Poate că nu vă dați seama, dar utilizați în mod regulat autentificarea cu doi factori. Când transferați bani online de pe cardul de debit, vi se cere și să introduceți o parolă sau un cod de confirmare din SMS? Aceasta este, de asemenea, o formă de autentificare cu doi factori.
Autentificarea cu doi factori necesită două moduri de a vă verifica identitatea și poate fi folosită și pentru a securiza diferite înregistrări de confidențialitate pe internet. Nu oferă securitate perfectă și necesită un pas suplimentar atunci când vă conectați la conturile dvs., dar face datele dvs. mai sigure online.
Cum funcționează online autentificarea cu doi factori?
Autentificarea cu doi factori (2FA), cunoscută și sub numele de autentificare cu doi factori sau autentificare cu mai mulți factori, este utilizată pe scară largă pentru a adăuga un alt nivel de securitate conturilor dvs. online. Cea mai obișnuită formă de autentificare în doi factori atunci când vă autentificați într-un cont este procesul de introducere a unei parole și apoi de primire a unui cod prin SMS pe telefon, care trebuie apoi introdus pe un site web sau aplicație. Al doilea nivel de autentificare cu doi factori înseamnă că un hacker sau o altă persoană necinstită va trebui să vă fure parola împreună cu telefonul pentru a obține acces la contul dvs.Există trei tipuri de autentificare:
- Ceva pe care îl știi: o parolă, un PIN, un cod poștal sau răspunsul la o întrebare (numele de fată al mamei, numele animalului de companie etc.)
- Ceva ce ai: telefon, card de credit etc.
- Ceva biometric: amprentă, retină, față sau voce.
Cum funcționează al doilea factor?
După introducerea parolei (primul factor de autentificare), al doilea factor vine de obicei prin SMS. Adică veți primi un text cu un cod numeric pe care va trebui să îl introduceți pentru a vă intra în cont. Spre deosebire de codul PIN al cardului de debit, un cod 2FA este folosit o singură dată. De fiecare dată când vă conectați la acest cont, vi se va trimite un nou cod.Alternativ, puteți utiliza o aplicație de autentificare dedicată pentru a primi coduri în loc să le trimiteți în modul text. Aplicațiile de autentificare populare sunt Google Authenticator, Authy și DuoMobile.
Care este mai bine să folosești SMS sau aplicație?
Multe site-uri și servicii, inclusiv Amazon, Dropbox, Google și Microsoft, vă permit să utilizați SMS-uri sau o aplicație de autentificare. Twitter este primul exemplu de site care te obligă să folosești SMS-uri. Dacă aveți de ales, utilizați o aplicație de autentificare.Primirea codurilor prin SMS este mai puțin sigură decât utilizarea unei aplicații de autentificare. Un hacker poate intercepta un mesaj text sau poate intercepta numărul dvs. de telefon, convingându-vă operatorul să-l transfere pe un alt dispozitiv. Sau, dacă sincronizați mesajele text cu computerul dvs., un hacker poate accesa codurile SMS furându-vă computerul.
Aplicația de autentificare are avantajul că nu trebuie să se bazeze pe operatorul dvs. Codurile sunt trimise către telefon pe baza unui algoritm de criptare secret și a orei curente. Codurile expiră rapid, de obicei după 30 sau 60 de secunde.
Deoarece aplicația de autentificare nu are nevoie de un operator de telefonie mobilă pentru a trimite codurile, acestea vor rămâne în aplicație chiar dacă un hacker reușește să-ți porteze numărul pe un telefon nou. Aplicația de autentificare funcționează și atunci când nu aveți o rețea celulară - acesta este un bonus suplimentar.
Utilizarea unei aplicații de autentificare necesită puțină configurare suplimentară, dar oferă o securitate mai bună decât SMS-urile. Pentru a configura o aplicație de autentificare, trebuie să instalați aplicația pe telefon și apoi să configurați un token secret partajat (șir de cod lung) între aplicație și conturile dvs. Acest lucru se face de obicei prin scanarea unui cod QR cu camera telefonului. Cu toate acestea, odată configurată, aplicația de autentificare vă scutește de a fi necesar să introduceți un cod; pur și simplu atingeți notificarea din aplicație pentru a vă conecta la unul dintre conturile dvs.
Dacă nu am telefon?
Multe servicii online precum Dropbox, Facebook, Google și Instagram vă permit să creați coduri de rezervă pe care să le imprimați sau să le faceți o captură de ecran. În acest fel, dacă vă pierdeți telefonul sau nu vedeți un semnal al site-ului mobil, puteți utiliza codul de rezervă ca al doilea factor de autentificare pentru a vă conecta. Doar asigurați-vă că păstrați o imprimare a codurilor de rezervă într-un loc sigur.2FA va face conturile mele mai sigure?
Niciun produs de securitate nu poate pretinde că este o protecție perfectă și puternică, dar combinând două dintre cele trei tipuri de autentificare de mai sus, 2FA îngreunează accesul în contul dvs. Nu numai că îngreunați atacurile asupra conturilor dvs., dar vă faceți și conturile mai puțin atractive pentru hackeri.Gândește-te la asta ca la protejarea casei tale. Dacă aveți un sistem de securitate la domiciliu, reduceți șansa unei spargeri. Dacă aveți un câine mare zgomotos, reduceți, de asemenea, șansa unei spargeri. Dacă combini un sistem de securitate cu un câine mare, atunci casa ta devine și mai greu de spart și o țintă mai puțin atractivă. Majoritatea hoților vor găsi pur și simplu o opțiune mai ușoară, fără alarme și posibilitatea mușcăturii de câine.
De asemenea, autentificarea în doi factori îi descurajează pe majoritatea hackerilor să vă vizeze contul. Mulți vor trece pur și simplu mai departe și vor găsi conturi mai ușor de piratat. Și dacă vă vizează, vor avea nevoie de mai mult decât parola dvs. Pe lângă parola dvs., hackerul va avea nevoie și de telefonul dvs. sau va accesa jetoanele instalate pe telefon printr-un mecanism de autentificare, atac de phishing, malware sau activare a recuperării contului în care parola dvs. este resetată și 2FA este apoi dezactivat. Aceasta este o muncă suplimentară și dificilă.
Cât de mult mai multă bătaie de cap este să folosești 2FA?
Nu știu dacă l-aș numi o bătaie de cap sau nu, dar 2FA necesită un pas suplimentar atunci când vă conectați la conturile dvs. Va trebui să introduceți parola, să așteptați să sosească codul prin SMS și apoi să introduceți acest cod. Sau, dacă utilizați o aplicație de autentificare, va trebui să așteptați o notificare pe care o puteți atinge pentru a verifica că sunteți dvs.Folosesc autentificarea 2FA cu multe dintre conturile mele online și mi se pare mai puțin complicată decât utilizarea unei parole puternice sau a unei expresii de acces care combină litere mari și mici, numere și simboluri. Și în timp ce vorbesc despre parole puternice, permiteți-mi să afirm că folosirea 2FA ca scuză pentru a folosi parole mai slabe și mai ușor de tastat este o idee proastă. Nu slăbiți primul factor de protecție doar pentru că ați adăugat al doilea.
Cum se activează 2FA?
Multe site-uri și servicii oferă 2FA, dar îl numesc cu nume diferite. Mai jos sunt modalități rapide de a activa autentificarea cu doi factori pentru unele dintre cele mai populare servicii online.
Dropbox.
Faceți clic pe numele dvs. în colțul din dreapta sus al contului dvs. Dropbox și accesați Setări > Securitate și veți vedea starea afișată în partea de sus a paginii de verificare în doi pași. Lângă starea „Dezactivat”, faceți clic pe link (faceți clic pentru a activa), apoi faceți clic pe butonul „Începeți”. Puteți configura apoi primirea codurilor de verificare prin SMS pe telefon sau într-o aplicație precum Google Authenticator. Consultați instrucțiunile Dropbox pentru mai multe informații.
Facebook.
Faceți clic pe butonul triunghi din colțul din dreapta sus, selectați „Setări > Securitate” și faceți clic pe „Editare” în dreapta „Confirmare autentificare”. Apoi faceți clic pe „Activați” lângă unde scrie „Autentificarea cu doi factori este dezactivată în prezent”. Pentru mai multe informații vezi
Vă voi arăta cum să vă securizați contul de e-mail activând autentificarea cu doi factori pe Mail. După ce ați introdus parola din contul dvs. de Mail, veți primi pe telefon un cod SMS, pe care va trebui să îl introduceți pentru a intra în contul dvs. de Mail.
1. Activați autentificarea cu doi factori.
Mergem pe mail.ru, apoi intrăm în contul nostru introducând numele de utilizator și parola. Apoi, după ce v-ați conectat la contul dvs., în dreapta sus, faceți clic pe setări.
În setări, introduceți parola și securitatea. Și în partea dreaptă este un articol Conectare securizată cu confirmare prin SMS. Faceți clic pe activare.
Sigur doriți să activați autentificarea cu doi factori Yandex?
Autentificarea cu doi factori oferă un nivel suplimentar de protecție pentru contul dvs. După ce autentificarea este activată, atunci când încercați să vă conectați la căsuța poștală, vi se va solicita să introduceți codul trimis ca SMS la numărul de telefon conectat.
Introduceți parola pentru cont, indicați numărul dvs. de telefon și faceți clic pe Continuare.
Autentificarea cu doi factori este activată.
Adăugați parole pentru fiecare dintre aplicații.
Vă rugăm să rețineți că toate aplicațiile externe în care ați folosit această cutie poștală au încetat să funcționeze. Pentru a începe să le utilizați din nou, accesați setări și creați parole pentru fiecare.
Faceți clic pe Configurați autentificarea cu doi factori.
Asta e tot. Autentificarea cu doi factori funcționează deja. Acum, după ce ați introdus parola pentru contul dvs. mail.ru, veți primi pe telefon un cod SMS, pe care va trebui să îl introduceți pentru a vă intra în cont. Astfel, dacă cineva află parola contului tău, tot nu o va putea introduce, deoarece va trebui să introducă un cod SMS, iar codul SMS va fi trimis pe telefonul tău.
2. Creați o parolă pentru aplicațiile externe.
Puteți continua să configurați și să personalizați The Bat! și Microsoft Outlook, dacă le folosiți și aveți cutia poștală mail.ru adăugată acolo. Faceți clic pe adăugați aplicație.
Crearea unei noi aplicații. Parola pentru aplicație este necesară pentru ca e-mailul să funcționeze în aplicații terțe.
Venim cu un nume pentru această aplicație și facem clic pe Creare.
Introduceți parola curentă pentru contul dvs. mail.ru și faceți clic pe accept.
Aplicația a fost creată cu succes. Vi se va afișa o parolă generată automat pentru The Bat! sau Microsoft Outlook dacă le folosiți deloc.
3. Creați coduri unice.
De asemenea, puteți genera o parolă unică. Acest lucru se întâmplă în cazul în care telefonul dvs. nu este disponibil sau vi este furat și nu vă puteți folosi numărul.
Codul unic poate fi utilizat atunci când nu există acces la telefonul mobil conectat. Fiecare dintre ele devine inactiv după utilizare. După regenerarea codurilor, toate codurile vechi devin invalide. Vă rugăm să rețineți că acestea vă vor fi afișate o singură dată. Este recomandat să tipăriți codurile generate și să le păstrați într-un loc sigur.
Faceți clic pe generare.
Sigur doriți să generați un nou tabel de coduri? Vă rugăm să rețineți că vechile coduri nu vor mai fi valabile.
Apăsăm în continuare.
Introdu parola curentă pentru contul tău mail.ru și codul SMS pe care îl vei primi pe numărul tău.
Apăsăm pe accept.
Pentru dvs. vor fi generate coduri unice (care sunt de obicei generate și trimise prin SMS). Salvați-le undeva (doar nu pe telefon, așa cum sunt doar în cazul în care nu aveți telefonul cu dvs.). Ei bine, nu le arăta nimănui. Și dacă îți ții mereu telefonul cu tine și ești sigur că nu va fi furat și poți oricând să-ți restaurezi numărul, atunci nu poți folosi deloc coduri unice și le șterge.
Acum, când încercați să vă introduceți e-mailul pe un smartphone sau tabletă sau în altă parte, apoi introduceți numele de utilizator și parola și faceți clic pe Enter.
De asemenea, va trebui să introduceți codul SMS pe care îl veți primi pe numărul dvs. sau codul unic generat. Dacă nu mai doriți să introduceți codul SMS de fiecare dată când verificați e-mailul pe smartphone, de exemplu, atunci bifați caseta pentru acest dispozitiv.
Și dacă nu primiți un cod SMS, faceți clic pe probleme de conectare?
Dacă mesajul nu ajunge în câteva secunde sau minute, puteți solicita o retrimitere. Faceți clic pentru a solicita din nou.
Și când a venit codul SMS pe telefon, introduceți-l și faceți clic pe Enter.
În primul rând, datorită acestei metode de protecție, poți fi sigur că doar tu vei avea acces la contul tău, chiar dacă parola cade în mâinile unor terți.
In contact cu
Cum funcționează autentificarea cu doi factori
Metoda de securitate în cauză vă permite să vă conectați la contul Apple ID numai de pe dispozitive de încredere. Acestea din urmă includ iPhone-ul utilizatorului, iPad-ul sau Mac-ul care a fost verificat de sistem. Și anume: atunci când accesați contul pentru prima dată, serviciul vă va cere să introduceți o parolă și un cod de șase cifre, care vor fi afișate pe ecranul unui gadget care se numără printre cele de încredere. De exemplu, dacă un utilizator are un iPhone și dorește să se conecteze la contul său de pe un iPad (sau Mac) nou achiziționat, sistemul îi va solicita să introducă o parolă și un cod - acesta din urmă va fi trimis pe smartphone.
Ce oferă acest lucru utilizatorului? Deoarece nu va fi necesară doar o parolă pentru a vă accesa contul, aceasta vă va securiza în mod semnificativ atât ID-ul Apple, cât și datele care sunt stocate pe serverele Apple. După obținerea accesului, codul de verificare nu va mai fi necesar să fie introdus. Cu excepția cazurilor în care se face o deconectare completă, toate datele sunt șterse din gadget sau o parolă este schimbată. De asemenea, puteți specifica un anumit browser ca fiind de încredere dacă utilizatorul va trece la contul de pe acesta (cu condiția ca acesta să facă acest lucru de pe un dispozitiv de încredere) - acest lucru va elimina necesitatea de a vă confirma accesul de fiecare dată.
Dispozitive de încredere (verificate).
Dispozitivele de încredere includ un iPhone, iPad, iPod touch sau Mac care rulează iOS 9 sau OS X El Capitan (sau actualizat la cea mai recentă). Aceste gadgeturi trebuie să fie conectate la un cont Apple ID folosind autentificarea cu doi factori. Cu alte cuvinte, dispozitivele verificate le includ pe cele despre care sistemul le poate ști cu siguranță că aparțin unui anumit proprietar, iar acest lucru poate fi verificat prin trimiterea unui cod de verificare gadget-ului său.
Numere de telefon verificate
Un număr de telefon de încredere este numărul către care utilizatorul se așteaptă să primească un cod digital trimis de sistem sub formă de mesaje text și apeluri. Desigur, pentru a utiliza funcția de autentificare cu doi factori, trebuie să aveți cel puțin un număr de telefon verificat.
În cazul în care brusc nu aveți un dispozitiv de încredere la îndemână, este logic să includeți numărul dvs. de acasă, numărul unei rude sau al unui prieten apropiat printre numerele verificate. Acest lucru vă va permite să vă conectați la contul Apple ID dacă, dintr-un motiv oarecare, gadgetul dvs. nu este în apropiere.
Ce este un cod de verificare
Acesta este un cod care este trimis de sistem către dispozitivul sau numărul de telefon de încredere al unui utilizator pentru a verifica identitatea acestuia atunci când se conectează pentru prima dată la contul său. De asemenea, puteți solicita un astfel de cod pe gadgetul dvs. verificat în aplicație " Setări". Trebuie amintit că parola și codul nu sunt același lucru. Utilizatorul inventează singur parola, codul îi este trimis de către sistem.
Cum să configurați autentificarea în doi factori pentru ID-ul Apple pe iPhone, iPad sau iPod touch
Pentru a accesa opțiunea de autentificare cu doi factori, trebuie să fii utilizator iCloud și să ai la bord un gadget cu iOS 9 sau OS X El Capitan (sau cu actualizările acestora).
Dacă gadgetul dvs. rulează iOS 10.3 sau o versiune mai nouă, atunci trebuie să urmați următorii pași:
1. Deschis " Setări", mergi la secțiunea cu numele tău și deschide articolul" parola si siguranta»;
2. În fereastra care se deschide, faceți clic pe „ Aprinde» de mai jos paragraful « Autentificare cu doi factori»;
3. Presa " Continua».
Dacă dispozitivul dvs. rulează iOS 10.2 sau o versiune anterioară, urmați acești pași:
1. Deschide în " Setări"capitolul" iCloud»;
2. Selectați ID-ul Apple și accesați „ parola si siguranta»;
3. În fereastra care se deschide, activați „ Autentificare cu doi factori»;
4. Presa " Continua».
Verificarea numărului de telefon de încredere
După parcurgerea pașilor de mai sus, va apărea o fereastră în care va trebui să specificați numărul de telefon - acestuia îi va fi trimis ulterior codul de verificare. De asemenea, trebuie menționat sub ce formă va fi solicitată confirmarea: sub forma unui mesaj text sau a unui apel telefonic.
Cum să configurați autentificarea în doi factori pentru ID-ul Apple pe Mac
Pentru a configura autentificarea cu doi factori, trebuie să fii utilizator iCloud și să ai OS X El Capitan (și mai târziu) la bord.
1 . Deschideți meniul Apple și accesați „ Setarile sistemului" si apoi la " iCloud" și " Cont».
2 . Selectează " Securitate».
3 . Faceți clic pe " Activați autentificarea cu doi factori».
4 . Rețineți că, dacă verificarea în doi pași este deja activată, aceasta trebuie dezactivată înainte ca autentificarea în doi factori să fie activată. De asemenea, unele ID-uri Apple create pe versiunile platformei iOS 10.3 sau macOS 10.12.4 (și versiunile ulterioare ale acestor sisteme de operare) pot activa automat protecția de autentificare cu doi factori.
6 . În primul rând, este recomandabil să vă amintiți parola pentru contul dvs. În caz contrar, se poate dovedi că aceste date, fiind înregistrate sau stocate într-un fișier, vor fi la terți.
8 . În al treilea rând, nu uitați să actualizați lista de numere de telefon de încredere în timp util.
9 . De asemenea, este important să vă asigurați că dispozitivul nu cade în mâinile străinilor.
Toate aceste măsuri de securitate pot oferi gradul maxim de protecție pentru gadget și informațiile stocate pe acesta.
Gestionarea ID-ului Apple
În contul dvs., puteți corecta datele despre dispozitivele și telefoanele de încredere.
Actualizați numerele de telefon verificate
Pentru a utiliza autentificarea cu doi factori, trebuie să existe cel puțin un număr de telefon de încredere în baza de date a serviciului. Dacă acest număr trebuie schimbat, urmați acești pași:
- Conectați-vă la contul Apple ID;
- Deschide fila " Securitate” și faceți clic pe elementul „ Editați | ×».
Dacă trebuie să specificați un număr de telefon verificat, faceți clic pe „ Adăugați un număr de telefon verificat' și introduceți acest număr. O puteți confirma specificând una dintre modalități: prin trimiterea codului într-un mesaj text sau prin apel. Pentru a șterge un număr care nu mai este relevant, ar trebui să faceți clic pe pictograma de lângă acest număr.
Prezentare generală și gestionare a gadgeturilor de încredere
Puteți vedea informații despre gadgeturile care au primit starea de verificare în „ Dispozitive» în contul dumneavoastră Apple ID. Acolo puteți găsi și informații legate de aceste gadget-uri.
Dacă este necesar, dispozitivul verificat poate fi eliminat din listă. După aceea, va fi imposibil să accesați iCloud și alte servicii Apple de pe acesta până când nu va fi din nou autorizat prin autentificare cu doi factori.
Această declarație are sens și se aplică în primul rând companiilor din sectorul financiar, precum și unui număr de companii care efectuează activități de cercetare, dezvoltare și tehnologie (R&D) în sectoarele pieței de înaltă tehnologie.
Folosind acest tip de 2FA, utilizatorul introduce o parolă personală la primul nivel de autentificare. În pasul următor, el trebuie să introducă un token OTP, trimis de obicei prin SMS pe dispozitivul său mobil. Ideea metodei este clară. OTP va fi disponibil doar pentru persoana care, așa cum era de așteptat în teorie, a introdus o parolă care nu este accesibilă unui străin.
Cu toate acestea, din păcate, trimiterea OTP prin SMS nu este în general sigură, deoarece mesajele sunt adesea trimise în text clar. Chiar și hackerii începători pot citi aceste mesaje text, deoarece, de fapt, tot ce au nevoie este numărul de telefon țintă.
În plus, autentificarea cu mai mulți factori nu reușește să prevină atacurile MitM, care sunt adesea folosite în timpul campaniilor de phishing prin e-mail. Dacă atacul are succes, utilizatorul va urma un link fraudulos și va ajunge pe un site similar cu portalul online al băncii. Acolo, utilizatorul va introduce informații de conectare și alte date sensibile care vor fi folosite de atacator pentru a obține acces la site-ul real.
Deși acest atac va fi posibil doar pentru o perioadă limitată de timp, este totuși posibil.
Cerințe ale Serviciului Federal de Control Tehnic și Export pentru autentificarea cu mai mulți factori
La începutul anului 2014, Serviciul Federal de Control Tehnic și Export (FSTEC) a aprobat un document metodologic privind măsurile de securitate a informațiilor în sistemele informaționale ale statului. Documentul a clarificat numeroase aspecte legate de măsurile organizatorice și tehnice de securitate a informațiilor luate în sistemele informaționale de stat, în conformitate cu ordinul aprobat al FSTEC al Rusiei din 11 februarie 2013 nr.17.
FSTEC vă recomandă insistent să abandonați complet autentificarea obișnuită bazată pe parole statice pentru toți utilizatorii fără excepție și să treceți la o autentificare multi-factor mai fiabilă. Cerințele obligatorii pentru autentificarea cu mai mulți factori sunt utilizarea de autentificatoare hardware și un mecanism de parolă unică pentru acces la distanță și local.
Exemple de autentificare cu doi și mai mulți factori
Tehnica de autentificare prin SMS se bazează pe utilizarea unei parole unice: avantajul acestei abordări, în comparație cu o parolă permanentă, este că această parolă nu poate fi reutilizată. Chiar dacă presupunem că atacatorul a reușit să intercepteze datele în timpul schimbului de informații, el nu va putea folosi efectiv parola furată pentru a obține acces la sistem.
Și iată un exemplu implementat folosind dispozitive biometrice și metode de autentificare: folosind un scaner de amprente, care este disponibil pe o serie de modele de laptop. Când se conectează, utilizatorul trebuie să parcurgă o procedură de scanare a degetelor și apoi să își confirme acreditările cu o parolă. Autentificarea finalizată cu succes îi va da dreptul de a utiliza datele locale ale unui anumit computer. Cu toate acestea, regulile de lucru în SI pot prevedea o procedură de autentificare separată pentru accesarea resurselor de rețea ale companiei, care, pe lângă introducerea unei alte parole, poate include o serie de cerințe pentru reprezentarea autentificatorilor subiectului. Dar chiar și cu o astfel de implementare, securitatea sistemului este, fără îndoială, îmbunătățită.
Alți autentificatori biometrici pot fi utilizați în mod similar:
- amprentele digitale;
- geometria mâinii;
- forma și dimensiunea feței;
- caracteristicile vocii;
- modelul irisului și retinei;
- desenul venelor degetelor.
În acest caz, desigur, se utilizează hardware-ul și software-ul adecvat, iar costurile de achiziție și suport pot varia semnificativ.
Cu toate acestea, merită să înțelegeți că autentificatoarele biometrice nu sunt date absolut exacte. Amprentele unui deget pot diferi sub influența mediului extern, a stării fiziologice a corpului uman etc. Pentru a confirma cu succes acest autentificator, este suficientă o corespondență incompletă a amprentei cu standardul. Metodele de autentificare biometrică cuprind determinarea gradului de probabilitate de conformitate a autentificatorului curent cu standardul. În ceea ce privește autentificarea biometrică și accesul de la distanță la IS, tehnologiile moderne nu au încă capacitatea de a transmite date fiabile pe canale nesigure - o amprentă sau o scanare a retinei.
Aceste tehnologii sunt mai potrivite pentru utilizare în rețelele corporative.
Autentificarea vocală poate deveni cea mai populară tehnologie în această direcție în viitorul apropiat, iar semnele acestui lucru sunt evidente. Un număr semnificativ de evoluții în acest domeniu sunt deja disponibile astăzi, proiectele pentru introducerea unor astfel de mecanisme de management/control și-au găsit loc într-un număr de bănci mari ale Federației Ruse. Ca exemplu de aplicare practică a sistemelor de autentificare biometrică vocală, se poate indica autentificarea prin frază cheie utilizată într-un număr de centre de apeluri, parole audio pentru accesarea sistemelor bancare prin Internet etc., confirmarea acțiunilor personalului la efectuarea unor operațiuni importante de acces la informații, control de acces fizic și prezență în cameră.
Pe lângă tehnologiile legate de utilizarea autentificatoarelor biometrice, există și soluții software și hardware, precum chei offline pentru generarea de parole unice, cititoare de etichete RFID, calculatoare cripto, jetoane software și hardware (jetoane), diverse tipuri de electronice. taste - Atingeți Memorie și cheie / card inteligent, precum și carduri de identificare biometrică. Toate sistemele și metodele de autentificare multifactorială enumerate în articol și, pe lângă acestea, sistemele de control și management al accesului (ACS) pot fi integrate, combinate și elaborate unul câte unul și într-un complex. Din aceasta putem concluziona că există un număr suficient de propuneri pe piața rusă pentru a spori protecția sistemelor informaționale, atât împotriva intruziunilor interne, cât și externe. Companiile au de ales, limitate doar de mărimea bugetului.
Metodele de securitate bazate pe metode de autentificare multifactorială au încredere în prezent de un număr mare de companii străine, inclusiv organizații de înaltă tehnologie, sectoarele financiare și de asigurări ale pieței, instituții bancare mari și întreprinderi din sectorul public, organizații de experți independenți și firme de cercetare.
În același timp, companiile și organizațiile private din lume, în general, nu prea sunt dispuse să vorbească despre introducerea inovațiilor tehnologice în domeniul securității și protecției informațiilor, din motive evidente. Se cunosc mult mai multe despre proiectele din sectorul public - din 2006, soluțiile tehnologice implementate cu succes în instituțiile publice din Canada, Arabia Saudită, Spania, Danemarca și o serie de alte țări au fost cunoscute public.
2019: Reclamație împotriva Apple pentru includerea „ilegală” a autentificării cu doi factori
Pe 11 februarie 2019, a devenit cunoscut faptul că Jay Brodsky, rezident din California, a dat în judecată Apple pentru includerea „ilegală” a autentificării cu doi factori. Brodsky se plânge că autentificarea în doi factori le face viața mult mai dificilă utilizatorilor, deoarece aceștia sunt obligați nu doar să-și amintească parola, ci și să aibă acces la un telefon sau un număr de telefon de încredere. Citeste mai mult.
2017: Google refuză SMS-ul la autorizare cu doi factori
Documentul precizează în mod explicit că utilizarea mesajelor SMS pentru autentificarea cu doi factori poate fi „invalidă” și „nesigură” (secțiunea 5.1.3.2 a documentului).
Paragraful în întregime arată după cum urmează: „Dacă verificarea canalului extern se efectuează prin SMS într-o rețea publică de telefonie mobilă, verificatorul trebuie să se asigure că numărul de telefon preînregistrat utilizat este într-adevăr asociat cu rețeaua mobilă și nu cu VoIP. sau alt serviciu software. Apoi este posibil să trimiteți un mesaj SMS la un număr de telefon preînregistrat. Schimbarea unui număr de telefon preînregistrat nu ar trebui să fie posibilă fără autentificarea cu doi factori în timpul schimbării. Utilizarea mesajelor SMS în autentificarea în afara bandă nu este permisă și nu va fi permisă în versiunile viitoare ale acestui ghid.”
Principalele preocupări ale experților de la Institutul Național de Standarde și Tehnologie sunt că numărul de telefon poate fi legat de un serviciu VoIP, în plus, atacatorii pot încerca să convingă furnizorul de servicii că numărul de telefon s-a schimbat, iar astfel de trucuri ar trebui făcute. imposibil.
În timp ce documentul recomandă producătorilor să folosească jetoane și identificatori criptografici în aplicațiile lor, autorii amendamentelor notează, de asemenea, că un smartphone sau un alt dispozitiv mobil poate fi întotdeauna furat sau poate fi temporar în mâinile unei alte persoane", se arată în documentul NIST. .
Există destul de multe mecanisme pentru compromiterea parolelor SMS și acestea au fost deja folosite în mod repetat, în principal, pentru a fura bani de la clienții băncilor din Rusia. Este suficient să enumerați doar câteva metode pentru a pirata parolele SMS:
- Înlocuirea unui card SIM folosind documente false
- Exploatarea vulnerabilităților în protocolul OSS-7
- Redirecționarea apelurilor cu un operator de telefonie mobilă
- Stații de bază false
- Programe troiene specializate pentru smartphone-uri care interceptează parolele SMS
Faptul că mecanismul de parole SMS este folosit de toate băncile deschide perspective largi pentru hackeri. Evident, după ce a scris un troian pentru un smartphone o dată, acesta poate fi folosit pentru a ataca toate băncile rusești, cu personalizarea sa (troiană) minimă.
În același timp, se poate prevedea că băncile mari vor fi primele care vor intra în distribuție - baza mare de clienți a acestora din urmă permite fraudătorilor să mizeze pe rezultate semnificative chiar și cu solduri mici pe conturile clienților.
Parole unice prin SMS
- intarzieri la livrare
- posibilitatea de interceptare la nivelul canalului de comunicare sau de intrare în sistem
- posibilitatea de interceptare la nivelul operatorului de telefonie mobilă
- posibilitatea de a reemite cartela SIM a unui client unui fraudator folosind o procură falsă (și interceptând SMS-uri)
- posibilitatea de a trimite mesaje SMS către client de la un număr înlocuitor
- creșterea costurilor operaționale proporțional cu baza de clienți
Parole unice prin PUSH
- livrare negarantata
- Apple/Google/Microsoft interzice expres de utilizare pentru transferul de informații confidențiale
- scopul este doar informativ
Cercetătorii demonstrează un atac simplu pentru a ocoli autentificarea cu doi factori
Cercetătorii de la Universitatea Liberă din Amsterdam, Radhesh Krishnan Konoth, Victor van der Veen și Herbert Bos, au demonstrat un atac practic asupra autentificării cu doi factori folosind un dispozitiv mobil. Cercetătorii au demonstrat un atac Man-in-the-Browser împotriva smartphone-urilor Android și iOS.
Problema cu autentificarea cu doi factori a apărut din cauza popularității tot mai mari a smartphone-urilor și a dorinței proprietarilor de a sincroniza datele între diferite dispozitive. Autentificarea cu doi factori se bazează pe principiul separării fizice a dispozitivelor pentru a proteja împotriva programelor malware. Cu toate acestea, sincronizarea datelor face o astfel de segmentare complet inutilă.
Cercetătorii au demonstrat un atac folosind instalarea unei aplicații vulnerabile prin Google Play. Au reușit să ocolească cu succes verificarea Google Bouncer și să activeze aplicația pentru interceptarea parolelor unice.
Pentru a ataca iOS, cercetătorii au folosit o nouă funcție în OS X numită Continuity, care vă permite să sincronizați mesajele SMS între iPhone și Mac. Dacă această funcționalitate este activată, este suficient ca un atacator să aibă acces la computer pentru a citi toate mesajele SMS.
Potrivit cercetătorilor, aplicația pentru furtul parolelor unice a fost adăugată pe Google Play pe 8 iulie 2015 și a rămas disponibilă pentru utilizatori timp de două luni înainte ca videoclipul care demonstrează atacul să fie lansat.
Cei doi factori de autorizare din sistemul Yandex sunt următorii: informații despre proprietatea asupra dispozitivului de către un anumit utilizator, care este stocată pe serverele Yandex și cunoștințele utilizatorului despre pinul său de patru cifre (sau amprenta sa), a explicat compania. .
De fiecare dată când introduceți un cod PIN (sau când Touch ID este declanșat), aplicația generează un cod unic unic care este valabil timp de 30 de secunde. În același timp, o parte a codului este generată dintr-un cod PIN pe care numai utilizatorul și Yandex îl cunosc, iar o parte este generată din datele aplicației. Ambele „secrete” sunt criptate într-un cod unic. „Astfel, opțiunea este exclusă atunci când unul dintre factori a fost compromis și atacatorul selectează datele celui de-al doilea factor”, a adăugat Yandex.
Dacă codul QR nu poate fi citit, de exemplu, camera smartphone-ului nu funcționează sau nu există acces la internet, aplicația Yandex.Key va crea o parolă unică din caractere. De asemenea, va fi activ doar timp de 30 de secunde.
După trecerea la autentificarea cu doi factori, parola de utilizator existentă nu va mai funcționa pe toate programele instalate care folosesc autentificarea și parola Yandex, inclusiv Yandex.Disk, programe de e-mail configurate pentru a colecta e-mail de la Yandex.Mail, sincronizare în Yandex.Browser , a avertizat compania. Fiecare aplicație va avea nevoie de propria sa nouă parolă - va fi creată în Yandex.Passport, în setarea „Parole de aplicație”. Acesta va trebui introdus o dată pentru fiecare cerere.
Serverul de autentificare va combina procesele de verificare
Scopul autentificării este de a face cât mai dificilă utilizarea acreditărilor altcuiva (furate, cu forță brută). Acest proces ar trebui să fie simplu pentru un utilizator legal, iar inventarea și amintirea parolelor puternice cu o lungime de cel puțin nn caractere și inclusiv caractere speciale, numerele din ele este foarte probabil să enerveze utilizatorii.
O companie poate avea mai multe sisteme informatice diferite, surse de resurse care necesită autentificare:
- portal corporativ,
- E-mail,
- sistem CRM,
- acces VPN la distanță,
Și întrucât utilizatorul se confruntă cu sarcina de a respecta cerințele politicii de securitate pentru complexitatea și unicitatea parolelor, soluția acesteia prezintă anumite dificultăți pentru utilizator, iar în termeni tehnologici, acestea sunt sisteme de autentificare disparate care nu sunt interconectate, nu flexibile, care necesită o cantitate mare de resurse pentru a susține . Toate împreună duc la costuri suplimentare și la „leneală” companiei atunci când se efectuează modificări în metodele de autentificare.
Serverul de autentificare, un singur centru de administrare pentru toate procesele de autentificare pentru toate aplicațiile/serviciile/resursele, poate rezolva problemele și poate ajuta la rezolvarea problemelor. Serverele industriale de acest tip acceptă o gamă întreagă de metode de autentificare. De regulă, acestea sunt certificate OATH HOTP, TOTP, OCRA, PKI, RADIUS, LDAP, parolă simplă, SMS, CAP/DPA și altele. Fiecare resursă care utilizează un server de autentificare poate folosi metoda de care are nevoie.
Prin utilizarea serverelor de autentificare, administratorii IT obțin o interfață unică pentru gestionarea acreditărilor utilizatorilor, opțiuni flexibile pentru schimbarea metodelor de autentificare. O afacere primește o protecție fiabilă a accesului la servicii și resurse sub forma unei autentificări cu doi factori, ceea ce crește loialitatea utilizatorilor, atât interni, cât și externi.
Adăugarea unui al doilea factor de autentificare, cu un server de autentificare valid, nu necesită ca compania să creeze noi software și hardware și să achiziționeze noi token-uri.
De exemplu, banca A a verificat identitatea deținătorilor de carduri de debit sau de credit din banca-client folosind certificate pe jetoane USB. Cardurile sale de plată erau exclusiv cu bandă magnetică, dar la un moment dat banca a început să emită carduri cu cip EMV, care, de fapt, este un microcomputer. Un card cu un cip EMV poate fi utilizat pentru autentificare folosind algoritmul programului de autentificare cu cip Master Card (CAP). Adică, acum Banca A poate refuza să folosească jetoane PKI scumpe pentru fiecare utilizator și să schimbe această metodă de autentificare în CAP, care necesită doar un calculator criptografic ieftin. După ceva timp, Banca A începe să emită carduri de plată cu un afișaj și un algoritm OATH TOTP implementat și, pentru a salva utilizatorul de la utilizarea unui calculator criptografic suplimentar, configurează autentificarea TOTP pentru banca-client. Trebuie înțeles că, pe lângă operațiunile bancare la distanță, Banca A are multe alte servicii, atât interne, cât și destinate clienților sau partenerilor, care necesită autentificare. Pentru fiecare aplicație, serviciul de securitate a informațiilor își poate propune propriile cerințe pentru metodele necesare de autentificare a utilizatorilor. Toată autentificarea băncii A se poate face la serverul de autentificare. Nu este nevoie să se dezvolte pentru fiecare aplicație separat.
Această flexibilitate și ușurință de a adăuga noi metode de autentificare nu sunt atinse fără un server de autentificare. Reducerea timpului pentru aceste sarcini este atât de semnificativă încât ne permite să vorbim despre viteza de punere în funcțiune a produsului ca pe un avantaj competitiv.
Disponibilitatea autentificării puternice sub formă de software specializat vă permite să adăugați funcționalitate multifactorială aplicațiilor care anterior nu aveau o astfel de funcționalitate, fără îmbunătățiri complexe. Aproape toate sistemele informatice, serviciile, aplicațiile care nu acceptă autentificarea puternică din cutie pot folosi capacitățile serverului de autentificare pentru accesul utilizatorilor.
Windows, OS X, Linux și Chrome OS. Pentru a lucra cu o cheie USB, trebuie să utilizați browserul Google Chrome versiunea 38 sau o versiune ulterioară.
Utilizarea cheilor USB este complet gratuită, totuși, utilizatorii trebuie să le achiziționeze pe cheltuiala proprie. Cheile diferă ca design. Cel mai scump model la 60 USD este echipat cu tehnologia Java Card.
Autentificarea în doi factori cu trimiterea unui mesaj SMS cu un cod de verificare a fost lansată de Google în 2011. În ianuarie 2013, corporația a anunțat că intenționează să dezvolte și să ofere mijloace fizice de verificare a identității. În special, atunci discuția s-a îndreptat către accesarea serviciilor Google folosind chei USB.
2013: Autentificarea în doi factori a tranzacțiilor mobile
Doar 34% dintre respondenți sunt încrezători că angajații sunt capabili să facă tot ce este necesar pentru a proteja compania de amenințările informatice.
Când vă gândiți la cum să vă securizați conturile pe site-urile și serviciile de pe Internet, vă vine în minte în primul rând autentificarea cu doi factori (2FA). Pe de o parte, reduce probabilitatea ca conturile noastre să fie piratate, pe de altă parte, ne enervează, îngreunându-ne să ne conectăm noi înșine.
Mai jos vom analiza diferitele opțiuni disponibile pentru autentificarea cu doi factori și vom risipi unele dintre miturile referitoare la aceasta.
Cele mai comune alternative 2FA
Confirmare prin SMS
Printre aplicații și servicii, este obișnuit să se ofere adăugarea de autentificare cu doi factori cel puțin prin mesaje SMS, de exemplu, atunci când vă conectați la un cont. Puteți utiliza 2FA de fiecare dată când vă conectați la contul dvs. sau numai de pe un dispozitiv nou. În acest caz, smartphone-ul sau telefonul mobil devine a doua etapă de autentificare.
Un mesaj SMS constă dintr-un cod unic care trebuie introdus în serviciu sau site-ul web. Un hacker care dorește să pirateze un cont va avea nevoie de acces la telefonul proprietarului pentru a obține acest cod. Problema poate fi comunicarea celulară. Ce se întâmplă dacă te afli într-un loc fără conexiune sau călătorești fără acces la operatorul tău? Atunci tu însuți nu te vei putea conecta la contul tău fără a primi un cod de acces.
În majoritatea cazurilor, această metodă este convenabilă, deoarece aproape toată lumea are telefoane și este întotdeauna în apropiere. Unele servicii au sisteme automate care rostesc codul cu voce tare, permițându-ți să-l primești chiar și printr-un telefon cu fir.
Google Authenticator/coduri generate de aplicație
Alternativă potențial mai bună la SMS, deoarece nu se bazează pe operator. Sunt șanse să fi folosit deja cel puțin o aplicație de generare de cod. Google Authenticator pentru Android și iPhone este cea mai populară ofertă din această categorie.
După configurarea unui anumit serviciu pentru a utiliza Authenticator, va apărea o fereastră care vă va solicita să introduceți un cod de autorizare împreună cu un nume de utilizator și o parolă. Acest cod va fi emis de aplicația Google Authenticator de pe smartphone-ul dvs. Durata de viață a codului este calculată în minute, așa că trebuie să îl introduceți la timp sau va trebui să obțineți altul. În timp ce Google este în nume, puteți adăuga numeroase servicii pe lângă Gmail, inclusiv Dropbox, LastPass, Amazon Web Services, Evernote și multe altele.
Dacă nu aveți încredere în Google, există o serie de alternative, dintre care Authy este considerată cea mai bună. Authy oferă copii de rezervă criptate ale codurilor generate, suport pentru mai multe platforme și operare offline. LastPass și-a lansat recent și propriul autentificator.
Aceste aplicații generează ani cu și fără acces la internet. Singurul negativ este procesul complicat de instalare a aplicațiilor.
Mijloace fizice de autentificare
Dacă folosirea codurilor, a aplicațiilor și a mesajelor text sună prea complicată, există o altă opțiune: cheile de autentificare fizică. Acesta este un dispozitiv USB mic care poate fi transportat împreună cu chei (cum ar fi cheia de securitate FIDO U2F prezentată în imagine.) Când vă conectați la contul dvs. pe un computer nou, introduceți cheia USB și faceți clic pe butonul.
O serie de companii lucrează la un standard numit U2F. Conturile Google, Dropbox și GitHub sunt deja compatibile cu etichetele U2F. În viitor, cheile de autentificare fizică vor funcționa cu standardele wireless NFC și Bluetooth pentru a comunica cu dispozitivele fără porturi USB.
Autentificare bazată pe aplicație și e-mail
Unele aplicații mobile nu folosesc opțiunile de mai sus și efectuează verificarea în cadrul aplicației în sine. De exemplu, activarea „Confirmare autentificare” pe Twitter atunci când vă autentificați de pe un dispozitiv nou va forța acea conectare să fie confirmată de pe smartphone. Acest lucru va arăta că proprietarul contului este autentificat, cu excepția cazului în care smartphone-ul lor a fost furat. În mod similar, Apple utilizează sistemul mobil iOS pentru a confirma conectarea pe dispozitive noi. Un cod unic este trimis către un dispozitiv existent.
Sistemele bazate pe e-mail folosesc adresa ei ca al doilea pas în conectarea la un cont. Un cod unic este trimis la e-mail.
Întrebări și răspunsuri despre autentificarea cu doi factori
** Aici este locul în care autentificarea cu doi factori este deosebit de importantă, deoarece aceste servicii servesc de obicei ca poartă de acces către toate celelalte activități ale utilizatorilor de pe Internet.
Pentru a afla dacă un anumit site sau serviciu acceptă 2FA, accesați twofactorauth.org.
Dacă serviciul a fost piratat, activați autentificarea cu doi factori cât mai curând posibil.
Problema este că 2FA nu poate fi activat cu un singur comutator. Lansarea 2FA înseamnă necesitatea emiterii de etichete sau chei criptografice încorporate în alte dispozitive. Deoarece 2FA se bazează pe participarea utilizatorilor, viteza în acest caz nu va fi rapidă.
Activați sau nu autentificarea cu doi factori?
Da, mai ales la serviciile importante cu informații personale și financiare.
Este autentificarea cu doi factori invulnerabile?
Nu. 2FA este bazat pe tehnologie și pe oameni și pot exista provocări de ambele părți. 2FA cu SMS se bazează pe fiabilitatea operatorului. Programele rău intenționate de pe un smartphone pot intercepta și trimite SMS-uri atacatorilor. De asemenea, utilizatorul poate, fără să se uite, să aprobe o cerere de autorizare care a venit din încercarea unui atacator de a obține acces la cont.
Sunt toate soluțiile cu doi factori în esență aceleași?
S-ar putea să fi fost adevărat la un moment dat, dar 2FA a cunoscut o inovație destul de mare în ultima vreme. Există soluții prin SMS și e-mail. Există soluții cu aplicații mobile cu secrete criptografice sau stocarea informațiilor în browserul utilizatorului.
Autentificarea cu doi factori îngreunează accesul la conturile dvs. și nu vă face bine?
Această atitudine îi ajută pe hackeri să-și atingă obiectivele. Pentru unele organizații și servicii, utilizarea 2FA este o cerință obligatorie. Pentru utilizator, aceasta poate fi o soluție enervantă, dar dacă compania o folosește, poate reduce probabilitatea fraudei.
Este aproape sfârșitul metodelor moderne 2FA?
Poate. Tot ceea ce este scris mai sus se referă la autentificarea cu doi factori de astăzi, nu de mâine. În timp, poate deveni mai confortabil și mai fiabil.
