В современном мире кибербезопасности защита данных и учетных записей пользователей выходит на первый план. Угрозы становятся всё более изощрёнными, и компании вынуждены искать способы усиления безопасности, сохраняя при этом удобство для пользователей. Одним из самых эффективных методов является использование двухфакторной (2FA) и многофакторной (MFA) аутентификаций. В нашем интервью с Виктором Чащиным, операционным директором компании “МУЛЬТИФАКТОР”, мы обсудили принципы работы 2FA и MFA, их различия, надёжность различных факторов аутентификации, а также то, как обеспечить баланс между безопасностью и удобством для пользователей. Виктор поделится своим опытом и взглядами на актуальные вопросы, связанные с внедрением этих технологий.
Какие принципы лежат в основе двухфакторной (2FA) и многофакторной аутентификаций (MFA)?
Основной принцип многофакторной аутентификации и двухфакторной (тип многофакторной аутентификации) – проверка подлинности пользователя с использованием нескольких доказательств (факторов) этой самой подлинности. При этом факторы должны быть из разных категорий:

Что пользователю известно (пароль, ПИН-код)
Чем пользователь владеет (токен, карта)
Чем пользователь является (биометрия)
Где пользователь находится (геолокация)

И желательно, чтобы эти факторы проверялись одновременно. То есть, если мы запросим у пользователя сначала логин и пароль, а потом ПИН-код – это не будет многофакторной аутентификацией, но если запросим логин и пароль, заодно считав отпечаток пальца, тогда это уже будет многофакторная аутентификация.
В чём ключевые различия между двухфакторной и многофакторной аутентификацией, и в каких ситуациях предпочтительно использовать каждую из них?
Двухфакторная аутентификация – подвид многофакторной аутентификации, где используется ровно два фактора подтверждения подлинности пользователя. Самый типичный пример её использования – это работа с банкоматом, когда комбинируется владение картой и знание ПИН-кода.
2FA – это базовый уровень безопасности, который используется там, где важна простота для пользователя. Если мы говорим о крупных предприятиях со сложной инфраструктурой, то им лучше использовать многофакторную аутентификацию.
Нужно понимать, что наряду с двухфакторной аутентификацией существует двухэтапная аутентификация, в которой проверка факторов происходит не одновременно, а последовательно. Пример двухэтапной аутентификации: вход в аккаунт Google – сначала проверяется логин-пароль, а уже потом приходит одноразовый код.
Какие типы факторов аутентификации наиболее надёжны и почему?
Если говорить про категории факторов, то даже внутри одной категории может существовать большой разброс по надёжности.
В целом многофакторная аутентификация более всего подвержена фишинговым атакам, и именно поэтому в СМС с одноразовыми кодами мы часто видим предупреждение «Не сообщайте код третьим лицам». То есть факторы, использующие то, что пользователь знает, являются самыми ненадёжными.
С факторами, которые подтверждаются владением, проблема другая: их достаточно просто потерять или сломать, но надёжность от перехвата у них выше.
Биометрические данные могли бы быть самым надёжным вариантом аутентификации, но в данном случае проблемой могут быть недостаточно точные датчики или их высокая стоимость (что, конечно, повышает надёжность, но не всегда применимо в реальном мире).
Как влияет использование 2FA и MFA на пользовательский опыт, и как найти баланс между безопасностью и удобством?
Изначально внедрение многофакторной аутентификации (когда технология только зарождалась и развивалась) замедляло процесс получения нужных доступов и поэтому к нему относились скептически. Однако в последние годы развитие аутентификации привело к появлению нового способа входа, без ввода пароля. Этот новый способ входа называется «passwordless», он упрощает процесс аутентификации и ускоряет его для пользователя.
Как обеспечить совместимость и интеграцию 2FA и MFA с существующими системами и приложениями?
Есть достаточно большое количество протоколов Аутентификации, Авторизации и Аккаунтинга (ААА), которые нативно поддерживают многофакторную аутентификацию. Но не всегда интерфейс приложений, реализовавших поддержку этих протоколов, позволяет вводить одноразовые коды, поэтому рекомендуется внедрение тех методов аутентификации, которые обходят эту проблему. В вышеприведённом случае таким методом может быть подтверждение второго фактора через уведомление в мобильном приложении.