Многофакторната автентикация (MFA) изисква при вход в система освен парола и второ потвърждение — код от приложение на телефона, физически ключ или биометрия. Така открадната или изтекла парола сама по себе си не стига за достъп и по-голямата част от опитите за пробив спират още на вратата. За повечето бизнес системи включването отнема дни и не струва почти нищо — MFA обикновено е вградена и просто чака да бъде активирана.
Какво е многофакторна автентикация и как работи?
Сигурността на един вход се гради върху три вида фактори: нещо, което знаете (парола, ПИН), нещо, което притежавате (телефон, хардуерен ключ), и нещо, което сте (пръстов отпечатък, лице). Паролата покрива само първия. MFA комбинира поне два: въвеждате паролата, после потвърждавате с еднократен код или с едно докосване в приложение.
За служителя това са три секунди в повече при вход. За нападателя това е стена: дори да е откраднал паролата чрез фишинг или изтекла база данни, той няма телефона на служителя. Атаката, която иначе би минала незабелязано, просто не се случва.
Защо MFA спира повечето пробиви?
Огромната част от пробивите в малки и средни фирми не са дело на гениални хакери — те започват с компрометирана парола. Служител използва една и съща парола на десет места и едно от тях изтича; друг я въвежда в убедителна фалшива страница. Как се разпознават такива писма, разглеждаме в статията „Фишинг: как да обучите екипа си да го разпознава“ — но обучението никога не хваща всичко. MFA е предпазната мрежа за случаите, в които човекът сгреши.
Има и регулаторен аргумент: ако през пробит имейл изтекат лични данни на клиенти или служители, отговорността е на фирмата. Какво изисква регламентът на практика, сме описали в „GDPR и защита на данните за МСП — практично, без юридически жаргон“. MFA е една от най-евидентните „подходящи технически мерки“, които един проверяващ би очаквал да види.
MFA не замества добрите пароли — допълва ги. Слаба парола плюс MFA е по-добре от слаба парола без MFA, но правилната комбинация е мениджър на пароли плюс MFA навсякъде, където има бизнес данни.
Как да въведете MFA за дни — практичен план
1. Опишете системите. Имейл, счетоводен софтуер, CRM, облачни хранилища, онлайн банкиране, отдалечен достъп. 2. Подредете по риск. Първо имейлът — през него се възстановяват паролите на всичко останало — после администраторските акаунти и финансовите системи. 3. Изберете метод. Приложение за еднократни кодове или push потвърждение; SMS е по-добре от нищо, но е най-слабият вариант. 4. Пилот с малка група. Изчистете въпросите, напишете кратка инструкция от една страница. 5. Включете за всички и раздайте резервни кодове. 6. Опишете процедурата при загубен телефон — кой възстановява достъпа и как проверява, че искането е истинско.
Стъпка 3 върви ръка за ръка с реда в паролите — ако още няма такъв, започнете от статията „Пароли и мениджъри на пароли за фирми“: двете мерки се внедряват отлично заедно.
Къде фирмите грешат при въвеждането?
Три грешки се повтарят постоянно. Първата — изключения „за удобство“: собственикът и счетоводителят остават без MFA, а точно техните акаунти са най-ценната мишена. Втората — MFA само на имейла, докато CRM със всички клиентски данни стои само с парола. Третата — никой не е помислил за резервен достъп и първият загубен телефон блокира работата за половин ден. И трите се избягват с половин час планиране предварително.
Ако предпочитате някой да мине през целия процес с вас — от инвентаризацията до политиката за възстановяване — това е част от услугата Киберсигурност, с която покриваме и останалите базови защити на фирмата.
Често задавани въпроси
Каква е разликата между двуфакторна (2FA) и многофакторна (MFA) автентикация?
Двуфакторната автентикация е частен случай на многофакторната — точно два фактора, например парола и код от приложение. На практика термините се използват взаимозаменяемо; важното е достъпът да не зависи само от парола.
Кои акаунти във фирмата трябва да се защитят с MFA първи?
Започнете с фирмения имейл, администраторските акаунти и системите с чувствителни данни — счетоводство, CRM, онлайн банкиране. Те са най-честата входна точка при пробив и възстановяването им е най-скъпо.