11070: ошибка аутентификации 3dsecure failure. Что делать? 3Ds аутентификация что это

11070: ошибка аутентификации 3dsecure

Для повышения безопасности держателя карты при проведении Card-not-present операций (то есть операций, без присутствия карты), платежными системами был внедрен особый механизм. Verified-by-Visa и MasterCard SecureCode — это его варианты от разных платежных систем, общее же название звучит как 3D Secure. Принцип действия для держателя карты не сложен: вы проводите оплату товара или услуги, подтверждаете чек и перенаправляетесь на страничку вашего банка, где необходимо ввести дополнительный код. Код обычно высылается на мобильный телефон. Если код введен верно – платеж подтвержден, оплата проведена.

Стоит ввести неверный код подтверждения транзакции — система запретит операцию и выдаст сообщение: «11070: ошибка аутентификации 3D Secure».Читайте также: Как отменить операцию по банковской карте.

Что значит “ошибка аутентификации»?

Если вы получили отказ в проведении операции в таком виде, это всегда означает, что на каком-то этапе вы неверно ввели данные. Конечно, можно с уверенностью утверждать, что сверка данных проводилась многократно и «все равно…». отказ в проведении операции Технология 3d secure, безусловно, может давать сбои в работе: например, отсутствие возможности связаться с сервером банка-эмитента (выпустившего вашу карту) либо банка-эквайера (банка, через который работает магазин). Но каждый сбой в работе системы имеет свой собственный код. И код 11070 означает именно ошибку при вводе кода подтверждения операции.

Почему она вообще появилась?

Причин по которым можно ошибиться, немало. Можно неправильно прочитать сообщение с кодом подтверждения. Бывает, что мельком пробежав СМС, в котором написано «Operaciya na summu 8808R. Kod podtverzhdeniya 8838», вместо тройки вводится восьмерка. А в результате – ошибка аутентификации 3d secure и отказ в оплате.

Еще одна распространенная причина неверного введения кода 3ds заложена в следующем. Дело в том, что для обеспечения безопасности, срок жизни пароля не превышает 5 минут. После того, как код просрочен, можно запросить его повторно. Конечно же, значение будет другим, это требование безопасности. Но не всегда СМС доходит вовремя. Получается, что банк запросил подтверждение, а СМС не дошла. Держатель карты запрашивает код повторно. В этот момент приходит первое сообщение. Клиент вводит код, указанный в нем, нажимает кнопку и… на экране «11070: ошибка аутентификации 3d secure», а на телефоне издевательски мигает значок нового СМС сообщения с актуальным паролем.

Нередко впервые оплачивая что-либо с использованием Verified-by-Visa или MasterCard SecureCode, держатель сталкивается с ситуацией, когда затруднительно выделить именно код. Например, вернемся к сообщению, показанному выше: «Operaciya na summu 8808R. Kod podtverzhdeniya 8838RC». Пароль здесь – это четыре цифры 8838. Но частенько по неопытности люди вводят 8838RC. Результат, конечно же, очевиден. Транзакция не подтверждена

И это далеко не все возможные способы добиться ошибки. Люди вводят свой ПИН-код вместо 3DS кода, коды от другой операции или карты, просто произвольные числа…

Все это происходит от невнимательности, непонимания, как работает технология и, как это ни странно, просто надежды «авось получится».

Что делать при ошибке?

Если вы столкнулись с отказом в оплате по одной из трех вышеописанных причин, не пугайтесь. Ваша карта не заблокируется (для этой причины отказа есть свое сообщение), деньги не списались и ничего не пропало. Придется еще раз пройти процедуру оформления покупки и на этот раз, ввести нужные аутентификационные данные внимательно.

Если код подтверждения 3D Secure приходит в СМС-сообщении – проверьте сумму, последние 4 цифры номера карты, время получения сообщения и, если все верно, вводите цифры.
Если банк выдал вам специальную карту, в которой указаны соответствующие пароли – проверьте внимательно, не использовали ли вы вводимый код ранее.
Если 3ds код выдается банком единожды – проверьте, соответствует ли полученный код карте, с которой вы совершаете оплату.
Не вводите свой ПИН-код, он предназначен не для этого.
Если у вас не приходит сообщение с кодом (или вам не выдали единый код, предусмотренный банком-эмитентом) – просто переверните карту и позвоните по телефону службы поддержки. Оператор проконсультирует вас о том, как решить возникшую проблему. Или обратитесь в свой банк, это тоже поможет.

Как это видит магазин.

Напоследок, приведем ошибки протокола 3D Secure, с точки зрения магазина. Практически каждая из них в качестве сообщения на платежной странице показывает следующее: «Операция отклонена. Обратитесь в банк, выпустивший карту/Payment declined. Please, contact with your bank». Полный список ошибок довольно объемный, поэтому мы ограничимся лишь некоторыми:

ID ошибкиСообщениеОписание ошибки

-20010	BLOCKED_BY_LIMIT	Транзакция отклонена по причине того, что размер платежа превысил установленные лимиты Банком-эмитентом
-2020	Declined. VeRes status is unknown	Банк-эмитент не смог определить, является ли карта 3dsecure.
-2020	Operation not supported	Данная операция не поддерживается.
-2011	Declined. PaRes status is unknown	Банк-эмитент не смог провести авторизацию 3dsecure-карты.
2007	Decline. Payment time limit	Истек срок, отведенный на ввод данных карты с момента регистрации платежа (таймаут по умолчанию - 20 минут; продолжительность сессии может быть указана при регистрации заказа; если у мерчанта установлена привилегия "Нестандартная продолжительность сессии", то берётся период, указанный в настройках мерчанта).
2006	Decline. 3DSec decline	Эмитент отклонил аутентификацию (3DS авторизация не пройдена).
2005	Decline. 3DSec sign error	Ошибка подписи эмитента.
100	Decline. Card declined	Ограничение по карте (Банк эмитент запретил интернет транзакции по картe).
910	Decline. Host not avail.	Банк-эмитент недоступен.
999	Declined by fraud	Отсутствует начало авторизации транзакции. Отклонено по фроду (система банка-эмитента для предотвращения мошенничеких операций) или ошибка 3dsec.
2003	Decline. SSL restricted	SSL (Не 3d-Secure/SecureCode) транзакции запрещены Магазину.
2005	3DS rule failed	Платеж не соотвествует условиям правила проверки по 3ds.
2020	Ошибка выполнения 3DS-правила	Ошибка выполнения 3DS-правила.
2020	TDS_FORBIDDEN	Мерчант (торговая точка) не имеет разрешения на 3-D Secure, необходимое для проведения платежа.
1017	Decline. 3DSec comm error	3-D Secure - ошибка связи.

Оценить статью

Вам была полезна эта статья? Поделитесь своим мнением с другими

Подробнее

Полезное по теме

hcpeople.ru

Аутентификация - это... Что такое Аутентификация?

Аутентифика́ция (англ. Authentication) — процедура проверки подлинности[1], например: проверка подлинности пользователя путём сравнения введённого им пароля с паролем в базе данных пользователей; подтверждение подлинности электронного письма путём проверки цифровой подписи письма по ключу проверки подписи отправителя; проверка контрольной суммы файла на соответствие сумме, заявленной автором этого файла. В русском языке термин применяется в основном в сфере информационных технологий.

Учитывая степень доверия и политику безопасности систем, проводимая проверка подлинности может быть односторонней или взаимной. Обычно она проводится с помощью криптографических методов.

Аутентификацию не следует путать с авторизацией[2] (процедурой предоставления субъекту определённых прав) и идентификацией (процедурой распознавания субъекта по его идентификатору).

История

С древних времён перед людьми стояла довольно сложная задача — убедиться в достоверности важных сообщений. Придумывались речевые пароли, сложные печати. Появление методов аутентификации с применением механических устройств сильно упрощало задачу, например, обычный замок и ключ были придуманы очень давно. Пример системы аутентификации можно увидеть в старинной сказке «Приключения Али́-Бабы́ и сорока разбойников». В этой сказке говорится о сокровищах, спрятанных в пещере. Пещера была загорожена камнем. Отодвинуть его можно было только с помощью уникального речевого пароля: «Сезам, откройся!».

В настоящее время в связи с обширным развитием сетевых технологий, автоматическая аутентификация используется повсеместно.

Элементы системы аутентификации

В любой системе аутентификации обычно можно выделить несколько элементов[3]:

субъект, который будет проходить процедуру аутентификации
характеристика субъекта — отличительная черта
хозяин системы аутентификации, несущий ответственность и контролирующий её работу
сам механизм аутентификации, то есть принцип работы системы
механизм, предоставляющий или лишающий субъекта определенных прав доступа

Элемент аутентификации Пещера 40 разбойников Регистрация в системе Банкомат Субъект Характеристика Хозяин системы Механизм аутентификации Механизм управления доступом

Человек, знающий пароль	Авторизованный пользователь	Владелец банковской карты
Пароль "Сезам, откройся!"	Секретный пароль	Банковская карта и персональный идентификатор
40 разбойников	Предприятие, которому принадлежит система	Банк
Волшебное устройство, реагирующее на слова	Программное обеспечение, проверяющее пароль	Программное обеспечение, проверяющее карту и идентификатор
Механизм, отодвигающий камень от входа в пещеру	Процесс регистрации, управления доступом	Разрешение на выполнение банковских операций

Факторы аутентификации

Ещё до появления компьютеров использовались различные отличительные черты субъекта, его характеристики. Сейчас использование той или иной характеристики в системе зависит от требуемой надёжности, защищенности и стоимости внедрения. Выделяют 3 фактора аутентификации[4]:

Что-то, что мы знаем — пароль. Это секретная информация, которой должен обладать только авторизованный субъект. Паролем может быть речевое слово, текстовое слово, комбинация для замка или персональный идентификационный номер (PIN). Парольный механизм может быть довольно легко реализован и имеет низкую стоимость. Но имеет существенные минусы: сохранить пароль в секрете зачастую бывает проблематично, злоумышленники постоянно придумывают новые методы кражи, взлома и подбора пароля (см. бандитский криптоанализ). Это делает парольный механизм слабозащищенным.
Что-то, что мы имеем — устройство аутентификации. Здесь важен факт обладания субъектом каким-то уникальным предметом. Это может быть личная печать, ключ от замка, для компьютера это файл данных, содержащих характеристику. Характеристика часто встраивается в специальное устройство аутентификации, например, пластиковая карта, смарт-карта. Для злоумышленника заполучить такое устройство становится более проблематично, чем взломать пароль, а субъект может сразу же сообщить в случае кражи устройства. Это делает данный метод более защищенным, чем парольный механизм, однако, стоимость такой системы более высокая.
Что-то, что является частью нас — биометрика. Характеристикой является физическая особенность субъекта. Это может быть портрет, отпечаток пальца или ладони, голос или особенность глаза. С точки зрения субъекта, данный метод является наиболее простым: не надо ни запоминать пароль, ни переносить с собой устройство аутентификации. Однако, биометрическая система должна обладать высокой чувствительностью, чтобы подтверждать авторизованного пользователя, но отвергать злоумышленника со схожими биометрическими параметрами. Также стоимость такой системы довольно велика. Но несмотря на свои минусы, биометрика остается довольно перспективным фактором.

Способы аутентификации

Аутентификация по многоразовым паролям

Один из способов аутентификации в компьютерной системе состоит во вводе вашего пользовательского идентификатора, в просторечии называемого «логином» (англ. login — регистрационное имя пользователя) и пароля — некой конфиденциальной информации. Достоверная (эталонная) пара логин-пароль хранится в специальной базе данных.

Простая аутентификация имеет следующий общий алгоритм:

Субъект запрашивает доступ в систему и вводит личный идентификатор и пароль
Введенные уникальные данные поступают на сервер аутентификации, где сравниваются с эталонными
При совпадении данных с эталонными, аутентификация признается успешной, при различии — субъект перемещается к 1-му шагу

Введённый субъектом пароль может передаваться в сети двумя способами:

Незашифрованно, в открытом виде, на основе протокола парольной аутентификации (Password Authentication Protocol, PAP)
С использованием шифрования SSL или TLS. В этом случае уникальные данные, введённые субъектом передаются по сети защищенно.

Защищенность

С точки зрения максимальной защищенности, при хранении и передаче паролей следует использовать однонаправленные функции. Обычно для этих целей используются криптографически стойкие хэш-функции. В этом случае на сервере хранится только образ пароля. Получив пароль и проделав его хэш-преобразование, система сравнивает полученный результат с эталонным образом, хранящимся в ней. При их идентичности, пароли совпадают. Для злоумышленника, получившего доступ к образу, вычислить сам пароль практически невозможно.

Использование многоразовых паролей имеет ряд существенных минусов. Во-первых, сам эталонный пароль или его хэшированный образ хранятся на сервере аутентификации. Зачастую хранение пароля производится без криптографических преобразований, в системных файлах. Получив доступ к ним, злоумышленник легко доберётся до конфиденциальной информации. Во-вторых, субъект вынужден запоминать (или записывать) свой многоразовый пароль. Злоумышленник может заполучить его, просто применив навыки социальной инженерии, без всяких технических средств. Кроме того, сильно снижается защищенность системы в случае, когда субъект сам выбирает себе пароль. Зачастую это оказывается какое-то слово или комбинация слов, присутствующие в словаре. При достаточном количестве времени злоумышленник может взломать пароль простым перебором. Решением этой проблемы является использование случайных паролей или ограниченность по времени действия пароля субъекта, по истечении которого пароль необходимо поменять.

Базы учетных записей

На компьютерах с ОС семейства UNIX, базой является файл /etc/master.passwd (в дистрибутивах Linux обычно файл /etc/shadow, доступный для чтения только root), в котором пароли пользователей хранятся в виде хеш-функций от открытых паролей, кроме этого в этом же файле хранится информация о правах пользователя. Изначально в Unix-системах пароль (в зашифрованном виде) хранился в файле /etc/passwd, доступном для чтения всем пользователям, что было небезопасно.

На компьютерах с операционной системой Windows NT/2000/XP/2003 (не входящих в домен Windows) такая база данных называется SAM (Security Account Manager — Диспетчер защиты учётных записей). База SAM хранит учётные записи пользователей, включающие в себя все данные, необходимые системе защиты для функционирования. Находится в директории %windir%\system32\config\.

В доменах Windows Server 2000/2003 такой базой является Active Directory.

Однако более надёжным способом хранения аутентификационных данных признано использование специальных аппаратных средств (компонентов).

При необходимости обеспечения работы сотрудников на разных компьютерах (с поддержкой системы безопасности) используют аппаратно-программные системы, позволяющие хранить аутентификационные данные и криптографические ключи на сервере организации. Пользователи свободно могут работать на любом компьютере (рабочей станции), имея доступ к своим аутентификационным данным и криптографическим ключам.

Аутентификация по одноразовым паролям

Заполучив однажды многоразовый пароль субъекта, злоумышленник имеет постоянный доступ к взломанной конфиденциальной информации. Эта проблема решается применением одноразовых паролей (OTP – One Time Password). Суть этого метода - пароль действителен только для одного входа в систему, при каждом следующем запросе доступа - требуется новый пароль. Реализован механизм аутентификации по одноразовым паролям может быть как аппаратно, так и программно.

Технологии использования одноразовых паролей можно разделить на:

Использование генератора псевдослучайных чисел, единого для субъекта и системы
Использование временных меток вместе с системой единого времени
Использование базы случайных паролей, единого для субъекта и для системы

В первом методе используется генератор псевдослучайных чисел с одинаковым значением для субъекта и для системы. Сгенерированный субъектом пароль может передаваться системе при последовательном использовании односторонней функции или при каждом новом запросе, основываясь на уникальной информации из предыдущего запроса.

Во втором методе используются временные метки. В качестве примера такой технологии можно привести SecurID. Она основана на использовании аппаратных ключей и синхронизации по времени. Аутентификация основана на генерации случайных чисел через определенные временные интервалы. Уникальный секретный ключ хранится только в базе системы и в аппаратном устройстве субъекта. Когда субъект запрашивает доступ в систему, ему предлагается ввести PIN-код, а также случайно генерируемое число, отображаемого в этот момент на аппаратном устройстве. Система сопоставляет введенный PIN-код и секретный ключ субъекта из своей базы и генерирует случайное число, основываясь на параметрах секретного ключа из базы и текущего времени. Далее проверяется идентичность сгенерированного числа и числа, введённого субъектом.

Третий метод основан на единой базе паролей для субъекта и системы и высокоточной синхронизации между ними. При этом каждый пароль из набора может быть использован только один раз. Благодаря этому, даже если злоумышленник перехватит используемый субъектом пароль, то он уже будет недействителен.

По сравнению с использованием многоразовых паролей, одноразовые пароли предоставляют более высокую степень защиты.

Многофакторная аутентификация

В последнее время всё чаще применяется, так называемая, расширенная или многофакторная аутентификация. Она построена на совместном использовании нескольких факторов аутентификации. Это значительно повышает защищенность системы.

В качестве примера можно привести использование SIM-карт в мобильных телефонах. Субъект вставляет аппаратно свою карту (устройство аутентификации) в телефон и при включении вводит свой PIN-код (пароль).

Также, к примеру в некоторых современных ноутбуках присутствует сканер отпечатка пальца. Таким образом, при входе в систему субъект должен пройти эту процедуру (биометрика), а потом ввести пароль.

Выбирая для системы тот или иной фактор или способ аутентификации необходимо прежде всего отталкиваться от требуемой степени защищенности, стоимости построения системы, обеспечения мобильности субъекта.

Можно привести сравнительную таблицу:

Уровень риска Требования к системе Технология аутентификации Примеры применения Низкий Средний Высокий

Требуется осуществить аутентификацию для доступа к системе, причём кража, взлом, разглашение конфиденциальной информации не будет иметь значительных последствий	Рекомендуется минимальное требование - использование многоразовых паролей	Регистрация на портале в сети Интернет
Требуется осуществить аутентификацию для доступа к системе, причём кража, взлом, разглашение конфиденциальной информации причинит небольшой ущерб	Рекомендуется минимальное требование - использование одноразовых паролей	Произведение субъектом банковских операций
Требуется осуществить аутентификацию для доступа к системе, причём кража, взлом, разглашение конфиденциальной информации причинит значительный ущерб	Рекомендуется минимальное требование - использование многофакторной аутентификации	Проведение крупных межбанковских операций руководящим аппаратом

Протоколы аутентификации

Процедура аутентификации используется при обмене информацией между компьютерами, при этом используются весьма сложные криптографические протоколы, обеспечивающие защиту линии связи от прослушивания или подмены одного из участников взаимодействия. А поскольку, как правило, аутентификация необходима обоим объектам, устанавливающим сетевое взаимодействие, то аутентификация может быть и взаимной.

Самый простой протокол аутентификации - доступ по паролю (Password Authentication Protocol, PAP). Его суть состоит в том, что вся информация о субъекте (идентификатор и пароль) передается по сети в открытом виде. Это и является главным недостатком PAP, так как злоумышленник может легко получить доступ к передающимся незашифрованным данным.

Более сложные протоколы аутентификации основаны на принципе "запрос-ответ", например, протокол CHAP (Challenge-Handshake Authentication Protocol). Работа протокола типа "запрос-ответ" может состоять минимум из четырех стадий:

Субъект отправляет системе запрос, содержащий его персональный идентификатор
Система генерирует случайное число и отправляет его субъекту
Субъект зашифровывает полученное число на основе своего уникального ключа и результат отправляет системе
Система расшифровывает полученное сообщение на основе того же уникального ключа. При совпадении результата с исходным случайным числом, аутентификация проходит успешно.

Сам уникальный ключ, на основе которого производится шифрование и с одной, и с другой стороны, не передается по сети, следовательно, злоумышленник не сможет его перехватить. Но субъект должен обладать собственным вычислительным шифрующим устройством, например, смарт-карта, мобильный телефон.

Принцип действия протоколов взаимной аутентификации отличаются от протоколов типа "запрос-ответ" незначительно:

Субъект отправляет системе запрос, содержащий его персональный идентификатор и случайное число N1
Система зашифровывает полученное число N1 на основе уникального ключа, генерирует случайное число N2, и отправляет их оба субъекту
Cубъект расшифровывает полученное число на основе своего уникального ключа и сравнивает результат с N1. Идентичность означает, что система обладает тем же уникальным ключом, что и субъект
Субъект зашифровывает полученное число N2 на основе своего уникального ключа и результат отправляет системе
Система расшифровывает полученное сообщение на основе того же уникального ключа. При совпадении результата с исходным числом N2, взаимная аутентификация проходит успешно.

Алгоритм, приведенный выше, часто называют рукопожатием. В обоих случаях аутентификация проходит успешно, только если субъект имеет идентичные с системой уникальные ключи.

В операционных системах семейства Windows NT 4 используется протокол NTLM (NT LAN Manager — Диспетчер локальной сети NT). А в доменах Windows 2000/2003 применяется гораздо более совершенный протокол Kerberos.

См. также

Примечания

Ссылки

Литература

Ричард Э. Смит Аутентификация: от паролей до открытых ключей = Authentication: From Passwords to Public Keys First Edition. — М.: «Вильямс», 2002. — С. 432. — ISBN 0-201-61599-1

dic.academic.ru

Что значит аутентификация?

Что означает аутентификация Стандартным примером аутентификации можно назвать вход пользователя в операционную систему Windows по паролю, когда после ввода пароля компьютер сравнивает данные, введенные с клавиатуры, с информацией, которая хранится в памяти машины. В случае, если данные совпадают, процедура завершается успешно и пользователь получает разрешение на работу.

Таким образом, аутентификация - процедура, в ходе которой пользователь должен предъявить системе секретную информацию, известную только ему одному.

Отметим, что механизм стандартной аутентификации на компьютере по паролю - достаточно несовершенен. К примеру, под легального пользователя может замаскироваться любой другой человек, который тем или иным образом получил пароль владельца ПК.

Именно поэтому вход в операционную систему Windows при помощи пароля не гарантирует надежной защиты информации, хранящейся на вашем компьютере или ноутбуке.

Чтобы минимизировать подобные риски специалисты стали применять дополнительные виды информации, которые требуется предъявить при входе в систему. Такая информация может носить различный характер и называется факторами аутентификации.

Три фактора аутентификации

Знание чего либо – пароль, парольная фраза, ПИН-код
Обладание чем либо – физический ключ, магнитная карта, электронные ключи
Биометрические характеристики – голос, рисунок сетчатки глаза, отпечаток пальца

Аутентификацию, которая использует только один из вышеназванных факторов, называют однофакторной. Аутентификацию, в процессе которой применяется несколько факторов, называют многофакторной.

Пример однофакторной аутентификации мы уже привели выше – это вход в компьютер с помощью пароля, а традиционным примером многофакторной аутентификации можно назвать использование банковской карточки для получения денежных средств в банкомате (двухфакторная аутентификация).

В этом случае для того, чтобы снять деньги со своего банковского счета нужно предъявить не только банковскую карту, но и ввести правильный ПИН-код. Только после этого банкомат выдаст запрошенную денежную сумму.

Еще один пример двухфакторной аутентификации - применение смарт-карты или электронного ключа eToken в комбинации с паролем для входа в компьютер.

В этом случае, для запуска ПК требуется не только предъявить физический носитель (eToken), но и ввести его пароль. Таким образом, задействовав два фактора аутентификации.

Трехфакторная аутентификация, в свою очередь, использует все три фактора, описанных выше. Очень часто ее называют “аутентификацией типа 123”.

В настоящий момент трехфакторная аутентификация является одним из самых надежных инструментов защиты информации, хранящейся на компьютерах и ноутбуках.

Дополнительные материалы

Электронные ключи eToken Pro (Java) 72K для обеспечения двухфакторной аутентификации при доступе к защищенным информационным ресурсам
Secret Disk 4 - защита данных на компьютере с применением двухфакторной аутентификации при доступе к ним
Secret Disk Server NG – использование двухфакторной аутентификации при доступе к информации, обрабатываемой на сервере компании
eToken Network Logon – двухфакторная аутентификация при доступе к компьютеру и в информационную сеть предприятия

Эримекс – защита данных, информации и программ

www.erim.ru

Аутентификация — что это такое и почему сейчас повсеместно используется двухфакторная аутентификация

Здравствуйте, уважаемые читатели блога KtoNaNovenkogo.ru. Хочу продолжить тему толкования простыми словами распространенных терминов, которые можно повсеместно встретить в наш компьютерный век. Чуть ранее мы уже поговорили про валидацию и верификацию, а так же про девайсы с гаджетами и про аутсорсинг.

Сегодня у нас на очереди аутентификация. Что означает это слово? Отличается ли сие понятие от авторизации или идентификации? Какие методы аутентификации существуют, насколько сильно они защищены, почему могут возникать ошибки и почему двухфакторная аутентификация лучше однофакторной?

Интересно? Тогда продолжим, а я постараюсь вас не разочаровать.

Что такое аутентификация?

На самом деле, это та процедура, которая хорошо знакома не только нам (современным жителям), но и нашим далеким предкам (практически испокон веков).

Если говорить кратко, то аутентификация — это процесс проверки подлинности. Причем не важно каким способом (их существует как минимум несколько типов). Простейший пример. Вы заходите в свою квартиру открывая замок ключом. И если дверь таки открылась, то значит вы успешно прошли аутентификацию.

Разложим в этом примере все по полочкам:

Ключ от замка — это ваш идентификатор (вставили и повернули — прошли идентификацию). В компьютерном мире это аналог того, что вы сообщили системе свое имя (ник, никнейм).
Процесс открывания (совпадения ключа и замка) — это аутентификация. В компьютерном мире — это аналог прохождения этапа проверки подлинности (сверке введенного пароля).
Открывание двери и вход в квартиру — это уже авторизация (получение доступа). В сети — это вход на сайт, сервис, программу или приложение.

Как вы уже, наверное, поняли — двухфакторной аутентификации в данном примере будет отвечать наличие на двери второго замка (либо наличие собаки в доме, которая уже проведет свою собственную аутентификацию опираясь на биометрические признаки — запах, внешний вид, наличие вкусняшек у вас в кармане).

Еще один пример. Печать на документе (в паспорте, сургучная печать на старинных письмах).

Как видите — все предельно просто. Но сегодня под этим термином чаще всего понимают именно электронную аутентификацию, т.е. процесс входа на сайты, сервисы, в системы, электронные кошельки, программы и даже подключение к домашней WiFi сети. Но по сути, тут мало отличий от приведенного примера.

В электронном варианте у вас так же будет идентификатор (в простейшем случае это логин) и пароль (аналог замка), необходимый для аутентификации (входа в систему, получение доступа к интернету, входа в онлайн-сервис и т.п.).

Как я уже говорил выше, существует несколько типов аутентифаторов:

Пароль. Знаешь пароль — проходи. Это самый простой и дешевый способ проверки подлинности. Фишка в том, что пароль знают только те, кому надо. Но есть несколько «но». Пароль можно подобрать, либо украсть, либо получить путем социального инжиниринга (развода), поэтому его надежность всегда находится под сомнением.
Устройство (токены). Простейший пример — это карта или ключ доступа (на манер того, что используется в домофонах). Ну, или банковская карта, дающая доступ к вашим деньгам. Защита тут выше, чем у пароля, но устройство можно украсть и несанкционировано использовать. К тому же, такая проверка подлинности подразумевает под собой расходы.
Биометрия. Отпечаток пальца, сетчатка глаза, голос, лицо и т.п. Этот способ аутентификации считается наиболее надежным и тут не нужно с собой носить устройство, которое можно потерять или украсть (просто достаточно быть собой).
Правда, точность идентификации тут не стопроцентная, да и системы эти не из дешевых.

Как видите, нет идеала. Поэтому зачастую для усиления безопасности используют так называемую двухфакторную (двухэтапную) аутентификацию. Давайте рассмотрим на примере.

Двухфакторная (2FA — двухэтапная) аутентификация

Например, во многих кошельках для хранения криптовалюты, и прочих сервисах связанных с доступом к деньгам, двухфакторная аутентификация сводится к следующему:

Первым этапом проверки подлинности служит обычный вход с помощью логина и пароля (многоразового, т.е. постоянного, не меняющегося на протяжении какого-то времени).
А вот второй этап обычно сводится к вводу еще и одноразового пароля (при следующем входе он будет уже другой). Эти пароли сообщаются непосредственно в процессе входа в систему и передают пользователю обычно так:
1. В СМС-сообщении на ваш мобильный телефон, но иногда эти одноразоваые пароли могут присылать на электронную почту или в ваш телеграм.
2. С помощью специально предназначенного для этого приложения, которое устанавливается на мобильный телефон и проходит привязку к данному сервису. Чаще всего для этой цели используют Google Authenticator или Authy (их еще называют 2FA-токены).

Что это дает? Существенное повышение безопасности и снижение риска аутентификации вместо вас мошенников. Дело в том, что перехватить одноразовый пароль намного сложенее, чем узнать пароль многоразовый. К тому же, получить доступ к мобильному телефону (да и просто узнать его номер) намного сложнее, чем покопаться у вас на компьютере или в электронной почте.

Но это лишь один из примеров двухфакторной аутентификации (2FA). Возьмем уже упоминавшиеся выше банковские карты. Тут тоже используется два этапа — проверка подлинности с помощью устройства (идентификационного кода на карте) и с помощью ввода личного пароля (пинкода).

Еще пример из фильмов, когда сначала вводят код доступа, а потом идет проверка сетчатки глаза или отпечатка пальца. По идее, можно сделать и три этапа, и четыре, и пять. Все определяется целесообразностью соблюдения компромисса между обострившейся паранойей и разумным числом проверок, которые в ряде случаев приходится проходить довольно часто.

В большинстве случаев хватает совмещения двух факторов и при этом не доставляет очень уж больших неудобств при частом использовании.

Ошибки аутентификации

При использовании любого из упомянутых выше типов аутентификаторов (паролей, устройств и биометрии) возможны ошибки. Откуда они берутся и как их можно избегать и разрешать? Давайте посмотрим на примере.

Допустим, что вы хотите подключить компьютер или смартфон к имеющейся у вас в квартире беспроводной сети. Для этого от вас потребуют ввести название сети (идентификатор) и пароль доступа (аутентификатор). Если все введено правильно, то вас авторузует и вы получите доступ с подключаемого устройства в интернет.

Но иногда вам при этом может выдаваться сообщении об ошибке аутентификации. Что в этом случае вам сделать?

Ну, во-первых, проверить правильность вводимых данных. Часто при вводе пароль закрывается звездочками, что мешает понять причину ошибки.
Часто используются пароли с символами в разных регистрах (с большими и маленькими буквами), что не все учитывают при наборе.
Иногда причиной ошибки может быть не совсем очевидная двухфакторная система проверки подлинности. Например, на роутере может быть включена блокировка доступа по MAC-адресу. В этом случае система проверяет не только правильность ввода логина и пароля, но и совпадение Мак-адреса устройства (с которого вы осуществляете вход) со списком разрешенных адресов. В этом случае придется лезть в настройки роутера (через браузер с подключенного по Lan компьютера) и добавлять адрес этого устройства в настройках безопасности беспроводной сети.

Системы биометрии тоже могут выдавать ошибки при распознавании в силу их несовершенства или в силу изменения ваших биометрических данных (охрипли, опухли, глаза затекли, палец порезали). То же самое может случиться и с приложениями, используемыми для двухфакторной аутентификации. Именно для этаких случаев предусматривают систему получения доступа по резервным кодам. По сути, это одноразовые пароли, которые нужно будет распечатать и хранить в ящике стола (сейфе).

Если обычным способом аутентифицироваться не получается (выдается ошибка), то резервные коды дадут возможность войти. Для следующего входа нужно будет использовать уже новый резервный код. Но у этой палочки-выручалочки есть и обратная сторона медали — если у вас эти резервные коды украдут или выманят (как это было со мной, когда я потерял свои Яндекс деньги), то они сработают как мастер-ключ (универсальная отмычка) и вся защита пойдет прахом.

Удачи вам! До скорых встреч на страницах блога KtoNaNovenkogo.ru

Подборки по теме

Рубрика: Отвечаю на частые вопросы

ktonanovenkogo.ru

Двухфакторная аутентификация это, two factor authentication, что это

ГЛАВНАЯ CCTV СКУД ОПС ИТС СТАТЬИ

ДВУХФАКТОРНАЯ АУТЕНТИФИКАЦИЯ

ДЛЯ СКУД — PROXIMITY КАРТЫ — БИОМЕТРИЧЕСКИЕ МЕТОДЫ

Двухфакторная аутентификация (англ. two factor authentication) это один из вариантов расширенной (строгой или многофакторной) аутентификации (англ. multifactor authentication, MFA), которая в общем случае представляет собой один из эффективных методов защиты информации в различных компьютерных сетях общего пользования.

Появлению этих методов предшествовало создание технических (программно аппаратных) средств, ограничивающих и регистрирующих вход (въезд) выход (выезд) людей (автомашин) на охраняемые территории через специальные контрольно пропускные пункты (КПП).

Совокупность таких средств стали обозначать аббревиатурой СКУД (система контроля и управления доступом).
Важно! В специализированной литературе, СМИ и других источниках часто вместо слова «аутентификация» встречаются синонимы: авторизация, верификация, идентификация, распознавание и пр.
Критерии, по которым осуществляется идентификация.

Требования к техническим средствам, с помощью которых осуществляется аутентификация, зависят от величины ущерба, который может быть нанесен при взломе системы защиты. При этом рассматривают три типа систем идентификации:

простая;

двухфакторная;

многофакторная.

При этом факторами, с помощью которых можно идентифицировать объект выступают:

пароль (что-то, известное только владельцу), например: кодовое слово, логин, PIN код и пр.;

устройство идентификации (то, чем владеет пользователь) пластиковая карта, рассылка кода с помощью SMS, токен, на который приходит специальный код и пр.;

биометрия (то, что является частью пользователя) палец, ладонь, сетчатка или радужная оболочка глаза и др.

В настоящее время наиболее распространены системы двухфакторной аутентификации, использующие в своей работе два фактора идентификации личности из трех, приведенных выше.

ИДЕНТИФИКАЦИЯ В СИСТЕМАХ КОНТРОЛЯ ДОСТУПА

Системы контроля и управления доступом появились намного раньше, чем компьютеры. Использовали их в тех случаях, когда требовалось исключить возможность несанкционированного проникновения посторонних на объекты с ограниченным доступом. К таким объектам относились, например, помещения на предприятиях оборонного комплекса, в больницах и банковских учреждениях.

Таким образом с помощью СКУД решались такие задачи, как:

ограничение доступа на определенные территории;
идентификация лиц, которым разрешено посещение помещений с ограниченным доступом; учет рабочего времени;
организация и ведение баз данных работающих и/или посетителей.

В качестве идентификатора на первом этапе выступали, как правило, пластиковые карты или цифровой код. Однако они не обеспечивали надежной защиты, так как в случае потери (кражи) ими мог воспользоваться кто угодно. Цифровые коды также не обеспечивали необходимый уровень защиты. Ведь их можно подсмотреть или сканировать с помощью специальных устройств.

Более надежными стали так называемые бесконтактные proximity карты, обеспечивающие уже двухфакторную авторизацию владельцев. СКУД, построенные на основе этих карт требовали не только наличия карты, но и введения пинкода (пароля), известного только владельцу карты. Примером СКУД с двухфакторной идентификацией могут служить современные банкоматы.

В начало

PROXIMITY КАРТЫ КАК СРЕДСТВО ИДЕНТИФИКАЦИИ

Proximity карты используются в СКУД физических объектов достаточно давно. Такая карта имеет индивидуальный идентификационный (серийный) номер, который привязан к конкретному пользователю. Именно этот номер (card serial number) играет в системах аутентификации роль имени пользователя.

В паре с цифровым PIN кодом, который должен ввести владелец карты и осуществляется двухфакторная идентификация пользователя. Такая система обеспечивает более высокую степень защиты, чем простой ввод цифрового кода и может использоваться для особо важных помещений.

Общими недостатками СКУД, использующих proximity карты является:

Передача серийного номера на считывающее устройство в незашифрованном виде. При необходимости его можно легко перехватить, а затем «зашить» в другую карту.
Сложность обеспечения совместимости карт, изготовленных по различным технологиям, с конкретными считывающими устройствами.
Уменьшение скорости обмена информацией в процессе прохождения аутентификации, которое происходит при внедрении в proximity карты и/или считывающие устройства дополнительных степеней защиты (шифрование серийного номера и использование безопасного обмена данными со считывающими устройствами).

Упрощенная процедура ввода идентификационных данных, например, PIN кода только один раз в сутки, существенно снижает эффективность работы СКУД.

Из за имеющихся недостатков СКУД, работающие с proximity картами, практически не используются для защиты компьютерных сетей, а также оцифрованных секретных данных и важных приложений.

Современные компьютерные сети, как локальные, так и имеющие выход в Интернет, потребовали более надежной защиты, по возможности исключающей несанкционированный доступ к информации.

В начало

БИОМЕТРИЧЕСКИЕ МЕТОДЫ АУТЕНТИФИКАЦИИ

Массовый переход к электронному документообороту значительно увеличил возможность похищения информации или проведения хакерских атак, которые повреждают системные файлы и вызывают сбой в работе компьютеров. Поэтому были разработаны многофакторные методы ограничения доступа к информации.

При этом чаще всего применяют сочетание двух факторов, с помощью которых можно с высокой степенью достоверности определить личность потенциального пользователя. К таким факторам относятся пароль (пароль логин) и биометрические данные личности.

Наиболее распространена в настоящее время авторизация пользователя по отпечаткам пальцев. В сочетании с парой «пароль-логин» такой способ значительно эффективнее, чем традиционные СКУД. Ведь при этом пользователю нет необходимости носить с собой какие-то предметы, с помощью которых можно получить доступ к защищенной информации.

Широкое использование дактилоскопии при предоставлении доступа к информации вызвано технологическим прорывом в этой области. Для считывания отпечатков пальцев стали использовать методы мультиспектрального получения изображения. Сканеры, разработанные с использованием этих методов, способны считывать папиллярный рисунок отпечатка, учитывая при этом загрязнение кожи, а также ее температуру и влажность.

Также учитывается и возможность изменения угла контакта с пальцем при прохождении идентификации личности.

Однако специалисты, разрабатывающие современные системы управления доступом считают, что даже сочетание таких факторов аутентификации как «логин пароль» и биометрия, не обеспечивает надежной защиты информации. В настоящее время на базе двухфакторной идентификации разработаны методы строгой аутентификации, в которых используются:

криптография;
инфраструктура открытых ключей (PKI).

В PKI структурах применяются только аппаратные решения, созданные на основе специализированного микроконтроллера, который способен обеспечить защиту криптографических операций в токене. В таких системах двухфакторная аутентификация пользователя выполняется с помощью:

токена или смарт-карты;
PIN кода, разрешающего проведение криптографических операций внутри токена.

Кроме того, в случае, когда необходимо обеспечить усиленную защиту от несанкционированного доступа, используют и биометрическую идентификацию личности. При этом полностью исключается возможность использования токена в отсутствие его владельца.

В начало

* * *

pasmr21.ru