Двухфакторная аутентификация (2FA) должна была стать давно назревшим развитием системы паролей. И в какой-то степени она оправдала ожидания, так как по сей день этот дополнительный уровень защиты используется для обеспечения безопасности многих онлайн-аккаунтов и сервисов коммерческих предприятий и государственных организаций. Однако эффективность 2FA не всегда очевидна. Двухфакторная аутентификация, безусловно, по-прежнему обеспечивает защиту, выходящую за рамки только лишь имени пользователя и пароля, но у нее есть свои недостатки. Она все еще очень эффективна при отражении автоматизированных атак, но, к сожалению, данная система не является панацеей, поскольку хакеры неоднократно доказывали, что они способны обходить уровень безопасности, предлагаемый 2FA, особенно если 2FA представлена в виде текстового SMS- сообщения.
Мошенники могут легко совершать преступления, когда они получают в свои руки конфиденциальную информацию в результате утечек и нарушений данных. И это случается слишком часто, причем самым последним громким взломом стала атака на T-Mobile, в результате которой были раскрыты личные данные, включая номера социальных страховок и номера водительских прав, у более чем 50 миллионов американцев.
Поскольку миллиарды записей персональных данных продаются в «теневом» Интернете, а иногда даже бесплатно раздаются на торрент-сайтах, преступники могут легко обойти 2 FA , используя методы подмены SIM -карт или подбора несложных паролей.
Когда пользователь звонит оператору сотовой связи, то в большинстве случаев операторы просят пользователей подтвердить свою личность, указав какие-то дополнительные персональные данные (например, код безопасности или последние четыре цифры номера своего удостоверяющего документа и т.д. – именно эти данные среди прочих других были украдены в T-Mobile в прошлом месяце). В то время как коды доступа и пароли можно легко изменить, то номер удостоверяющего личность документа остается с человеком на всю жизнь, и вероятность того, что его номер окажется среди украденной информации в результате одной из утечек данных, очень велика. Таким образом, если в прошлом хакерам было относительно легко обойти дополнительные меры безопасности с помощью подмены SIM-карты, то теперь, скорее всего, мошенникам даже не требуется быть технически подкованными – они могут просто позвонить оператору сотовой связи, провайдеру или в ваш банк и от вашего лица совершить преступление.
Что вы можете сделать?
Помимо поддержания хорошей «гигиены» паролей, вы можете переосмыслить использование SMS как форму 2FA. Кроме того, вы можете рассмотреть возможность применения многофакторной аутентификации везде, где это возможно – чем больше у вас уровней защиты, тем лучше.
Государственные учреждения и частные компании всех размеров продолжают пользоваться преимуществами процесса двухфакторной аутентификации. Однако полагаться исключительно на нее не вполне разумно, если вы действительно заботитесь о своей кибер-защите и конфиденциальности. Любой уровень безопасности лучше, чем его отсутствие вообще, поэтому используйте 2FA каждый раз, когда у вас для этого есть возможность. Кроме того, наличие высококачественного антивирусного программного обеспечения, установленного на всех ваших подключенных устройствах, добавляет еще больше уровней безопасности и не только защищает в режиме реального времени, но иногда поставляется в комплекте с такими эффективными средствами, как менеджер паролей и VPN, которые помогают пользователям лучше контролировать свою цифровую жизнь.
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.