Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску
«Двухфакторная аутентификация» перенаправляется сюда. Информацию о двухфакторной аутентификации в Википедии см. В разделе Справка: Двухфакторная аутентификация .
Часть серии по
Информационная безопасность
Связанные категории безопасности
Угрозы
Защиты
  • Обнаружение аномалий
  • Контроль доступа к компьютеру
  • Безопасность приложений
    • Антивирусное программное обеспечение
    • Программное обеспечение компьютерной безопасности
    • Безопасное кодирование
    • Безопасность по умолчанию
    • Безопасность благодаря дизайну
      • Случай неправильного использования
    • Операционная система, ориентированная на безопасность
  • Аутентификация
    • Многофакторная аутентификация
  • Авторизация
  • Безопасность, ориентированная на данные
  • Обфускация кода
  • Шифрование
  • Брандмауэр
  • Система обнаружения вторжений
    • Система обнаружения вторжений на основе хоста (HIDS)
  • Информация о безопасности и управление событиями
  • Мобильный безопасный шлюз
  • Самозащита рабочего приложения
  • Безопасность веб-приложений
  • v
  • т
  • е

Многофакторная аутентификация ( MFA ; включает двухфакторную аутентификацию или 2FA вместе с аналогичными терминами) - это метод электронной аутентификации, при котором пользователю устройства предоставляется доступ к веб-сайту или приложению только после успешного представления двух или более доказательств (или факторы) к механизму аутентификации : знание (то, что знает только пользователь), владение (то, что есть только у пользователя) и принадлежность (то, что есть только у пользователя). MFA защищает пользователя от неизвестных лиц, пытающихся получить доступ к их данным, таким как личные данные или финансовые активы.

Сторонний аутентификатор (ТР) приложение позволяет двухфакторную проверку подлинности, как правило, показывая , сгенерированный случайным образом и постоянно освежающий код , чтобы использовать для аутентификации.

Факторы [ править ]

Аутентификация происходит, когда кто-то пытается войти в компьютерный ресурс (например, сеть, устройство или приложение). Ресурс требует, чтобы пользователь предоставил удостоверение, по которому он известен ресурсу, а также свидетельство подлинности утверждения пользователя об этом удостоверении. Для простой аутентификации требуется только одно такое доказательство (фактор), обычно пароль. Для дополнительной безопасности для ресурса может потребоваться более одного фактора - многофакторная аутентификация или двухфакторная аутентификация в случаях, когда должны быть предоставлены ровно две части свидетельства. [1]

Использование нескольких факторов аутентификации для подтверждения своей личности основано на предпосылке, что неавторизованный субъект вряд ли сможет предоставить факторы, необходимые для доступа. Если при попытке аутентификации хотя бы один из компонентов отсутствует или предоставлен неправильно, личность пользователя не устанавливается с достаточной уверенностью и доступ к объекту (например, зданию или данным) защищен многофакторной аутентификацией, тогда остается заблокированным. Факторы аутентификации схемы многофакторной аутентификации могут включать: [2]

  • Что-то, что есть у пользователя: какой-то физический объект, которым владеет пользователь, например, токен безопасности ( USB-накопитель ), банковская карта, ключ и т. Д.
  • Что-то, что знает пользователь: определенные знания, известные только пользователю, такие как пароль, PIN-код, TAN и т. Д.
  • Что-то, чем является пользователь: некоторые физические характеристики пользователя (биометрия), такие как отпечаток пальца, радужная оболочка глаз, голос, скорость набора текста , характер интервалов нажатия клавиш и т. Д.
  • Где-то находится пользователь: какое-то соединение с определенной вычислительной сетью или использование сигнала GPS для определения местоположения. [3]

Хороший пример двухфакторной аутентификации - снятие денег в банкомате ; только правильная комбинация банковской карты (то, что есть у пользователя) и ПИН-кода (то, что пользователь знает) позволяет провести транзакцию. Два других примера - это дополнение управляемого пользователем пароля одноразовым паролем (OTP) или кодом, сгенерированным или полученным аутентификатором (например, токеном безопасности или смартфоном), которым владеет только пользователь. [ необходима цитата ]

Стороннее приложение для аутентификации позволяет использовать двухфакторную аутентификацию другим способом, обычно показывая случайно сгенерированный и постоянно обновляемый код, который пользователь может использовать, а не отправлять SMS или использовать другой метод. Большим преимуществом этих приложений является то, что они обычно продолжают работать даже без подключения к Интернету. Примеры сторонних приложений для аутентификации: Google Authenticator , Authy и Microsoft Authenticator ; некоторые менеджеры паролей, такие как LastPass, также предлагают эту услугу. [4]

Примером второго шага в двухэтапной проверке или аутентификации является повторение пользователем того, что было отправлено ему через внеполосный механизм (например, код, отправленный по SMS), или номер, сгенерированный приложением, которое является общим для пользователя и системы аутентификации . [5]

Знание [ править ]

Факторы знания являются наиболее часто используемой формой аутентификации. В этой форме от пользователя требуется подтвердить знание секрета для аутентификации.

Пароль является секретным словом или строкой символов, которая используется для проверки подлинности пользователя. Это наиболее часто используемый механизм аутентификации. [2] Многие методы многофакторной аутентификации полагаются на пароль как на один из факторов аутентификации. Варианты включают в себя как более длинные, образованные из нескольких слов ( кодовая фраза ), так и более короткие, чисто числовые, персональные идентификационные номера (PIN), обычно используемые для доступа к банкоматам . Традиционно предполагается, что пароли запоминаются .

Множество секретных вопросов, таких как «Где ты родился?» являются плохими примерами фактора знания, потому что они могут быть известны широкой группе людей или могут быть исследованы.

Владение [ править ]

Токен RSA SecurID , пример отключенного генератора токенов

Факторы владения («что-то есть только у пользователя») веками использовались для аутентификации в виде ключа от замка. Основной принцип заключается в том, что ключ представляет собой секрет, который используется совместно между замком и ключом, и тот же принцип лежит в основе аутентификации по фактору владения в компьютерных системах. Маркер безопасности является примером фактора владения.

Отключенные токены не имеют подключений к клиентскому компьютеру. Обычно они используют встроенный экран для отображения сгенерированных данных аутентификации, которые вводятся пользователем вручную. Этот тип токена в основном использует «одноразовый пароль», который можно использовать только для этого конкретного сеанса. [6]

Подключенные токены - это устройства , которые физически подключены к используемому компьютеру. Эти устройства передают данные автоматически. [7] Существует несколько различных типов, включая устройства чтения карт, беспроводные метки и USB-токены. [7]

Маркер программного обеспечения ( так называемый мягкий маркер ) представляет собой тип устройства безопасности аутентификации два фактора , которые могут быть использованы для разрешения на использовании компьютерных услуг. Программные токены хранятся на универсальном электронном устройстве, таком как настольный компьютер , ноутбук , КПК или мобильный телефон, и их можно дублировать. (Сравните аппаратные токены , где учетные данные хранятся на выделенном аппаратном устройстве и поэтому не могут быть дублированы, при отсутствии физического вторжения в устройство.) Программный токен может не быть устройством, с которым взаимодействует пользователь. Обычно сертификат X.509v3 загружается на устройство и надежно хранится для этой цели.

Врожденный [ править ]

Это факторы, связанные с пользователем, и обычно это биометрические методы, включая распознавание отпечатков пальцев , лица , голоса или радужной оболочки глаза . Также можно использовать поведенческую биометрию, такую ​​как динамика нажатия клавиш .

Местоположение [ править ]

Основная статья: Аутентификация на основе местоположения

Все чаще в игру вступает четвертый фактор, связанный с физическим местонахождением пользователя. При жестком подключении к корпоративной сети пользователю может быть разрешено входить в систему, используя только пин-код, в то время как вне сети также может потребоваться ввод кода с программного токена. Это можно рассматривать как приемлемый стандарт, когда доступ в офис контролируется.

Системы контроля доступа к сети работают аналогичным образом, где ваш уровень доступа к сети может зависеть от конкретной сети, к которой подключено ваше устройство, например, Wi-Fi или проводное соединение. Это также позволяет пользователю перемещаться между офисами и динамически получать одинаковый уровень доступа к сети в каждом из них.

Жетоны [ править ]

Многие поставщики многофакторной аутентификации предлагают аутентификацию на основе мобильного телефона. Некоторые методы включают аутентификацию на основе push, аутентификацию на основе QR-кода, аутентификацию с одноразовым паролем (на основе событий и времени ) и проверку на основе SMS. Проверка на основе SMS имеет некоторые проблемы с безопасностью. Телефоны можно клонировать, приложения могут работать на нескольких телефонах, а обслуживающий персонал сотовых телефонов может читать тексты SMS. Не в последнюю очередь, сотовые телефоны в целом могут быть скомпрометированы, а это означает, что телефон больше не принадлежит только пользователю.

Главный недостаток аутентификации, включая то, что есть у пользователя, заключается в том, что пользователь должен всегда носить с собой физический токен (USB-накопитель, банковскую карту, ключ и т. Д.). Потеря и кража - это риски. Многие организации запрещают носить с собой USB-устройства и электронные устройства в помещении или из него из -за риска кражи вредоносных программ и данных, и наиболее важные машины не имеют USB-портов по той же причине. Физические токены обычно не масштабируются, обычно требуется новый токен для каждой новой учетной записи и системы. Приобретение и последующая замена таких токенов требует затрат. Кроме того, существуют внутренние конфликты и неизбежные компромиссы между удобством использования и безопасностью. [8]

Двухэтапная аутентификация с использованием мобильных телефонов и смартфонов является альтернативой выделенным физическим устройствам. Для аутентификации люди могут использовать свои личные коды доступа к устройству (то есть то, что знает только отдельный пользователь) плюс одноразовый динамический пароль, обычно состоящий из 4-6 цифр. Код доступа может быть отправлен на их мобильное устройство [9] с помощью SMS или может быть сгенерирован приложением для создания одноразового кода доступа. В обоих случаях преимущество использования мобильного телефона состоит в том, что нет необходимости в дополнительном выделенном токене, поскольку пользователи, как правило, всегда носят свои мобильные устройства с собой.

По состоянию на 2018 год SMS является наиболее распространенным методом многофакторной аутентификации для учетных записей, ориентированных на потребителя. [ необходима цитата ] Несмотря на популярность проверки с помощью SMS, защитники безопасности публично критиковали ее [10], и в июле 2016 года в проекте руководства NIST Соединенных Штатов предлагалось исключить ее как форму проверки подлинности. [11] Год спустя NIST восстановил проверку по SMS в качестве действующего канала аутентификации в окончательной редакции руководства. [12]

В 2016 и 2017 годах соответственно и Google, и Apple начали предлагать пользователю двухэтапную аутентификацию с push-уведомлением [2] в качестве альтернативного метода. [13] [14]

Безопасность токенов безопасности, доставляемых с помощью мобильных устройств, полностью зависит от операционной безопасности оператора мобильной связи и может быть легко взломана службами национальной безопасности путем прослушивания телефонных разговоров или клонирования SIM-карты . [15]

Преимущества:

  • Никаких дополнительных токенов не требуется, потому что он использует мобильные устройства, которые (обычно) носят постоянно.
  • Поскольку они постоянно меняются, динамически генерируемые коды доступа безопаснее использовать, чем фиксированные (статические) данные для входа.
  • В зависимости от решения используемые коды доступа автоматически заменяются, чтобы гарантировать, что действительный код всегда доступен, поэтому проблемы передачи / приема не препятствуют входу в систему.

Недостатки:

  • Пользователи по-прежнему могут быть уязвимы для фишинговых атак. Злоумышленник может отправить текстовое сообщение со ссылкой на поддельный веб-сайт, который выглядит идентично реальному веб-сайту. Затем злоумышленник может получить код аутентификации, имя пользователя и пароль. [16]
  • Мобильный телефон не всегда доступен - его можно потерять, украсть, разрядить аккумулятор или вообще перестать работать.
  • Прием мобильных телефонов доступен не всегда - на больших территориях, особенно за пределами городов, нет покрытия.
  • Клонирование SIM-карты дает хакерам доступ к мобильным телефонным соединениям. Атаки социальной инженерии на компании операторов мобильной связи привели к передаче преступникам дубликатов SIM-карт. [17]
  • Текстовые сообщения на мобильные телефоны с помощью SMS небезопасны и могут быть перехвачены IMSI- ловцами . Таким образом, третьи стороны могут украсть и использовать токен. [18]
  • Восстановление учетной записи обычно обходит двухфакторную аутентификацию мобильного телефона. [19]
  • Современные смартфоны используются как для получения электронной почты, так и для SMS. Таким образом, если телефон утерян или украден и не защищен паролем или биометрическими данными, все учетные записи, для которых электронная почта является ключом, могут быть взломаны, поскольку телефон может получить второй фактор.
  • Операторы мобильной связи могут взимать с пользователя плату за обмен сообщениями.

Достижения в мобильной двухфакторной аутентификации [ править ]

Достижения в исследованиях двухфакторной аутентификации для мобильных устройств учитывают различные методы, в которых может быть реализован второй фактор, не создавая помех для пользователя. С постоянным использованием и повышением точности мобильного оборудования, такого как GPS, [20] микрофон, [21] и гироскоп / акселеромотор [22], возможность использовать их в качестве второго фактора аутентификации становится все более надежной. Например, записывая окружающий шум местоположения пользователя с мобильного устройства и сравнивая его с записью окружающего шума с компьютера в той же комнате, в которой пользователь пытается аутентифицироваться, можно получить эффективную секунду фактор аутентификации. [23] Это [требуется разъяснение ]также сокращает время и усилия, необходимые для завершения процесса. [ необходима цитата ]

Законодательство и регулирование [ править ]

Payment Card Industry (PCI) Стандарт безопасности данных, требование 8.3, требует использования МИД для все удаленного доступа к сети , который берет свое начало от внешней сети на карту окружающей среду данных (CDE). [24] Начиная с PCI-DSS версии 3.2, использование MFA требуется для любого административного доступа к CDE, даже если пользователь находится в доверенной сети. [25]

Европейский Союз [ править ]

Второй платеж Директива услуг требует « сильной аутентификации клиентов » на большинстве электронных платежей в Европейской экономической зоне с 14 сентября 2019 года [ править ]

Индия [ править ]

В Индии Резервный банк Индии обязал двухфакторную аутентификацию для всех онлайн-транзакций, совершаемых с использованием дебетовой или кредитной карты с использованием пароля или одноразового пароля, отправленного по SMS . Он был временно отозван в 2016 году для транзакций на сумму до 2000 вон в связи с демонетизацией банкнот в ноябре 2016 года . Центральный банк привлек таких поставщиков, как Uber , за разрешение транзакций без двухфакторной аутентификации. [26] [27]

Соединенные Штаты [ править ]

Детали аутентификации для федеральных служащих и подрядчиков в США определены Президентской директивой 12 по национальной безопасности (HSPD-12). [28]

Существующие методологии аутентификации включают объясненные три типа основных «факторов». Методы аутентификации, зависящие от нескольких факторов, труднее скомпрометировать, чем однофакторные методы. [ необходима цитата ] [29]

Нормативные стандарты ИТ для доступа к системам федерального правительства требуют использования многофакторной аутентификации для доступа к конфиденциальным ИТ-ресурсам, например, при входе на сетевые устройства для выполнения административных задач [30] и при доступе к любому компьютеру с использованием привилегированного входа. [31]

В специальной публикации NIST 800-63-3 обсуждаются различные формы двухфакторной аутентификации и даются рекомендации по их использованию в бизнес-процессах, требующих различных уровней гарантии. [32]

В 2005 году в Соединенных Штатов " Федеральная служба по финансовым институтам Экспертиза Совета выпустил руководство для финансовых учреждений , рекомендующих финансовые институты оценки риска на основе поведения, оценки программ информирования клиентов, а также разработать меры безопасности для надежного AUTHENTICATE клиентов удаленного доступа к онлайн финансовых услуг , официально рекомендует использование методы аутентификации, которые зависят от нескольких факторов (в частности, от того, что пользователь знает, имеет и есть) для определения личности пользователя. [33]В ответ на публикацию многочисленные поставщики аутентификации начали ненадлежащим образом продвигать контрольные вопросы, секретные изображения и другие основанные на знаниях методы как "многофакторную" аутентификацию. Из-за возникшей путаницы и широкого распространения таких методов 15 августа 2006 г. FFIEC опубликовал дополнительные руководящие принципы, в которых говорится, что по определению «настоящая» многофакторная система аутентификации должна использовать отдельные экземпляры трех факторов аутентификации. были определены, а не просто использовать несколько экземпляров одного фактора. [34]

Безопасность [ править ]

По мнению сторонников, многофакторная аутентификация может резко снизить количество случаев кражи личных данных в Интернете и другого онлайн- мошенничества , поскольку пароля жертвы больше не будет достаточно, чтобы дать вору постоянный доступ к их информации. Тем не менее, многие подходы многофакторной аутентификации остаются уязвимыми для фишинг , [35] человек-в-браузере , и человек-в-середине атаки . [36] Двухфакторная аутентификация в веб-приложениях особенно уязвима для фишинговых атак, особенно в SMS и электронной почте, и в ответ многие эксперты советуют пользователям никому не сообщать свои коды подтверждения, [37]и многие поставщики веб-приложений отправят уведомление в электронное письмо или SMS, содержащее код. [38]

Многофакторная аутентификация может быть неэффективной [39] против современных угроз, таких как сканирование банкоматов, фишинг и вредоносное ПО. [40]

В мае 2017 года немецкий оператор мобильной связи O2 Telefónica подтвердил, что киберпреступники использовали уязвимости SS7 для обхода двухэтапной аутентификации на основе SMS и несанкционированного снятия средств с банковских счетов пользователей. Преступники сначала заразили компьютеры владельцев счетов, пытаясь украсть их учетные данные и номера телефонов. Затем злоумышленники приобрели доступ к поддельному оператору связи и настроили перенаправление телефонного номера жертвы на подконтрольный им телефон. Наконец, злоумышленники вошли в онлайн-банковские счета жертв и потребовали вывести деньги со счетов на счета, принадлежащие преступникам. СМС-коды доступа направлялись на подконтрольные злоумышленникам телефонные номера, и преступники переводили деньги.[41]

Реализация [ править ]

Многие продукты для многофакторной аутентификации требуют, чтобы пользователи развернули клиентское программное обеспечение, чтобы системы многофакторной аутентификации работали. Некоторые производители создали отдельные пакеты установки для сетевого входа в систему , веб - доступа учетных данных и VPN - подключения учетных данных . Для таких продуктов может быть четыре или пять различных пакетов программного обеспечения, которые можно загрузить на клиентский ПК, чтобы использовать токен или смарт-карту.. Это означает четыре или пять пакетов, в которых должен выполняться контроль версий, и четыре или пять пакетов для проверки на конфликты с бизнес-приложениями. Если доступ может осуществляться с помощью веб-страниц , можно ограничить накладные расходы, описанные выше, одним приложением. С другими решениями для многофакторной аутентификации, такими как «виртуальные» токены и некоторые продукты с аппаратными токенами, конечные пользователи не должны устанавливать программное обеспечение.

У многофакторной аутентификации есть недостатки, которые не позволяют многим подходам получить широкое распространение. Некоторым пользователям трудно отслеживать аппаратный токен или USB-штекер. Многие пользователи не имеют технических навыков, необходимых для самостоятельной установки сертификата клиентского программного обеспечения. Как правило, многофакторные решения требуют дополнительных инвестиций для внедрения и затрат на обслуживание. Большинство систем на основе аппаратных токенов являются проприетарными, и некоторые поставщики взимают годовую плату за каждого пользователя. Развертывание аппаратных токенов затруднительно с точки зрения логистики. Аппаратные токены могут быть повреждены или утеряны и выпуск токеновв крупных отраслях, таких как банковское дело, или даже на крупных предприятиях. Помимо затрат на развертывание, многофакторная аутентификация часто сопряжена со значительными дополнительными расходами на поддержку. Опрос, проведенный в 2008 году [42] более 120 кредитных союзов США , проведенный Credit Union Journal, сообщил о расходах на поддержку, связанных с двухфакторной аутентификацией. В их отчете указывалось, что сертификаты программного обеспечения и подходы к панели инструментов программного обеспечения имеют самые высокие затраты на поддержку.

Исследование развертывания схем многофакторной аутентификации [43] показало, что одним из элементов, который имеет тенденцию влиять на внедрение таких систем, является сфера деятельности организации, которая развертывает систему многофакторной аутентификации. Приведенные примеры включают федеральное правительство США, которое использует сложную систему физических токенов (которые сами поддерживаются надежной инфраструктурой открытых ключей).), а также частные банки, которые, как правило, предпочитают схемы многофакторной аутентификации для своих клиентов, которые включают более доступные и менее дорогие средства проверки личности, такие как приложение, установленное на смартфон, принадлежащий клиенту. Несмотря на различия, существующие между доступными системами, из которых организациям, возможно, придется выбирать, после развертывания системы многофакторной аутентификации в организации она, как правило, остается на месте, поскольку пользователи неизменно привыкают к присутствию и использованию системы и принимают это с течением времени как нормализованный элемент их повседневного процесса взаимодействия с соответствующей информационной системой.

Хотя считается, что многофакторная аутентификация находится в сфере идеальной безопасности, Роджер Граймс пишет [44], что при неправильной реализации и настройке многофакторную аутентификацию на самом деле можно легко победить.

Патенты [ править ]

В 2013 году Ким Дотком заявил, что изобрел двухфакторную аутентификацию в патенте 2000 года [45], и кратко пригрозил подать в суд на все основные веб-сервисы. Однако Европейское патентное ведомство отозвало его патент [46] в свете более раннего патента США 1998 года, принадлежащего AT&T. [47]

Примеры [ править ]

Некоторые популярные веб-службы используют многофакторную аутентификацию, обычно как дополнительную функцию, которая по умолчанию отключена. [48] Многие интернет-сервисы (среди них Google и Amazon AWS ) используют открытый алгоритм одноразового пароля на основе времени (TOTP) для поддержки двухэтапной аутентификации.

См. Также [ править ]

  • Управление идентификацией
  • Многосторонняя авторизация
  • Взаимная аутентификация
  • Проверка подлинности Reliance
  • Сильная аутентификация
  • Универсальный 2-й фактор

Ссылки [ править ]

  1. ^ «Двухфакторная аутентификация: что нужно знать (FAQ) - CNET» . CNET . Проверено 31 октября 2015 .
  2. ^ a b c Жакомм, Чарли; Кремер, Стив (2021-02-01). «Обширный формальный анализ протоколов многофакторной аутентификации» . Транзакции ACM о конфиденциальности и безопасности . 24 (2): 1–34. DOI : 10.1145 / 3440712 . ISSN 2471-2566 . 
  3. ^ Сима, Шарма (2005). Аутентификация на основе местоположения (тезис). Университет Нового Орлеана.
  4. ^ Барретт, Брайан. «Как защитить свои учетные записи с помощью улучшенной двухфакторной аутентификации» . Проводной . Проверено 12 сентября 2020 .
  5. ^ "Двухэтапная и двухфакторная аутентификация - есть ли разница?" . Обмен стеками информационной безопасности . Проверено 30 ноября 2018 .
  6. ^ "2FA Контроль доступа | Киси" . www.getkisi.com . Проверено 15 ноября 2020 .
  7. ^ a b van Tilborg, Henk CA; Jajodia, Sushil, ред. (2011). Энциклопедия криптографии и безопасности, Том 1 . Springer Science & Business Media. п. 1305. ISBN 9781441959058.
  8. ^ Анонимная двухфакторная аутентификация в распределенных системах: определенные цели недостижимы (PDF) , получено 23 марта 2018 г.
  9. ^ Розенблатт, Сет. «Двухфакторная аутентификация: что нужно знать (FAQ)» . CNET . Проверено 27 сентября 2020 .
  10. ^ Энди Гринберг (2016-06-26). «Итак, вам следует прекратить использовать тексты для двухфакторной аутентификации» . Проводной . Проверено 12 мая 2018 .
  11. ^ «NIST больше не рекомендует двухфакторную аутентификацию с помощью SMS» . Шнайер о безопасности. 3 августа 2016 . Проверено 30 ноября 2017 года .
  12. ^ «Откат! NIST США больше не рекомендует« прекращать поддержку SMS для двухфакторной аутентификации » » . 6 июля 2017 . Проверено 21 мая 2019 года .
  13. ^ Тунг, Лиам. «Подсказка Google: теперь вы можете просто нажать« да »или« нет »на iOS или Android, чтобы подтвердить вход в Gmail» . ZD Net . ZD Net . Проверено 11 сентября 2017 года .
  14. ^ Шанс Миллер (2017-02-25). «Apple предлагает iOS 10.3» . 9to5 Mac . 9to5 Mac . Проверено 11 сентября 2017 года .
  15. ^ «Как Россия работает над перехватом приложений для обмена сообщениями - беллингкэт» . беллингкэт . 2016-04-30. Архивировано из оригинала на 2016-04-30 . Проверено 30 апреля 2016 .
  16. Кан, Майкл (7 марта 2019 г.). «Google: растет число фишинговых атак, которые могут быть двухуровневыми» . PC Mag . Проверено 9 сентября 2019 .
  17. ^ tweet_btn (), Шон Николс в Сан-Франциско 10 июля 2017 г. в 23:31. «Два фактора СБОЙ: Chap получает Косоглазый после„AT & T падает на хакерских уловок » . Проверено 11 июля 2017 .
  18. ^ Турани, Мохсен; Бехешти, А. (2008). «SSMS - безопасный протокол обмена SMS-сообщениями для мобильных платежных систем». Симпозиум IEEE 2008 г. по компьютерам и коммуникациям . С. 700–705. arXiv : 1002,3171 . DOI : 10.1109 / ISCC.2008.4625610 . ISBN 978-1-4244-2702-4. S2CID  5066992 .
  19. ^ Розенблатт, Сет; Чиприани, Джейсон (15 июня 2015 г.). «Двухфакторная аутентификация: что нужно знать (FAQ)» . CNET . Проверено 17 марта 2016 .
  20. ^ «Аутентификация местоположения - внутри GNSS» . www.insidegnss.com . Архивировано из оригинала на 2018-04-18 . Проверено 19 июля 2016 .
  21. ^ «Непрерывная голосовая аутентификация для мобильного устройства» .
  22. ^ «DARPA представляет: Непрерывная мобильная аутентификация - Behaviosec» . 22 октября 2013. Архивировано из оригинала 12 июня 2018 . Проверено 19 июля +2016 .
  23. ^ Звукоизоляция: пригодная для использования двухфакторная аутентификация на основе окружающего звука | USENIX . www.usenix.org . ISBN 9781931971232. Проверено 24 февраля 2016 .
  24. ^ «Официальный сайт Совета по стандартам безопасности PCI - Проверка соответствия требованиям PCI, безопасность данных при загрузке и стандарты безопасности кредитных карт» . www.pcisecuritystandards.org . Проверено 25 июля 2016 .
  25. ^ «Для PCI MFA теперь требуется для всех | Блог Centrify» . blog.centrify.com . 2016-05-02 . Проверено 25 июля 2016 .
  26. Агарвал, Сурабхи (7 декабря 2016 г.). «Платежные фирмы приветствуют решение RBI отказаться от двухфакторной аутентификации для транзакций на небольшие суммы» . The Economic Times . Проверено 28 июня 2020 .
  27. Наир, Вишванат (6 декабря 2016 г.). «RBI упрощает двухфакторную аутентификацию для онлайн-транзакций по картам на сумму до 2000 рупий» . Живая мята . Проверено 28 июня 2020 .
  28. ^ "Директива президента внутренней безопасности 12" . Департамент внутренней безопасности . 1 августа 2008 года Архивировано из оригинального 16 сентября 2012 года .
  29. ^ «Часто задаваемые вопросы по руководству FFIEC по аутентификации в среде интернет-банкинга», 15 августа 2006 г. [ мертвая ссылка ]
  30. ^ «Институт SANS, Critical Control 10: Безопасные конфигурации для сетевых устройств, таких как межсетевые экраны, маршрутизаторы и коммутаторы» . Архивировано из оригинала на 2013-01-28 . Проверено 11 февраля 2013 .
  31. ^ «Институт SANS, Критический контроль 12: Контролируемое использование административных привилегий» . Архивировано из оригинала на 2013-01-28 . Проверено 11 февраля 2013 .
  32. ^ «Рекомендации по цифровой идентификации» . Специальная публикация NIST 800-63-3 . NIST. 22 июня 2017 . Проверено 2 февраля 2018 года .
  33. ^ "Пресс-релиз FFIEC" . 2005-10-12 . Проверено 13 мая 2011 .
  34. ^ FFIEC (2006-08-15). «Часто задаваемые вопросы по руководству FFIEC по аутентификации в среде интернет-банкинга» (PDF) . Проверено 14 января 2012 .
  35. Брайан Кребс (10 июля 2006 г.). «Исправление безопасности - двухфакторная аутентификация Citibank Phish Spoofs» . Вашингтон Пост . Проверено 20 сентября 2016 года .
  36. Брюс Шнайер (март 2005 г.). «Отказ двухфакторной аутентификации» . Шнайер о безопасности . Проверено 20 сентября 2016 года .
  37. ^ Alex Перекалин (май 2018). «Почему вы никогда не должны никому отправлять коды подтверждения» . Касперский . Проверено 17 октября 2020 года .
  38. ^ «Следите за своими SMS: смягчение последствий социальной инженерии при аутентификации второго фактора» (PDF) . Проверено 17 октября 2020 года .
  39. ^ Шенкленд, Стивен. «Двухфакторная аутентификация? Не так безопасно, как можно было бы ожидать при входе в электронную почту или свой банк» . CNET . Проверено 27 сентября 2020 .
  40. ^ «Отказ двухфакторной аутентификации - Шнайер о безопасности» . schneier.com . Проверено 23 октября 2015 года .
  41. ^ Ханделвал, Свати. «Реальная атака SS7 - хакеры крадут деньги с банковских счетов» . Хакерские новости . Проверено 5 мая 2017 .
  42. ^ «Исследование проливает новый свет на затраты, влияние многофакторности» .
  43. ^ Либицки, Мартин С .; Балкович, Эдвард; Джексон, Брайан А .; Рудавский, Рена; Уэбб, Кэтрин (2011). «Влияние на принятие многофакторной аутентификации» .
  44. ^ "Взлом многофакторной аутентификации | Wiley" . Wiley.com . Проверено 17 декабря 2020 .
  45. ^ US 6078908 , Шмитц, Ким, «Метод авторизации в системах передачи данных» 
  46. ^ Brodkin, Джон (23 мая 2013). «Ким Дотком утверждает, что он изобрел двухфакторную аутентификацию, но он не был первым» . Ars Technica . Архивировано из оригинала 9 июля 2019 года . Проверено 25 июля 2019 .
  47. ^ US 5708422 , Blonder и др., «Система авторизации транзакций и предупреждений» 
  48. ^ ГОРДОН, Whitson (3 сентября 2012). «Двухфакторная аутентификация: большой список всего, что вы должны включить прямо сейчас» . LifeHacker . Австралия. Архивировано из оригинального 17 -го января 2018 года . Проверено 1 ноября 2012 года .

Дальнейшее чтение [ править ]

  • Брэндом, Рассел (10 июля 2017 г.). «Двухфакторная аутентификация - это лажа» . Грань . Проверено 10 июля 2017 года .

Внешние ссылки [ править ]

  • Злоумышленники взломали серверы RSA и украли информацию, которая могла быть использована для нарушения безопасности токенов двухфакторной аутентификации, используемых 40 миллионами сотрудников (register.com, 18 марта 2011 г.)
  • Банки будут использовать двухфакторную аутентификацию к концу 2006 г. (slashdot.org, 20 октября 2005 г.)
  • Список часто используемых веб-сайтов с указанием того, поддерживают ли они двухфакторную аутентификацию.
  • Microsoft откажется от паролей , Microsoft готовится сбросить пароли в пользу двухфакторной аутентификации в будущих версиях Windows (vnunet.com, 14 марта 2005 г.)