Многофакторная аутентификация

Метод контроля доступа к компьютеру

Аппаратные ключи безопасности аутентификации

Многофакторная аутентификация ( MFA ; двухфакторная аутентификация или 2FA , наряду с аналогичными терминами) — это метод электронной аутентификации , при котором пользователю предоставляется доступ к веб-сайту или приложению только после успешного представления двух или более доказательств (или факторов ) механизму аутентификации . MFA защищает персональные данные , которые могут включать в себя персональную идентификацию или финансовые активы , от доступа несанкционированного третьего лица, которое могло узнать, например, один пароль.

Использование MFA возросло в последние годы, однако существует множество угроз, которые постоянно затрудняют обеспечение полной безопасности MFA. ^[1]

Факторы

Аутентификация происходит, когда кто-то пытается войти в компьютерный ресурс (такой как компьютерная сеть , устройство или приложение). Ресурс требует от пользователя предоставить идентификатор, по которому пользователь известен ресурсу, а также доказательства подлинности заявления пользователя об этом идентификаторе. Простая аутентификация требует только одного такого доказательства (фактора), как правило, пароля. Для дополнительной безопасности ресурс может потребовать более одного фактора — многофакторную аутентификацию или двухфакторную аутентификацию в случаях, когда необходимо предоставить ровно два доказательства. ^[2]

Использование нескольких факторов аутентификации для подтверждения личности основано на предпосылке, что неавторизованный субъект вряд ли сможет предоставить факторы, необходимые для доступа. Если при попытке аутентификации хотя бы один из компонентов отсутствует или предоставлен неправильно, личность пользователя не устанавливается с достаточной уверенностью, и доступ к активу (например, зданию или данным), защищенному многофакторной аутентификацией, остается заблокированным. Факторы аутентификации схемы многофакторной аутентификации могут включать: ^[3]

• Что-либо, что есть у пользователя: любой физический объект, находящийся во владении пользователя, например, токен безопасности ( USB-накопитель ), банковская карта , ключ и т. д.
• Что-то, что знает пользователь: определенные знания, известные только пользователю, например, пароль , PIN-код , PUK-код и т. д.
• Что-то, чем является пользователь: некоторые физические характеристики пользователя ( биометрические данные ), такие как отпечатки пальцев, радужная оболочка глаза, голос, скорость печати , закономерность в интервалах нажатия клавиш и т. д.

Примером двухфакторной аутентификации является снятие денег с банкомата ; только правильная комбинация банковской карты (то, чем владеет пользователь) и PIN-кода (то, что знает пользователь) позволяет провести транзакцию. Два других примера — это дополнение контролируемого пользователем пароля одноразовым паролем ( OTP) или кодом, сгенерированным или полученным аутентификатором ( например, токеном безопасности или смартфоном), которым владеет только пользователь. ^[4]

Стороннее приложение- аутентификатор позволяет реализовать двухфакторную аутентификацию другим способом, обычно путем отображения случайно сгенерированного и постоянно обновляемого кода, который пользователь может использовать вместо отправки SMS или использования другого метода. ^[5]

Знание

Факторы знания являются формой аутентификации. В этой форме пользователь должен доказать знание секрета для аутентификации.

Пароль — это секретное слово или строка символов, которая используется для аутентификации пользователя. Это наиболее часто используемый механизм аутентификации. ^[3] Многие методы многофакторной аутентификации полагаются на пароли как на один из факторов аутентификации. Варианты включают как более длинные, образованные из нескольких слов ( парольная фраза ), так и более короткие, чисто числовые, PIN-коды, обычно используемые для доступа к банкомату . Традиционно пароли должны быть запомнены , но их также можно записать на скрытой бумаге или в текстовом файле.

Владение

Токен RSA SecurID, пример отключенного генератора токенов

Факторы владения («что-то, что есть только у пользователя») использовались для аутентификации на протяжении столетий в форме ключа к замку. Основной принцип заключается в том, что ключ воплощает секрет, который является общим для замка и ключа, и тот же принцип лежит в основе аутентификации фактора владения в компьютерных системах. Токен безопасности является примером фактора владения.

Отключенные токены не имеют подключений к клиентскому компьютеру. Обычно они используют встроенный экран для отображения сгенерированных данных аутентификации, которые вручную вводятся пользователем. Этот тип токена в основном использует OTP , который может быть использован только для этого конкретного сеанса. ^[6]

USB-токен безопасности

Подключенные токены — это устройства , которые физически подключаются к компьютеру для использования. Эти устройства передают данные автоматически. ^[7] Существует ряд различных типов, включая USB-токены, смарт-карты и беспроводные метки . ^[7] Все чаще токены с поддержкой FIDO2 , поддерживаемые FIDO Alliance и World Wide Web Consortium (W3C), становятся популярными благодаря поддержке основных браузеров, начиная с 2015 года.

Программный токен ( он же мягкий токен ) — это тип устройства безопасности двухфакторной аутентификации, которое может использоваться для авторизации использования компьютерных служб. Программные токены хранятся на электронном устройстве общего назначения, таком как настольный компьютер , ноутбук , КПК или мобильный телефон , и могут быть продублированы. (В отличие от аппаратных токенов , где учетные данные хранятся на выделенном аппаратном устройстве и, следовательно, не могут быть продублированы, если отсутствует физическое вторжение в устройство). Мягкий токен может не быть устройством, с которым взаимодействует пользователь. Обычно сертификат X.509v3 загружается на устройство и надежно хранится для этой цели. ^{[ необходима цитата ]}

Многофакторная аутентификация также может применяться в системах физической безопасности. Эти системы физической безопасности известны и обычно называются контролем доступа. Многофакторная аутентификация обычно применяется в системах контроля доступа посредством использования, во-первых, физического владения (например, брелока, ключ-карты или QR-кода, отображаемого на устройстве), которое действует как идентификационный идентификатор, и, во-вторых, подтверждения личности, например, биометрических данных лица или сканирования сетчатки глаза. Эта форма многофакторной аутентификации обычно называется проверкой лица или аутентификацией лица.

Врожденный

Это факторы, связанные с пользователем, и обычно это биометрические методы, включая отпечатки пальцев , лицо , ^[8] голос или распознавание радужной оболочки глаза . Также может использоваться поведенческая биометрия, такая как динамика нажатия клавиш .

Расположение

Все чаще в игру вступает четвертый фактор, связанный с физическим местоположением пользователя. При жестком подключении к корпоративной сети пользователю может быть разрешено входить в систему, используя только пин-код. В то время как если пользователь находится вне сети или работает удаленно, может потребоваться более безопасный метод MFA, такой как ввод кода с мягкого токена. Адаптация типа метода MFA и частоты к местоположению пользователя позволит вам избежать рисков, характерных для удаленной работы. ^[9]

Системы для контроля доступа к сети работают схожим образом, где уровень доступа к сети может зависеть от конкретной сети, к которой подключено устройство, например, Wi-Fi или проводное подключение. Это также позволяет пользователю перемещаться между офисами и динамически получать тот же уровень доступа к сети ^{[ необходимо разъяснение ]} в каждом из них. ^{[ необходима цитата ]}

Аутентификация на основе мобильного телефона

Пример аутентификации на основе мобильного телефона с использованием одноразовых паролей

Двухфакторная аутентификация с помощью текстовых сообщений была разработана еще в 1996 году, когда AT&T описала систему авторизации транзакций, основанную на обмене кодами через двусторонние пейджеры. ^{[10] [11]}

Многие поставщики многофакторной аутентификации предлагают аутентификацию на основе мобильного телефона. Некоторые методы включают аутентификацию на основе push-уведомлений, аутентификацию на основе QR-кода, аутентификацию одноразового пароля (на основе событий и времени) и верификацию на основе SMS. Верификация на основе SMS страдает от некоторых проблем безопасности. Телефоны могут быть клонированы, приложения могут работать на нескольких телефонах, а персонал по обслуживанию мобильных телефонов может читать тексты SMS. Не в последнюю очередь, мобильные телефоны могут быть скомпрометированы в целом, что означает, что телефон больше не является чем-то, что есть только у пользователя.

Основным недостатком аутентификации, включающей то, чем владеет пользователь, является то, что пользователь должен носить с собой физический токен (USB-накопитель, банковскую карту, ключ или что-то подобное) практически всегда. Потеря и кража являются рисками. Многие организации запрещают проносить USB и электронные устройства в помещения или из них из-за рисков вредоносного ПО и кражи данных, и большинство важных машин не имеют USB-портов по той же причине. Физические токены обычно не масштабируются, как правило, требуя нового токена для каждой новой учетной записи и системы. Приобретение и последующая замена токенов такого рода влечет за собой расходы. Кроме того, существуют неотъемлемые конфликты и неизбежные компромиссы между удобством использования и безопасностью. ^[12]

Двухэтапная аутентификация с использованием мобильных телефонов и смартфонов является альтернативой выделенным физическим устройствам. Для аутентификации люди могут использовать свои персональные коды доступа к устройству (то есть то, что знает только отдельный пользователь) и одноразовый динамический код доступа, обычно состоящий из 4–6 цифр. Код доступа может быть отправлен на мобильное устройство ^[2] по SMS или сгенерирован приложением-генератором одноразовых кодов доступа. В обоих случаях преимущество использования мобильного телефона заключается в том, что нет необходимости в дополнительном выделенном токене, поскольку пользователи, как правило, всегда носят свои мобильные устройства с собой.

Несмотря на популярность SMS-проверки, защитники безопасности публично критиковали SMS-проверку, ^{[13] и в июле 2016 года в проекте руководства} NIST США было предложено исключить ее как форму аутентификации. ^[14] Год спустя NIST восстановил SMS-проверку в качестве допустимого канала аутентификации в окончательной редакции руководства. ^[15]

В 2016 и 2017 годах Google и Apple начали предлагать пользователям двухэтапную аутентификацию с push-уведомлениями ^[3] в качестве альтернативного метода. ^{[16] [17]}

Безопасность токенов безопасности, доставляемых через мобильные устройства, полностью зависит от операционной безопасности оператора мобильной связи и может быть легко нарушена путем прослушивания телефонных разговоров или клонирования SIM-карты национальными службами безопасности. ^[18]

Преимущества:

• Никаких дополнительных токенов не требуется, поскольку используются мобильные устройства, которые (обычно) постоянно находятся при себе.
• Поскольку динамически генерируемые пароли постоянно меняются, их безопаснее использовать, чем фиксированную (статическую) информацию для входа.
• В зависимости от решения, использованные пароли автоматически заменяются, чтобы гарантировать постоянную доступность действующего кода, поэтому проблемы с передачей/приемом не препятствуют входу в систему.

Недостатки:

• Пользователи все еще могут быть подвержены фишинговым атакам. Злоумышленник может отправить текстовое сообщение, которое ведет на поддельный веб-сайт , который выглядит идентично реальному веб-сайту. Затем злоумышленник может получить код аутентификации, имя пользователя и пароль. ^[19]
• Мобильный телефон не всегда доступен — он может быть потерян, украден, у него может сесть батарея или он может выйти из строя по какой-либо причине.
• Несмотря на растущую популярность, некоторые пользователи могут даже не иметь мобильного устройства и возмущаться тем, что наличие такового является условием использования некоторых сервисов на домашнем ПК.
• Мобильная связь не всегда доступна — на больших территориях, особенно за пределами городов, покрытие отсутствует.
• Клонирование SIM-карт дает хакерам доступ к соединениям мобильных телефонов. Атаки с использованием социальной инженерии против компаний-операторов мобильной связи привели к передаче преступникам дубликатов SIM-карт. ^[20]
• Текстовые сообщения на мобильные телефоны с использованием SMS небезопасны и могут быть перехвачены IMSI-ловушками . Таким образом, третьи лица могут украсть и использовать токен. ^[21]
• Восстановление учетной записи обычно позволяет обойти двухфакторную аутентификацию мобильного телефона. ^{[2] [ неудачная проверка ]}
• Современные смартфоны используются как для получения электронной почты, так и для получения SMS. Поэтому, если телефон потерян или украден и не защищен паролем или биометрией, все учетные записи, для которых электронная почта является ключом, могут быть взломаны, так как телефон может принимать второй фактор.
• Операторы мобильной связи могут взимать с пользователей плату за отправку сообщений.

Законодательство и регулирование

Стандарт безопасности данных индустрии платежных карт (PCI) , требование 8.3, требует использования MFA для любого удаленного сетевого доступа, который исходит извне сети к среде данных карты (CDE). ^[22] Начиная с версии PCI-DSS 3.2, использование MFA требуется для любого административного доступа к CDE, даже если пользователь находится в доверенной сети.

Евросоюз

Вторая Директива о платежных услугах требует « строгой аутентификации клиентов » для большинства электронных платежей в Европейской экономической зоне с 14 сентября 2019 года. ^[23]

Индия

В Индии Резервный банк Индии ввел двухфакторную аутентификацию для всех онлайн-транзакций, совершенных с использованием дебетовой или кредитной карты, с использованием либо пароля, либо одноразового пароля, отправленного по SMS . Это требование было снято в 2016 году для транзакций до ₹2000 после согласия банка-эмитента. ^[24] Поставщики, такие как Uber, были уполномочены банком внести изменения в свои системы обработки платежей в соответствии с этим развертыванием двухфакторной аутентификации. ^{[25] [26] [27]}

Соединенные Штаты

Подробная информация об аутентификации федеральных служащих и подрядчиков в США определена в Президентской директиве по внутренней безопасности № 12 (HSPD-12). ^[28]

Стандарты регулирования ИТ для доступа к федеральным государственным системам требуют использования многофакторной аутентификации для доступа к конфиденциальным ИТ-ресурсам, например, при входе в сетевые устройства для выполнения административных задач ^[29] и при доступе к любому компьютеру с использованием привилегированного входа в систему. ^[30]

В специальной публикации NIST 800-63-3 обсуждаются различные формы двухфакторной аутентификации и даются рекомендации по их использованию в бизнес-процессах, требующих различных уровней гарантии. ^[31]

В 2005 году Федеральный совет по проверке финансовых учреждений США выпустил руководство для финансовых учреждений, рекомендующее финансовым учреждениям проводить оценки на основе рисков, оценивать программы повышения осведомленности клиентов и разрабатывать меры безопасности для надежной аутентификации клиентов, получающих удаленный доступ к онлайн-финансовым услугам , официально рекомендуя использовать методы аутентификации, которые зависят от более чем одного фактора (в частности, от того, что пользователь знает, имеет и чем является) для определения личности пользователя. ^[32] В ответ на публикацию многочисленные поставщики аутентификации начали неправомерно продвигать контрольные вопросы, секретные изображения и другие методы, основанные на знаниях, как «многофакторную» аутентификацию. Из-за возникшей путаницы и широкого распространения таких методов 15 августа 2006 года FFIEC опубликовал дополнительные руководящие принципы, в которых говорится, что по определению «истинная» система многофакторной аутентификации должна использовать отдельные экземпляры трех факторов аутентификации, которые она определила, а не просто использовать несколько экземпляров одного фактора. ^[33]

Безопасность

По мнению сторонников, многофакторная аутентификация может радикально снизить частоту кражи личных данных в Интернете и других видов мошенничества в Интернете , поскольку пароля жертвы больше не будет достаточно, чтобы предоставить вору постоянный доступ к его информации. Однако многие подходы многофакторной аутентификации остаются уязвимыми для фишинга , ^{[34] атак} типа «человек в браузере» и «человек посередине» . ^[35] Двухфакторная аутентификация в веб-приложениях особенно уязвима для фишинговых атак, особенно в SMS и электронных письмах, и в ответ многие эксперты советуют пользователям не делиться своими кодами проверки с кем-либо, ^[36] и многие поставщики веб-приложений размещают рекомендации в электронных письмах или SMS, содержащих код. ^[37]

Многофакторная аутентификация может быть неэффективна ^[38] против современных угроз, таких как скимминг банкоматов, фишинг и вредоносное ПО. ^[39]

В мае 2017 года немецкий оператор мобильной связи O2 Telefónica подтвердил, что киберпреступники использовали уязвимости SS7 для обхода двухэтапной аутентификации на основе SMS для несанкционированного снятия средств с банковских счетов пользователей. Сначала преступники заразили компьютеры владельцев счетов, пытаясь украсть учетные данные их банковских счетов и номера телефонов. Затем злоумышленники приобрели доступ к поддельному поставщику телекоммуникационных услуг и настроили переадресацию с номера телефона жертвы на контролируемый ими телефон. Наконец, злоумышленники вошли в онлайн-банковские счета жертв и запросили перевод денег со счетов на счета, принадлежащие преступникам. Коды доступа SMS направлялись на телефонные номера, контролируемые злоумышленниками, и преступники переводили деньги. ^[40]

МФА усталость

Все более распространенным подходом к обходу MFA является бомбардировка пользователя многочисленными запросами на вход в систему до тех пор, пока пользователь в конечном итоге не поддастся количеству запросов и не примет один из них. ^[41]

Выполнение

Многие продукты многофакторной аутентификации требуют от пользователей развертывания клиентского программного обеспечения для работы систем многофакторной аутентификации. Некоторые поставщики создали отдельные установочные пакеты для входа в сеть , учетных данных веб- доступа и учетных данных VPN- подключения . Для таких продуктов может быть четыре или пять различных пакетов программного обеспечения , которые необходимо загрузить на клиентский ПК для использования токена или смарт -карты . Это означает четыре или пять пакетов, для которых необходимо выполнить контроль версий, и четыре или пять пакетов для проверки конфликтов с бизнес-приложениями. Если доступ может осуществляться с использованием веб-страниц , можно ограничить издержки, описанные выше, одним приложением. С другими технологиями многофакторной аутентификации, такими как продукты с аппаратными токенами, конечным пользователям не нужно устанавливать программное обеспечение. ^{[ необходима цитата ]}

У многофакторной аутентификации есть недостатки, которые мешают многим подходам стать широко распространенными. Некоторые пользователи испытывают трудности с отслеживанием аппаратного токена или USB-разъема. Многие пользователи не обладают техническими навыками, необходимыми для самостоятельной установки клиентского программного сертификата. Как правило, многофакторные решения требуют дополнительных инвестиций для внедрения и затрат на обслуживание. Большинство систем на основе аппаратных токенов являются фирменными, и некоторые поставщики взимают ежегодную плату за пользователя. Развертывание аппаратных токенов является сложной задачей с точки зрения логистики. Аппаратные токены могут быть повреждены или утеряны, а выпуск токенов в крупных отраслях, таких как банковское дело, или даже в крупных предприятиях требует управления. Помимо затрат на развертывание, многофакторная аутентификация часто влечет за собой значительные дополнительные расходы на поддержку. ^{[ требуется ссылка ]} В опросе 2008 года ^[42] более 120 кредитных союзов США , проведенном Credit Union Journal, сообщалось о расходах на поддержку, связанных с двухфакторной аутентификацией. В их отчете сообщалось, что самые высокие расходы на поддержку связаны с программными сертификатами и программными панелями инструментов ^{[ требуется разъяснение ] .}

Исследования по развертыванию схем многофакторной аутентификации ^[43] показали, что одним из элементов, которые, как правило, влияют на принятие таких систем, является направление деятельности организации, которая развертывает систему многофакторной аутентификации. Приведенные примеры включают правительство США, которое использует сложную систему физических токенов (которые сами по себе поддерживаются надежной инфраструктурой открытых ключей ), а также частные банки, которые, как правило, предпочитают схемы многофакторной аутентификации для своих клиентов, которые включают более доступные, менее дорогие средства проверки личности, такие как приложение, установленное на принадлежащем клиенту смартфоне. Несмотря на различия, которые существуют среди доступных систем, из которых организациям, возможно, придется выбирать, после того, как система многофакторной аутентификации развернута в организации, она, как правило, остается на месте, поскольку пользователи неизменно приспосабливаются к присутствию и использованию системы и со временем принимают ее как нормализованный элемент своего повседневного процесса взаимодействия с соответствующей информационной системой.

Хотя считается, что многофакторная аутентификация находится в сфере идеальной безопасности, Роджер Граймс пишет ^[44] , что если она не реализована и не настроена должным образом, многофакторную аутентификацию на самом деле можно легко обойти.

Патенты

В 2013 году Ким Дотком заявил, что изобрел двухфакторную аутентификацию в патенте 2000 года ^[45] и кратко пригрозил подать в суд на все основные веб-сервисы. Однако Европейское патентное ведомство отозвало его патент ^[46] в свете более раннего патента США 1998 года, принадлежащего AT&T. ^[47]

Смотрите также

• Факторы аутентификации
• Электронная аутентификация
• Управление идентификацией
• Многосторонняя авторизация
• Взаимная аутентификация
• Внеполосный
• Проверка подлинности Reliance
• Строгая аутентификация
• Универсальный 2-й фактор
• Обнаружение и реагирование на угрозы идентичности

Ссылки

1. Рассел, Стив (2023-02-22). «Обход многофакторной аутентификации». ITNOW . 65 (1): 42–45. doi :10.1093/combul/bwad023. ISSN  1746-5702.
2. "Двухфакторная аутентификация: что вам нужно знать (FAQ) – CNET". CNET . Получено 2015-10-31 .
3. Jacomme, Charlie; Kremer, Steve (1 февраля 2021 г.). «Обширный формальный анализ протоколов многофакторной аутентификации». ACM Transactions on Privacy and Security . 24 (2). Нью-Йорк: Ассоциация вычислительной техники: 1–34. doi : 10.1145/3440712. ISSN  2471-2566. S2CID  231791299.
4. [email protected] (2016-06-28). "Назад к основам: Многофакторная аутентификация (MFA)". NIST . Архивировано из оригинала 2021-04-06 . Получено 2021-04-06 .
5. Барретт, Брайан (22 июля 2018 г.). «Как защитить свои учетные записи с помощью лучшей двухфакторной аутентификации». Wired . Получено 12 сентября 2020 г. .
6. «Настройка одноразовых паролей». www.sonicwall.com . Sonic Wall . Получено 19 января 2022 г. .
7. van Tilborg, Henk CA; Jajodia, Sushil, ред. (2011). Энциклопедия криптографии и безопасности, том 1. Берлин, Германия: Springer Science & Business Media . стр. 1305. ISBN 9781441959058.
8. Цао, Лилин; Ге, Ваньчэн (2015-03-10). «Анализ и улучшение схемы многофакторной биометрической аутентификации: Анализ и улучшение схемы MFBA». Security and Communication Networks . 8 (4): 617–625. doi :10.1002/sec.1010.
9. "11 советов по защите Active Directory при работе из дома". www.darkreading.com . Получено 29.08.2024 .
10. «Есть ли у Кима Доткома оригинальный патент на «двухфакторную» аутентификацию?». The Guardian . 2013-05-23 . Получено 2022-11-02 .
11. EP 0745961, «Система авторизации и оповещения транзакций», выпущенный 1996-12-04 
12. Ван, Дин; Хэ, Дебяо; Ван, Пин; Чу, Чао-Сянь (2014). «Анонимная двухфакторная аутентификация в распределенных системах: некоторые цели находятся за пределами достижения» (PDF) . Труды IEEE по надежным и безопасным вычислениям . Пискатауэй, Нью-Джерси: Институт инженеров по электротехнике и электронике . Получено 23.03.2018 .
13. Энди Гринберг (2016-06-26). «Так что, эй, вам следует прекратить использовать текстовые сообщения для двухфакторной аутентификации». Wired . Получено 2018-05-12 .
14. «NIST больше не рекомендует двухфакторную аутентификацию с помощью SMS». Schneier on Security. 3 августа 2016 г. Получено 30 ноября 2017 г.
15. "Откат! NIST США больше не рекомендует "Устаревание SMS для 2FA"". 6 июля 2017 г. Получено 21 мая 2019 г.
16. Танг, Лиам. «Подсказка Google: теперь вы можете просто нажать «да» или «нет» на iOS, Android, чтобы одобрить вход в Gmail». ZD Net . Получено 11 сентября 2017 г.
17. Chance Miller (25.02.2017). «Apple prompting iOS 10.3». 9to5 Mac . Получено 11 сентября 2017 г.
18. «Как Россия работает над перехватом приложений для обмена сообщениями – Bellingcat». Bellingcat . 2016-04-30. Архивировано из оригинала 2016-04-30 . Получено 2016-04-30 .
19. Кан, Майкл (7 марта 2019 г.). «Google: число фишинговых атак, способных обойти двухфакторную аутентификацию, растет». PC Mag . Получено 9 сентября 2019 г.
20. Николс, Шон (10 июля 2017 г.). «Двухфакторный ПРОВАЛ: Парень оказывается обманутым после того, как AT&T попадает под хакерские уловки». The Register . Получено 11 июля 2017 г.
21. Турани, Мохсен; Бехешти, А. (2008). «SSMS — безопасный протокол обмена SMS-сообщениями для систем мобильных платежей». Симпозиум IEEE по компьютерам и коммуникациям 2008 г. С. 700–705. arXiv : 1002.3171 . doi :10.1109/ISCC.2008.4625610. ISBN 978-1-4244-2702-4. S2CID  5066992.
22. "Официальный сайт Совета по стандартам безопасности PCI – Проверка соответствия PCI, загрузка стандартов безопасности данных и кредитных карт". www.pcisecuritystandards.org . Получено 25.07.2016 .
23. Делегированный регламент Комиссии (ЕС) 2018/389 от 27 ноября 2017 г., дополняющий Директиву (ЕС) 2015/2366 Европейского парламента и Совета в отношении нормативных технических стандартов для строгой аутентификации клиентов и общих и безопасных открытых стандартов связи (Текст, имеющий отношение к ЕЭЗ.), 2018-03-13 , получено 2021-04-06
24. Карник, Мадхура (7 декабря 2016 г.). «Наконец-то индийцы могут использовать кредитные карты онлайн без мучительных одноразовых паролей — но только для покупок на сумму менее 2000 рупий». Quartz . Получено 10 декабря 2023 г. .
25. Агарвал, Сурабхи (7 декабря 2016 г.). «Платежные компании приветствуют решение Резервного банка Индии отказаться от двухфакторной аутентификации для транзакций на небольшие суммы». The Economic Times . Получено 28 июня 2020 г.
26. Наир, Вишванат (6 декабря 2016 г.). «RBI упрощает двухфакторную аутентификацию для онлайн-транзакций по картам на сумму до 2000 рупий». Livemint . Получено 28 июня 2020 г.
27. «Uber теперь соблюдает требования двухфакторной аутентификации в Индии, называя их ненужными и обременительными». VentureBeat . 2014-11-30 . Получено 2021-09-05 .
28. "Homeland Security Presidential Directive 12". Министерство внутренней безопасности . 1 августа 2008 г. Архивировано из оригинала 16 сентября 2012 г.
29. "Институт SANS, Критический контроль 10: Безопасные конфигурации для сетевых устройств, таких как брандмауэры, маршрутизаторы и коммутаторы". Архивировано из оригинала 2013-01-28 . Получено 2013-02-11 .
30. "Институт SANS, Критический контроль 12: Контролируемое использование административных привилегий". Архивировано из оригинала 28.01.2013 . Получено 11.02.2013 .
31. "Руководство по цифровой идентификации". Специальная публикация NIST 800-63-3 . NIST. 22 июня 2017 г. Получено 2 февраля 2018 г.
32. "Пресс-релиз FFIEC". 2005-10-12 . Получено 2011-05-13 .
33. "Часто задаваемые вопросы по руководству FFIEC по аутентификации в среде интернет-банкинга" (PDF) . FFIEC. 2006-08-15. Архивировано (PDF) из оригинала 2012-11-15.
34. Брайан Кребс (10 июля 2006 г.). «Security Fix – Citibank Phish Spoofs 2-Factor Authentication». Washington Post . Архивировано из оригинала 3 июля 2011 г. Получено 20 сентября 2016 г.
35. Брюс Шнайер (март 2005 г.). «Провал двухфакторной аутентификации». Шнайер о безопасности . Получено 20 сентября 2016 г.
36. Алекс Перекалин (май 2018 г.). «Почему никогда не следует отправлять кому-либо коды подтверждения». Kaspersky . Получено 17 октября 2020 г. .
37. Сиадати, Хоссейн; Нгуен, Тоан; Гупта, Пайас; Якобссон, Маркус; Мемон, Насир (2017). «Остерегайтесь SMS-сообщений: смягчение социальной инженерии при аутентификации второго фактора». Компьютеры и безопасность . 65 : 14–28. doi : 10.1016/j.cose.2016.09.009 . S2CID  10821943.
38. Шенкленд, Стивен. «Двухфакторная аутентификация? Не так безопасна, как можно было бы ожидать при входе в электронную почту или банк». CNET . Получено 27.09.2020 .
39. «Провал двухфакторной аутентификации – Шнайер о безопасности». schneier.com . Получено 23 октября 2015 г. .
40. Ханделвал, Свати. «Реальная атака SS7 — хакеры крадут деньги с банковских счетов». Hacker News . Получено 05.05.2017 .
41. "MFA Fatigue: новая любимая тактика хакеров при громких взломах". BleepingComputer . Получено 2023-08-12 .
42. «Исследование проливает новый свет на затраты и влияние многофакторности». 4 апреля 2008 г. Архивировано из оригинала 8 июля 2011 г.
43. Либики, Мартин С.; Балкович, Эдвард; Джексон, Брайан А.; Рудавски, Рена; Уэбб, Кэтрин (2011). «Влияния на принятие многофакторной аутентификации».
44. "Взлом многофакторной аутентификации | Wiley". Wiley.com . Получено 2020-12-17 .
45. US 6078908, Шмитц, Ким, «Метод авторизации в системах передачи данных» 
46. Бродкин, Джон (23 мая 2013 г.). «Ким Дотком утверждает, что изобрел двухфакторную аутентификацию, но он не был первым». Ars Technica . Архивировано из оригинала 9 июля 2019 г. Получено 25 июля 2019 г.
47. US 5708422, Блондер и др., «Система авторизации транзакций и оповещения» 

Дальнейшее чтение

• Брэндом, Рассел (10 июля 2017 г.). «Двухфакторная аутентификация — это беспорядок». The Verge . Получено 10 июля 2017 г. .

Внешние ссылки

• TwoFactorAuth.org - TwoFactorAuth.org - Подробный онлайн-ресурс по (2FA) и всему, что с этим связано
• Злоумышленники взломали серверы RSA и похитили информацию, которая могла быть использована для нарушения безопасности токенов двухфакторной аутентификации, используемых 40 миллионами сотрудников (register.com, 18 марта 2011 г.)
• Банки начнут использовать двухфакторную аутентификацию к концу 2006 г. (slashdot.org, 20 октября 2005 г.)
• Microsoft откажется от паролей, Microsoft готовится отказаться от паролей в пользу двухфакторной аутентификации в будущих версиях Windows (vnunet.com, 14 марта 2005 г.)