Сегодня особую актуальность приобрели различные атаки на аутентификацию на сайтах. Это и перехват паролей, особенно в беспроводных сетях, и хищение паролей из утерянных (украденных) мобильных устройств, и увеличение числа фишинговых атак. Росту числа атак способствует использование пользователями одинаковых паролей на различных сайтах и нежелание использовать строгие пароли. Причин много, и их перечисление могло бы занять длительное время. Вопрос в другом. Что можно сделать, чтобы обезопасить пользователя?
На самом деле ответ на него давно найден — использование двухфакторной аутентификации. С недавних пор на некоторых веб-сайтах используется разновидность двухфакторной аутентификации — двухэтапная. Именно о ней пойдет речь в нашей статье.
Почему вы должны рассмотреть использование двухэтапной аутентификации
Пароли мертвы. Нравится нам или нет, но использование паролей больше не является надежным способом аутентификации. Это явно не лучший способ защитить вашу важную информацию. Однако, чтобы там ни было, пароли все еще живы и часто применяемы, пока новое решение еще, увы, широко не применяется.
Мы говорили о необходимости выбора все более и более сложных паролей много лет и все еще считаем, что это важно. Но, к сожалению, утечки данных происходят довольно часто, и киберпреступники с каждым днем становятся все опытнее.
Вы никогда не можете гарантировать абсолютную безопасность, но к счастью вы можете сделать некоторые шаги, чтобы избежать участи легкодоступной жертвы. Один из способов сделать вашу аутентификацию устойчивее — включить двухфакторную аутентификацию ваших онлайновых учетных записей.
Что такое двухфакторная аутентификация? Если коротко, то это способ подтверждения не только с помощью пароля (ответа на вопрос о том, что вы знаете), но и применение второго фактора, когда информация запрашивается/предоставляется от внешнего источника (например, от вашего мобильного устройства). Пример: вам в ответ на ввод вашего пароля приходит с помощью SMS либо голосовой связи некоторый код, который вы затем вводите на сайте, тем самым подтверждая, что пароль ввели именно вы. Это далеко не новый инструмент, однако большинство людей понятия не имеет, что существует такой способ аутентификации. Конечно до тех пор, пока кто-то не взломает одну из их учетных записей.
Как работает двухэтапная аутентификация?
Итак, вы введете свой пароль, и затем код будет отправлен на ваше устройство. Часто это ваш мобильный телефон. То, как и когда вы получите код, будет зависеть от службы, которую вы используете. Например, для некоторых учетных записей вы можете загрузить приложение, чтобы генерировать коды. Альтернативно, вы можете решить получить код в текстовом сообщении или голосом с помощью телефонного звонка.
Давайте рассмотрим, как это происходит на примере учетной записи почты Microsoft — Outlook.com.
Мне могут возразить, мол, у нас данная почтовая система не слишком распространена. Позволю себе возразить, так как при использовании операционной системы Windows 8 и выше вы автоматически (по умолчанию) создаете себе Microsoft ID в виде соответствующей учетной записи этой почтовой системы для использования Windows Store.
Итак. Вы создали себе учетную запись на сайте Outlook.com. Вначале это обычная запись пользователя с обычным паролем. Если же вы захотите использовать двухэтапную аутентификацию, вам придется, зайдя на сайт Outlook.com, провести следующие действия.
Выбрать в правом верхнем углу имя пользователя и из выпавшего меню выбрать Параметры учетной записи. После этого от вас снова потребуют ввести пароль и откроется окно управления параметрами. В нем необходимо выбрать Расширенное управление безопасностью. Включите двухшаговую проверку учетной записи.
Вот что нужно будет сделать:
1. Убедитесь, что у вас есть актуальные сведения для защиты учетной записи, позволяющие получать коды безопасности.
2. Если у вас есть смартфон, настройте приложение проверки подлинности. (С его помощью вы сможете получать коды безопасности, даже если ваш телефон не подключен к мобильной сети).
3. Распечатайте или запишите код восстановления.
4. Создайте пароли для приложений и устройств (таких как Xbox 360, Windows Phone 8 или более ранней версии, почтовые приложения на других ваших устройствах), которые не поддерживают использование кодов для двухшаговой проверки.
Как видите, все достаточно просто. Одним из дополнительных приятных бонусов в случае использования двухэтапной аутентификации является возможность использования технологии One Time Password (одноразовый пароль) при работе в недоверенной сети. Например, при работе на чужом либо общедоступном ПК, при работе в общедоступной Wi-Fi-сети. В этом случае при входе в почту Outlook.com вы можете не вводить основной пароль, а войти с помощью одноразового кода, получив его по SMS или использовав для его получения приложение проверки подлинности. В этом случае даже запись данного кода или его перехват не приведут к печальным последствиям.
Использование приложения проверки подлинности весьма удобно в том случае, если вы по какой-то причине сменили SIM-карту и не можете получить SMS. Хотя должен заметить, что в случае кражи вашего смартфона безопасность вашей учетной записи будет снижена. В таком случае вам необходимо будет воспользоваться кодом восстановления, получить доступ к вашей учетной записи и отменить использование соответствующего приложения.
В случае использования сервисов Google двухэтапная аутентификация настраивается похожим образом. В отличие от Outlook.com вы можете использовать соответствующий аппаратный токен, который просто нужно подключить к порту USB, или, как и в случае Outlook, использовать пароль и SMS. Технология OTP (One Time Password) не предусмотрена.
Использование двухэтапной аутентификации в сервисах Apple доступно не во всех странах (в России — доступно). Стоит отметить, что с прошлого года доступно использование двухэтапной аутентификации в сервисах Mail.ru
Использовать двухэтапную аутентификацию можно и в социальных сетях, например, Facebook, LinkedIn или Twitter.
В Facebook вам необходимо зайти в настройки безопасности и запросить подтверждение входа. Тогда при входе вам будет отсылаться SMS с кодом и вы сможете использовать двухэтапную аутентификацию. Отличительной особенностью в данном случае является использование Генератора безопасности, т. е. вы можете, используя Facebook на одном устройстве (например, смартфоне) получить коды для входа с другого устройства, сохранив их список в файл или распечатав. Всего в данном случае вы получите 10 кодов.
Как узнать, поддерживает ли тот или иной сайт двухфакторную аутентификацию?
Ресурс Twofactorauth содержит обширный список сайтов и информацию о том, как они поддерживают двухфакторную аутентификацию. Вы можете также узнать, используете ли конкретный сайт двухфакторную аутентификацию, прочитав страницу настроек его безопасности.
Автор статьи — MVP Consumer Security, Microsoft Security Trusted Advisor.