Вопросы, на которые опираются поставщики услуг при аутентификации пользователей, больше не могут быть единственной мерой верификации, так как ответы на них любой желающий легко найдёт в поисковых системах, в социальных сетях или через фишинговые атаки. Такие вопросы должны быть лишь одной из стадий многоуровневой процедуры аутентификации, считают обозреватели.

Джозеф Штейнберг, глава компании Green Armor Solutions, заявил, что в условиях повсеместного доступа в Интернет через мобильные устройства и при том, что участились случаи размещения персональной информации о пользователях в онлайне, вопросы с целью аутентификации для входа в сеть или в Интернет больше не обеспечивают безопасный доступ.

Ответы на вопросы, задаваемые с целью аутентификации, можно найти в поисковых системах или социальных сетях, то есть данную меру обеспечения безопасности надо дополнить другими инструментами аутентификации.

Дело в том, что информация, всегда считавшаяся конфиденциальной, такая как номер удостоверения личности или социального страхования, девичья фамилия матери и т. п., теперь находится в открытом доступе и ее можно найти через поиск в Google, объяснил Штейнберг.

Социальные сети — тоже удобная площадка для киберпреступников, разыскивающих персональные данные пользователей, отметил он. Скажем, в LinkedIn можно найти сведения о первой работе человека, о месте его учёбы и даже о городе, где располагался вуз. Со своей стороны Facebook или Pinterest могут быть источником информации о девичьей фамилии, о родном городе или о личных интересах.

Ронни Неж, директор по разработке систем в сингапурском подразделении компании Symantec, добавил, что киберпреступники, проводящие фишинговые атаки с целью получения пароля, скорее всего получат доступ и к информации, которая может пригодиться для ответа на вопросы системы аутентификации.

Вопросы на основе знания фактов тоже небезопасны

Существуют и более надежные вопросы для аутентификации, они основаны на знании фактов, и ответы на них нельзя просто угадать, проведя поиск в Интернете, отметил Штейнберг. Такие вопросы в основном подразумевают знание информации непубличного характера, например объем платежа по ипотеке, или банк, через который осуществляются регулярные платежи, или название улицы, где пользователь жил много лет назад.

Крис Бреннан, глава компании NetAuthority, подчеркивает, что аутентификация на основе знания фактов бывает слишком сложной, и в итоге это раздражает пользователя. Ответы на подобные вопросы могут быть неявными, то есть пользователи попросту забывают их, сказал он.

Руководитель по маркетингу в NetAuthority Оливия Чу согласна с мнением Бреннана. Она говорит, что если в банке ее спрашивают о дате последней операции, то скорее всего она не помнит об этом: “Чтобы вспомнить, мне надо хорошенько напрячься, и это очень раздражает, хотя я понимаю, что это нужно для моей же безопасности”.

Вопросы на основе знания фактов тоже не застрахованы от взлома, предупреждает Штейнберг. Например, некоторые данные об ипотеке находятся в публичном доступе, и особо упорные хакеры могут дать правильный ответ на основе информации, которую им удалось собрать.

Ради информационной защиты Неж советует поставщикам услуг разработать многоуровневую схему аутентификации, чтобы обезопасить сеть, веб-сайт и данные клиентов.

Аутентификация на основе устройства в сочетании с вопросами на основе знания фактов значительно повысят безопасность. Для верификации нужно будет задавать несколько вопросов, уточнил он.

Принимая во внимание описанные рекомендации, стратегии аутентификации должны быть разработаны с учетом удобства пользователей, утверждает Неж. То есть пользователей не должно сильно раздражать множество вопросов и длительность процедуры аутентификации.

Но и у пользователей есть своя задача. Они должны создать вопросы с уникальными ответами, которые будут известны только им, и убедиться в том, что соответствующая информация не попадает в публичный доступ и не подвергается атакам, подчеркнул Неж.