Как работает двухфакторная аутентификация

В последнее время часто спрашивают, есть ли смысл продолжать использовать привычные етокены или же пора переходить на отечественные средства аутентификации — рутокены. Конкретных советов давать не рискнем. Если перед вами тоже стоит такая проблема, поищите что гласят описывающие рутокен отзывы пользователей в интернете, а затем поищите комментарии о достоинствах и недостатках е-токенов. Прочтите все внимательно и решайте сами.

Предположтм, что мистемный администратор хочет войти в административную панель веб-сервера компании или любого другого сервера, который поддерживает двухфакторную аутентификацию. 

Первое, что спросит сервер - это имя пользователя (очень распространенный вопрос). Затем программа аутентификации запросит секретный пароль или кодовую фразу, сгенерированную сторонним авторизованным устройством (обычно электронным токеном). 

Другими словами, программа проверит «то, что он знает» = имя пользователя и сравнит это с «тем, что у него есть», запросив код доступа с электронного устройства. 

Вместо использования етокена программа может попросить сисадмина произнести контрольную фразу (проверить голос) или набрать на клавиатуре комбинацию клавиш (динамическое распознавание нажатия клавиш) или просто отсканировать его отпечаток пальца. 

Электронный токен - это устройство, которое в течение 30-40 секунд на маленьком экране отображает кодовую комбинацию, которая по истечении времени своего действия будет изменена на другую, совершенно другую цепочку цифр, и может делать это до тех пор, пока не закончится заряд батареи. То число, которое видно на экране токена, генерируется тем же алгоритмом, что и на сервере аутентификации. Поскольку эти два устройства (токен и сервер) были назначены конкретному пользователю (в нашем случае - системному администратору), они работают синхронно. В результате, число отображаемое на экране, должно успешно проходить проверку подлинности на связанном с ним сервере. 

 

В этом случае вторым фактором авторизации может быть:

• 6 или более цифр, созданных аппаратным электронным ключом
• ответ на вопрос, ранее введенный на сервер аутентификации.
• подтверждение совпадения изображения у пользователя с изображением, ранее сохраненным на сервере аутентификации.
• случайный номер, созданный электронным устройством, отличным от электронного маркера - например, смарт-картой, сетевые картой, мобильный гаджет (сотовый телефон, сматрфон, палмтоп, планшет) или компьютер. 

Усиление защищенности 

Для того, чтобы сделать эту систему более сложной для несанкционированного доступа со стороны злоумышленников, обычно используется секретный номер PIN от 4 до 6 цифр (предварительно настроенный на сервере аутентификации) и заранее добавленный к одноразовому паролю e-токена. В описанном нами в примере процессе пошаговой аутентификации пользователь сначала введет pin-код, а затем введет пароль, отображаемый на экране е-токена.

Короче говоря, электронный ключ способен генерировать пароли, потому что: 

• сервер аутентификации был синхронизирован с ним, когда выполнялась конфигурация этого конкретного токена; а также
• секретный pin-код пользователя изначально был связан с электронным токеном и соответственно настроен на том же сервере для этого конкретного пользователя.

Подводя итог всему вышесказанному, делаем вывод, что ключевой концепцией для понимания двухфакторной аутентификации является следующее: чтобы получить доступ к определенным ресурсам, не авторизованный пользователь или злоумышленник должен иметь доступ к «двум факторам»: секретному коду (пароль + pin-код) и персональному устройству, используемому пользователем для  аутентификации.