Способы аутентификации
Сводная таблица
| # | Способ | Требования | Использовать | Безопасность |
|---|---|---|---|---|
| 1 | Универсальная web аутентификация с поддержкой биометрии | Устройство с биометрическим датчиком или внешний токен, современный браузер | Удобно | Очень высокая |
| 2 | Telegram Messenger | Приложение на телефоне, доступ в интернет | Удобно | Высокая |
| 3 | OTP Токен | Внешний токен | Зависит от токена | Высокая |
| 4 | Google authenticator | Приложение на телефоне | Менее удобно | Высокая |
| 5 | СМС сообщение или звонок | Телефон | Менее удобно | Средняя |
Универсальная web аутентификация с поддержкой биометрии
Набор протоколов: U2F (Universal Second Factor), UAF (Universal Authentication Framework) FIDO (Fast IDentity Online), CTAP (Client to Authenticator Protocol), объединенные в единый стандарт WebAuthn.
Стандарт работает прямо из браузера без установки стороннего программного обеспечения и драйверов. Поддерживает биометрические датчики и сканеры, а также внешние устройства аутентификации, подключаемые через USB, Lightning, NFC или Bluetooth, например, RuToken U2F.
Универсальная аутентификация поддерживается браузерами Chrome, Safari, Firefox, Edge, Opera на платформах Windows, Linux, MacOS и Android.
Регистрация
Пользователю будет предложено использовать биометрический датчик, если он есть на его телефоне или ноутбуке, либо подключить и активировать внешний токен после чего Мультифактор получит публичные ключи устройств и сможет использовать их для аутентификации.
Аутентификация
Пользователь использует биометрию (отпечаток пальца, сканер лица), либо прикасается к внешнему токену — совершает осознанное действие.
Telegram Messenger
Telegram — один из наиболее удобных и защищенных мессенджеров в мире, который работает даже в условиях нестабильной интернет связи.
Регистрация
Для регистрации пользователю будет предложено открыть специальную ссылку на телефоне с установленным приложением Telegram, после чего в контакты будет автоматически добавлен бот MultifactorBot и нажать внутри чата кнопку "Start" для регистрации чата.
Аутентификация
Пользователю приходит сообщение от бота с просьбой подтвердить действие и двумя кнопками: подтвердить или отклонить соответственно.
OTP Токен
OTP токен — устройство для формирования одноразовых кодов доступа, обычно в виде брелка, который показывает цифры на экране, пример — Feitian c100 или в виде флешки, пример — RuToken OTP.
Второй формат более удобный, так как цифры не нужно перепечатывать: устройство определяется операционной системой, как клавиатура и автоматически вводит код в фокусное поле. С другой стороны, брелки с экраном не требуют подключения к компьютеру и работают полностью автономно.
Регистрация
Для регистрации otp-токена необходимо загрузить в Мультифактор ключ устройства и ввести очередной одноразовый код. По требованию, Мультифактор может самостоятельно сформировать ключ устройства для последующей загрузки в токен.
Аутентификация
Пользователю необходимо ввести одноразовый код доступа, сформированный токеном.
Google authenticator
Google Authenticator — самое популярное приложение для формирования одноразовых кодов доступа на телефонах Android и iPhone. Можно даже сказать, что это обобщенное название серии подобных способов аутентификации. Помимо Google Authenticator, такую же функцию выполняют Яндекс.Ключ, Microsoft Authenticator, а также некоторые менее известные приложения.
Регистрация
Пользователю будет предложено запустить приложение Google Authenticator или Яндекс.Ключ, сканировать QR код, содержащий ключ системы Мультифактор и ввести одноразовый код доступа, сформированный приложением.
Аутентификация
Для аутентификации необходимо запустить приложение и ввести код доступа.
СМС сообщение или звонок
Наиболее консервативный способ, который используется в системах многофакторной аутентификации много лет, считается устаревшим и не самым безопасным, но оставлен в системе Мультифактор для случаев, когда прочие способы по разным причинам не используются. Разумеется, в настройках личного кабинета его можно выключить для всех пользователей или определенных групп.
Регистрация
Для регистрации пользователю будет предложено ввести номер телефона и одноразовый код из СМС сообщения, отправленного системой Мультифактор.
Аутентификация
Пользователю необходимо ввести одноразовый код доступа, полученный в СМС сообщении, либо ответить на входящий звонок и нажать решетку.