Большинство личной информации хранится в цифровом виде, поэтому безопасность в приоритете. Компании все чаще используют двухфакторную авторизацию (2FA), чтобы обезопасить персональные данные пользователей, однако все не так однозначно. Объясню все тонкости такого подхода.
В 2022 году утечка данных в среднем обошлась каждой из пострадавших компаний в 4,35 млн долларов. Этот показатель на 2,6% выше, чем в 2021 году, и на 12,7% выше показателей 2020 года (5 страница исследования). 40% инцидентов связаны именно с кражей аккаунтов (12 страница исследования).
Взлом двухфакторной авторизации — достаточно сложный процесс, требующий доступа к нескольким устройствам и знанию личных данных пользователя. Однако сложно — не значит невозможно. Злоумышленник может:
попытаться обмануть пользователя и узнать его личные данные, такие как пароль или дополнительный код;
получить доступ к сим-карте и перенаправить все сообщения с дополнительными кодами на своё устройство;
отправить пользователю фальшивое сообщение, просить его ввести личные данные и использовать их для входа в систему;
использовать вредоносное ПО для перехвата дополнительных кодов;
перехватить сетевой трафик и дополнительные коды, отправляемые на устройство пользователя;
получить доступ к устройству, на котором генерируется дополнительный код, и использовать его для входа в систему;
использовать уязвимости на сервере, где хранятся данные, для получения доступа к учётной записи.
Увы, этот список не предел возможностей хакеров. Примером может послужить хотя бы реверс-прокси Moldishka, размещённый на GitHub польским исследователем Петром Душиньским. По его словам, этот инструмент, код которого лежит в открытом доступе, способен обойти двухфакторную авторизацию. Но всё же она остаётся одним из наиболее надёжных методов защиты учётных записей. Уже в 2022 году количество взломов аккаунтов Google сократилось вдвое. Достаточно знать, как правильно её использовать, быть внимательными и не давать доступ к своим личным данным.
Рассмотрим подробнее, что такое 2FA и как её оптимизировать.
Двухфакторная авторизация (2FA) — это метод аутентификации, который использует два разных способа проверки подлинности пользователя. Обычно это пароль и дополнительный код, который генерируется на устройстве пользователя или отправляется на его телефон. Код может быть одноразовым или постоянным.
Цель двухфакторной авторизации — увеличить уровень безопасности входа в систему. Если злоумышленник получит доступ к паролю пользователя, он всё равно не сможет войти в систему без дополнительного кода.
Система может создавать дополнительные сложности для пользователей. Некоторые могут не понимать, как использовать двухфакторную аутентификацию или настроить её правильно, без ошибок и уязвимостей. Вот некоторые сложности, которые, по версии Microsoft, часто возникают у пользователей.
Некоторые пользователи могут использовать один и тот же пароль для разных учётных записей, что делает их уязвимыми для атаки.
Решение: пользователи должны придумывать уникальные пароли для каждой учётной записи, а не личную информацию. Также рекомендуется использовать специальные менеджеры, которые генерируют случайные пароли и хранят их в зашифрованном виде.
Ещё одной проблемой может быть недоступность дополнительного кода. Если пользователь не имеет доступа к своему телефону или устройству, он не сможет получить дополнительный код, и его учётную запись заблокируют.
Решение: пользователи должны иметь несколько способов получения дополнительного кода, например альтернативный телефон или электронная почта. Также можно использовать физические устройства — USB-ключи или карты доступа.
Если устройство заражено вирусом или взломано, злоумышленник может легко получить доступ к дополнительному коду.
Решение: установить антивирусное ПО и обновить операционную систему.
Помимо решения типичных проблем, нужно обеспечить максимальную безопасность закрытым данным.
Использование сканера отпечатков пальцев или распознавание лица может значительно повысить уровень безопасности, так как эти данные сложно подделать.
Это метод аутентификации, использующий более двух разных способов проверки подлинности пользователя. Например, пароль, дополнительный код и биометрические данные.
Это метод, использующий анализ поведения пользователя для определения его «подлинности», местоположения, времени и действий.
Например, Google Authenticator.
Это можно сделать с помощью CPaaS-платформы для связки коммуникационных каналов и CRM систем пользователя. Разработчики и бизнесы используют API для более простой и быстрой интеграции СМС, IP-телефонии, мессенджеров и ботов в системы управления клиентами и сайты. Это позволяет исключить долгое тестирование, баги и ошибки, а также ограниченные версии.
Чтобы интегрировать двухфакторную авторизацию в свои каналы, следуйте алгоритму:
Создать аккаунт на платформе, например МТС Exolve.
Создать новый проект и настроить его параметры, настроить номера и прочесть документацию.
Получить API-ключи для доступа к сервисам через личный кабинет.
Настроить ключи в приложении, указав необходимые параметры (авторизационный токен, URL-адрес API-сервера и т. д.).
Проверить работоспособность ключей, используя тестовые запросы к API-серверу провайдера.
Настроить двухфакторную авторизацию в вашем приложении, используя API Exolve.
Определить методы аутентификации, которые будут использоваться для второго фактора (например, СМС-код, голосовое сообщение, одноразовый пароль и т. д.).
Настроить логику обработки ошибок и исключений для обеспечения безопасности процесса авторизации.
Провести тестирование системы двухфакторной авторизации перед её запуском в реальной среде.
Как и любая технология, 2FA имеет свои проблемы. Пользователи должны быть более внимательными при использовании двухфакторной авторизации и следовать рекомендациям по её использованию. Кроме того, разработчики могут улучшить эту технологию, добавляя новые методы аутентификации и повышая уровень безопасности.
Подпишитесь на ежемесячную рассылку Workspace
Отлично! Мы отправили письмо на указанный вами электронный ящик с инструкцией по подтверждению.
Если письмо с подтвержением вашего e-mail не будет получено в течение 10 минут, пожалуйста, проверьте папку СПАМ в соответствующем почтовом ящике.
