Перейти к содержанию

Двухфакторная аутентификация: что это и зачем оно нужно?


Рекомендуемые сообщения

Двухфакторная аутентификация — тема, которой мы так или иначе касаемся во многих наших постах. В прошлом году мы даже записали на эту тему целый подкаст. Однако ввиду возрастающего количества разных сервисов и все чаще случающихся атак на пользовательские аккаунты (как, например, перехваты контроля над учетными записями iCloud) мы решили посвятить этому виду аутентификации отдельную статью и рассказать о том, что это такое, как она работает и почему ее стоит использовать везде, где это возможно.

Что такое двухфакторная аутентификация?

Что такое двухфакторная аутентификация?

Двухфакторная аутентификация — это метод идентификации пользоваться в каком-либо сервисе (как правило, в интернете) при помощи запроса аутентификационных данных двух разных типов, что обеспечивает двухслойную, а значит более эффективную, защиту аккаунта от несанкционированного проникновения. На практике это обычно выглядит так: первый рубеж — это логин и пароль, второй — специальный код, приходящий по SMS или электронной почте. Реже второй «слой» защиты запрашивает специальный USB-ключ или биометрические данные пользователя. В общем, суть подхода очень проста: чтобы куда-то попасть, нужно дважды подтвердить тот факт, что вы — это вы, причем при помощи двух «ключей», одним из которых вы владеете, а другой держите в памяти.

Двухфакторная аутентификация — это система доступа, основанная на двух «ключах»: одним вы владеете (телефон, на который приходит SMS с кодом), другой запоминаете (обычные логин и пароль).

Впрочем, двухфакторная защита — не панацея от угона аккаунта, но достаточно надежный барьер, серьезно усложняющий злоумышленникам доступ к чужим данным и в какой-то степени нивелирующий недостатки классической парольной защиты. Ведь у паролей, на которых основано подавляющее большинство авторизационных механизмов в интернете, есть неизбежные недостатки, которые фактически являются продолжением достоинств: короткие и простые пароли легко запомнить, но так же легко подобрать, а длинные и сложные трудно взломать, но и запомнить непросто. По этой причине многие люди используют довольно тривиальные пароли, причем сразу во многих местах. Второй фактор в подобных случаях оказывается крайне полезен, поскольку даже если пароль был скомпрометирован, злоумышленнику придется или раздобыть мобильник жертвы, или угнать ее почтовый ящик.

Несмотря на многочисленные попытки современного человечества заменить пароли чем-то поинтереснее, полностью избавиться от этой привычной всем парадигмы оказалось не так просто, так что двухфакторную аутентификацию можно считать одним из самых надежных механизмов защиты на сегодняшний день. Кстати, этот метод удобен еще и тем, что способен предупреждать хозяина аккаунта о попытке взлома: если на ваш телефон или почту вдруг приходит сообщение с одноразовым кодом, при том, что вы никаких попыток логина не предпринимали, значит вас пытаются взломать — самое время менять оказавшийся ненадежным пароль!

Где можно включить двухфакторную аутентификацию?

Ответом на этот вопрос может служить простое правило: если используемый вами сервис содержит важные для вас данные и позволяет включить двухфакторную аутентификацию, активируйте ее, не раздумывая! Вот, скажем, какой-нибудь Pinterest. Ну, не знаю… Если б у меня был аккаунт в этом сервисе, я бы вряд ли захотел каждый раз проходить долгую процедуру двухслойной авторизации. А вот интернет-банкинг, аккаунты в соцсетях, учетка в iCloud, почтовые ящики, и особенно ваши служебные учетные записи — все это однозначно стоит защитить двухфакторной аутентификацией. Сервисы Google, Apple и все основные социальные сети позволяют это сделать в настройках без особого труда.

Двухфакторная аутентификация — один из лучших методов защиты ваших аккаунтов #security

Tweet

К слову, если у вас есть свой сайт, скажем, на базе WordPress или другой подобной платформе, включить в настройках двухфакторную защиту тоже не будет лишним. В общем, повторюсь: если аккаунт и его содержимое вам дороги, не игнорируйте возможность усилить защиту.

Какие еще существуют виды двухфакторной аутентификации?

Выше я уже упомянул рассылку специального кода в виде SMS и email-сообщений и USB-ключи и смарт-карты, используемые преимущественно для доступа к некоторым видам интернет-ресурсов и VPN-сетям. Кроме того, существуют еще генераторы кодов (в виде брелока с кнопкой и небольшим экранчиком), технология SecureID и некоторые другие специфические методы, характерные в основном для корпоративного сектора. Есть и менее современные интерпретации: например, так называемые TAN-пароли (TAN, Transaction Authentication Number — аутентификационный номер транзакции). Возможно, вы даже сталкивались с ними, если были клиентом какого-нибудь не самого прогрессивного банка: при подключении интернет-банкинга клиенту выдавалась бумажка с заранее сформированным списком одноразовых паролей, которые вводятся один за другим при каждом входе в систему и/или совершении транзакции. Кстати, ваша банковская карта и PIN тоже формируют систему двухфакторной аутентификации: карточка — «ключ», которым вы владеете, а пин-код к ней — «ключ», который вы запоминаете.

Как я уже упомянул выше, существует и биометрический способ идентификации пользователя, который часто выступает в роли вторичного фактора защиты: одни системы подразумевают сканирование отпечатка пальца, другие определяют человека по глазам, есть даже те, которые ориентируются по «рисунку» сердцебиения. Но пока это все довольно экзотические методы, хотя и куда более популярные, чем, скажем, электромагнитные татуировки, которые по примеру радиочипов могут служить вторичным фактором аутентификации пользователя. Я бы от такой не отказался :)



Читать далее >>
  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

в мордакнижке затроллил и тут вброшу

вы все видели какие ссылки ЛК отжигает?

http://ow.ly/xP7Y5

это что вообще за рандом букв цифр и символов ?

всю жизнь в ЛК всем твердили блондинкам и домохозяйкам не доверять подозрителным ссылкам

а сами в своем блоге вбрасывают при этом меня утверждают и убеждают что весь мир вплоть до блондинок и домохозяек знают что такое сокращатель ссылок

 

тут хоть шестерную аутентификация делай но по таким ссылкам вам там такое вгрузят

Изменено пользователем Pomka.
Ссылка на комментарий
Поделиться на другие сайты

Это называется "сервис сокращения ссылок". Из-за засилия Твиттеро-УГ они стали популярны. Странно другое - почему используется левый сервис, если есть доверенный kas.pr

Ссылка на комментарий
Поделиться на другие сайты

Это называется "сервис сокращения ссылок". Из-за засилия Твиттеро-УГ они стали популярны. Странно другое - почему используется левый сервис, если есть доверенный kas.pr

вот и я им предложил что бы в рандом пихали хотя бы логотип конторы )))

а то всё как то стремно выглядит от антивирусной компании

Ссылка на комментарий
Поделиться на другие сайты

А какая вообще существует схема обхода двухфакторной аутентификации (логин с паролем и SMS код на телефон ) ну кроме завладения телефоном жертвы и случая , когда SMS приходит на тот же телефон ,на котором установлено приложение  интернет банкинга.

Не проще в сервисах установить аутентификацию по IP адресу как доверенный ПК . Злоумышленники же ещё не могут копировать IP адрес ?

Ссылка на комментарий
Поделиться на другие сайты

IP это вообще не метод аутенфикации.  Определяется IP не компьютера, а роутера провайдера. И запросто сотня- другая пользователей могут иметь одинаковые IP.

Ссылка на комментарий
Поделиться на другие сайты

Двухфакторная не означает, что именно SMS. Например у Гугла это приложение на телефоне, которое генерирует новый пароль каждые 60 секунд. Это может быть и еТокен, это может быть хардварный генератор, это может быть биометрический сенсор и прочее. В зависимости от этого и делаются обходы. Для SMS - троянец, для отпечатков пальца - отпечатки пальца на пленке.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

В случае со "Сбербанк Онлайн" .

Вход осуществляется с ПК ,SMS приходит на обычный java телефон не смартфон (троянец в таком телефоне отпадает ) .Если троян находится на ПК ,взломщик разве сможет войти одновременно со мной в одно и тоже время сразу после перехвата данных . Если он войдёт позже ,то SMS код же не получится использовать дважды . К тому же там ещё и любой перевод подтверждается по SMS .

Ссылка на комментарий
Поделиться на другие сайты

Меня интересуют конкретно следующие вопросы :

Троянов для java телефонов нет ?

Даже если троян находится на ПК ,взломщик разве сможет войти одновременно со мной в одно и тоже время сразу после перехвата данных (логин с паролем и SMS код ) ?

Если он войдёт позже ,то SMS код же не получится использовать дважды ?

Или по другому ?

Ссылка на комментарий
Поделиться на другие сайты

@Камикадзе, Не ставьте ПО в телефон сим-карта с номером которого подключена к Мобильному банку. Сомнительное ПО не ставьте на ПК, используйте антивирус. Тогда не будет у вас проблем с использованием интернет-банкинга.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Троянов для java телефонов нет ?

Конечно есть - открываешь приложение, а оно смс на короткие номера отправляет сама.

Ссылка на комментарий
Поделиться на другие сайты

 

 


Троянов для java телефонов нет ?

Есть. Примерно как вредоносы под Win9x.

 

 


Даже если троян находится на ПК ,взломщик разве сможет войти одновременно со мной в одно и тоже время сразу после перехвата данных (логин с паролем и SMS код )

В общем случае зависит от самого банка.

 

 


Если он войдёт позже ,то SMS код же не получится использовать дважды ?

Зависит от банка

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • KL FC Bot
      От KL FC Bot
      Плохие новости для компаний, использующих сайты на базе WordPress с механизмом двухфакторной аутентификации, реализованным через плагин Really Simple Security. Недавно обнаруженная в этом плагине уязвимость CVE-2024-10924 позволяет постороннему человеку аутентифицироваться на сайте под видом легитимного пользователя. Поэтому плагин рекомендуется обновить как можно быстрее.
      Чем опасна уязвимость CVE-2024-10924
      Как бы иронично это ни звучало, но уязвимость CVE-2024-10924 в плагине с названием Really Simple Security имеет CVSS-рейтинг 9.8 и классифицируется как критическая. По сути это ошибка в механизме аутентификации, из-за которой атакующий может залогиниться на сайте как любой из зарегистрированных на нем пользователей, с полными его правами (даже админскими). В результате это может привести к перехвату контроля над сайтом.
      На GitHub уже появились доказательства возможности эксплуатации этой уязвимости. Более того, судя по всему, ее применение можно автоматизировать. Исследователи из Wordfence, обнаружившие CVE-2024-10924, назвали ее самой опасной уязвимостью, обнаруженной ими за 12 лет работы в сфере безопасности WordPress.
       
      View the full article
    • Alexk6
      От Alexk6
      После криворукого админа возникли проблемы. Поймали шифровальщик. Админ сделал терминальный сервер из Win 11 Home на котором работали 6-7 человек, все с админскими правами. Браузером пользовались все с этого сервера. Файлы меньше 8 мб не затронуты. Ссылка на шифрованный файл и его орегинал https://cloud.mail.ru/public/a4nf/zJDX69Qs9
    • KL FC Bot
      От KL FC Bot
      Мы уже писали о том, что делать, когда вам неожиданно приходит сообщение с одноразовым кодом для входа в принадлежащий вам аккаунт, который вы не запрашивали (спойлер: скорее всего, это попытка взлома, и пора задуматься о надежной защите всех своих устройств).
      Но иногда бывает и иначе: вам приходит сообщение с кодом двухфакторной аутентификации от некоего сервиса… вот только аккаунта в этом сервисе у вас нет и никогда не было. В этом посте поговорим о том, из-за чего так может получиться, а также о том, как на подобные сообщения следует реагировать.
      Откуда берутся SMS с кодами для входа в сервисы, в которых вы не регистрировались
      Есть два базовых объяснения того факта, что вам приходят одноразовые коды для входа в аккаунт, который вам совершенно точно не принадлежит.
      Первое, оно же наиболее вероятное объяснение: до того, как вы приобрели данный номер телефона, он уже кому-то принадлежал, но был отключен после прекращения контракта телеком-оператора с данным абонентом. Это называется «переиспользование телефонных номеров» — совершенно нормальная практика у поставщиков сотовой связи.
      Соответственно, предыдущий владелец номера когда-то действительно зарегистрировал на него аккаунт. И теперь либо он сам пытается в него войти, либо какой-то злоумышленник пытается этот аккаунт взломать. Попытки входа приводят к тому, что на номер телефона, который теперь уже принадлежит вам, приходят SMS с одноразовыми кодами.
      Второе объяснение: кто-то непреднамеренно пытается зарегистрировать учетную запись на ваш номер телефона. Возможно, этот кто-то «ошибся номером», то есть вводил другие цифры, но опечатался. А может быть, этот кто-то ввел случайный набор цифр, который, так уж вышло, оказался вашим номером телефона.
       
      View the full article
    • Muhamor
      От Muhamor
      собственно зашифровало нужные файлы. Прошу помощи. 
      Addition.txt FRST.txt бухгал. письма на передвижку.docx.rar
    • tr01
      От tr01
      Добрый день
      Подскажите, пожалуйста, сможете ли вы помочь в ситуации, если сервер в зломали и упаковали файлы в архив rar?После этого был Backdoor, но вроде бы уже удален антивирусом, восстановить файлы с диска не получается (затерты архивами). 
      Addition.txt FRST.txt отчет.txt пароль к архиву - копия (72) — копия — копия.txt
×
×
  • Создать...