Для чего нужна и как работает двухфакторная аутенфикация

По мнению разработчика ПО и сервисов для защиты данных Splash­Data, лидером среди паролей на протяжении многих лет является сочетание цифр «123456». Тому, кто использует такой пароль, не стоит удивляться, если злоумышленники быстро и без усилий получат доступ к его учетной записи. Противовесом может стать включение пользователем простой дополнительной функции: двухфакторной аутентификации (2FA).

В этом случае для успешного входа в систему наряду с именем пользователя и паролем требуется одноразовый пароль. В целом принцип действия аналогичен методу ввода PIN/TAN-кода при подтверждении банковских онлайн-операций. Функция 2FA обеспечивает повышенную безопасность, ведь «взломщику» приходится атаковать одновременно два устройства (например, ПК и смартфон), согласованных друг с другом.

Больше безопасности при меньшем уровне затрат

Для защиты с применением 2FA требуется либо смартфон, либо специальный USB-токен, действующий по протоколу U2F (Universal 2nd Factor). Он оснащен наиболее устойчивой на данный момент системой шифрования для проведения аутентификации. В случае использования смартфона при каждом входе в систему второй пароль отправляется непосредственно в SMS.

При использовании приложений, доступных для всех основных операционных систем, программа генерирует пароль в режиме реального времени. Подобный метод имеет особое преимущество для путешественников: в этом случае получение одноразового кода происходит без SMS, стоимость которого за границей может быть весьма существенной.

Обработка данных в веб-службах, как правило, длится меньше минуты. При использовании SMS верификация и отправка сообщения осуществляется после ввода номера смартфона. При использовании приложения необходимо отсканировать QR-код, обычно отображаемый на экране, а в случае USB-токена достаточно его просто подключить.

Двухфакторная аутентификация уже используется различными веб-сервисами, включая PayPal, Gmail и YouTube. При наличии выбора в этих и других службах следует делать ставку на мобильное приложение или USB-то­кен, так как если ваш смартфон заражен вирусом, то, в принципе, вредоносное ПО наряду с паролем может перехватить и содержимое SMS-сообщения.

Двухфакторная защита: что для этого нужно?

SMS-токен: Одноразовые пароли вы получаете на смартфон в SMS аналогично mTAN-кодам при банковском обслуживании через Интернет. Для взлома вашего аккаунта зло­умышленнику придется узнать пароль от аккаунта и дополнительно перехватить SMS. Это не является невозможным, однако гораздо сложнее, чем при использовании обычной учетной записи с логином и паролем.

U2F-токен: На USB-токенах, обеспечивающих безопасность, хранится несчитываемый ключ. При входе в систему коммуникация осуществляется через токен. Сервер авторизации отправляет токену запрос, на что токен через приложение отправляет ответ. Для смартфонов, использующих технологию NFC, достаточно расположить токен вблизи телефона с соответствующим приложением для авторизации.

Токен приложения: Для всех основных операционных систем (как мобильных, так и для настольных компьютеров) доступны приложения, генерирующие одноразовые пароли. Кроме того, в зависимости от приложения в программах предусмотрен мастер-пароль. Если хакеры получат доступ к устройству, они смогут получить коды, лишь потратив много усилий и времени.

Лучшие приложения для защиты под iOS, Android и Windows Phone

OTPAuth (iOS): Программа защищает доступ к одноразовым паролям с помощью технологии Touch-ID, то есть сканера отпечатков пальцев. Кроме того, конфигурацию можно сохранить в качестве резервной копии в облачных сервисах.

Authy (Android): Благодаря автоматической синхронизации можно переносить настройки двухфакторной аутентификации на различные устройства. Также приложение предлагает функцию резервного копирования и защиту PIN-кода.

Authenticator (Windows Phone): Приложение поставляется компанией Microsoft и обеспечивает локальную защиту на смартфоне путем шифрования. Однако в приложении для Windows Phone пока отсутствует функция резервного копирования.

Самые крупные утечки данных 2015 года

Посредством атак на базы данных крупных предприятий хакерам часто удавалось захватить пароли пользователей. «Пострадавшим» следовало незамедлительно изменить свой пароль.

12 млн аккаунтов: 21-летний хакер похитил пароли и другие важные сведения из базы данных компании-производителя игрушек VTech.

11,2 млн аккаунтов: При взломе сайта знакомств Ashley Madison пароли были украдены и опубликованы в Интернете.

2,3 млн аккаунтов: Пользователи подверглись вымогательству после кражи данных краудфандинговой платформы Patreon.

Фото: компании-производители; iStockphoto/g-stockstudio; Yubico; Legion-Media