Двухфакторная аутентификация

Что такое двухфакторная аутентификация и в чём её преимущества

Современные требования к способам обеспечения безопасности личных данных гораздо строже, чем на заре Интернета. К сожалению, меры в виде создания устойчивого к взлому пароля сегодня недостаточно для того, чтобы обезопасить от взлома свой аккаунт в платежной системе или любом другом интернет-сервисе. Эта мера уязвима, прежде всего, из-за человеческого фактора, так как вычислить или подобрать пароль достаточной степени сложности практически невозможно. Пароли крадут, в основном, путем создания фишинговых сайтов, на которых неопытные пользователи вводит свои личные данные, либо с помощью вирусов, которые перехватывают всё, что вводится с клавиатуры.

Поэтому была придумана новая, усложненная схема подтверждения личности пользователей, которая называется двухфакторной аутентификацией.

При этом способе доступа к личным данным ввод логина и пароля является только первым шагом авторизации. Далее следует второй, который заключается в получении ключа для входа в аккаунт. Этот ключ программно генерируется при входе и отправляется пользователю, например, на номер мобильного телефона (заранее подтвержденный), и действует в течение ограниченного промежутка времени, обычно несколько минут. Этот ключ, разумеется, электронный, то есть цифровой. Например, это может быть комбинация цифр (ПИН-код), которую необходимо ввести в специальное окошко на странице входа в аккаунт, или QR-код, который считывается специальным приложением. Другой распространенный вариант - генерация одноразового пароля не на сервере, а специальной программой-приложением, которую пользователь скачивает и устанавливает на свой смартфон. Подобный вариант двухфакторной аутентификации на базе Android используют Google Authenticator и Яндекс. И наконец, еще один способ идентификации пользователя, используемый в схемах двухфакторной аутентификации, - считывание уникальных для каждого человека биометрических характеристик пользователя, например, отпечатков пальцев.

Таким образом, при этом способе авторизации для удаленного доступа к своему аккаунту, как видно из названия метода, пользователь использует не один (пароль), а два фактора, подтверждающих его личность, причем разного типа. В этом случае злоумышленнику, который задастся целью получить доступ в ваш Личный кабинет на каком-либо сайте, потребуется не только узнать ваши логин и пароль, но и получить доступ к вашему мобильному телефону. С другой стороны, если злоумышленник украдет телефон пользователя, он не сможет войти по ПИН-коду, так как не знает основной пароль.

К сожалению, до сих пор не существует идеальных способов защиты персональных данных, лишенных каких-либо недостатков. Есть они и у двухфакторной аутентификации.

Во-первых, она создает дополнительные неудобства для пользователя. Однако, если данные, которые предлагается защитить с помощью двухфакторной аутентификации, достаточно важны для него, с этим неудобством лучше смириться, и включить в своем аккаунте этот продвинутый способ авторизации. Это относится, например, к интернет-банкингу, почтовым ящикам, служебным учётным записям.

Во-вторых, сервисы, которые предполагают использование каких-либо гаджетов, имеют тот недостаток, что создают пользователю довольно большие проблемы в ситуации, которая, к сожалению, случается не так уж редко, - утере телефона или доступа к телефонному номеру. В этом случае пользователю придется потратить силы и время на подтверждение личности, чтобы продолжать пользоваться сервисом. Эта процедура упрощается, если в сервисе имеются резервные варианты восстановления доступа к аккаунту, но такое бывает не всегда.

В качестве иллюстрации...

В начале февраля 2015 г. о запуске схемы двухфакторной аутентификации почти одновременно объявили два крупнейших российских интернет-портала - Яндекс и Mail.ru. Причем, переходя на эту схему, они исходили из противоположных принципов. Так, Mail.ru использует самую простую схему: на первом шаге аутентификации пользователь указывает логин и пароль, а на втором получает SMS с кодом доступа на номер телефона, привязанный к аккаунту. По мнению разработчиков Mail.ru, этот способ универсальный, поскольку охватывает аудиторию, которая не пользуется смартфонами.

Яндекс пошел более сложным путем. Разработанная его программистами схема даже не требует ввода логина и пароля в браузере, что исключает кражу паролей в процессе аутентификации. Пользователь, который включил в своем аккаунте схему двухфакторной аутентификации (как в Яндексе, так и в Mail.ru переход на нее - дело абсолютно добровольное), должен скачать на свой смартфон с подтвержденным номером телефона мобильное приложение - Яндекс.Ключ. Это приложение генерирует одноразовые пароли для доступа к аккаунту. Секрет схемы, позволяющей не использовать логин и пароль в браузере, кроется в процессе установки Яндекс.Ключа, при которой необходимо придумать (и обязательно запомнить) ПИН-код. Сгенерировать одноразовый ключ можно только после ввода ПИН-кода, который знает только пользователь. Таким образом, ПИН-код выступает в качестве замены пароля. В помощью Яндекс. Ключа можно использовать 3 способа входа: с помощью генерации одноразового пароля, с помощью QR-кода (в этом случае необходимо подключение к Интернет, так как приложение отправляет данные, считанные с QR-кода, на сервер авторизации Яндекса) или же с использованием отпечатка пальца (Touch ID). В последнем случае отпадет надобность даже в ПИН-коде, но эта опция доступна только в iPhone, начиная с модели 5s, и на планшетах iPad, начиная с модели Air 2. Сгенерированный код или пароль действительны менее минуты - это сделано в целях безопасности, чтобы никто посторонний не смог воспользоваться одноразовым паролем, даже если подсмотрит его. Один и тот же Яндекс.Ключ можно использовать для нескольких аккаунтов с двухфакторной аутентификацией.

Любопытно, что продвинутые пользователи заметили уязвимость этой безупречной, казалось бы, схемы сразу после того, как ее выкатили: оказалось, что при передаче QR-кода браузеру передается кука, имеющая тот же ID, который закодирован в QR-коде. Таким образом, если злоумышленник успевает подсмотреть и отсканировать QR-код пользователя, то он может "достать" из него ID сессии и, притворившись браузером, начать часто-часто делать запрос к серверу, чтобы успеть перехватить сессию у владельца аккаунта. Пользователь, сообщивший об этой проблеме, даже продемонстрировал наскоро созданное им приложение, способное осуществлять такой перехват. Разработчики Яндекса среагировали быстро, и уязвимость была закрыта, но этот пример наглядно показывает, что "слабые места" есть у любой, даже продуманной до мелочей, схемы защиты персональных данных.