Двухфакторная аутентификация

  • 45161

Метод контроля доступа, требующий одновременного наличия двух компонентов со стороны пользователя. Помимо традиционных логина и пароля, принцип двухфакторности предполагает подтверждение личности пользователя с помощью того, что у него есть. Это может быть: смарт-карта, токен, ОТР-брелки, биометрические датчики и так далее. Чаще всего для второго этапа идентификации используется мобильный телефон, на который отсылается одноразовый код доступа.

Также в качестве второго идентификатора могут быть использованы биометрические данные человека: отпечаток пальца, радужная оболочка глаза и т.п. В системах контроля доступа для этого используются комбинированные (мультиформатные) считыватели, которые работают и с различного рода картами, и с биометрическими параметрами пользователей.

Двухфакторная аутентификация (Мировой рынок)

Двухфакторная аутентификация как лучший способ защиты прав доступа

Осенью 2016 года SecureAuth Corporation совместно с Wakefield Research провели исследование, опросив 200 руководиителей IT отделов в США.

Исследование показало, что 69% организаций, скорее всего, отказаться от паролей в течение ближайших пяти лет.

"В сегодняшнем, все более цифровом, мире уже недостаточны даже многие традиционные подходы по двухфакторной аутентификации, не говоря уже о Single-факторе на основе пароля. Расходы, связанные с кибератаками, обходятся в миллионы долларов в год - в интересах каждого, чтобы сделать несанкционированный доступ наиболее проблематичным," - говорит Крейг Лунд, генеральный директор SecureAuth.

99% респондентов согласились с тем, что двухфакторная аутентификация является лучшим способом защиты прав доступа.

При этом, только 56% опрошенных защищают свои активы мультифакторными методами. 42% - в качестве причин, сдерживающих улучшение стратегии идентификации, называют: сопротивление от руководителей компании и нарушение традиционного уклада для пользователей.

Другие причины отказа от принятия улучшенной стратегии аутентификации:

  • отсутствие ресурсов для поддержки технического обслуживания (40%);
  • необходимостью обучения сотрудников (30%);
  • опасения, что улучшения не будут работать (26%).

"Организации используют устаревшие подходы аутентификации, которые требуют дополнительных шагов для пользователей, и неэффективны против современных продвинутых атак", - говорит Кит Грэм, главный технический директор компании SecureAuth.

Среди мер, необходимых для включения в состав систем аутентификации респонденты называют:

  • распознавание устройства (59%);
  • биометрический фактор (например, сканирование отпечатков пальцев, лица или радужной оболочки глаза) (55%);
  • одноразовые секретные коды (49%);
  • информация о гео-локации (34%).

А вот двухфакторная аутентификация на основе одноразовых SMS паролей - признана неэффективной в результате достаточного количества успешных фишинг-атак. Национальный институт стандартов и технологий (NIST) недавно сделал официальное заявление о том, что не рекомендует двухфакторную аутентификацию с помощью поставляемых по SMS одноразовых кодов.

Gartner Magic Quadrant в сегменте строгой аутентификации пользователей

Аналитическое агентство Gartner при формировании отчетов рассматривает не только качество и возможности продукта, но и характеристики вендора в целом, например, опыт продаж и работы с клиентами, полноту понимания рынка, бизнес-модель, инновации, стратегии маркетинга, продаж, развития индустрии и т.д.

Результатом оценки является MAGIC QUADRANT GARTNER (магический квадрат Gartner) — графическое отображение ситуации на рынке, позволяющее оценить возможности продуктов и самих производителей сразу по двум направлениям: по шкале «Видение» (видение того, как развивается и будет развиваться рынок, способность к инновациям) и «Способность к реализации» (способность занимать долю рынка, продавать систему). При этом, по ключевым параметрам вендоры разбиваются на 4 группы: лидеры, претенденты на лидерство, дальновидные и нишевые игроки.

Что касается аутентификации пользователей, аналитики Gartner отмечают увеличение инвестиции в контекстные и адаптивные методы. Биометрия уже заняла конкретную нишу. Мобильные и облачные технологии находятся в процессе развития, накапливая пользовательский опыт для будущих разработок. По мнению специалистов, будущее аутентификаторов - Умные вещи.

MAGIC QUADRANT GARTNER в сегменте строгой аутентификации пользователей 2014

MAGIC QUADRANT GARTNER в сегменте строгой аутентификации пользователей 2013 год

Отметим, что только три компании, представленные в исследовании, присутствуют на Российском рынке решений для аутентификации. Это компании Gemalto, HID Global и SafeNet.

Мобильная аутентификация

84% пользователей готовы заменить пароли на другие способы авторизации

Как показал опрос компании LaunchKey, посвященный мобильной аутентификацией: 84% пользователей готовы заменить пароли на другие способы авторизации.

Что не нравится пользователям: использовать пароли определенной сложности и периодически их менять.

В результате исследовании было опрошено 522 человека, и большинство участников готовы сменить пароли на более надежную систему аутентификации. Пользователи готовы перейти на аутентификацию по отпечаткам пальцев, сканирование сетчатки глаза и лица.

Apple внедрила двухфакторную аутентификацию

Сегодня многие сайты поддерживают двухфакторную аутентификации, так как простая комбинация «логин-пароль» не гарантирует должного уровня безопасности. Это стало очевидно после взлома iCloud.

07.09.2014 в iCloud произошла массовая утечка приватных фотографий. Используя метод атак перебором, направленных на учетные записи. Ответ Apple: компания развернула двухфакторную аутентификацию (2FA) для всех своих онлайн-служб.

Перспективы многофакторной мобильной аутентификации

"Используя мобильную платформу, строгая аутентификация может быть реализована в удобном для пользователя виде. Ближайшей тренд для мобильной платформы: использование преимуществ безопасных аппаратных элементов и доверенных сред исполнения. Это также относится и к Интернету вещей (IOT), где востребованы более высокие уровни безопасности," - говорит Джейсон Сороко, менеджер по технологиям безопасности Entrust Datacard.


Использование только одного пароля не является эффективным средством защиты: его можно украсть или взломать. Использование дополнительных одноразовых паролей (на жестких носителях или в виде SMS сообщений) повышает уровень безопасности системы. Однако, SMS маркеры также могут быть взломаны и перенаправлены. Например, при помощи таких вредоносных программ, как Zitmo и Eurograbber в сочетании с Zeus и ее вариантами.

Хранение криптографических учетных данных в безопасной среде, такой как аппаратно защищенные элементы и доверенные среды исполнения, позволяет осуществить цифровую идентификацию внутри мобильной платформы: данные не покидают устройство и, таким образом, защищены от перехвата. При этом сохраняется возможность аутентификации при помощи удобного форм-фактора, который всегда у пользователя в кармане.

Терминология

Факторы аутентификации

Информационный фактор (логический, фактор знания) – т.е. кода для идентификации требуется конфиденциальная информация, известная пользователю. Например, пароль, кодовое слово и т.п.

Физический фактор (фактор владения) – пользователь предоставляет для идентификации предмет, которым обладает. Например, карту доступа или RIFD-метку. По сути, когда в процессе верификации на мобильный телефон или токен (пейджер) приходит одноразовый пароль – это тоже физический фактор: пользователь подтверждает, что владеет указанным устройством, путем введения полученного кода.

Биометрический фактор (биологический, фактор сущности) – пользователь предоставляет для идентификации уникальные данные, являющиеся его неотъемлемой сутью. Например, отпечаток пальца, уникальный рисунок вен и другие биометрические особенности.

Многофакторная аутентификация является методом многогранного контроля доступа, когда пользователь может успешно пройти верификацию, продемонстрировав не менее двух факторов аутентификации.

Требование предъявить для верификации более одного независимого фактора увеличивает сложность предоставления ложных учетных данных. Двухфакторная аутентификация, как следует из названия, требует предоставления для проверки подлинности двух из трех независимых факторов аутентификации. Число и независимость факторов имеют важное значение, так как более независимые факторы подразумевают более высокую вероятность того, что носитель удостоверения идентичности на самом деле и есть зарегистрированный пользователь с соответствующими правами доступа.

Строгая аутентификация

Строгая аутентификация подразумевает, что для установления личности пользователя требуется проверка дополнительных сведений, т.е. одного пароля или одного ключа недостаточно. Это решение повышает уровень безопасности СКУД, как правило, без существенных дополнительных затрат или роста сложности системы. Зачастую, понятие строгой аутентификации, путают с двухфакторной или мультифакторной аутентификацией. Однако это не совсем верно.

Строгая аутентификация может быть реализована без использования нескольких независимых факторов. Например, система контроля доступа, требующая от пользователя пароль + ответ на один или несколько контрольных вопросов, - относится к сегменту строгой аутентификации, но не является многофакторной, т.к. использует только один фактор, логический. Также строгая аутентификация происходит в биометрической системе, требующей последовательно предъявить разные пальцы пользователя для считывания отпечатков. Таким образом, строгая аутентификация не всегда многофакторная, но многофакторная аутентификация – всегда строгая.

Кроме того, строгая аутентификация часто используется для организации доступа к корпоративным сетям и интернет-ресурсам компании. В таком случае в качестве одного из компонентов защиты может использоваться программный анализ поведения пользователя в сети (от географии точки входа и пути переходов внутри сети, до частоты нажатия клавиш). Если поведение пользователя кажется подозрительным (несвойственным ему) – система может заблокировать доступ и потребовать повторной верификации, и/или сформировать тревожное сообщение для службы безопасности.

Современные пользователи желают иметь постоянный доступ к рабочим ресурсам с любых мобильных и стационарных устройств (смартфон, планшет, ноутбук, домашний компьютер), что делает физический контроль доступа в рабочие помещения малоэффективным для защиты корпоративных сетей. При этом, защита только одним паролем не является достаточным гарантом кибербезопасности. Строгая аутентификация пользователей для доступа к сетевым ресурсам компании и разграничение прав доступа позволяют значительно снизить риски.

"На сегодняшний день остро стоит вопрос защиты от угроз «в собственных стенах». 81% компаний уже столкнулись с проблемой утечки данных вследствие халатности или умышленных действий сотрудников и других инсайдеров", - утверждают специалисты HID Global.


Тем временем, количество пользователей, которым необходим доступ к информации и ресурсам организации, только увеличивается. Кроме постоянных сотрудников компании, доступ порой требуется партнерам, консультантам, подрядчиками, заказчикам и т.д.

Простые в обращении и управлении системы строгой аутентификации могут работать с множеством различных типов пользователей, максимально обеспечивая потребности различных групп. При этом уменьшаются риски, связанные с доступом этих пользователей к инфраструктуре предприятия.

Многофакторная аутентификация

Михаил Ашарин, Технический консультант TerraLink:
"Наряду с внедрением новых методов аутентификации постоянно расширяется функционал поддерживаемых методов.
Например, прекрасным пополнением к применяемому в компании методу аутентификации по бесконтактным картам
станет использование функции “Password as PIN” (системный пароль вместо ПИН-кода).
Функционал особенно удобен при переходе от простой аутентификации по системным паролям к безопасному логическому доступу. Сотрудникам в этом случае
не потребуется задавать и запоминать новые статические данные в качестве ПИН-кода, а использовать вместо него уже известные свои системные пароли".

Перейти в статью: Доступ к корпоративным ресурсам. Новые методы двухфакторной аутентификации

Многофакторная аутентификация является наиболее эффективным методом защиты от несанкционированного доступа, так как использование нескольких совершенно независимых факторов значительно уменьшает вероятность, что они будут использованы одновременно.

Самым простым и бюджетным решением являются двухфакторные системы, использующие сочетание физического и логического факторов доступа. Например, пароль + proximity карта, или пароль + RIFD метка.


Комбинаций бесчисленное множество. Чем больше независимых факторов используется в системе, тем выше уровень защиты. Но и стоимость возрастает пропорционально. Так, мультифакторная аутентификация из составляющих: карта доступа+палец+PIN – уже обойдется намного дороже.

Естественно, надежность решения складывается из надежности его элементов. Использование в предыдущем варианте многофакторной системы смарт-карт и биометрических считывателей с технологией живого пальца – значительно увеличивает ее эффективность.

Производители стремятся обеспечить возможность интеграции своих средств контроля доступа и программного обеспечения, с другими элементами и устройствами. Поэтому состав многофакторной системы аутентификации зависит исключительно от желаний заказчика (основанных обычно на оценке целесообразности повышения уровня защиты) и его бюджета.

Мультибиометрия

Мультибиометрические системы – еще один пример строгой аутентификации, использующей для защиты от несанкционированного доступа только один фактор – биометрию. Тем не менее, такие решения часто называют многофакторными биометрическими системами, т.к. они используют для идентификации пользователя несколько различных биометрических характеристик. Например: отпечаток пальца + радужная оболочка глаза, отпечаток пальца + строение лица + уникальные характеристики голоса. Комбинации также могут различаться.

Мультибиометрические решения обеспечивают крайне высокий уровень защиты, ведь даже подделать отпечаток пальца – занятие крайне трудоемкое. Не говоря уже об имитации сразу нескольких биометрических особенностей пользователя и обхода соответствующих алгоритмов защиты от подделок.

Основным недостатком СКУД с мультибиометрией является высокая цена. Впрочем, это не останавливает развитие рынка систем, совмещающих аутентификацию по нескольким биометрическим характеристикам в одном устройстве.

Миниатюрное, портативное, мультимодальное

Перспективный американский стартап, компания Tascent, выпустила устройство, имеющее небольшой форм-фактор, но при этом совмещающее распознавание голоса, лица, отпечатка пальца и радужной оболочки глаза - Tascent M6.

Новинка работает на базе смартфонов Apple iPhone 6 или iPhone 6S и представляете собой футляр для телефона толщиной всего 38 мм, который для обеспечения надежного, высокоскоростного подключения использует разъем Lightning.

Tascent M6 включает считыватель для распознавания сразу двух отпечатков пальцев при помощи сенсора Sherlock (Integrated Biometrics), дает возможность распознавания голоса, лица по фотографии. Распознавание радужной оболочки глаза, на базе собственной разработки компании InSight Duo, проводится сразу по двум глазам (является опцией). Кроме того, для устройство позволяет осуществлять быстрое считывание информации с универсальных проездных документов включая паспорта, туристические визы и национальные удостоверения личности.

Портативное миниатюрное мультибиометрическое оборудование Tascent M6 позволяет записывать в память до 100000 шаблонов, весит всего 425 грамм (включая вес смартфона), имеет класс защиты IP65 и может работать не менее 8 часов без подзарядки. Открытая архитектура и совместимость с мировыми стандартами обеспечивают быструю интеграцию и развертывание с помощью новых или существующих систем.

"Наше третье поколение Tascent Mobile, в Tascent M6, - сочетает в себе ведущие мировые смартфоны с передовыми технологиями мультимодальной биометрии, что обеспечивает прорыв в использовании мобильных биометрических возможностей тонко настроенных на потребности конечных пользователей. Например, в сфере путешествий, управления границами, гуманитарной помощи, правоохранительных органов и гражданского ID," - говорят разработчики в компании Tascent.

Мультибиометрия рисунка вен и отпечатка пальца

Не так давно ZKAccess объявила о выпуске FV350 - первого в отрасли мультибиометрического считывателя, совмещающего одновременное считывание отпечатка пальца и рисунка вен. Устройство способно хранить комбинированные биометрические данные 1000 пользователей и провести идентификацию менее чем за две секунды.

И вот уже новый виток развития биометрических устройств - гибкий датчик отпечатков пальцев на пластике, разработанный для биометрических приложений компаниями FlexEnable и ISORG.

Мультибиометрический датчик может измерять отпечаток пальца, а также конфигурацию вен на пальцах. Чувствительный элемент имеет размеры 8,6х8,6 см, толщину 0,3 мм, а главное может быть закреплен на любой поверхности или даже обернут вокруг нее (например, вокруг руля автомобиля, дверной ручки или кредитной карты).

"Этот прорыв вызовет развитие производства биометрических продуктов нового поколения. Ни одно другое решение не может предложить комбинацию большой чувствительной области, считывания отпечатков пальцев и рисунка вен, а также гибкости, легкости и прочности," - говорит Жан-Ив Гомес, генеральный директор ISORG.


Многофакторная аутентификация через Облако

Bio-Metrica выпустила новую Облачную версию BII портативной системы многофакторной аутентификации, включающей биометрию. Облачная BII обеспечивает быстрое развертывание, высокую производительность и возможность быстрого масштабирования в сторону увеличения или уменьшения системы в течение нескольких часов.

Основное преимущество такой мультисистемы – отсутствие необходимости построения ИТ-инфраструктуры (серверы, административные системы, сетевое оборудование и т.д.) и дополнительного обслуживающего персонала. Как следствие, сокращаются расходы на инсталляцию системы.

Это при высоком уровне безопасности за счет многофакторной аутентификации, а также, благодаря облачному сервису, больших ресурсах по вычислительной мощности, доступной оперативной памяти, дополнительным сетевых каналам и т.д.

CloudBII также может быть развернут в качестве аппаратной установки для Идентификации как Услуги. Именно это направление компания намеренна активно развивать в будущем.




Материал спецпроекта "Без ключа"

Спецпроект "Без ключа" представляет собой аккумулятор информации о СКУД, конвергентном доступе и персонализации карт

Поделиться:

Статьи

Выберите год:Выберите месяц:
  • На особых условиях. Обзор сложных логик доступа в СКУД

    01.10.2019

    Объекты с повышенным уровнем безопасности или нестандартными производственными процессами требуют
    более сложных алгоритмов принятия решения о доступе, с использованием дополнительных условий, при выполнении которых система контроля доступа разрешит проход, то есть сложных логик доступа.

  • Карта, отпечаток пальца или OTP? Как избежать необоснованных затрат на внедрение системы логического доступа

    22.04.2016

    В первой части статьи «Как выбрать систему логического доступа. Удобство или безопасность?» («Технологии Защиты», #6, 2015) мы затронули проблематику выбора заказчиком между удобством эксплуатации системы и уровнем ее безопасности. Во второй – «Как выбрать систему логического доступа. Часть 2. Сценарии усиления защиты доступа к информационным ресурсам и активам компании» («Технологии Защиты», #1, 2016) подробно рассмотрели сценарии усиления защиты логического доступа с помощью бесконтактных и контактных карт доступа. В третьей части рассмотрим сценарии использования других аутентификаторов и обобщим результаты.

  • Активные меры предупреждения угроз, связанных со взломом бесконтактных карт

    18.11.2015

    Вызывает ли возможность клонирования бесконтактной карты, используемой в охраняемом учреждении, реальную вероятность проникновения на другие объекты путем использования дубликата карты? Хотя дать однозначный ответ на данный вопрос очень трудно, такую вероятность не следует отметать. Конечные пользователи часто расширяют свои корпоративные платформы, используя для этого устройства, с элементами, уязвимыми для атак потенциальных хакеров.

  • Доступ к корпоративным ресурсам. Методы двухфакторной аутентификации

    18.11.2015

    Многие организации в последнее время обращают внимание на необходимость повышения безопасности доступа к корпоративным ресурсам. Но, как правило, большая часть ограничивается организацией системы контроля физического доступа, а логический доступ к корпоративным системам по-прежнему остается на уровне аутентификации по статическим паролям. Уязвимость такого метода вполне очевидна и давно известна – простые пароли могут быть легко подсмотрены или подобраны, а строгая политика сложности паролей приводит к трудности их создания и замены: пользователи их часто забывают и это приводит к увеличению нагрузки на ИТ-департамент.

Новости

Выберите год:Выберите месяц:
  • Morpho проводит ребрендинг

    23.10.2017

    Группа OT-Morpho, образованная после майского слияния Oberthur Technologies (OT) и Safran Identity & Security (Morpho), теперь носит имя IDEMIA. Новое название компании основано на игре слов Identity, Idea и латинское слово idem (в переводе «то же самое») и призвано лучше отражать свою позицию глобального лидера в области надежной идентификации для обеспечения безопасности все более цифрового мира.

  • Контроль доступа. ТОП10 в 2015 году по версии журнала ASMAG

    10.02.2016

    ТОП10 продуктов для систем контроля и управления доступом за 2015 год по версии журнала ASMAG формировался на основании интереса потребителей к считывателям, контроллерам, программному обеспечению и прочим компонентам СКУД.

  • TerraLink: Итоги Форума All-over-IP 2015

    27.11.2015

    18 и 19 ноября 2015 года в Москве прошел 8-й Международный форум All-over-IP Expo. Одним из знаковых событий Форума стала первая в России конференция о передовых системах управления идентификацией и контроля доступа Identity Management and Access Control, на которой выступили представители мировых лидеров в области безопасной идентификации, такие как HID Global, Suprema, Nedap, Oracle, UTC Fire & Security и Ubiquitech.

  • Смарт-карты со встроенным цветным дисплеем – технологии будущего от компании SmartMetric

    21.04.2014

    Компания SmartMetric, известная как производитель биометрических платежных карт, сообщила о выпуске новой смарт-карты под названием SmartMetric EMV Chip Card. Новинка обладает революционной архитектурой, основанной на двухфакторной аутентификации. Это позволяет использовать ее не только в качестве кредитной или дебетовой платежной карты, но и как электронное удостоверение личности.

  • Assa Abloy выпустила беспроводную систему с возможностью двухфакторной идентификации

    14.03.2013

    Всемирно известная компания Assa Abloy добавила еще одно новшество в свою линейку продукции для систем контроля доступа – накладной замок Aperio с PIN-кодом, который функционирует без необходимости использования проводов, что облегчает эксплуатацию и обеспечивает повышенную безопасность. Новинка способна существенно расширить существующие системы контроля доступа.

  • Новые считыватели HID OMNIKEY или локальный доступ к ПК по идентификационным картам Proximity, iClass и Crescendo

    24.09.2009

    Компания HID Global представила новые считыватели OMNIKEY и решение HID on the Desktop для ограничения доступа к компьютерам и локальным сетям с использованием идентификационных карт. При этом считыватели подключаются непосредственно к ПК и могут работать с бесконтактными картами доступа HID стандартов Proximity и iClass или с контактными Crescendo. Решение on the Desktop не требует покупки новых карт или внесения каких-либо изменений в систему ограничения доступа в помещения, поэтому локальный доступ к ПК осуществляется по той же карте, что и в помещение. Для настройки системы используется интуитивно-понятное программное обеспечение naviGO

Дайджесты

Выберите год:Выберите месяц:
  • Больше, чем СКУД. Двухфакторная аутентификация. Дайджест #3, 2016

    23.12.2016

    SecureAuth Corporation и Wakefield Research: исследование по двухфакторной аутентификации, Двухфакторная аутентификация на базе Android, SmartMetric: универсальные биометрические карты доступа, Ангстрем: отечественные смарт-карты нового поколения, Samsung KNOX 2.6 получила высший рейтинг в отчете Gartner

  • Биометрия. Больше, чем СКУД. Дайджест #1, 2016

    19.09.2016

    Когда пароли уйдут в прошлое? Какое будущее у Национальной биометрической платформы? Об инициативе Сбербанка использовать биометрию в банкоматах, что такое биометрия мозговых волн?

  • Интеграция. Дайджест. Выпуск #3, 2016

    15.07.2016

    Предлагаем вашему вниманию подборку новостей, посвященных развитию систем методами интеграции. Летний выпуск дайджеста посвящен вопросам интеграции различного оборудования в ПО СКУД.  Примечательно, что три поста их пяти посвящены интеграции в ПО дактилоскопических считывателей.

  • СКУД в России. Дайджест. Выпуск #3, 2016

    04.02.2016

    Февральский обзор новостей российских производителей и поставщиков оборудования в сегменте СКУД, подготовленный редакцией Techportal.ru в формате ТОП-5 за неделю.

Введите первые буквы термина:

События

Рассылки

статьипо теме

Обзоры

Истории успеха

Все права защищены
© ООО АДВ Секьюрити,
2003—2024
Яндекс.Метрика
Метрика cайта: новости: 8220 (+2) | компании: 528 | бренды: 423 | статьи: 1150

О проекте / Контакты / Политика конфиденциальности и защиты информации

Techportal.ru в соц. сетях