В 2023 году 83% компаний хотя бы раз сталкивались со взломом акаунтов, говорится в исследовании “2024 State of Cloud Account Takeover Attacks”.
Одним из ключевых средств защиты от таких атак уже долгие годы остается двухфакторная аутентификация пользователей. Расскажем о ней подробнее.
История создания
Двухфакторная аутентификации (2FA) была запатентована в 1995 году компанией AT&T — в то время технология фокусировалась еще на пейджерах.
Механизм 2FA предполагает идентификацию пользователя на основе двух «ключей»: одним из них человек владеет (например, телефоном, на который приходит код подтверждения для входа в личных кабинет), другой запоминает (логин и пароль).
Таким образом, двухфакторная аутентификация не заменяет пароль, а обеспечивает дополнительную защиту аккаунта и персональных данных. Использовать же для входа только пароль небезопасно: злоумышленники могут либо подобрать верную комбинацию символов, либо использовать ранее слитые в сеть логины и пароли — тем более, что таких утечек становится все больше.
Важно, что многофакторная аутентификация позволяет и предупредить пользователя о попытке взлома аккаунта: если на телефон начинают приходить сообщения с кодом для подтверждения входа, в то время как человек не запрашивал соответствующие данные, — значит, аккаунт мог быть скомпрометирован.
Как устроена 2FA
Как говорилось выше, многофакторная аутентификация (наиболее распространенным видом которой является 2FA) предполагает, что пользователь должен несколько раз подтвердить свою личность. К категориям таких подтверждений относятся следующие факторы:
Соответственно для входа на ресурс, использующий 2FA, необходимо использовать комбинацию из двух разных факторов, например:
Важно подчеркнуть, что 2FA подразумевает подтверждение личности с помощью двух разных факторов. Поэтому сочетание, например, пароля и проверочного слова нельзя назвать многофакторной проверкой — в таком случае корректнее говорить про two-step verification.
И хотя необходимость многофакторной аутентификации во многом определяется степенью последствий возможного взлома аккаунта — мы бы рекомендовали настроить 2FA вообще везде, где это только возможно.
Минусы 2FA
При всей своей надежности, ни один способ защиты не гарантирует 100% результат — в том числе и 2FA. Например, подтверждающий код, отправленный на телефон, может быть перехвачен вредоносным приложением, а присланный на почту одноразовый пароль — использован злоумышленником, получившим доступ к почтовому ящику. Наконец, бывает, что человек сам делится всеми факторами аутентификации с мошенниками, использующими методы социальной инженерии.
Однако мы в Variti убеждены, что каждый дополнительный способ защиты повышает сохранность ваших данных и усложняет работу злоумышленников. По крайней мере, двухфакторная аутентификация защитит аккаунт от попыток "веерных" взломов, которые становятся все популярнее благодаря широкому распространению простых инструментов для атак.
Именно поэтому мы используем двухфакторную аутентификацию для защиты личных кабинетов клиентов — в сочетании с другими инструментами противодействия взломщикам.
Одним из ключевых средств защиты от таких атак уже долгие годы остается двухфакторная аутентификация пользователей. Расскажем о ней подробнее.
История создания
Двухфакторная аутентификации (2FA) была запатентована в 1995 году компанией AT&T — в то время технология фокусировалась еще на пейджерах.
Механизм 2FA предполагает идентификацию пользователя на основе двух «ключей»: одним из них человек владеет (например, телефоном, на который приходит код подтверждения для входа в личных кабинет), другой запоминает (логин и пароль).
Таким образом, двухфакторная аутентификация не заменяет пароль, а обеспечивает дополнительную защиту аккаунта и персональных данных. Использовать же для входа только пароль небезопасно: злоумышленники могут либо подобрать верную комбинацию символов, либо использовать ранее слитые в сеть логины и пароли — тем более, что таких утечек становится все больше.
Важно, что многофакторная аутентификация позволяет и предупредить пользователя о попытке взлома аккаунта: если на телефон начинают приходить сообщения с кодом для подтверждения входа, в то время как человек не запрашивал соответствующие данные, — значит, аккаунт мог быть скомпрометирован.
Как устроена 2FA
Как говорилось выше, многофакторная аутентификация (наиболее распространенным видом которой является 2FA) предполагает, что пользователь должен несколько раз подтвердить свою личность. К категориям таких подтверждений относятся следующие факторы:
- знание — та информация, которую знает пользователь. Это могут быть логин и пароль, пин-код, проверочное слово, ответ на контрольный вопрос и прочее;
- владение — устройство или вещь для аутентификации: например, смартфон, пластиковая карта с кодами, уникальный токен и другие;
- свойство — биометрические данные человека: отпечаток пальца, распознавание лица, голоса.
Соответственно для входа на ресурс, использующий 2FA, необходимо использовать комбинацию из двух разных факторов, например:
- логин и пароль + отправленный на устройство код;
- пин-код и биометрия;
- одноразовый пароль и отпечаток пальца.
Важно подчеркнуть, что 2FA подразумевает подтверждение личности с помощью двух разных факторов. Поэтому сочетание, например, пароля и проверочного слова нельзя назвать многофакторной проверкой — в таком случае корректнее говорить про two-step verification.
И хотя необходимость многофакторной аутентификации во многом определяется степенью последствий возможного взлома аккаунта — мы бы рекомендовали настроить 2FA вообще везде, где это только возможно.
Минусы 2FA
При всей своей надежности, ни один способ защиты не гарантирует 100% результат — в том числе и 2FA. Например, подтверждающий код, отправленный на телефон, может быть перехвачен вредоносным приложением, а присланный на почту одноразовый пароль — использован злоумышленником, получившим доступ к почтовому ящику. Наконец, бывает, что человек сам делится всеми факторами аутентификации с мошенниками, использующими методы социальной инженерии.
Однако мы в Variti убеждены, что каждый дополнительный способ защиты повышает сохранность ваших данных и усложняет работу злоумышленников. По крайней мере, двухфакторная аутентификация защитит аккаунт от попыток "веерных" взломов, которые становятся все популярнее благодаря широкому распространению простых инструментов для атак.
Именно поэтому мы используем двухфакторную аутентификацию для защиты личных кабинетов клиентов — в сочетании с другими инструментами противодействия взломщикам.
