Безопасность в сети: методы двухфакторной идентификации

6 лет назад

На протяжении тысячелетий перед людьми постоянно стоял вопрос о сохранности информации и выработке механизмов ограничения доступа со стороны посторонних. С развитием интернета потребность в надежной идентификации сразу же возросла и, как ответ на это требование, появилась распространенная конструкция «логин-пароль».

Позже, сначала в платежных системах, добавилась дополнительная защита с помощью второго, платежного пароля, а в дальнейшем и текстовые сообщения с одноразовым кодом, доставляемые на мобильный телефонный номер.

Сегодня механизмы многофакторной идентификации уже развиты достаточно, чтобы при грамотном применении обеспечить 100% защиту персональных данных, счетов, денежных переводов. Происходит дальнейшее развитие — разрабатываются и внедряются методы использования уникальной речевой интонации, отпечатков пальцев.

Распознавание лица и сканирование сетчатки глаза уже лет 10, как норма. На улицах и в учреждениях устанавливаются камеры наружного наблюдения. С их помощью записывается происходящее, в автоматическом режиме устанавливается личность каждого отдельного человека.

Основы многофакторной идентификации

Идентификация и предоставление прав доступа предполагает получение не связанных подтверждающих данных из одного или нескольких источников. Применяется один, два или несколько факторов. Как пример возьмем банковскую карту ATM. Чтоб получить деньги, потребуется удостоверить личность владельца с помощью:

1.      Пластиковой карты с записанной на магнитную ленту информацией.

2.      Введения пин-кода из 4, 6 или 8 цифр.

В результате получается, что тут не обойтись без информации о пин-коде. Обязательно и наличие физического носителя информации, в роли которого выступает банковская карта.

Факторы идентификации принадлежат к трем категориям:

1.      Знание. Информация, которую человек знает. Это пароль, пин-код, мнемоническая фраза, последовательность символов — вещи, которые давно вошли в повседневную жизнь.

2.      Владение. То, чем человек владеет: аппаратный кошелек, отдельная флешка для интернет-банкинга, программное обеспечение с генерацией уникальных кодов, IMEI-код мобильного телефона. К этому списку принадлежит и электронная цифровая подпись.

3.      Свойство. То, что человек собой представляет. Речевые интонации, лицо, отпечатки пальцев, сетчатка глаза. Использование индивидуальных свойств дает максимальную безопасность: такую защиту применяют там, где потери в результате мошеннических действий неприемлемы и требуется 100% исключить вероятность ошибки.

В интернете преимущественно используются комбинации факторов, основанные на категориях знания и владения.

Применение 2FA на биржевых площадках

Использование механизмов двухфакторной идентификации затрагивает сферы, где требуется надежно обеспечить безопасность счетов и личных данных. Естественным образом получается, что это электронные платежные системы и биржевые кошельки, расположенные на онлайн-платформах.

Потребность в дополнительной защите актуализировалась в связи с появлением нового класса активов — криптовалют, что вместе со стремительным ростом их стоимости привело к пропорциональному увеличению попыток взлома криптовалютных кошельков и часто успешному хищению средств.

Только в России за первые 8 месяцев 2018 года зафиксировано 107 980 киберпреступлений, что на 44% больше по сравнению с тем же периодом 2017 года, а общий ущерб вплотную приблизился к отметке 400 млрд рублей.

Возникает повышенный спрос на использование механизмов дополнительной защиты личных данных и размещенных в электронной форме активов. Надежное решение проблемы — двухфакторная идентификация. Ее применение потребует, помимо ввода логина, пароля и использования дополнительного идентификационного фактора. В этой роли чаще выступает мобильный телефон или специализированное программное обеспечение.

Google Authenticator

Удобное, популярное и сертифицированное приложение Google Autenticator — не единственное решение: на рынке присутствуют Microsoft Autentificator, Authy, FreeOTP. Но абсолютное большинство сервисов и почти все криптовалютные биржи выбирают Google, в результате чего установка Google Autenticator заранее предопределена.

Для работы с программой потребуется мобильный телефон — версия для ПК до сих пор отсутствует. Загрузка происходит бесплатно с Apple AppStore или Google Play Market.

После установки программы можно сразу приступать к добавлению учетных записей, где будет применяться двухфакторная аутентификация.

Сначала стоит уточнить генерацию кодов. Предлагается выбор из 2 режимов:

  1. TOTP. Новый код генерируется раз в 30 секунд.
  2. HOTP. Генерация происходит после использования предыдущего кода или по особому запросу пользователя.

По умолчанию стоит TOTP. Очевидно, он дает больше безопасности, но это не везде нужно. При авторизации в электронной почте или в облачном сервисе, где нет риска серьезных потерь в случае взлома аккаунта, лучше использовать HOTP.

Достоинства Google Authenticator:

  1. Генерация кодов происходит в автономном режиме, что исключает перехват, искажение данных, необходимость наличия покрытия телефонной сети.
  2. Распространенность использования приложения в онлайн-среде.
  3. Возможность добавления неограниченного количества аккаунтов.
  4. Высокая безопасность и надежность сервиса.

Недостатки:

  1. Отсутствует версия для ПК.
  2. Возможна выдача неактуальных кодов: при смене часовых поясов или времени на телефоне приложение потребуется синхронизировать заново.

Использование 2FA на основе программного приложения — перспективный метод защищенной идентификации, вместе с должным уровнем безопасности, удобством и доступностью применения.

SMS-подтверждение операций

Другой распространенный способ добавления второго идентификационного фактора — получение SMS-сообщения с одноразовым кодом, действующим в течение короткого времени.

Это подходит тем, кто в силу причин или обстоятельств не в состоянии установить идентификационное приложение. Достоинства этого метода:

  1. Предлагается всеми без исключения интернет-сервисами, работающими с 2FA.
  2. Дополнительное программное обеспечение устанавливать не требуется.
  3. Можно использовать на любых моделях мобильных устройств, включая устаревшие и не поддерживающие выход в интернет.

Недостатки предсказуемы:

  1. Обязателен прием сигнала телефонной сети, иначе сообщение с кодом не будет доставлено.
  2. Возможен перехват передаваемых сообщений, клонирование, перевыпуск SIM-карты, из-за чего злоумышленник получит несанкционированный доступ.
  3. Понадобится дать информацию о номере мобильного телефона, из-за чего теряется преимущество анонимности.

Особенность многофакторной идентификации — отсутствие утвержденных стандартов. Значит, будут появляться новые концепции и методы. Нельзя точно сказать, как это будет выглядеть через 5 или 10 лет. Единственное, что наверняка останется — применение SMS-сообщений как доступного всем без исключения метода.

Как включить двухфакторную идентификацию

Настройка 2FA на биржах и в платежных системах интуитивно понятна и не представляет затруднений, что связано с постоянным совершенствованием юзабилити разработчиками. Шаги, которые потребуется совершить, определяются особенностями площадки, они укладываются в примерно одинаковую последовательность. Рассмотрим подключение приложения для генерации кодов:

  1. Выбор метода: Google Authenticator или SMS. Выбираем первое.
  2. Загружаем и устанавливаем приложение на мобильное устройство.
  3. Сканируем предоставленный площадкой QR-код или вводим 16-значный ключ на мобильном устройстве для добавления отдельного профиля в приложение.
  4. Вводим ключ, текущий пароль и код, полученный в приложении обратно, в веб-интерфейс, где проводится подключение 2FA, подтверждая привязку.

Если данные введены верно, 2FA активируется, и при следующем входе придется ввести дополнительный код из Google Authenticator.

При выборе авторизации через SMS порядок действий проще — потребуется только привязать телефон путем введения проверочного кода и подтвердить операцию текущим паролем.

При подключении с использованием приложения рекомендуется отдельно распечатать, сделать скриншот или, если есть такая опция, сохранить в отдельный файл QR-код и 16-значный ключ. Это поможет восстановить доступ с другого устройства в форс-мажорных обстоятельствах: утеря телефона, случайное удаление программы, поломка или вирус. В противном случае восстановление доступа возможно через службу поддержки, что займет время и потребует дополнительных усилий.

Отключение 2FA также предусмотрено. Для этого придется выполнить аналогичные шаги, но в обратной последовательности.

Уязвимости 2FA

Механизмы 2FA предоставляют надежную защиту данных, подходящую для большинства пользователей при соблюдении норм безопасности. Ситуация «я все делал правильно, но почему-то средства пропали», тем не менее, возникнуть может. Это происходит по следующим причинам:

  1. Фишинг. Метод получения информации, подразумевающий переход пользователя на сайт-ловушку, по внешнему виду полностью совпадающий с оригинальным. Попадая на такую страницу и неосторожно вводя данные для авторизации, пользователь сам передает необходимые ключи в руки хакеров.
  2. Атака посредника или «человек посередине». Происходит перехват передаваемых данных, включая логин, пароль, код подтверждения через прослушивание канала связи. Нечего и говорить, что в абсолютное большинство случаев такой атаки связаны с использованием SMS-кода, как второго фактора идентификации.
  3. «Человек в браузере». Шпионское программное обеспечение — трояны, кейлоггеры, вредоносные браузерные расширения, которые сканируют определенные данные (например, буфер обмена) или копируют содержимое полей авторизации и пересылают их злоумышленнику.

Для эффективной защиты, во-первых, требуется знать об угрозах. Постоянно обновлять антивирус, не открывать подозрительные ссылки, проверять корректность интернет-адреса страницы при проведении авторизации.

2FA — достаточная гарантия безопасности при работе с электронными активами. Но человеческий фактор — главная уязвимость, способная нивелировать потенциал любого механизма безопасности. Невзирая на совершенство разработок, именно человек и его поведение, в конечном счете, определяют степень надежности, защиты и безопасности цифровых капиталов.

Статьи по теме:

Как защитить криптовалютные кошельки от хакеров

Как выбрать кошелек для биткоина — классификация и рекомендации по выбору

Что такое приватный и публичный ключ для криптокошелька?

Coin Post - криптоновости - только выжимка в понятном формате

ICO by Coin Post - все про ICO и инвестирование

TON - новости - самое крупное сообщество про блокчейн и криптовалюту Павла Дурова.

© Coin Post, 2017-2018. Все материалы данного сайта являются объектами авторского права. Запрещается копирование, распространение (в том числе, путем копирования на другие сайты и ресурсы в Интернете с указанием источника) или любое иное использование информации без предварительного согласия правообладателя.