Але двофакторна автентифікація — це не срібна куля, здатна зупинити хакерів на шляху. Це корисний засіб протидії для захисту, але, зрештою, це не замінить знання про найбільші загрози, з якими ми стикаємося в Інтернеті.
Рекомендовані відео
Увімкніть двофакторну автентифікацію, коли з’явиться така можливість, але не робіть помилки, покладаючись на її захист, якщо ви не розумієте, від чого вона може, а від чого не може захиститися. Як довів 2016 рік, захист даних є складним, і надмірна самовпевненість може зробити вас відкритими для атак.
Пов'язані
- Паролі складні, а люди ліниві, показує новий звіт
- Twitter більше не потребує номерів телефонів для двофакторної аутентифікації
- Google пропонує власний ключ безпеки USB «Titan» для входу без пароля
Ти той, за кого себе видаєш?
За своєю суттю двофакторна автентифікація полягає в перевірці облікових даних. Це спосіб переконатися, що хтось є тим, за кого себе видає, шляхом перевірки двох різних типів доказів. Така система існує вже багато років.
Якщо ви не розумієте основ комп’ютерної безпеки, вам не можна дозволяти банківські послуги в Інтернеті.
Оплата кредитною карткою за допомогою чіпа та PIN-коду є, мабуть, найпоширенішим прикладом; вони покладаються на те, що користувач має фізичну картку та знає свій PIN-код. Тоді як злодій цілком міг би вкрасти картку і вивчіть PIN-код, керувати обома непросто.
Не так давно був час, коли фінансові операції були єдиною причиною, чому людям доводилося регулярно підтверджувати свою особу. Сьогодні будь-хто, хто користується Інтернетом, має низку облікових записів, до яких він не хотів би, щоб хтось мав доступ до них з різних причин.
Фінансовій індустрії вдалося дуже легко реалізувати двофакторну аутентифікацію, тому що єдиним апаратним забезпеченням, яке потрібно було поширювати, була банківська картка. Розповсюдження подібної системи для повсякденних веб-сайтів майже неможливо, тому двофакторний доступ увімкнено іншими способами. І ці методи мають свої недоліки.
Досвід користувача
«Мені справді набридло, що всі зручні речі в житті раптом стають надто громіздкими для використання», — йдеться в коментарі до 2005 року. Коса крапка стаття про неминучий розвиток двофакторної автентифікації в онлайн-банкінгу. «Мені б дуже, дуже не хотілося мати важкий жетон, який можна носити з собою».
«Політики не мають уявлення про те, який вплив це має на реальний світ», — погодився другий, нарікаючи на загрозу того, що користувачі будуть змушені купувати додаткове обладнання. «Якщо ви не розумієте основ комп’ютерної безпеки, вам не можна дозволяти робити банки в Інтернеті», — додав інший коментатор.
Сьогодні подібні скарги здаються абсолютно безглуздими, але в 2005 році користувачі більше замислювалися про вартість і роздратування, пов’язані з використанням певної форми двофакторного токена. Реакція користувачів може виявитися ще більш негативною, коли захищено щось менш важливе, ніж банківська справа. У 2012 році був поданий колективний позов проти розробника ігор Blizzard Entertainment після того, як компанія представив периферійний пристрій автентифікації, призначений для захисту облікових записів користувачів Battle.net, згідно зі звітом від BBC.
LastPass
Зусилля щодо впровадження такого типу двофакторної автентифікації були зроблені з 1980-х років, коли Security Dynamics Technologies запатентував «метод і пристрій для позитивної ідентифікації особи». До 2000-х років інфраструктура та виробничі можливості були для організацій, починаючи від фінансових установ і закінчуючи видавцями відеоігор, щоб забезпечити дотримання власних засобів двофакторного аутентифікація.
На жаль, користувачі вирішили не співпрацювати. Незалежно від того, чи був другий фактор автентифікації простим, як РК-екран, який передає унікальний код, чи складним, як сканер відбитків пальців, ідея мати ще один елемент фізичного обладнання — і потенційно один для кожної окремої служби, яка вимагає унікального входу — було непривабливим для маси.
Можна уявити альтернативну історію, де двофакторність так і не прижилася через цю проблему. На наше щастя, Apple представила iPhone, а Google представив Android. Смартфони надали пристрій, здатний до двофакторної автентифікації, у руки мільярдів людей у всьому світі, вирішивши проблему зручності, на яку скаржилися користувачі в 2005 році.
Смартфони зручні, але мають свої ризики
Повсюдна природа смартфонів дозволила сайтам і службам усунути клопоти з процесу двофакторної автентифікації. «Ті, які використовують ваш мобільний телефон, як правило, дуже прості у використанні, дуже мало впливають», — сказав експерт із безпеки та співробітник Гарвардського університету Брюс Шнайєр, розмовляючи з Digital Trends на початку цього місяця. «Тому що це те, що ти вже маєш. Це не щось нове, що вам доведеться носити з собою».
Можна уявити альтернативну історію, де двофакторність ніколи не прижилася.
За певних сценаріїв цей підхід може запропонувати певні переваги. Наприклад, якщо ви входите в службу з нового комп’ютера, вас можуть попросити ввести код, надісланий на надійний пристрій, а також стандартний пароль. Це хороший приклад того, як використовувати двофакторну автентифікацію; хтось інший міг викрасти ваш пароль і спробувати ввійти до пов’язаного облікового запису зі своєї системи, але якщо вони вже не вкрали ваш телефон, вони не зможуть отримати доступ.
Однак існують загрози, з якими такий захист просто не може впоратися. У 2005 році Шнайер написав, що «двофакторна автентифікація не є нашим рятівником» у публікація в блозі вникаючи в його слабкі місця.
Далі він описав, як атака "людина посередині" може змусити користувача подумати, що він на законному веб-сайті та переконайте їх запропонувати обидві форми автентифікації для фальшивого входу екран. Він також зазначає, що троян може бути використаний для підключення легітимного входу, який здійснювався за допомогою двох форм автентифікації. Існує також проблема централізації безпеки на одному пристрої; більшість людей користуються двофакторним підтримкою смартфона для кількох веб-сайтів. Якщо цей телефон буде викрадено та зламано, усі ці сайти опиниться під загрозою.
Знання це сила
«Коли ви входите у свій обліковий запис, двофакторний — це чудово», — сказав Шнайер. «Цим користується мій університет, Гарвард, і моя компанія. Багато людей взяли його на озброєння, і це дуже корисно. Але те, про що я писав тоді, проблема в тому, що на це дивилися як на панацею, вона все вирішить. Звичайно, ми знаємо, що ні».
Фінансова вигода завжди мотивуватиме зловмисних хакерів розвивати нові методи доступу до облікових записів інших людей. Поки існує користь від володіння чужими обліковими даними, ми спостерігатимемо, як хакерство постійно розвиватиметься.
«Існує багато різних загроз і багато різних механізмів безпеки», — пояснив Шнайер. «Існує не тільки одна загроза, не тільки один механізм, є багато загроз і багато механізмів».
Найкращий захист — це постійний потік нових і вдосконалених засобів протидії. Якщо ми продовжуємо змінювати й оновлювати методи, які використовуємо для захисту наших облікових записів, ми ускладнюємо роботу для тих, хто намагається отримати доступ без дозволу.
На жаль, ініціативою володіють нападники. Знадобилися роки, щоб двофакторна автентифікація стала прийнятою масами. Оскільки нові форми захисту стають доступними, ми, як користувачі, повинні взяти на себе зобов’язання скористатися ними. І це повертає нас на форуми Slashdot, приблизно в 2005 році. Усі ми знову стаємо користувачами, які скаржаться на зручність, замість того, щоб турбуватися про безпеку.
Важко ігнорувати, наскільки поширеними стали широкомасштабні хакерські атаки, і немає жодних ознак того, що ця форма злочинності вимре. Не існує захисту, який на 100 відсотків здатний заблокувати будь-який вид атаки; злочинці завжди знайдуть спосіб використати навіть найменшу слабкість. Незважаючи на те, що це непросто, найкращий спосіб залишатися в безпеці в Інтернеті — знати про загрози та знати, що можна зробити, щоб захиститися від цих загроз.
Безпека в Інтернеті схожа на оплату страховки чи похід до стоматолога. Це не здається таким важливим, поки це не так. Недостатньо просто погодитися на форми захисту, які пропонують різні сайти та служби. Знати, від яких типів атак ці засоби захисту захищають нас — і від яких вони ні — це єдиний спосіб взяти на себе відповідальність за власну безпеку.
Рекомендації редакції
- Виникли проблеми з двофакторною автентифікацією SMS у Twitter. Ось як змінити методи
- Ось чому люди кажуть, що двофакторна автентифікація не ідеальна
- Хакери знайшли спосіб обійти двофакторну аутентифікацію Gmail
