Данные на замке: как двухфакторная аутентификация поможет обезопасить сайт

Преимущества и недостатки двухэтапной аутентификации

Плюсы

• Многократно повышают безопасность ваших данных и аккаунтов.
• Просты в использовании.
• В 95% случаев бесплатны.
• В некоторых случая можно использовать одинаковый пароль на различных сайтах (на своё усмотрение), при этом злоумышленники не смогут получить доступ к аккаунту, так как не смогут пройти второй этап верификации.

Минусы

• Двухэтапная авторизация требует дополнительного времени для входа в свой аккаунт или подтверждения какой-либо операции.
• Некоторые виды двухфакторной аутентификации требуют доступа к сети интернет (при авторизации через Email) или сотовой связи (в случае с СМС сообщениями).
• В случае утери доступа к 2FA сложнее восстановить доступ к своему аккаунту или данным (к примеру, при потере телефона или блокировке номера, нельзя получить СМС сообщение с паролем).

Материал подготовлен командой блога Probivnoy.com. Мы пишем обзоры, инструкции, исследования и обзорные статьи о криптовалюте, технологии блокчейн, криптовалютных биржах, платежных системах и электронных кошельках, инвестициях и заработке в сети интернет.

Какие виды двухфакторной аутентификации есть

Двухфакторная аутентификация постоянно эволюционирует, но само по себе это явление не новое. В свое время были распространены скретч-карты и одноразовые пароли на бумажных носителях.

Одним из самых надёжных способов идентификации считается физический токен, чаще в виде USB-брелоков. Он генерирует криптографические ключи, которые вводятся при подключении к компьютеру. Можно предположить, что этот метод в скором времени трансформируется в NFC-метки на физическом носителе или даже в подкожный чип. 

Если уж заглядывать в ближайшее будущее, то в качестве дополнительных факторов защиты всё чаще будет вводиться биометрическая аутентификация по отпечаткам пальцев и фотографии. В рамках мультифакторной аутентификации применяются геолокационные сервисы, верифицирующие пользователя через его местоположение.

Нетрудно догадаться, что самым популярным (но не самым надёжным) вторым фактором стали SMS-подтверждения. Однако для владельцев сервисов отправка SMS связана с финансовыми издержками. Неудобство конечных пользователей в том, что сообщение не всегда приходит мгновенно. Кроме того, злоумышленники могут перехватить его или даже восстановить сим-карту по поддельным документам.

Учитывая доступность Интернета и популярность смартфонов, среди владельцев сайтов сейчас востребованы мобильные приложения для аутентификации.

Одним из первых альтернативных продуктов в сфере двухфакторной защиты стал сервис E-NUM. Его разработка началась в 2007 году. Тогда стояла задача создать решение для двухфакторной аутентификации, которое сочетало бы криптографию, требовало для работы только телефон и не зависело от провайдера связи. 

Первая версия E-NUM работала на платформе Java. Сегодня приложение работает на большинстве популярных ОС и генерирует одноразовые ключи по схеме «Вопрос-ответ». «Число-вопрос» не нужно вводить вручную, приложение присылает Push-уведомление после запроса на авторизацию. E-NUM отображает единственно верное «число-ответ» на экране телефона, которое пользователь отправляет, нажав соответствующую кнопку в приложении или введя вручную. 

В отличие от некоторых других способов двухфакторной аутентификации, где в качестве подтверждения на телефон клиента приходит готовый «ответ», E-NUM по сигналу из push-уведомления «достаёт ответ» из зашитой в приложении и уникальной для каждого кодовой книги. Она создаётся случайным образом на основе «физических шумов» центрального процессора. 

Если пользователю не хочется доставать смартфон и у него есть «умные» часы, то в E-NUM можно подтвердить действие с помощью часов под управлением Apple Watch или Android Wear.

Когда база активных пользователей клиента E-NUM достигла 2,5 млн человек, было принято решение об открытии API. Первоначально сервис E-NUM применялся только в системе WebMoney Transfer. Сейчас владельцам электронных кошельков не обязательно скачивать отдельное приложение, так как E-NUM уже интегрирован в WebMoney Keeper.

На сегодняшний день E-NUM используют более 6 млн человек.

Как включить Twitch 2FA с помощью Google Authenticator?

Прежде чем приступить к делу, давайте расскажем вам о двух предварительных требованиях для включения 2FA на Twitch. Во-первых, вам понадобится подтвержденный электронный идентификатор, чтобы включить 2FA. Во-вторых, вам нужно быть на ПК, чтобы разблокировать множество доступных сервисов аутентификации. После того, как вы отметили два элемента из своего списка, вы можете начать путешествие по 2FA с помощью Google Authenticator.

Скачать приложение Google Authenticator на Android || iOS

Сначала войдите в свою учетную запись Twitch и перейдите в Безопасность в настройках. Теперь нажмите «Настроить двухфакторную аутентификацию».

Затем выберите «Включить двухфакторную аутентификацию» и введите номер своего мобильного телефона.

Введите полученный семизначный код и нажмите «Продолжить».

Здесь вы получите QR-код, который вам нужно будет отсканировать с помощью Google Authenticator. В приложении нажмите «Сканировать QR-код», чтобы продолжить. Наконец, введите шестизначный код, отображаемый в приложении, и процесс будет завершен.

Связанный: Zoom 2FA – Как включить, настроить и использовать двухфакторную аутентификацию

Что такое 2FA?

2FA, или двухфакторная аутентификация, по сути, представляет собой систему безопасности, которая требует использования двух различных форм идентификации для доступа к вашим данным – в данном случае к вашим паролям. Когда вы используете только мастер-пароль, это считается однофакторной аутентификацией. Добавьте к нему еще один уровень авторизации, и у вас будет двухфакторная аутентификация.

По сути, тогда, используя 2FA, вы должны правильно ввести две вещи, прежде чем вы сможете получить доступ к своей учетной записи – то, что вы знаете (ваш главный пароль), и что-то, что вы получите (текстовый код на свою электронную почту или в приложении для аутентификации). Таким образом, никто не может получить доступ к вашим данным, используя только ваш главный пароль.

Связанный: Bitwarden безопасен?

Что такое двухфакторная аутентификация?

2FA, или двухфакторная аутентификация — это такой метод идентификации пользователя для входа в сервис, при котором нужно двумя разными способами подтвердить, что именно он — хозяин аккаунта. В некоторых сервисах, например, «ВКонтакте», она называется «подтверждение входа».

Эта функция серьезно повышает уровень безопасности. Злоумышленникам, которым по разным причинам могут пригодиться ваши данные, гораздо сложнее получить доступ одновременно к вашему паролю, а также телефону, электронной почте или другому методу аутентификации. Если использовать только пароль, то аккаунт остается уязвимым. Пароли легко утекают в Сеть, и далеко не всегда по вине пользователя.

2FA без пароля

Выход из этой неразберихи прост — отказаться от паролей, также как и от менеджеров паролей и сложных паролей — они практически никогда не работали в прошлом, и точно не будут работать в будущем. Беспарольная аутентификация — это 100% защита. Это означает, что у нас наконец-то появился метод аутентификации, который не полагается на самое слабое звено в безопасности. Пришло время оставить позади всю парадигму безопасности, которая основывалась только на паролях — технология наконец-то наверстала упущенное.

Беспарольная аутентификация работает так:

• Вместо логина и пароля, пользователи вводят только адрес своей почты. Ваше приложение отправляет на указанный адрес одноразовую ссылку. Когда пользователь кликает по ней, то автоматически входит на сайт или приложение.
• Есть еще один метод, при котором вместо одноразовой ссылки по SMS отправляется одноразовый код, который также можно получить по почте.
• И последний, менее популярный и доступный метод беспарольной аутентификации — использовать Touch ID.

Учетные записи управления паролями

Используете ли вы инструмент для хранения всех ваших логинов, паролей и личной идентификационной информации? В наше время это делают многие, но только потому, что они позволяют хранить все ваши данные для входа в одном удобном месте, не означает, что они надежно защищены без включенного 2FA.

Пусть это будет напоминанием о том, что даже место, где вы храните все свои данные для входа в систему, должно быть защищено. На самом деле, если вы используете инструмент управления паролями или идентификацией, это может быть наиболее важным местом для включения двухфакторной аутентификации.

Если кто-то когда-либо получит ваши данные для входа в вашу учетную запись, он получит доступ к информации для входа в систему не только для одной учетной записи, но и для любых учетных записей, в которых хранится персональная информация – от вашей банковской учетной записи и учетной записи Gmail до вашей учетной записи Facebook и вашей учетной записи Яндекс. Хакеры могут выбрать и взломать столько ваших аккаунтов, сколько захотят.

Популярные инструменты управления паролями и идентификацией, которые предлагают 2FA:

2017: Google отказывается от SMS при двухфакторной авторизации

планирует летом 2017 года вместо одноразовых кодов проверки, рассылаемых с помощью SMS, пользователям выводит экранные уведомления с просьбой подтвердить логин. Подобный подход считается более надёжным, нежели отправка секретных кодов через SMS, поскольку их сложнее перехватить.

В сообщениях от Google будут указываться устройство, с которого осуществляется логин, его физическое местоположение, а также время попытки входа. Пользователям необходимо будет внимательно следить за этой информацией, чтобы не допускать несанкционированного входа посторонних.

Переход на экранные уведомления предложат только тем пользователям Google, у которых двухфакторная аутентификация уже активирована. Предложение принимать не обязательно — предусмотрена опция сохранения отправки кода через SMS.

Счета коммунальных услуг

У всех нас есть эти «ненавистные» ежемесячные счета за коммунальные услуги. В то время как некоторые люди предпочитают производить оплату счетов вручную, другие – такие как мы – подписываются на автоматическую ежемесячную оплату банковской картой или другим способом оплаты через личные учетные записи на сайтах коммунальных служб.

Если хакер вошел в вашу учетную запись, он может получить доступ к номерам банковской карты или другой информации об оплате. Они могут украсть её, чтобы использовать для мошеннических целей, или, возможно, даже изменить ваш ежемесячный план – подключив плату за свои услуги.

Примеры второго фактора

СМС-код с подтверждением. Предполагается, что человек не передаёт свой телефон другим людям, поэтому если отправить ему СМС, то прочитает его именно он. Так работают почти все интернет-банки. 

Также код могут отправить на почту или в приложение. Смысл тот же. 

Ссылка на электронную почту. После логина и пароля система отправляет специальную одноразовую ссылку, после клика на которую система убеждается, что вы — это вы. Не слишком безопасно, потому что почту несложно взломать. 

Подтверждение в приложении. Если у сервиса есть приложение и вы его установили, сервис может связаться с приложением на вашем телефоне и задать вам там вопрос: «Это вы входите?». Вход в аккаунт Гугла, например, работает именно так.

Приложение-аутентификатор с кодом. Для более злых сценариев есть специальные приложения — например, «Ключ» у Яндекса. Сервер и ваше приложение договариваются о каком-то принципе криптографии. Когда нужно ввести второй код, вы смотрите его не в смс, а в приложении.

Таким методом пользуются для входа в некоторые почтовые сервисы или в защищённые контуры корпоративных сетей. Например, если у вас почта Яндекса, можно настроить вход через «Яндекс-ключ».

Аутентификация по QR-коду. В приложении может быть функция «Считать QR-код»: подносите камеру к компьютеру, и система убеждается, что перед экраном сидите именно вы. 

Так работает аутентификация в веб-версию WhatsApp или в почту Яндекса через приложение «Ключ».

Устройство-аутентификатор. Обычно их делают в виде флешки с кнопкой и экранчиком. Нажимаете на кнопку — высвечивается код. Потеряется флешка — нужно будет идти к тому, кто её выдавал, без этого система никуда просто по логину и паролю не пустит.

USB-токен. Тоже выглядит как флешка, но внутри стоит специальная микросхема и криптософт. Этот софт безопасно соединяется с системой и сам вводит нужный код доступа, который ему генерирует микросхема. Если потерять, то доступ тоже будет утерян.

Пример токена, который продаётся на сайте secure-market.ru. Сам по себе он бесполезен — его нужно привязывать к системе аутентификации вашего софта, чтобы они знали друг о друге. Если просто купить этот токен, его коды ничего вам не откроют

NFC-карта или карта с магнитной лентой. Иногда у сотрудников банков к компьютеру подключён специальный ридер для карт. Чтобы совершить важную операцию, сотрудник должен подтвердить её своей картой: мол, это точно я.

Биометрия. Биометрия — это всё, что касается вашего тела: распознавание отпечатков, лица, голоса, биоритмов, ауры и что там ещё придумают. Как правило, применяется на крупных и важных объектах с повышенными требованиями к безопасности. 

Виды двухфакторной аутентификации

Аутентификация является многофакторной, это необязательно будет одноразовый пароль, приходящий на телефон. В основном существуют 3 вида:

1. введение паролей, секретных слов, фраз и т.д.;
2. применение токена, т.е. компактного устройства, находящегося у владельца;
3. применение биоматериалов.

Если первый вид находится в памяти хозяина аккаунта, также пароль может быть куда-то записан, то рассмотреть второй и третий вид стоит подробнее. В качестве токена выступает смартфон. Модели, выпущенные в течение последних двух лет, в настройках имеют функцию, подключив которую телефон сам будет выдавать на дисплее число, которое нужно будет ввести. Генерацию поддерживает как Apple, так и Android. Если данной функции на смартфоне нет, установите специализированное приложение Google Authenticator:

• для Android в PlayMarket;
• для iOS в App Store.

Authentication третьего вида используется крайне редко: биоматериалами выступают отпечатки пальцев, сканер лица и т.д. Подобный метод является наиболее надежной защитой, но имеет некоторые недостатки: услуга недешевая, а при травмировании выбранной части тела, вход будет невозможен. Замена такого пароля не является возможной до тех пор, пока не будет первоначально проведен сканер.

Совет! Если интересна тема биометрии, рекомендуем ознакомится со статьей биометрические системы защиты в жизни современного человека.

Включение 2FA на смартфонах и планшетах

Ярлыки

Сканирование QR-кода камерой смартфона

Если у вас есть смартфон или планшет с Android или iOS , мобильное приложение — самый безопасный и простой способ использовать 2FA. Если у вас нет мобильного устройства или вы хотите использовать планшет с Windows , см. « ».

1. Загрузите приложение 2FA на свое мобильное устройство. Рекомендуемые варианты включают:
   • FreeOTP (Android, iOS): бесплатно и с открытым исходным кодом
     • Android: скачать из Google Play или F-Droid
     • iOS: загрузить из App Store
   • AndOTP

     Android: скачать из Google Play или F-Droid

     (Android): бесплатно и с открытым исходным кодом

   • Authenticator

     iOS: загрузить из App Store

     (iOS): бесплатно и с открытым исходным кодом

2. Перейдите в раздел «Особые: управление двухфакторной аутентификацией» . Нажмите «Включить» и войдите в систему со своим именем пользователя и паролем.
3. Рекомендуемый метод аутентификации — сканирование QR-кода

   Если вы не можете сканировать QR-код, вы можете ввести «Секретный ключ двухфакторной аутентификации» с «Шага 2» страницы настройки в приложение, что даст вам тот же результат.

   в приложении. На «Шаге 2» страницы настройки есть поле с шаблоном, на которое вы должны направить камеру вашего устройства. (Ваше устройство может сначала запросить разрешение на использование камеры.)

4. Вернитесь на страницу регистрации 2FA. Запишите из «Шага 3» и храните их в надежном месте.
5. Введите 6-значный код подтверждения из своего приложения на странице регистрации 2FA в разделе «Шаг 4».

Вот и все, все готово. Теперь прочтите « ».

Является ли 2FA SMS безопасной?

Не все 2FA одинаковы. Конечно, они предлагают вашему счету дополнительный уровень защиты. Однако некоторые формы 2FA сильнее других

В последние годы пристальное внимание стало уделяться SMS 2FA. Теперь, вместо того, чтобы сразу войти в свой крипто-аккаунт, система доставит одноразовый код на ваш смартфон с помощью SMS

Вы вводите код на бирже и получаете доступ к вашим биткоинам и альткоинам.

Есть две основные причины, почему 2FA SMS небезопасна:

• Атаки Sim Swap. 2FA, использующая SMS, чувствительна к атакам SIM. Если злоумышленник использует инструменты слежки за вашим телефоном (полный удаленный контроль), то сможет увидеть код для разблокировки вашего крипто-аккаунта и получить доступ к вашим биткоинам.
• Перехват SMS-сообщений. Это происходит несколько реже, но не стоит расслабляться. При атаке перехвата SMS-сообщений хакеры используют уязвимость в протоколе SS7 (ваши разговоры и SMS переадресовываются в режиме онлайн).

Это две основные проблемы с 2FA SMS. Но не стоит отказываться от такой формы защиты, это лучше чем ничего. Также существуют альтернативы SMS 2FA, с которыми вы можно ознакомиться ниже.

Как работают приложения 2FA?

Приложение для проверки подлинности 2FA — это еще одна форма двухфакторной аутентификации, но вместо номера телефона вы используете приложение, установленное на ваш смартфон. При попытке входа в систему крипто-биржи, вы также проходите дополнительную проверку, но вместо SMS используете приложение, которое не содержит ссылки на ваш номер телефона. Если злоумышленник попытается совершить атаку на SIM, то не сможет получить SMS-код 2FA. Единственный способ — это физически украсть смартфон или (опять же физически) установить вредоносную программу на ваше устройство, позволяющую удаленно просматривать экран. 2FA приложения генерируют коды разблокировки автоматически, постоянно обновляя и изменяя их, чтобы никто не мог получить доступ к вашему крипто-аккаунту.

Сильные и слабые стороны многофакторной аутентификации

К преимуществам можно отнести её способность защитить информацию, как от внутренних угроз, так и от внешних вторжений. Определенной слабостью можно считать необходимость использования дополнительных программно-аппаратных комплексов, устройств хранения и считывания данных. В то же время, в настоящий момент статистика взломов систем, применяющих двухфакторную аутентификацию, отсутствует или ничтожна.

Многофакторная или расширенная аутентификация уже сегодня применяется рядом российских компаний в сфере финансов при создании сервисов интернет-банкинга, мобильного банкинга, файлообмена и т.п. решений для конечных пользователей. Она основана на совместном использовании нескольких факторов аутентификации (знаний, средств или объектов хранения одной из информационных составляющих легитимной процедуры аутентификации), что значительно повышает безопасность использования информации, по меньшей мере, со стороны пользователей, подключающихся к информационным системам по защищенным и незащищенным каналам коммуникаций.

В качестве примера может послужить процесс двухфакторной аутентификации пользователя, реализованный в рядом российских банков: вход в личный кабинет пользователя посредством сети интернет возможен после ввода пароля на странице, после чего (в случае подтвержденной правомерности), следует передача одноразового пароля (в виде SMS) на мобильный телефон, ранее зарегистрированный пользователем.

Аналогичные схемы контроля и управления полномочиями пользователя, его дальнейших действий в корпоративных или других информационных системах, могут быть реализованы с применением самых различных средств и методов, выбор коих достаточно широк, как по технологичности, стоимости, исполнению, так и по возможным комбинациям перечисленных свойств.

Сессия работы пользователя может также контролироваться на предмет соответствия, как IP-адреса последней успешно завершенной сессии, так и MAC-адреса соответствующего сетевого оборудования. Далее могут идти действия подтверждения или отказа в доступе к информационным ресурсам, но доверия к этим двум параметрам контроля быть не может в силу их технологической слабости: IP-адрес можно подменить, а MAC-адрес просто переписать в ходе работы системы, и даже без перезагрузки. Тем не менее, в качестве неких контрольных значений эти сведения могут быть использованы.

Обратная сторона многофакторной аутентификации

Первой проблемой многофакторной аутентификации является способ ее реализации. В настоящее время самым популярным вторым фактором, используемым поставщиками сервиса, является одноразовый пароль one time password — OTP.

Применяя данный тип 2FA пользователь вводит на первом уровне аутентификации персональный пароль. На следующем этапе он должен ввести маркер ОТР, обычно отправляемый с помощью SMS на его мобильное устройство. Идея способа понятна. ОТР будет доступен только тому, кто, как предполагается в теории, ввел недоступный постороннему пароль.

Однако, увы, отправлять OTP в SMS, вообще говоря, небезопасно, так как часто сообщения отправляются открытым текстом. Даже начинающие хакеры могут прочесть подобные текстовые сообщения, ведь фактически все, что им нужно — целевой номер телефона.

Кроме того, многофакторная аутентификация не в состоянии предотвратить атаки класса MitM, которые часто используются в ходе фишинговых компаний с помощью электронной почты. В случае успеха атаки пользователь перейдет по мошеннической ссылке и попадет на сайт, похожий на онлайн-портал банка. Там пользователь введет информацию о входе в систему и другие конфиденциальные данные, которые будут использоваться злоумышленником чтобы получить доступ к реальному сайту.

И хотя данная атака будет возможна для осуществления только ограниченный период времени, она все же возможна.

2019

Представлен новый способ обхода двухфакторной аутентификации

В конце декабря 2019 года группу хакеров, предположительно связанную с китайским правительством, обвинили во взломе сетей по всему миру. Эксперты считают, что хакеры разработали новую методику обхода двухфакторной аутентификации, что встревожило сообщество кибербезопасности.

Впервые хакерскую деятельность, приписываемую группе APT20, обнаружили в 2011 году. Она занималась взломом и доступом к данным государственных структур, крупных компаний и поставщиков услуг в США, странах Южной Америки и Европы. В 2016–2017 годах группа исчезла из поля зрения специалистов, и лишь недавно голландская компания Fox-IT, специализирующаяся на консалтинговых услугах по кибербезопасности, обнаружила следы вмешательства APT20 в сети одного из своих клиентов, который попросил расследовать нарушения в целостности сети.

Группу хакеров, предположительно связанную с китайским правительством, обвинили во взломе сетей по всему миру

Исследователи Fox-IT подробно описали методику взлома. По мнению специалистов, группа хакеров использовала веб-серверы в качестве точки входа, в частности, платформу корпоративных приложений Jboss. Проникнув в систему и установив веб-оболочки, хакеры расходились по сетям жертв. Найденные пароли и учётные записи позволяли злоумышленникам красть данные с помощью стандартных инструментов, без установки вирусов.

Но хуже всего оказалось то, что группа APT20 смогла обойти двухфакторную авторизацию, получив доступ к защищенным учетным записям VPN. Наиболее вероятно, что хакеры смогли украсть из взломанной системы программный токен RSA SecurID и модифицировать его таким образом, чтобы разорвать связь с локальной системой. Обычно без него программа RSA SecurID выдаёт ошибку, однако хакеры обошли весь комплекс начальной проверки и с помощью украденной программы смогли беспрепятственно генерировать одноразовые коды для обхода двухфакторной защиты.

Использование многофакторной аутентификации блокирует 99,9% взломов

В облачных сервисах Microsoft ежедневно совершается около 300 млн попыток мошеннического входа в учетные записи. Многофакторная аутентификация (МФА) может помочь защитить учетные записи от многих типов атак.

По словам специалистов из Microsoft, пользователи, включившие многофакторную аутентификацию для своих учетных записей, в итоге блокируют 99,9% автоматических атак. Рекомендация распространяется не только на учетные записи Microsoft, но и на любой другой профиль, web-сайт или online-сервис. Если поставщик услуг поддерживает многофакторную аутентификацию, Microsoft рекомендует использовать ее, независимо от того, является ли она чем-то простым, как одноразовые SMS-пароли или расширенные биометрические решения.

По словам исследователей из Microsoft, такие старые советы, как «никогда не используйте пароль, который когда-либо был скомпрометирован» или «используйте действительно длинные пароли», в последние годы не очень помогают. В настоящее время киберпреступники имеют в своем распоряжении различные методы, позволяющие получить учетные данные пользователей, и в большинстве случаев пароль и его сложность не имеют значения.

От постоянных попыток мошеннического входа защитит включение многофакторной аутентификации. Она не сможет заблокировать только 0,1% атак, в ходе которых киберпреступники используют технические решения для захвата токенов МФА, но они происходят крайне редко.

Иск против Apple за «незаконное» включение двухфакторной аутентификации

11 февраля 2019 года стало известно, что житель Калифорнии Джей Бродски (Jay Brodsky) подал в суд на компанию Apple за «незаконное» включение двухфакторной аутентификации. Бродски жалуется на то, что двухфакторная аутентификация существенно усложняет жизнь пользователям, поскольку от них требуется не только помнить пароль, но еще и иметь доступ к доверенному телефону или телефонному номеру. Подробнее .

Похожие записи:

Топ-8 рандомайзеров для конкурсов в соцсетях Майнинг Топ-15 лучших работ в интернете без вложений с хорошей оплатой Как можно заработать биткоин бесплатно Бенефициары bitcoin-мании Как настроить систему видеонаблюдения по протоколу p2p?