На протяжении последних лет практически все популярные почтовые службы, сервисы электронных платежей, банки ввели многоэтапную (или многофакторную) аутентификацию для своих клиентов. Такие меры позволяют эффективнее защитить персональные данные от кражи, но при этом далеко не все пользователи настраивают многофакторную аутентификацию для своих аккаунтов. В чем причины сложившейся ситуации? Может быть, действительно достаточно привычной комбинации логина и пароля?

Виды дополнительной защиты

Чтобы ответить на эти вопросы, для начала кратко расскажем, какие основные варианты многофакторной аутентификации существуют на сегодняшний день.

Сразу отметим, что в настоящее время многие пользователи путают многофакторную и многоэтапную аутентификацию. Всего выделяют четыре основных фактора аутентификации:

  1. «Что ты знаешь?» (пароль, ответ на вопрос и т.д.)
  2. «Что у тебя есть?» (аппаратный ключ, токен)
  3. «Где ты?» (IP-адрес, географические координаты и т.п.)
  4. «Кто ты?» (отпечатки пальцев, радужная оболочка глаза).

Аутентификация называется многофакторной, если в процессе задействовано не менее двух факторов.

Например, вы вводите пароль для доступа к какой-то защищенной системе, а потом пользуетесь USB-токеном с уникальным ключом (двухфакторная аутентификация). А вот наиболее распространенная схема «введи логин-пароль, а потом код из SMS» – это двухэтапная аутентификация, поскольку вы знаете свой пароль и код (первый фактор из списка). Если бы код генерировался только на конкретном устройстве (вашем смартфоне, планшете и т.п.), это была бы двухфакторная аутентификация. Впрочем, многие крупные веб-сервисы в своей документации фактически считают понятия двухфакторной и двухэтапной аутентификации синонимами, что не совсем правильно с терминологической точки зрения, но удобно для конечных пользователей.

 

Сейчас многие компании-гиганты предлагают своим пользователям разные варианты аутентификации. Например, пользователи Google могут использовать привычную схему с привязкой логина и пароля к номеру телефона, установить программу Google Authenticator или приобрести электронный ключ для более безопасной аутентификации (см. статью в базе знаний Google). Владельцы учетных записей Microsoft могут генерировать одноразовые коды безопасности в мобильном приложении Microsoft Authenticator, доступном для большинства популярных платформ.

Безопасно, но неудобно

Однако усилия разработчиков и маркетологов крупных компаний пока не приводят к повсеместной распространенности многофакторной или многоэтапной аутентификации. Так двухэтапной аутентификацией защищены не более 10% аккаунтов Google, хотя возможность привязки логина и пароля к номеру телефона доступна уже семь лет. При этом компания пока не решается вводить обязательную двухэтапную аутентификацию для всех клиентов, поскольку боится потерять значительную часть пользователей. Причин, по которым клиенты Google и других компаний не пользуются двухэтапной аутентификацией, несколько:

  1. Любые дополнительные шаги в привычной схеме аутентификации для части пользователей оказываются слишком сложными и непонятными. Начинающие пользователи не всегда понимают, зачем им необходимо вводить свой номер мобильного телефона, более опытные клиенты могут столкнуться с неудобствами при использовании тех или иных сервисов (например, двухфакторная аутентификация в Яндексе реализована нестандартно, поэтому нет совместимости с Google Authenticator, 1password и другими популярными программами).
  2. Многие клиенты не желают сообщать крупным компаниям номер мобильного телефона, свое реальное местонахождение и т.п. В случае с банковскими сервисами дополнительный этап защиты данных с использованием номера телефона представляется «неизбежным злом», но сообщать свои данные почтовой службе хотят далеко не все («все равно у меня в ящике ничего ценного»).
  3. Некоторые клиенты не желают «привязывать» свои данные к USB-ключу или смартфону, потому что устройство можно потерять. В этом случае личные данные могут попасть в руки к посторонним людям. Также в последние годы стало понятно, что наиболее распространенная схема аутентификации с помощью SMS-кодов неидеальна. В 2017 году злоумышленники в Германии сумели с помощью троянских программ получить логины и пароли пользователей для доступа в интернет-банк. Затем они воспользовались уязвимостью в наборе сигнальных телефонных протоколов, который используется для рассылки SMS, и перенаправили сообщения с одноразовыми кодами подтверждения входа на свой номер телефона, а далее перевели деньги клиентов банка на свои счета. Этот случай еще раз продемонстрировал, что двухэтапная аутентификация с применением SMS-кодов может быть не самым оптимальным вариантом (но она все равно лучше, чем простой ввод логина и пароля).

Стоит ли игра свеч?

Разумеется, существующие схемы многофакторной и многоэтапной аутентификации пока нельзя назвать идеальными, они не всегда удобны и универсальны. Поэтому возникает резонный вопрос: может быть, пользоваться только парой «логин-пароль» и не усложнять себе жизнь? Возможно, наиболее оптимальным здесь можно считать компромиссный подход.

Используйте многофакторную аутентификацию на любых сайтах, хранящих ваши личные данные (соцсети, электронная почта, интернет-банк и т.д.), даже если сервис позволяет обойтись без нее. Конечно, это не всегда удобно, но практически всегда делает посещение важных сайтов более безопасным. А вот при использовании сайтов, посещаемых редко, вполне можно обойтись только логином и паролем (пароль, конечно, должен быть сложным). При этом помните, что для критически важных данных использование USB-токенов или биометрической аутентификации – более предпочтительный вариант, чем одноразовые SMS-пароли.

 

Также отметим, что в последние годы постоянно разрабатываются и совершенствуются вторичные факторы защиты, еще недавно считавшиеся экзотическими, например, аутентификация с помощью микрочипа, вживленного под кожу. Вполне возможно, что в скором будущем подобные новинки сделают нашу жизнь более удобной, а пока придется довольствоваться более привычными методами аутентификации. И, конечно, помнить, что даже многофакторная аутентификация не гарантирует стопроцентной защиты от компрометации данных, а лишь позволяет существенно снизить вероятность кражи информации.

Поделиться