Что такое двухфакторная аутентификация и зачем она бизнесу

Двухфакторная аутентификация, или 2FA, — это способ подтвердить личность пользователя с помощью двух независимых факторов. Первый фактор — пароль, который сотрудник изначально знает. Второй — биометрия, токен или код, который отправляется при каждой попытке входа после верного ввода пароля. Даже если злоумышленники украдут пароль, без второго фактора войти в систему не получится.

Аутентификация в связке с идентификацией и авторизацией проверяет права пользователя и контролирует его доступ к корпоративным сервисам. Вот как это работает:

1. Идентификация. На основе логина или имени пользователя система определяет, кто пытается войти на сайт или в приложение.
2. Аутентификация. Пользователь подтверждает свою личность. Например, вводит пароль и код, который был отправлен на телефон.
3. Авторизация. Система решает, какие ресурсы может использовать сотрудник, какие действия ему доступны после успешной аутентификации.

Двухфакторная аутентификация — это частный случай многофакторной аутентификации, или MFA. В ней для подтверждения личности используют два, три фактора и более: например, пароль, код из приложения и отпечаток пальца.

Многофакторная аутентификация с тремя факторами требует больше усилий от пользователя, поэтому ее применяют организации, которым утечка данных может нанести серьезный ущерб — обычно это банки, оборонные предприятия, международные корпорации.

В зависимости от ИТ-инфраструктуры, требований к информационной безопасности и специфики угроз компания может использовать разные методы подтверждения личности. Ниже — факторы второго уровня проверки, которые могут дополнять пароль.

Код из СМС или электронного письма. После ввода пароля пользователь получает одноразовый код. Он действует от 30 секунд до нескольких минут — время настраивает системный администратор.

При аутентификации с помощью кода есть уязвимости. Например, при фишинговых атаках пользователь вводит на поддельном сайте не только логин и пароль, но и код — все данные попадают к злоумышленнику. Хакер также может взломать телефон или почту сотрудника и настроить переадресацию сообщений на свое устройство.

TOTP-приложение. Код генерируется в мобильном приложении, например Google Authenticator, которое пользователю нужно установить на смартфон. Такой вариант считается более надежным, чем СМС, так как дополнительный код создается на устройстве сотрудника — это снижает риск его перехвата мошенниками.

Аппаратный токен. Это способ аутентификации с помощью физического устройства, например USB-ключа или смарт-карты. Чтобы подтвердить личность, владелец вставляет устройство в компьютер или подносит к считывателю, если токен беспроводной. Токен генерирует уникальный код — система его проверяет и пускает пользователя в аккаунт. Этот способ аутентификации требует дополнительных затрат: организациям приходится покупать и настраивать токены для каждого сотрудника.

Биометрия. Дополнительное распознавание личности происходит по отпечатку пальца или по лицу. Такой способ в корпоративных приложениях используется реже, потому что для его работы нужно использовать специальные технологии, например Face ID для распознавания лица.

Резервный код. Набор запасных кодов генерируется при первой настройке 2FA и хранится в надежном месте. Обычно коды распечатывают, копируют на флешку или в облако. Резервный код используют, когда пользователь теряет устройство или меняет номер телефона

Каждая компания выбирает свой способ двухфакторной аутентификации. Малому и среднему бизнесу будет достаточно подтверждения личности кодом из СМС, электронной почты или TOTP-приложения. Крупным компаниям кроме кодов будут актуальны биометрия и аппаратные токены.

Подключить двухфакторную аутентификацию, чтобы снизить риск утечек конфиденциальных данных, может любой бизнес — от стартапов до крупных госкорпораций. Например, эту технологию используют:

• Финансовые компании. 2FA защищает сервисы электронных платежей, банковские приложения, инвестиционные платформы, хранилища данных с отчетами и аналитикой. Мошенники не смогут взломать клиентскую базу или получить доступ к платежам, чтобы подменить адресата транзакции.
• Медицинские и фармацевтические компании. Двухфакторная аутентификация может обезопасить электронные медкарты, архивы исследований и доступ к формулам препаратов. Клиники внедряют технологию, чтобы соответствовать требованиям федерального закона о персональных данных № 152-ФЗ.
• Ретейл. Торговые сети и онлайн-магазины хранят базу данных поставщиков и клиентов. Для защиты бизнеса можно внедрить двухфакторную аутентификацию, например, при входе в CRM-систему, терминалы и программы с настройками систем лояльности.
• Госструктуры и оборонные предприятия. Двухфакторная защита обезопасит данные из геоинформационных систем, переписки сотрудников, сохранит персональную информацию о пользователях и секретные документы.

Если компания планирует внедрить двухфакторную аутентификацию, стоит начать с часто используемых приложений — мессенджера, почты, CRM-системы — и затем распространить технологию на все корпоративные сервисы. А чтобы вход через 2FA работал с одним паролем сразу во всех системах, можно внедрить SSO — технологию единого входа.

В Time администратор может настроить двухфакторную защиту в соответствии с политикой безопасности компании. Доступно два способа аутентификации.

Через СМС-код. Этот способ можно использовать только в on-premise-решении, при этом организация заключает договор с СМС-провайдером и платит за каждое сообщение. В SaaS-версии подключить двухфакторную аутентификацию через СМС-сообщение не получится.

Через TOTP. Если администратор включил такой метод аутентификации, пользователь может скачать приложение Google Authenticator и добавить TOTP в настройках безопасности мессенджера.

Администратор мессенджера Time может сделать двухфакторную аутентификацию обязательной для всех пользователей — с подтверждением личности через СМС-код или TOTP-приложение. Или может разрешить только метод TOTP — тогда те сотрудники, которые хотят усилить защиту учетной записи, подключат технологию на своих смартфонах. Такой подход позволяет гибко управлять настройками двухфакторной аутентификации на стороне бизнеса.