Согласно прогнозам аналитической фирмы ABI Research, мировой рынок средств многофакторной аутентификации для мобильной связи (включая ПО и сервисы) к концу 2015 г. может достичь 1,6 млрд долл., а сегмент средств на базе PKI (Public Key Infrastructure—инфраструктура открытых ключей) — вырасти до 74 млн долл.
Хотя традиционно для аутентификации применяется пара «имя пользователя-пароль», гарантии доступа при этом явно недостаточны. Атаки с использованием паролей продолжаются, и большинство брешей в защите вызвано слабой или вообще отсутствующей системой аутентификации. Рынку мобильной связи требуются новые технологии и дополнительные средства, способные усилить защищенность доступа пользователя.
В качестве таких средств для первичной аутентификации можно использовать одноразовые пароли и токены*, дающие большие гарантии безопасного доступа, чем обычно, так как в этих случаях генерируется единственный допустимый пароль на транзакцию (или сессию). Другой эффективный механизм — цифровые сертификаты, базирующиеся на криптографии открытых/ секретных ключей. Технология открытых ключей применяется во многих областях, включая защиту сетей и ОС, обеспечение безопасности приложений и в технических средствах защиты авторских прав (DRM — Digital rights management).
По данным аналитиков ABI Research, многие компании (например, Google, Facebook, Microsoft, Twitter и Apple) используют для защиты доступа так называемую двухфакторную аутентификацию (two-factor authentication, 2FA). Один из типов 2FA основан на применении аппаратных токенов. ABI отмечает, что за последний год большинство компаний перешло от программных токенов (которые встраивались в смартфоны и телефоны) на аппаратные. Существуют и другие типы 2FA: базирующиеся на смарт-картах, использующие защищенные сертификаты, одноразовые пароли и биометрическое сканирование.
Стоит отметить, что российские компании Mail.ru и Yandex на днях также объявили о переходе на двухфакторную аутентификацию. Так, у Mail.Ru первым фактором является пароль, а вторым выступает код, который пользователь получает по SMS на номер телефона, подключенный к аккаунту. По мнению разработчиков решения, это наиболее доступный способ, охватывающий в том числе аудиторию, которая не пользуется смартфонами на популярных операционных системах. В качестве альтернативного решения Mail.Ru также планирует поддержать приложения для смартфонов, основанные на публичном стандарте, например, Google Authenticator и другие.
* Токен (также аппаратный токен, программный токен, USB-ключ, криптографический токен)— компактное устройство или встроенное ПО, предназначенное для обеспечения информационной безопасности пользователя, применяемое для идентификации его владельца, безопасного удаленного доступа к информационным ресурсам и т. п.