цифровые платежи и электронную коммерцию от мошенничества с помощью аутентификации.
  • Облачные вычисления: Поскольку все больше организаций переходят на платформы облачных вычислений, такие как Microsoft Azure, аутентификация используется для обеспечения безопасности активов, данных и операций. Аутентификация также используется для обеспечения безопасности организаций с локальными активами, такими как сети и системы, использующие удаленную работу.
  • Контроль доступа: Аутентификация используется не только для обеспечения внешней, но и внутренней безопасности. Организации могут использовать аутентификацию для обеспечения доступа сотрудников к сетям, приложениям и данным по принципу "необходимо знать".

Аутентификация и авторизация

Хотя аутентификация и авторизация кажутся похожими, и эти два термина иногда неправильно используются как взаимозаменяемые, в кибербезопасности это две разные концепции. Если говорить коротко, то авторизация - это процесс проверки личности по учетным данным, чертам лица, голосу или маркеру аутентификации. Авторизация - это то, что происходит после аутентификации. После того как система подтвердила подлинность системы или человека, она разрешает ему доступ к ресурсам или выполнение действий в соответствии с его привилегиями. 

Краткое объяснение аутентификации и авторизации заключается в том, что первая определяет, разрешен ли доступ субъекту, а вторая определяет, с какими ресурсами он может работать после авторизации.

Часто используемые факторы аутентификации 

Каждый, кто пользовался современной операционной системой или работал на платформе облачных вычислений, знает, что существует множество различных методов и инструментов аутентификации, таких как PIN-коды (персональные идентификационные номера), отпечатки пальцев, маркеры и IP-адреса. Эти методы и инструменты делятся на различные категории, называемые факторами аутентификации.

Факторы знания 

Фактором знания считается все, что знает пользователь, например пароль или ответ на вопрос безопасности. Факторы знаний, как правило, работают быстро, но уязвимы для взлома. Например, пароли могут быть украдены. Слабые пароли подвержены атакам методом перебора, напримератакам по словарю .

Мы настоятельно рекомендуем вам изучить , как создать надежный пароль для защиты своих учетных записей. Вы также можете рассмотреть возможность использования лучшего менеджера паролей для управления списком сложных учетных данных.

Факторы владения 

Фактор владения может быть более безопасным, чем фактор знания, поскольку для подтверждения личности пользователя требуется наличие у него определенного предмета, например токена или смартфона. Например, система может отправлять одноразовый пароль на смарт-устройство пользователя, когда он пытается получить доступ. Однако факторы владения тоже не идеальны, поскольку их можно перехватить или украсть.

Наследственные факторы 

Одним из самых надежных факторов аутентификации является фактор наследования, поскольку он опирается на уникальные физические характеристики пользователя, такие как отпечаток пальца или радужная оболочка глаза.

Самый большой недостаток использования наследственных факторов заключается в том, что аппаратное обеспечение системы должно быть способно воспринимать и обрабатывать биометрические данные, хотя большинство современных устройств оснащены такими функциями.

Фактор наследования также может оказаться слишком эффективным в редких случаях. Например, было много случаев, когда ближайшие родственники не могли получить доступ к криптовалюте своего умершего ребенка, потому что его устройство было защищено фактором наследования. 

Факторы местоположения 

Организация, например служба потокового вещания, может использовать такой фактор местоположения, как геоблокировка, для ограничения доступа пользователей из определенных мест. Например, такая служба потокового вещания, как Netflix USA, может запретить пользователям из Канады просматривать определенный контент. Однако факторы местоположения обычно имеют обходные пути. Например, человек в Канаде теоретически может использоватьчастный VPN , чтобы скрыть свое местоположение и получить доступ к Netflix USA.

Поведенческие факторы 

Поведенческий фактор аутентификации требует от пользователя выполнения определенных действий для подтверждения его личности. Например, от пользователя может потребоваться нарисовать определенные узоры или решить сложную головоломку, чтобы доказать, что он человек, а не бот. В reCAPTCHA от Google используется механизм анализа рисков и отслеживания движений мыши для проверки поведения человека.

Виды аутентификации 

Аутентификация на основе пароля

Наиболее распространенная форма аутентификации - аутентификация по паролю - представляет собой процесс проверки личности пользователя путем ввода пароля, полностью совпадающего с хранящимся в памяти. Система отклонит пароль, который хотя бы на один символ не соответствует хранящемуся в памяти паролю.

Как уже говорилось, хакеры могут очень быстро угадать слабые пароли, используя новейшие инструменты. Поэтому пользователям следует устанавливать сложные пароли длиной не менее 10 символов и периодически менять их.

Многофакторная аутентификация (MFA)

MFA возникла в силу необходимости. Даже самый сложный пароль может быть украден. При использованиимногофакторной аутентификации неавторизованным пользователям, возможно, придется подтвердить свою личность другим способом, если они спровоцируют срабатывание системы безопасности. Например, если при попытке входа в систему система обнаруживает новое устройство или IP-адрес, она может запросить PIN-код или токен, даже если пользователь предъявил правильные учетные данные.

Двухфакторная аутентификация (2FA)

Многие задаются вопросом о разнице между 2FA и MFA. Ответ заключается в том, что 2FA - это, по сути, подмножество MFA. Как уже говорилось, MFA требует двух или более факторов аутентификации. 2FA запрашивает только два, обычно это пароль и код, отправленный на учетную запись электронной почты или мобильное устройство. Чтобы узнать больше, вы можете ознакомиться сосновами двухфакторной аутентификации на сайте .

В то время как пользователи страниц в социальных сетях используют 2FA для защиты своих аккаунтов, некоторые платформы, к сожалению, монетизируют безопасность аккаунтов. Например, вы могли читать о Twitter и двухфакторной аутентификации, где платформа кардинально меняет настройки безопасности. С 19 марта пользователи не могут использовать 2FA на основе SMS без оплаты подписки.

Однако у пользователей есть и другие варианты (пока что). Например, они могут настроить двухфакторную аутентификацию в Twitter с помощью аппаратного ключа для повышения уровня безопасности. Аппаратный ключ - лучший инструмент безопасности, чем SMS, который открыт для атаки с подменой.

Однофакторная аутентификация (SFA) 

Как следует из названия, SFA требует от пользователей только одного элемента аутентификации. Как правило, наиболее распространенным типом SFA является пароль. Хотя SFA может быть более удобным, чем MFA, он может быть значительно менее безопасным, особенно если тип аутентификации слабый. SFA также уязвима для атак социальной инженерии, таких как фишинг.

Аутентификация на основе сертификатов

При этом типе аутентификации система использует цифровой сертификат. Аутентификация на основе сертификатов более безопасна, чем пароли, поскольку сертификаты сложны, используют ключи и могут быть отозваны выдавшим их органом. Высокопоставленные организации, такие как правительства, используют эту криптографическую технику для повышения безопасности.

Биометрическая аутентификация

Как уже говорилось, биометрическая аутентификация использует для защиты систем уникальные физические характеристики, такие как отпечатки пальцев, голос или радужная оболочка глаза. Биометрическая аутентификация является наиболее безопасной и удобной формой аутентификации.

Аутентификация на основе токенов

Веб-приложения, API и другие системы часто используют токены для аутентификации пользователей. В двух словах, токен - это уникальный идентификатор, который выдается авторизованному пользователю. В то время как использование токенов растет в связи с появлением гибридных рабочих сред, увеличивается и количество краж токенов.

Basic аутентификация 

Система базовой аутентификации запрашивает только имя пользователя и пароль для проверки подлинности. Системы, использующие базовые методы, более уязвимы для хакеров. В настоящее время базовую аутентификацию используют только внутренние тестовые ресурсы или публичные системы, такие как общественный WiFi. Basic аутентификации - это главная причина, по которой пользователи должны быть более осторожны при использовании общественного WiFi.

Аутентификация без пароля

Поскольку пользователи и организации требуют большего удобства в обеспечении безопасности, в корпоративных средах и на потребительских платформах все большую популярность приобретают такие варианты беспарольной аутентификации, как биометрия, ключи безопасности, токены и одноразовые коды.

Помимо дополнительного удобства, беспарольная аутентификация может обеспечить большую безопасность, поскольку многие пользователи продолжают использовать слабые пароли или становятся жертвами фишинговых атак, атакующих учетные данные.

Аутентификация на основе знаний (KBA) 

KBA - это тип аутентификации, который проверяет знание человеком информации, сохраненной им для подтверждения своей личности. Примерами KBA могут служить ответы на вопросы об улице, на которой он вырос, о его любимом цвете или девичьей фамилии матери.

Существует несколько причин, по которым KBA является слабым методом аутентификации. Поскольку на досках объявлений и платформах социальных сетей, таких как LinkedIn и Facebook, в открытом доступе находится больше данных о пользователях, угрожающему субъекту проще собрать необходимые данные, чтобы обойти KBA. Кроме того, пользователи реже задают сложные ответы на секретные вопросы, чем сложные пароли.

Взаимная аутентификация

Взаимная аутентификация, также известная как двусторонняя аутентификация, - это тип аутентификации, при котором обе стороны в соединении проверяют друг друга, обычно с помощью цифровых сертификатов. Хотя взаимная аутентификация чаще всего используется в таких протоколах связи, как Transport Layer Security (TLS) и Secure Sockets Layer (SSL), многие устройства Интернета вещей (IoT) также используют эту технику в соединениях между устройствами.

SMS-аутентификация

SMS-аутентификация использует текстовые сообщения в качестве компонента MFA. SMS-аутентификация лучше всего работает, когда методы аутентификации не содержат никаких примесей. Например, у одного из операторов беспроводной связи возникла блестящая идея смешатьSMS-аутентификацию с рекламой, что может позволить участникам угроз разрабатывать более убедительные smishing-атаки.

Аутентификация сети или сервера 

Сетевая аутентификация - это идентификация пользователей, которые пытаются получить доступ к сети или серверу. Этот тип аутентификации используется в протоколах связи, VPN, межсетевых экранах и системах, контролирующих доступ к приложениям.

Аутентификация с помощью секретного ключа

В системе, использующей аутентификацию с секретным ключом, пользователь и система совместно используют криптографический ключ сеанса, который известен только обеим сторонам. Эти ключи являются симметричными. Другими словами, они работают как для шифрования, так и для дешифрования. Коммуникационные протоколы, такие как Secure Sockets Layer (SSL), используют авторизацию с секретным ключом для обеспечения безопасности передачи данных, например между веб-браузером и веб-сайтом.

Ключ физической защиты

Физический ключ безопасности - это элемент оборудования, который помогает пользователю подтвердить свою личность и является примером фактора владения. Физический ключ безопасности обычно генерирует уникальный код, который передается системе для аутентификации. Физические ключи безопасности стали использоваться только высокопоставленными организациями, такими как банки и спецслужбы, более десяти лет назад.

Однако сегодня множество различных платформ, таких как игровые, электронные и социальные сети, позволяют пользователям защищать свои аккаунты с помощью физических ключей безопасности. Например, пользователи могут включить аутентификацию с помощью аппаратных ключей Facebook iOS и Android, чтобы обеспечить дополнительный уровень безопасности своих учетных записей.

Лучшие практики аутентификации

  1. Остерегайтесь вредоносных программ, предназначенных для кражи учетных данных или конфиденциальной информации, таких как некоторые виды троянов, шпионских программ и кейлоггеров. Также узнайте насайте , как удалить кейлоггер, поскольку он может собирать нажатия клавиш, скриншоты и другую информацию, чтобы обмануть систему аутентификации.
  2. Устанавливайте пароли длиной не менее десяти символов, состоящие из цифр, символов и букв.
  3. Избегайте использования в паролях известных шаблонов, таких как дата рождения или имя любимой знаменитости.
  4. Никогда не храните учетные данные для входа в систему на виду, например на листе бумаги на столе. Шифруйте пароли в устройствах.
  5. Помогите своему паролю, используя методы MFA, такие как биометрическая идентификация или ключ безопасности.
  6. Опасайтесь атак социальной инженерии, направленных на кражу ваших учетных данных.
  7. Не используйте пароль повторно, иначе украденный пароль может привести к взлому нескольких учетных записей.
  8. Регулярно меняйте свой пароль. Для удобства попробуйте использовать надежный менеджер паролей.
  9. Порекомендуйте сетевому администратору вашей организации ограничить длину сеанса, чтобы предотвратить перехват сеанса.
  10. Администраторы должны отслеживать журналы аутентификации и сетевые данные, чтобы оперативно реагировать на подозрительную активность, например на многочисленные попытки доступа с подозрительных IP-адресов.
  11. Организациям следует рассмотреть возможность внедрения архитектуры нулевого доверия для повышения уровня безопасности.
Malwarebytes логотип на синем фоне

Похожие статьи

Что такое кибербезопасность?

Советы по безопасности в Интернете

Passkey

Вопросы и ответы

Что такое аутентификация и пример?

Аутентификация - это процесс проверки личности пользователя, устройства или системы. Это механизм безопасности, используемый для обеспечения того, что лицо или организация, пытающаяся получить доступ к ресурсу, имеет на это право.

Примером аутентификации может служить вход в учетную запись электронной почты с помощью имени пользователя и пароля. Система проверяет ваши учетные данные по базе данных авторизованных пользователей, чтобы убедиться, что вы тот, за кого себя выдаете. Если ваши данные совпадают, вам предоставляется доступ к учетной записи электронной почты. Это помогает предотвратить несанкционированный доступ к вашей электронной почте и защитить вашу личную информацию.

Каковы 3 типа аутентификации?

  1. Аутентификация на основе знаний: Этот тип аутентификации предполагает предоставление пользователем информации, которую должен знать только он, например, пароль, PIN-код или ответ на вопрос безопасности.

  2. Аутентификация на основе владения: Этот тип аутентификации предполагает предоставление пользователем подтверждения владения физическим объектом, таким как маркер безопасности, смарт-карта или мобильное устройство.

  3. Аутентификация на основе ингерентности: Этот тип аутентификации предполагает предоставление пользователем биометрической информации, такой как отпечаток пальца, распознавание лица или сканирование радужной оболочки глаза, для подтверждения его личности.