Многофакторная аутентификация

Многофакторная аутентификация (MFA) – это строго определённая в информатике схема подтверждения подлинности субъекта доступа (пользователя, процесса, устройства) с использованием минимум двух независимых факторов из различных классов знаний/владения/характеристик. В отличие от однофакторной аутентификации (обычно пароля), MFA повышает криптографическую и организационную стойкость системы за счёт ортогональности каналов компрометации. Для ЕГЭ по информатике тема важна по трём причинам: (1) классификация факторов и корректная терминология, (2) моделирование логическими формулами условий доступа, (3) умение выполнять оценочные вычисления (объём данных, вероятность компрометации, временные окна одноразовых паролей).

Формальная модель MFA

1. Термины
   

   • Идентификация – объявление субъекта (логин, идентификатор).

   • Аутентификация – проверка факта владения фактором/секретом.

   • Авторизация – выдача прав после успешной аутентификации.

   • Фактор – независимый признак подлинности из разных классов:

   • Знание (K): пароль, PIN, ответ на секретный вопрос.

   • Владение (P): физический токен, смартфон с приложением-аутентификатором, смарт-карта, ключ FIDO2.

   • Характеристика (B): биометрия (отпечаток, лицо, голос).

   • Правило аутентификации – логическая формула над факторами (см. ниже).

2. Логика доступа
   

   Пусть K, P, B ∈ {0,1} – булевы индикаторы прохождения соответствующих проверок. Типовые политики:

   • Двухфакторная (2FA):

   ACCESS=K∧(P∨B). 

   • Трёхфакторная (3FA):

   ACCESS=K∧P∧B. 

   • Адаптивная/риск-ориентированная (step-up):

   ACCESS=K∧[(риск низкий)∨(P∨B)],  

   где «риск низкий» – результат оценки контекста (геолокация, устройство, поведение).

   Такая булева формализация прямо соотносится с задачами ЕГЭ на минимизацию логических выражений и построение таблиц истинности.
   

Классы факторов и алгоритмы проверки

 «Знание»: пароли и PIN

• Модель: сравнение вычисленной проверки (хэш/ключевой деривации) с эталоном.

• Правила: уникальность, минимальная энтропия, запрет повторов, хранение через KDF (например, с солью и параметрами усиления).

• Риск: фишинг, подбор, повторное использование.

 «Владение»: одноразовые коды и криптографические ключи

• HOTP/TOTP: одноразовые пароли на основе HMAC.

• ТОТР: 

• Аппаратные ключи FIDO2/WebAuthn (U2F): асимметричная криптография с привязкой к origin (домену). Сервер хранит публичный ключ, клиент подписывает вызов приватным ключом устройства.

• Push-уведомления/number matching: подтверждение в доверенном приложении; защита от «усталости MFA» – числовое согласование.

 «Характеристика»: биометрия

• Регистрируется шаблон, при проверке – сравнение по метрике схожести с порогом.

• Правила: хранение шаблонов в защищённом виде, антиспуфинг (liveness), локальная верификация на доверенном модуле (TPM/SE/TEE).

• Риск: подделка, утечка шаблона (неотзывность).

Правила корректного внедрения MFA (нормативные ориентиры)

1. Разделение факторов по классам. Нельзя считать две проверки из одного класса «многофакторными» (например, два пароля).

2. Принцип наименьшей боли при достаточной стойкости. Для массовых систем: K∧PK (пароль + TOTP/FIDO2). Для критичных – добавление BBB или привязки к устройству/месту.

3. Антифишинг. Предпочтительны FIDO2/WebAuthn (привязка к домену), «number matching» в push, ссылки на домен с HSTS. SMS-коды использовать только как «аварийный» канал.

4. Согласование времени для TOTP. Дрейф часов компенсируется окном ±w интервалов; при X=30 с, w=1 – принимаются коды для −30,0,+30 секунд от сервера.

5. Защита от «усталости MFA». Ограничение частоты запросов, подтверждение с привязкой к транзакции, number matching.

6. Регламент восстановления. Резервные коды (одноразовые, ограниченного срока), повторная верификация личности, отзыв украденных токенов.

7. Хранение секретов. TOTP/HOTP-секреты – в «секретном хранилище» (HSM/KMS/модуль шифрования БД). Публичные ключи FIDO2 – в БД; приватные – только на устройстве.

8. Разграничение понятий. «Двухэтапная» (два шага одного фактора) ≠ «двухфакторная». Для ЕГЭ это частая ловушка.

9. Учёт доступности. Оффлайн-режимы (HOTP), слепые зоны сети, пользователи без смартфона – требуется резервный маршрут с контролем риска.

Модель угроз и меры противодействия

Что требует ЕГЭ (прикладной чек-лист)

• Корректно классифицировать факторы и отличать 2FA от 2-step.

• Записывать логические формулы политики и при необходимости минимизировать их (см. булеву алгебру).

• Считать окно допустимых TOTP-кодов, оценивать риск при выборе длины кода.

• Выполнять оценки объёма хранения секретов и ключей.

• Объяснять плюсы/минусы SMS, TOTP, FIDO2 на уровне модели угроз.

Практикум (5 упражнений с подробными решениями)

Заключение

Многофакторная аутентификация – это не набор «галочек», а формальная логическая политика, в которой факторы из разных классов комбинируются для достижения требуемой стойкости при приемлемой юзабилити. Для ЕГЭ важно уметь:

• корректно классифицировать факторы и строить булевы формулы доступа;

• объяснять преимущества FIDO2/WebAuthn и ограничения SMS/TOTP;

• рассчитывать окна TOTP, вероятности и объёмы хранения;

• аргументированно выбирать схему MFA под конкретную модель угроз.

Разобрав изложенные правила и выполнив пять упражнений, вы закрепите как теоретическую базу (логика и модели), так и практические навыки (оценки и расчёты), необходимые и для экзамена, и для реальных систем информационной безопасности.