Двухфакторная аутентификация: как защитить свой аккаунт

Фишинговые атаки – одна из основных проблем для сайтов, где проводятся операции с деньгами. Каждый день от фишерских схем страдают валютные сервисы, онлайн-магазины и даже запрещённые проекты, как сайт моментальных покупок Гидра. Но защититься от части аферистских уловок таки можно: достаточно лишь установить двухфакторное подтверждение при входе в учётную запись.

Двухфакторная авторизация (2ФА) – это способ дополнительной защиты учётных записей. Кроме логина и пароля при входе юзер обязан предоставить ещё одно подтверждение тому, что аккаунтом владеет именно он.

Почти все ресурсы с формой входа сегодня используют 2ФА, но взломщики нередко придумывают способы обхода такой проверки. Так, если проверка проходит с помощью СМС-кода, они могут позвонить пользователю и представиться сотрудником банка, модератором сайта или работником службы безопасности. Поэтому стоит проявлять бдительность и не сообщать никому такие данные.

Сегодня имеется 4 основных типа подтверждения, используемых при двухфакторной авторизации:

  • СМС-код. Самый популярный способ проверки, но также и самый ненадёжный. На мобильный номер пользователя приходит смс с кодом, который он должен указать в соответствующем поле.
  • Аутентификаторы. При входе в учётную запись пользователь должен ввести код, который генерирует специальное приложение. Код авторизации отправляется HTTPS-соединения, что снижает риск его перехвата третьими лицами.
  • Биометрические данные. Эта проверка предусматривает проверку посредством биометрики: отпечаток пальца, скан-снимок радужной оболочки глаза или лицо пользователя могут послужить подтверждением.
  • Электронные ключи безопасности. Самый надёжный способ, ведь для входа в аккаунт к устройству нужно подключить физический накопитель.

Двухфакторная аутентификация с помощью СМС-кода специалисты по безопасности признают самым ненадёжным способом защиты среди существующих, поскольку всегда присутствует высокая вероятность перехвата кода третьими лицами. Да и в целом, идеальной системы двухфакторной аутентификации попросту не существует: риск перехвата данных и взлома будет присутствовать всегда, но при наличии 2ФА он будет существенно ниже.

Одним из интересных и непредсказуемых способов атаки для преодоления двухфакторной аутентификации является захват сим-карты, когда злоумышленник создаёт клон сим-карты пользователя или обманным путём заставляет оператора отменить регистрацию сим-карты для перехвата СМС-сообщений. В таком случае мошенник может представиться именем пользователя, поскольку использует его номер телефона, как свой личный. По этой причине при наличии выбора лучше всего не выбирать СМС-код как дополнительное средство защиты аккаунта.

Многие крупные сервисы требуют от своих пользователей использовать не два, а 3 этапа подтверждения владения аккаунтом. К примеру, Гугл запрашивает у пользователя не только СМС-код, но и ключ из приложения-аутентификатора, разработанный ими же.

Хоть система двухфакторной аутентификации и имеет свои недостатки, всё же она является действенным инструментом в борьбе со злоумышленниками. Об этом свидетельствует опыт многих компаний. Если снова брать Гугл за пример, то с внедрением функции двухфакторной аутентификации внутри компании удачные попытки взлома аккаунтов сотрудников компании прекратились. Это является несомненным показателем, если учитывать, что сотрудники компании с их потенциальным богатством представляют лакомую мишень для всяческого рода аферистов.

Что уж говорить: двухфакторную аутентификацию сегодня стали использовать даже нелегальные сервисы. Так крупнейшая в даркнете площадка по продаже незаконных веществ Гидра, страдающая от набега фишеров, также ввела такую опцию для своих пользователей. Это помогло клиентам сервиса защититься от части фишерских схем, а также предотвратило вероятность взлома аккаунтов путём подбора пароля. Нелегальная площадка использовала 2ФА в двух вариантах: с помощью приложения-аутентификатора, а также посредством PGP-ключа.