Как защищает двухфакторная аутентификация
Как защищает двухфакторная аутентификация в социальных сетях и различных сервисах
Защищать свои персональные данные в сети очень важно. Ведь если к ним получат доступ злоумышленники, то могут украсть ваши деньги, навредить вашему бизнесу или репутации.
Цели мошенников:
88 %
Деньги
12 %
Данные
Содержание статьи
Как мошенники взламывают аккаунты
Пароли являются самой распространённой защитой аккаунтов. Но, к сожалению, мошенники …
Чем может помочь 2FA
Посмотрим, как помогает двухфакторная аутентификация в каждом из случаев…
Настройки двухфакторной аутентификации
Каждый сервис предлагает свои методы защиты:
- проверка по SMS…
Надёжность различных факторов защиты
Практически невозможно использовать, если, конечно данные с устройств не были переданы на какой-то сервер…
Как мошенники взламывают аккаунты
Сегодня пароли являются самой распространённой защитой аккаунтов… Но, к сожалению, мошенники с лёгкостью обходят её:
- методом подбора паролей, его ещё называют «атакой грубой силы»;
- с помощью фишинга — кражи паролей на поддельных сайтах;
- используя уязвимости общедоступных сетей Wi-Fi;
- с помощью вредоносного ПО — кейлоггеров или программ-шпионов;
- используя социальную инженерию — она направлена на самый уязвимый канал — человеческий фактор.
Именно поэтому специалисты по безопасности рекомендуют дополнительно защищать аккаунты двухфакторной аутентификацией или 2FA.
Чем может помочь двухфакторная аутентификация
Аутентификация — это проверка подлинности личности, являющейся владельцем аккаунта. Или, другими словами, способ подтверждения, что в аккаунт пытается войти именно владелец учётной записи, а не робот или мошенник.
Аутентификацию не стоит путать с авторизацией — предоставлением пользователю определённых прав — или идентификацией — процедурой опознавания субъекта по уникальному присвоенному идентификатору (например, товар определяется по штрихкоду).
Под факторами аутентификации подразумевают общие свойства в способах подтверждения:
- фактор знания — секретные сведенья, известные только владельцу, например, кодовая комбинация, фраза, PIN-код;
- фактор владения — уникальный физический объект, такой как печать, ключ, смарт-карта;
- фактор местонахождения — геометки смартфона, IP-адрес в списке разрешённых;
- физический фактор — биометрические данные, такие как отпечаток пальца или ладони, сетчатка глаза, голос.
Как правило, при регистрации в любой учётной записи мы первым фактором выбираем пароль. Но если он будет скомпрометирован, то злоумышленник проникнет в аккаунт. Поэтому специалисты по безопасности рекомендуют подключать второй фактор защиты. В этом случае злоумышленнику будет сложнее попасть в аккаунт. Будьте бдительны, возможно он попытается вам звонить, чтобы получить недостающие сведенья — так работает социальная инженерия.
Теперь посмотрим на методы взломов и на то, как помогает двухфакторная аутентификация в каждом из случаев.
Атаки грубой силы
Принцип данного метода состоит в том, что мошенник перебирает часто используемые людьми простые пароли до тех пор, пока не подберёт нужный. Дело в том, что очень многие пользователи ленятся устанавливать сложные пароли, в результате их данные и кошельки становятся лёгкой добычей.
Поможет ли 2FA. Если у вас включена двухфакторная аутентификация, то, конечно, проникнуть в аккаунт злоумышленнику будет сложнее.
Общедоступные сети
При подключении к общедоступным сетям Wi-Fi вы рискуете безопасностью. Ведь мошенники могут в мало защищённых сетях подключаться к чужим устройствам, выдавая себя за сервер. По крайней мере старайтесь не производить оплаты в интернете.
Поможет ли 2FA. Да, если вы не забудете выйти из всех сессий после использования общедоступной сети. Так как в ней злоумышленники могут перехватить пароли, но без второго шага всё равно в аккаунт не попадут.
Социальная инженерия
Социальная инженерия — это совокупность методов, направленных на получение важных для мошенников данных. Среди методов особое значение имеет манипуляция, обман людей с целью заставить их совершить какое-то действие (установить программу) или раскрыть секретные данные (пароли, PIN-коды и т. д.).
Очень часто мошенники ведут слежку за жертвой. Легче всего это сделать в соцсетях. Каждый день в социальных сетях взламывают около 1000 аккаунтов, что создаёт пользователям немало неудобств. При этом восстановить доступы удаётся в 64% случаев, в 30% приходится создавать новые учётные записи, оставшиеся — перестают пользоваться той или иной социальной сетью.
Также установлено, что после первого взлома, мошенники пытаются проникнуть в те же аккаунты повторно. Самым неприятным способом обмана они выбирают выпрашивание денег у друзей, рассказывая о смертельной опасности или ужасной катастрофе, случившейся с кем-то из близких.
Поможет ли 2FA. С помощью социальной инженерии мошенники могут преодолеть некоторые методы двухфакторной аутентификации! Какие, расскажем ниже.
Фишинг
Фишинг — это разновидность социальной инженерии. Главным её инструментом являются поддельные сайты, которые предлагаются пользователю в письмах и сообщениях якобы от друзей или компаний.
Ярким примером такого мошенничества является такой случай. Пользователь получает письмо и видит, что в нём некая компания предлагает новым пользователям за подписку $5 сразу на счёт. Для этого подписчику нужно ввести данные банковской карточки и её CVV-код. Он вводит данные и ждёт денег. Однако через полчаса ему приходят счёта о покупках, которые он не совершал.
Поможет ли 2FA. Тут многое зависит от того, какие именно данные были скомпрометированы. Если вы введёте только пароли на фишинговых сайтах, опасность минимальна. Только нужно быстро сменить пароль. Если вы указали данные карты и коды от неё, то придётся как можно скорее её заблокировать.
Кейлоггеры и вредоносное ПО
Кейлоггеры — это программы, которые позволяют злоумышленникам узнать, какие манипуляции вы делаете со своим устройством: какие тексты набираете, какие пароли.
Данное программное обеспечение можно назвать инструментами социальной инженерии, поскольку для их установки на компьютер жертвы от мошенников требуются некоторые уловки и знание человеческой психологии.
Чтобы заставить вас установить вредоносное ПО, злоумышленники могут прислать на почту или в соцсети «от друзей» такие предложения:
- Обещала тебе фото, смотри, что получилось.
- Участвую в акции, только для друзей приложение бесплатно.
Если вы откроете файл, перейдёте по ссылке или установите ПО, то можете заразить компьютер.
Поможет ли 2FA. Распознать такие хитрости очень сложно. Но если у вас включена двухфакторная аутентификация, то украденный пароль мало поможет злоумышленнику без знания следующих шагов.
Настройки двухфакторной аутентификации
Настроить двухфакторную аутентификацию можно сегодня практически в любом аккаунте. Каждый сервис предлагает свои методы защиты:
- проверка по SMS;
- одноразовый пароль по почте;
- приложение, генерирующее одноразовые коды;
- ключи безопасности.
Обычно их можно найти и подключить в настройках безопасности любого аккаунта.
Надёжность различных факторов защиты
|
Способ |
Надёжность |
Уточнение |
|
Пароли |
Низкая |
Можно подобрать или украсть. |
|
Секретное слово |
Средняя |
Может быть получено с помощью социальной инженерии. |
|
PIN-коды |
Средняя |
Могут быть получены с помощью социальной инженерии. |
|
Одноразовый пароль (OTP) |
Средняя |
Может быть перехвачен специалистами по социальной инженерии. |
|
Биометрические данные |
Высокая |
Практически невозможно использовать, если, конечно данные с устройств не были переданы на какой-то сервер, где их могли бы украсть мошенники. |
|
Ключ безопасности |
Высокая |
Даже если злоумышленник украдёт ключ, он не сможет воспользоваться ключом без PIN-кода. |
|
Ключи безопасности с датчиком отпечатков |
Высокая |
Злоумышленник не сможет воспользоваться ключом, так как датчик не только определяет рисунок, но и реагирует на влажность и температуру. |
Почему ключи безопасности являются самой надёжной защитой
- Ключи безопасности можно использовать не только для двухфакторной аутентификации, но и вместо пароля (если это позволяет сервер).
- Ключи безопасности отлично защищают во всех случаях и ситуациях. Например, они не отправляют зашифрованный код на фишинговых сайтах, не компрометируют пароли в общедоступных сетях (если вы используете ключ вместо пароля).
- Ключи безопасности очень усложняют планы мошенников, ведь помимо того, что для взлома аккаунта нужно подобрать пароль, каким-то образом нужно будет получить и сам ключ. То есть удалённый взлом усложняется, нужна личная встреча, а это риск быть опознанным жертвой.
- Даже если мошенник украдёт ключ, всё равно ему сложно будет получить доступ, так как для активации ключа часто нужны дополнительные действия, например, введение PIN-кода или считывание биометрических данных.
- Обнаружив пропажу ключа, вы можете быстро заблокировать данные и сменить пароли.
- Даже если не все сервисы поддерживают ключи безопасности, всё равно с их помощью можно защитить многие данные, заблокировав ключом устройство или операционную систему. Также многие менеджеры паролей поддерживают двухфакторную защиту с помощью ключей безопасности.
Какие ключи лучше выбрать
В нашем магазине есть несколько видов ключей, которые отличаются по степени защиты, надёжности, способам подключения. Все они имеют сертификацию FIDO2 и работают автономно (не передают данные с устройств на сервер), за исключением ATKey.Hello, который по сути является сканером для Windows Hello.
Чтобы выбрать подходящий ключ:
- Определите, с каким устройством будете работать и выберите ключ по форм-фактору: подключение через USB-A USB-C Lightning; подумайте, пригодится ли вам бесконтактное подключение через блютус или NFC.
- Выясните, какие протоколы ключей поддерживает сервис: FIDO, FIDO2, FIDO U2F.
- Решите, какие данные будете защищать: доступы в рабочем пространстве или на домашнем компьютере;
- Сравните ключи по цене и техническим характеристикам и выберите для себя оптимальный вариант.
Если вы испытываете сложности с выбором ключа, позвоните нашему консультанту!
И помните, что кроме подключения двухфакторной аутентификации нужно соблюдать другие меры безопасности в сети. О них мы рассказывали в нашей предыдущей статье.