В Microsoft еще в 2019 году провели исследование, которое показало, что использование многофакторной аутентификации (в частности 2FA) помогает в блокировке 99.9% взломов. По состоянию на 2022 год злоумышленники научились обходить даже некоторые схемы 2FA. Например, группировка хакеров APT20 отметилась тем, что научилась красть из взломанных систем программный токен RSA SecureID и модифицировать его таким образом, чтобы обходить многофакторную аутентификацию.
Дальше — больше. В декабре 2021 года появилась информация, что злоумышленники научились обходить 2FA, в которой используется код из SMS-сообщения. А ведь этот вариант довольно распространен среди владельцев сайтов и разработчиков различного рода приложений. Что делать? Заменить скомпрометированную технологию (или наладить многофакторную аутентификацию с нуля) поможет доставка кода в голосе.
Как подключить 2FA-аутентификацию по коду в голосе для сайта или приложения
Создавать такую функцию с нуля не придется. Функционал доставки кода в голосе предоставляет ряд компаний (пока на рынке РФ их не очень-то и много). Пример — Ucaller.
Для организации 2FA-аутентификации по коду в голосе нужно:
• Подключиться к сервису, предоставляющему услуги по доставке кода с помощью голоса.
• Подготовить сайт (приложение) к реализации первого фактора двухфакторной аутентификации. Как правило, этот фактор — логин и пароль.
• Реализовать второй фактор 2FA (это и есть доставка кода в голосе). Взаимодействие с сервисом осуществляется, как правило, через API. Например, сервис Ucaller, указанный выше, использует API, основанный на REST-принципах. Благодаря этому «прикрутить»двухфакторную аутентификацию можно практически к любому сайту или приложению, независимо от того, какие технологии использованы для его создания (это одна из «прелестей» REST).
В общем, мошенники не сидят на месте, и постоянно совершенствуются. Но и технологии защиты тоже развиваются активно. Подключив к сайту или приложению 2FA на основе технологии доставки кода в голосе, можно быть уверенным в том, что вы обеспечите ему защиту, которая будет на шаг впереди злоумышленников. Обходить ее они не научились. И есть все предпосылки полагать, что произойдет это еще очень и очень нескоро. Так что, можно не сомневаться в надежности защиты сайта или приложения с помощью доставки кода в голосе.
