Несмотря на то, что использование комбинации логина и пароля больше не внушает прежнего доверия, к сожалению, многие не узнают о рисках, связанных с этим типом аутентификации, пока не станут жертвами киберпреступности. Очевидно, утечка данных может иметь разрушительные последствия как для пользователя, так и для вебсайта. По этой причине все больше компаний используют двухфакторную аутентификацию (2FA) с целью исключить доступ посторонних лиц. Сооснователь Big Data платформы Caltat, Шариф Одинаев рассказал, как работает 2FA и оценил ее возможности защиты конфиденциальных данных от кражи хакеров.
Что такое двухфакторная аутентификация?
Двухфакторная аутентификация (2FA) — это мера безопасности, которая требует от потребителей два способа подтверждения своей цифровой личности. Это означает, что система не предоставляет доступ к аккаунту, если пользователь не может ввести правильные логин и пароль.
В дополнение к обоим этим требованиям процесс многофакторной аутентификации запрашивает дополнительную информацию, такую как Google Authenticator, Magic Link или OTP, для входа в учетную запись.
Примером подобной аутентификации является вход в систему с помощью Instagram (*Meta признана экстремистской организацией, запрещена на территории России). Первый этап включает в себя ввод личной информации, такой как пароль и имя пользователя. После этого запрашивается код безопасности, который отправляется человеку по электронной почте или SMS.
Некоторые вебсайты также используют приложения-аутентификаторы для создания уникальных кодов. Фактически, этот метод является одним из самых высоких уровней безопасности, которые можно получить.
Как работает 2FA?
Вот краткое изложение того, как выглядит добавление 2FA к учетной записи для описанных выше методов:
1. Текстовое сообщение
Текстовые сообщения для двухфакторной аутентификации отправляют код входа на номер мобильного устройства, на который вы регистрируете учетную запись. Это наиболее оптимизированная форма 2FA. Все, что вам нужно – это мобильный телефон и подключение к беспроводной сети.
Текстовые сообщения 2FA распространены для личных учетных записей, но не лишены риска. Существует вероятность того, что кто-то может выдать себя за вас в телефонной компании, украсть ваш телефон и получить несанкционированный доступ к вашим учетным записям.
Корпорации должны с осторожностью относиться к этому методу, если у сотрудников нет выделенных корпоративных телефонных линий. Маршрутизация доступа через личный номер сотрудника может привести к тому, что уволенный сотрудник нанесет серьезный ущерб.
2. Приложения для аутентификации
Приложение для аутентификации 2FA работает, используя мобильное приложение для генерации кода аутентификации. Затем вы должны ввести пришедший код, чтобы получить доступ к своей учетной записи.
В отличие от текстовых сообщений, приложениям не требуется, чтобы пользователь имел доступ к беспроводной сети. Для доступа к вашей учетной записи достаточно любого подключения к интернету.
Кроме того, приложения для аутентификации, такие как Google, предлагают список резервных кодов, которые можно использовать в случае проблем с подключением.
3. Биометрическая двухфакторная аутентификация
Биометрическая 2FA работает, запрашивая у вас уникальный физический код, чтобы получить доступ к вашей учетной записи.
Общие методы биометрической проверки включают сканирование сетчатки глаза камерой вашего компьютера или требование использовать отпечаток пальца на планшете.
Хотя эти методы становятся все более популярными, важно отметить, что для них существуют определенные ограничения. Наиболее распространенным является страх кражи биометрических данных. В отличие от сменного пароля, наличие в системе информации о вашей сетчатке глаза или отпечатке пальца обеспечит вашу безопасность и конфиденциальность на долгий срок.
Это значит, что мои пароли больше не эффективны?
Одиночные пароли, очевидно, уже не так безопасны, как раньше. Хакеры могут найти множество способов взломать их, используя такие тактики, как распыление паролей (использование общераспространенных паролей с целью получить доступ к нескольким учетным записям в одном домене), кейлоггинг и атаки грубой силы (взлом пароля путем перебора всех возможных вариантов ключа).
Если вы не хотите включать 2FA для каждой используемой вами учетной записи, вы можете использовать генератор случайных паролей, чтобы усложнить задачу хакерам. А хранение всех данных в одном из менеджеров паролей значительно упрощает их отслеживание.
Гарантирует ли двухфакторная аутентификация безопасность?
Хакеры всегда учатся, и, в конечном итоге, они могут взломать и 2FA. Приложения для зеркалирования сообщений, которые могут видеть ваши тексты, уже существуют. А теперь появились и голосовые боты, крадущие коды двухфакторной аутентификации. Однако, согласно недавней статистике Microsoft, 99,9% взломанных аккаунтов не использовали 2FA в качестве защитной меры. Более того, лишь 11% аккаунтов организаций задействовали ее в работе предприятия. Это говорит о том, что текущая целевая аудитория киберпреступников представляет собой “легких пользователей”, пользующихся классическими возможностями идентификации.
Безусловно, ни один метод входа в систему не является полностью надежным, но, на сегодняшний день, двухфакторная аутентификация, однозначно, является безопаснее альтернатив. Чтобы обойти 2FA, злоумышленнику придется прервать два цикла идентификации, а не один. Эта особенность поможет выиграть время и обнаружить взлом на раннем этапе.
Как защитить себя?
Так как же предотвратить взлом 2FA? Выполните следующие действия, чтобы обеспечить безопасность вашей личной информации:
- Обращайте внимание на электронные письма, в которых говорится, что учетная запись использовалась с нового или неизвестного устройства, и проверьте, действительно ли это были вы. Кроме того, не игнорируйте и другие очевидные красные флажки, такие как электронные письма, уведомляющие вас о неудачных попытках входа в систему или запросы на сброс пароля, которые исходили не от вас.
- Если у вас есть учетная запись Facebook (*Meta признана экстремистской организацией, запрещена на территории России), проверьте в разделе «Настройки»> «Приложения и вебсайты», все ли перечисленные попытки входа реализовывались вами. Имейте в виду, что «отключенная» учетная запись Facebook (*Meta признана экстремистской организацией, запрещена на территории России) может быть восстановлена, если вы где-то используете опцию «войти с помощью своей учетной записи Facebook (*Meta признана экстремистской организацией, запрещена на территории России)».
- Если у вас есть выбор в процедурах аутентификации, проведите небольшое исследование известных уязвимостей и примените полученные уроки. Например, алгоритмы слабых токенов могут использоваться злоумышленником для предсказания следующего токена, если он может видеть предыдущие. Или использование коротких токенов без ограниченного срока действия может сделать вас уязвимым для атак.
- Научите себя и свое окружение распознавать попытки фишинга.
И, конечно, не забывайте, что отрасль информационной безопасности прогрессирует каждый день. По мере того, как становятся доступными новые версии комплексной аутентификации, возникает надежда на скорое создание совершенной системы без уязвимостей.