Почему компании не всегда применяют многофакторную аутентификацию?

Почему компании не всегда применяют многофакторную аутентификацию?

Согласно опросу, проведенному среди 2600 ИТ-специалистов компанией по обучению осведомленности в вопросах безопасности, только 38 процентов крупных компаний используют многофакторную аутентификацию (MFA), а огромные 62 процента компаний малого и среднего бизнеса — нет.

MFA, которому требуется более одного метода аутентификации для проверки личности, может быть не самым удобным способом аутентификации, но с его помощью организации могут значительно усложнить злоумышленникам достижение их целей.

Итак, почему это не применяется везде?

Возможно, проблема связана с тем, что некоторые люди склонны выбирать путь наименьшего сопротивления. Или, возможно, это связано с убеждением, что MFA — не самое быстрое, простое и удобное решение для внедрения и использования. Да, не существует готового решения MFA, подходящего для каждой организации, но его совсем не обязательно следует рассматривать как еще один сложный элемент управления, который необходимо встроить в существующие способы обеспечения безопасности.

Каждая организация отличается — от технологий и средств контроля безопасности, которыми они располагают, до внутренних навыков, которыми они обладают, — и, следовательно, будут различаться время, усилия и затраты, необходимые для реализации MFA. Важно рассмотреть различные среды (например, локальную, облачную, гибридную), определить, для каких приложений требуется MFA, а затем найти наилучшее решение, соответствующее существующим политикам, элементам управления и целям безопасности.

Больше!

Для групп ИТ-безопасности также важно понимать небольшую, но потенциально значительную разницу между MFA и двухфакторной (2FA) аутентификацией.

2FA — подмножество MFA, требующее, чтобы пользователи предоставили не только комбинацию имени пользователя и пароля, но и подтвердили свою личность с помощью чего-то, чем они физически обладают (например, смартфон). Сегодня большинство решений 2FA работают, отправляя уникальный одноразовый код на мобильный телефон пользователя, который уже был подтвержден и привязан к его учетной записи. Например, популярными решениями являются Google Authenticator и Authy, которые генерируют двухэтапные коды проверки на мобильных телефонах, и Duo Mobile, который проверяет личность пользователя с помощью push-уведомлений и помогает защитить от фишинга и других атак на основе идентификации. 

Но зачем останавливаться на двух факторах? Удобство и относительная экономия времени 2FA могут быть лучше, чем ничего, но стоят ли они риска? Особенно с учетом того, что большинство, если не все нарушения, сегодня связаны с тем, что злоумышленник компрометирует учетные данные пользователя и использует их для получения доступа к сети и конфиденциальным ресурсам организации.

Среди нескольких масштабных примеров сбоя 2FA — недавний Reddit . Еще в июне Reddit обнаружил, что злоумышленник скомпрометировал несколько учетных записей. В то время компания использовала базовую аутентификацию 2FA на основе SMS, в результате чего пользователям отправлялся токен через текстовое сообщение, которое они затем вводили в приложение, в котором они проходили аутентификацию. Эта форма 2FA проста, дешева и удобна в использовании, поэтому она так широко используется; однако, недостатком является то, что пользователь также чрезвычайно уязвим для перехватов SMS, которые были основным вектором атаки, использованным при взломе Reddit.

Другие факторы, которые следует учитывать

Продукт для распознавания устройств может помочь устранить некоторые из присущих уязвимостей базового 2FA. Эти решения работают путем регистрации идентификатора пользователя на сервере аутентификации. Затем сервер и клиент используют идентификатор пользователя для генерации нового токена по истечении определенного периода времени. Когда пользователь пытается войти в приложение, сервер проверяет, совпадают ли сгенерированные значения, и, если это так, пользователю предоставляется доступ.

Хотя дополнительные факторы могут не удовлетворить тех, кто ищет максимальную скорость и удобство, им трудно поспорить с простотой использования, но такой способ аутентификации куда сложнее взломать.

Alt text

Владимир Безмалый

О безопасности и не только