Не "вспомнить всё": как двухфакторная аутентификация заменяет привычные пароли

Пароль умер. Да здравствует пароль!

Пароль просто забыть, легко восстановить и уже давно несложно технологично украсть. Ведущие мировые провайдеры онлайн-сервисов встали на путь внедрения различных моделей двухфакторной аутентификации, однако решения отличаются по степени как сложности, так и удобства для конечного пользователя.

Двухфакторная аутентификация означает использование второго "ключа" помимо логина и пароля в момент авторизации доступа. Второй фактор, как правило, использует то, чем пользователь владеет физически. Например, гаджет и получаемый через него дополнительный виртуальный ключ.

Стандарты безопасности формируются как ответ на атаки

Долгое время рядовые пользователи воспринимали второй фактор не как дополнительный уровень защиты, а, скорее, как лишнее препятствие для доступа к тому или иному сервису. Однако несколько резонансных историй заставили пользователей насторожиться касательно безопасности их персональных и финансовых данных. Так, например, при атаке корпоративного мессенджера Slack хакеры получили доступ к персональной информации пользователей, включая их имена, адреса электронной почты, ники в Skype и пароли. Несмотря на то, что пароли были зашифрованы дополнительно, в рассылке после инцидента компания попросила своих клиентов перейти на двухфакторную аутентификацию для обеспечения дополнительной безопасности в будущем. Масла в огонь подлила и история, о которой слышал весь мир: из iCloud были украдены пикантные фотографии звезд американского шоу-бизнеса. На тот момент двухфакторная аутентификация уже была внедрена, однако не на всех сервисах компании. По следам случившегося Apple ввела второй фактор подтверждения личности для iMessage и FaceTime.

Корпорации ищут решения

Для начала обозначим устаревающие методы двухфакторной аутентификации и, наоборот, решения ближайшего будущего. Не очень впечатляющими с точки зрения удобства и защиты данных выглядят одноразовые коды на бумажных табличках и скретч-карты, которые до сих пор выдают своим клиентам некоторые финансово-кредитные учреждения. По-прежнему, хоть и значительно реже, в качестве метода двухфакторной аутентификации используется физический USB-ключ. Пока еще диковиной является биометрическая аутентификация – японский банк Ogaki Kyoritsu уже устанавливает уличные банкоматы, для авторизации в которых нужно приложить руку к встроенному сканеру. Введение PIN-кода и даты рождения клиентом банка данное новшество все равно не отменяет. В ближайшем будущем двухфакторная аутентификация будет активнее использовать способность распознавания лиц и отпечатков пальцев. Также в качестве идентификации начинают применять геолокационные сервисы, верифицирующие пользователя при помощи его местоположения. Этим списком возможные способы двухфакторной аутентификации, конечно, не ограничиваются, постепенно внедряются мобильные клиенты, которые могут стать полноценной заменой аутентификации через SMS в ближайшем будущем.

SMS-аутентификация теряет позиции

Российские пользователи уже привыкли получать SMS с кодом в качестве подтверждения. Если подобная аутентификация требуется при первоначальном входе или, например, при смене пароля, то это вполне жизнеспособный вариант. Но если речь идет о доступе к интернет-банкингу, например, на ежедневной основе, такой способ неудобен в первую очередь самим корпорациям. Банки несут существенные издержки по отправке SMS, а клиенты с удивлением видят эти затраты в цене финансовых продуктов. Как известно, в 2014 г. стоимость SMS-рассылок взлетела в десятки раз из-за изменений в законодательстве, что вынудило банки рассматривать альтернативные методы аутентификации клиентов.

Пользователей же беспокоит, что SMS не всегда приходят мгновенно. Однако есть и более существенные риски:

• SIM-карта может быть восстановлена злоумышленниками по поддельным документам;
• случайные лица могут получить доступ к персональной информации клиентов операторов мобильной связи;
• SMS могут быть перехвачены или перенаправлены;
• SMS-код может быть просто прочитан с заблокированного экрана телефона;
• злоумышленник может заменить номер телефона на свой через функцию восстановления доступа, которая есть у каждого сервиса и, как правило, не защищена вторым фактором.

Ненадежность метода многократно доказывалась Tech-энтузиастами, в прессе немало примеров журналистских экспериментов по восстановлению номера для получения доступа к SMS как второму фактору защиты аккаунтов. Национальный институт стандартов и технологий США недавно обнародовал документ под названием Digital Authentication Guideline, официально рекомендующий разработчикам новых сервисов заменить SMS как второй фактор идентификации на альтернативные решения. Эксперты же считают, что SMS-аутентификация до сих пор так популярна только потому, что потребители всегда предпочитают удобство безопасности. Кибератаки с целью получения чужих финансовых данных в текущих условиях экономической ситуации будут учащаться, поэтому тема выбора метода второго фактора защиты становится, в том числе, личным решением пользователя.

Гик-девайсы помогут понять и принять

Подсластить пилюлю замысловатости систем подтверждения могут новейшие гаджеты. Умные часы, как правило, используются не только как модный аксессуар, но и как дополнительный экран, удобный в моменты, когда не хочется доставать смартфон. ИT-эксперты предсказывали, что подтверждение действий с помощью умных часов с точки зрения удобства и быстроты сможет вывести двухфакторную аутентификацию на совершенно новый уровень. Из реализованных кейсов можно отметить сервис E-NUM с часами под управлением Android Wear, Pebble Watch и Apple Watch. После синхронизации со смартфоном входящие уведомления с проверочным кодом всплывают сразу на экране часов. Для некоторых моделей смарт-часов дополнительно реализован запрет отображения числа-ответа в случае, если они находятся слишком далеко от смартфона.

Такой подход позволяет значительно ускорить и упростить процедуру идентификации, хотя пока процент проникновения умных часов среди российских пользователей невелик, но будет расти в будущем.