Двухфакторная аутентификация vs. автозалив - кто победит?

О двухфакторной аутентификации написано немало, но, к сожалению, далеко не каждый из нас успел осознать всю хрупкость стандартной комбинации логин + пароль.

Сегодня практически вся важная информация, начиная от личных фотографий, произведений искусства, данных о здоровье человека и заканчивая финансами и документацией, хранится в электронном виде. И мошенники от этого только выигрывают.

Вооруженные ограбления в прошлом. Существуют более удобные и безопасные способы завладеть чужими средствами, оставаясь при этом незамеченным. И, что самое страшное, о таких способах знает каждый продвинутый кодер. Фишинг, подмена данных, автозалив - список можно продолжать бесконечно.

Очевидно, простого логина с паролем для защиты важных данных уже мало. Просчитать, каким паролем пользуется тот или иной человек не трудно, многочисленные исследования поведенческих факторов это доказывают. Часто мы используем один и тот же пароль для защиты разных аккаунтов, даже не задумываясь о том как это опасно, ведь если злоумышленник взломает один ресурс, ему откроется доступ и к остальным. Сложный пароль тоже не решает проблему безопасности. Его легко забыть, а если пароль записан на листочке, в каком-либо приложении или файле, то подсмотреть.

Двухфакторная аутентификация – единственно верное решение по защите данных

К счастью, современные технологии осваивают не только интернет-мошенники. Человечество дружно ищет наиболее действенный способ защиты данных. И лучшее решение на сегодняшний день - это двухфакторная аутентификация или 2FA.

Такой способ аутентификации пользователя проходит в два этапа:

1. Ввод логина и пароля.


2. Ввод одноразового пароля, сгенерированного при помощи аппаратного токена, мобильного приложения, или полученного в СМС.

Суть двухфакторной аутентификации заключается в том, что даже если мошенник сможет заполучить ваши логин и пароль, то будет скомпрометирован всего лишь один фактор, так как для получения одноразового пароля (OTP) необходимо специальное устройство – токен, который находится только у вас. Перехватывать одноразовые пароли бессмысленно, ведь действуют они очень недолго, и каждый следующий пароль никак не связан с предыдущим. Вычислить закономерность создания OTP также невозможно, для этого нужно знать секретный ключ, который хранится только на сервере и в самом токене.

Двухфакторная аутентификация считается даже более надежной, чем биометрическая. Подумайте сами, злоумышленникам достаточно один раз получить ваш отпечаток пальца или аудиозапись голоса, и вы уже никогда не сможете использовать этот способ защиты. В случае же потери токена, его можно быстро заблокировать и заменить.

Google Authenticator - панацея или сыр в мышеловке?

Наверное, самым известным и популярным решением 2FA является Google Authenticator. Своей популярностью этот генератор OTP обязан доступности, ведь двухфакторная аутентификация Google Authenticator – это абсолютно бесплатное решение. Но ведь каждому известно, бесплатный сыр только в мышеловке. Мы решили разобраться, достаточно ли надежно решение от Google, и рассмотреть его сильные и слабые стороны.

Преимущества:

• Предоставляется абсолютно бесплатно.


• Проверено миллионами авторизаций по всему миру.


• Это открытое программное приложение (open-source).


• Можно самостоятельно доработать функционал под нужды своей компании.

Но так как данный токен разработан только для авторизации в сервисах Google. Отсюда и его недостатки:

• Доработка возможна, но все изменения будут сделаны вами самостоятельно за дополнительные средства на свой страх и риск.


• Нет никаких гарантий, что после внесения изменений, в приложении не откроется слабых мест, в случае взлома системы вся ответственность будет лежать на ваших же плечах.


• Наверное, главный минус 2FA Google – то, что это всего лишь токен, а для внедрения двухфакторной аутентификации нужен еще и сервер, соответственно, вам нужно будет разработать серверную часть самостоятельно. Для большей уверенности в том, что секретный ключ никогда не сможет заполучить человек извне, разворачивать систему аутентификации лучше на серверах своей компании. А это еще и дополнительные траты.


• Отсутствие функции подписи данных, что полностью развязывает руки хакерам, и делает систему аутентификации беззащитной перед новыми угрозами, такими как автозалив.

Что такое автозалив и как от него защититься?

Автозалив – это один из самых коварных видов интернет-мошенничества. Хакеры долго думали над тем, как обойти двухфакторную аутентификацию и пришли к выводу, что обходить ее не нужно, можно поступить проще – заставить пользователя самостоятельно перечислить средства на счет злоумышленника путем обмана и манипуляций с его браузером.

Процесс этот происходит по-разному, один из вариантов развития событий может выглядеть так. Пользователь заходит в свой аккаунт и видит сообщение о том, что на его счет по ошибке были зачислены чужие средства. В сообщении также сказано, что счет будет заморожен до тех пор, пока он не вернет нужную сумму отправителю, совершившему ошибочный перевод. Все выглядит очень реалистично, человек действительно видит, что денег на его счету стало больше, и подтверждает операцию паролем из СМС, так как уверен, что все делает правильно, после чего на экране отображается та сумма, которая лежала на счету изначально. О подвохе выяснится только тогда, когда не хватит средств на действительно нужную операцию. Более подробно об автозаливе написано здесь.

Но как же решить эту проблему? Казалось бы, двухфакторная аутентификация пользователя бессильна, и большинство компаний, существующих на рынке сегодня, не в состоянии справится с подобной задачей.

Но Protectimus предлагает свой способ борьбы с автозаливом, подменой данных и другими хакерскими хитростями. Система двухфакторной аутентификации Protectimus успешно противостоит этим угрозам благодаря новой функции под названием подпись данных, или CWYS.

Как CWYS (подпись данных) защищает от автозалива?

Акроним CWYS расшифровывается как «Confirm What You See» («Подтверди то, что видишь»). Суть этой функции состоит в использовании для генерации одноразового пароля некоторых данных о совершаемой транзакции.

Соответственно, если со стороны пользователя данные о транзакции одни (поддельные), а сервер видит совсем другую информацию (подлинную), то одноразовые пароли, сгенерированные токеном и сервером, будут отличаться, авторизация не осуществится, а пользователь будет предупрежден о том, что на него направлена хакерская атака.

Обычно функция подписи данных поддерживается исключительно токенами, работающими по алгоритму OCRA (OATH Challenge-Response Algorithm). Но компания Протектимус пошла в этом плане дальше. В одном из наших продуктов, а именно в программном токене Protectimus SMART, доступны абсолютно все алгоритмы генерации одноразового пароля, пользователь самостоятельно выбирает тот алгоритм, который кажется ему наиболее удобным, но функция подписи данных остается доступной для любого из поддерживаемых алгоритмов. Более того, функция CWYS работает и для остальных типов токенов (Protectimus ULTRA, Protectimus SMS и Protectimus MAIL). Алгоритм OCRA (запрос-ответ) надежен сам по себе, но благодаря применению CWYS нам удалось добиться нового уровня безопасности!