Уровень киберугроз для бизнеса сейчас выше, чем когда-либо.
Персональные данные, которыми владеют предприятия, становятся все более ценными, а это означает, что злоумышленники всегда стремятся получить доступ любыми возможными способами.
В результате, подходов к обеспечению безопасности, использовавшихся всего пять лет назад, уже недостаточно для защиты ценных персональных данных, хранящихся в компаниях. Такие методы безопасности, как многофакторная аутентификация (MFA), стали решающими для компаний, которые хотят защитить данные пользователей и учетные записи.
Между тем, конечные пользователи, несомненно, ценя безопасность своих персональных данных, также ожидают хорошего взаимодействия с пользователем. Поэтому предприятиям необходимо соблюдать точный баланс между безопасностью и простотой доступа. Понимание того, когда следует внедрять методы MFA и в каких ситуациях не требуется строгая аутентификация, будет иметь решающее значение.
Вопросы бизнеса обратились к Джейкобу Идескогу, техническому директору Curity, с просьбой рассказать о пяти его лучших методах, которые были разработаны и приняты для MFA и которые помогут компаниям обеспечить надежную защиту данных и простоту доступа.
Всегда включайте и подписывайтесь
Всегда включен соответствует своему названию – MFA всегда включен и всегда является требованием пользователя. При каждой возможности входа в систему пользователям будет предложено использовать два или более идентифицирующих фактора, чтобы получить доступ к соответствующей учетной записи. Хотя этот метод является наиболее строгим с точки зрения безопасности, он наименее удобен для пользователя. Повторяющиеся требования повторной аутентификации могут утомлять пользователей, особенно если они случайно закрывают веб-страницу и им необходимо быстро повторно получить доступ к информации. Также важно отметить, что не вся информация требует одинакового уровня защиты. Хотя такой строгий подход работает для многих приложений, существуют различные методы MFA, которые обеспечивают большую гибкость и больше подходят для определенных приложений.
Использование MFA — это более гибкий подход. Он обеспечивает важный баланс между помощью пользователям в защите их данных и большей гибкостью. В этих случаях клиентам предлагается настроить MFA, но они могут сами решить, стоит ли это делать. Опция MFA также позволяет компаниям всегда требовать соблюдения двух факторов, предоставляя пользователям больше возможностей для повышения собственной безопасности за счет добавления дополнительных факторов.
Повышающая аутентификация
Как кратко упоминалось в разделе «Регистрация», иногда данные не требуют строгого процесса аутентификации, и единственный необходимый способ аутентификации — это однократный вход в систему. Следовательно, конечному пользователю не нужно участвовать в сложном процессе, обеспечивая улучшенный пользовательский опыт без сложностей.
Однако, если пользователю затем потребуется получить доступ к более конфиденциальной информации, он получит серию вопросов для аутентификации, “переходящих” от одной формы аутентификации к нескольким. Step Up инициируется запросом аутентификации OpenID с более высоким уровнем привилегий, особенно распространенным в финансовой индустрии. Здесь первоначальный вход в систему может заключаться в простой проверке банковского баланса или при оплате счета по кредитной карте, но если затем клиент решит произвести платеж или обновить свою личную информацию, дополнительный процесс аутентификации предложит ему ответить на контрольный вопрос или использовать дополнительный аутентификатор, например, биометрический ввод. Повышающая аутентификация может обеспечить хороший баланс между удобством использования и безопасностью.
Повторная проверка с учетом времени
Такой подход становится все более распространенным, особенно для доступа к электронной почте или облачным учетным записям документов, таким как Google Drive или Microsoft 365. При таком подходе пользователи должны входить в систему, используя множество факторов при первом доступе к своей учетной записи, однако, если пользователь продолжает регулярно заходить в свою учетную запись и через тот же браузер, ему редко предлагается повторно вводить свои проверочные данные. Этот процесс требует точной настройки времени ожидания (TTL) для различных факторов аутентификации, чтобы при первоначальном входе в систему можно было установить доверенное устройство. TTL для различных факторов аутентификации устанавливается на разные периоды времени, что означает, что срок действия пароля истекает до кодирования подтверждения, так что, хотя пользователям необходимо будет менять свой пароль по соображениям безопасности на полурегулярной основе, им не нужно будет постоянно вводить пароль для доступа к своей информации. Однако, если пользователь меняет устройство, с которого он получает доступ к учетной записи, или свой браузер (например, с Google Chrome на Microsoft Edge), ему необходимо будет пройти процедуру MFA.
Такой подход дает специалистам по кибербезопасности возможность проявлять гибкость, позволяя им устанавливать TTL на период времени, который лучше всего подходит для их бизнес-модели, чтобы оптимизировать взаимодействие с пользователями при одновременной защите необходимых данных.
Новая Страна и Изменившаяся Страна
Также возможно использовать геолокацию для поддержки процесса MFA. Хотя геолокация не способна точно определить местоположение пользователя с точным номером дома или идентифицировать его как физическое лицо, она может определить страну, из которой поступает запрос пользователя.
Чтобы это работало без проблем, идентификационный доступ будет осуществляться через обратный прокси-сервер. Заголовок X-Forwarded-For будет использоваться в качестве идентифицирующего фактора, поскольку исходный IP-адрес будет находиться за прокси-сервером. Прокси-сервер также должен быть внесен в белый список вместе с серверами идентификации, поскольку ему нужно доверять и не помечать его как потенциальное предупреждение системы безопасности.
Новая страна как действие может быть настолько простым, насколько это необходимо бизнесу. Для этого требуется только корзина для хранения и логический атрибут subject, который будет связан с геолокацией. Если этот атрибут не установлен, логическое значение изменится на True, и это будет считаться новой геолокацией, требующей дополнительного входа в систему и аутентификации. Однако, как только пользователь продолжит входить в систему с этой геолокации, логическому значению будет присвоено значение False, и ему больше не нужно будет проходить процесс MFA.
Функциональность измененной страны предлагает аналогичную простоту. Для этого также требуется корзина для хранения данных и имя атрибута для логического атрибута subject. Однако в этом случае логическому значению будет присваиваться значение True каждый раз, когда пользователь входит в систему из другой страны, что означает, что предыдущие геолокации будут забыты, и если страна отличается от предыдущей, им потребуется повторная аутентификация.
Эти два действия являются полезными инструментами для поддержки MFA. Хотя действия схожи, решающее различие заключается в том, что измененная страна “забывает” геолокации после их изменения, в то время как Новая страна изменит логическое значение на True только в том случае, если местоположение совершенно новое и ранее не использовалось в качестве точки доступа.
Действие аутентификации «Невозможное путешествие»
Невозможное путешествие служит в качестве действия аутентификации, или подсказки, и при необходимости добавляет дополнительные уровни аутентификации. Функциональность MFA также довольно проста в использовании. Как и в случае с Новой страной и Измененной страной, необходим источник данных для хранения геолокации вместе с именем атрибута, при этом логическому атрибуту subject присваивается значение True, если было определено невозможное путешествие. Этот процесс идентификации также включает скорость в качестве определяющего фактора.
Как упоминалось ранее, геолокации недостаточно, чтобы служить идентифицирующим фактором, однако «Невозможное путешествие» будет фиксировать долготу и широту, которые затем сохраняются (точка А). Когда тот же пользователь повторно проходит аутентификацию (точка B), действие проверяет скорость, необходимую для перемещения из точки A в точку B, и если скорость ниже настроенной, логическому значению будет присвоено значение False. Если скорость будет выше, путешествие будет считаться невозможным, логическое значение будет равно True, и пользователю потребуется пройти дополнительную аутентификацию.