Поиск по сайту:

Используете двухфакторную аутентификацию? Большой. Но это не безошибочно

Вы должны использовать двухфакторную аутентификацию везде, где она доступна. Это не идеально, но останавливает большинство злоумышленников. Но не обманывайте себя, думая, что это неприступно. Это не так.

Проблема с паролем

Пароль был основным средством защиты учетных записей компьютеров с 1950-х годов. Семьдесят с лишним лет спустя мы все завалены паролями, в основном для онлайн-сервисов. Из любопытства я проверил свой менеджер паролей. У меня хранится 220 наборов учетных данных для входа.

Если вы не особо одарены, запомнить такое количество сложных и надежных паролей невозможно. Вот почему люди повторно используют пароли и используют слабые, но легко запоминающиеся пароли. Конечно, такое поведение ставит ваши учетные записи под угрозу компрометации.

Автоматизированные атаки грубой силы, атаки по словарю и другие атаки с поиском используют списки слов и базы данных взломанных паролей, чтобы попытаться получить несанкционированный доступ к учетным записям людей. Всякий раз, когда происходит утечка данных, данные становятся доступными в даркнете для использования киберпреступниками. Они используют базы взломанных паролей в качестве боеприпасов для своего программного обеспечения. Он вводит украденные учетные данные в учетные записи, пытаясь сопоставить пароли и получить доступ.

Веб-сайт Have I Been Pwned собирает данные о максимально возможном количестве утечек данных. Вы можете свободно посетить сайт, чтобы проверить, не был ли взломан ваш адрес электронной почты или какой-либо из ваших паролей. Чтобы дать вам представление о масштабах проблемы, в их базах данных содержится более 11 миллиардов наборов учетных данных.

При таком количестве паролей велика вероятность того, что кто-то другой выбрал тот же пароль, что и вы. Таким образом, даже если ни одна из ваших данных никогда не подвергалась взлому, чужие данные, которые использовали тот же пароль, что и вы, вполне могли это сделать. И если вы использовали один и тот же пароль для многих разных учетных записей, это подвергает их всех риску.

Политики паролей

Все организации должны иметь политику паролей, которая дает рекомендации по созданию и использованию паролей. Например, необходимо определить минимальную длину пароля, а также четко изложить правила, связанные с составом пароля, чтобы все сотрудники могли их понять и соблюдать. Ваша политика должна запрещать повторное использование паролей для других учетных записей, а также создание паролей на основе имен домашних животных или членов семьи, юбилеев и дней рождения.

Вопрос, который у вас есть, заключается в том, как вы контролируете это? Как узнать, соблюдает ли персонал эти правила? Во многих системах можно установить правила минимальной сложности, чтобы они автоматически отклоняли слишком короткие пароли, не содержащие цифр и символов или словарные слова. Что помогает. Но что, если кто-то использует пароль для одной из своих корпоративных учетных записей в качестве пароля для Amazon или Twitter? У тебя нет возможности узнать.

Использование двухфакторной аутентификации повышает безопасность ваших корпоративных учетных записей, а также обеспечивает некоторую защиту от плохого управления паролями.

Двухфакторная аутентификация

Двухфакторная аутентификация добавляет еще один уровень защиты к учетным записям, защищенным паролем. Наряду с вашим идентификатором и паролем вам необходимо иметь доступ к зарегистрированному физическому объекту. Это либо аппаратные ключи, либо смартфоны с утвержденным приложением для аутентификации.

Одноразовый код генерируется приложением-аутентификатором на смартфоне. Вы должны ввести этот код вместе с паролем при входе в учетную запись. Ключи могут подключаться к USB-порту или использовать Bluetooth. Они либо отображают код, либо генерируют и передают ключ на основе секретного внутреннего значения.

Двухфакторная аутентификация объединяет то, что вам известно (ваши учетные данные), с тем, что у вас есть (ваш смартфон или электронный ключ). Таким образом, даже если кто-то угадает или взломает ваш пароль, он все равно не сможет войти в учетную запись.

Компрометация двухфакторной аутентификации

Злоумышленник может обойти двухфакторную аутентификацию и получить доступ к защищенной учетной записи несколькими способами. Некоторые из этих методов требуют элитных технических возможностей и значительных ресурсов. Например, атаки, использующие уязвимости в протоколе системы сигнализации № 7 (SS7), обычно проводятся хорошо оснащенными и высококвалифицированными хакерскими группами или злоумышленниками, спонсируемыми государством. SS7 используется для установления и отключения телефонной связи, включая текстовые SMS-сообщения.

Чтобы привлечь внимание злоумышленников такого калибра, цели должны быть очень ценными. «Высокая ценность» означает разные вещи для разных злоумышленников. Расплата может быть не просто финансовой, атака может быть политически мотивированной, например, или частью кампании промышленного шпионажа.

При «афере с портом» киберпреступники связываются с вашим оператором сотовой связи и выдают себя за вас. Достаточно опытные злоумышленники могут убедить представителя, что они являются владельцами вашей учетной записи. Затем они могут перенести номер вашего смартфона на другой смартфон, к которому у них есть доступ. Любые SMS-сообщения отправляются на их смартфон, а не на ваш. Это означает, что любые коды двухфакторной аутентификации на основе SMS доставляются киберпреступникам.

Использовать приемы социальной инженерии, чтобы повлиять на сотрудников сотовых операторов, непросто. Более простой способ — использовать онлайн-сервис обмена текстовыми сообщениями. Они используются организациями для отправки SMS-напоминаний, оповещений об учетной записи и маркетинговых кампаний. Они тоже очень дешевые. Примерно за 15 долларов вы можете найти услугу, которая будет пересылать весь SMS-трафик с одного номера смартфона на другой в течение месяца.

Конечно, вы должны владеть обоими смартфонами или иметь разрешение владельца, но для киберпреступников это не проблема. Когда их спрашивают, так ли это, все, что им нужно сделать, это сказать «да». Там нет больше проверки, чем это. От злоумышленников не требуется никаких навыков, и все же ваш смартфон скомпрометирован.

Все эти типы атак сосредоточены на двухфакторной аутентификации на основе SMS. Существуют атаки, которые так же легко обходят двухфакторную аутентификацию на основе приложений. Злоумышленники могут организовать фишинговую кампанию по электронной почте или использовать опечатки, чтобы направить людей на убедительную, но мошенническую страницу входа.

Когда жертва пытается войти в систему, ей предлагается ввести свой идентификатор и пароль, а также код двухфакторной аутентификации. Как только они вводят свой код аутентификации, эти учетные данные автоматически перенаправляются на страницу входа в систему подлинного веб-сайта и используются для доступа к учетной записи жертвы.

Не прекращайте использовать его!

Двухфакторную аутентификацию можно обойти с помощью ряда методов, от технически сложных до сравнительно простых. Несмотря на это, двухфакторная аутентификация по-прежнему является рекомендуемой мерой безопасности, и ее следует применять везде, где она предлагается. Даже при наличии этих атак двухфакторная аутентификация на порядок безопаснее, чем простая схема с идентификатором и паролем.

Киберпреступники вряд ли попытаются обойти вашу двухфакторную аутентификацию, если только вы не являетесь важной, известной или иной стратегической целью. Поэтому продолжайте использовать двухфакторную аутентификацию, это намного безопаснее, чем не использовать ее.