Брюс Шнайер, уважаемый эксперт в области безопасности, недавно написал эссе “Провал двухфакторной аутентификации” (www.schneier.com/blog/archives/2005/03/the_failure_of.html), вызвавшее оживленную дискуссию среди специалистов по защите информации в банках. Но, хотя Шнайер поднимает реальные проблемы, являющиеся предметом серьезного внимания со стороны клиентов моей компании, я бы не стал утверждать, будто двухфакторная аутентификация потерпела фиаско.

Брюс Шнайер, признанный эксперт в области безопасности данных: “Двухфакторную аутентификацию можно обойти, используя человеческий фактор”

Традиционные фиксированные пароли представляют собой серьезную брешь в защите многих организаций, поскольку их довольно просто украсть и можно использовать многократно. Двухфакторная аутентификация гораздо надежнее традиционных паролей, поскольку требует сочетания двух факторов. Обычно это персональный идентификационный номер (PIN) и некое устройство типа жетона. Они совместно генерируют уникальный разовый код. Другой человек не сможет использовать такой пароль. Как правильно отмечает Шнайер, “...перехваченный пароль не пригодится в следующий раз, когда он потребуется”. Тысячи компаний и государственных органов, которые серьезно относятся к проблеме обеспечения безопасности, успешно используют двухфакторную аутентификацию на протяжении почти двух десятилетий для предотвращения кражи паролей.

Мы согласны со Шнайером, что ни одна система безопасности не гарантирует ее правильного использования. Он писал, что двухфакторную аутентификацию все-таки можно обойти, если злоумышленник работает в компании, или с помощью “троянских коней”. Однако сегодня большинство попыток выудить персональную информацию направлено против легко уязвимых целей. А массовые атаки организуются для того, чтобы получить множество паролей и имен пользователей. Повысив уровень безопасности с помощью двухфакторной аутентификации, можно заставить атакующих отправиться на поиски более легкой добычи.

Никакое средство безопасности не может закрыть всех брешей. Организациям необходимо по-прежнему использовать различные решения, чтобы защититься от всего спектра угроз. Ничто не заменит обучение персонала. Чтобы нарушить систему использования паролей, достаточно неосторожно оставленной записки. Поэтому сотрудники должны сознавать риск, связанный с неаккуратным обращением с идентификационными данными. Нормальный человек не станет сообщать посторонним свой код для доступа к банкомату. Такой же подход должен применяться в области компьютерной безопасности.

Двухфакторная аутентификация будет играть важнейшую и все большую роль в обеспечении кибербезопасности. На крупных предприятиях, которые открывают свои сети и приложения для дистанционного доступа, она будет применяться по-прежнему. Мы считаем, что в сочетании с обучением персонала этот метод является неотъемлемой частью предназначенных для потребительского рынка решений в области идентификации пользователей. Однако свои исследования и разработки мы сосредоточили на новых технологиях, которые могут гарантировать безопасность соединений и подтверждать совершение транзакций.

Любое решение в области безопасности имеет свои слабые стороны. Но это не может служить оправданием для отказа от использования всего лучшего из доступных средств. После того как будет введена двухфакторная аутентификация и сотрудники наконец поймут, что ни в коем случае нельзя пересылать пароли по электронной почте, пройдет еще немало времени, прежде чем снизится количество атак с целью получения идентификационных данных. Как говорится в недавно опубликованном докладе аналитической фирмы Forrester Research, “...хотя это не является панацеей от кражи персональных идентификационных данных, на сегодня двухфакторная аутентификация представляет собой лучшее из достигнутого”. 

Джон Мак-Налти — генеральный директор компании Secure Computing, выпускающей средства безопасности, в том числе по технологии двухфакторной аутентификаци, и инструменты борьбы со спамом.