Статья Аутентификация одноразовыми кодами: преимущества и риски

  • Автор темы BOOX
  • Дата начала

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.223
Репутация
11.695
Реакции
61.957
RUB
50
Объясняем, как работает двухфакторная аутентификация с помощью одноразовых кодов, в чем ее плюсы и минусы и что еще вы можете сделать, чтобы надежнее защитить свои аккаунты.


Специалисты в сфере информационной безопасности уже давно сошлись на том, что самый надежный способ двухфакторной аутентификации при помощи одноразовых кодов — это приложения-аутентификаторы. Большинство сервисов предлагает этот способ в качестве второго уровня защиты учетной записи. А в некоторых случаях двухфакторная аутентификация с помощью кода из приложения — и вовсе единственный доступный вариант.

authenticator-apps-and-security01-featured.jpg


Но о том, почему одноразовые коды считаются такими безопасными, говорят не так часто, поэтому могут возникнуть вопросы: а хороший ли это вариант, насколько он вообще надежен, о каких опасностях стоит подумать и о чем нужно помнить, когда пользуешься таким способом двухфакторной аутентификации. Рассказываем обо всем этом в нашем посте.

Как работают приложения-аутентификаторы​

В самом общем виде принцип работы таких приложений выглядит следующим образом: сервис, в котором вы аутентифицируетесь, и ваш аутентификатор запоминают некое число — секретный ключ (он содержится в в QR-коде, с помощью которого вы подключаете аутентификацию для данного сервиса в приложении). В дальнейшем на основе этого числа, а также текущего времени, по одинаковому алгоритму генерируются одноразовые коды — одновременно и на стороне аутентификатора, и на стороне сервиса.

Дальше вы вводите код, который сгенерировало ваше приложение, и сервис сравнивает его с тем, что сгенерировал он сам.

Если коды совпадают, то все отлично, вас можно пустить в аккаунт (а если нет — то нельзя). Кроме того, при подключении приложения-аутентификатора через QR-код передается масса информации помимо секретного ключа. В том числе период времени, через который истекает «срок годности» одноразового кода — как правило, 30 секунд.

Самая важная информация — секретный ключ — передается всего один раз, в момент подключения аутентификатора, в дальнейшем же обе стороны его помнят. То есть при каждом новом входе в аккаунт никакой информации от сервиса к вашему аутентификатору вообще не передается, так что и перехватывать тут нечего. Собственно, приложениям-аутентификаторам для выполнения их основной функции даже не нужен доступ в Интернет. Так что все, что может в теории заполучить злоумышленник — это конечный продукт работы этой системы: собственно одноразовый код, который вы вводите. И даже этот код будет действителен буквально несколько десятков секунд.

Подробнее о том, как работают приложения-аутентификаторы, я уже рассказывала в — почитайте, если интересно узнать о стандартах аутентификации, информации, содержащейся в QR-кодах для подключения приложений, и о сервисах, несовместимых с наиболее распространенными аутентификаторами.

Насколько безопасна аутентификация кодом из приложения​

Подытожим главные преимущества аутентификации с помощью одноразового кода из приложения.

  • Хорошо защищает от утечек: одного только пароля недостаточно для входа в аккаунт, нужен еще и одноразовый код.
  • Неплохо защищает при перехвате этого самого одноразового кода. Поскольку код действует только 30 секунд, у злоумышленника остается не так-то много времени, чтобы им воспользоваться.
  • Не позволяет восстановить секретный ключ из одноразового кода, так что даже если код перехватят, клонировать аутентификатор не получится.
  • Не требует подключения к Интернету на устройстве, генерирующем одноразовые коды, — его можно держать полностью изолированным от Сети.
Как видите, система хорошо продумана — ее разработчики сделали все возможное для того, чтобы она была максимально безопасной. Но, конечно, абсолютно безопасных решений не существует, так что даже при использовании аутентификации кодом из приложения стоит помнить о некоторых рисках — и принять определенные меры предосторожности. Об этом мы дальше и поговорим.

Утечки, взлом почты и обходные пути​

Выше я сказала, что аутентификация с помощью одноразовых кодов из приложения отлично защищает от утечек паролей. И в идеальном мире это действительно так. К сожалению, живем мы не в нем, так что есть один важный нюанс. Связан он с тем, что сервисы, как правило, очень не хотят терять своих пользователей из-за такой досадной мелочи, как утрата аутентификатора (что может случиться с каждым). Поэтому на такой случай у них обычно предусмотрен альтернативный способ входа: очень часто это отправка одноразового кода или ссылки-подтверждения на электронную почту, к которой привязан аккаунт.

Это значит, что если произошла утечка и, следовательно, злоумышленникам известны и пароль от аккаунта, и почта, к которой эта учетная запись привязана, то они могут попытаться воспользоваться таким альтернативным способом входа в учетную запись. И если ваша почта плохо защищена — а особенно если вы используете для нее тот же самый пароль и не включили двухфакторную аутентификацию, — то весьма вероятно, что у злоумышленников получится обойти ввод одноразового кода из приложения.

Что по этому поводу стоит делать?

  • Следите за утечками и вовремя меняйте пароли в тех сервисах, которые протекли.
  • Не используйте один и тот же пароль в разных сервисах. Особенно это важно для почты, к которой привязаны другие аккаунты.
  • Некоторые сервисы позволяют отключить альтернативные способы входа. Для особенно ценных аккаунтов, возможно, стоит это сделать, но в таком случае не забудьте — впрочем, подробнее об этом поговорим ниже.

Физический доступ и подглядывание через плечо​

Более очевидная неприятность: кто-нибудь может подсмотреть одноразовый код у вас через плечо, когда вы пользуетесь приложением-аутентификатором. Причем даже не один код, а несколько — ведь аутентификаторы часто отображают коды подряд. И, соответственно, войти в любой из тех аккаунтов, код от которых удастся подсмотреть. Конечно, у злоумышленника будет не так уж много времени, чтобы воспользоваться увиденным. Но все же лучше не рисковать, расторопному взломщику этих 30 секунд может и хватить…

Ситуация поопаснее: если кому-то удастся наложить руки на разблокированный смартфон с аутентификатором, то этот кто-то вполне может войти в ваши аккаунты уже без особой спешки и проблем.

Как минимизировать такие риски?

  • Используйте приложение-аутентификатор, которое по умолчанию скрывает коды на экране (таких ).
  • Обязательно установите надежный пароль на разблокировку смартфона, в котором установлено приложение-аутентификатор, и автоматическую блокировку экрана после небольшого времени бездействия.
  • Используйте приложение, в котором можно дополнительно установить пароль на вход (такие тоже бывают).

Фишинговые сайты​

Большинство фишинговых сайтов — та их часть, которая рассчитана на массовые атаки, — устроены достаточно примитивно. Их создатели обычно довольствуются воровством логинов и паролей — с последующей их оптовой продажей где-нибудь в даркнете по принципу «два рубля пучок». От таких халтурщиков двухфакторная аутентификация, конечно же, прекрасно защищает: даже если кто-то заполучит ваши логин и пароль, без одноразового кода из приложения они будут совершенно бесполезны.

Однако на более аккуратно и правдоподобно сделанных фишинговых сайтах, в частности тех, что рассчитаны на целевые атаки, фишеры могут имитировать и механизм проверки двухфакторной аутентификации. В этом случае они перехватят не только логин с паролем, но и одноразовый код. После этого злоумышленники быстренько залогинятся в аккаунт жертвы на настоящем сайте, а на фишинговой подделке выдадут, скажем, сообщение об ошибке и предложение попробовать войти еще раз.

К сожалению, несмотря на видимую простоту, фишинг остается крайне эффективным трюком преступников, и защититься от особо качественно сделанных образчиков может быть нелегко.

Общие советы тут такие:
  • Не переходите по ссылкам из писем, особенно полученных с незнакомых и подозрительных адресов.
  • Внимательно проверяйте адреса страниц, на которых вы собираетесь вводить данные своих учетных записей.
  • Используйте надежное решение с автоматической защитой от фишинга.

 
Сверху Снизу