Двухфакторная аутентификация: что это и зачем оно нужно?

[KL FC Bot]

Двухфакторная аутентификация — тема, которой мы так или иначе касаемся во многих наших постах. В прошлом году мы даже записали на эту тему целый подкаст. Однако ввиду возрастающего количества разных сервисов и все чаще случающихся атак на пользовательские аккаунты (как, например, перехваты контроля над учетными записями iCloud) мы решили посвятить этому виду аутентификации отдельную статью и рассказать о том, что это такое, как она работает и почему ее стоит использовать везде, где это возможно.

Что такое двухфакторная аутентификация?

Двухфакторная аутентификация — это метод идентификации пользоваться в каком-либо сервисе (как правило, в интернете) при помощи запроса аутентификационных данных двух разных типов, что обеспечивает двухслойную, а значит более эффективную, защиту аккаунта от несанкционированного проникновения. На практике это обычно выглядит так: первый рубеж — это логин и пароль, второй — специальный код, приходящий по SMS или электронной почте. Реже второй «слой» защиты запрашивает специальный USB-ключ или биометрические данные пользователя. В общем, суть подхода очень проста: чтобы куда-то попасть, нужно дважды подтвердить тот факт, что вы — это вы, причем при помощи двух «ключей», одним из которых вы владеете, а другой держите в памяти.

Двухфакторная аутентификация — это система доступа, основанная на двух «ключах»: одним вы владеете (телефон, на который приходит SMS с кодом), другой запоминаете (обычные логин и пароль).

Впрочем, двухфакторная защита — не панацея от угона аккаунта, но достаточно надежный барьер, серьезно усложняющий злоумышленникам доступ к чужим данным и в какой-то степени нивелирующий недостатки классической парольной защиты. Ведь у паролей, на которых основано подавляющее большинство авторизационных механизмов в интернете, есть неизбежные недостатки, которые фактически являются продолжением достоинств: короткие и простые пароли легко запомнить, но так же легко подобрать, а длинные и сложные трудно взломать, но и запомнить непросто. По этой причине многие люди используют довольно тривиальные пароли, причем сразу во многих местах. Второй фактор в подобных случаях оказывается крайне полезен, поскольку даже если пароль был скомпрометирован, злоумышленнику придется или раздобыть мобильник жертвы, или угнать ее почтовый ящик.

Несмотря на многочисленные попытки современного человечества заменить пароли чем-то поинтереснее, полностью избавиться от этой привычной всем парадигмы оказалось не так просто, так что двухфакторную аутентификацию можно считать одним из самых надежных механизмов защиты на сегодняшний день. Кстати, этот метод удобен еще и тем, что способен предупреждать хозяина аккаунта о попытке взлома: если на ваш телефон или почту вдруг приходит сообщение с одноразовым кодом, при том, что вы никаких попыток логина не предпринимали, значит вас пытаются взломать — самое время менять оказавшийся ненадежным пароль!

Где можно включить двухфакторную аутентификацию?

Ответом на этот вопрос может служить простое правило: если используемый вами сервис содержит важные для вас данные и позволяет включить двухфакторную аутентификацию, активируйте ее, не раздумывая! Вот, скажем, какой-нибудь Pinterest. Ну, не знаю… Если б у меня был аккаунт в этом сервисе, я бы вряд ли захотел каждый раз проходить долгую процедуру двухслойной авторизации. А вот интернет-банкинг, аккаунты в соцсетях, учетка в iCloud, почтовые ящики, и особенно ваши служебные учетные записи — все это однозначно стоит защитить двухфакторной аутентификацией. Сервисы Google, Apple и все основные социальные сети позволяют это сделать в настройках без особого труда.

Двухфакторная аутентификация — один из лучших методов защиты ваших аккаунтов #security

Tweet

К слову, если у вас есть свой сайт, скажем, на базе WordPress или другой подобной платформе, включить в настройках двухфакторную защиту тоже не будет лишним. В общем, повторюсь: если аккаунт и его содержимое вам дороги, не игнорируйте возможность усилить защиту.

Какие еще существуют виды двухфакторной аутентификации?

Выше я уже упомянул рассылку специального кода в виде SMS и email-сообщений и USB-ключи и смарт-карты, используемые преимущественно для доступа к некоторым видам интернет-ресурсов и VPN-сетям. Кроме того, существуют еще генераторы кодов (в виде брелока с кнопкой и небольшим экранчиком), технология SecureID и некоторые другие специфические методы, характерные в основном для корпоративного сектора. Есть и менее современные интерпретации: например, так называемые TAN-пароли (TAN, Transaction Authentication Number — аутентификационный номер транзакции). Возможно, вы даже сталкивались с ними, если были клиентом какого-нибудь не самого прогрессивного банка: при подключении интернет-банкинга клиенту выдавалась бумажка с заранее сформированным списком одноразовых паролей, которые вводятся один за другим при каждом входе в систему и/или совершении транзакции. Кстати, ваша банковская карта и PIN тоже формируют систему двухфакторной аутентификации: карточка — «ключ», которым вы владеете, а пин-код к ней — «ключ», который вы запоминаете.

Как я уже упомянул выше, существует и биометрический способ идентификации пользователя, который часто выступает в роли вторичного фактора защиты: одни системы подразумевают сканирование отпечатка пальца, другие определяют человека по глазам, есть даже те, которые ориентируются по «рисунку» сердцебиения. Но пока это все довольно экзотические методы, хотя и куда более популярные, чем, скажем, электромагнитные татуировки, которые по примеру радиочипов могут служить вторичным фактором аутентификации пользователя. Я бы от такой не отказался

Читать далее >>

[Pomka.]

в мордакнижке затроллил и тут вброшу

вы все видели какие ссылки ЛК отжигает?

http://ow.ly/xP7Y5

это что вообще за рандом букв цифр и символов ?

всю жизнь в ЛК всем твердили блондинкам и домохозяйкам не доверять подозрителным ссылкам

а сами в своем блоге вбрасывают при этом меня утверждают и убеждают что весь мир вплоть до блондинок и домохозяек знают что такое сокращатель ссылок

 

тут хоть шестерную аутентификация делай но по таким ссылкам вам там такое вгрузят

Изменено 10 июня, 2014 пользователем Pomka.

[Umnik]

Это называется "сервис сокращения ссылок". Из-за засилия Твиттеро-УГ они стали популярны. Странно другое - почему используется левый сервис, если есть доверенный kas.pr

[Pomka.]

Это называется "сервис сокращения ссылок". Из-за засилия Твиттеро-УГ они стали популярны. Странно другое - почему используется левый сервис, если есть доверенный kas.pr

вот и я им предложил что бы в рандом пихали хотя бы логотип конторы )))

а то всё как то стремно выглядит от антивирусной компании

[Камикадзе]

А какая вообще существует схема обхода двухфакторной аутентификации (логин с паролем и SMS код на телефон ) ну кроме завладения телефоном жертвы и случая , когда SMS приходит на тот же телефон ,на котором установлено приложение  интернет банкинга.

Не проще в сервисах установить аутентификацию по IP адресу как доверенный ПК . Злоумышленники же ещё не могут копировать IP адрес ?

[Денис-НН]

IP это вообще не метод аутенфикации.  Определяется IP не компьютера, а роутера провайдера. И запросто сотня- другая пользователей могут иметь одинаковые IP.

[Umnik]

Двухфакторная не означает, что именно SMS. Например у Гугла это приложение на телефоне, которое генерирует новый пароль каждые 60 секунд. Это может быть и еТокен, это может быть хардварный генератор, это может быть биометрический сенсор и прочее. В зависимости от этого и делаются обходы. Для SMS - троянец, для отпечатков пальца - отпечатки пальца на пленке.

[Камикадзе]

В случае со "Сбербанк Онлайн" .

Вход осуществляется с ПК ,SMS приходит на обычный java телефон не смартфон (троянец в таком телефоне отпадает ) .Если троян находится на ПК ,взломщик разве сможет войти одновременно со мной в одно и тоже время сразу после перехвата данных . Если он войдёт позже ,то SMS код же не получится использовать дважды . К тому же там ещё и любой перевод подтверждается по SMS .

[Umnik]

Ты хочешь понять, защищен ли твой метод или защищен ли ты сам?

[ajina.n]

Не всегда коммерчески оправдана - Webmoney, например, аккуратненько спишет денежку с Вашего счёта за каждое sms.

[Камикадзе]

Меня интересуют конкретно следующие вопросы :

Троянов для java телефонов нет ?

Даже если троян находится на ПК ,взломщик разве сможет войти одновременно со мной в одно и тоже время сразу после перехвата данных (логин с паролем и SMS код ) ?

Если он войдёт позже ,то SMS код же не получится использовать дважды ?

Или по другому ?

[Гарри]

@Камикадзе, Не ставьте ПО в телефон сим-карта с номером которого подключена к Мобильному банку. Сомнительное ПО не ставьте на ПК, используйте антивирус. Тогда не будет у вас проблем с использованием интернет-банкинга.

[-=Kirill Strelets=-]

Троянов для java телефонов нет ?

Конечно есть - открываешь приложение, а оно смс на короткие номера отправляет сама.

[Umnik]

 

 

Троянов для java телефонов нет ?

Есть. Примерно как вредоносы под Win9x.

 

 

Даже если троян находится на ПК ,взломщик разве сможет войти одновременно со мной в одно и тоже время сразу после перехвата данных (логин с паролем и SMS код )

В общем случае зависит от самого банка.

 

 

Если он войдёт позже ,то SMS код же не получится использовать дважды ?

Зависит от банка