Двухфакторная авторизация
Двухфакторная авторизация (2FA) — самая современная защита аккаунтов на различных сайтах от вероятного взлома злоумышленниками. Начала постепенно заменять собой подтверждение по SMS и считается намного более безопасным вариантом подтверждения входа в связи с более высокой защищённостью, в отличие от сетей GSM.
Эволюция[править]
Изначально и довольно долгое время сетные записи на разных сайтах (в том числе доступы к почтовым ящикам) были доступны исключительно через пары логин-пароль. Подобная система стала оптимальной для взломщиков, которые использовали брутфорс или социальную инженерию для увода паролей от аккаунтов. В итоге люди стали усложнять пароли, вводя в них цифры, специальные символы, знаки в разных регистрах и т.д. Но это тоже не особо помогло, так как появилось понятие утечек баз данных, когда какой-то отдельно взятый сервер (например, вк) взламывали или же осознанно за деньги сливали — в итоге данные от тысяч аккаунтов оказывались в открытом доступе. В такой ситуации не помогал даже и хороший пароль, так как его попросту сливали и злоумышленник мог спокойно войти в аккаунт и затем прочитать переписку и узнать иные личные данные жертвы. Первым этапом защиты авторизации стала привязка к аккаунтам (в основном, в почтовых сервисах) номера мобильного телефона. В ряде случаев сервис мог требовать получение кода по смс для входа в аккаунт, в случае, если человек ввел корректный логин и пароль, но зашел с нового устройства. Подтверждение по SMS смогло отбить от взломов всяких школьников и мелких программеров, однако профессионалы стали оказывать услуги и по взлому сим-карт. Обычно такие карточки просто клонировали, предварительно узнавая номер жертвы. В итоге появилось второе поколение двухфакторной авторизации — через специальное приложение. Для входа в аккаунт требуется, как обычно, вводить логин и пароль, после чего в приложении на смартфоне подтверждать вход с помощью уникальной цифровой комбинации, которая доступна для ввода в течение очень короткого времени (например, 15 секунд). Среди первых внедривших такую систему сайтов стали криптовалютные биржи, к примеру LocalBitcoins и Bitfinex.
Программы[править]
Для двухфакторной авторизации разработаны соответствующие приложения. Одним из первых таких приложений стало Enum, которое разработали в Вебмани для подтверждения всех операций в кошельках типа Light. Широкое хождение приложение не получило, несмотря на прорывной характер его работы и сложность взлома.
В настоящее время для широкого круга сайтов имеется поддержка Google Authenticator. Для регистрации в нем необходимо получить уникальный QR-код, после чего каждый раз при входе на нужный сайт подтверждать вход с помощью уникального шестизначного PIN, который генерируется раз в 15 секунд приложением. В последнее время появилось много разных менее известных приложений для 2FA: Microsoft Authenticator, FreeOTP, Яндекс.Ключ,
Недостатки[править]
В случае, если недостаточно хорошо проработана процедура восстановления доступа к аккаунту в обход 2FA возможна полная утеря доступа его владельцем в случае, если, например, устройство, используемое для подтверждений было утеряно или перестало работать. С другой стороны, процедуры восстановления как раз используют опытные взломщики для компрометации аккаунтов, таким образом, абсолютной безопасности 2FA не обеспечивает. Главный недостаток - невозможность регистрации на таких сервисах как яндекс при полном отсутствии смартфона. А здравомыслящий человек никогда не будет носить с собой это устройство слежения с функцией звонков. А еще более здравомыслящий заметит, что яндекс - параша, а во всех нормальных сервисах можно получиить, так называемый TOTP ключ и воспользоваться им в безопасных менеджерах паролей (KeePass, etc.), форки которых есть почти под любые операционные системы.
