Сентябрь 26th, 2024 
raven000 В последнее время применение многофакторной аутентификации не только лишь в мире, но также и в РФ стало эталоном для компаний, уделяющих внимание вопросам обеспечения информационной безопасности. Постараемся разобраться какая бывает аутентификация и чем регулируется ее применение, какая есть практика использования многофакторной аутентификации.
Начнем с вопроса, который многих вводит в ложное мнение. В чем разница между авторизацией и аутентификацией? Аутентификация – это процесс доказательства того, что вы тот человек, за которого вы себя вручите. Как пример можно привести процесс поездки на поезде.
Приблизившись к вагону, вы предъявляет вожатому паспорт, сравнив данные которого с данными в билете, он упускает вас в вагон. Проверка документа и данных билетов, происходит аутентификация. А допуск в вагон – это активизация.
Так почему же многофакторная аутентификация стала настолько распространенной? Компрометация учетных данных методом перебора (bruteforce) или использования «утекших» баз данных учетных записей – один из наиболее распространенных способов, применяемых взломщиками.
Причин для этого несколько: прежде всего, клиенты довольно часто используют простые пароли (p@ssw0rd, 1QAZ2wsx и тд), во-вторых, работники часто фиксируются на разных интернет-ресурсах (порталы, предметные веб-сайты и тд) с указанием общей e-mail и пароля, в-третьих, обширно используемая нарушителями закона социальная инженерия дает возможность использовать похищенные у клиента учетные данные.
Для решения данной проблемы и защиты предприятия от атак с применением похищенных и «утекших» учеток используются координационные и технические меры.
К координационным можно отнести затруднение пароля (а клиенты тогда будут записывать их на листочке и склеивать к дисплею) и запрет на регистрацию с применением корпоративных данных (а будем реалистами, помогает это нечасто). В роли технической меры защиты играет многофакторная аутентификация, принцип которой состоит в том, чтобы получить от клиента не только лишь то, что он знает (пароль) но также и то, что он имеет (разовый код, сертификат и тд).
Применение такой меры дает возможность не только лишь сохранять корпоративных клиентов и сервисы, но также и показывать клиентам компании собственное состязательное превосходство. Так как им также принципиально, чтобы никто не мог применять их учетные записи и делать от их имени какие-нибудь действия и быть убежденными в долговечности компании, в которой они обслуживаются.
В России применение идентификации и аутентификации регулируется ГОСТ Р 58833-2020, одобренным и внедренным в действие Указом Государственного агентства по технологическому управлению и метрологии от 10.04.2020 г. номер 159-ст. Все про выбор системы многофакторной аутентификации читайте пройдя по ссылке.
В соответствии с ГОСТ, аутентификация делится на элементарную, повышенную и жесткую. Образцом простой аутентификации является ввод пароля при входе в систему. Видом повышенной, является многофакторная аутентификация с вводом пароля и однократного кода, формируемого с использованием аналогичного устройства. Жесткая аутентификация интересна применением использованием уполномоченных цифровых сертификатов доступа. Образцом жесткой аутентификации играет применение сертификатов, произведенных коллективным центром сертификации.
ФСТЭК РФ предъявляет требования к идентификации и аутентификации, аналогичные ГОСТ Р 58833-2020, в нескольких бумагах: требования по безопасности информации к системам управления базами данных (подтверждены указом ФСТЭК РФ от 14 мая 2023 г. N64), требования по безопасности информации к средствам контейнеризации (указ ФСТЭК РФ от 4 августа 2022 г. N 118) и требования по безопасности информации к функциональным межсетевым дисплеям уровня сети (указ ФСТЭК РФ от 7 мая 2023 г. N 44).
Требования к многофакторной аутентификации не обходятся ГОСТ Р 58833-2020. Потребность использования данной защитной меры намечена в ГОСТ Р 57580.1-2017, созданный для обеспечения безопасности финансовых (банковских) операций в финансовых организациях, интернациональном стереотипе безопасности данных платежных карт PCI DSS.
В начале октября 2023 года, Распоряжением Правительства номер1739 от 19.10.2023 были внесены изменения, в соответствии с которыми требования по аутентификации с применением разовых паролей предъявляются и к федеральным справочным системам.
Так что, внимание внедрению и применению многофакторной аутентификации используется на всевозможных уровнях: начиная от федеральных органов и заканчивая частным делом. На вчерашнем эфире AM Live велся выборочный опрос по применению многофакторной аутентификации в компаниях, в соответствии с которым только 12% респондентов дали ответ, что не рассчитывают вводить данную защищающую мерку.
Опубликовано в рубрике 
