28 Травня, 2023
Двофакторна аутентифікація

Двофакторна аутентифікація переваги та недоліки

У цій статті ми докладно поговоримо про плюси та мінуси найпопулярнішого методу захисту даних — двофакторна аутентифікація. А також ви дізнаєтесь як збільшити безпеку.

Найновіші методи безпеки облікових записів включають двофакторну аутентифікацію (2FA). Її використовують скрізь: як у корпоративних, так і в особистих облікових записах у всьому світі. Під нею розуміється доставка на пристрій спеціального коду, який потрібно ввести після введення пароля від облікового запису. Але це не всі форми 2FA, які ми обговоримо у цій статті.

Двофакторна автентифікація дає можливість додатково захистити обліковий запис від злому. Але це не забезпечить 100% гарантії те, що шахраї не знайдуть спосіб її обійти. Для цього ми розберемося в способах обходу, щоб убезпечити свої дані.

Двофакторна аутентифікація (2FA) — це другий рівень аутентифікації, який використовується як додаток до класичної комбінації імені та пароля користувача при вході до облікового запису.

2FA може бути у вигляді абсолютно різних способів підтвердження володіння обліковим записом. Вибір залежить від системи або уподобань користувача. Буває так, що для певного облікового запису необхідний найвищий рівень захисту. У цьому випадку краще використовувати «багатофакторну автентифікацію» (MFA), яка включає кілька факторів перевірки. Наприклад, пароль+фізичний токен+біометрія. І цей спосіб захисту облікового запису набагато надійніший за класичну двофакторну аутентифікацію.

Типи двофакторної автентифікації

Деякі сервіси та програми дозволяють вибирати, який тип перевірки на додаток до пароля використовувати, а деякі — ні. Далі ми розберемо всі методи перевірки:

2FA через СМС

Для цього методу автентифікації необхідно, щоб користувач вказав номер телефону при першому налаштуванні профілю. Потім при кожному вході в систему потрібно вводити одноразовий код підтвердження (One-Time Password, OTP), що складається найчастіше з чотирьох або шести цифр.

Даний метод перевірки є найпопулярнішим, тому що практично всі люди мають мобільні телефони з можливістю обмінюватися SMS, а додаткових додатків встановлювати не потрібно. Проблеми з 2FA по СМС виникають лише при втраті сигналу мережі або за наявності проблем із працездатністю телефону.

2FA через голосовий виклик

Цей метод аутентифікації передбачає дзвінок на телефон користувача. У деяких сервісах дзвінка достатньо для авторизації, і вхід відбувається автоматично. В інших – необхідно відповісти на дзвінок, прослухати код, а потім вказати його.

2FA електронною поштою

Метод схожий на 2FA СМС, але одноразовий код підтвердження приходить у вигляді електронного листа на пошту. Одним із варіантів автентифікації електронною поштою є перехід за унікальним посиланням, який і надає доступ до облікового запису.

У такому випадку потрібне підключення до інтернету. Це не найкращий метод, адже такий лист часто потрапляє до Спаму, тому для авторизації потрібно більше часу.

Також зловмисники дуже просто і швидко зламують обліковий запис з автентифікацією електронною поштою, якщо вони вже мають доступ до цієї самої пошти.

2FA через TOTP-додатки

Алгоритм тимчасових одноразових паролів (Time-based One-time Password Algorithm, TOTP) – це форма перевірки, яка вимагає від користувача встановлення на смартфон спеціальної програми. Найпопулярніші: Microsoft Authenticator, Google Authenticator.

Двофакторна аутентифікація

Дані програми генерують часовий одноразовий код довжиною від шести до восьми цифр, який оновлюється кожні 30 секунд. Після введення коду користувач отримує доступ до облікового запису.

Перевага методу – легко впровадити та використовувати. Користувачеві не потрібно чекати листа, він одразу отримує пароль для підтвердження. Цей спосіб надійніший, ніж 2FA за СМС, тому що код не можна підглянути на екрані блокування або пов’язаному Bluetooth фітнес-браслеті.

2FA через апаратний ключ

У цьому методі використовуються наприклад, USB-флешка, вставлена в комп’ютер, NFC-карта або TOTP-брелок, який генерує код для авторизації кожні 30/60 секунд.

Тут не потрібне підключення до інтернету. Це один із найпростіших та найбезпечніших методів 2FA. Але випуск та обслуговування подібних пристроїв для кожного користувача може бути дорогим для бізнесу. Окрім цього, завжди є ризик втратити ключ.

6 способів як шахраї обходять двофакторну автентифікацію

  1. Обхід 2FA за допомогою соціальної інженерії

У цьому випадку шахрай обманом змушує жертву несвідомо надати важливу інформацію про секретний код. Вже маючи на руках логін та пароль для входу, шахрай дзвонить або відправляє повідомлення, переконуючи жертву передати 2FA-код.

В іншому випадку зловмисник видає себе за користувача і каже, що його обліковий запис заблоковано, або є якісь неполадки із додатком-автентифікатором. Якщо пощастить, то йому нададуть одноразовий доступ до облікового запису і зможе скинути та змінити пароль.

  1. Обхід 2FA за допомогою відкритої авторизації (OAuth)

OAuth – це відкритий протокол авторизації, який дає додаткам та сервісам обмежений доступ до даних користувача без розголошення пароля.

Наприклад, для входу до програми потрібно дати дозвіл на частковий доступ до облікового запису Facebook або Інстаграм. Саме так обраний додаток отримує частину повноважень облікового запису, але не зберігає логін і пароль від облікового запису.

Є метод «фішинг згоди», який дозволяє злочинцеві обходити введення облікових даних та будь-яку двофакторну автентифікацію. Наприклад, зловмисник створив законний додаток з авторизацією OAuth і надсилає жертві повідомлення з проханням надати доступ. Якщо жертва надасть такий доступ, зловмисник отримає доступ до облікового запису.

  1. Обхід 2FA за допомогою Brute-Force

У цьому випадку зловмисники користуються перебором паролів. Такий метод успішний лише у разі застарілих систем. Наприклад, деякі старі TOTP-брелки мають довжину коду всього чотири цифри. А чим менший код, тим легше його зламати.

Але серйозна перешкода для хакерів – обмеженість часу дії одноразового коду (30/60 секунд). Таким чином, зловмисники мають обмежену кількість кодів, які можна встигнути перебрати, перш ніж вони зміняться. Але якщо двофакторна аутентифікація налаштована коректно, атака такого типу буде в принципі неможлива – користувача заблокує після декількох неправильно введених OTP-кодів.

  1. Обхід 2FA згенерованими раніше токенами

Існують платформи, які дають користувачам заздалегідь генерувати 2FA-коди. Наприклад, у налаштуваннях безпеки облікового запису Google можна завантажити документ із резервними кодами, які діють довгий час. Їх можна використовувати у майбутньому для обходу 2FA.

У таких кодах є користь, наприклад, якщо пристрій втрачено. Але якщо такий документ або хоча б один резервний код потрапить до рук злочинця, той просто отримає доступ до облікового запису.

  1. Обхід 2FA за допомогою Cookie-файлів сеансу

Крадіжка cookie-файлів або захоплення сеансу дає можливість хакерам отримати доступ до облікового запису, не маючи жодних паролів або 2FA-кодів.

Браузер зберігає спеціальний cookie-файл сесії, тому користувачеві не потрібно щоразу вводити пароль від облікового запису. Він містить інформацію про користувача, підтримує його автентифікацію у системі та відстежує активність сеансу. Cookie-файли сеансу залишаються в браузері доти, доки користувач не вийде із системи вручну. Таким чином, злочинець може використовувати cookie для доступу до облікового запису користувача.

Кіберзлочинцям відомо безліч методів захоплення акаунту, таких як перехоплення та фіксація сеансу, міжсайтовий скриптинг та використання шкідливих програм. Цей метод найбільш популярний серед хакерів, тому що ним скористатися найпростіше.

  1. Обхід 2FA із SIM-jacking

Це тип атаки, коли зловмисник отримує повний контроль над телефонним номером жертви. Наприклад, шахраї можуть отримати ряд базових даних про користувача, а потім видати себе за користувача в салоні оператора мобільного зв’язку, щоб випустити нову SIM-картку. Крім цього, атака SIM-jacking можлива через шкідливі ПЗ, встановлені на смартфон жертви.

Читайте також: Анонімний месенджер Session. Заснований на блокчейні з відкритим вихідним кодом

У цьому випадку хакер може перехоплювати одноразові коди, надіслані через 2FA СМС. Завдяки цьому зловмисник може зламати всі облікові записи жертви та отримати повний доступ до необхідних даних.

Як зробити 2FA ще безпечнішим?

Двофакторна автентифікація – найрекомендованіший спосіб захисту облікових записів в інтернеті. Нижче ви знайдете кілька порад, щоб використовувати 2FA максимально ефективно:

  1. Використовувати додатки-автентифікатори замість аутентифікації за СМС – додатки в рази безпечніші
  2. Нікому за жодних обставин не повідомляйте одноразові або резервні коди безпеки
  3. Користуйтеся довгими кодами безпеки (більше 6 символів), якщо можливо
  4. Використовуйте складні паролі для захисту облікового запису, краще згенерувати пароль у генераторі паролів та використовувати його у зв’язці з менеджером паролів
  5. Пам’ятайте: один обліковий запис – один пароль
  6. Використовуйте фізичні ключі безпеки як альтернативу
  7. Дізнайтеся всі методи соціальної інженерії, щоб не стати жертвою обману

Двофакторна аутентифікація не ідеальна і має недоліки. Але вона залишається одним із найкращих способів захисту облікових записів. Дотримуйтесь рекомендацій, щоб максимально убезпечити свої облікові записи.

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *