Двухфакторная аутентификация уже не перспектива, а необходимость (А. Прошин, И. Гуськова, журнал "БДМ. Банки и деловой мир", N 3, март 2017 г.)

Двухфакторная аутентификация уже не перспектива, а необходимость

А. Прошин,

менеджер по развитию бизнеса Orange Business Services

И. Гуськова,

начальник отдела сетевых услуг Orange Business Services

Журнал "БДМ. Банки и деловой мир", N 3, март 2017 г., с. 67-68.

В настоящее время международные организации, регламентирующие безопасность банковских систем, выдвигают повышенные требования к защите учётных записей пользователей. Это касается SWIFT и PCI DSS, но на практике расширенные средства аутентификации нужны самим банкам.

Ежедневно мы проходим разные виды аутентификации - чтобы прочитать свою почту, войти в мессенджер, оставить отзыв на сайте и т.д. Аутентификация платежей позволяет убедиться в том, что совершить действие со своими деньгами пытается именно их владелец - но, увы, всё чаще старых методов аутентификации оказывается недостаточно и нужно что-то большее, чтобы защитить клиентов от кражи денежных средств.

Проблема состоит в том, что использование однофакторной аутентификации создаёт комфортные условия для злоумышленников, которые обладают сегодня достаточными техническими средствами и могут "убедить" компьютерную систему, что это именно вы совершаете ту или иную транзакцию. Ужесточённые требования SWIFT, в частности, призваны как раз решить проблему подлогов при авторизации пользователей, совершающих платежи.

Методы аутентификации

На рынке существует огромное количество технологий и методов аутентификации. По большому счёту, они сводятся к трём базовым группам, которые подразумевают использование чего-то, что вы знаете (I know), чего-то, что вы имеете (I have) и какого-то вашего уникального признака (I am).

Знать вы можете пароль или пин-код, в качестве имеющейся вещи можно использовать смарт-карту, токен или смартфон, в качестве признака может выступать ваш голос или отпечаток пальца.

Проще всего взломать первый тип защиты - скопировать пароль или подобрать пин-код. Второй метод защиты с использованием какого-либо устройства делает взлом намного более сложным - для этого нужно или физически его выкрасть, или имитировать, а это требует куда больших усилий. Наконец, биометрическая защита является самой надёжной, но и самой дорогостоящей. Для наиболее важных процессов и операций можно внедрить и все три фактора аутентификации (например, рисунок сетчатки, СМС на мобильный и ввод пароля). Однако на практике это редко бывает оправданно, так как стоимость такой защиты будет очень высокой, и вряд ли в обозримом будущем кто-то будет устанавливать сканеры отпечатков пальцев, например, для подтверждения покупки в супермаркете.

Тем не менее бывают случаи, когда дополнительная защита оказывается не лишней. Например, в прошлом году в одном из банков Бангладеш произошёл инцидент, который привёл к потерям более чем $80 миллионов. Хакерам удалось взломать учётную запись сотрудника, который по долгу службы постоянно отправляет многомиллионные платёжные поручения. Естественно, ни одна система защиты не станет подозревать в нелегитимных операциях пользователя, который выполняет подобные действия на легальной основе. Злоумышленникам было достаточно установить вредоносное программное обеспечение на компьютер сотрудника, чтобы начать отправку межбанковских переводов, постепенно обкрадывая клиентов кредитной организации. Интересно, что лазейку обнаружили случайно - из-за того, что в комментарии к переводу хакер написал Fundation вместо Foundation, вызвав повышенное внимание к транзакции. Но подобная атака потребовала бы куда больших усилий (и вообще вряд ли состоялась бы) в случае удачного введения двухфакторной аутентификации.

Именно поэтому сегодня SWIFT требует использования более сложных алгоритмов аутентификации, применяющих различные методы для подключения банка к системе. Ведь в случае использования одного лишь пароля риск компрометации учётной записи наделённого полномочиями сотрудника всё-таки остаётся велик.

Как повысить уровень защиты?

В рамках единой инфраструктуры безопасности пользователи могут использовать разные методы аутентификации. Защищая доступ к не слишком важным для бизнеса системам (например, персональным информационным сервисам), можно по-прежнему работать с одним фактором аутентификации, но сделать его сложнее: часто менять пароли, использовать специальные алгоритмы для их запоминания, добавить CAPTCHA для исключения подбора пароля и т.д.

Однако, когда речь идёт о более критичных системах, без двухфакторной аутентификации сегодня не обойтись. Неудивительно, что она встречается теперь повсеместно: начиная с открытых почтовых сервисов, таких как Google или "Яндекс", и заканчивая корпоративными порталами для удалённой работы сотрудников. И далеко не все компании занимаются развёртыванием собственной инфраструктуры аутентификации - для этого существуют сервисы AaaS (Authentication as a Service). То есть вы можете заказать готовую услугу и получить полностью управляемый сервис, следить за работой которого будет обслуживающий вас оператор.

Например, Orange использует облачную систему аутентификации пользователей, которая построена на базе одного из наиболее инновационных решений из доступных на рынке. Для удобства заказчиков мы создали готовую платформу в российском центре обработки данных, который расположен в Москве, имеет высокоскоростные и защищённые подключения к каналам передачи данных, а главное - соответствует нормам закона по хранению и обработке персональных данных (152-ФЗ). Заказав простой сервис без создания отдельной инфраструктуры, можно внедрить дополнительный фактор аутентификации с вводом одноразового пароля: для доступа к рабочему столу, облачной системе или любым другим корпоративным ресурсам - через VPN-туннель или онлайн-портал.

Система работает очень просто: сотрудникам либо выдаются специальные токены, либо устанавливается программное обеспечение на личное устройство, либо настраивается отправка SMS на определённый номер телефона. Таким образом, для входа в систему требуется нечто большее, чем один пароль, и украсть эти данные оказывается очень сложно. Облачное решение можно легко адаптировать и настроить на совместную работу с уже используемыми в банках системами защиты - и это часто становится решающим фактором при выборе технологии двухфакторной аутентификации.

Просто, удобно, надёжно

Внедрение второго фактора аутентификации стало в современных условиях необходимостью и может кардинально снизить риски компрометации самых ценных систем для бизнеса. Единственным сдерживающим фактором в этой сфере остаётся проблема создания инфраструктуры и капитальных вложений в развитие экосистемы авторизации.

Неудивительно, что всё больше кредитных организаций выбирает сервисную модель AaaS: она позволяет получить полностью управляемый сервис, исключающий как капитальные вложения, так и выделение дополнительных ресурсов на обслуживание платформы аутентификации. Несмотря на обширную практику внедрения систем дополнительной авторизации в разных отраслях, именно финансовый сектор оказывается в лидерах по числу заказчиков - так как проблема легитимности доступа к учётным записям пользователей в банках стоит сегодня достаточно остро.

Наконец, на базе готового сервиса можно реализовать концепцию единого логина - Single Sign On, когда пользователю не нужно запоминать огромное количество паролей для разных систем. Вместо этого достаточно знать один пароль и получить дополнительный код на своё устройство. Вместе с простым и удобным пользовательским интерфейсом, постоянной доступностью и полноценной технической поддержкой решения AaaS легко и быстро принимаются сотрудниками, помогая банкам в кратчайшие сроки решить проблему с безопасностью доступа при минимальных затратах.