Многофакторная аутентификация

Многофакторная аутентификация ( MFA ; двухфакторная аутентификация , или 2FA вместе с аналогичными терминами) — это метод электронной аутентификации , при котором пользователю предоставляется доступ к веб-сайту или приложению только после успешного предоставления двух или более доказательств (или факторов ) к механизму аутентификации . MFA защищает персональные данные , которые могут включать личную идентификацию или финансовые активы , от доступа неавторизованной третьей стороны, которая могла бы узнать, например, один пароль .

В последние годы использование MFA возросло, однако существует множество угроз, которые постоянно затрудняют обеспечение полной безопасности MFA. ^[1]

Факторы [ править ]

Аутентификация происходит, когда кто-то пытается войти в компьютерный ресурс (например, в компьютерную сеть , устройство или приложение). Ресурс требует, чтобы пользователь предоставил идентификатор, под которым пользователь известен ресурсу, а также доказательства подлинности утверждения пользователя об этом идентификаторе. Простая аутентификация требует только одного такого доказательства (фактора), обычно пароля. Для дополнительной безопасности ресурсу может потребоваться более одного фактора — многофакторная аутентификация или двухфакторная аутентификация в тех случаях, когда необходимо предоставить ровно два доказательства. ^[2]

Использование нескольких факторов аутентификации для подтверждения личности основано на предпосылке, что неавторизованный субъект вряд ли сможет предоставить факторы, необходимые для доступа. Если при попытке аутентификации хотя бы один из компонентов отсутствует или указан неправильно, личность пользователя не установлена с достаточной достоверностью и доступ к активу (например, зданию или данным) защищен многофакторной аутентификацией, тогда остается заблокированным. Факторы аутентификации схемы многофакторной аутентификации могут включать в себя: ^[3]

Что-то, что есть у пользователя: любой физический объект, которым владеет пользователь, например токен безопасности ( USB-накопитель ), банковская карта , ключ и т. д.
Что-то, что знает пользователь: определенная информация, известная только пользователю, например пароль , PIN-код , PUK-код и т. д.
Что представляет собой пользователь: некоторые физические характеристики пользователя ( биометрические данные ), такие как отпечаток пальца, радужная оболочка глаза, голос, скорость набора текста , шаблон интервалов нажатия клавиш и т. д.

Пример двухфакторной аутентификации — снятие денег в банкомате ; только правильная комбинация банковской карты (которая есть у пользователя) и PIN-кода (того, что знает пользователь) позволяет выполнить транзакцию. Двумя другими примерами являются дополнение пароля, контролируемого пользователем, одноразовым паролем (OTP) или кодом, сгенерированным или полученным аутентификатором ( например, токеном безопасности или смартфоном), которым обладает только пользователь. ^[4]

Стороннее приложение- аутентификатор обеспечивает двухфакторную аутентификацию другим способом, обычно показывая случайно сгенерированный и постоянно обновляемый код, который может использовать пользователь, вместо отправки SMS или использования другого метода. ^[5]

Знания [ править ]

Факторы знаний являются формой аутентификации. В этой форме пользователю необходимо доказать знание секрета для аутентификации.

Пароль — это секретное слово или строка символов, используемая для аутентификации пользователя. Это наиболее часто используемый механизм аутентификации. ^[3]Многие методы многофакторной аутентификации полагаются на пароли как на один из факторов аутентификации. Варианты включают как более длинные PIN-коды, состоящие из нескольких слов ( парольная фраза ), так и более короткие, чисто числовые PIN-коды, обычно используемые для доступа к банкоматам . Традиционно пароли нужно запоминать , но их также можно записать на скрытом бумажном или текстовом файле.

Владение [ править ]

Факторы владения («то, что есть только у пользователя») веками использовались для аутентификации в форме ключа к замку. Основной принцип заключается в том, что ключ воплощает в себе секрет, который является общим для замка и ключа, и тот же принцип лежит в основе аутентификации по фактору владения в компьютерных системах. Токен безопасности является примером фактора владения.

Отключенные токены не имеют подключения к клиентскому компьютеру. Обычно они используют встроенный экран для отображения сгенерированных данных аутентификации, которые вводятся пользователем вручную. Этот тип токена в основном использует OTP , который можно использовать только для этого конкретного сеанса. ^[6]

Подключенные токены — это устройства , которые физически подключены к используемому компьютеру. Эти устройства передают данные автоматически. ^[7] Существует несколько различных типов, включая USB-токены, смарт-карты и беспроводные метки . ^[7] все более Токены с поддержкой FIDO2 , поддерживаемые Альянсом FIDO и Консорциумом Всемирной паутины (W3C), становятся популярными благодаря массовой поддержке браузеров, начиная с 2015 года.

Программный токен (также известный как программный токен ) — это тип устройства безопасности двухфакторной аутентификации, которое может использоваться для авторизации использования компьютерных услуг. Программные токены хранятся на электронном устройстве общего назначения, таком как настольный компьютер , ноутбук , КПК или мобильный телефон , и могут быть продублированы. (В отличие от аппаратных токенов , где учетные данные хранятся на выделенном аппаратном устройстве и, следовательно, не могут быть дублированы при отсутствии физического вторжения в устройство). Программный токен не может быть устройством, с которым взаимодействует пользователь. Обычно сертификат X.509v3 загружается на устройство и надежно хранится для этой цели. ^{[ нужна цитата ]}

Многофакторная аутентификация также может применяться в системах физической безопасности. Эти системы физической безопасности известны и обычно называются контролем доступа. Многофакторная аутентификация обычно развертывается в системах контроля доступа посредством использования, во-первых, физического владения (например, брелока, карты-ключа или QR-кода , отображаемого на устройстве), который действует как идентификационные данные, и, во-вторых, проверки подлинности. личности, например биометрия лица или сканирование сетчатки. Эту форму многофакторной аутентификации обычно называют проверкой лица или аутентификацией по лицу.

Неотъемлемый [ править ]

Это факторы, связанные с пользователем, и обычно это биометрические методы, включая отпечатки пальцев , лицо , ^[8] Распознавание голоса или радужной оболочки глаза . поведенческую биометрию, такую как динамика нажатия клавиш Также можно использовать .

Местоположение [ править ]

Все чаще в игру вступает четвертый фактор, связанный с физическим местоположением пользователя. При жестком подключении к корпоративной сети пользователю может быть разрешено войти в систему, используя только пин-код. Тогда как, если пользователь находился вне сети, также может потребоваться ввод кода с программного токена. Это можно рассматривать как приемлемый стандарт, когда доступ в офис контролируется. ^{[ нужна цитата ]}

Системы контроля доступа к сети работают аналогичным образом: уровень доступа к сети может зависеть от конкретной сети, к которой подключено устройство, например, Wi-Fi или проводное подключение. Это также позволяет пользователю перемещаться между офисами и динамически получать одинаковый уровень доступа к сети. ^{[ нужны разъяснения ]} в каждом. ^{[ нужна цитата ]}

Аутентификация на основе мобильного телефона [ править ]

Двухфакторная аутентификация по текстовым сообщениям была разработана еще в 1996 году, когда AT&T описала систему авторизации транзакций, основанную на обмене кодами через двусторонние пейджеры. ^[9]^[10]

Многие поставщики многофакторной аутентификации предлагают аутентификацию на основе мобильного телефона. Некоторые методы включают аутентификацию на основе push-уведомлений, аутентификацию на основе QR-кода, аутентификацию по одноразовому паролю (на основе событий и времени) и проверку на основе SMS. Проверка на основе SMS имеет некоторые проблемы с безопасностью. Телефоны можно клонировать, приложения могут запускаться на нескольких телефонах, а обслуживающий персонал мобильных телефонов может читать тексты SMS. Не в последнюю очередь, сотовые телефоны в целом могут быть скомпрометированы, а это означает, что телефон больше не является чем-то, что есть только у пользователя.

Основным недостатком аутентификации, включая то, чем обладает пользователь, является то, что пользователь практически всегда должен носить с собой физический токен (USB-накопитель, банковскую карту, ключ или что-то подобное). Потеря и кража представляют собой риски. Многие организации запрещают носить с собой USB-устройства и электронные устройства в помещении или за его пределами из-за риска вредоносного ПО и кражи данных, а большинство важных машин не имеют портов USB по той же причине. Физические токены обычно не масштабируются, и для каждой новой учетной записи и системы обычно требуется новый токен. Приобретение и последующая замена токенов такого типа требует затрат. Кроме того, существуют внутренние конфликты и неизбежные компромиссы между удобством использования и безопасностью. ^[11]

Двухэтапная аутентификация с использованием мобильных телефонов и смартфонов представляет собой альтернативу выделенным физическим устройствам. Для аутентификации люди могут использовать свои личные коды доступа к устройству (то есть то, что знает только отдельный пользователь) плюс одноразовый динамический пароль, обычно состоящий из 4–6 цифр. Код доступа можно отправить на мобильное устройство. ^[2]по SMS или может быть сгенерирован с помощью приложения для создания одноразового пароля. В обоих случаях преимущество использования мобильного телефона заключается в том, что нет необходимости в дополнительном выделенном токене, поскольку пользователи, как правило, свои мобильные устройства всегда носят с собой .

Несмотря на популярность SMS-верификации, защитники безопасности публично критиковали SMS-верификацию. ^[12] США а в июле 2016 года в проекте руководства NIST было предложено отказаться от использования этого метода аутентификации. ^[13] Год спустя NIST восстановил проверку по SMS в качестве действующего канала аутентификации в окончательной версии руководства. ^[14]

В 2016 и 2017 годах соответственно и Google, и Apple начали предлагать пользователям двухэтапную аутентификацию с помощью push-уведомлений. ^[3] как альтернативный метод. ^[15]^[16]

Безопасность токенов безопасности, доставляемых на мобильные устройства, полностью зависит от операционной безопасности мобильного оператора и может быть легко нарушена путем прослушивания телефонных разговоров или клонирования SIM-карты органами национальной безопасности. ^[17]

Преимущества:

Никаких дополнительных токенов не требуется, поскольку он использует мобильные устройства, которые (обычно) постоянно носят с собой.
Поскольку они постоянно меняются, динамически генерируемые пароли безопаснее использовать, чем фиксированную (статическую) информацию для входа в систему.
В зависимости от решения используемые пароли автоматически заменяются, чтобы гарантировать, что действительный код всегда доступен, поэтому проблемы с передачей/приемом не препятствуют входу в систему.

Недостатки:

Пользователи по-прежнему могут быть подвержены фишинговым атакам. Злоумышленник может отправить текстовое сообщение со ссылкой на поддельный веб-сайт , который выглядит идентично реальному веб-сайту. Затем злоумышленник может получить код аутентификации, имя пользователя и пароль. ^[18]
Мобильный телефон не всегда доступен — его можно потерять, украсть, у него разрядится аккумулятор или он не будет работать по каким-либо другим причинам.
Несмотря на их растущую популярность, некоторые пользователи могут даже не иметь мобильного устройства и обижаются, когда его наличие требуется как условие использования какой-либо службы на домашнем компьютере.
Прием мобильной связи не всегда доступен: на больших территориях, особенно за пределами городов, отсутствует покрытие.
Клонирование SIM-карты дает хакерам доступ к соединениям мобильных телефонов. В результате атак с помощью социальной инженерии на компании мобильных операторов злоумышленникам были переданы дубликаты SIM-карт. ^[19]
Текстовые сообщения на мобильные телефоны с помощью SMS небезопасны и могут быть перехвачены IMSI-перехватчиками . Таким образом, третьи лица могут украсть и использовать токен. ^[20]
Восстановление учетной записи обычно обходит двухфакторную аутентификацию мобильного телефона. ^[2]^{[ не удалось пройти проверку ]}
Современные смартфоны используются как для получения электронной почты, так и для SMS. Таким образом, если телефон утерян или украден и не защищен паролем или биометрическими данными, все учетные записи, для которых ключом является адрес электронной почты, могут быть взломаны, поскольку телефон может получить второй фактор.
Операторы мобильной связи могут взимать с пользователей плату за обмен сообщениями.

Законодательство и регулирование [ править ]

Требование 8.3 стандарта безопасности данных индустрии платежных карт (PCI) требует использования MFA для всего удаленного доступа к сети, который происходит извне сети в среде карточных данных (CDE). ^[21] Начиная с версии PCI-DSS 3.2, использование MFA требуется для любого административного доступа к CDE, даже если пользователь находится в доверенной сети.

Европейский Союз [ править ]

Вторая Директива о платежных услугах требует « надежной аутентификации клиентов » для большинства электронных платежей в Европейской экономической зоне с 14 сентября 2019 года. ^[22]

Индия [ править ]

В Индии Резервный банк Индии обязал двухфакторную аутентификацию для всех онлайн-транзакций, совершаемых с использованием дебетовой или кредитной карты, с использованием пароля или одноразового пароля, отправляемого по SMS . Это требование было снято в 2016 году для транзакций на сумму до 2000 фунтов стерлингов после согласия банка-эмитента. ^[23] таким поставщикам, как Uber , внести изменения в свои системы обработки платежей в соответствии с внедрением двухфакторной аутентификации. Банк поручил ^[24]^[25]^[26]

США [ править ]

Подробности аутентификации федеральных служащих и подрядчиков в США определены в Президентской директиве внутренней безопасности № 12 (HSPD-12). ^[27]

Нормативные стандарты ИТ для доступа к системам федерального правительства требуют использования многофакторной аутентификации для доступа к конфиденциальным ИТ-ресурсам, например, при входе в сетевые устройства для выполнения административных задач. ^[28] и при доступе к любому компьютеру с использованием привилегированного входа. ^[29]

В специальной публикации NIST 800-63-3 обсуждаются различные формы двухфакторной аутентификации и даются рекомендации по их использованию в бизнес-процессах, требующих разных уровней доверия. ^[30]

США В 2005 году Федеральный совет по проверке финансовых учреждений выпустил руководство для финансовых учреждений, рекомендуя финансовым учреждениям проводить оценки на основе рисков, оценивать программы повышения осведомленности клиентов и разрабатывать меры безопасности для надежной аутентификации клиентов, имеющих удаленный доступ к финансовым онлайн-услугам , официально рекомендуя использовать методы аутентификации, которые зависят от более чем одного фактора (в частности, от того, что пользователь знает, имеет и чем является) для определения личности пользователя. ^[31]В ответ на публикацию многочисленные поставщики средств аутентификации начали ненадлежащим образом продвигать контрольные вопросы, секретные изображения и другие методы, основанные на знаниях, как «многофакторную» аутентификацию. Из-за возникшей путаницы и широкого распространения таких методов 15 августа 2006 г. FFIEC опубликовал дополнительные рекомендации, в которых говорится, что по определению «настоящая» многофакторная система аутентификации должна использовать отдельные экземпляры трех факторов аутентификации. определили, а не просто использовали несколько экземпляров одного фактора. ^[32]

Безопасность [ править ]

По мнению сторонников, многофакторная аутентификация может радикально снизить количество случаев онлайн- кражи личных данных и другого онлайн- мошенничества , поскольку пароля жертвы больше не будет достаточно, чтобы предоставить ворам постоянный доступ к своей информации. Однако многие подходы к многофакторной аутентификации остаются уязвимыми для фишинга . ^[33] атаки «человек в браузере» и «человек посередине» . ^[34] Двухфакторная аутентификация в веб-приложениях особенно подвержена фишинговым атакам, особенно в SMS и электронной почте, и в ответ на это многие эксперты советуют пользователям никому не сообщать свои коды подтверждения. ^[35] и многие поставщики веб-приложений размещают рекомендации по электронной почте или SMS, содержащие код. ^[36]

Многофакторная аутентификация может оказаться неэффективной ^[37] против современных угроз, таких как скимминг банкоматов, фишинг и вредоносное ПО. ^[38]

В мае 2017 года немецкий оператор мобильной связи O2 Telefónica подтвердил, что киберпреступники использовали уязвимости SS7 для обхода двухэтапной аутентификации на основе SMS для несанкционированного снятия средств с банковских счетов пользователей. Преступники сначала заразили компьютеры владельцев счетов, пытаясь украсть учетные данные и номера телефонов их банковских счетов. Затем злоумышленники приобрели доступ к поддельному оператору связи и установили перенаправление номера телефона жертвы на подконтрольный им телефон. Наконец, злоумышленники вошли в онлайн-банковские счета жертв и потребовали вывести деньги со счетов на счета, принадлежащие преступникам. SMS-пароли были перенаправлены на телефонные номера, контролируемые злоумышленниками, и преступники перевели деньги. ^[39]

Усталость МИД [ править ]

Все более распространенным подходом к борьбе с MFA является бомбардировка пользователя множеством запросов на вход в систему, пока пользователь в конечном итоге не поддастся количеству запросов и не примет один. ^[40]

Реализация [ править ]

Многие продукты многофакторной аутентификации требуют от пользователей развертывания клиентского программного обеспечения , чтобы системы многофакторной аутентификации работали. Некоторые поставщики создали отдельные установочные пакеты для входа в сеть , веб- доступа учетных данных и VPN- подключения учетных данных . Для таких продуктов может быть четыре или пять различных пакетов программного обеспечения , которые необходимо загрузить на клиентский ПК, чтобы использовать токен или смарт-карту . Это означает четыре или пять пакетов, для которых необходимо выполнить контроль версий, и четыре или пять пакетов для проверки на наличие конфликтов с бизнес-приложениями. Если доступ можно осуществлять с помощью веб-страниц , можно ограничить описанные выше накладные расходы одним приложением. При использовании других технологий многофакторной аутентификации, таких как продукты с аппаратными токенами, конечным пользователям не требуется устанавливать программное обеспечение. ^{[ нужна цитата ]}

У многофакторной аутентификации есть недостатки, которые мешают многим подходам получить широкое распространение. Некоторым пользователям сложно отслеживать аппаратный токен или USB-разъем. Многие пользователи не обладают техническими навыками, необходимыми для самостоятельной установки сертификата клиентского программного обеспечения. Как правило, многофакторные решения требуют дополнительных инвестиций для внедрения и затрат на обслуживание. Большинство систем на основе аппаратных токенов являются проприетарными, и некоторые поставщики взимают ежегодную плату за каждого пользователя. Развертывание аппаратных токенов представляет собой сложную логистическую задачу. Аппаратные токены выпуск токенов могут быть повреждены или потеряны, поэтому необходимо контролировать в крупных отраслях, таких как банковское дело, или даже на крупных предприятиях. Помимо затрат на развертывание, многофакторная аутентификация часто требует значительных дополнительных затрат на поддержку. ^{[ нужна цитата ]} Опрос 2008 года ^[41]^{[ постоянная мертвая ссылка ]}из более чем 120 кредитных союзов США журнал Credit Union Journal сообщил о расходах на поддержку, связанных с двухфакторной аутентификацией. В своем отчете сертификаты программного обеспечения и подходы к панели инструментов программного обеспечения ^{[ нужны разъяснения ]} Сообщалось, что у них были самые высокие затраты на поддержку.

Исследование развертывания схем многофакторной аутентификации ^[42]показало, что одним из элементов, которые имеют тенденцию влиять на внедрение таких систем, является направление деятельности организации, которая внедряет систему многофакторной аутентификации. В качестве примера можно привести правительство США, которое использует сложную систему физических токенов (которые сами по себе подкреплены надежной инфраструктурой открытых ключей ), а также частные банки, которые, как правило, предпочитают схемы многофакторной аутентификации для своих клиентов, предполагающие более доступную, менее дорогие средства проверки личности, такие как приложение, установленное на принадлежащий клиенту смартфон. Несмотря на различия, существующие среди доступных систем, из которых организациям, возможно, придется выбирать, после того, как система многофакторной аутентификации развернута в организации, она, как правило, остается на месте, поскольку пользователи неизменно адаптируются к присутствию и использованию системы и принимают ее. со временем это станет нормализованным элементом их ежедневного процесса взаимодействия с соответствующей информационной системой.

Хотя считается, что многофакторная аутентификация находится в сфере идеальной безопасности, пишет Роджер Граймс. ^[43] что, если многофакторная аутентификация не реализована и не настроена должным образом, на самом деле ее можно легко обойти.

Патенты [ править ]

В 2013 году Ким Дотком заявил, что изобрел двухфакторную аутентификацию в патенте 2000 года. ^[44]и кратко пригрозил подать в суд на все основные веб-сервисы. Однако Европейское патентное ведомство отозвало его патент. ^[45] в свете более раннего патента США 1998 года, принадлежавшего AT&T. ^[46]

См. также [ править ]

Ссылки [ править ]

^ Рассел, Стив (22 февраля 2023 г.). «Обход многофакторной аутентификации» . ЭТО СЕЙЧАС . 65 (1): 42–45. дои : 10.1093/combul/bwad023 . ISSN 1746-5702 .
^ Перейти обратно: ^а ^б ^с «Двухфакторная аутентификация: что вам нужно знать (часто задаваемые вопросы) – vrenture.com/ . CNET . Проверено 31 октября 2015 г.
^ Перейти обратно: ^а ^б ^с Жакомм, Чарли; Кремер, Стив (1 февраля 2021 г.). «Обширный формальный анализ протоколов многофакторной аутентификации» . Транзакции ACM по вопросам конфиденциальности и безопасности . 24 (2). Нью-Йорк: Ассоциация вычислительной техники: 1–34. дои : 10.1145/3440712 . ISSN 2471-2566 . S2CID 231791299 .
^ [email protected] (28 июня 2016 г.). «Возвращение к основам: Многофакторная аутентификация (MFA)» . НИСТ . Архивировано из оригинала 06 апреля 2021 г. Проверено 06 апреля 2021 г.
^ Барретт, Брайан (22 июля 2018 г.). «Как защитить свои учетные записи с помощью улучшенной двухфакторной аутентификации» . Проводной . Проверено 12 сентября 2020 г.
^ «Настройка одноразовых паролей» . www.sonicwall.com . Звуковая стена . Проверено 19 января 2022 г.
^ Перейти обратно: ^а ^б ван Тилборг, Хенк, Калифорния; Яджодиа, Сушил, ред. (2011). Энциклопедия криптографии и безопасности, Том 1 . Берлин, Германия: Springer Science & Business Media . п. 1305. ИСБН 9781441959058 .
^ Цао, Лилин; Гэ, Ваньчэн (10 марта 2015 г.). «Анализ и совершенствование схемы многофакторной биометрической аутентификации: Анализ и совершенствование схемы MFBA» . Сети безопасности и связи . 8 (4): 617–625. дои : 10.1002/сек.1010 .
^ «Есть ли у Ким Дотком оригинальный патент на «двухфакторный» вход в систему?» . хранитель . 23 мая 2013 г. Проверено 2 ноября 2022 г.
^ EP 0745961 , «Система авторизации транзакций и оповещений», выдан 4 декабря 1996 г.
^ Ван, Дин; Он, Дебяо; Ван, Пин; Чу, Чао-Сянь (2014). «Анонимная двухфакторная аутентификация в распределенных системах: некоторые цели недостижимы» (PDF) . Транзакции IEEE для надежных и безопасных вычислений . Пискатауэй, Нью-Джерси: Институт инженеров по электротехнике и электронике . Проверено 23 марта 2018 г.
^ Энди Гринберг (26 июня 2016 г.). «Итак, эй, тебе следует прекратить использовать тексты для двухфакторной аутентификации» . Проводной . Проверено 12 мая 2018 г.
^ «NIST больше не рекомендует двухфакторную аутентификацию с помощью SMS» . Шнайер по безопасности. 3 августа 2016 г. Проверено 30 ноября 2017 г.
^ «Откат! NIST США больше не рекомендует «Отказ от поддержки SMS для 2FA» » . 6 июля 2017 г. Проверено 21 мая 2019 г.
^ Тунг, Лиам. «Подсказка Google: теперь вы можете просто нажать «да» или «нет» на iOS и Android, чтобы одобрить вход в Gmail» . ЗД Нет . Проверено 11 сентября 2017 г.
^ Ченс Миллер (25 февраля 2017 г.). «Apple предлагает iOS 10.3» . 9to5 Мак . Проверено 11 сентября 2017 г.
^ «Как Россия работает над перехватом мессенджеров – Беллингкэт» . Беллингкэт . 30 апреля 2016 г. Архивировано из оригинала 30 апреля 2016 г. Проверено 30 апреля 2016 г.
^ Кан, Майкл (7 марта 2019 г.). «Google: Растет число фишинговых атак, способных победить двухфакторную аутентификацию» . ПК Маг . Проверено 9 сентября 2019 г.
^ Николс, Шон (10 июля 2017 г.). «Двухфакторный провал: Чепа наказали после того, как «AT&T попалась на хакерские уловки» » . Регистр . Проверено 11 июля 2017 г.
^ Турани, Мохсен; Бехешти, А. (2008). «SSMS — безопасный протокол обмена SMS-сообщениями для систем мобильных платежей». Симпозиум IEEE 2008 г. по компьютерам и коммуникациям . стр. 700–705. arXiv : 1002.3171 . дои : 10.1109/ISCC.2008.4625610 . ISBN 978-1-4244-2702-4 . S2CID 5066992 .
^ «Официальный сайт Совета по стандартам безопасности PCI — проверьте соответствие PCI, загрузите стандарты безопасности данных и безопасности кредитных карт» . www.pcisecuritystandards.org . Проверено 25 июля 2016 г.
^ Делегированный регламент Комиссии (ЕС) 2018/389 от 27 ноября 2017 года, дополняющий Директиву (ЕС) 2015/2366 Европейского парламента и Совета в отношении нормативных технических стандартов для строгой аутентификации клиентов и общих и безопасных открытых стандартов связи (Текст с Актуальность ЕЭЗ.) , 13 марта 2018 г. , получено 6 апреля 2021 г.
^ Карник, Мадхура (7 декабря 2016 г.). «Наконец-то индийцы могут использовать кредитные карты онлайн без болезненных одноразовых паролей, но только для покупок на сумму менее 2000 рупий» . Кварц . Проверено 10 декабря 2023 г.
^ Агарвал, Сурабхи (7 декабря 2016 г.). «Платежные компании приветствуют решение RBI отказаться от двухфакторной аутентификации для транзакций на небольшие суммы» . Экономические времена . Проверено 28 июня 2020 г.
^ Наир, Вишванат (6 декабря 2016 г.). «RBI упрощает двухфакторную аутентификацию для онлайн-транзакций по картам на сумму до 2000 рупий» . Живая мята . Проверено 28 июня 2020 г.
^ «Uber теперь соблюдает требование Индии о двухфакторной аутентификации, называет его ненужным и обременительным» . ВенчурБит . 30 ноября 2014 г. Проверено 05 сентября 2021 г.
^ «Директива президента внутренней безопасности № 12» . Департамент внутренней безопасности . 1 августа 2008 г. Архивировано из оригинала 16 сентября 2012 г.
^ «Институт SANS, Critical Control 10: безопасные конфигурации сетевых устройств, таких как брандмауэры, маршрутизаторы и коммутаторы» . Архивировано из оригинала 28 января 2013 г. Проверено 11 февраля 2013 г.
^ «Институт SANS, Критический контроль 12: Контролируемое использование административных привилегий» . Архивировано из оригинала 28 января 2013 г. Проверено 11 февраля 2013 г.
^ «Руководство по цифровой идентификации» . Специальная публикация NIST 800-63-3 . НИСТ. 22 июня 2017 г. Проверено 2 февраля 2018 г.
^ «Пресс-релиз ФФИЭК» . 12 октября 2005 г. Проверено 13 мая 2011 г.
^ «Часто задаваемые вопросы по руководству FFIEC по аутентификации в среде интернет-банкинга» (PDF) . ФФИЭК. 15 августа 2006 г. Архивировано (PDF) из оригинала 15 ноября 2012 г.
^ Брайан Кребс (10 июля 2006 г.). «Исправление безопасности: фишинговый банк Citibank подделывает двухфакторную аутентификацию» . Вашингтон Пост . Проверено 20 сентября 2016 г.
^ Брюс Шнайер (март 2005 г.). «Отказ двухфакторной аутентификации» . Шнайер по безопасности . Проверено 20 сентября 2016 г.
^ Алексей Перекалин (май 2018 г.). «Почему никогда и никому не следует отправлять коды подтверждения» . Касперский . Проверено 17 октября 2020 г.
^ Сиадати, Хосейн; Нгуен, Тоан; Гупта, Паяс; Якобссон, Маркус; Мемон, Насир (2017). «Остерегайтесь своих SMS-сообщений: смягчение последствий социальной инженерии при второй факторной аутентификации» . Компьютеры и безопасность . 65 : 14–28. дои : 10.1016/j.cose.2016.09.009 . S2CID 10821943 .
^ Шенкленд, Стивен. «Двухфакторная аутентификация? Не так безопасно, как вы ожидаете при входе в электронную почту или свой банк» . CNET . Проверено 27 сентября 2020 г.
^ «Отказ двухфакторной аутентификации – Шнайер о безопасности» . schneier.com . Проверено 23 октября 2015 г.
^ Хандельвал, Свати. «Реальная атака на SS7: хакеры крадут деньги с банковских счетов» . Хакерские новости . Проверено 5 мая 2017 г.
^ «Усталость МИД: новая любимая тактика хакеров при громких взломах» . Мигающий компьютер . Проверено 12 августа 2023 г.
^ «Исследование проливает новый свет на затраты и влияние многофакторности» . 4 апреля 2008 г.
^ Либицкий, Мартин С.; Балкович, Эдвард; Джексон, Брайан А.; Рудавский, Рена; Уэбб, Кэтрин (2011). «Влияние на внедрение многофакторной аутентификации» .
^ «Взлом многофакторной аутентификации | Wiley» . Wiley.com . Проверено 17 декабря 2020 г.
^ US 6078908 , Шмитц, Ким, "Способ авторизации в системах передачи данных"
^ Бродкин, Джон (23 мая 2013 г.). «Ким Дотком утверждает, что изобрел двухфакторную аутентификацию, но он не был первым» . Арс Техника . Архивировано из оригинала 9 июля 2019 года . Проверено 25 июля 2019 г.
^ US 5708422 , Блондер и др., «Система авторизации и оповещения о транзакциях».

Дальнейшее чтение [ править ]

Брэндом, Рассел (10 июля 2017 г.). «Двухфакторная аутентификация — это бардак» . Грань . Проверено 10 июля 2017 г.

Внешние ссылки [ править ]

TwoFactorAuth.org — TwoFactorAuth.org — подробный онлайн-ресурс по (2FA) и всему, что с этим связано.
Злоумышленники взломали серверы RSA и похитили информацию, которая могла быть использована для компрометации безопасности токенов двухфакторной аутентификации, используемых 40 миллионами сотрудников (register.com, 18 марта 2011 г.).
Банки будут использовать двухфакторную аутентификацию к концу 2006 г. (slashdot.org, 20 октября 2005 г.)
Microsoft откажется от паролей , Microsoft готовится отказаться от паролей в пользу двухфакторной аутентификации в будущих версиях Windows (vnunet.com, 14 марта 2005 г.)

[1] Рассел, Стив (22 февраля 2023 г.). «Обход многофакторной аутентификации» . ЭТО СЕЙЧАС . 65 (1): 42–45. дои : 10.1093/combul/bwad023 . ISSN 1746-5702 .

[Note1-2] Перейти обратно: ^а ^б ^с «Двухфакторная аутентификация: что вам нужно знать (часто задаваемые вопросы) – vrenture.com/ . CNET . Проверено 31 октября 2015 г.

[:2-3] Перейти обратно: ^а ^б ^с Жакомм, Чарли; Кремер, Стив (1 февраля 2021 г.). «Обширный формальный анализ протоколов многофакторной аутентификации» . Транзакции ACM по вопросам конфиденциальности и безопасности . 24 (2). Нью-Йорк: Ассоциация вычислительной техники: 1–34. дои : 10.1145/3440712 . ISSN 2471-2566 . S2CID 231791299 .

[4] [email protected] (28 июня 2016 г.). «Возвращение к основам: Многофакторная аутентификация (MFA)» . НИСТ . Архивировано из оригинала 06 апреля 2021 г. Проверено 06 апреля 2021 г.

[5] Барретт, Брайан (22 июля 2018 г.). «Как защитить свои учетные записи с помощью улучшенной двухфакторной аутентификации» . Проводной . Проверено 12 сентября 2020 г.

[6] «Настройка одноразовых паролей» . www.sonicwall.com . Звуковая стена . Проверено 19 января 2022 г.

[:0-7] Перейти обратно: ^а ^б ван Тилборг, Хенк, Калифорния; Яджодиа, Сушил, ред. (2011). Энциклопедия криптографии и безопасности, Том 1 . Берлин, Германия: Springer Science & Business Media . п. 1305. ИСБН 9781441959058 .

[8] Цао, Лилин; Гэ, Ваньчэн (10 марта 2015 г.). «Анализ и совершенствование схемы многофакторной биометрической аутентификации: Анализ и совершенствование схемы MFBA» . Сети безопасности и связи . 8 (4): 617–625. дои : 10.1002/сек.1010 .

[9] «Есть ли у Ким Дотком оригинальный патент на «двухфакторный» вход в систему?» . хранитель . 23 мая 2013 г. Проверено 2 ноября 2022 г.

[10] EP 0745961 , «Система авторизации транзакций и оповещений», выдан 4 декабря 1996 г.

[11] Ван, Дин; Он, Дебяо; Ван, Пин; Чу, Чао-Сянь (2014). «Анонимная двухфакторная аутентификация в распределенных системах: некоторые цели недостижимы» (PDF) . Транзакции IEEE для надежных и безопасных вычислений . Пискатауэй, Нью-Джерси: Институт инженеров по электротехнике и электронике . Проверено 23 марта 2018 г.

[12] Энди Гринберг (26 июня 2016 г.). «Итак, эй, тебе следует прекратить использовать тексты для двухфакторной аутентификации» . Проводной . Проверено 12 мая 2018 г.

[13] «NIST больше не рекомендует двухфакторную аутентификацию с помощью SMS» . Шнайер по безопасности. 3 августа 2016 г. Проверено 30 ноября 2017 г.

[14] «Откат! NIST США больше не рекомендует «Отказ от поддержки SMS для 2FA» » . 6 июля 2017 г. Проверено 21 мая 2019 г.

[15] Тунг, Лиам. «Подсказка Google: теперь вы можете просто нажать «да» или «нет» на iOS и Android, чтобы одобрить вход в Gmail» . ЗД Нет . Проверено 11 сентября 2017 г.

[16] Ченс Миллер (25 февраля 2017 г.). «Apple предлагает iOS 10.3» . 9to5 Мак . Проверено 11 сентября 2017 г.

[bcat20160430-17] «Как Россия работает над перехватом мессенджеров – Беллингкэт» . Беллингкэт . 30 апреля 2016 г. Архивировано из оригинала 30 апреля 2016 г. Проверено 30 апреля 2016 г.

[18] Кан, Майкл (7 марта 2019 г.). «Google: Растет число фишинговых атак, способных победить двухфакторную аутентификацию» . ПК Маг . Проверено 9 сентября 2019 г.

[19] Николс, Шон (10 июля 2017 г.). «Двухфакторный провал: Чепа наказали после того, как «AT&T попалась на хакерские уловки» » . Регистр . Проверено 11 июля 2017 г.

[20] Турани, Мохсен; Бехешти, А. (2008). «SSMS — безопасный протокол обмена SMS-сообщениями для систем мобильных платежей». Симпозиум IEEE 2008 г. по компьютерам и коммуникациям . стр. 700–705. arXiv : 1002.3171 . дои : 10.1109/ISCC.2008.4625610 . ISBN 978-1-4244-2702-4 . S2CID 5066992 .

[21] «Официальный сайт Совета по стандартам безопасности PCI — проверьте соответствие PCI, загрузите стандарты безопасности данных и безопасности кредитных карт» . www.pcisecuritystandards.org . Проверено 25 июля 2016 г.

[22] Делегированный регламент Комиссии (ЕС) 2018/389 от 27 ноября 2017 года, дополняющий Директиву (ЕС) 2015/2366 Европейского парламента и Совета в отношении нормативных технических стандартов для строгой аутентификации клиентов и общих и безопасных открытых стандартов связи (Текст с Актуальность ЕЭЗ.) , 13 марта 2018 г. , получено 6 апреля 2021 г.

[23] Карник, Мадхура (7 декабря 2016 г.). «Наконец-то индийцы могут использовать кредитные карты онлайн без болезненных одноразовых паролей, но только для покупок на сумму менее 2000 рупий» . Кварц . Проверено 10 декабря 2023 г.

[24] Агарвал, Сурабхи (7 декабря 2016 г.). «Платежные компании приветствуют решение RBI отказаться от двухфакторной аутентификации для транзакций на небольшие суммы» . Экономические времена . Проверено 28 июня 2020 г.

[25] Наир, Вишванат (6 декабря 2016 г.). «RBI упрощает двухфакторную аутентификацию для онлайн-транзакций по картам на сумму до 2000 рупий» . Живая мята . Проверено 28 июня 2020 г.

[26] «Uber теперь соблюдает требование Индии о двухфакторной аутентификации, называет его ненужным и обременительным» . ВенчурБит . 30 ноября 2014 г. Проверено 05 сентября 2021 г.

[27] «Директива президента внутренней безопасности № 12» . Департамент внутренней безопасности . 1 августа 2008 г. Архивировано из оригинала 16 сентября 2012 г.

[28] «Институт SANS, Critical Control 10: безопасные конфигурации сетевых устройств, таких как брандмауэры, маршрутизаторы и коммутаторы» . Архивировано из оригинала 28 января 2013 г. Проверено 11 февраля 2013 г.

[29] «Институт SANS, Критический контроль 12: Контролируемое использование административных привилегий» . Архивировано из оригинала 28 января 2013 г. Проверено 11 февраля 2013 г.

[30] «Руководство по цифровой идентификации» . Специальная публикация NIST 800-63-3 . НИСТ. 22 июня 2017 г. Проверено 2 февраля 2018 г.

[31] «Пресс-релиз ФФИЭК» . 12 октября 2005 г. Проверено 13 мая 2011 г.

[ffiec-faw-32] «Часто задаваемые вопросы по руководству FFIEC по аутентификации в среде интернет-банкинга» (PDF) . ФФИЭК. 15 августа 2006 г. Архивировано (PDF) из оригинала 15 ноября 2012 г.

[voices.washingtonpost.com-33] Брайан Кребс (10 июля 2006 г.). «Исправление безопасности: фишинговый банк Citibank подделывает двухфакторную аутентификацию» . Вашингтон Пост . Проверено 20 сентября 2016 г.

[34] Брюс Шнайер (март 2005 г.). «Отказ двухфакторной аутентификации» . Шнайер по безопасности . Проверено 20 сентября 2016 г.

[35] Алексей Перекалин (май 2018 г.). «Почему никогда и никому не следует отправлять коды подтверждения» . Касперский . Проверено 17 октября 2020 г.

[36] Сиадати, Хосейн; Нгуен, Тоан; Гупта, Паяс; Якобссон, Маркус; Мемон, Насир (2017). «Остерегайтесь своих SMS-сообщений: смягчение последствий социальной инженерии при второй факторной аутентификации» . Компьютеры и безопасность . 65 : 14–28. дои : 10.1016/j.cose.2016.09.009 . S2CID 10821943 .

[37] Шенкленд, Стивен. «Двухфакторная аутентификация? Не так безопасно, как вы ожидаете при входе в электронную почту или свой банк» . CNET . Проверено 27 сентября 2020 г.

[38] «Отказ двухфакторной аутентификации – Шнайер о безопасности» . schneier.com . Проверено 23 октября 2015 г.

[39] Хандельвал, Свати. «Реальная атака на SS7: хакеры крадут деньги с банковских счетов» . Хакерские новости . Проверено 5 мая 2017 г.

[40] «Усталость МИД: новая любимая тактика хакеров при громких взломах» . Мигающий компьютер . Проверено 12 августа 2023 г.

[41] «Исследование проливает новый свет на затраты и влияние многофакторности» . 4 апреля 2008 г.

[:1-42] Либицкий, Мартин С.; Балкович, Эдвард; Джексон, Брайан А.; Рудавский, Рена; Уэбб, Кэтрин (2011). «Влияние на внедрение многофакторной аутентификации» .

[43] «Взлом многофакторной аутентификации | Wiley» . Wiley.com . Проверено 17 декабря 2020 г.

[US_PATENT_6078908-44] US 6078908 , Шмитц, Ким, "Способ авторизации в системах передачи данных"

[Brodkin,_ARS_Technical,_2019-45] Бродкин, Джон (23 мая 2013 г.). «Ким Дотком утверждает, что изобрел двухфакторную аутентификацию, но он не был первым» . Арс Техника . Архивировано из оригинала 9 июля 2019 года . Проверено 25 июля 2019 г.

[US_PATENT_5708422-46] US 5708422 , Блондер и др., «Система авторизации и оповещения о транзакциях».

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

[26]

[27]

[28]

[29]

[30]

[31]

[32]

[33]

[34]

[35]

[36]

[37]

[38]

[39]

[40]

[41]

[42]

[43]

[44]

[45]

[46]

v т Это Информационная безопасность
Related security categories	Computer security Automotive security Cybercrime Cybersex trafficking Computer fraud Cybergeddon Cyberterrorism Cyberwarfare Electromagnetic warfare Information warfare Internet security Mobile security Network security Copy protection Digital rights management	vectorial version
Threats	Adware Advanced persistent threat Arbitrary code execution Backdoors Hardware backdoors Code injection Crimeware Cross-site scripting Cross-site leaks DOM clobbering History sniffing Cryptojacking Botnets Data breach Drive-by download Browser Helper Objects Viruses Data scraping Denial-of-service attack Eavesdropping Email fraud Email spoofing Exploits Hacktivism Insecure direct object reference Keystroke loggers Logic bombs Time bombs Fork bombs Zip bombs Fraudulent dialers Malware Payload Phishing Voice Polymorphic engine Privilege escalation Ransomware Rootkits Scareware Shellcode Spamming Social engineering Spyware Software bugs Trojan horses Hardware Trojans Remote access trojans Vulnerability Web shells Wiper Worms SQL injection Rogue security software Zombie
Defenses	Application security Secure coding Secure by default Secure by design Misuse case Computer access control Authentication Multi-factor authentication Authorization Computer security software Antivirus software Security-focused operating system Data-centric security Obfuscation (software) Data masking Encryption Firewall Intrusion detection system Host-based intrusion detection system (HIDS) Anomaly detection Security information and event management (SIEM) Mobile secure gateway Runtime application self-protection Site isolation