🔒 О двух факторах аутентификации на одном устройстве
Недавно я рассматривал реализацию #2FA в Госуслугах через призму рекомендаций NIST. И вспомнил, как когда-то в блоге провел границу между двухэтапной и двухфакторной аутентификацией по признаку владения (SMS vs. OTP). Чуть позже выяснилось, что NIST хотел радикально выпилить SMS из факторов, но под давлением индустрии смягчил формулировки. Это была та самая специальная публикация 800-63B!
🤔 Перечитывая документ, я подумал, что неплохо бы оценить по нему и беспарольный вход в учетную запись Microsoft (MSA). Разбирая это решение в блоге 5 лет назад, я писал:
Как ни странно, это – двухфакторная аутентификация! Первый фактор – подтверждение уведомления на смартфоне, которым вы владеете. Второй фактор – знание ПИН-кода или биологическая особенность (отпечаток пальца, лицо). Процесс аутентификации фактически смещен с устройства, на котором осуществляется вход, на смартфон, где вы подтверждаете владение учетной записью.
ℹ️ А что считает NIST? В разделе 4.2.2 прямым текстом говорится (в моем вольном переводе):
В случае использования смартфона в качестве аутентификатора, разблокировка устройства (обычно с помощью ПИН-кода или биометрии) не должна считаться одним из факторов аутентификации. В общем случае верификатор не может знать, было ли устройство заблокировано изначально или разблокировка выполнялась с соблюдением требований для соответствующего типа аутентификатора.
Действительно, смартфон можно разблокировать не только ПИН-кодом и биометрией, но и устройством Bluetooth, например! Даже если считать такое устройство фактором владения, его нельзя задействовать в качестве второго фактора ❌ Ведь он должен отличаться от первого, а там тоже владение - смартфоном.
Однако нужно учитывать, что решение Microsoft призвано воспрепятствовать перехвату паролей пользователей, причем неопытных в основной массе. Очевидно, компания оценивает этот риск куда выше, чем опасности текущей реализации. Также не забывайте, что такие решения в первую очередь разрабатываются для бизнеса. Потребителям же достаются остатки с барского стола, где потчуют аппаратными ключами, например.
В общем, беспарольный вход в MSA в очередной раз подтверждает тезис, что безопасность - это всегда компромисс между степенью защиты и ее удобством, особенно в условиях огромной пользовательской базы ✌️