Push-аутентификация
Что такое Push-аутентификация?
Push-аутентификацияМетод MFA, при котором поставщик удостоверений отправляет запрос на вход в доверенное мобильное приложение, а пользователь подтверждает или отклоняет его одним касанием.
Push-аутентификация заменяет вводимые одноразовые коды внеполосным запросом подтверждения через приложение поставщика — Microsoft Authenticator, Duo, Okta Verify и т. п. После ввода пароля IdP отправляет push-уведомление с описанием попытки входа; при нажатии «Подтвердить» приложение подписывает ответ асимметричным ключом, привязанным к устройству. Это удобнее TOTP, но уязвимо к атакам MFA-усталости, когда злоумышленник заваливает пользователя запросами, надеясь на ошибочное согласие. В современных реализациях добавляют сопоставление чисел, геоконтекст и сигналы риска, а для устойчивости к фишингу всё чаще используются FIDO2/passkey.
● Примеры
- 01
Подтверждение push-уведомления Okta Verify при входе в корпоративный SaaS.
- 02
Ввод в Microsoft Authenticator двузначного числа с экрана (number matching) для подтверждения входа.
● Частые вопросы
Что такое Push-аутентификация?
Метод MFA, при котором поставщик удостоверений отправляет запрос на вход в доверенное мобильное приложение, а пользователь подтверждает или отклоняет его одним касанием. Относится к категории Идентификация и доступ в кибербезопасности.
Что означает Push-аутентификация?
Метод MFA, при котором поставщик удостоверений отправляет запрос на вход в доверенное мобильное приложение, а пользователь подтверждает или отклоняет его одним касанием.
Как защититься от Push-аутентификация?
Защита от Push-аутентификация обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Push-аутентификация?
Распространённые альтернативные названия: Push-MFA, Аутентификация по уведомлению.