Почему вам следует начать использовать двухфакторную аутентификацию прямо сейчас

Дата: 09.08.2021. Автор: Владимир Безмалый. Категории: Блоги экспертов по информационной безопасности
Почему вам следует начать использовать двухфакторную аутентификацию прямо сейчас

Представьте, что вы просыпаетесь в прекрасный весенний день, открываете свой ноутбук и понимаете, что больше не можете получить доступ к своим онлайн-счетам. Ваш адрес электронной почты был взломан, ваш веб-сайт, ваша самая ценная работа, исчез, а ваша кредитная карта использовалась для сомнительных транзакций.

Итак, что же такое двухфакторная аутентификация?

Двухфакторная проверка подлинности, также называемая многофакторной или многоэтапной проверкой, представляет собой механизм проверки подлинности, позволяющий дважды проверить подлинность вашей личности.

Как работает двухфакторная аутентификация?

Когда вы хотите войти в свою учетную запись, вам будет предложено пройти аутентификацию с использованием имени пользователя и пароля — это первый уровень проверки.

blank

Двухфакторная аутентификация работает как дополнительный шаг в процессе, второй уровень безопасности, который подтвердит вашу личность.

blank

Его цель — усложнить жизнь злоумышленникам и снизить риски мошенничества. Если вы уже соблюдаете основные меры безопасности паролей, двухфакторная аутентификация затруднит взлом вашей учетной записи киберпреступниками.

Однако не стоит ожидать, что он будет работать как волшебная палочка, которая чудесным образом обезопасит ваши аккаунты.

Каковы факторы аутентификации?

Существует 3 основных категории факторов аутентификации:

1. Что-то, что вы знаете — это может быть пароль, PIN-код или ответ на секретный вопрос.

2. Что-то, что у вас есть. Это всегда связано с физическим устройством, например, токен, мобильный телефон, SIM-карта, USB-накопитель, брелок, идентификационная карта.

3. То, что вы есть — это биологический фактор, например распознавание лица или голоса, отпечаток пальца, ДНК, почерк или сканирование сетчатки глаза. Однако некоторые из подобных технологий довольно дороги, поэтому, если вы не работаете на сверхсекретном/невыполнимом предприятии, у вас, вероятно, не реализован такой метод аутентификации.

Также можно использовать факторы времени и местоположения. Например, если вы войдете в свою учетную запись, и через 10 минут кто-то попытается войти из другой страны, система может автоматически заблокировать его.

Почему я должен активировать двухфакторную аутентификацию?

Сами по себе пароли не так безошибочны, как нам нужно. Кибер-злоумышленники могут проверить миллиарды комбинаций паролей за секунду.

90 процентов паролей сотрудников можно взломать за шесть часов

Что еще хуже, 65% людей везде используют один и тот же пароль. Это очень похоже на то, что у вас есть только один ключ от дома и от машины.

Ответы на контрольные вопросы также легко найти, особенно сейчас, когда мы охотно делимся всеми подробностями своей жизни в социальных сетях и блогах. Любой, кто общается с нами ежедневно, может узнать ответы на общие вопросы безопасности, такие как год выпуска, город, в котором вы выросли, или имя нашего первого питомца.

Даже если вы не укажете их в своем профиле Facebook, некоторые из них можно найти в общедоступных записях, доступных для всех, кто хочет их поискать. Другие можно взломать, просто введя общие имена.

Вот здесь и пригодится двухфакторная аутентификация. Он предложит вам дополнительный уровень защиты, помимо паролей. Киберпреступникам сложно получить второй фактор аутентификации, они должны быть намного ближе к вам. Это резко снижает их шансы на успех.

Несколько примеров методов двухфакторной аутентификации, которые, скорее всего, вы уже используете:

  • Токен, выпущенный вашим банком, который генерирует вам определенный код в определенное время — вы используете его со своим именем пользователя и паролем для интернет-банкинга.
  • Одноразовый пароль, который вы получаете в виде текстового сообщения на свой мобильный телефон и используете его, когда хотите войти в свою учетную запись Google, Facebook или Twitter.
  • Подобно предыдущему: случайный пароль, сгенерированный таким приложением, как Google Authenticator или Facebook Code Generator — вы используете его для входа в свою электронную почту или учетную запись социальной сети.

Двухфакторная аутентификация обязательна для:

  • онлайн-банкинг.
  • онлайн-покупки (Amazon, PayPal — хотя это доступно только для некоторых стран).
  • электронная почта (Gmail, Yahoo, Outlook).
  • учетные записи облачного хранилища (Dropbox, Box, Sync).
  • аккаунты в социальных сетях (Facebook, Twitter, Linkedin, Tumblr).
  • приложения для повышения производительности (Evernote, Trello).
  • менеджеры паролей (Last Pass).
  • коммуникационные приложения (Slack, Skype, Mail Chimp).

Как заставить это работать

Двухфакторная аутентификация с помощью мобильного телефона:

Поскольку в настоящее время почти у каждого есть мобильный телефон, и он везде носит его с собой, это стало одним из самых популярных методов двухфакторной аутентификации.

Чтобы подтвердить свою личность, вы можете использовать одноразовый код, который вы получаете на свое мобильное устройство через SMS, или вы можете сгенерировать его через специальное мобильное приложение.

Доставка SMS имеет как большие преимущества, так и недостатки. С одной стороны, его легко настроить, и вам не нужен смартфон для получения кодов по SMS. Однако, если вы много путешествуете, доставка текстового сообщения может быть отложена. Это вообще не сработает, если вы находитесь вне зоны действия сети.

Это решение также зависит от безопасности вашего телефона. Злоумышленник может клонировать SIM-карту или перенаправить трафик на новый номер.

Если у вас есть несколько учетных записей, в которых вы активировали двухфакторную аутентификацию, вы можете пропустить получение кодов через SMS и вместо этого использовать мобильное приложение для генерации кодов двухфакторной аутентификации.

Вот несколько примеров мобильных приложений, которые можно использовать для двухфакторной аутентификации:

  • Google Authenticator (доступен для Android, iOS).
  • Authy (для Android, iOS, но также доступно как настольное приложение и расширение для браузера).
  • Microsoft Authenticator (доступен для Android, iOS).

Эти приложения используют алгоритм одноразового пароля на основе времени (TOTP). Они сгенерируют вам уникальный, чувствительный ко времени шестизначный код, который вы можете использовать для входа в свою учетную запись. Код обычно работает только 30 секунд — после этого приложение сгенерирует вам новый.

После первоначальной настройки вы можете использовать приложение без подключения к сети.

Некоторые учетные записи, в которых мы настоятельно рекомендуем вам активировать двухфакторную аутентификацию, и как это сделать:

1. Google/Gmail

Это, вероятно, одна из самых важных учетных записей, которые у вас есть, и обычно она связана со многими другими — от социальных сетей до интернет-магазинов, рабочих документов, личной информации, финансовых счетов, налогов и так далее. Это должна быть первая учетная запись, в которой вы активируете двухэтапную проверку и убедитесь, что вы используете все их возможности повышения безопасности.

blank

После настройки двухфакторной аутентификации вы получите шестизначные коды в текстовом сообщении на зарегистрированный номер мобильного телефона. Google будет предлагать вам вводить код каждый раз, когда вы хотите войти в систему с нового устройства. Вы можете хранить каждое новое устройство в течение 30 дней, и в течение этого времени вам не придется повторно проверять свою личность на этом устройстве.

Убедитесь, что вы также настроили резервные телефоны и электронную почту на случай, если ваши основные будут недоступны.

Вы также можете сгенерировать резервные коды — это 8-значные коды, которые вы можете сохранить и использовать, если вы много путешествуете, имеете проблемы с мобильной сетью или просто не можете использовать мобильное приложение Google Authenticator. Каждый код можно использовать только один раз.

Кроме того, вы можете получить коды через мобильное приложение Google Authenticator. Он работает на Android, iPhone или BlackBerry, даже если на вашем устройстве нет данных или подключения к телефону.

2. Facebook/Twitter/LinkedIn

В основных социальных сетях также доступна двухфакторная аутентификация.

Facebook представил подтверждение входа в систему в 2011 году. Эта функция безопасности требует, чтобы вы вводили шестизначный код каждый раз, когда вы хотите войти в свою учетную запись Facebook с нового устройства. Вы получите код безопасности в текстовом сообщении на свой мобильный телефон.

Кроме того, вы можете активировать «Генератор кодов», функцию, интегрированную в приложение Facebook, которая позволяет получать коды безопасности на свой телефон.

blank

Twitter представил подтверждение входа в систему несколько лет назад. После того, как вы войдете в систему, он отправит вам SMS-сообщение с кодом, который вам нужен для доступа к вашей учетной записи.

Если вы когда-нибудь потеряете доступ к своему мобильному телефону, они также предоставят резервный код, который вы можете использовать один раз, чтобы подтвердить свою личность.

Linkedin также добавил двухэтапную аутентификацию, которую вы можете (и должны) включить. Номер вашего мобильного телефона будет использоваться для отправки вам кодов подтверждения в текстовом виде каждый раз, когда вы захотите войти в LinkedIn с нового устройства.

3. Dropbox

Если вы используете облачные сервисы, вам также следует включить для них двухфакторную аутентификацию. Скорее всего, вы храните конфиденциальные данные в облаке, верно?

После того, как вы включите двухфакторную аутентификацию для Dropbox, вам потребуется шестизначный код безопасности или ключ безопасности каждый раз, когда вы входите в систему или добавляете новое устройство.

Dropbox также отправит вам 10 8-значных резервных кодов, которые вам нужно сохранить в безопасном месте — вы можете использовать их в экстренных случаях, если у вас больше нет доступа к телефону.

Вы также должны добавить резервный номер телефона.

Полезный инструмент: вы можете найти список всех сервисов, предлагающих двухфакторную аутентификацию, на TwoFactorAuth.org.

Можно его взломать?

Как и все другие меры безопасности, методы многофакторной проверки также уязвимы для атак.

Их эффективность зависит от многих вещей, таких как выбранный метод аутентификации, безопасность канала, который используется для доставки или отправки фактора второй аутентификации.

Базовая защита паролем

Помните, что двухфакторная аутентификация не стоит дополнительных усилий, если вы не используете ее в дополнение к надежным паролям.

1. Используйте надежные пароли

Они должны состоять не менее чем из 12 символов, содержать прописные и строчные буквы, цифры и символы.

2. Используйте уникальные пароли

Они должны быть разными для каждой вашей учетной записи. Никогда не перерабатывайте их.

Таким образом, если злоумышленник получит доступ к одной из ваших учетных записей, он не сможет взломать все из них. По тому же принципу нельзя использовать один и тот же ключ для дома и машины — если вы потеряете один из них, преступник сможет взломать другой.

3. Регулярно меняйте пароли

…и никогда не записывайте их — ни в документе, который вы сохранили в облаке или на рабочем столе, ни в черновике почты, ни в рукописной заметке, которую вы держите на столе.

Вы можете использовать менеджер паролей — это сервис, который зашифрует все сохраненные пароли. Таким образом, вам нужно будет запомнить только один пароль, который используется для учетной записи службы диспетчера паролей.

Если вы выполните эти шаги вместе с некоторыми основами компьютерной безопасности, вы можете значительно снизить вероятность атаки.

Вывод

Помните анекдот про двух друзей, которые пошли в поход и услышали рычание медведя?

Один из них начинает надевать теннисные туфли, когда другой его друг спрашивает:

«Что ты делаешь? Тебе не убежать от медведя!» .

Другой отвечает:

«Мне не нужно убегать от медведя, мне просто нужно убегать от вас!» .

То же самое и с двухфакторной аутентификацией.

Наличие пароля и дополнительной факторной аутентификации не делает вашу учетную запись на 100% защищенной. Это не волшебная палочка, которая сделает вашу учетную запись невзламываемой. Нет, эта технология только затрудняет взлом.

Будем надеяться, что злоумышленник перейдет к другой цели, менее защищенной вместо того, чтобы тратить много времени на попытки взломать ваш второй фактор аутентификации.

Но по мере того, как методы двухфакторной аутентификации станут более популярными, у злоумышленников появятся и новые способы их взлома.

Источник 16038


Источник — Блог Владимира Безмалого «Быть, а не казаться. О безопасности и не только».

Владимир Безмалый

Об авторе Владимир Безмалый

Данный блог посвящен информационной безопасности и информационнм технологиям.
Читать все записи автора Владимир Безмалый

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *