Насколько безопасна двухфакторная аутентификация и какой способ защиты лучший?

Сегодня принято говорить о двухфакторной аутентификации (2FA), как о панацее от всех видов хакерских атак. Как обычно бывает, здесь не все настолько однозначно. Что можно сказать точно, 2FA действительно сильно увеличивает шансы обычного пользователя на защиту. В это же время продолжают просачиваться новости, как самые безопасные технологии взламывают, в том числе флагман рынка — Google Authenticator. Есть ряд проблем данной системы, которые и дальше будут использоваться для похищения наших паролей. Речь пойдет о безопасности основных видов 2FA защит и том, насколько же реально они эффективны.

Основные типы двухфакторной аутентификации: плюсы и минусы

На самом деле реальная степень защиты технологии напрямую зависит от типа дополнительной проверки, которую проходит пользователь. Сегодня придумали несколько разновидностей: SMS, приложения, оповещения, аппаратные ключи. И каждый сервис маневрирует между двумя крайностями: безопасностью и комфортом использования. Наименее эффективные инструменты в плане защиты при этом самые удобные в использовании. Самые же безопасные способы, связаны с рядом неудобств. По крайней мере вы должны знать, какие опасности подстерегают при использовании 2FA, и не стоит полагаться на двухфакторную аутентификацию чрезмерно.

По SMS

Самый популярный, простой, быстрый, распространенный и в то же время – наименее надежный вариант.

Как это работает:

1. Сервис генерирует временный пароль, сохраняет его в своих логах и параллельно отправляет на телефон человека, которому принадлежит аккаунт.
2. Получатель видит код и вводит его в соответствующее поле на сайте.
3. Веб-обозреватель сравнивает пароли, если они совпадают – пропускает дальше.

Обратная сторона такой простоты заключается в том, что у мошенника больше всего шансов заполучить ваш код. Уязвимостей у данной технологии достаточно много и вот основные из них:

• SMS-сообщения не могут быть зашифрованы. Они передаются по стандартному открытому протоколу. Если кто-то получит его, оно будет доступным для прочтения на любом устройстве.
• Сообщения можно перехватить. В момент передачи вполне реально продублировать сигнал на другое устройство и получить доступ к аккаунту.
• Любой, кто имеет прямой доступ к телефону, может увидеть код. Часто он высвечивается даже на экране блокировки, то есть и вводить графический ключ не нужно.
• SMS хранятся в открытом виден а серверах оператора сотовой связи. Если они оттуда будут похищены, высока вероятность взлома аккаунтов.
• Кто-то другой может восстановить SIM-карту с вашим номером телефона. Мошеннику всего-то и нужно, как убедить консультанта в офисе мобильного оператора, что это вы и просто потеряли смартфон. Часто они давят на жалость и непреодолимые обстоятельства.

Да, уязвимостей много, но не стоит быть столь суровыми к SMS, ведь они никогда не разрабатывались в качестве способа аутентификации. Они просто для этого не предназначены. При этом все перечисленные риски перекрывает только один плюс – простота использования, поэтому им и пользуется большинство сервисов.

Через приложения

Уже стало своего рода трендом использование дополнительных приложений для аутентификации. Самый известный инструмент — Google Authenticator, но есть также Authy и другие. Если сравнивать с предыдущим типом, здесь куда более высокий уровень защиты, да и комфорт на высоте. В них реализована сложная система генерирования паролей, которая держится в секрете.

Принцип работы:

1. Приложение генерирует временный код.
2. Точно такой же код генерируется на сервере.
3. После ввода полученного пароля и его подтверждения, открывается доступ к аккаунту.

Есть у такой технологии несколько положительных моментов:

• Оффлайн система генерирования паролей защищена от перехвата. Просто невозможно перехватить то, что не использует для своего создания интернет. Если точнее, защищены вы только в момент генерирования, при пересылке код все равно могут похитить.
• Есть один центральный пароль к приложениям. Утилиту для 2FA авторизации можно ставить на несколько устройств.

Минусы здесь тоже есть и нет, мы говорим не о необходимости в смартфоне с камерой, он, скорее всего, есть уже у нас всех. Вот, что действительно важно:

• Возможен перехват на этапе отправки кода. Интернет данные в целом легко перехватывать.
• Риск попасться на фишинговый ресурс, который выглядит, как оригинал, но похищает ваши данные для входа.
• Сложности восстановления доступа в случае, если смартфон утерян.
• Риск взлома алгоритма шифрования. Из логики, что приложение и сервер могут независимо друг от друга создавать одинаковые коды, наводит на мысль, что кто-то другой способен повторить результат. Да, это очень сложно, но в случае взлома в опасности окажутся сразу все пользователи.

С помощью уведомлений

Речь идет о системе отправки всплывающих сообщений на ваш мобильный телефон. Обычно оно сопровождается текстом: «Это действительно вы?» или «Разрешить действие» или «Кто-то пытается сделать… Разрешить?». Всплывает всего несколько вариантов: да или нет. С одной стороны, система очень удобная, быстрая и достаточно безопасная. Обратная сторона медали, необходимость постоянного подключения к сети и наличие телефона в зоне видимости. Сегодня нечасто слышно, чтобы данную систему взламывали, хотя и такое будет происходить. Таким образом мы имеет и сравнительно безопасный, и удобный вариант 2FA.

Аппаратная

Ввод аппаратного ключа в соответствующее устройство чтения на ноутбуке или компьютере – самый надежный способ авторизации. Имеет вид флешки. В противовес высокой степени безопасности выступает неудобство ее использования. Зато она не подвержена ни фишингу, ни взлому. И даже есть способы настройки резервного или альтернативного ключа.

Проблем здесь несколько:

• Большинство сервисов просто не поддерживают такой вариант авторизации.
• Вариант требует денежных трат на покупку подобных ключей.
• Серьезные последствия, если ключ окажется у кого-то из злоумышленников. Однако виртуально его не украсть, что является плюсом, нужен только прямой контакт.

Главные уязвимости 2FA на реальных примерах

Многие из перечисленных выше методов взлома могут выглядеть, как фантастика. Кто-то подумает, что не найдется человек, который захочет заниматься подобным для воровства паролей от нескольких аккаунтов. На самом деле, все перечисленные уязвимости уже использовались ранее.

Вот пара примеров:

• SIM swap – переадресация SMS с вашего номера телефона на SIM-карту злоумышленника. Более подробно читайте на Wikipedia.
• Cerberus – программа для Android, которая смогла похитить коды Google Authentificator.
• TrickBot – банковский троян, который перехватывает одноразовые коды. Работает и в отношении SMS, и push-уведомлений. Заражает устройство и дублирует получаемые/отправляемые сообщения с определенных адресов, а затем шлет их злоумышленнику.

Наибольшие риски несет социальная инженерия, когда люди под разнообразными причинами уговаривают передать им код. Даже хакером быть не нужно, достаточно немного обаяния.

Мифы о двухфакторной аутентификации, которые пора бы развеять

Слишком сильная надежна на защиту со стороны двухфакторной аутентификации или непонимание особенностей ее работы провоцируют мифы.

Вот несколько из тех, в которые уже пора перестать верить:

• Одной лишь 2FA достаточно для защиты. Если у мошенника есть ваш логин и пароль, вы уже на 50% в его ловушке. Дальше уже дело техники выманить код авторизации. Не всех это остановит, многие хакеры пойдут дальше. Пароль обязан быть уникальным и достаточно взломостойким.
• Для двухфакторной аутентификации нужно 2 устройства, поэтому система безопасна. Все делается с одного смартфона, его потеря, взлом или заражение может привести к взлому.
• Без кода авторизации хакер ничего не сможет сделать. Правда в том, что даже некоторые крупные веб-ресурсы позволяют выполнять некоторые действия для данного ключа, только лишь по паролю. Например, хакеры на Webmoney могли выставлять ваши средства на обмен через биржу Exchange по заниженному курсу. Будут ли они их затем выкупать или просто таким образом навредят, это уже не столь важно.

Насколько 2FA реально безопасна?

Конечно, 2FA – намного лучшее решение, чем отказ от данной технологии. Но и слишком сильно полагаться на систему не стоит, технологию можно обойти. Как и прежде, вам нужно соблюдать осторожность, использовать меры профилактики от заражения ваших устройств и устанавливать антивирусы. При комплексном подходе, двухфакторная аутентификация достаточно надежна, чтобы можно было не переживать за свою интернет безопасность. Лучшим на сегодняшний день решением является push-авторизация с точки зрения комфорта и защиты. Самый же безопасный вариант – шифрование с использованием аппаратного ключа.

Автор статьиЕвгений