Навіщо потрібна багатофакторна автентифікація (MFA)

Якщо про двофакторну аутентифікацію (2FA) відомо багатьом, то багатофакторна аутентифікація (MFA) поки що використовується рідко. Розбираємось, як вона працює і навіщо може стати у нагоді кожному з нас.

Насправді двофакторна автентифікація – це окремий випадок MFA, у якому є два фактори, наприклад, пароль та код для входу до облікового запису. Але логічно, що чим більше факторів використовується, тим складніше їх скомпрометувати та зламати захищений обліковий запис. Це особливо добре працює, якщо всі фактори різні за своєю природою – саме на цьому ґрунтується MFA.

Є три основні види факторів: знання, предмет, яким ви володієте, та унікальна властивість.

• Знання – це коди, паролі, відповіді на контрольні питання та ін. Саме вони найчастіше зазнають злому, тому що їх легше дізнатися чи підібрати.
• Предмет (або володіння) – фізичні ключі, RFID-карти, комп’ютери та смартфони, де зберігається інформація для входу.
• Властивість – найчастіше це біометрія, тобто відбитки пальців, розпізнавання обличчя чи голосу тощо.

На деяких сайтах за умовчанням використовуються додаткові фактори автентифікації: геолокація смартфона, MAC-адреса комп’ютера або цифровий відбиток браузера. Ви можете не підозрювати про такі перевірки, але якщо до вашого облікового запису спробує увійти інший користувач, його вирахують за цими прихованими факторами і заблокують доступ.

Також на базі кількох факторів працює аутентифікація на основі ризиків (RBA – Risk Based Authentication). Вона спрацьовує, якщо при вході в обліковий запис відбувається щось незвичайне, наприклад, ви входите з невідомого пристрою або в новій геолокації. Система аутентифікації виявить порушення звичного шаблону та запросить додаткові докази того, що обліковий запис належить саме вам.

Чи потрібна MFA звичайному користувачеві?

За великим рахунком, поки що достатньо двофакторної аутентифікації, яку ми радимо налаштувати для всіх акаунтів. Причому для отримання кодів (тобто другого фактора) вибирайте програми аутентифікації, а не SMS.

Якщо на сайтах, якими ви користуєтеся, є можливість додати фізичний ключ, цей варіант також можна розглянути. Але врахуйте, що він вимагатиме фінансових витрат і зусиль.

Ще краще мати під рукою додаткові фактори автентифікації, хоча б просто резервні коди для входу в обліковий запис, які видаються при налаштуванні 2FA. Це також дозволить підвищити рівень безпеки.