Аутентификация одноразовыми кодами: принцип работы, преимущества и риски

Специалисты давно согласились с тем, что самая надежная схема двухфакторной аутентификации (отправка одноразовых кодов) – использование специальных приложений. Большинство сервисов, которые подразумевают личный кабинет с персональными данными, предлагают пользователям использовать данный механизм в качестве дополнительной защиты. В некоторых случаях этот способ является основным, альтернатива пользователю не предоставляется.

Принцип работы

Упрощенно схема выглядит следующим образом. Приложение для аутентификации и непосредственно сервис сохраняют специальное число (секретный ключ), который также содержится в QR-коде. В дальнейшем система использует одинаковые алгоритмы со стороны пользователя и сервиса для генерации одноразовых кодов, в качестве исходных данных, кроме прочего, используется секретный ключ и текущее время.

Далее система ожидает ввода набора символов от пользователя и сравнивает его с кодом, который сгенерирован внутри системы. Если коды полностью совпадает, аутентификация считается пройденной. В QR-коде дополнительно содержится различная служебная информация, включая срок действия одноразового пароля.

Ключ передается только один раз, при подключении приложения для аутентификации. Это позволяет повысить безопасность – с устройства злоумышленникам его извлечь гораздо сложнее. Более того, клиентское устройство для аутентификации может осуществлять проверку без доступа в интернет. При этом перехват одноразового пароля просто бессмыслен, поскольку обычно срок его действия составляет 30 секунд.

Насколько безопасна данная схема аутентификации

Специалисты выделяют следующие преимущества использования одноразовых кодов:

— хорошая защита от взлома: для входа необходим и пароль и одноразовый код;

— продумана защита в случае перехвата одноразового кода. Короткое время действия значительно усложняет использование его для атаки;

— алгоритм можно использовать для изолированных от сети устройств, что осложняет несанкционированный доступ извне.

Способы взлома

Современные интернет-сервисы не способны обеспечить полную защиту от взлома, всегда есть слабые места. В данном случае это система восстановления доступа в случае потери программы для аутентификации. Такая ситуация вполне реальна, поэтому платформы должны реагировать на нее, чтобы не терять клиентов. Самая распространенный алгоритм – использование альтернативного способа входа путем отправки кода (или специальной ссылки) на электронную почту, привязанную к аккаунту.

Это означает, что если злоумышленники смог получить доступ к почте (взлом, утечка данных и т.д.), он получает возможность инициировать запуск альтернативного способа входа. Для защиты данного канала специалисты рекомендуют:

— периодически менять пароли, а также отслеживать через СМИ масштабные утечки;

— отказаться от практики использования одинаковых паролей на разных сервисах;

— некоторые сервисы в качестве меры защиты позволяют пользователю отключить функцию альтернативного входа, однако в этом случае обязательно необходимо сделать копию приложения для аутентификации. Иначе есть вероятность потери аккаунта.

Физический доступ

Еще один вариант получения доступа к аккаунту – физически подсмотреть одноразовый пароль и оперативно ввести его на другом устройстве. Схема выглядит сложной для реализации, поскольку срок действия сгенерированного кода обычно очень короткий.

Более опасная ситуация, когда посторонний получает полный доступ к смартфону без блокировки. В этом случае уже ничего не мешает злоумышленнику инициировать обычный вход в чужой аккаунт.

Минимизация рисков

Рекомендуется использовать аутентификатор, который по умолчанию скрывает сгенерированные коды при выводе на экран. В настройках мобильного устройства необходимо активировать автоматическую блокировку дисплея, а для разблокировки использовать сложный пароль. Есть приложения, которые позволяют указать дополнительный пароль на собственный запуск – лучше использовать данную функцию.

Фишинговые сайты

В сети все чаще можно встретить профессиональные фишинговые сайты, которые, кроме прочего, имитируют запуск двухфакторной аутентификации. Это позволяет перехватить не только логин и пароль, но и соответствующий одноразовый код. Используемое ПО позволяет в автоматическом режиме сразу использовать полученные данные для быстрого входа в чужой аккаунт. Для маскировки пользователю обычно отправляется сообщение о некой ошибке и предложение попробовать войти в учетную запись позднее.

Несмотря на простоту схемы и многолетнее использование, фишинг за счет массовых атак остается самым популярной схемой у злоумышленников. Методы защиты стандартны:

— использовать надежное антивирусное ПО;

— проверять адреса страниц, которые запрашивают важные данные;

— не переходить по ссылкам из подозрительных писем или от незнакомых людей.

Вирусы-стилеры

Разработчики понимают, что людям сложно каждый раз проходить полную проверку при аутентификации, поэтому стараются ограничить такие запросы. Обычно схема подразумевает запрос одноразового кода только при первом входе или после очистки cookie в брузере.

Такие файлы используют все браузеры. В них, кроме прочего, записывается уникальный идентификатор, который позволяет сайту «узнавать» пользователя. Это удобно, но нередко кража cookie используется злоумышленниками для обхода защиты при помощи пароля. Достаточно сделать так, чтобы сторонний браузер на запрос сайта отправил чужой файл – ресурс предоставит доступ в личный кабинет.

Вредоносные программы, ориентированные на кражу информации из браузера (платежные данные, сохраненные пароли, cookie и т.п.), принято называть стиллерами. Методы защиты стандартны:

— не инсталлировать ПО из сомнительных источников;

— использовать надежную антивирусную программу.

Потеря доступа к аутентификатору

Обратная сторона повышенного уровня защиты – при потере доступа к приложению для генерации одноразового кода, доступ к аккаунту также теряется. Только некоторые сервисы позволяют вернуть доступ, для этого придется длительное время переписываться со службой поддержки.

Как показывает практика, такие ситуации не редкость: смартфон может быть потерян, сломаться, также его могут украсть. Программы данного типа предусматривают инструменты для сохранения доступа. В частности, самой распространенной схемой является возможность сделать резервную копию данных, сохранив ее в виде файла локально или в облачном хранилище. Также ничто не запрещает инсталлировать программу на два разных устройства.



Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: