Втб двухфакторная аутентификация как включить

Обновлено: 29.01.2023

Являюсь клиентом банка очень долгое время. Последние пару лет наблюдаю постоянное ухудшение уровня безопасности в угоду "удобству":

- Возможность через банкомат получить полный доступ в личный кабинет со всеми счетами, имея только банковскую карту и пин-код к ней (к счастью можно отключить по звонку в банк)
- Возможность дистанционного восстановления пароля к личному кабинету через банкомат или просто по звонку в банк (к счастью можно отключить в личном кабинете или по звонку в банк)
- Возможность без ввода пароля зайти в личный кабинет с использованием мобильного приложения, зная только номер карты (неотключаемо)
- Отмена возможности в качестве второго фактора использовать отдельный токен или отдельное приложение-аутентификатор вместо SMS

Проблемы с этими "возможностями" следующие:
- номер карты не является "секретным", если карта используется как платежное средство, т.к. ее в этот момент видят все окружающие
- пин-код карты можно подсмотреть и это ни в коей мере не должно являться заменой полноценному паролю
- нельзя отказываться от второго фактора аутентификации, отменяя проверку пароля
- SMS не является надежным каналом аутентификации даже в составе двухфакторной аутентификации (именно поэтому современная тенденция - использование специальных независимых приложений-аутентификаторов); здесь же навязывают пользователю только этот канал, лишая его возможности использовать пароли
- разрешение на ослабление безопасности пользователь должен давать явным образом, если ему так захочется; нельзя ухудшать безопасность и разрешать то, что перечислено выше автоматически всем пользователям без каких-либо уведомленией

Я понимаю, что кому-то могут быть удобны перечисленные выше возможности, пока это не приведет к финансовым потерям. Это их проблемы, если они сами на это согласились. Но нельзя такое включать всем автоматически и не оставлять иного выбора.

Прошу банк сделать следующее:
1) вернуть возможность включить проверку пароля в мобильном приложении
2) вернуть возможность использовать внешний независимый токен второго фактора вместо SMS
3) не включать возможности ухудшающие безопасность автоматически всем пользователям, а предлагать пользователю выбирать это в явной форме с возможностью отказаться
4) для всех вышеперечисленных ухудшений безопасности сделать явный раздел в личном кабинете, где можно оценить текущий уровень безопасности без звонка в службу поддержки (напомню, что некоторые ухудшения сейчас можно отключить только по звонку)

Я несколько раз пытался донести эти проблемы до банка, как через персонального менеджера, так и через горячую линию. Каждый раз получал безликие и бессмысленные ответы, что банк "заботится о клиентах". Никакой внятной реакции на это не последовало и исправлено это не было, хотя прошло уже много месяцев.


Безопасность

В 2020 году участились случаи кражи денег через мобильное приложение ВТБ-онлайн. Суть стандартной аферы: злоумышленники ставят приложение банка к себе на смартфон и звонят будущему потерпевшему. При этом его как-то пугают, а если нехватает информации, пытаются узнать номер карты, логин (УНК). Затем мошенники выманивают у клиента код из СМС и подключают свое приложение к личному кабинету жертвы в ВТБ. Дальше переключаются на Push-уведомления и клиент больше не получает информации о происходящих без его помощи операциях. Разумеется, никогда не нужно никаким звонящим говорить свой УНК, номер карты, а тем более код их СМС.

Но в 2020 году было очень много случаев, когда клиенту никто вообще не звонил, как это возможно? В описанных случаях причин, видимо, две:

  1. фишинговые сайты (люди не понимают, куда они вводят логин, пароль и код из СМС от банка).
  2. недостаточно информативный текст в СМС от ВТБ с этим самым кодом.

Фишинговые сайты

Проблема довольно массовая, поддельные сайты появляются постоянно. Вот пример фальшивого сайта, имитирующего личный кабинет ВТБ-онлайн:

Фальшивый дичный кабинет ВТБ-онлайн, фишинговый сайт

Как отличить фишинговый сайт от настоящего личного кабинета ВТБ?

Вот как выглядит страница входа в настоящий личный кабинет:

Настоящий ВТБ-онлайн, март 2021 года

Как люди попадают на фишинговый сайт?

Вот как это может выглядеть:

как люди попадают на фишинговый сайт через Яндекс

Красным на первом месте — рекламная ссылка. У нее нет отметки с синей галочкой «ЦБ РФ», но есть пометка «реклама». Будьте внимательнее, если решили действовать таким странным образом, это очень опасно для ваших денег.

Еще один пример фишингового сайта. Очень трудно не заметить, что название домена не имеет никакого отношения к банку ВТБ:


Что же будет, если на фальшивом сайте ввести свой логин или номер карты, пароль и код из СМС?

  1. Жертва находит фейковый сайт в интернете, вводит свои реквизиты для входа в личный кабинет. Какие именно — это не так важно (логин, УНК, пароль).
  2. Мошенник получает реквизиты, самостоятельно или с помощью программы вводит их на реальном сайте ВТБ для регистрации заранее установленного в свой смартфон мобильного приложения.
  3. Банк посылает Жертве на телефон код подтверждения. Или пуш в мобильное приложение.
  4. Жертва, считая что это подтверждение входа в личный кабинет, вводит код подтверждения на фейковом сайте — код сразу же оказывается у Мошенника.
  5. Мошенник вводит код на сайте ВТБ, тем самым завершая регистрацию мобильного приложения, и получает доступ ко всем деньгам Жертвы.
  6. Мошенник меняет в настройках тип уведомлений с СМС на Push-коды и дальнейшие коды для подтверждения операций по выводу денег приходят уже напрямую на устройство Мошенника.

Примеры реальных случаев взлома личного кабинета ВТБ

11.11.2020 — ущерб 23000 рублей. «Каким образом был осуществлен вход в мой личный кабинет, если при входе в личный кабинет поступает смс- код на номер телефона? В это время смс — код я не получал от ВТБ-банка потому что 11 ноября 2020 г я не заходил в личный кабинет ВТБ-банка. Мною данные по карте и личному кабинету третьим лицам не передавались!»

12.11.2020 — списали 200000 рублей. «Сегодня у меня двумя транзакциями были списаны денежные средства около 200 тыс. с КРЕДИТНОЙ карты ВТБ банка без СМС подтверждения. СМС пришла только одна о уже списанных денежных средствах и то, только на одну транзакцию! Карту заблокировала, в банк обратилась, но картой я не пользуюсь, так как пользуюсь оплатой с телефона. …

Далее, уже в ВТБ онлайн был привязан другой номер телефона и совершены мошеннические действия. После блокировки мной карты, мошенники еще пытались списать около 200 тыс.

Ответ банка:

«Мы закончили проверку по Вашему случаю. Данная операция была совершена после авторизации с вводом логина, пароля и кода подтверждения, следовательно, у Банка были все основания признать данную транзакцию легитимной.»

Кто и куда вводил логин, пароль и код подтверждения — осталось неясным. Но проблема уже давнишняя, есть случаи и с прошлых лет:

Ноябрь 2018 года. Взломали личный кабинет в ВТБ-онлайн, перевели деньги между моими счетами и вывели деньги на карту Сбербанка и на QIWI WALLET, 45400 рублей.

Февраль 2019 года. Предварительно одобренный кредит в личном кабинете для безработной. Личный кабинет взломан, взят кредит на 597254 руб. Но хорошо что деньги не украли, клиент сразу вернул кредит банку, почти без процентов, деньги за страховку банк тоже вернул.

В случае с ВТБ мошенники насоздавали фальшивых сайтов (сайт-двойник, фишинговый сайт), которые можно было найти в Яндексе при поиске личного кабинета ВТБ. Т.е. клиенты не проверяли, на какой сайт зашли, вводили там логин и пароль, потом вводили код из СМС, все это получали мошенники, которые уже сами заходили в приложение со своего устройства.

Эта проблема с фишинговыми сайтами решается очень просто:

Как проверить, не взломан ли ваш личный кабинет ВТБ-онлайн

Зайдите в мобильном приложении: Настройки — Уведомления от банка — Настроить уведомления

И вы просто увидите список подключенных устройств. Если среди них незнакомое вам, значит у мошенников уже есть доступ и нужно срочно связаться с банком и аннулировать доступ с чужого устройства.

Что же сделали в ВТБ?

Еще информация к размышлению с сайта банка, почти руководство к действию для мошенников:

« 01.06.2020 — ВТБ значительно упростил процедуру входа в ВТБ-Онлайн — теперь клиенты смогут быстрее заходить в мобильное приложение. При этом банк обеспечил дополнительную, усиленную безопасность процесса, а предложенная система создания пароля стала еще более надежной.

Первый вход в приложение ВТБ онлайн

05.08.2020 — ВТБ фиксирует всплеск активности фишинговых сайтов, которые имитируют работу настоящего банковского интернет-ресурса. Число выявленных в июле мошеннических порталов-двойников, выросло в 2,5 раза и превысило 50 адресов. Клиенты видят фейковые страницы при поисковых запросах, оставляют там свои банковские данные, чем пользуются мошенники, выводящие средства своих жертв со счетов через некоторое время.

Nikomu ne govorite etot kod, dazhe sotrudnikam banka! Kod xxxxxx. Vhod v VTB-Online. VTB

Непонятные случаи пропажи денег, где участие клиента (пока) не прослеживается

Но есть и случаи, где потерпевший утверждает, что ничего не делал.

ВТБ, 76000 рублей — Кража через СБП-переводы, 4 перевода. Кто-то явно действовал через личный кабинет или приложение.

«Каким-то образом мошенники получили доступ к моему личному кабинету, при этом доступа третьих лиц к карте, телефону, компьютеру не было. Никакой информации о входе в личный кабинет, кодов подтверждения, СМС оповещений, Push-уведомлениймне не поступало. Никаких звонков от третьих лиц (с просьбой сообщить какие-то данные мне не поступало).

В личном кабинете банка ВТБ проводились операции по переводу, закрытию вклада, а также списанию денежных средств. Общая сумма списания сред составила более 300 000 руб. Было обнаружено случайно, когда подошел очередной срок гасить ипотечный кредит.»

я, человек, который знает, как обращаться с гаджетами, не могу понять, как без моего согласия банк совершает операции в течение шестнадцати дней

В ночь на 27/07 у меня списали денежные средства, сначала с виртуального накопительного счета ВТБ перевели на зарплатную карту, а оттуда уже списали все, смс подтверждений и кодов запросов на данные операции не поступало.

Никакие коды не приходили и не передавались, но было подключено новое устройство к личному кабинету и пропало 4000 руб

Разговор уж 15 мин, анкетные данные, ФИО сами назвали, номера карт не спрашивают и тут приходит смс что мне одобрен потребкредит на полмиллиона. Они говорят мол мошенники оформили кредит, просят назвать код из смс типа автомату. Я им мол что за фигня, смс на одобрение, я никаких кодов называть не буду. Они мол ты не нам а автомату называть будешь. Я не повелся на этот развод. Позвонил в службу безопасности, пока звонил и блокировали карты и учетки, пришла смс о подключении к пуш-уведомлениям нового устройства. Потом о списании 4000 тр.

Банк ВТБ предупреждает:

image

То есть, некто перевыпустил мою симку. Как это удалось сделать — большой вопрос, который мы адресуем компании МТС.

Естественно, первым делом я проверил, а не от мошенников ли мне пришла СМС. Проверив номер, указанный в СМС, я понял, что номер верный, значит проблема серьёзная. Уже через минуту я начал пытаться связаться с ТП МТС. Квесты прохождения телефонного меню МТС результатом которых является общение с оператором заслуживают отдельной истории. Скажу кратко, на то чтобы начать живое общение с «человеком» у меня ушло минут 7.

К сожалению, общение не было долгим, секунд через 20 разговор прервался. Скорее всего, в этот же момент мошенник активировал сим-карту, так как совершить звонок со своего номера более я не смог, моя симка стала неактивной. С другого номера удалось дозвониться в службу поддержки МТС, в результате чего номер (который был привязан к почте) был заблокирован.

Кстати, к почте была подключена двухфакторная аутентификация, но именно из-за привязки номера телефона это «угон» домена и произошёл. Если бы к моей почте не был привязан номер телефона, то мошенник не смог бы сбросить мой пароль.

На данный момент сайт нашего издания работает и сегодня мы даже успели запустить соответствующий пост. Но думаю уже завтра, после того как обновятся DNS-сервера, мой корабль, который я строил 3 года, скроется за горизонтом.

Мы никогда не занимались политикой и не писали заказных материалов. Но такая участь постигла и наш сайт.

С надеждой на лучшее, совладелец сетевого издания «Банки Сегодня».

Наши настоящие DNS сменились приблизительно в 3 часа ночи сегодняшнего дня. И уже с 9 утра больше половины наших читателей стали редиректиться на домен мошенника. Динамика посещаемости:

image

UPD 28 сен 19-00.

На текущий момент есть определённые позитивные изменения. Пока не буду подробно про них рассказывать, но думаю уже с понедельника, приступим к работе. Как всё закончится, обязательно сделаю подробный пост со всеми этапами! Спасибо за советы и поддержку!

Привет! Меня зовут Артем Ивлев, и я занимаюсь архитектурой идентификации клиентов банка ВТБ. Наша задача — ответить на вопрос, кто использует наш банковский сервис: мобильный или интернет-банк, голосового помощника или просто один из многочисленных офисов. Для этого есть множество инструментов — и я хочу рассказать про становление одного из них.

Пролог

На дворе 2019 год, экосистема банка растет как на дрожжах, и все острее нам нужны единая точка входа для клиентов и провайдер идентификации. А есть только каталог учетных записей и отдельные решения разных команд для аутентификации.

Требований к тому, как все должно выглядеть, у нас еще не было. При этом мы сразу же начали говорить об аутентификации физических лиц не только в онлайн-банке, но и на ресурсах партнеров. Та самая кнопочка «Войти через ВТБ».


Примерно так будет выглядеть вход через ВТБ

Из этого следовало, что нам нужно взять максимально универсальное решение и начать его использовать. В процессе использования мы смогли бы выяснить, что нам точно нужно, каких функций не хватает и т. д.

Выбираем, по какому пути пойдем

Прошерстив интернет, покурив магические квадраты Гартнера, начали смотреть на опенсорс-решения с поддержкой в России:

• WSO2 Identity Server

По отзывам в сети и документации наиболее универсальным нам показалось решение от WSO2 с шиной для возможности подключения множества провайдеров аутентификации, провайдеров данных пользователя и т. д.


Архитектура WSO2 Identity Server

Первый прототип мы показали еще в 2019 году на общем выездном демо розничного бизнеса.

Серебряная пуля есть (извини, Брукс) — это токен

В первую очередь мы поняли, что в OAuth 2 нам лучше всего использовать ID-токен JWT, который не требует обращения к серверу аутентификации для проверки при каждом запросе. Если вкратце, JWT — это пирамидка из трех частей:

1. Заголовок (HEADER) рассказывает, что это за токен, как подписан и кем выдан.

2. Тело (PAYLOAD) — набор параметров — позволяет узнать, какому сервису и для какого пользователя выдан этот токен, как долго этот токен будет жить.

3. Криптографическая подпись (SIGNATURE) дает возможность проверить, что данные в теле токена не были изменены и что токен выдан именно тем сервером идентификации, которому мы доверяем.


Структура JSON Web Token (JWT)

Все эти части — это одна большая строка, разделенная точками на блоки. Первые два блока кодированы с помощью алгоритма Base64.

Использование ID-токена JWT сильно упростило жизнь: больше не нужно было при каждом запросе от мобильного устройства или браузера ходить в базу и проверять, кому и когда выдан токен. Вся информация — в самом токене. Достаточно просто поставить перед потребителями API Gateway, который проверит подпись токена с помощью открытого ключа.

Как доработать пулю напильником

Токен, выпущенный на X минут, будет действителен, даже если пользователь нажмет «Выход» или от систем службы безопасности банка поступит сигнал срочно разлогинить этого пользователя из приложения.

Решение давно придумали — хранить списки отозванных токенов и сверяться с ними на уровне API Gateway. Да, это тоже сверка с базой, но здесь множество существенно меньше и легко реализуется на кеше Redis с TimeToLive.

Как сделать, чтобы злоумышленники не могли украсть токен, выданный определенному мобильному приложению или браузеру пользователя? Ведь технически можно утащить у пользователя что-то из браузера и даже из приложения. То есть нужно сделать так, чтобы злоумышленник, даже украв токен, не смог им воспользоваться.


Кадр из заставки мультсериала «Симпсоны»

Адаптивная аутентификация, или Почему нам пришлось идти своим путем

В процессе входа пользователя много дополнительной магии. Это и проверки пользователя, его устройства, статистики по входам, географии, и аудит действий, и открытие сессий в бэк-системах, и уточнение необходимости второго фактора, и выбор этого самого второго фактора (СМС, push, что-то еще).

Это и есть задача адаптивной аутентификации. И, с одной стороны, использование модуля позволило все эти задачи вписывать с помощью скриптового интерфейса WSO2 IS, но, с другой стороны, невозможно было реализовать красивый API для мобильных устройств или SPA.

Дело в том, что вся адаптивная аутентификация идет на серверном уровне как генерация интерфейсов с помощью JSP. Это сложно адаптировать даже для современной веб-разработки, не говоря уже о API для мобильного приложения.

После первых прототипов и попыток натянуть универсальность на пожелания коллег из мобильной и веб-платформ мы поняли, что эту часть придется переписывать.

Для мобильного приложения и интернет-банка мы решили реализовать всю логику с помощью всего лишь одной ручки API/oauth2/token — в зависимости от входящих параметров она выдавала токен или ошибку с просьбой перейти на нужный шаг запроса второго фактора.

Реализацию бизнес-логики решили внести прямиком в grant_type, параметр /oauth2/token, отвечающий на вопрос о нужном типе аутентификации.

В итоге у нас получилась стройная логика. Есть сервис-провайдер — потребитель аутентификации. У него есть настройки, среди которых — набор grant type. Тем самым мы отлично понимаем, кто и с помощью каких логик входа к нам может прийти.

Все, что не роняет прод, делает нас сильнее

Следующая проблема, которую мы поймали, — невысокая производительность из-за довольно сложного использования базы данных для сценария аутентификации, в котором мы контролируем «что и почему» на уровне нашего кода. WSO2 IS слишком много читает и пишет в базу.

Пришлось нам снова переписывать часть логики генерации токена. Убрали сессии из PostgreSQL в Redis. Это на порядок снизило нагрузку на базу.


Но, как оказалось, этого тоже мало. Сама зависимость от базы для столь критичного сервиса — далеко не лучшее решение. В случае падения или недоступности базы (где хранятся в основном настройки и выданные токены, сессии-то мы уже оттуда убрали) мы не могли пустить пользователя в банк.

Добавили проверку в случае недоступности базы — выдавать токены в аварийном порядке, если их не удается продлить через пять минут. То есть пользователи все равно смогут работать в приложении банка — но только пока жив первый выданный токен.

Следующим шагом был переход от двух ЦОДов в режиме active-active к режиму active-passive, что снизило риски рассинхрона PostgreSQL и Redis. В худшем случае при падении ЦОД какой-то части пользователей придется перезайти в приложение.

Ну и как финальный гвоздь в код выдачи токенов — решение полностью переписать остатки WSO2 IS. Последняя версия уже вообще не общается с базой при аутентификации пользователя. Остался только Redis, который хранит сессии аутентификации и выданные в них JWT и refresh-токены.

Что дальше? Новые гориSSOнты

При выдаче токена осталось так мало от вендорного WSO2 IS, что в скором времени мы сможем перейти от монолита, который умеет слишком много, к микросервисам, которые умеют только то, что нам нужно и с нужной нам производительностью.

Сейчас у нас есть вход в банковское приложение в мобильной и веб-версиях. Но этого мало. Ведь у ВТБ есть множество других продуктов. Это «Мультибонус», «ВТБ Мобайл» и десятки, если не сотни, других наших проектов. Для всех требуются аутентификация и единая точка входа.


Кадр из мультсериала «Рик и Морти»

И еще есть масса внешних партнеров и поставщиков, которые, конечно, только обрадуются «четким» пользователям с паспортом и прочими данными. Поэтому мы работаем над единым логином ВТБ. Пользователю он даст возможность идентифицировать себя в каршеринге, страховой, стриминге или «Рогах и копытах» максимально безопасно и удобно (согласитесь, проще нажать на кнопку «Войти через ВТБ», а не фотографировать паспорт и вбивать данные вручную). А потребителю аутентификации ВТБ — очень удобный путь идентификации и данные пользователей в соответствии с федеральным законодательством.

Эпилог

Скоро год, как наши первые релизы ушли в прод. Решение развивается и обрастает новыми возможностями. Не стоило ли нам сразу начать писать свое? Нужен ли вообще был WSO2 IS?

История не терпит сослагательного наклонения, но я думаю, что в условиях крайне сжатых сроков и итеративной разработки мы бы, скорее всего, ничего не успели — а если бы и успели, это бы не дотягивало до наших стандартов и не позволило развиваться дальше. Так что мы выбрали вендорное решение и заодно использовали его, чтобы развивать собственные наработки и компетенции команды — и это дало отличный результат.

ЗЫ: Буду рад обсудить вопросы по SSO, токенам и вообще аутентификации.

ЗЗЫ: Про что хотите почитать в следующий раз? Аутентификацию, биометрию или цифровой профиль и использование Tarantool Data Grid?


Двухфакторная аутентификация или 2FA – это метод идентификации пользователя в каком-либо сервисе, где используются два различных типа аутентификационных данных. Введение дополнительного уровня безопасности обеспечивает более эффективную защиту аккаунта от несанкционированного доступа.

Двухфакторная аутентификация требует, чтобы пользователь имел два из трех типов идентификационных данных.

  • Нечто, ему известное;
  • Нечто, у него имеющееся;
  • Нечто, ему присущее (биометрика).

Второй пункт – это токен, то есть компактное устройство, которое находится в собственности пользователя. Самые простые токены не требуют физического подключения к компьютеру – у них имеется дисплей, где отображается число, которое пользователь вводит в систему для осуществления входа – более сложные подключаются к компьютерам посредством USB и Bluetooth-интерфейсов.

Сегодня в качестве токенов могут выступать смартфоны, потому что они стали неотъемлемой частью нашей жизни. В этом случае так называемый одноразовый пароль генерируется или с помощью специального приложения (например Google Authenticator), или приходит по SMS – это максимально простой и дружественный к пользователю метод, который некоторые эксперты оценивают как менее надежный.


В ходе проведенного исследования, в котором приняли участие 219 человек разных полов, возрастов и профессий, стало известно, что более половины опрошенных используют двухфакторную SMS-аутентификацию в социальных сетях (54,48%) и при работе с финансами (69,42%).

Однако, когда дело касается рабочих вопросов, то здесь предпочтение отдается токенам (45,36%). Но вот что интересно, количество респондентов, пользующихся этими технологиями как добровольно, так и по приказу начальства (или вследствие других вынуждающих обстоятельств), примерно одинаково.


График популярности различных технологий по сферам деятельности


График заинтересованности респондентов в 2FA

Среди токенов можно выделить одноразовые пароли, синхронизированные по времени, и одноразовые пароли на основе математического алгоритма. Синхронизированные по времени одноразовые пароли постоянно и периодически меняются. Такие токены хранят в памяти количество секунд, прошедших с 1 января 1970 года, и отображают часть этого числа на дисплее.

Чтобы пользователь мог осуществить вход, между токеном клиента и сервером аутентификации должна существовать синхронизация. Главная проблема заключается в том, что со временем они способны рассинхронизироваться, однако некоторые системы, такие как SecurID компании RSA, дают возможность повторно синхронизировать токен с сервером путем ввода нескольких кодов доступа. Более того, многие из этих устройств не имеют сменных батарей, потому обладают ограниченным сроком службы.

Как следует из названия, пароли на основе математического алгоритма используют алгоритмы (например цепочки хэшей) для генерации серии одноразовых паролей по секретному ключу. В этом случае невозможно предугадать, каким будет следующий пароль, даже зная все предыдущие.

Иногда 2FA реализуется с применением биометрических устройств и методов аутентификации (третий пункт). Это могут быть, например, сканеры лица, отпечатков пальцев или сетчатки глаза.

Проблема здесь заключается в том, что подобные технологии очень дороги, хотя и точны. Другой проблемой использования биометрических сканеров является неочевидность определения необходимой степени точности.

Если установить разрешение сканера отпечатка пальца на максимум, то вы рискуете не получить доступ к сервису или устройству в том случае, если получили ожог или ваши руки попросту замерзли. Поэтому для успешного подтверждения этого аутентификатора достаточно неполного соответствия отпечатка эталону. Также стоит отметить, что изменить такой «биопароль» физически невозможно.

Насколько надежна двухфакторная аутентификация

Это хороший вопрос. 2FA не является непроницаемой для злоумышленников, однако она серьезно усложняет им жизнь. «Используя 2FA вы исключаете достаточно крупную категорию атак», – говорит Джим Фентон (Jim Fenton), директор по безопасности OneID. Чтобы взломать двухфакторную аутентификацию «плохим парням» придется украсть ваши отпечатки или получить доступ к cookie-файлам или кодам, сгенерированным токенами.

Последнего можно добиться, например, с помощью фишинговых атак или вредоносного программного обеспечения. Есть еще один необычный способ: доступ к аккаунту журналиста Wired Мэтта Хоннана (Matt Honnan) злоумышленники получили с помощью функции восстановления аккаунта.

Восстановление аккаунта выступает в качестве инструмента для обхода двухфакторной аутентификации. Фентон, после истории с Мэттом, лично создал аккаунт в Google, активировал 2FA и притворился, что «потерял» данные для входа. «Восстановление аккаунта заняло некоторое время, но через три дня я получил письмо, что 2FA была отключена», – отмечает Фентон. Однако и у этой проблемы есть решения. По крайней мере, над ними работают.

«Я считаю, что биометрия – это один из таких способов, – говорит технический директор Duo Security Джон Оберхайд (Jon Oberheide). – Если я потеряю свой телефон, то чтобы восстановить все аккаунты мне не хватит вечности. Если бы существовал хороший биотметрический метод, то он бы стал надежным и полезным механизмом восстановления». По сути, Джон предлагает использовать одну форму 2FA для аутентификации, а другую – для восстановления.

Где применяется 2FA

Вот несколько основных сервисов и социальных сетей, которые предлагают эту функцию – это Facebook, Gmail, Twitter, LinkedIn, Steam. Их разработчики предлагают на выбор: SMS-аутентификацию, список одноразовых паролей, Google Authenticator и др. Недавно 2FA ввел Instagram, чтобы защитить все ваши фотографии.

Однако здесь есть интересный момент. Стоит учитывать, что двухфакторная аутентификация добавляет к процессу аутентификации еще один дополнительный шаг, и, в зависимости от реализации, это может вызывать как небольшие сложности со входом (или не вызывать их вовсе), так и серьезные проблемы.

По большей части отношение к этому зависит от терпеливости пользователя и желания повысить безопасность аккаунта. Фентон высказал следующую мысль: «2FA – это хорошая штука, но она способна усложнить жизнь пользователям. Потому имеет смысл вводить её только для тех случаев, когда вход осуществляется с неизвестного устройства».

Двухфакторная аутентификация не панацея, но она помогает серьезно повысить защищенность аккаунта, затратив минимум усилий. Усложнение жизни взломщиков – это всегда хорошо, потому пользоваться 2FA можно и нужно.

Что ждет 2FA

Методам защиты, основанным на методиках многофакторной аутентификации, сегодня доверяет большое число компаний, среди которых организации из сферы высоких технологий, финансового и страхового секторов рынка, крупные банковские учреждения и предприятия госсектора, независимые экспертные организации, а также исследовательские фирмы.


Оберхайд отмечает, что многие пользователи, которые скептически относились к двухфакторной аутентификации, очень скоро обнаруживали, что здесь все не так сложно. Сегодня 2FA переживает настоящий бум, а любую популярную технологию гораздо проще совершенствовать. Несмотря на наличие сложностей, её ждет светлое будущее.

P.S. Кстати, совсем недавно мы внедрили двухфакторную аутентификацию, чтобы повысить безопасность личного кабинета 1cloud. После активации данного метода для входа в панель управления пользователю нужно не только ввести адрес электронной почты и пароль, но и уникальный код, полученный по SMS.

Автор статьи

Куприянов Денис Юрьевич

Куприянов Денис Юрьевич

Юрист частного права

Страница автора

Читайте также: