Аутентификация

Аутентификация — это процесс проверки подлинности пользователя, устройства или системы. Это метод кибербезопасности, используемый для гарантии, что человек или объект, пытающийся получить доступ к ресурсу, действительно имеет на это права. Аутентификация включает проверку учетных данных, таких как имя пользователя и пароль, цифровой сертификат или биометрический фактор, например, отпечаток пальца или распознавание лица. Это важная часть защиты конфиденциальной информации и предотвращения несанкционированного доступа к системам и данным.

БЕСПЛАТНАЯ ПРОВЕРКА НА ВИРУСЫ

Что такое аутентификация

Методы аутентификации и лучшие практики 

С зарождения цивилизации человечество искало безопасные и удобные способы подтверждения личности для обеспечения доступа только тем, кто имеет на это право, и поддержания преимущества над злоумышленниками. Черты лица, жетоны, криптография, подписи, отпечатки пальцев и пароли — это лишь некоторые из методов аутентификации, использовавшихся до наступления цифровой эпохи. Эволюция этих методов задает вектор развития аутентификации сегодня.

Например, вместо того чтобы полагаться на человеческий глаз для распознавания черт лица, мы используем инструменты биометрии для аутентификации человека по радужной оболочке глаза, сетчатке, отпечатку пальца, голосу или другим специфическим биологическим характеристикам. Так же вместо физических жетонов, системы безопасности выдают цифровые жетоны пользователям, успешно подтвердившим свою личность.

Однако злоумышленники продолжают находить способы обхода аутентификации. В прежние времена преступники могли подделать пломбы, чтобы обойти защиту. Сегодня всё больше киберпреступников крадут токены аутентификации, чтобы обойти MFA (многофакторную аутентификацию), иногда с разрушительными последствиями. Например, хакеры захватывали токены сеансов, чтобы внезапно завладеть тремя каналами Linus Media Group на YouTube.

Команды кибербезопасности в технологических гигантах, таких как Google, Microsoft и Apple, постоянно стремятся улучшить свои системы аутентификации, чтобы защитить пользователей и организации от все более изощренных и частых кибератак.

Однако многие пользователи предпочли бы больше удобства, чем безопасности, что объясняет медленное внедрение многофакторной аутентификации у пользователей Microsoft несмотря на 25,6 миллиарда попыток угона аккаунтов с использованием атак методом подбора паролей в 2021 году. Это также может объяснить, почему Microsoft отключил базовую аутентификацию для Exchange Online в пользу современной аутентификации, предлагающей такие опции, как MFA, смарт-карты, сертификационная аутентификация (CBA) и сторонние поставщики идентификации на основе Security Assertion Markup Language (SAML).

Читайте наше подробное руководство, чтобы узнать больше о:

  1. значение аутентификации.
  2. Двухфакторная аутентификация против многофакторной аутентификации.
  3. Аутентификация против авторизации.
  4. Методы аутентификации.
  5. Аутентификация без пароля.

Значение аутентификации

Аутентификация — это метод кибербезопасности, который помогает подтверждать подлинность системы или пользователя. Самый распространенный метод аутентификации — с использованием имени пользователя и пароля. Другие методы, такие как биометрическая проверка, более сложные и тщательные. Например, при попытке получить доступ к электронной почте, вам нужно будет ввести имя пользователя и пароль, чтобы попасть в свой почтовый ящик.

Почему аутентификация важна? 

Аутентификация критически важна для защиты нашей безопасности и конфиденциальности. Мы выполняем множество действий онлайн, от работы и общения до покупок и хранения приватных данных, как правило, удаленно. Аутентификация помогает сохранять целостность любой цифровой среды, как банки, платформы облачных вычислений, страницы социальных сетей и другие, снижая риск несанкционированного доступа. Именно благодаря аутентификации мы можем доверять нематериальным системам и личностям.

Некоторые инструменты аутентификации могут замедлить или остановить кибератаку. Например, киберпреступник с украденным именем пользователя и паролем может проникнуть в аккаунт, чтобы украсть данные, установить вредоносное ПО или провести атаку Man-in-the-Middle (MitM). Однако их боковые движения могут быть остановлены в системе с глубокой аутентификацией.

Аутентификация также важна, потому что она увеличивает ответственность пользователя. Аутентифицированный пользователь может с меньшей вероятностью заниматься злонамеренной деятельностью, зная, что за ним следят. Аутентификация может помочь организациям из некоторых отраслей соблюдать законы о безопасности и конфиденциальности данных, улучшая их безопасность.

Для чего используется аутентификация? 

Аутентификация может использоваться для различных целей:

  • Безопасность устройства: Все типы устройств с операционными системами внедряют аутентификацию для обеспечения безопасности, включая настольные и переносные компьютеры, смартфоны, планшеты и даже множество устройств Интернета вещей (IoT).
  • Безопасность учетной записи: Многие платформы используют аутентификацию для усиления безопасности аккаунтов. Например, почтовые и социальные сети используют аутентификацию, чтобы предотвратить несанкционированный доступ к аккаунтам. Финансовые платформы защищают онлайн-банкинг, цифровые платежи и электронную коммерцию от мошенничества благодаря аутентификации.
  • Облачные вычисления: Поскольку все больше организаций переходят на облачные платформы, такие как Microsoft Azure, для обеспечения безопасности активов, данных и операций используется аутентификация. Аутентификация также применяется для защиты организаций с активами на месте, такими как сети и системы, использующие удаленную работу.
  • Контроль доступа: Аутентификация используется не только для внешней, но и для внутренней безопасности. Организации могут применять аутентификацию, чтобы убедиться, что сотрудники имеют доступ к сетям, приложениям и данным исключительно на основе их необходимости.

Аутентификация против авторизации

Несмотря на то что аутентификация и авторизация кажутся похожими и иногда эти термины неправильно используют взаимозаменяемо, это разные понятия в кибербезопасности. Длинное объяснение заключается в том, что авторизация — это процесс верификации подлинности через учетные данные, черты лица, голос или токен аутентификации. Авторизация происходит после аутентификации. Как только система аутентифицировала подлинность системы или лица, она позволяет объекту получить доступ к ресурсам или выполнять действия в соответствии с их привилегиями. 

Краткое объяснение различий между аутентификацией и авторизацией в том, что первая определяет, разрешен ли объекту доступ, а вторая — какими ресурсами он может пользоваться после получения разрешения.

Часто используемые факторы аутентификации 

Любой, кто использовал современную операционную систему или работал на платформе облачных вычислений, знает, что существует множество видов методов и инструментов аутентификации, таких как PIN-коды, отпечатки пальцев, жетоны и IP-адреса. Эти методы или инструменты делятся на различные категории, называемые факторами аутентификации.

Факторы знания 

Фактор знания считается всем, что пользователь знает, например, паролем или ответом на контрольный вопрос. Факторы знания обычно быстры, но уязвимы для взлома. Например, пароли могут быть украдены. Слабые пароли подвержены атакам методом грубой силы, таким как словарные атаки.

Мы настоятельно рекомендуем вам узнать, как создать надежный пароль для защиты ваших аккаунтов. Также можете рассмотреть использование надежного менеджера паролей для управления вашим списком сложных учетных данных.

Факторы владения 

Фактор владения может обеспечивать большую безопасность, чем фактор знания, поскольку он требует от пользователя наличия определенного предмета, например токена или смартфона, для подтверждения своей личности. Например, система может отправить одноразовый пароль на умное устройство пользователя, когда тот пытается получить доступ. Однако факторы владения тоже не идеальны, поскольку владеемые предметы могут быть похищены или украдены.

Факторы наследования 

Один из самых безопасных факторов аутентификации — фактор наследования, потому что он основан на уникальных физических характеристиках пользователя, таких как отпечаток пальца или радужка глаза.

Наибольший недостаток использования факторов наследования состоит в том, что оборудование системы должно быть способно принимать и обрабатывать биометрические данные, хотя большинство современных устройств имеют такие функции.

Фактор наследования также может оказаться слишком эффективным в редких случаях. Например, были случаи, когда родственники не могли получить доступ к криптовалюте умершего ребенка из-за защиты устройства фактором наследования. 

Факторы местоположения 

Организация, например, потоковый сервис, может использовать фактор местоположения, такой как геоблокировка, чтобы ограничить доступ для пользователей из определенных регионов. Например, потоковый сервис, как Netflix США, может блокировать пользователей из Канады от просмотра некоторого контента. Однако факторы местоположения обычно имеют обходные пути. Например, кто-то в Канаде теоретически может использовать частную VPN для скрытия своего местоположения и получить доступ к Netflix США.

Факторы поведения 

Фактор аутентификации на основе поведения требует от пользователя выполнения определенных действий для подтверждения своей личности. Например, им может потребоваться нарисовать определенные узоры или решить простейшую головоломку, чтобы доказать, что они человек, а не бот. Google reCAPTCHA использует движок анализа риска и отслеживает движения мыши для проверки человеческого поведения.

Виды аутентификации 

Аутентификация на основе пароля

Наиболее распространенная форма аутентификации — это аутентификация на основе пароля, то есть процесс проверки личности пользователя путем предоставления пароля, который полностью совпадает с хранимым в системе. Система отклонит пароль, который не совпадает с сохраненным даже на один символ.

Как упоминалось, хакеры могут быстро угадать слабые пароли, используя самые современные инструменты. Поэтому пользователи должны задавать пароли длиной как минимум 10 символов и сложные, а также периодически менять пароли.

Многофакторная аутентификация (MFA)

MFA появилась из-за необходимости. Даже самый сложный пароль может быть украден. С многофакторной аутентификацией несанкционированным пользователям, возможно, придется подтвердить свою личность другим способом, если они активируют систему безопасности системы. Например, если система обнаруживает новое устройство или IP-адрес во время попытки входа в систему, она может запросить PIN-код или токен, даже если пользователь предоставит правильные учетные данные.

Двухфакторная аутентификация (2FA)

Многие люди задаются вопросом о разнице между 2FA и MFA. Ответ заключается в том, что 2FA является по существу подмножеством MFA. Как уже упоминалось, MFA требует два или более фактора аутентификации. 2FA запрашивает только два, обычно это пароль и код, отправленный на электронную почту или мобильное устройство. Вы можете почитать о основах двухфакторной аутентификации, чтобы узнать больше.

В то время как пользователи социальных сетей используют 2FA для защиты своих аккаунтов, некоторые платформы, к сожалению, монетизируют безопасность аккаунтов. Например, вы могли слышать о Twitter и двухфакторной аутентификации, где платформа существенно меняет настройки безопасности. С 19 марта пользователи не могут использовать SMS-базированную 2FA без подписки.

Однако у пользователей есть другие варианты (пока что). Например, они могут настроить двухфакторную аутентификацию в Twitter с помощью аппаратного ключа для повышения уровня безопасности. Аппаратный ключ — это более надежный инструмент безопасности, чем SMS, который подвержен атаке замены SIM-карты.

Однофакторная аутентификация (SFA) 

Как следует из названия, SFA требует от пользователей предоставления только одного средства аутентификации. Обычно это пароль, самый распространенный тип SFA. Хотя SFA может быть более удобной, чем MFA, она значительно менее безопасна, особенно если используемый способ аутентификации слабый. SFA также уязвима к социальным атакам, таким как фишинг.

Аутентификация на основе сертификатов

В этом типе аутентификации система использует цифровой сертификат. Сертификационная аутентификация более безопасна, чем пароли, поскольку сертификаты сложны, используют ключи и могут быть аннулированы выдавшим органом. Высокопрофильные организации, такие как правительства, используют эту криптографическую технику для повышения безопасности.

Биометрическая аутентификация

Как уже упоминалось, биометрическая аутентификация полагается на уникальные физические характеристики, такие как отпечатки пальцев, голоса и радужные оболочки глаз, для защиты систем. Биометрическая аутентификация — это самая безопасная и удобная форма аутентификации.

Аутентификация на основе токенов

Веб-приложения, API и другие системы часто используют токены для аутентификации пользователей. Токен — это уникальный идентификатор, выдаваемый авторизованному пользователю. Хотя использование токенов растет из-за увеличения количества гибридных рабочих сред, увеличивается и количество краж токенов.

Basic аутентификация 

Система базовой аутентификации требует только имя пользователя и пароль для аутентификации пользователя. Системы, использующие базовые методы, более уязвимы к хакерам. Только внутренние тестовые ресурсы или публичные системы, такие как публичные сети WiFi, теперь используют базовую аутентификацию. Базовая аутентификация — это основная причина, по которой пользователи должны быть более осторожными, используя публичный WiFi.

Аутентификация без пароля

Так как пользователи и организации требуют больше удобства в вопросах безопасности, безпарольные методы аутентификации, такие как биометрия, аппаратные ключи, токены и одноразовые коды, становятся все более популярными в корпоративных средах и на платформах, используемых потребителями.

В дополнение к большему удобству, безпарольная аутентификация может обеспечить более высокую безопасность, поскольку многие пользователи продолжают использовать слабые пароли или становятся жертвами фишинговых атак, нацеленных на кражу учетных данных.

Аутентификация на основе знаний (KBA) 

KBA — это тип аутентификации, который проверяет знания человека об информации, сохраненной для подтверждения своей личности. Примеры KBA включают ответы на вопросы о улице, на которой они выросли, их любимом цвете или девичьей фамилии их матери.

Существует несколько причин, почему KBA является слабым методом аутентификации. С увеличением открытых данных о пользователях на форумах и социальных сетях, таких как LinkedIn и Facebook, злоумышленникам становится легче собрать необходимую информацию для обхода KBA. Более того, пользователи с меньшей вероятностью задают сложные ответы на секретные вопросы, чем устанавливают сложные пароли.

Взаимная аутентификация

Взаимная аутентификация, также известная как двусторонняя аутентификация, — это тип аутентификации, в котором обе стороны в соединении проверяют друг друга, обычно с помощью цифровых сертификатов. Хотя взаимная аутентификация чаще всего используется такими коммуникационными протоколами, как Transport Layer Security (TLS) и Secure Sockets Layer (SSL), многие устройства Интернета вещей (IoT) также используют эту технику в межустройственных соединениях.

SMS-аутентификация

SMS-аутентификация использует текстовые сообщения как компонент многофакторной аутентификации. SMS-аутентификация работает лучше всего, когда методы аутентификации незаблокированы. Например, один оператор придумал идею смеси SMS-аутентификации с рекламой, что могло бы позволить злоумышленникам создавать более убедительные атаки с использованием текстовых сообщений для фишинга (смэшинг).

Аутентификация сети или сервера 

Сетевая аутентификация относится к идентификации пользователей, которые пытаются получить доступ к сети или серверу. Этот тип аутентификации используется в коммуникационных протоколах, VPN, файерволах и системах, контролирующих доступ к приложениям.

Аутентификация с помощью секретного ключа

В системе, использующей секретный ключ для аутентификации, пользователь и система обмениваются криптографическим сессионным ключом, известным только двум сторонам. Эти ключи являются симметричными. Другими словами, они используются для шифрования и дешифрования. Протоколы коммуникации, такие как Secure Sockets Layer (SSL), используют авторизацию с секретным ключом для обеспечения безопасности передачи данных, например, между веб-браузером и вебсайтом.

Ключ физической защиты

Физический ключ безопасности — это аппаратное устройство, которое помогает пользователю подтвердить свою личность и является примером фактора владения. Физический ключ безопасности обычно генерирует уникальный код, который передается в систему для аутентификации. Физические ключи безопасности раньше использовались только высокопрофильными организациями, такими как банки и разведывательные агентства.

Однако в настоящее время многие различные типы платформ, такие как игровые, электронная коммерция и социальные сети, позволяют пользователям защищать свои аккаунты с помощью физических ключей безопасности. Например, пользователи могут включить аутентификацию с использованием аппаратного ключа Facebook для iOS и Android, чтобы добавить дополнительный слой безопасности.

Лучшие практики аутентификации

  1. Остерегайтесь вредоносных программ, нацеленных на кражу учетных данных или конфиденциальных данных, таких как некоторые виды троянов, шпионского ПО и кейлоггеров. Пожалуйста, также узнайте как удалить кейлоггер, так как он может считывать нажатия клавиш, создавать снимки экрана и собирать другую информацию, чтобы обмануть систему аутентификации.
  2. Создавайте пароли длиной не менее десяти символов, содержащие комбинацию чисел, символов и букв.
  3. Избегайте использования известных шаблонов в паролях, таких как день рождения или имя любимого знаменитости.
  4. Никогда не храните свои учетные данные в открытом виде, например, на листе бумаги на столе. Шифруйте пароли на устройствах.
  5. Помогите своему паролю, используя методы MFA, такие как биометрическая идентификация или ключ безопасности.
  6. Остерегайтесь атак социальной инженерии, направленных на кражу ваших учетных данных.
  7. Избегайте повторного использования пароля; иначе, украденный пароль может привести к множественным взломам аккаунтов.
  8. Регулярно меняйте свой пароль. Попробуйте использовать надежный менеджер паролей для удобства.
  9. Поощряйте администратора сети вашей организации ограничивать длину сессии, чтобы предотвратить захват сессии.
  10. Администраторы должны мониторить журналы аутентификации и сетевые данные, чтобы быстро реагировать на подозрительные действия, такие как многократные попытки доступа с подозрительных IP-адресов.
  11. Организации должны рассмотреть возможность принятия архитектуры нулевого доверия для большей безопасности.
Логотип Malwarebytes на синем фоне

Связанные статьи

Что такое кибербезопасность?

Советы по безопасности в Интернете

Passkey

Часто задаваемые вопросы

Что такое аутентификация и пример?

Аутентификация - это процесс проверки личности пользователя, устройства или системы. Это механизм безопасности, используемый для обеспечения того, что лицо или организация, пытающаяся получить доступ к ресурсу, имеет на это право.

Примером аутентификации может служить вход в учетную запись электронной почты с помощью имени пользователя и пароля. Система проверяет ваши учетные данные по базе данных авторизованных пользователей, чтобы убедиться, что вы тот, за кого себя выдаете. Если ваши данные совпадают, вам предоставляется доступ к учетной записи электронной почты. Это помогает предотвратить несанкционированный доступ к вашей электронной почте и защитить вашу личную информацию.

Каковы 3 типа аутентификации?

  1. Аутентификация на основе знаний: Этот тип аутентификации предполагает предоставление пользователем информации, которую должен знать только он, например, пароль, PIN-код или ответ на вопрос безопасности.

  2. Аутентификация на основе владения: Этот тип аутентификации предполагает предоставление пользователем подтверждения владения физическим объектом, таким как маркер безопасности, смарт-карта или мобильное устройство.

  3. Аутентификация на основе ингерентности: Этот тип аутентификации предполагает предоставление пользователем биометрической информации, такой как отпечаток пальца, распознавание лица или сканирование радужной оболочки глаза, для подтверждения его личности.