Перейти к содержимому


Фотография

Двухфакторная аутентификация: что это и зачем оно нужно?


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 13

#1 OFF   KL FC Bot

KL FC Bot

    Профи

  • Робот
  • PipPipPipPipPipPipPip
  • Cообщений: 1 327

Отправлено 09 Июнь 2014 - 20:36

Двухфакторная аутентификация — тема, которой мы так или иначе касаемся во многих наших постах. В прошлом году мы даже записали на эту тему целый подкаст. Однако ввиду возрастающего количества разных сервисов и все чаще случающихся атак на пользовательские аккаунты (как, например, перехваты контроля над учетными записями iCloud) мы решили посвятить этому виду аутентификации отдельную статью и рассказать о том, что это такое, как она работает и почему ее стоит использовать везде, где это возможно.

Что такое двухфакторная аутентификация?

Что такое двухфакторная аутентификация?

Двухфакторная аутентификация — это метод идентификации пользоваться в каком-либо сервисе (как правило, в интернете) при помощи запроса аутентификационных данных двух разных типов, что обеспечивает двухслойную, а значит более эффективную, защиту аккаунта от несанкционированного проникновения. На практике это обычно выглядит так: первый рубеж — это логин и пароль, второй — специальный код, приходящий по SMS или электронной почте. Реже второй «слой» защиты запрашивает специальный USB-ключ или биометрические данные пользователя. В общем, суть подхода очень проста: чтобы куда-то попасть, нужно дважды подтвердить тот факт, что вы — это вы, причем при помощи двух «ключей», одним из которых вы владеете, а другой держите в памяти.

Двухфакторная аутентификация — это система доступа, основанная на двух «ключах»: одним вы владеете (телефон, на который приходит SMS с кодом), другой запоминаете (обычные логин и пароль).

Впрочем, двухфакторная защита — не панацея от угона аккаунта, но достаточно надежный барьер, серьезно усложняющий злоумышленникам доступ к чужим данным и в какой-то степени нивелирующий недостатки классической парольной защиты. Ведь у паролей, на которых основано подавляющее большинство авторизационных механизмов в интернете, есть неизбежные недостатки, которые фактически являются продолжением достоинств: короткие и простые пароли легко запомнить, но так же легко подобрать, а длинные и сложные трудно взломать, но и запомнить непросто. По этой причине многие люди используют довольно тривиальные пароли, причем сразу во многих местах. Второй фактор в подобных случаях оказывается крайне полезен, поскольку даже если пароль был скомпрометирован, злоумышленнику придется или раздобыть мобильник жертвы, или угнать ее почтовый ящик.

Несмотря на многочисленные попытки современного человечества заменить пароли чем-то поинтереснее, полностью избавиться от этой привычной всем парадигмы оказалось не так просто, так что двухфакторную аутентификацию можно считать одним из самых надежных механизмов защиты на сегодняшний день. Кстати, этот метод удобен еще и тем, что способен предупреждать хозяина аккаунта о попытке взлома: если на ваш телефон или почту вдруг приходит сообщение с одноразовым кодом, при том, что вы никаких попыток логина не предпринимали, значит вас пытаются взломать — самое время менять оказавшийся ненадежным пароль!

Где можно включить двухфакторную аутентификацию?

Ответом на этот вопрос может служить простое правило: если используемый вами сервис содержит важные для вас данные и позволяет включить двухфакторную аутентификацию, активируйте ее, не раздумывая! Вот, скажем, какой-нибудь Pinterest. Ну, не знаю… Если б у меня был аккаунт в этом сервисе, я бы вряд ли захотел каждый раз проходить долгую процедуру двухслойной авторизации. А вот интернет-банкинг, аккаунты в соцсетях, учетка в iCloud, почтовые ящики, и особенно ваши служебные учетные записи — все это однозначно стоит защитить двухфакторной аутентификацией. Сервисы Google, Apple и все основные социальные сети позволяют это сделать в настройках без особого труда.

К слову, если у вас есть свой сайт, скажем, на базе WordPress или другой подобной платформе, включить в настройках двухфакторную защиту тоже не будет лишним. В общем, повторюсь: если аккаунт и его содержимое вам дороги, не игнорируйте возможность усилить защиту.

Какие еще существуют виды двухфакторной аутентификации?

Выше я уже упомянул рассылку специального кода в виде SMS и email-сообщений и USB-ключи и смарт-карты, используемые преимущественно для доступа к некоторым видам интернет-ресурсов и VPN-сетям. Кроме того, существуют еще генераторы кодов (в виде брелока с кнопкой и небольшим экранчиком), технология SecureID и некоторые другие специфические методы, характерные в основном для корпоративного сектора. Есть и менее современные интерпретации: например, так называемые TAN-пароли (TAN, Transaction Authentication Number — аутентификационный номер транзакции). Возможно, вы даже сталкивались с ними, если были клиентом какого-нибудь не самого прогрессивного банка: при подключении интернет-банкинга клиенту выдавалась бумажка с заранее сформированным списком одноразовых паролей, которые вводятся один за другим при каждом входе в систему и/или совершении транзакции. Кстати, ваша банковская карта и PIN тоже формируют систему двухфакторной аутентификации: карточка — «ключ», которым вы владеете, а пин-код к ней — «ключ», который вы запоминаете.

Как я уже упомянул выше, существует и биометрический способ идентификации пользователя, который часто выступает в роли вторичного фактора защиты: одни системы подразумевают сканирование отпечатка пальца, другие определяют человека по глазам, есть даже те, которые ориентируются по «рисунку» сердцебиения. Но пока это все довольно экзотические методы, хотя и куда более популярные, чем, скажем, электромагнитные татуировки, которые по примеру радиочипов могут служить вторичным фактором аутентификации пользователя. Я бы от такой не отказался :)


Читать далее >>
  • 0
  • Спасибо x 1
  • Показать

#2 OFF   Pomka.

Pomka.

    Хранитель баннеров.

  • Старожилы
  • Золотые бета-тестеры
  • PipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 7 305

Награды

     

Отправлено 10 Июнь 2014 - 15:23

в мордакнижке затроллил и тут вброшу

вы все видели какие ссылки ЛК отжигает?

http://ow.ly/xP7Y5

это что вообще за рандом букв цифр и символов ?

всю жизнь в ЛК всем твердили блондинкам и домохозяйкам не доверять подозрителным ссылкам

а сами в своем блоге вбрасывают при этом меня утверждают и убеждают что весь мир вплоть до блондинок и домохозяек знают что такое сокращатель ссылок

 

тут хоть шестерную аутентификация делай но по таким ссылкам вам там такое вгрузят


Сообщение отредактировал Pomka.: 10 Июнь 2014 - 15:30

  • 0
Gold beta testers :Kaspersky SocialProtect scans Facebook>Friend or Foe? Facebook>
Gold beta testers :KIS6>KIS7>KIS8>KIS11>KIS12>KIS13>KIS14 :CRYSTAL 3.0
Gold beta testers :KMS8>KMS9>KES8>KTS9>KMS10>KES10>KTS10>KIS11 :Kaspersky Safe Money for Android Закрытое тестирование.
Звонок в техподдержку: "Было плохо, стало ещё хуже. Сделайте, чтобы было опять просто плохо."
Официальные открытия Фан-Клуба ЛК:(ссылки кликабельны)
1. Россия г.Москва 12 января 2007г. 2. Украина г.Киев 02 июля 2009г. 3. Казахстан г.Алматы 30 апреля 2010г. 4. Беларусь г.Минск 17 декабря 2011г.
5. Россия г.Новосибирск 26 апреля 2013г.
Мой Блог: Pomka.(GBT)&LK Вставка плеера на форуме [media тут линк [/media]

#3 OFF   Umnik

Umnik

    Корифей

  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 6 319

Отправлено 10 Июнь 2014 - 15:38

Это называется "сервис сокращения ссылок". Из-за засилия Твиттеро-УГ они стали популярны. Странно другое - почему используется левый сервис, если есть доверенный kas.pr


  • 0

#4 OFF   Pomka.

Pomka.

    Хранитель баннеров.

  • Старожилы
  • Золотые бета-тестеры
  • PipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 7 305

Награды

     

Отправлено 10 Июнь 2014 - 15:41

Это называется "сервис сокращения ссылок". Из-за засилия Твиттеро-УГ они стали популярны. Странно другое - почему используется левый сервис, если есть доверенный kas.pr

вот и я им предложил что бы в рандом пихали хотя бы логотип конторы )))

а то всё как то стремно выглядит от антивирусной компании


  • 0
Gold beta testers :Kaspersky SocialProtect scans Facebook>Friend or Foe? Facebook>
Gold beta testers :KIS6>KIS7>KIS8>KIS11>KIS12>KIS13>KIS14 :CRYSTAL 3.0
Gold beta testers :KMS8>KMS9>KES8>KTS9>KMS10>KES10>KTS10>KIS11 :Kaspersky Safe Money for Android Закрытое тестирование.
Звонок в техподдержку: "Было плохо, стало ещё хуже. Сделайте, чтобы было опять просто плохо."
Официальные открытия Фан-Клуба ЛК:(ссылки кликабельны)
1. Россия г.Москва 12 января 2007г. 2. Украина г.Киев 02 июля 2009г. 3. Казахстан г.Алматы 30 апреля 2010г. 4. Беларусь г.Минск 17 декабря 2011г.
5. Россия г.Новосибирск 26 апреля 2013г.
Мой Блог: Pomka.(GBT)&LK Вставка плеера на форуме [media тут линк [/media]

#5 OFF   Камикадзе

Камикадзе

    Новичок

  • Новички
  • Cообщений: 23

Отправлено 10 Июнь 2014 - 18:08

А какая вообще существует схема обхода двухфакторной аутентификации (логин с паролем и SMS код на телефон ) ну кроме завладения телефоном жертвы и случая , когда SMS приходит на тот же телефон ,на котором установлено приложение  интернет банкинга.

Не проще в сервисах установить аутентификацию по IP адресу как доверенный ПК . Злоумышленники же ещё не могут копировать IP адрес ?


  • 0

#6 OFF   Денис-НН

Денис-НН

    Корифей

  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 6 130

Награды

        

Отправлено 10 Июнь 2014 - 19:19

IP это вообще не метод аутенфикации.  Определяется IP не компьютера, а роутера провайдера. И запросто сотня- другая пользователей могут иметь одинаковые IP.


  • 0

Отчёт GSI   Пункт 6 -лог обновлениях Утилита удаления продуктов ЛК
---------------------------------------------------------------------------------------------------------------------
В целЯх природы обузданья,
В целЯх рассеять неученья
Тьму
Берём картину мироздания – да!
И тупо смотрим, что к чему...
А.и Б. Стругацкие.


#7 OFF   Umnik

Umnik

    Корифей

  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 6 319

Отправлено 10 Июнь 2014 - 19:29

Двухфакторная не означает, что именно SMS. Например у Гугла это приложение на телефоне, которое генерирует новый пароль каждые 60 секунд. Это может быть и еТокен, это может быть хардварный генератор, это может быть биометрический сенсор и прочее. В зависимости от этого и делаются обходы. Для SMS - троянец, для отпечатков пальца - отпечатки пальца на пленке.


  • 0
  • Согласен x 1
  • Показать

#8 OFF   Камикадзе

Камикадзе

    Новичок

  • Новички
  • Cообщений: 23

Отправлено 10 Июнь 2014 - 19:53

В случае со "Сбербанк Онлайн" .

Вход осуществляется с ПК ,SMS приходит на обычный java телефон не смартфон (троянец в таком телефоне отпадает ) .Если троян находится на ПК ,взломщик разве сможет войти одновременно со мной в одно и тоже время сразу после перехвата данных . Если он войдёт позже ,то SMS код же не получится использовать дважды . К тому же там ещё и любой перевод подтверждается по SMS .


  • 0

#9 OFF   Umnik

Umnik

    Корифей

  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 6 319

Отправлено 11 Июнь 2014 - 12:42

Ты хочешь понять, защищен ли твой метод или защищен ли ты сам?


  • 0

#10 OFF   ajina.n

ajina.n

    Профи

  • Старожилы
  • PipPipPipPipPip
  • Cообщений: 873

Отправлено 11 Июнь 2014 - 13:43

Не всегда коммерчески оправдана - Webmoney, например, аккуратненько спишет денежку с Вашего счёта за каждое sms.
  • 0
Изображение

#11 OFF   Камикадзе

Камикадзе

    Новичок

  • Новички
  • Cообщений: 23

Отправлено 11 Июнь 2014 - 17:05

Меня интересуют конкретно следующие вопросы :

Троянов для java телефонов нет ?

Даже если троян находится на ПК ,взломщик разве сможет войти одновременно со мной в одно и тоже время сразу после перехвата данных (логин с паролем и SMS код ) ?

Если он войдёт позже ,то SMS код же не получится использовать дважды ?

Или по другому ?


  • 0

#12 OFF   Гарри

Гарри

    Опытный

  • Активисты
  • PipPipPip
  • Cообщений: 476

Отправлено 11 Июнь 2014 - 23:23

Камикадзе, Не ставьте ПО в телефон сим-карта с номером которого подключена к Мобильному банку. Сомнительное ПО не ставьте на ПК, используйте антивирус. Тогда не будет у вас проблем с использованием интернет-банкинга.


  • 1
Всё, что ты говоришь, — говорит о тебе; особенно, когда ты говоришь о ком-нибудь другом.

"Не говорите кому-то, что он не прав, до того момента, пока не посмотрите на ситуацию с его точки зрения"

#13 OFF   -=Kirill Strelets=-

-=Kirill Strelets=-

    Ветеран

  • Старожилы
  • Команда ЛК
  • PipPipPipPipPipPipPip
  • Cообщений: 1 455

Отправлено 12 Июнь 2014 - 12:57

Троянов для java телефонов нет ?

Конечно есть - открываешь приложение, а оно смс на короткие номера отправляет сама.


  • 0

#14 OFF   Umnik

Umnik

    Корифей

  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 6 319

Отправлено 16 Июнь 2014 - 10:09


Троянов для java телефонов нет ?

Есть. Примерно как вредоносы под Win9x.


Даже если троян находится на ПК ,взломщик разве сможет войти одновременно со мной в одно и тоже время сразу после перехвата данных (логин с паролем и SMS код )

В общем случае зависит от самого банка.


Если он войдёт позже ,то SMS код же не получится использовать дважды ?

Зависит от банка


  • 0




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных