Добавить в корзинуПозвонить
Найти в Дзене
IT Legend

Почему двух факторная аунтификация не спасает от взлома?

1
2 мин
2FA (двухфакторная аутентификация) давно продаётся как «панацея»: Включил 2FA — и ты в безопасности. Некоторые сервисы такие как госуслуги например требуют 2FA обязательно. В реальности это опасное заблуждение. Да, 2FA повышает защиту, но от самых распространённых атак — не спасает. Фишинг: ты сам отдаёшь доступ
Самый популярный сценарий: - Ты заходишь на фейковый сайт
- Вводишь логин и пароль
- Вводишь код из 2FA
- Злоумышленник в этот момент логинится под тобой
Никакого «взлома» не происходит. Происходит это автоматизированное, поэтому 2FA стали просто вторым паролем вне времени обновления ключа, которое должно быть гарантом безопасности. MITM-атаки: ты даже не поймёшь
Есть более продвинутый вариант — атака “человек посередине”. - Ты открываешь сайт
- Он выглядит как настоящий
- Всё работает
- Но между тобой и сайтом сидит прокси
В итоге у злоумышленника оказывается твоя сессия и повторно вводить 2FA уже не нужно. Если устройство заражено — всё бессмысленно
Самый недооценённый риск,

2FA (двухфакторная аутентификация) давно продаётся как «панацея»:

Включил 2FA — и ты в безопасности. Некоторые сервисы такие как госуслуги например требуют 2FA обязательно.

В реальности это опасное заблуждение. Да, 2FA повышает защиту, но от самых распространённых атак — не спасает.

Фишинг: ты сам отдаёшь доступ
Самый популярный сценарий:

- Ты заходишь на фейковый сайт
- Вводишь логин и пароль
- Вводишь код из 2FA
- Злоумышленник в этот момент логинится под тобой
Никакого «взлома» не происходит. Происходит это автоматизированное, поэтому 2FA стали просто вторым паролем вне времени обновления ключа, которое должно быть гарантом безопасности.

MITM-атаки: ты даже не поймёшь
Есть более продвинутый вариант — атака “человек посередине”.

- Ты открываешь сайт
- Он выглядит как настоящий
- Всё работает
- Но между тобой и сайтом сидит прокси

В итоге у злоумышленника оказывается твоя сессия и повторно вводить 2FA уже не нужно.

Если устройство заражено — всё бессмысленно
Самый недооценённый риск, если у тебя вирус, вредоносное расширение, перехват буфера обмена, то
- коды 2FA читаются
- токены ворутся
- сессии копируются

От чего защищает 2FA ?

✔ утечек баз данных ✔ подбора паролей ✔ простых атак

Но НЕ защищает от:

✖ фишинга✖ MITM✖ заражённого устройства

Проблема не в том, что 2FA плохой. Проблема в том, что безопасность строят так: “добавим ещё один шаг”, потому что нельзя убрать "человеческий фактор"

Где тут может помочь Lockly - современное решение для хранения паролей и 2FA

Если смотреть глубже, уязвимость — не в отсутствии 2FA, а в том, как ты работаешь с данными.

В Lockly это решается на другом уровне:

автозаполнение только на правильных доменах → защита от фишинга
уникальные пароли → нет эффекта домино
хранение 2FA рядом с доступами
минимум ручного ввода

Одно предложение это удобно, например нужно зайти в vk с чужого устройства, а пароля нет под рукой, да еще и 2FA вообще в телефоне, который разрядился. Звучит как проблема, которую легко решает менеджер паролей Lockly.

Причем решение, удивительно, элегантное: заходим через режим инкогнито, без установки приложения, на том же устройстве где необходимо авторизоваться.. и все.. через 30 секунд вы авторизованы, а инкогнито сессия закрыта и ваши данные растворились в пространстве без следа.

Единственное правило так же как у пин-кода банковской карты - никому не сообщать секретное слово.

Вывод

2FA — это полезный слой защиты, но не тот, на который стоит полагаться. Безопасность ломается не в алгоритмах, а в поведении пользователя. И пока это не учитывать — никакие «вторые факторы» не спасут.

Используйте Lockly или другие средства защиты персональных данных.