Двухфакторная аутентификация (2FA) и усиленная парольная политика - два разных подхода к повышению безопасности учетных записей. Оба метода направлены на защиту от несанкционированного доступа, но они существенно различаются в реализации и уровне обеспечиваемой защиты. Давайте разберем каждый вариант подробнее, что бы понять, какой из них выбрать.
Недостатки традиционных паролей
Традиционные пароли имеют ряд существенных недостатков с точки зрения безопасности и удобства использования.
Многие пользователи склонны применять один и тот же пароль для разных учетных записей, что делает их уязвимыми - утечка пароля на одном ресурсе ставит под угрозу безопасность данных на многих других.
Люди часто выбирают слишком простые и предсказуемые пароли, которые легко подобрать.
Необходимость запоминать множество разных паролей создает неудобства и приводит к тому, что пользователи записывают их, что тоже небезопасно.
Наконец, традиционные пароли уязвимы к методам социальной инженерии, когда злоумышленники обманом выманивают их у пользователей.
Принципы усиленной парольной политики
Усиленная парольная политика устанавливает строгие требования к паролям. Пользователи обязаны создавать пароли, включающие минимальную длину (8-12 символов), использование букв разных регистров, цифр и специальных символов. Политика запрещает использование легко угадываемой информации, такой как словарные слова, имена и даты рождения. Регулярная смена паролей, например, раз в 30-90 дней, минимизирует ущерб от возможной компрометации. Некоторые системы также проверяют пароли по базам скомпрометированных паролей и словарям, защищая от перебора.
Надёжность усиленных паролей
Усиленная парольная политика имеет ряд преимуществ для защиты учетных записей и данных пользователей.
Политика вынуждает пользователей создавать более сложные и уникальные пароли, устойчивые к попыткам подбора и взлома. Требования к минимальной длине, использованию букв разного регистра, цифр и специальных символов значительно увеличивают пространство возможных комбинаций, усложняя задачу злоумышленникам.
Запрет на использование словарных слов, личной информации и других предсказуемых элементов снижает риск успешной атаки методом социальной инженерии или угадывания пароля.
Регулярная смена паролей также является преимуществом, так как минимизирует ущерб от возможной утечки или компрометации пароля - даже если злоумышленник сумеет получить действующий пароль, через определенное время он станет недействительным.
Усиленная парольная политика проста в реализации и не требует дополнительного оборудования или устройств в отличие от аппаратных токенов или приложений-аутентификаторов для двухфакторной аутентификации. Она может быть внедрена как штатными средствами вроде Microsoft Default Domain Policy, так и сторонними средствами для усиления парольных политик, например, с помощью Strongpass. Такие решения дают большую гибкость управления и контроля над политиками паролей.
Проблемы усиленных паролей
Применение усиленной парольной политики может столкнуться с рядом сложностей и проблем.
Недовольство пользователей и сопротивление изменениям. Людям трудно запоминать длинные, сложные пароли, особенно если требуется регулярная смена.
Усиленная парольная политика может создавать дополнительную нагрузку на ИТ-отдел и службу поддержки из-за увеличения числа обращений пользователей, забывших свои пароли и заблокировавших учетные записи.
Обеспечение согласованного применения политики в разных системах организации может быть сложной задачей.
Наконец, даже надежные пароли уязвимы к фишингу, кейлоггерам и другим методам кражи.
Как работает двухфакторная аутентификация
2FA добавляет дополнительный уровень защиты к традиционной системе логина и пароля. При входе в учетную запись пользователь вводит логин и пароль, затем предоставляет второй фактор — одноразовый код, генерируемый приложением-аутентификатором или отправленный в SMS. Этот код действителен лишь в течение короткого промежутка времени, обычно 30-60 секунд. В таком случае даже если злоумышленник узнает пароль, без одноразового кода он не сможет получить доступ к учетной записи. Пример такого решения для 2FA - MultiFactor
Преимущества двухфакторной аутентификации
Двухфакторная аутентификация (2FA) имеет ряд существенных преимуществ для защиты учетных записей.
2FA значительно повышает уровень безопасности, требуя два отдельных фактора для подтверждения личности пользователя.
Эффективно противодействует методам социальной инженерии и фишинга, так как одного пароля недостаточно. Кроме того, в случае утечки пароля двухфакторная аутентификация дает пользователю время среагировать и сменить скомпрометированный пароль до того, как аккаунт будет взломан.
Наконец, 2FA проста в использовании и не требует от пользователя запоминать дополнительную информацию в отличие от множества сложных паролей.
Недостатки двухфакторной аутентификации
Двухфакторная аутентификация, несмотря на свои преимущества, имеет и некоторые недостатки.
Необходимость иметь при себе доверенное устройство, обычно смартфон, для получения второго фактора. Если телефон разрядится, сломается или будет утерян, пользователь может лишиться доступа к своим учетным записям.
2FA усложняет и замедляет процесс входа, требуя дополнительных действий от пользователя. Это может вызывать неудобства и раздражение.
Еще один потенциальный недостаток - уязвимость некоторых методов 2FA. Например, SMS-коды могут быть перехвачены, если телефон заражен вредоносным ПО.
2FA или усиленные пароли?
В итоге при выборе между усиленной парольной политикой и 2FA важно учитывать следующие факторы:
Простота реализации: Усиленная парольная политика проще в реализации и не требует дополнительных устройств. Однако повышенная сложность для пользователей может привести к повышению нагрузки на ИТ-отдел.
Уровень безопасности: 2FA обеспечивает более высокий уровень безопасности, требуя два отдельных фактора аутентификации. Довольно прост для работы пользователей, но требует наличия доверенного устройства и добавляет дополнительный шаг к процессу входа.
Идеальный подход — сочетание обоих методов в применении к конкретным ситуациям. Использование надежных паролей в соответствии с усиленной политикой и включение 2FA для наиболее критичных учетных записей обеспечит комплексную защиту. Или, например, применение 2FA для учётных записей пользователей, которым сложно запомнить длинные пароли усилит безопасность на конечных устройствах.
Заключение
В конечном итоге выбор между усиленной парольной политикой и 2FA зависит от конкретных потребностей и приоритетов безопасности организации или пользователя. Комплексный подход, сочетающий оба метода, обеспечивает наилучшую защиту, снижая риски, связанные с недостатками каждого отдельного метода.
Комментарии (26)
kvk-2019
03.06.2024 06:52+1Помимо стандартных технических средств взлома паролей, существуют и экзотические как то фото клавиатуры в инфракрасном диапазоне и специальным образом применяемый Wi-Fi, не говоря о ещё более необычных, никак не связанных с социальной инженерией в общепринятом виде. То есть только специальным образом подобранные люди, прошедшие инструктаж и проверки в специально подготовленных помещениях с некоторой вероятностью пароли не сольют. Что касается 2FA, то не все они равнозначны. SMS - только от простоты и бедности, в какой-то степени от бедности и TOTP, но чуть получше, про бэкап нужно объяснять и принцип 3-2-1, то есть тоже требует инструктажа. Аппаратные ключи, особенно с биометрией - с какой-то стороны лучше, поскольку не дадут ввести данные на поддельном сайте, например, в определённой области специальным образом созданной фишинговой странички, но от условно достаточно близко находящегося злоумышленника не спасут, ну и, если нет биометрии, то, что я написал по паролям нужно иметь в виду. Так что MFA - наше всё и регламенты не только работы, но и вообще жизни. Впрочем, вероятность взлома выше, когда его стоимость для конкретного злоумышленника (по методам) меньше, чем деньги, которые удастся в результате получить. Так что можно считать, что я намеренно сгущаю краски: уж очень небольшая вероятность в редких случаях здесь у меня описана :)
Busla
03.06.2024 06:52пользователь вводит логин и пароль, затем предоставляет второй фактор — одноразовый код, генерируемый приложением-аутентификатором
И пароль и TOTP - это факторы знания. Просто один передаётся напрямую (PAP), а по второму демонстрируется признак знания (CHAP с ручным приводом).
Добавление TOTP, конечно, несколько надёжнее одного только пароля и защищает от брут-форса. Тем не менее, 2FA и MFA предполагают принципиально разные факторы. Если, к примеру снимать на камеру рабочее место или встроиться в сеть в момент регистрации пользователя, то и пароль и TOTP замечательно сливаются, потому что между пользователем и сервисом идёт обмен знаниями.
alexxisr
03.06.2024 06:52Так можно всё свести к фактору знания - если заставить пользователей ходить к серверу и физическим ключом поварачивать замок - это тоже знание, ведь сфотографировав этот ключ злоумышленник сможет изготовоить копию.
Каким образом в принципе можно проверить что-то кроме знания, если у нас между пользователем и проверятелем есть только канал передачи этих самых знаний?
Busla
03.06.2024 06:52Так и есть - обычный квартирный ключ относится к знания: его можно размножать и копировать без особых технических ухищрений и не портя оригинал - по фото, оттиску в пластилине. Нет разницы: написаны буквы на бумажке, или выбит двоичный/троичный и т.д. код на куске металла.
В случае ассиметричной криптографии обмена самим ключами никогда не происходит. А если закрытый ключ сформирован прямо в неизвлекаемом хранилище: смарт-карта и аналогичные крипто-токены, TPM-модуль, то это будет фактором владения.
xSVPx
03.06.2024 06:52Подождите, но ведь в случае ассиметричной криптографии обмен ключами как-раз происходит. Ну т.е. они ведь как-то публичные ключи получают друг для друга.
И если некто контролирует весь траффик, то он точно также все подменит в процессе.
Busla
03.06.2024 06:52Открытый ключ — не ключ(евая информация).
Обычно асимметричная крипторграфия завёрнута в какую-то инфраструктуру открытых ключей — PKI: сертификаты, цепочки доверия и т.п.
Hlad
03.06.2024 06:52+1К сожалению то, что сейчас называют "двухфакторной авторизацией" уже нифига ей не является. Потому что достаточно завладеть сотовым телефоном, чтобы получить доступ в большинство сервисов, декларирующих двухфакторную авторизацию, никаких знаний пароля при этом не нужно. Второй фактор есть, вот только первого нет...
leon_shtuet
03.06.2024 06:52Потому что достаточно завладеть сотовым телефоном.....
никаких знаний пароля при этом не нужно
Позанудствую и возражу. Вообще-то недостаточно. Успехов вам, разблокировать чужой телефон, в большинстве случаев. Лет 10-15 назад, может быть было бы достаточно. А сейчас... Да и знание пароля все равно нужно, если юзер адекватно относится к своей важной информации и не оставляет его(пароль) в кэше браузера/приложения. А если он этого всего не соблюдает, значит, либо он ССЗБ(сам себе злобный буратино) либо у него нет ничего, такого важного чего-то(неуловимый Джо) Не говоря уже о том, что 2FA телефоном не исчерпывается.
В догонку. Вообще не понимаю постановки вопроса автора статьи. Или-или. Как будто, что-то мешает/запрещает использовать одновременно и то и другое. И "крутой" пароль и 2FA/MFA. Короче, статья ниочем, для галочки.
Hlad
03.06.2024 06:52А разблокировать телефон и не надо. Надо просто вытащить симку, и воткнуть в другой телефон. Как вы думаете, как часто у людей установлен пароль на сим-карту? (именно на сим-карту, а не на сам телефон)
leon_shtuet
03.06.2024 06:52Надо просто вытащить симку
Да наздоровье. У адекватных людей(которые берегут свои критические данные) 2FA не в смс/не только в смс, а в, к примеру, TOTP, ГуглАутентификаторе(и его клонах) или в "отпечатке пальцев"/биометрии.
DaemonGloom
03.06.2024 06:52+1Проблема в том, что некоторые сервисы на попытку восстановить доступ скажут "Ну, если вы можете получить смс на привязанный номер - то вот вам новый пароль". И их совершенно не беспокоит, что там был TOTP.
Atolstikov Автор
03.06.2024 06:52Ну в случае корпоративных сервисов все строго.
martin_wanderer
03.06.2024 06:52+1Да вроде возьмите хотя бы мобильное приложение Альфы - вся из себя крутая биометрия, но при переустановке приложения - снова разовое подтверждение по смс. Знаю другой банк, где сделали прям строго - продолбал приложение с секретным ключом в хранилище - добро пожаловать в офис. Но пользователи почему-то не рады
Dolios
03.06.2024 06:52Расскажите, какие крупные российские банки разрешают использовать TOTP вместо смс?
Atolstikov Автор
03.06.2024 06:52Ну в конце у меня вывод такой же, как у вас, что лучше и то и другое. Просто чаще всего люди хотят сэкономить и выбрать что-то одно хотя бы.
leon_shtuet
03.06.2024 06:52люди хотят сэкономить и выбрать что-то одно хотя бы.
В смысле, "выбрать что-то одно". Так, 2FA так и называется второй фактор. Не вместо, а вместе. А, то что некоторым настолько наплевать на собственную инфобезопасность, что они ленятся соблюдать элементарную цифровую гигиену, не стоит целую статью городить. Если люди ленятся умываться и/или чистить зубы по утрам, вы же не пишите об этом статью с размышлениями, типа что лучше сохранить, зубы или морду лица. :)
xSVPx
03.06.2024 06:52+1Проблема не в людях. Проблема в системе. Безопасность увы невозможна.
Большинство банков позволят вам сделать все, если у вас есть доступ к симкарте. Вы сможете поменять любые пароли итд итп. Ничего "первого" не надо.
Для логина в сбер нужно знать смс и номер карты. Всё. Номер карты ей богу невеликий секрет...
Тут на днях народ писал, что можно после этого переподтвердить имеющийся аккаунт на госуслугах, и в процессе поменять ему способ авторизации. Т.е. был у вас в госуслугах тотр, а теперь ррраз и простой пароль установлен. И на вас тут же кредитов набрали.
Какая гигиена тут поможет ?
Dolios
03.06.2024 06:52Тут поможет zero liability при наличии нормально работающей судебной системы. Если банк наплевал на безопасность, все убытки несёт он. Причем, чтобы клиент не должен был ничего доказывать. Простое заявление в течение 90 дней после инцидента и банк обязан вернуть все дегьги и отменить все кредиты в течение суток. Если банк считает, что клиент могешенник, он может обратиться в суд. А то сейчас на безопасность плюёт банк, а убытки несёт клиент.
xSVPx
03.06.2024 06:52Что значит "поможет"? Его нету.
Законодательно вы подписываете с помощью смс договор. Всё. Банк ничего не обязан больше проверять. Он и не проверяет.
Безопасность всегда стоит денег и удобства. И сейчас все организовано так, что все риски на потребителе. И поэтому риски эти запредельны. Неудобства минимальны. Безопасность нулевая.
Страшно жить. Очень.
Dolios
03.06.2024 06:52Поможет, если ввести. Также, как законодательно ввели запрет на штрафы при досрочном погашении ипотеки, заняв сторону людей, а не оборзевших вконец банков.
Законодательно вы подписываете с помощью смс договор.
Я не могу ничего подписать с момощью смс, смс меня не идентифицирует. Я знаю, что в законе написано обратное, но если в законе напишут, что Луна сделана из сыра, реальность от этого не поменяется. И, кстати, законодально, кучу договоров я могу подписать только госключом с УКЭП, которая генерится по моему загранпаспорту с чипом (аппаратный ключ) и защищена моим паролем, который нельзя сбросить по смс. Т.е. у кого-то из законодателей мозги ещё остались.
Неудобства минимальны.
Как по мне, так максимальны. TOTP или аппаратный ключ гораздо удобнее. Например, за границей кое-где смс от российских опсосов просто не работают, т.к. роуминг отключен из-за санкций. Также смс не работают в куче мест, где есть проводной/спутниковый инет, но нет сигнала сотовой сети - VoWiFi работаете не у всех и часто глючит. В одном из таких мест я жил по паре месяцев летом последние несколько лет и каждый раз это был адский геморрой, никаким удобством тут не пахнет от слова "совсем". А еще телефон может сесть и т.д.
inkelyad
03.06.2024 06:52И, кстати, законодально, кучу договоров я могу подписать только госключом с УКЭП, которая генерится по моему загранпаспорту с чипом (аппаратный ключ)
Загранпаспорт там не совсем для аппаратного ключа. Потому что в нем, насколько я помню, возможности хранить и использовать приватную часть ключевой пары нет. Он там - чтобы получить подписанную государством биометрию, привязанную к личности. Чтобы, значит, была какая-то уверенность, что ключевая пара генерится именно для того человека, кем представляется человек, держащий в руках телефон.
С тем же успехом можно сходить и положить биометрию в профиль госуслуг, сходив в банк.
Сам же ее хранение и работа с ключами (по объяснениям разработчиков) как-то немного странно устроено:
Ключ ЭП хранится на устройстве пользователя в зашифрованном контейнере, ключ от которого хранится на HSM "в облаке". Вычисление хэша при формировании подписи производится на устройстве пользователя.
А из других слайдов от них (сейчас уже не найду) вроде бы выходит (объяснение было довольно мутным), что хэш подписываемого документа хоть и вычисляется локально, но ЭП на него накладывается - в этом самом HSM.
Потому что реализации ГОСТ-овских алгоритмов в телефоне государство не верит.
Т.е: Шифрованный контейнер к ключевой парой передается куда-то в облако, там расшифровывается, используется и сразу забывается.
Если HSM правильный и полученные ключи действительно наружу не выпускает - то все хорошо. Но вот как это проверить-то?
Dolios
03.06.2024 06:52Успехов вам, разблокировать чужой телефон, в большинстве случаев.
В большинстве случаев телефон разблокируется отпечатком пальца жертвы.
Да и знание пароля все равно нужно
Не нужно, пароль будет сброшен по коду из смс. А сегодня всё чаще пароля вообще нет, только код из смс.
mm3
Главное не превращать СМС в единственный достаточный фактор, используя его в процедуре восстановления доступа, не считая других открытых или утёкших данных о человеке.
Каналы оперативной связи с человеком стоит использовать только для оперативной связи с человеком (а не для спама). При активации процедуры восстановления доступа рассылать сообщения по всем доступным контактам. Как впрочем и при активации новой сессии на новом устройстве.
Atolstikov Автор
Согласен. Поэтому СМС, как второй фактор не очень люблю. Лучше уж приложение.