Стандарты использования многофакторной аутентификации

Давайте разберем их по уровням: от международных и государственных стандартов до лучших практик для бизнеса и обычных пользователей.

1. Международные и отраслевые стандарты

Эти стандарты задают общие рамки и принципы для организаций по всему миру.

NIST (Национальный институт стандартов и технологий, США) - SP 800-63B

Это один из самых авторитетных и часто цитируемых стандартов в мире. Его рекомендации лежат в основе многих других нормативных актов.

• Принцип "Знай-Имей-Будь": МФА должна основываться на комбинации:

  • Знай (Something you know): Пароль, PIN-код.

  • Имей (Something you have): Ключ безопасности (YubiKey, Google Titan), токен, смартфон с приложением-аутентификатором.

  • Будь (Something you are): Отпечаток пальца, сканирование лица (биометрия).

• Запрет SMS для одноразовых паролей (OTP): NIST не рекомендует использовать SMS из-за уязвимостей (SIM-своппинг, перехват сообщений). Предпочтение отдается криптографическим приложениям-аутентификаторам (Google Authenticator, Microsoft Authenticator) и аппаратным ключам.

• Требования к биометрии: Биометрические данные не должны храниться в чистом виде, только в виде хэшей. Они считаются уникальными, но не секретными (их нельзя изменить, если они скомпрометированы), поэтому должны использоваться в сочетании с другим фактором, обычно на устройстве пользователя.

• Блокировка и устойчивость к атакам: Система должна блокироваться после нескольких неудачных попыток ввода кода.

PCI DSS (Стандарт безопасности индустрии платёжных карт)

Обязателен для всех организаций, работающих с платежными картами.

• Требование 8.3: Прямо предписывает использовать МФА для всего удаленного доступа (VPN, облачные панели управления) извне сети, а также для любого доступа к среде держателей карт (CDE) для персонала без привилегий.

ISO/IEC 27001 (Системы менеджмента информационной безопасности)

Хотя стандарт не диктует конкретные технологии, он требует реализации контроля доступа (A.9.1.2), что на практике сегодня невозможно без МФА для защиты критичных активов.

2. Государственные и регуляторные стандарты (на примере России)

В России использование МФА регулируется несколькими ключевыми документами.

Федеральный закон № 152-ФЗ "О персональных данных"

• Приказ ФСТЭК России № 21: Устанавливает требования к защите персональных данных. Для систем защиты персональных данных (СЗПДн) уровней 1 и 2 обязательным требованием является использование не менее двух факторов аутентификации для доступа к информационным ресурсам, содержащим персональные данные.

Стандарт Банка России СТО БР ИББС-1.0-2014

Распространяется на кредитные организации (банки) и устанавливает строгие требования:

• Обязательное использование МФА для удаленного доступа клиентов к системам дистанционного банковского обслуживания (ДБО).

• Для сотрудников банка — МФА обязательна для доступа к критически важным системам и информации.

• Рекомендует использовать разные типы факторов (например, не два пароля, а пароль + токен).

ФСТЭК России (Приказы № 17, 239)

Эти документы по защите критической информационной инфраструктуры (КИИ) также предписывают использование МФА для доступа к значимым объектам КИИ.

3. Лучшие практики для организаций (Корпоративные стандарты)

На основе вышеперечисленных требований компании формируют внутренние политики.

Обязательное применение МФА для:

1. Всех административных и привилегированных учетных записей (админы, root-доступ, доступ к панелям управления облаком).

2. Удаленного доступа (VPN, RDP, VDI, Citrix).

3. Доступа к облачным сервисам (Microsoft 365, Google Workspace, AWS, Azure).

4. Корпоративных приложений (почта, CRM, ERP, системы бухгалтерии).

5. Доступа к системам, содержащим конфиденциальные данные (персональные данные, финансовая отчетность, интеллектуальная собственность).

Рекомендуемые технологии (по убыванию безопасности):

1. Аппаратные ключи безопасности (FIDO2/WebAuthn): Наиболее безопасный вариант, устойчивый к фишингу.

2. Приложения-аутентификаторы (TOTP/HOTP): Удобный и безопасный компромисс для большинства сценариев.

3. Push-уведомления с номером устройства: Удобно, но может быть уязвимо к атакам "подтверди-и-усни" (MFA Fatigue).

4. SMS/Голосовые вызовы: Наименее безопасный метод. Следует использовать только если другие методы недоступны.

Политика восстановления доступа:

Должен быть четкий и безопасный процесс на случай потери второго фактора. Восстановление не должно сводиться к простому ответу на секретный вопрос.

4. Лучшие практики для пользователей

Даже если вы не организация, следование этим правилам защитит ваши личные аккаунты.

1. Включайте МФА везде, где это возможно: В первую очередь для почты, мессенджеров, социальных сетей и банковских приложений.

2. Используйте усиленную аутентификацию вместо SMS: Настройте генерацию кодов в приложениях типа Google Authenticator, Microsoft Authenticator, Authy или Aegis.

3. Сохраняйте резервные коды: При настройке МФА вам выдаются одноразовые коды для восстановления. Сохраните их в надежном месте (менеджер паролей).

4. Аппаратный ключ для максимальной защиты: Для самых важных аккаунтов (основная почта, финансовые) используйте ключи вроде YubiKey или Google Titan.

5. Не используйте один и тот же второй фактор для всех сервисов: По возможности диверсифицируйте методы.

Ключевые выводы

• МФА — это MUST-HAVE, а не опция. Без нее парольная защита считается недостаточной.

• SMS — это слабое звено. Старайтесь использовать более современные и безопасные методы.

• Стандарты эволюционируют. Атаки становятся изощреннее, поэтому стандарты (как NIST) регулярно обновляются. Необходимо следить за изменениями.

• Безопасность vs. Удобство. Правильно настроенная МФА (например, FIDO2-ключ) может быть даже удобнее постоянного ввода паролей, при этом значительно повышая безопасность.

Следование этим стандартам и лучшим практикам позволяет значительно снизить риски, связанные с утечкой учетных данных и несанкционированным доступом.

Другие статьи по теме: