Августовский релиз PCI Security Standards Council (версия 2.0 r1, август 2025) представляет собой полное обновление руководства по аутентификации. Документ не вводит новых обязательных требований, но фиксирует современные подходы, позволяющие соответствовать PCI DSS v4.0.1 и эффективно противодействовать актуальным угрозам.
1. Контекст и значение
Аутентификация — ключевой элемент концепции наименьших привилегий: доступ к системным ресурсам возможен только после достоверного подтверждения личности. Качество этого процесса напрямую определяет устойчивость любой системы к компрометации, включая среду обработки данных держателей платёжных карт (CDE).
2. Базовые категории факторов PCI SSC вновь подчёркивает классическую триаду:
Knowledge — «что знает пользователь»: пароль, фраза, PIN.
Possession — «что имеет»: смарт-карта, криптографический токен, устройство с привязанным ключом.
Inherence — «кем является»: биометрия (отпечаток, распознавание лица).
Критерий уникальности обязателен; традиционные «секретные вопросы» или имена питомцев исключаются как слабый фактор.
Knowledge — «что знает пользователь»: пароль, фраза, PIN.
Possession — «что имеет»: смарт-карта, криптографический токен, устройство с привязанным ключом.
Inherence — «кем является»: биометрия (отпечаток, распознавание лица).
Критерий уникальности обязателен; традиционные «секретные вопросы» или имена питомцев исключаются как слабый фактор.
3. Рекомендуемые меры (ключевые положения)
- Руководство выделяет шестнадцать практик, которые целесообразно внедрять вне зависимости от формальных требований:
- Обучение пользователей созданию устойчивых паролей.
- Защита от deepfake-атак при использовании биометрии.
- Строгие временные ограничения для одноразовых кодов (OTP).
- Хранение секретов в HSM/TPM с память-жёсткими функциями хэширования и уникальными «солями».
- Онлайн- и офлайн-защита от перебора.
- Контроль устройств доставки OTP (SIM-PIN, блокировка экрана, защита портирования).
- Минимизация применения SMS и e-mail как фактора.
- Учет всех мест хранения учётных данных в зоне контроля.
- Внедрение фишинг-устойчивой аутентификации (FIDO2, passkeys).
- Использование привязанных к устройству факторов для административного и высокоуровневого доступа.
- Ограничение делового использования синхронизируемых passkey.
- Повсеместное применение многофакторной аутентификации (MFA).
- Жёсткая защита процессов регистрации и восстановления учётных записей.
- Привязка сессионных токенов к конкретным устройствам или пользователям.
- Проверка всех факторов до подтверждения успеха/ошибки.
- Учёт крипто устойчивости и требований «crypto agility» в политике.
4. Современные методы: passkeys и «passwordless»
Passkeys (FIDO2) — криптографическая пара ключей, исключающая передачу секретов и устойчивая к фишингу.
Device-bound passkey — приватный ключ жёстко связан с устройством и хранится в защищённом модуле (TPM, Secure Enclave).
Synced passkey — синхронизируется между устройствами; удобен, но расширяет периметр контроля.
Passkeys (FIDO2) — криптографическая пара ключей, исключающая передачу секретов и устойчивая к фишингу.
Device-bound passkey — приватный ключ жёстко связан с устройством и хранится в защищённом модуле (TPM, Secure Enclave).
Synced passkey — синхронизируется между устройствами; удобен, но расширяет периметр контроля.
5. Угрозы и сценарии атак
PCI SSC анализирует replay- и relay-атаки (man-in-the-middle), фишинг, компрометацию аутентификаторов, перебор низкоэнтропийных секретов. Даже OTP не защищает от relay-атак без TLS или VPN и проверки сертификатов сервера.
PCI SSC анализирует replay- и relay-атаки (man-in-the-middle), фишинг, компрометацию аутентификаторов, перебор низкоэнтропийных секретов. Даже OTP не защищает от relay-атак без TLS или VPN и проверки сертификатов сервера.
6. Жизненный цикл аутентификации
Надёжность зависит не только от момента входа, но и от всего цикла:
Enrollment: выдача или сброс учётных данных должны включать проверку личности (вплоть до цифровых удостоверений).
Session management: ограничение времени сессий, защита каналов (TLS ≥ 1.2), внедрение моделей Zero Trust и привязка токенов к устройствам.
Надёжность зависит не только от момента входа, но и от всего цикла:
Enrollment: выдача или сброс учётных данных должны включать проверку личности (вплоть до цифровых удостоверений).
Session management: ограничение времени сессий, защита каналов (TLS ≥ 1.2), внедрение моделей Zero Trust и привязка токенов к устройствам.
7. Ключевые требования PCI DSS v4.0.1
8.4.1 — MFA для всех не-консольных административных доступов к CDE.
8.4.2 — MFA для всех пользователей CDE, за исключением случаев применения фишинг-устойчивой аутентификации.
8.4.3 — MFA для любого удалённого доступа через публичные или недоверенные сети.
8.5.1 — MFA-система должна исключать реплей-атаки, требовать успеха всех факторов и не допускать обхода.
8.4.1 — MFA для всех не-консольных административных доступов к CDE.
8.4.2 — MFA для всех пользователей CDE, за исключением случаев применения фишинг-устойчивой аутентификации.
8.4.3 — MFA для любого удалённого доступа через публичные или недоверенные сети.
8.5.1 — MFA-система должна исключать реплей-атаки, требовать успеха всех факторов и не допускать обхода.
Вывод
Совет PCI недвусмысленно сигнализирует: пароль как единственный фактор уходит в прошлое. Стратегия безопасности на 2025 год и далее — это криптографические ключи, привязка сессий к устройствам, строгий контроль жизненного цикла учётных данных и продуманная многофакторность. Для организаций это не просто вопрос соответствия PCI DSS, а базовый элемент цифровой устойчивости и корпоративного управления рисками.
Совет PCI недвусмысленно сигнализирует: пароль как единственный фактор уходит в прошлое. Стратегия безопасности на 2025 год и далее — это криптографические ключи, привязка сессий к устройствам, строгий контроль жизненного цикла учётных данных и продуманная многофакторность. Для организаций это не просто вопрос соответствия PCI DSS, а базовый элемент цифровой устойчивости и корпоративного управления рисками.
