ОНОВЛЕННЯ БЕЗПЕКИ В ІНТЕРНЕТІ: двофакторна автентифікація та багатофакторна автентифікація

У середині 1980-х років, коли я починав свою подорож із комп’ютерною електронікою, люди не мали кількох облікових записів в Інтернеті, як сьогодні. Якщо у вас був будь-який «обліковий запис», пов’язаний з комп’ютером, ви, ймовірно, були підключені до урядової установи, дослідницького закладу чи якогось академічного середовища за допомогою ARPANET, CSNET АБО NSFNET, попередників сучасного Інтернету.

Крім того, якщо ви були схожі на мене і обмежені скромнішими обчислювальними устремліннями, ви використовували «домашній» комп’ютер (у мене був Commodore 64) і під’єднувалися до «систем дощок оголошень», які були подібні до сучасного Інтернету, використовуючи лічильник. . – Налаштування модему через телефонні мережі. Ви також можете підписатися на орієнтовані на споживача мережеві послуги, такі як FidoNet або Compuserve, які тарифікуються за хвилину.

Щоб отримати доступ до всіх цих чудових технологій, ви використовували, як і сьогодні, «обліковий запис», який складався з імені користувача (призначеного або вигаданого вами) та пароля. Ці дві речі відкрили йому всі двері до Інтернету. Вимоги до пароля були простими; безпека не була головною проблемою, а кіберзлочинність була відносно рідкою.

Перемотайте вперед до сьогоднішнього дня, і все кардинально змінилося. Незважаючи на те, що онлайн-злочинність вибухнула до колосальних масштабів пандемії, ми все ще використовуємо імена користувачів і паролі. Незважаючи на те, що вимоги до паролів стали суворішими, а безпека прийшла в центр уваги, нам потрібно більше в боротьбі за безпеку в Інтернеті; імен користувачів і паролів вже недостатньо. Введіть 2FA та MFA.

Двофакторна автентифікація (2FA) і багатофакторна автентифікація (MFA) — це терміни, які описують, по суті, те саме: спосіб надати додаткові докази (так звані «фактори»), щоб довести, що ви є тим, за кого себе видаєте, коли намагаєтеся отримати доступ до онлайн-сервісу. Весь процес називається «автентифікація», тобто ви добросовісні, або «автентичні», справжні «ви».

Стара модель імені користувача та пароля використовує лише один «фактор», яким є пароль. Одна з причин мати ще один «фактор» полягає в тому, що так багато баз даних паролів було зламано та відкрито для всіх, хто бажає подивитися. Деякі люди також винні у використанні слабких паролів, які легко вгадати, які вони ніколи не змінюють. Ще одна причина потреби ще одного «фактора» полягає в тому, що багато людей використовують той самий пароль для всіх своїх облікових записів. Наявність більшої кількості факторів ускладнює доступ не тій особі до облікового запису.

Фактори включають те, що у вас є (наприклад, банківська картка), те, що ви знаєте (наприклад, пароль або PIN-код), те, чим ви є (біометричні, наприклад відбиток пальця чи інші унікальні фізичні характеристики), і те, де ви перебуваєте (наприклад, підключення до певної мережі або інформацію про місцезнаходження, наприклад GPS).

Найпоширенішим використанням багатофакторної автентифікації є надсилання коду в текстовому повідомленні на ваш телефон під час спроби входу в обліковий запис в Інтернеті. Наприклад, ви входите в Amazon, вводячи свій пароль (перший фактор). Amazon надсилає вам код, який ви повинні ввести (другий фактор), після чого вам дозволяється використовувати свій обліковий запис Amazon.

На жаль, хоча текстові повідомлення все ще широко використовуються як спосіб отримання кодів MFA/2FA, більше не рекомендується. Погані хлопці в Інтернеті знайшли багато різних способів зламати текстовий метод. У листопаді минулого року корпорація Майкрософт повідомила, що з міркувань безпеки людям слід відмовитися від 2FA на основі текстових повідомлень і почати використовувати програми автентифікації, такі як Authy, Microsoft Authenticator або «token secure», як-от YubiKey.

Наступна колонка: як використовувати такі інструменти MFA/2FA, як Authy і Yubikey.

Дейв Мур, CISSP, лагодить комп’ютери в Оклахомі з 1984 року. Засновник некомерційної Internet Safety Group Ltd, він також проводить навчальні семінари з безпеки в Інтернеті. З ним можна зв’язатися за номером 405-919-9901 або internetsafetygroup.org