Security Lab

Столкновение взглядов: 2х факторная аутентификация

Столкновение взглядов: 2х факторная аутентификация
И вновь о спорах на профессиональную тему. В этот раз предлагаю обсудить тему использования средств 2х-факторной аутентификации в корпоративной среде.

Сколько уже писалось о недостатках комбинации логин/пароль как механизма аутентификации, но пароли по-прежнему повсюду и похоже что в ближайшей перспективе своих позиций не потеряют.  А вот 2х-факторная аутентификация так и не находит широкого применения. Давайте рассмотрим возможные аргументы.   

Аргументы "за":
  • Более надежная аутентификация, позволяющая в т.ч. бороться с атаками MitM, подбором паролей и проч.;
  • Возможность обеспечить неотказуемость пользователя от выполненных им действий (ну или по крайней мере повысить вероятность того, что совершенное действие действительно было выполнено пользователем, предъявившим идентификатор);
  • Пользователям не нужно заморачиваться с запоминанием паролей, их регулярной сменой и другими смежными вопросами;
  • Более простой способ обеспечить соответствие различным законодательным и отраслевым требованиям (PCI DSS, СТО БР, 152-ФЗ и др.) 

Аргументы "против":
  • Более дорогостоящее решение;
  • Токены, карточки и тому подобные средства 2х-факторной аутентификации могут быть утеряны, оставлены дома (или в других местах) или повреждены, что сделает невозможным работу пользователя (до получения нового идентификатора);
  • Не все приложения поддерживают 2х-факторную аутентификацию, а значит полный отказ от паролей подчас невозможен, стоит ли тогда заморачиваться ?
Думаю что многие смогут добавить к этому списку еще ряд своих. Что скажете, коллеги ? Стоит ли по вашему мнению игра свеч ?  На мой взгляд все другие аргументы кроме финансового вполне устранимы и не должны быть препятствием к внедрению 2х-факторной аутентфикации.
Alt text

Где кванты и ИИ становятся искусством?

На перекрестке науки и фантазии — наш канал

Подписаться

Александр Бондаренко

Блог Александра Бондаренко