Що таке багатофакторна автентифікація (MFA)?

Багатофакторна автентифікація (MFA) – це процес безпеки, за якого користувачі повинні пройти різні етапи автентифікації, щоб отримати доступ до системи чи програми або завершити транзакцію. 

На відміну від інших практик перевірки особи, MFA додає другий рівень безпеки, вимагаючи додаткову інформацію. 

Це, звичайно, ускладнює доступ для шахраїв, навіть якщо вони знають пароль.

SaaS-компаніям варто серйозно розглянути впровадження MFA під час обробки конфіденційної інформації, оскільки це підвищує безпеку та конфіденційність. 

MFA зосереджується на конкретних категоріях даних під час перевірки особи:

• Фактори знання: Інформація, яку знає користувач, наприклад, пароль або PIN-код.

• Фактори володіння: Предмети, якими володіє користувач, наприклад, смартфон, апаратний токен або програма-автентифікатор.

• Фактори притаманності: Біометричні ознаки, включаючи відбитки пальців, розпізнавання обличчя або зразки голосу.

• Місцезнаходження або контекстуальні фактори: Сигнали, такі як географічне місцезнаходження, IP-адреса або репутація мережі.

Поєднання факторів у процесі верифікації підвищить безпеку.

MFA має такі переваги: 

• Надійніший захист облікового запису: Самих скомпрометованих паролів недостатньо для доступу.

• Знижений ризик зламу: Microsoft повідомляє, що MFA може запобігти понад 99% атак із компрометацією облікових записів.

• Покращений контроль доступу: MFA забезпечує послідовну, керовану політиками автентифікацію для користувачів та систем.

• Менший вплив на бізнес: Запобігає фінансовим втратам, простоям та репутаційній шкоді, спричиненій витоками даних.

• Зменшена залежність від паролів: Обмежує вразливість до повторного використання паролів та атак з підбору облікових даних.
  

Хоча MFA може спричиняти незначні незручності та витрати на впровадження, ці компроміси, як правило, переважуються перевагами у безпеці для більшості організацій.

Паролі все ще є першим кроком автентифікації в багатьох робочих процесах MFA. Слабкі або повторно використані паролі збільшують ризик зламу та атак соціальної інженерії, особливо у випадку втоми від MFA, коли кіберзлочинці тиснуть на користувачів, щоб вони схвалили запити на вхід.

Надійний, унікальний пароль в першу чергу зменшує ймовірність компрометації та посилює ефективність MFA. 

У корпоративному середовищі MFA працює так:

1. Користувач вводить своє ім'я користувача та пароль.
2. Система враховує контекст щодо пристрою, місцезнаходження та поведінки.
3. Користувача просять надати другий фактор автентифікації, такий як код з програми-автентифікатора, біометричне сканування або апаратний токен. 
4. Доступ надається лише після успішної верифікації.

Організаціям SaaS також потрібно подумати про додавання додаткового методу автентифікації до списку на випадок, якщо основний пристрій буде скомпрометовано або він буде недоступним для використання.

Системи MFA часто використовують різні методи для ідентифікації нових або невідомих пристроїв, зокрема:

• відбиток пристрою
• аналіз IP
• історія місцезнаходжень
• моніторинг активності. 

Саме ці методи викликають тривогу, коли для спроби входу використовується нове місцезнаходження або незвичайний пристрій. Така практика корисна для віддалених та хмарних додатків, де існує велика різноманітність пристроїв.

Адаптивна MFA залежить від оцінок ризиків для встановлення вищих або нижчих рівнів автентифікації рівнів. Існує безліч сигналів, які можуть викликати підвищені рівні перевірки, таких як:

• незвичайні місцезнаходження
• неможливі переміщення
• незвична поведінка або мережі
• підозрілі мережі. 

Ситуації з низьким ризиком можуть оброблятися з мінімальними перешкодами, тоді як ситуації з високим ризиком вимагають більше факторів або блокуються. Ця практика забезпечує кращу безпеку, а також усуває зайві запити MFA для звичайних користувачів.

Так. Надійність MFA залежить від використаних критеріїв. 

• Коди на основі SMS забезпечують найнижчий рівень захисту та вразливі до SIM-свопінгу.
• застосунки для автентифікації та апаратні засоби токени забезпечують вищий рівень надійності
• біометричні фактори (використовуються 3D Secure) забезпечують найвищий рівень безпеки за умови їх належної реалізації. 

Організації SaaS повинні враховувати надійність MFA відповідно до чутливості даних або захищеної системи, балансуючи вимоги безпеки з користувацьким досвідом.