мультифакторная аутентификация (MFA) — это способ проверки пользователя по двум и более параметрам (факторам аутентификации). Существует три типа таких факторов:
То, что вы знаете: например, пароль, PIN-код, ответ на контрольный вопрос.
То, что вы имеете: физический токен (например, смарт-карта, USB-флешка, NFC-карта, TOTP-брелок) или устройство (телефон, планшет), на которое приходит одноразовый пароль в виде СМС, e-mail или Push-уведомлений.
То, что является частью вас: биометрические данные (например, отпечаток пальца, радужная оболочка глаза, лицо, голос).
Для многофакторной аутентификации используются факторы из двух и более категорий. Например, если доступ осуществляется после ввода пароля и PIN-кода, то это не многофакторная аутентификация, ведь оба фактора относятся к одной категории: «То, что вы знаете». А если кроме обычного пароля вы должны ввести присланный на мобильник одноразовый код — это многофакторная аутентификация, потому что используются факторы из двух категорий: «То, что вы знаете» и «То, что вы имеете».
Задача многофакторной аутентификации — максимально усложнить киберпреступникам доступ к данным. Ведь какой бы надёжный пароль вы ни создали, существует вероятность, что его взломают. Если же кроме пароля нужен ещё хотя бы один фактор аутентификации, то узнать его станет дополнительной проблемой для киберпреступников.
Двухфакторная аутентификация (2FA, two-factor authentication) — это наиболее часто используемый тип многофакторной аутентификации. В качестве первого фактора обычно применяется созданный пользователем пароль, а в качестве второго — фактор из категории «То, что вы имеете» или «То, что является частью вас»: например, одноразовый пароль, который присылают в СМС или на электронную почту (One-Time Password, OTP). OTP действителен для одного сеанса входа в систему, поэтому если киберпреступник перехватит OTP — он сможет им воспользоваться.
Если установить специальное приложение, например, Microsoft Authenticator, Google Authenticator или «Яндекс Ключ», то в качестве второго фактора можно использовать временный одноразовый пароль (Time-based One-time Password Algorithm, TOTP), который обновляется каждые 30 сек. Благодаря этому минимизируется вероятность того, что киберпреступник успеет им воспользоваться.
Ещё один способ — использовать физический токен, например, USB-флешку, NFC-карту или TOTP-брелок. Каждый из токенов имеет свои достоинства и недостатки.