Опция двухфакторной авторизации: Достоинства и недостатки

Опция двухфакторной авторизации: Достоинства и недостатки

Опция двухфакторной авторизации встречается на многих серьёзных онлайн-сервисах, включая системы интернет-банкинга, социальные сети и почтовые аккаунты.

Содержание:

Верификация пользователя через логин и пароль, а также последующее получение смс с кодом проверки на его номер телефона, без сомнения, очень полезна в плане безопасности.

Но у этого метода есть как достоинства, так и недостатки.

Достоинства

Впрочем, достоинство здесь только одно – обеспечение безопасности аккаунта, то есть необходимо принять смс на тот номер телефона, который был указан пользователем при регистрации.

Это делает невозможным, а точнее, бесполезным взлом аккаунта путём подбора логина и пароля, поскольку доступа к СМС у злоумышленника всё равно не будет.

Соответственно, авторизоваться не получится.

Как правило, опцию двухфакторной авторизации активно используют клиенты платёжных сервисов, а, например, в почтовых аккаунтах, пользователи ею пренебрегают.

К сожалению, это может привести к банальному взлому почтового ящика и получения доступа к привязанным аккаунтам (социальным сетям и т. д.).

Недостатки

Недостатков этого метода гораздо больше, чем достоинств, но связанны они не с алгоритмом верификации, а с номером телефона.

Утерянный смартфон вполне может стать причиной взлома системы интернет-банк или почтового ящика – ведь злоумышленник имеет все инструменты для этого.

К тому же получив контроль над номером, можно даже не подбирать пароль, а просто воспользоваться функцией его восстановления через СМС.

Серьёзные злоумышленники могут даже «клонировать» номер, причём честный пользователь не будет даже подозревать об этом. Последствия этого очевидны.

Ещё одно неудобство – при регистрации через номер телефона, есть вероятность, что он попадёт в спам-базы, после чего пользователя будет донимать навязчивые рекламные звонки или сообщения.

Что есть в качестве альтернативы

В качестве альтернативы можно воспользоваться специальными сервисами, такими как https://sms-reg.com/.

Сервис представляет собой систему по приёму СМС на виртуальный номер, который предоставляется самой службой.

Это позволяет не только «разгрузить» собственный телефон и избавить его от ненужного спама, а и обезопасить себя от мошенников.

Можно спокойно вводить виртуальный номер даже на подозрительных сайтах, а для регистраций в социальных сетях сервис подходит лучше всего.

Номер можно арендовать на необходимое время либо просто заказать одноразовое получение СМС.

Для разработчиков существует удобная функция автоматизации, а у обычных пользователей есть возможность заказать регистрацию аккаунтов на любых сайтах в неограниченном количестве.

Имеет смысл оставить свой реальный номер телефона только для работы с платёжными системами, а для других онлайн-ресурсов использовать возможности виртуальных номеров. Это обеспечит безопасность и удобство в работе.

Для примера ознакомьтесь с обучающим видео, как пользоваться двухфакторной аутентификацией на примере Яндекс.

Ярослав Драгун

Ярослав. Люблю технологии и все, что с ними связано. А также рок-н-ролл)Мой телеграмм: Ярослав Драгун

Опция двухфакторной авторизации: Достоинства и недостатки

Опция двухфакторной авторизации встречается на многих серьёзных онлайн-сервисах, включая системы интернет-банкинга, социальные сети и почтовые аккаунты.

Верификация пользователя через логин и пароль, а также последующее получение смс с кодом проверки на его номер телефона, без сомнения, очень полезна в плане безопасности.

Но у этого метода есть как достоинства, так и недостатки.

Достоинства

Впрочем, достоинство здесь только одно – обеспечение безопасности аккаунта, то есть необходимо принять смс на тот номер телефона, который был указан пользователем при регистрации.

Это делает невозможным, а точнее, бесполезным взлом аккаунта путём подбора логина и пароля, поскольку доступа к СМС у злоумышленника всё равно не будет.

Соответственно, авторизоваться не получится.

Как правило, опцию двухфакторной авторизации активно используют клиенты платёжных сервисов, а, например, в почтовых аккаунтах, пользователи ею пренебрегают.

К сожалению, это может привести к банальному взлому почтового ящика и получения доступа к привязанным аккаунтам (социальным сетям и т. д.).

Недостатки

Недостатков этого метода гораздо больше, чем достоинств, но связанны они не с алгоритмом верификации, а с номером телефона.

Утерянный смартфон вполне может стать причиной взлома системы интернет-банк или почтового ящика – ведь злоумышленник имеет все инструменты для этого.

К тому же получив контроль над номером, можно даже не подбирать пароль, а просто воспользоваться функцией его восстановления через СМС.

Серьёзные злоумышленники могут даже «клонировать» номер, причём честный пользователь не будет даже подозревать об этом. Последствия этого очевидны.

Ещё одно неудобство – при регистрации через номер телефона, есть вероятность, что он попадёт в спам-базы, после чего пользователя будет донимать навязчивые рекламные звонки или сообщения.

Что есть в качестве альтернативы

В качестве альтернативы можно воспользоваться специальными сервисами, такими как https://sms-reg.com/.

Сервис представляет собой систему по приёму СМС на виртуальный номер, который предоставляется самой службой.

Это позволяет не только «разгрузить» собственный телефон и избавить его от ненужного спама, а и обезопасить себя от мошенников.

Можно спокойно вводить виртуальный номер даже на подозрительных сайтах, а для регистраций в социальных сетях сервис подходит лучше всего.

Номер можно арендовать на необходимое время либо просто заказать одноразовое получение СМС.

Для разработчиков существует удобная функция автоматизации, а у обычных пользователей есть возможность заказать регистрацию аккаунтов на любых сайтах в неограниченном количестве.

Имеет смысл оставить свой реальный номер телефона только для работы с платёжными системами, а для других онлайн-ресурсов использовать возможности виртуальных номеров. Это обеспечит безопасность и удобство в работе.

Для примера ознакомьтесь с обучающим видео, как пользоваться двухфакторной аутентификацией на примере Яндекс.

5 способов двухфакторной аутентификации, их преимущества и недостатки

Об использовании двухфакторной аутентификации для надёжной защиты своих данных в Сети сегодня задумываются всё больше и больше людей. Многих останавливает сложность и непонятность технологии, что немудрено, ведь существует несколько вариантов её реализации. Мы рассмотрим их все, разобрав преимущества и недостатки каждого.

В основе двухфакторной аутентификации лежит использование не только традиционной связки «логин-пароль», но и дополнительного уровня защиты — так называемого второго фактора, обладание которым нужно подтвердить для получения доступа к учётной записи или другим данным.

Простейший пример двухфакторной аутентификации, с которым постоянно сталкивается каждый из нас, — это снятие наличных через банкомат. Чтобы получить деньги, нужна карта, которая есть только у вас, и PIN-код, который знаете только вы. Заполучив вашу карту, злоумышленник не сможет снять наличность не зная PIN-кода и точно так же не сможет получить деньги зная его, но не имея карты.

По такому же принципу двухфакторной аутентификации осуществляется доступ к вашим аккаунтам в соцсетях, к почте и другим сервисам. Первым фактором является комбинация логина и пароля, а в роли второго могут выступать следующие 5 вещей.

SMS-коды

Подтверждение с помощью SMS-кодов работает очень просто. Вы, как обычно, вводите свой логин и пароль, после чего на ваш номер телефона приходит SMS с кодом, который нужно ввести для входа в аккаунт. Это всё. При следующем входе отправляется уже другой SMS-код, действительный лишь для текущей сессии.

  • Генерация новых кодов при каждом входе. Если злоумышленники перехватят ваш логин и пароль, они ничего не смогут сделать без кода.
  • Привязка к телефонному номеру. Без вашего телефона вход невозможен.
  • При отсутствии сигнала сотовой сети вы не сможете залогиниться.
  • Существует теоретическая вероятность подмены номера через услугу оператора или работников салонов связи.
  • Если вы авторизуетесь и получаете коды на одном и том же устройстве (например, смартфоне), то защита перестаёт быть двухфакторной.

Приложения-аутентификаторы

Этот вариант во многом похож на предыдущий, с тем лишь отличием, что, вместо получения кодов по SMS, они генерируются на устройстве с помощью специального приложения (Google Authenticator, Authy). Во время настройки вы получаете первичный ключ (чаще всего — в виде QR-кода), на основе которого с помощью криптографических алгоритмов генерируются одноразовые пароли со сроком действия от 30 до 60 секунд. Даже если предположить, что злоумышленники смогут перехватить 10, 100 или даже 1 000 паролей, предугадать с их помощью, каким будет следующий пароль, просто невозможно.

  • Для аутентификатора не нужен сигнал сотовой сети, достаточно подключения к интернету при первичной настройке.
  • Поддержка нескольких аккаунтов в одном аутентификаторе.
  • Если злоумышленники получат доступ к первичному ключу на вашем устройстве или путём взлома сервера, они смогут генерировать будущие пароли.
  • При использовании аутентификатора на том же устройстве, с которого осуществляется вход, теряется двухфакторность.

Проверка входа с помощью мобильных приложений

Данный тип аутентификации можно назвать сборной солянкой из всех предыдущих. В этом случае, вместо запроса кодов или одноразовых паролей, вы должны подтвердить вход с вашего мобильного устройства с установленным приложением сервиса. На устройстве хранится приватный ключ, который проверяется при каждом входе. Это работает в Twitter, Snapchat и различных онлайн-играх. Например, при входе в ваш Twitter-аккаунт в веб-версии вы вводите логин и пароль, потом на смартфон приходит уведомление с запросом о входе, после подтверждения которого в браузере открывается ваша лента.

  • Не нужно ничего вводить при входе.
  • Независимость от сотовой сети.
  • Поддержка нескольких аккаунтов в одном приложении.
  • Если злоумышленники перехватят приватный ключ, они смогут выдавать себя за вас.
  • Смысл двухфакторной аутентификации теряется при использовании одного и того же устройства для входа.

Аппаратные токены

Физические (или аппаратные) токены являются самым надёжным способом двухфакторной аутентификации. Будучи отдельными устройствами, аппаратные токены, в отличие от всех перечисленных выше способов, ни при каком раскладе не утратят своей двухфакторной составляющей. Чаще всего они представлены в виде USB-брелоков с собственным процессором, генерирующим криптографические ключи, которые автоматически вводятся при подключении к компьютеру. Выбор ключа зависит от конкретного сервиса. Google, например, рекомендует использовать токены стандарта FIDO U2F, цены на которые начинаются от 6 долларов без учёта доставки.

  • Никаких SMS и приложений.
  • Нет необходимости в мобильном устройстве.
  • Является полностью независимым девайсом.
  • Нужно покупать отдельно.
  • Поддерживается не во всех сервисах.
  • При использовании нескольких аккаунтов придётся носить целую связку токенов.

Резервные ключи

По сути, это не отдельный способ, а запасной вариант на случай утери или кражи смартфона, на который приходят одноразовые пароли или коды подтверждения. При настройке двухфакторной аутентификации в каждом сервисе вам дают несколько резервных ключей для использования в экстренных ситуациях. С их помощью можно войти в ваш аккаунт, отвязать настроенные устройства и добавить новые. Эти ключи стоит хранить в надёжном месте, а не в виде скриншота на смартфоне или текстового файла на компьютере.

Как видите, в использовании двухфакторной аутентификации есть некоторые нюансы, но сложными они кажутся лишь на первый взгляд. Каким должно быть идеальное соотношение защиты и удобства, каждый решает для себя сам. Но в любом случае все заморочки оправдываются с лихвой, когда дело заходит о безопасности платёжных данных или личной информации, не предназначенной для чужих глаз.

Где можно и нужно включить двухфакторную аутентификацию, а также о том, какие сервисы её поддерживают, можно прочесть здесь.

Двухфакторная аутентификация

Что такое двухфакторная аутентификация и в чём её преимущества

Современные требования к способам обеспечения безопасности личных данных гораздо строже, чем на заре Интернета. К сожалению, меры в виде создания устойчивого к взлому пароля сегодня недостаточно для того, чтобы обезопасить от взлома свой аккаунт в платежной системе или любом другом интернет-сервисе. Эта мера уязвима, прежде всего, из-за человеческого фактора, так как вычислить или подобрать пароль достаточной степени сложности практически невозможно. Пароли крадут, в основном, путем создания фишинговых сайтов, на которых неопытные пользователи вводит свои личные данные, либо с помощью вирусов, которые перехватывают всё, что вводится с клавиатуры.

Поэтому была придумана новая, усложненная схема подтверждения личности пользователей, которая называется двухфакторной аутентификацией.

При этом способе доступа к личным данным ввод логина и пароля является только первым шагом авторизации. Далее следует второй, который заключается в получении ключа для входа в аккаунт. Этот ключ программно генерируется при входе и отправляется пользователю, например, на номер мобильного телефона (заранее подтвержденный), и действует в течение ограниченного промежутка времени, обычно несколько минут. Этот ключ, разумеется, электронный, то есть цифровой. Например, это может быть комбинация цифр (ПИН-код), которую необходимо ввести в специальное окошко на странице входа в аккаунт, или QR-код, который считывается специальным приложением. Другой распространенный вариант — генерация одноразового пароля не на сервере, а специальной программой-приложением, которую пользователь скачивает и устанавливает на свой смартфон. Подобный вариант двухфакторной аутентификации на базе Android используют Google Authenticator и Яндекс. И наконец, еще один способ идентификации пользователя, используемый в схемах двухфакторной аутентификации, — считывание уникальных для каждого человека биометрических характеристик пользователя, например, отпечатков пальцев.

Таким образом, при этом способе авторизации для удаленного доступа к своему аккаунту, как видно из названия метода, пользователь использует не один (пароль), а два фактора, подтверждающих его личность, причем разного типа. В этом случае злоумышленнику, который задастся целью получить доступ в ваш Личный кабинет на каком-либо сайте, потребуется не только узнать ваши логин и пароль, но и получить доступ к вашему мобильному телефону. С другой стороны, если злоумышленник украдет телефон пользователя, он не сможет войти по ПИН-коду, так как не знает основной пароль.

К сожалению, до сих пор не существует идеальных способов защиты персональных данных, лишенных каких-либо недостатков. Есть они и у двухфакторной аутентификации.

Во-первых, она создает дополнительные неудобства для пользователя. Однако, если данные, которые предлагается защитить с помощью двухфакторной аутентификации, достаточно важны для него, с этим неудобством лучше смириться, и включить в своем аккаунте этот продвинутый способ авторизации. Это относится, например, к интернет-банкингу, почтовым ящикам, служебным учётным записям.

Во-вторых, сервисы, которые предполагают использование каких-либо гаджетов, имеют тот недостаток, что создают пользователю довольно большие проблемы в ситуации, которая, к сожалению, случается не так уж редко, — утере телефона или доступа к телефонному номеру. В этом случае пользователю придется потратить силы и время на подтверждение личности, чтобы продолжать пользоваться сервисом. Эта процедура упрощается, если в сервисе имеются резервные варианты восстановления доступа к аккаунту, но такое бывает не всегда.

В качестве иллюстрации.

В начале февраля 2015 г. о запуске схемы двухфакторной аутентификации почти одновременно объявили два крупнейших российских интернет-портала — Яндекс и Mail.ru. Причем, переходя на эту схему, они исходили из противоположных принципов. Так, Mail.ru использует самую простую схему: на первом шаге аутентификации пользователь указывает логин и пароль, а на втором получает SMS с кодом доступа на номер телефона, привязанный к аккаунту. По мнению разработчиков Mail.ru, этот способ универсальный, поскольку охватывает аудиторию, которая не пользуется смартфонами.

Яндекс пошел более сложным путем. Разработанная его программистами схема даже не требует ввода логина и пароля в браузере, что исключает кражу паролей в процессе аутентификации. Пользователь, который включил в своем аккаунте схему двухфакторной аутентификации (как в Яндексе, так и в Mail.ru переход на нее — дело абсолютно добровольное), должен скачать на свой смартфон с подтвержденным номером телефона мобильное приложение — Яндекс.Ключ. Это приложение генерирует одноразовые пароли для доступа к аккаунту. Секрет схемы, позволяющей не использовать логин и пароль в браузере, кроется в процессе установки Яндекс.Ключа, при которой необходимо придумать (и обязательно запомнить) ПИН-код. Сгенерировать одноразовый ключ можно только после ввода ПИН-кода, который знает только пользователь. Таким образом, ПИН-код выступает в качестве замены пароля. В помощью Яндекс. Ключа можно использовать 3 способа входа: с помощью генерации одноразового пароля, с помощью QR-кода (в этом случае необходимо подключение к Интернет, так как приложение отправляет данные, считанные с QR-кода, на сервер авторизации Яндекса) или же с использованием отпечатка пальца (Touch ID). В последнем случае отпадет надобность даже в ПИН-коде, но эта опция доступна только в iPhone, начиная с модели 5s, и на планшетах iPad, начиная с модели Air 2. Сгенерированный код или пароль действительны менее минуты — это сделано в целях безопасности, чтобы никто посторонний не смог воспользоваться одноразовым паролем, даже если подсмотрит его. Один и тот же Яндекс.Ключ можно использовать для нескольких аккаунтов с двухфакторной аутентификацией.

Любопытно, что продвинутые пользователи заметили уязвимость этой безупречной, казалось бы, схемы сразу после того, как ее выкатили: оказалось, что при передаче QR-кода браузеру передается кука, имеющая тот же ID, который закодирован в QR-коде. Таким образом, если злоумышленник успевает подсмотреть и отсканировать QR-код пользователя, то он может «достать» из него ID сессии и, притворившись браузером, начать часто-часто делать запрос к серверу, чтобы успеть перехватить сессию у владельца аккаунта. Пользователь, сообщивший об этой проблеме, даже продемонстрировал наскоро созданное им приложение, способное осуществлять такой перехват. Разработчики Яндекса среагировали быстро, и уязвимость была закрыта, но этот пример наглядно показывает, что «слабые места» есть у любой, даже продуманной до мелочей, схемы защиты персональных данных.

Двухфакторная аутентификация

Что такое двухфакторная аутентификация и в чём её преимущества

Современные требования к способам обеспечения безопасности личных данных гораздо строже, чем на заре Интернета. К сожалению, меры в виде создания устойчивого к взлому пароля сегодня недостаточно для того, чтобы обезопасить от взлома свой аккаунт в платежной системе или любом другом интернет-сервисе. Эта мера уязвима, прежде всего, из-за человеческого фактора, так как вычислить или подобрать пароль достаточной степени сложности практически невозможно. Пароли крадут, в основном, путем создания фишинговых сайтов, на которых неопытные пользователи вводит свои личные данные, либо с помощью вирусов, которые перехватывают всё, что вводится с клавиатуры.

Поэтому была придумана новая, усложненная схема подтверждения личности пользователей, которая называется двухфакторной аутентификацией.

При этом способе доступа к личным данным ввод логина и пароля является только первым шагом авторизации. Далее следует второй, который заключается в получении ключа для входа в аккаунт. Этот ключ программно генерируется при входе и отправляется пользователю, например, на номер мобильного телефона (заранее подтвержденный), и действует в течение ограниченного промежутка времени, обычно несколько минут. Этот ключ, разумеется, электронный, то есть цифровой. Например, это может быть комбинация цифр (ПИН-код), которую необходимо ввести в специальное окошко на странице входа в аккаунт, или QR-код, который считывается специальным приложением. Другой распространенный вариант — генерация одноразового пароля не на сервере, а специальной программой-приложением, которую пользователь скачивает и устанавливает на свой смартфон. Подобный вариант двухфакторной аутентификации на базе Android используют Google Authenticator и Яндекс. И наконец, еще один способ идентификации пользователя, используемый в схемах двухфакторной аутентификации, — считывание уникальных для каждого человека биометрических характеристик пользователя, например, отпечатков пальцев.

Таким образом, при этом способе авторизации для удаленного доступа к своему аккаунту, как видно из названия метода, пользователь использует не один (пароль), а два фактора, подтверждающих его личность, причем разного типа. В этом случае злоумышленнику, который задастся целью получить доступ в ваш Личный кабинет на каком-либо сайте, потребуется не только узнать ваши логин и пароль, но и получить доступ к вашему мобильному телефону. С другой стороны, если злоумышленник украдет телефон пользователя, он не сможет войти по ПИН-коду, так как не знает основной пароль.

К сожалению, до сих пор не существует идеальных способов защиты персональных данных, лишенных каких-либо недостатков. Есть они и у двухфакторной аутентификации.

Во-первых, она создает дополнительные неудобства для пользователя. Однако, если данные, которые предлагается защитить с помощью двухфакторной аутентификации, достаточно важны для него, с этим неудобством лучше смириться, и включить в своем аккаунте этот продвинутый способ авторизации. Это относится, например, к интернет-банкингу, почтовым ящикам, служебным учётным записям.

Во-вторых, сервисы, которые предполагают использование каких-либо гаджетов, имеют тот недостаток, что создают пользователю довольно большие проблемы в ситуации, которая, к сожалению, случается не так уж редко, — утере телефона или доступа к телефонному номеру. В этом случае пользователю придется потратить силы и время на подтверждение личности, чтобы продолжать пользоваться сервисом. Эта процедура упрощается, если в сервисе имеются резервные варианты восстановления доступа к аккаунту, но такое бывает не всегда.

В качестве иллюстрации.

В начале февраля 2015 г. о запуске схемы двухфакторной аутентификации почти одновременно объявили два крупнейших российских интернет-портала — Яндекс и Mail.ru. Причем, переходя на эту схему, они исходили из противоположных принципов. Так, Mail.ru использует самую простую схему: на первом шаге аутентификации пользователь указывает логин и пароль, а на втором получает SMS с кодом доступа на номер телефона, привязанный к аккаунту. По мнению разработчиков Mail.ru, этот способ универсальный, поскольку охватывает аудиторию, которая не пользуется смартфонами.

Яндекс пошел более сложным путем. Разработанная его программистами схема даже не требует ввода логина и пароля в браузере, что исключает кражу паролей в процессе аутентификации. Пользователь, который включил в своем аккаунте схему двухфакторной аутентификации (как в Яндексе, так и в Mail.ru переход на нее — дело абсолютно добровольное), должен скачать на свой смартфон с подтвержденным номером телефона мобильное приложение — Яндекс.Ключ. Это приложение генерирует одноразовые пароли для доступа к аккаунту. Секрет схемы, позволяющей не использовать логин и пароль в браузере, кроется в процессе установки Яндекс.Ключа, при которой необходимо придумать (и обязательно запомнить) ПИН-код. Сгенерировать одноразовый ключ можно только после ввода ПИН-кода, который знает только пользователь. Таким образом, ПИН-код выступает в качестве замены пароля. В помощью Яндекс. Ключа можно использовать 3 способа входа: с помощью генерации одноразового пароля, с помощью QR-кода (в этом случае необходимо подключение к Интернет, так как приложение отправляет данные, считанные с QR-кода, на сервер авторизации Яндекса) или же с использованием отпечатка пальца (Touch ID). В последнем случае отпадет надобность даже в ПИН-коде, но эта опция доступна только в iPhone, начиная с модели 5s, и на планшетах iPad, начиная с модели Air 2. Сгенерированный код или пароль действительны менее минуты — это сделано в целях безопасности, чтобы никто посторонний не смог воспользоваться одноразовым паролем, даже если подсмотрит его. Один и тот же Яндекс.Ключ можно использовать для нескольких аккаунтов с двухфакторной аутентификацией.

Любопытно, что продвинутые пользователи заметили уязвимость этой безупречной, казалось бы, схемы сразу после того, как ее выкатили: оказалось, что при передаче QR-кода браузеру передается кука, имеющая тот же ID, который закодирован в QR-коде. Таким образом, если злоумышленник успевает подсмотреть и отсканировать QR-код пользователя, то он может «достать» из него ID сессии и, притворившись браузером, начать часто-часто делать запрос к серверу, чтобы успеть перехватить сессию у владельца аккаунта. Пользователь, сообщивший об этой проблеме, даже продемонстрировал наскоро созданное им приложение, способное осуществлять такой перехват. Разработчики Яндекса среагировали быстро, и уязвимость была закрыта, но этот пример наглядно показывает, что «слабые места» есть у любой, даже продуманной до мелочей, схемы защиты персональных данных.

Двухфакторная аутентификация, принцип работы и применения

Двухфакторная аутентификация, принцип работы и применения

Добрый день! Уважаемые читатели и гости IT блога Pyatilistnik.org. В прошлый раз я вам подробно рассказал, каким образом вы можете защитить свою флешку от вирусов и вредоносных программ, сегодня еще раз поговорим, о защите ваших данных и сервисов. Речь пойдет, о двухфакторной аутентификации, или как ее еще называют двухфакторная защита. Которую вы можете встретить, абсолютно на любом нормальном сервисе или сайте. Уверен, что многим эта информация будет актуальной, так как процентов 80 пользователей на это просто забивают, за что потом и платятся.

Что такое двухфакторная аутентификация (2FA)

Представим классическую ситуацию, на примере России. Есть популярная социальная сеть Вконтакте, которой пользуются огромное количество людей. Для доступа к ней, большинство людей использует логин и пароль, а так как человек существо ленивое и наивное, то он не особо напрягается безопасностью своего аккаунта, что в итоге влечет за собой его взлом, тем самым потерю аккаунта и доступа, и не факт, что он его потом восстановит, так как мог даже не привязывать номер телефона к нему. А вот если бы он заранее настроил двухфакторную защиту, то даже при компрометации пароля ему было бы по барабану, так как еще нужен был бы дополнительные этап проверки, который привязывается к телефону.

Двухфакторная аутентификация (Two-Factor Authentication) — это дополнительный, надежный процесс обеспечения безопасности, я бы назвал его расширенная аутентификация, которая требует от пользователя, получающего доступ к устройству или сервису. еще один из ключей безопасности, в качестве которого можете быть код безопасности из SMS, временный код сгенерированный с помощью специального приложения. которое обновляет их каждые 25 секунд.

В роли бастиона двухфакторной защиты, выступает ваш мобильный телефон, к номеру которого привязывается аккаунт или устройство, для которой он будет дополнительным средством подтверждения личности истинного хозяина.

Как работает двухфакторная защита

Давайте я вам опишу алгоритм работы двухфакторной защиты, понимая принцип, вам будет легко его настроить, где угодно, на любом сервисе. И так у нас есть замечательный пользователь Таня, люблю я это имя. Таня решила завести себе аккаунт в Gmail.com. Она проходит процедуру регистрации, где указывает какой логин и пароль у нее будет при входе на почту. Gmail подтверждает ее регистрацию и активирует ее логин и пароль по которому она будет авторизовываться.

Таня логиниться на почте, указывая логин и пароль. Gmail предлагает ей настроить двухфакторную аутентификацию, через привязку к номеру телефона, где будет получать SMS коды или через установку приложения Authenticator, которое будет генерировать каждые 25 секунд коды безопасности, если его не успели ввести, то будет новый 6-ти значный код. Таня их устанавливает и включает двухфакторную защиту.

Теперь при следующей авторизации, Тане нужно будет ввести по мимо классических средств защиты (Логина и пароля), код из SMS или из утилиты Authenticator, так же установленной на ее смартфоне. Как только она это делает, то получает доступ к сервису.

Плюсы и минусы двухфакторной аутентификации

Начну с плюсов, этой технологии:

  • Очень высокая степень защиты, я бы ей дал 99%, так как все привязано к номеру телефона, который будет очень сложно скомпрометировать
  • Всегда под рукой
  • Коды доступа часто меняются

Из минусов можно выделить вот что:

  • Так как все привязано к номеру телефона, то при его утере, будет затруднены доступы к вашим сервисам, хотя на большинстве из них и есть процедура восстановления, но она очень трудоемкая
  • Вероятность установить или занести вирус в устройство, которое будет передавать ваши данные злоумышленникам
  • Может разрядиться устройство в нужный момент
  • Мобильный телефон всегда должен видеть сеть оператора, иначе не будет возможности получать SMS или коды.
  • Бывают сервисы, которые в качестве многофакторной защиты используют, дополнительный код отправленный на электронную почту, поэтому, чтобы вас не скомпрометировали, обязательно включите двухфакторную аутентификацию на самой почте, а то ее взломают и будет веселье.
  • Например, SMS оповещения, могут приходить с задержкой, такое встречал у Сбербанка или ВТБ24.

Виды двухфакторной аутентификации

Давайте рассмотрим основные виды реализации двухфакторной защиты, которые вы легко можете повстречать на текущий момент, они со временем могут обновляться и расширяться, но пока есть такие:

  1. Первый вид дополнительной защиты, это SMS коды или Push-уведомления (двухфакторный код). Чаще всего, это шестизначные номера. Вы их можете встретить при онлайн покупках, когда расплачиваетесь пластиковой картой или при доступах в се возможные сервисы, Gmail.com или Сбербанк Онлайн . Выглядит данное сообщение таким образом.
  2. Второй метод, это использование временных кодом из приложений аутентификаторов, например, Google Authenticator или Microsoft Authentificator, по сути, это просто приложения на ваш смартфон. У вас каждые 25 секунд обновляется цифровой, шестизначный код доступа (двухфакторный код).
  3. Третий метод, это дополнительное письмо с кодом на вашу электронную почту, менее надежно, но все же, дополнительный рубеж безопасности. Я его встречал на таких сервисах, как Advcash (Электронный кошелек) или на криптовалютных биржах.
  4. Четвертый метод, двухфакторной аутентификации, это использование аутентификаторов в виде брелков eToken PASS (токен генератор кодов) и их разновидностей, которые работают по принципу, программных аутентификаторов.

Какой метод двухфакторной аутентификации 2FA лучше

Тут я долго расписывать не буду, выделю два, и оба они будут привязаны к вашему мобильному телефону. Это SMS и Push-уведомления и более надежный с использованием программ Authenticator. Плюсы, что все это бесплатно, телефон мобильный есть у всех, и главное, это надежно.

Какой выбрать программный Authenticator 2FA

Давайте я вам опишу, какой аутентификатор я бы посоветовал выбрать

  • Google Authenticator — самый популярный в мире аутентификатор,используемый при двухфакторной защите, в виду популярности Google как компании и конечно же количеству сервисов, которая она предоставляет.
  • Fido — второй по популярности защитник (https://www.yubico.com/solutions/fido-u2f/)

  • Microsoft Authenticator — как видно из названия, используется для двухфакторной аутентификации, учетной записи Microsoft или операционной системы Windows 10.

Где можно включить двухфакторную аутентификацию 2FA?

Ниже я приведу список самых распространенных сервисов, где вы можете встретить двухфакторную аутентификацию, в том или ином виде.

  • Банковские личные кабинеты, у сбербанка, Тинькова, Втб24 и так далее.
  • Социальные сети, Вконтакте, Facebook, Instagram и так далее
  • Криптовалютные биржи и электронные кошельки

Как взломать двухфакторную аутентификацию 2FA

Для того, чтобы обойти двухфакторную аутентификацию, хакеры используют вот такие методы:

  • считать одноразовый код с доверенного устройства — разблокировать не обязательно; Тут чаще устройство заражаю вирусом, который перехватывает или дублирует SMS или push-код.
  • переставить SIM-карту в другой аппарат, получить СМС; Тут нужен физический доступ.
  • клонировать SIM-карту, получить код на нее;
  • воспользоваться двоичным маркером аутентификации, скопированным с компьютера пользователя.

Примеры настройки двухфакторной защиты

  • Как настроить двухфакторную аутентификацию на Gmail.com и Yandex.ru
  • Двухфакторная аутентификация google
  • Как включить двухфакторную аутентификацию аккаунта ВКонтакте
  • Двухфакторная аутентификация на Poloniex
  • Двухфакторная аутентификация на Bitfinex
  • Двухфакторная аутентификация на Yobit
  • Двухфакторная аутентификация mail

Как восстановить двухфакторную аутентификацию

Если вы потеряли свой телефон и хотите восстановить свой доступ, то алгоритм такой:

  1. Если есть возможность быстрее восстановите симкарту и телефон
  2. Перед активацией программного Authenticator, сервисы вам выдают секретные коды восстановления или QR-код, у вас огни должны быть
  3. Если кодов нет, то придется писать в техническую поддержку, и доказывать, что вы это вы, подготовьте обязательно все ваши данные и документы, но это прокатит, если у вас все было корректно и полностью заполнено, а не просто хозяин учетной записи megapixar123 :))

3 Риски и недостатки двухфакторной аутентификации

Большинство людей ленивы и используют слабые пароли, которые легко взломать

, Но надежные пароли тоже не идеальны: они могут быть заблокированы, перехвачены или даже утечек при серьезных взломах данных

Вот почему за последнее десятилетие популярность двухфакторной аутентификации возросла. Один пароль слишком хрупок для реальной безопасности, а добавление второго уровня защиты обеспечит более надежную защиту ваших учетных записей.

Но двухфакторная аутентификация не идеальна. На самом деле, это может привести к укусам сзади, если вы не будете осторожны. Вот несколько упущенных минусов.

Типы факторов аутентификации

Многофакторная аутентификация Это практика, которая требует от вас представить несколько битов доказательств («факторов»), каждый из которых подтверждает вашу личность. Если у вас нет всех факторов аутентификации, система не предоставит вам доступ к вашей учетной записи.

это когда система требует только двух бит доказательств.

Существуют все виды факторов аутентификации, которые можно использовать как часть многофакторной системы, но все они, как правило, делятся на три большие группы:

  • Фактор знания («что-то, что вы знаете»): Система примет вас, если вы покажете, что знаете определенную часть информации. Примеры включают PIN-коды, ответы на секретные вопросы, детали налоговой декларации и т. Д.
  • Фактор владения («что-то у вас есть»): Система примет вас, если вы сможете доказать, что у вас есть определенное физическое устройство. Примеры включают в себя коды SMS, приложения для аутентификации, USB-ключи, беспроводные метки, устройства чтения карт и т. Д.
  • Коэффициент инерционности («что-то, что вы есть»): Система принимает вас с помощью биометрического сравнения. Примеры включают сканеры отпечатков пальцев, сканеры сетчатки, распознавание голоса и т. Д.

Все это звучит хорошо с первого взгляда. Но вы, возможно, уже заметили некоторые проблемы, которые могут возникнуть при их использовании для проверки личности.

1. Факторы могут быть потеряны

Простая истина в том, что нет никакой гарантии, что ваши факторы аутентификации будут доступны, когда они вам понадобятся. В большинстве случаев это так, но для того, чтобы заблокировать вас из ваших учетных записей, достаточно одной ошибки.

Представьте, что у вас есть SMS-коды в качестве второго фактора аутентификации. Он отлично работает для ежедневной проверки банковских счетов и чего-то еще, но тогда вы столкнетесь с сильным ураганом и останетесь без электричества на несколько дней или недель.

Или землетрясение разрывает ваши трубы, погружая ваш дом и телефон. Или вы забыли свой телефон в комоде в спешке, чтобы эвакуировать приближающийся лесной пожар … или вы случайно поймали вымогателей на вашем телефоне

и он становится недоступным. Или, может быть, вы просто уроните свой телефон.

Полагаясь на USB-ключ как второй фактор

рискованно Вы можете потерять его или случайно пропустить через стирку. Если вы полагаетесь на такие факторы знания, как PIN-коды, всегда есть вероятность, что вы забудете, что это такое. Биометрические факторы тоже не идеальны: глаза и пальцы могут быть потеряны в результате несчастного случая.

Жертвы ураганов Харви и Ирма оказались заблокированными своими собственными счетами. Зачем? Потому что у них не было возможности заряжать свои телефоны. Нет телефонов равно не аутентификации. Нет аутентификации равняется отсутствию доступа.

Несмотря на то, что восстановление учетной записи часто возможно, это может занять некоторое время и может стать огромной головной болью. Если у вас есть десятки учетных записей, защищенных одним фактором, и вы потеряете этот фактор, то вам необходимо восстановить все эти учетные записи. Хлоп.

К счастью, у некоторых методов аутентификации есть способы обойти это.

, Например, некоторые службы предлагают одноразовые резервные коды на случай потери факторов, и в этом случае вам следует абсолютно сохранить эти коды где-нибудь.

2. Ложное чувство безопасности

Хотя двухфакторная проверка подлинности обеспечивает дополнительную безопасность, степень этой дополнительной безопасности часто преувеличивается. Некоторые люди могут даже сказать вам, что учетная запись с двухфакторной защитой почти не взломана, но это просто неверно.

Двухфакторная аутентификация далека от совершенства.

Возьмите восстановление, например. Если вас заблокировали из-за того, что вы потеряли фактор, разве вы не находитесь в том же положении, что и хакер, пытающийся получить доступ к своей учетной записи? Если вы можете сбросить доступ к учетной записи без какого-либо фактора, то вы можете быть уверены, что хакеры могут сделать то же самое.

Фактически, варианты восстановления учетной записи часто делают двухфакторную аутентификацию бессмысленной, поэтому такие компании, как Apple, отошли от большинства методов восстановления. Плохие новости? Без опций восстановления ваш аккаунт может быть навсегда потерян.

Кроме того, существуют сервисы, которые предлагают двухфакторную аутентификацию, но не полностью ее выполняют, что лишает вас безопасности учетной записи. Например, PayPal предоставляет второй фактор, называемый «ключ безопасности PayPal», но еще в 2014 году, как задокументировано Ианом Данном, его можно было полностью обойти без каких-либо усилий.

Слабые стороны, подобные этим, существуют в разных сервисах, даже громких. И снова в 2014 году хакерам удалось прорвать двухфакторную защиту

и получить доступ к учетным записям пользователей Google, Instagram, Amazon, Apple и других.

Все это просто означает: вы можете делать все правильно с двухфакторной аутентификацией и при этом поставить под угрозу свою учетную запись. Какое бы чувство безопасности оно ни приносило, оно является заблуждением.

3. Это может быть обращено против вас

Хотя двухфакторная аутентификация предназначена для защиты хакеров от ваших учетных записей, может произойти и обратное: хакеры могут настроить или перенастроить двухфакторную аутентификацию, чтобы держать вас вне ваших собственных учетных записей.

Вы можете прочитать об опыте Redditor из первых рук: хакер взломал свой аккаунт Apple, заработал сотни долларов на покупках, а затем связал двухфакторную аутентификацию с одним из собственных устройств хакера. Несмотря на то, что Redditor был истинным владельцем аккаунта, он ничего не мог с этим поделать.

Таким образом, в некотором смысле, хотя двухфакторная проверка подлинности может быть недостаточно эффективной для защиты учетных записей (что мы рассмотрели в Риск # 2), она может быть слишком эффективной.

Поскольку службы продолжают укреплять свои двухфакторные протоколы и усложняют восстановление учетных записей, становится все более необходимым установить двухфакторную проверку подлинности для важных учетных записей.

Сделай это сейчас, прежде чем хакер сделает это за тебя.

Что ты думаешь?

Другим большим недостатком двухфакторной аутентификации является ее неудобство. Это только дополнительный шаг, но когда вы входите в учетные записи еженедельно или ежедневно, эти дополнительные шаги складываются. Я думаю, что неудобство того стоит.

Было бы легко указать на эти риски и недостатки как на оправдание отказа от двухфакторной аутентификации в целом, но я говорю, продолжайте использовать ее (или начните использовать ее, если вы этого еще не сделали). Просто знайте, как это может иметь неприятные последствия, и примите соответствующие меры, чтобы избежать подобных проблем.

Вы используете двухфакторную аутентификацию? Да или нет, скажите нам, почему в комментариях ниже! И если у вас есть какие-то другие риски, поделитесь ими!

Ссылка на основную публикацию