В средствах массовой информации то и дело появляются сообщения о масштабных хакерских атаках. Интернет-преступники получают в свои руки тысячи адресов электронной почты и паролей от крупных веб-платформ, форумов или интернет-магазинов и получают несанкционированный доступ к аккаунтам своих жертв. Эти так называемые фишинговые атаки также дают преступникам доступ к конфиденциальной информации о счетах. Одним из самых надежных способов защиты собственных аккаунтов от преступного вмешательства является метод двухфакторной аутентификации: При этом доступ к счету возможен только при повторном подтверждении личности. В нашей статье мы объясним, что такое двухфакторная аутентификация, как она работает на практике, какие преимущества и недостатки имеет этот метод.
Что такое двухфакторная аутентификация?
Двухфакторная аутентификация объединяет два различных и независимых компонента идентификации для установления личности легитимного пользователя. С простым повседневным примером двухфакторной аутентификации вы сталкиваетесь каждый день в банкомате или на кассе супермаркета: Чтобы снять деньги или расплатиться картой в магазине, необходимы два компонента: Ваша дебетовая или кредитная карта и Ваш пин-код (или подпись). Только при правильном сочетании этих двух компонентов двухфакторная аутентификация является успешной. Тот же принцип можно применить и для защиты учетных записей электронной почты, аккаунтов интернет-магазинов или других крупных веб-порталов.
К сожалению, подавляющее большинство учетных записей в Интернете по-прежнему защищено только одним компонентом: Для входа в учетную запись электронной почты, облачный сервис или интернет-магазин обычно требуется только один пароль. Если его взломать, хакеры могут получить быстрый доступ к конфиденциальной электронной почте, информации о счетах и другим личным данным. Чтобы предотвратить это, все большее число провайдеров, таких как Dropbox, Google или Amazon, внедряют двухфакторную аутентификацию в качестве дополнительной меры безопасности для своих соответствующих сервисов. Этот метод может работать по-разному, в зависимости от того, какие из различных компонентов объединяются для его создания.
Как работает двухфакторная аутентификация?
Компоненты или факторы, необходимые для доступа в двухфакторной аутентификации, могут быть самыми разными. Наиболее важными и наиболее широко используемыми факторами являются:
- Токен или карта доступа
- PIN (персональный идентификационный номер)
- TAN (номер транзакции)
- Пароль
- Биометрическая характеристика (например, отпечаток пальца, голос или радужная оболочка глаза).
Все эти факторы требуют чего-то для идентификации легитимного лица, что они либо знают, либо имеют, либо неразрывно связаны с ним («знают», «имеют», «являются»). Пример с банковским счетом показывает, что в повседневной жизни обычно какие-то жетоны сочетаются с одним из других факторов. Но этот метод имеет тот критический недостаток, что даже авторизованные лица не могут получить доступ, не имея при себе токена — что может привести к непреднамеренным моментам блокировки доступа (например, неправильный ввод).
По этой причине в Интернете для идентификации легитимных пользователей все чаще используются системы двухфакторной аутентификации, в которых классические токены не требуются или риск их потери, по крайней мере, сведен к минимуму: Как правило, в дополнение к паролю система генерирует автоматический код. Он доставляется авторизованному пользователю с помощью его смартфона — либо через SMS, либо по почте, либо через специальное приложение для аутентификации. Это гарантирует, что дополнительный код безопасности получит только тот человек, который должен иметь доступ. Преимущество: код действителен только один раз и автоматически теряет свою силу по истечении определенного времени.
Преимущество двухфакторной аутентификации без маркера или карты доступа заключается также в том, что можно определить дополнительные способы получения кода безопасности: Если, например, доступ к приложению невозможен, то код может быть альтернативно отправлен по SMS, или авторизованный пользователь может получить телефонный звонок с автоматическим сообщением кода.
Зачем использовать двухфакторную аутентификацию?
Стопроцентная безопасность аккаунта никогда не гарантируется — так зачем вообще устанавливать двухфакторную аутентификацию? Ответ довольно очевиден: двухфакторная аутентификация добавляет дополнительный шаг к процессу идентификации, или своего рода второе препятствие, которое неавторизованные лица должны сначала преодолеть. В результате почти все распространенные фишинговые атаки проваливаются.
При фишинге интернет-преступники пытаются отправить ссылки на подготовленные веб-сайты через поддельные электронные письма, которые затем используются для доступа к паролям, PIN-кодам или TAN-кодам. Письма приходят от подлинного почтового ящика, банка или интернет-магазина и обычно просят изменить один из факторов аутентификации — якобы в целях безопасности. На самом деле они просто хотят получить доступ к вашему паролю, PIN-коду или TAN.
Примером может служить фишинговая атака на Джона Подесту, руководителя избирательной кампании Хиллари Клинтон: По сообщениям СМИ, в марте 2016 года Подеста — и другие американские политики — получили поддельные электронные письма. Они якобы приходили от Google и сообщали своим жертвам, что иностранный IP-адрес из Украины пытается получить доступ к их учетной записи электронной почты, и им следует немедленно сменить пароль. Нажатие на ссылку, содержащуюся в письме, отправляло их на поддельный веб-сайт. URL-адрес сайта был сокращен и завуалирован, а макет страницы копировал Google.
Подобные маски мошенничества в основном успешны: Из 108 членов кампании Клинтон, получивших электронное письмо, 20 перешли по ссылке, а для Национального комитета Демократической партии этот показатель составил 4 из 16. Если бы целевые аккаунты Google были защищены двухфакторной аутентификацией, то злоумышленники не смогли бы начать работу без полученных паролей. Второй фактор для успешного взлома отсутствовал бы: Уникальный код безопасности, который отправлялся бы исключительно на мобильный телефон уполномоченного лица.
Почему же этот метод не используется более широко? Настройка двухфакторной аутентификации в Google не является особенно сложной или длительной. Вам даже не придется вспоминать автоматически сгенерированный код безопасности при каждом входе в систему, поскольку вы можете навсегда пометить устройство как надежное. В следующем видеоролике от Google показано, как происходит настройка:
В целях защиты вашей конфиденциальности видео не будет загружаться, пока вы не нажмете на него.
Процесс настройки двухфакторной аутентификации в других сервисах так же прост: Amazon, Microsoft, Apple — почти все крупные компании предлагают своим клиентам подобные опции. Малая распространенность двухфакторной аутентификации заставляет задуматься о том, есть ли недостатки, которые сопутствуют дополнительной безопасности.
Есть ли у двухфакторной аутентификации недостатки?
Более высокий стандарт безопасности, обеспечиваемый двухфакторной аутентификацией, имеет свои преимущества, и в конечном итоге он рекомендован Национальным институтом стандартов и технологий (NIST) в его Руководстве по электронной аутентификации. Однако для пользователей существует риск быть заблокированными в своих собственных учетных записях из-за неосторожности или сбоев в системе, поскольку двухэтапная аутентификация добавляет дополнительный шаг не только для потенциальных хакеров, но и для законных пользователей. Поскольку двухфакторная аутентификация обычно используется для защиты аккаунта в Интернете с помощью комбинации «знать» (пароль и т.д.) и «иметь» (мобильный телефон, на который отправляется код безопасности), потеря телефона приводит к (временной) блокировке авторизованного пользователя. Технических проблем с приложением для аутентификации также нельзя избежать полностью.
К счастью, большинство компаний имеют «двойной этаж» для подобных случаев или возможность указать вариант восстановления, например, альтернативный номер, на который можно отправить код аутентификации. Для восстановления доступа к аккаунту иногда также запрашивают письменный или печатный код экстренной помощи или запасной адрес электронной почты. Однако этот недостаток в значительной степени относителен. Необходимо лишь принять во внимание меры безопасности — если они являются необязательными, а не обязательными — и тщательно записать информацию для экстренного доступа. Это минимизирует риск заблокировать себя.