В современном мире человек не может существовать без аккаунтов в сети. У каждого есть данные для входа в интернет-банкинг, аккаунт в социальных сетях и аккаунт для сервиса такси, потому что это быстро и удобно.
Однако с удобствами пришла проблема безопасности. Злоумышленники могут заполучить данные для входа в аккаунт разными способами, от банального подбора до покупки слитой базы данных. Получив доступ к пользовательским аккаунтам, они могут сделать всё, что захотят: воспользоваться платёжными картами, если они привязаны, украсть личные данные или даже украсть аккаунты жертвы для дальнейшего использования.
Как же предотвратить подобные инциденты? Основные две техники борьбы со взломами аккаунтов — это сложные пароли и двухфакторная аутентификация. Какой же из них более эффективный?
Если говорить про сложные пароли, то действительно сложный пароль должен: включать в себя строчные, заглавные буквы, а также цифры и специальные символы; быть длинным; быть не связанным с чем-то, что может его выдать, например, не быть датой рождения и фамилией. Иными словами, он должен выглядеть примерно так: Ad34NSSnaxbsdkSJX552)_hGG5. Однако такие пароли сложно запомнить. Тогда придётся либо пользоваться менеджером паролей, либо делать сложные, но запоминающиеся пароли-фразы.
Однако и тут возникает проблема взлома. Менеджер паролей — это тоже сервис, и если получить доступ к менеджеру паролей жертвы, то можно получить доступ вообще ко всему, где жертва хоть раз вводила свои данные.
Остаётся двухфакторная аутентификация. Она решает многие проблемы. Простой пароль, его кража или брутфорс-атака и прочие инциденты перестают быть проблемой, потому что даже если кто-то заполучил ваш пароль, войти в аккаунт всё ещё сможете только вы.
Простые системы паролей требуют лишь одно подтверждение того, что вы — владелец аккаунта. Это, собственно, и есть тот самый пароль, который можно украсть, взломать или просто угадать.
Однако системы с двухфакторной аутентификацией требуют уже два подтверждения. Вообще к элементам любой аутентификации, будь она одно- или мультифакторная, относятся:
- то, что вы знаете. Это пароль или пин-код, который является базовой мерой безопасности;
- то, кем вы являетесь. К этому элементу относятся биометрические данные: отпечаток пальца, скан сетчатки глаза, запись голоса или FaceID;
- то, что у вас есть. Здесь речь идёт об авторизованном устройстве, которое генерирует или принимает коды подтверждения. Им может являться отдельный девайс с узким функционалом или обычный смартфон.
Чаще всего в двухфакторной аутентификации используется комбинация «пароль/PIN + код подтверждения». Она проста в использовании и благодаря широкому распространению смартфонов недорога в использовании. Максимум, что будет необходимо сделать — это скачать приложение-аутентификатор и настроить генерацию или приём кодов подтверждения. И даже приложение не всегда необходимо, потому что принять код подтверждения можно с помощью, например, SMS-сообщения.
Некоторые сервисы делают двухфакторную верификацию ещё удобнее, добавляя возможность подтверждения входа через push-уведомление на другом авторизованном устройстве.
«Нужно ли использовать двухфакторную аутентификацию? Это необходимо, на мой взгляд. Вы же не хотите, чтобы кто-то поставил автоподбор пароля к вашей почте, ушёл пить кофе, а в итоге получил доступ ко всему, что с вами связано? Использовать доступные решения для безопасности любых данных всегда будет хорошей идеей. Особенно когда эти решения не требуют ни особых знаний в области информационной безопасности, ни затрат», — прокомментировал генеральный директор Falcongaze Александр Акимов.