Какво те прави ти? Физическата ти форма, спомените, изборите, отношенията? В реалния свят идентичността е дълбока и многослойна. Но онлайн всичко това се съблича. За компютъра ти не си историята си. Ти си логин. Ти си парола, бисквитка или сесия. Ти си код, изпратен на телефона ти. Това е цялото доказателство за съществуването ти в дигиталния свят. Което означава, че ако някой друг държи същите фрагменти, системата ще го третира като теб. Онлайн идентичността не е кой си; тя е това, което системата приема като доказателство за теб, и точно тази празнина е мястото, където нападателите се промъкват.
След като могат да се преструват на теб, те получават опора, която им позволява движение в защитени дигитални пространства и в крайна сметка достъп до данни, които монетизират, за да изградят цяла икономика около организираната престъпност.
Повечето хора мислят за идентичността само като потребителско име и парола. Това е като да заключваш входната врата с просто резе. Може да спре вятъра, но няма да спре крадец. Тук идва многофакторната автентикация (MFA). Като те принуждава да докажеш кой си по повече от един начин, MFA прави много по-трудно за нападателя да влезе.
Основите: Какви са факторите
Може да изглежда очевидно, когато споменаваме многофакторна автентикация, но факторите често се разбират погрешно. Хората мислят, че добавят допълнителна сигурност към логването си, но може да не е така. Представете си отключване на телефона. Въвеждате PIN – нещо, което знаеш. Сканирате пръстов отпечатък – нещо, което си. Понякога одобрявате push нотификация на телефона – нещо, което имаш. Това са фактори на автентикация.
Всеки фактор има най-добра и най-лоша версия. Силен PIN, който се променя редовно, е по-добър от повторното използване на същите четири цифри, които ползваш за куфара. Сканиране на пръстов отпечатък, подкрепено от сигурния хардуер на съвременните iPhone-и, е по-добро от стария модел на плъзгане на Android, който всеки може да проследи по мазнините. FIDO хардуерен ключ е по-силен от SMS код, който може да се открадне, ако номерът ти бъде отвлечен.
Къде MFA работи и къде не
На мобилни устройства си ограничен до основите: PIN, код или биометрия. Apple и Google не позволяват да натрупваш допълнителни MFA предизвикателства преди отключване на телефона. Най-доброто, което можеш да направиш, е да наложиш силни кодове и биометричен хардуер. Най-лошият случай е да разчиташ на четирицифрен PIN, който всеки може да познае. Ако устройството е откраднато, единствената реална защита е възможността да го заключиш или изтриеш отдалечено.
На компютри започваш с това, което предлага операционната система – Windows Hello, Touch ID или пароли. Оттам можеш да добавиш втори фактор – push нотификация или хардуерен ключ. Най-добрият сценарий е парола плюс хардуерен ключ или приложение за автентикация. Най-лошият е само слаба парола без втора проверка. Нулирането на пароли е лесно, но за хардуерни токени е сложно – трябва да се оттеглят и преиздадат внимателно.
На Wi-Fi и офис мрежи автентикацията често е сертификатна или паролна. Сертификатите са по-силни, защото свързват достъпа с конкретно устройство, но са по-трудни за нулиране. Паролите са по-лесни за смяна, но и по-лесни за фишинг. Най-добрият случай е сертификат плюс потребителско име и парола. Най-лошият е споделена Wi-Fi парола, написана на лепяща бележка.
На VPN-и компаниите имат най-голяма гъвкавост. VPN клиентът може да наложи множество проверки – парола, push на телефона и състояние на устройството. Най-доброто е комбинация от проверка на идентичност и здраве на устройството. Най-лошото е VPN, който приема само парола, която нападателят може лесно да познае или открадне.
На SaaS приложения има най-голяма възможност за гъвкавост. С доставчик на идентичност като AuthPoint или Okta можеш да натрупаш няколко фактора – парола, push нотификация, FIDO ключ. Най-добрият пример е облачно приложение, което изисква силни пароли, MFA на приложение и проверка на съответствието на устройството. Най-лошият е SaaS без MFA, оставяйки вратата широко отворена за credential stuffing или фишинг.
Защо MFA навсякъде е по-трудно, отколкото звучи
Изкушаващо е да мислим, че MFA е просто функция, която включваш. Но всяка платформа има ограничения. Телефоните позволяват само един фактор на заключения екран. Компютрите позволяват повече, но само след използване на вградените избори. Сертификатите са мощни, но трудни за оттегляне. SaaS приложенията предлагат гъвкавост, но само ако ползваш правилния доставчик на идентичност.
Това означава, че IT трябва да мисли внимателно за всеки контекст на логване, какви фактори са налични и как да ги нулира или оттегли при компрометиране.
Таблица 1: Поддръжка на основни фактори
| Контекст | Знаеш (Know) | Имаш (Have) |
|---|---|---|
| Мобилен заключен екран (iOS/Android) | PIN / Код ✅ | ❌ |
| Локално / RDP логване (Win/Mac/Linux) | Парола в директория ✅ | HW/SW токен ✅ |
| Wi-Fi / Мрежа (802.1X) | PSK / Парола в директория ⚠️ | Сертификат (EAP-TTLS) ✅ |
| SSL VPN (RADIUS) | Парола в директория ✅ | HW/SW токен ✅ |
| SaaS приложения (SAML, OATH, WebAuthn) | Парола / PIN ✅ | HW/SW токен ✅ |
Дори основите не са лесни за имплементация във всички стандартни начини за логване.
Таблица 2: Поддръжка на по-напреднали фактори
| Контекст | Си (Are) | Къде (Where) | Правиш (Do) |
|---|---|---|---|
| Мобилен заключен екран (iOS/Android) | Пръстов отпечатък / Лице ⚠️ | ❌ | Таймаут при бездействие ⚠️ |
| Локално / RDP логване (Win/Mac/Linux) | Пръстов отпечатък / Лице ⚠️ | GeoIP ⚠️ | Модели на писане / Използване ⚠️ |
| Wi-Fi / Мрежа (802.1X) | ❌ | IP на мрежата ⚠️ | Модели на трафик ⚠️ |
| SSL VPN (RADIUS) | ❌ | IP на мрежата ⚠️ | Модели на трафик ⚠️ |
| SaaS приложения (SAML, OATH, WebAuthn) | ❌ | IP на мрежата ⚠️ | Модели на писане / Използване ⚠️ |
Тук има по-голямо отпадане в поддръжката на мрежово ниво, а неща като къде сме не винаги имат поддръжка от източника на идентичност.
Таблица 3: Софтуер, необходим за проверка на устройства преди достъп до мрежи
| Контекст | Проверка на устройство / Политика |
|---|---|
| Мобилен заключен екран (iOS/Android) | MDM: сложност, изтичане, актуализации на ОС/приложения. Заключване или изтриване при загуба. ✅ |
| Локално / RDP логване (Win/Mac/Linux) | Присъединяване към домейн, RMM, актуализации на ОС/приложения, политики за приложения. Изолиране на устройство при нужда. ✅ |
| Wi-Fi / Мрежа (802.1X) | NAC профили на трафика, AAA параметри ⚠️ |
| SSL VPN (RADIUS) | Проверки на профил на устройство/браузър. Коригиране или деактивиране на достъп. ✅ |
| SaaS приложения (SAML, OATH, WebAuthn) | Проверки на профил на устройство/браузър. Деактивиране или прекъсване на сесии. ✅ |
Заключителни мисли
Нападателите винаги търсят най-слабото звено. Ако MFA е нередовна, те ще намерят пропуска – може би чрез кражба на бисквитка, за да заобиколят MFA в облака, или чрез отвличане на телефонен номер за прехващане на SMS кодове.
Целта не е съвършенство. Целта е покритие. Всяко логване – на телефон, лаптоп, Wi-Fi, VPN или SaaS – трябва да има поне две силни проверки. И IT трябва да е готов бързо да оттегли и нулира тези проверки при нужда.
С платформи като WatchGuard AuthPoint екипите могат да обединят това през устройства и приложения, вместо да управляват всяка система отделно.
Крайният резултат: MFA навсякъде означава разбиране на най-добрите и най-лошите версии на всеки фактор, прилагане на най-силната комбинация във всеки контекст и затваряне на лесните пътища, които нападателите чакат да експлоатират.
