Для повышения удобства работы и хранения данных веб-сайт aktiv-company.ru использует файлы COOKIE. Продолжая работу с веб-сайтом, Вы даете свое согласие на работу с этими файлами.

Взгляд профи: эксперты отвечают на самые актуальные вопросы по многофакторной аутентификации

После окончания онлайн-конференции AM Live «Выбор корпоративной системы многофакторной аутентификации (MFA)» осталось немало вопросов от зрителей в комментариях и чате. Редакция Anti-Malware.ru попросила спикеров прямого эфира выполнить «домашнее задание» и ответить на них. В результате получилось большое совместное интервью, затрагивающее самый широкий круг проблем, связанных с многофакторной аутентификацией. На вопросы ответил директор по развитию «Актив» Владимир Иванов.

AM Live: Какие есть технические решения для реализации многофакторной аутентификации, в том числе сертифицированные регуляторами и поддерживающие политику импортозамещения, в режиме «из коробки»?

Владимир Иванов: В процессе аутентификации есть две стороны — доказывающая и проверяющая. С доказывающей стороны могут применяться сертифицированные токены и смарт-карты, с проверяющей — сертифицированные системы защиты от НСД, VPN, операционные системы и так далее. На рынке есть достаточно много такого рода продуктов.

AM Live: Удаленный доступ на карантине показал, что многофакторная аутентификация «одно лечит, а другое калечит». Проброс токена через RDP создает угрозу утечки данных и заражения вирусами, несопоставимую с простой аутентификацией по паролю. Пароль еще подобрать нужно, и хорошая парольная политика с мониторингом дает прекрасный результат противодействия взлому. А вот подключенный вместо токена эмулятор, который подгрузил вредоносную программу, — это уже ЧП. Есть ли уже более продвинутые для таких случаев решения, чтоб в RDP не открывать дополнительные порты для этого?

Владимир Иванов: Сам по себе способ аутентификации при удаленном доступе влияет только на доверие к результатам аутентификации, но никак не затрагивает возможностей, касающихся загрузки вредоносного ПО на удаленный компьютер. В RDP-сеансе для проброса с токена открывается интерфейс для работы со смарт-картами, через который загрузить вредонос проблематично, мягко говоря. Применение многофакторной аутентификации отнюдь не исключает возможностей по мониторингу и управлению доступом. Если VPN для удаленного подключения не используется, рекомендуется для подписи применять токены, поддерживающие защиту канала по спецификации ФКН2 (SESPAKE) — например, «Рутокен ЭЦП 2.0 3000».

AM Live: Каковы перспективы развития у виртуальных токенов?

Владимир Иванов: Виртуальные токены (криптографические PKI-токены) определенно имеют право на жизнь в качестве временной замены аппаратного токена в случае его утери или выхода из строя и невозможности оперативной замены.

AM Live: Есть ли перспективы у двухфакторной аутентификации по биометрии? Один раз утечет, и все: фактор не сменить, от пальцев не избавишься.

Владимир Иванов: Применение биометрии оправданно в качестве дополнительного фактора аутентификации с одной оговоркой. Биометрическая информация не должна храниться и проверяться централизованно. Криптографические методы аутентификации гораздо более надежны, а биометрический фактор может применяться для обеспечения доступа к криптографическим функциям непосредственно на самом устройстве, которое используется для аутентификации. Кроме того, биометрические данные по сути не представляют собой секрета, весь вопрос — в качестве подделки при необходимости.

AM Live: Двухфакторная, трехфакторная, четырех… есть ли предел?

Владимир Иванов: С каждым дополнительным шагом в MFA увеличивается число факторов аутентификации, которые необходимо поддерживать. Чем больший «ассортимент» факторов должен содержать каждый пользователь, тем больше затрат будет уходить на их обслуживание. C каждым дополнительным фактором (четырех…) растет сложность и снижается удобство аутентификации для пользователей.

Сама по себе «природа» факторов заключается в том, что они относятся к одному из «семейств»: либо факторы знания, либо факторы владения, либо факторы свойства. Придумать цепочку из четырех или более факторов, не содержащую повторения факторов из одного «семейства», затруднительно.

Эти три аспекта — условная «стоимость поддержки» совокупности факторов в MFA, удобство выполнения аутентификации для пользователя, целесообразность использования повторения схожих факторов — выступают в роли естественного ограничителя для количества шагов в MFA.

AM Live: Почему биометрия так дорога? Чипы — дешевые, алгоритмам — 100500 лет. В чем дело?

Владимир Иванов: Хорошая качественная биометрия действительно стоит дорого. Дешевые датчики (чипы) не обеспечивают современного уровня по безопасности. Алгоритмы хоть и существуют давно, но постоянно совершенствуются. Это ли не опровергает тезисы о дешевизне и надежности?

AM Live: Используют ли производители внутри своих организаций свои же изделия?

Владимир Иванов: В компании «Актив» все сотрудники используют «Рутокен» в виде USB-токенов или смарт-карт для доступа в помещения, аутентификации в AD и VPN.

Комментарии остальных экспертов доступны в полной версии статьи на сайте anti-malware.ru.