Суть МА сводится к простому постулату: особо важные данные следует защищать не одним, не двумя, а минимум тремя «замками», причём замки эти должны быть различного вида. Это принципиальный момент, который и определяет на порядки более высокую (по сравнению, скажем, с «однофакторным» паролем) надёжность всей защитной схемы: злоумышленник может украсть или подделать ключ (фактор) от одного замка, но ему придётся затратить несравненно больше усилий, чтобы выкрасть все три ключа.
Минимально достаточный случай МА — трёхфакторный. Здесь в качестве одного «замка» выступает тайное знание — то есть нечто такое, что должен чем-точем-тознать только сам пользователь и больше никто (сгодится обычный пароль). Фактор номер два представляется , чем обладает пользователь и никто больше: скажем, пластиковая карта (с чипом или магнитной полосой — не важно, главное, что такого больше нет ни у кого). Наконец, фактор номер три в идеале должен быть таким, что присуще пользователю, и только ему, от природы. Здесь сам бог велел использовать биометрию: в качестве третьего фактора может послужить отпечаток пальца, рисунок радужки и т. п.
Наверное, можно придумать и более многофакторную схему, важно только помнить, что «замки» должны быть разных категорий, чтобы их невозможно было скомпрометировать одним приёмом (любопытно, кстати, что вышеупомянутая защита Windows Azure этому требованию не удовлетворяет). В общем и целом трёхфакторная МА считается достаточно надёжной для любых применений на массовом рынке.
>Забегая вперёд: есть уже и утёкшие снимки iPad Mini 2 — в золоте и с сенсором Touch ID.
Двухфакторная авторизация уже широко применяется: мы пользуемся ею, например, расплачиваясь «пластиком» (карта — раз, пин-код — два). Однако и скомпрометировать такую систему относительно просто. Вспомните скиммеров, крадущих информацию с магнитного стрипа и подсматривающих «пин» (см. «какую-тоКак 3D-печать помогла скиммерам») чуть ли не с помощью одного устройства. С трёхфакторной МА этот фокус не пройдёт. Вот почему такие надежды возлагались на поставленный компанией Apple последний эксперимент с поп-биометрией. Apple можно ругать или хвалить, но нельзя отрицать: когда она реализует функцию в своих продуктах, это означает готовность данной функции к массовому «употреблению». Интегрированный в iPhone 5s сенсор для снятия отпечатков пальцев Touch ID как раз стал таким аттестатом зрелости для технологии определения личности по папиллярному узору. Увы, Touch ID не только не помог, но и навредил имиджу мультифакторной аутентификации — из-за событий прошлой недели, когда Touch ID удалось взломать.