Несмотря на то, что использование комбинации логина и пароля больше не внушает прежнего доверия, к сожалению, многие не узнают о рисках, связанных с этим типом аутентификации, пока не станут жертвами киберпреступности. Очевидно, утечка данных может иметь разрушительные последствия как для пользователя, так и для вебсайта. По этой причине все больше компаний используют двухфакторную аутентификацию (2FA) с целью исключить доступ посторонних лиц. Сооснователь Big Data платформы Caltat, Шариф Одинаев рассказал, как работает 2FA и оценил ее возможности защиты конфиденциальных данных от кражи хакеров.
Что такое двухфакторная аутентификация?
Двухфакторная аутентификация (2FA) — это мера безопасности, которая требует от потребителей два способа подтверждения своей цифровой личности. Это означает, что система не предоставляет доступ к аккаунту, если пользователь не может ввести правильные логин и пароль.
В дополнение к обоим этим требованиям процесс многофакторной аутентификации запрашивает дополнительную информацию, такую как Google Authenticator, Magic Link или OTP, для входа в учетную запись.
Примером подобной аутентификации является вход в систему с помощью Instagram (*Meta признана экстремистской организацией, запрещена на территории России). Первый этап включает в себя ввод личной информации, такой как пароль и имя пользователя. После этого запрашивается код безопасности, который отправляется человеку по электронной почте или SMS.
Некоторые вебсайты также используют приложения-аутентификаторы для создания уникальных кодов. Фактически, этот метод является одним из самых высоких уровней безопасности, которые можно получить.
Как работает 2FA?
Есть три основных фактора, которые объясняют, как работает двухфакторная аутентификация.
- Фактор знаний. Это то, что вы знаете. Его нельзя физически потерять или найти, но его можно скопировать — например, пароль или PIN-код.
- Фактор владения. Это то, чем вы владеете физически. То, что невозможно легко скопировать, но можно украсть — например, банковскую карту или физический ключ.
- Фактор биометрии. Это часть вашей личности — например, отпечаток пальца или идентификация лица.
Чтобы квалифицироваться как двухфакторная проверка подлинности, два используемых метода доступа должны относиться к двум различным типам факторов. Так использование имени пользователя и пароля не подходит 2FA, потому что оба фактора являются факторами знаний. Даже дополнительный контрольный вопрос не считается двухфакторной аутентификацией, потому что также относится к фактору знаний.
Вот несколько распространенных примеров 2FA:
Снятие денег в банкомате:
- вы знаете свой PIN-код;
- у вас есть банковская карта.
Доступ к онлайн-аккаунтам с помощью одноразовых SMS-кодов подтверждения (OTP):
- вы знаете свой логин и пароль;
- у тебя есть телефон.
Путешествие за границу:
- у вас есть паспорт;
- ваша личность подтверждена распознаванием лица, отпечатками пальцев или сканированием сетчатки глаза.
Эти примеры доказывают, почему использование двухфакторной аутентификации необходимо для повышения вашей личной безопасности. С 2FA хакер может настроить кейлоггер (программное обеспечение или аппаратное устройство, регистрирующее различные действия пользователя — нажатия клавиш на клавиатуре компьютера, движения и нажатия клавиш мыши и т. д.) для копирования вашего пароля, но он не сможет взломать вас без вашего телефона, на который отправляется одноразовый код подтверждения.
Требования двухфакторной аутентификации одинаковы независимо от контекста, что делает их настолько эффективными. Основные факторы 2FA — to know (знать), to have (иметь) и to be (быть) — не меняются, а заполучить доступ к трем из них сразу крайне маловероятно.
Это значит, что мои пароли больше не эффективны?
Одиночные пароли, очевидно, уже не так безопасны, как раньше. Хакеры могут найти множество способов взломать их, используя такие тактики, как распыление паролей (использование общераспространенных паролей с целью получить доступ к нескольким учетным записям в одном домене), кейлоггинг и атаки грубой силы (взлом пароля путем перебора всех возможных вариантов ключа).
Если вы не хотите включать 2FA для каждой используемой вами учетной записи, вы можете использовать генератор случайных паролей, чтобы усложнить задачу хакерам. А хранение всех данных в одном из менеджеров паролей значительно упрощает их отслеживание.
Гарантирует ли двухфакторная аутентификация безопасность?
Хакеры всегда учатся, и, в конечном итоге, они могут взломать и 2FA. Приложения для зеркалирования сообщений, которые могут видеть ваши тексты, уже существуют. А теперь появились и голосовые боты, крадущие коды двухфакторной аутентификации. Однако, согласно недавней статистике Microsoft, 99,9% взломанных аккаунтов не использовали 2FA в качестве защитной меры. Более того, лишь 11% аккаунтов организаций задействовали ее в работе предприятия. Это говорит о том, что текущая целевая аудитория киберпреступников представляет собой “легких пользователей”, пользующихся классическими возможностями идентификации.
Безусловно, ни один метод входа в систему не является полностью надежным, но, на сегодняшний день, двухфакторная аутентификация, однозначно, является безопаснее альтернатив. Чтобы обойти 2FA, злоумышленнику придется прервать два цикла идентификации, а не один. Эта особенность поможет выиграть время и обнаружить взлом на раннем этапе.
Как защитить себя?
Так как же предотвратить взлом 2FA? Выполните следующие действия, чтобы обеспечить безопасность вашей личной информации:
- Обращайте внимание на электронные письма, в которых говорится, что учетная запись использовалась с нового или неизвестного устройства, и проверьте, действительно ли это были вы. Кроме того, не игнорируйте и другие очевидные красные флажки, такие как электронные письма, уведомляющие вас о неудачных попытках входа в систему или запросы на сброс пароля, которые исходили не от вас.
- Если у вас есть учетная запись ВКонтакте, проверьте в разделе «Настройки» -> «Безопасность» -> «Показать историю активности», все ли перечисленные попытки входа реализовывались вами. Имейте в виду, что «отключенная» учетная запись может быть восстановлена, если вы где-то используете опцию «войти с помощью своей учетной записи».
- Если у вас есть выбор в процедурах аутентификации, проведите небольшое исследование известных уязвимостей и примените полученные уроки. Например, алгоритмы слабых токенов могут использоваться злоумышленником для предсказания следующего токена, если он может видеть предыдущие. Или использование коротких токенов без ограниченного срока действия может сделать вас уязвимым для атак.
- Научите себя и свое окружение распознавать попытки фишинга.
И, конечно, не забывайте, что отрасль информационной безопасности прогрессирует каждый день. По мере того как становятся доступными новые версии комплексной аутентификации, возникает надежда на скорое создание совершенной системы без уязвимостей.