В современных реалиях у каждого пользователя есть с десяток и больше учетных записей, от социальных сетей и маркетплейсов, до банка и государственных сервисов. Некоторые из них слабо затрагивают повседневную жизнь пользователь, и их потеря по степени критичности находится на уровне «немного досадно». Взлом других наоборот, может привести к реализации множества недопустимых событий, от кражи данных, до оформления на жертву микрокредита.

Главное средство защиты, которое сервисы могут предложить своим пользователям – это двухфакторная аутентификация. Она позволяет снизить риски взлома учетной записи даже в том случае, если злоумышленники узнали пару логин-пароль, поскольку в дело вступает «второй фактор».

Дмитрий Овчинников 

главный специалист отдела комплексных систем защиты информации компании «Газинформсервис» 

Двухфакторная аутентификация существенно повышает защищенность аутентификации при доступе к информационным ресурсам, однако она не является ультимативным средством для борьбы с нелегитимным доступом. Ее использование существенно усложняет взлом и вынуждает киберпреступников прибегать к методам социальной инженерии или более сложным схемам со взломом почты. Если социальная инженерия уже хорошо известна пользователям банков по звонкам мошенников, то вот чисто хакерские схемы широкому кругу лиц обычно не знакомы.

В этой статье будут разобраны основные преимущества и недостатки двухфакторной защиты, кому и в каких случаях необходимо большее количество факторов, а также распространенные способы взлома многофакторной защиты.

Что такое двухфакторная аутентификация

Долгое время вход в любую систему был однофакторным, и представлял собой пару из логина и пароля. При этом, в качестве логина, как минимум в публичных сервисах, часто использовался адрес электронной почты или никнейм пользователя – информация, как минимум, не конфиденциальная.

Однако, рост кибератак, причем как массовых – на пользователей сервисов, так и таргетированных – на «поставщика услуг» (в первую очередь, на финсектор), привел к необходимости создания более надежных способов аутентификации.

Роман Мискевич

Технический директор ПО ANWORK

Двухфакторная аутентификация способна защитить данные от внешних атак. Единственным ее недостатком можно назвать необходимость использования сопутствующих программно-аппаратных комплексов, хранилищ и ПО для считывания данных. 

Несмотря на то, что статистика о взломах систем, защищенных двухфакторной аутентификацией, практически отсутствует, она не дает полной гарантии защищенности, но гораздо эффективнее, чем просто введение логина и пароля. На сегодняшний день в России ее используют в таких передовых отраслях, как банкинг - мобильный и web, телеком и других сферах, где возможно открытие личных кабинетов конечных пользователей. 

Конкретный пример: вход в личный кабинет возможен после ввода учетных данных в интерфейсе, а также указания одноразового пароля (в виде SMS или пуш-уведомления), присланного на смартфон или почту. 

Двухфакторная аутентификация – это форма аутентификации, которая предполагает два этапа проверки:

• классический, с помощью пароля;

• дополнительный, с помощью СМС-кода, звонка, биометрии, письма на почту и тд.

При этом, важно не путать двухфакторный вход с «дублирующим», когда для входа достаточно одного из факторов. Например, при разблокировке смартфона, большинство пользователей могут использовать код, либо биометрию, но очень редко – два фактора последовательно.

Алексей Винниченко

руководитель отдела информационной безопасности Цифроматики

Подключение многофакторной аутентификации не гарантирует полную защиту учётной записи от взлома, а лишь усложняет задачу киберпреступникам. Например, при использовании подтверждения по электронной почте у злоумышленника есть возможность взломать учётную запись электронной почты и получить доступ к кодам подтверждения, при использовании СМС-подтверждения – получить доступ к мобильному устройству или клонировать sim-карту, а при использовании TOTP аутентификации – украсть QR-код, используемый для настройки средств генерации кодов. Также злоумышленник может просто с использованием методов социальной инженерии получить код подтверждения.

Преимущество двухфакторной аутентификации заключается в том, что она усложняет цепочку атаки на пользователя. Злоумышленнику уже мало просто получить пароль, что, в современных реалиях, достаточно просто – многие слитые базы сразу содержат в себе хэшированные пароли или пул вероятных паролей пользователя. Теперь хакер должен еще и получить доступ к второму фактору – одноразову СМС-коду, push-уведомлению, письму на почту или биометрическим данным.

Важно понимать, что киберпреступность, как и любая деятельность, направленная на получение прибыли, адаптивна. Если люди массово « переходят» на два фактора сегодня - значит завтра появится масса решений, ориентированных на преодоление этого типа защиты.

Какими бывают факторы аутентификации

Сергей Беспалов

Главный архитектор ИМБА ИТ

Говоря о "третьем факторе", необходимо понимать, что все три фактора должны обладать разными характеристиками: 

1. фактор знания (пароль)

2. фактор владения (устройство аутентификации)

3. фактор свойства (биометрия)

Необходимость использования третьего фактора аутентификации необходимо основывать на критичности информации, так как это определенно будет немного усложнять пользование онлайн сервисами.

Самый первый и классический фактор, который, можно сказать, появился вместе с самим понятием аутентификации – это статический пароль, который задает пользователь. При этом, сервис может задать требования к характеристикам пароля, такие как длина, использование спецсимволов, цифр, регистров и тд.

Второй фактор, как правило, связан с устройством пользователя и альтернативными сервисами, которые априори есть у пользователя. Самый простой вариант – это одноразовый СМС-код или сообщение на почту. Более продвинутая версия – это push-уведомления или сообщения в самом сервисе или его приложении. Например, для входа в аккаунт Telegram на новом устройстве можно ввести код, который приходит в аккаунт пользователя. Пуши активно используют банки, поскольку они позволяют изолировать из взаимодействия сторонние сервисы, например – того же мобильного оператора.

Роман Ламинин

Ведущий специалист по ИБ платформы корпоративных коммуникаций и мобильности eXpress

Важно аутентифицировать устройство, с которого пользователь входит в приложение.

Оптимально – цифровой слепок устройства на основе поведенческого анализа, методы proximity (привязка устройств по Wi-Fi и Bluetooth), отказаться от СМС в пользу push-уведомлений.

Есть интересные мировые практики. В Азии, например, чтобы войти на десктопе в MMORPG (не Госуслуги, конечно), алгоритм авторизации включал в себя и стандартный логин/пароль, и подключение по Bluetooth телефона, к которому привязана учетная запись, и проверка IP-адресов обоих устройств.

Такой алгоритм дал результат – увести аккаунт стало невозможно.

Третий фактор, как правило, требует физического взаимодействия. Здесь можно выделить два основных варианта:

1. Биометрия. Она наиболее распространена, поскольку у большинства пользователей есть устройства, способные считать овал лица, голос или отпечаток пальца – смартфоны.

2. Токены. Физический ключ, флешка или карта, как правило, используются в коммерческом секторе, для получения корпоративного доступа к чувствительным ИС.

При этом, количество факторов аутентификации ограничено только соотношением чувствительности систем, к которым ограничивается доступ, к удобству получения доступа к этим системам или сервисам.

Двухфакторная аутентификация сегодня

Константин Корсаков

главный архитектор RooX

Двухфакторная аутентификация наконец-то перешла в разряд ”гигиенического минимума” для сервисов, доступных для массового пользователя. Ее важность была зафиксирована еще в 2017 году в NIST сразу в формате стандарта, затем в 2018 она попала в ГОСТ Р 57580.1-2017 в разрезе финансовых операций, но действительно массовое распространение она получила лишь недавно. Двухфакторная аутентификация является относительно несложным средством защиты, эффективность которого подтверждена на практике (количество успешных атак снижено на 80-90% по данным Google, Microsoft).

Локомотивом внедрения двухфакторной аутентификации в России и мире стала банковская отрасль. Рядовой пользователь может столкнуться с этим инструментом при совершении практически любых покупок в интернете:

1. Первый фактор – это CVC-код, который написан на карте пользователя. Без него не получится купить вообще ничего и никогда.

2. Второй фактор – это пароль из СМС или push, который нужно ввести, как правило, если покупка превышает некую фиксированную сумму.

По схожему пути обязательного наличия двух факторов идут и государственные сервисы. Например, «двухфакторка» станет обязательной для доступа к Госуслугам уже в июне этого года.

Александр Герасимов

CISO Awillix

Техники и атаки, которые находятся сегодня в арсенале злоумышленников, позволяют практически гарантированно завладевать аккаунтами пользователей без ДФА на разных интернет-ресурсах.

На Госуслугах люди выполняют действия, которые непосредственно влияют на их жизнь. Это может быть гораздо критичнее обычного банковского перевода: оформление кредита, использование чувствительной информации для мошенничества, использование других, связанных с госуслугами, сервисов в своих целях. Сегодня президент одобрил внедрение цифровых паспортов на госуслугах. Это предъявляет максимальные требования к информационной безопасности для тех, кто будет их использовать.

Можно говорить о том, что двухфакторная аутентификация, на сегодняшний день, стала «программой минимум» для пользователя, который хочет обеспечить свою безопасность. Это касается не только чувствительных сервисов с прямым доступам к деньгам. Например, в последние месяцы участились атаки на мессенджеры, в частности – на Telegram, и многие эксперты рекомендовали своей аудитории включить «второй фактор» для своих учеток.

Но важно понимать, что наличие второго фактора аутентификации, ровно как и десятого – это инструмент усложнения атаки, и именно через усложнение снижается вероятность реализации. Но даже если условный человек будет использовать десять токенов разного производителя для доступа к учетной записи, это не спасет его в том случае, если он сам же и передаст их мошенникам.

Сергей Цветков

Руководитель ИТ-направления компании Развитиум

К сожалению нельзя сказать, что наличие второго фактора делает 100% защиту. Метод авторизации СМС-кодом хоть и надежнее чем email-код, но все еще достаточно уязвим. Дело в том, что мошенники могут скопировать вашу сим-карту и спокойно получить код аутентификации, без вашего ведома. В этом им "помогают" сотовые операторы, уже уязвимостями в своих системах. Достаточно перевыпустить симкарту, даже на короткий период, чтобы получить желаемый код и получить доступ к вашему аккаунту. Мы регулярно наблюдаем судебные разбирательства, но глобально проблема кажется не решается.

Второй аспект, связанный с рисками двухфакторной аутентификации – это риски атаки на сам сервис. Если он будет скомпрометирован, то защита на стороне пользователя уже не будет иметь особого значения и не станет для злоумышленников преградой к реализации недопустимого события.

Как взламывается двухфакторная аутентификация

Подавляющее большинство атак на пользователя – это массовые атаки, ориентированные на то, что человек:

• в принципе обладает низким уровнем цифровой грамотности;

• невнимателен к тому, что происходит в его цифровом пространстве;

• находится под влиянием отвлекающих факторов в данную единицу времени.

Человеческий фактор и человеческая уязвимость до сих пор превалируют над техническим несовершенством сервисов и средств защиты. Если пользователь в 2023 году инстинктивно не понимает, что код-пароли нельзя передавать никому, никогда и ни при каких обстоятельствах – он может надежно защититься только полным отказом от использования цифровых сервисов.

Виктор Чащин

Операционный директор компании "МУЛЬТИФАКТОР"

В первую очередь –  это социальная инженерия: раньше мошенникам приходилось "уговаривать" пользователя поделиться логином и паролем, а теперь - вторым фактором. Также существуют более уязвимые к техническому взлому вторые факторы: СМС, генераторы одноразовых кодов. Первые перехватываются путём атаки на GSM протокол, а вторые - тем, что ключ для генерации одноразового кода обычно "сливается" вместе с другими учётными данными пользователя.

Вместе с тем, важно отметить, что количество пользователей, которые уже интуитивно научились отличать мошенников от реальных представителей сервиса, растет, и злоумышленникам все сложнее втереться в доверие. Но это не отменяет проблемы со следующим популярным, «чисто хакерским» методом – использованием ВПО.

Антон Кузнецов

Ведущий инженер информационный безопасности R-Vision

Одним из наиболее популярных вариантов обхода является заражение вредоносным программным обеспечением мобильного телефона жертвы: вредонос позволяет перехватывать push-уведомления и отправлять код злоумышленникам. В качестве примера можно привести троянскую программу для Android Cerberus, способную перехватывать одноразовый код подтверждения (OTP, one-time passcode), запрашиваемый пользователем для подтверждения каких-либо действий или операций в сети.

При этом, самым популярным «пунктом доставки» остается смартфон, поскольку уровень его защиты традиционно ниже, чем ПК, особенно если речь идет про устройства на базе Android, под которое пишется большинство мобильных вредоносов.

Смартфон также привлекателен тем, что он – всегда со своим пользователем, а значит и мест, где его можно «заразить» гораздо больше.

Денис Кондратьев

Специалист в сфере безопасности, разработчик игр

Атаки типа man-in-the-middle включают перехват кода. Один из распространенных методов — использование незащищенных общедоступных сетей Wi-Fi, поскольку эти сети могут легко быть перехвачены.

Наконец, хакеры могут внедрять вредоносное ПО или использовать атаки грубой силы, которые включают попытки простого перебора кодов, пока они не найдут правильный. Важно отметить, что хотя эти методы могут быть эффективными, они требуют определенного уровня экспертизы и усилий со стороны злоумышленника. 

Также, имеет значение сам вид фактора, который злоумышленник планирует скомпрометировать. Традиционно, СМС-коды наименее взломостойки, поскольку были внедрены раньше всего, а значит – у злоумышленников было больше времени для поиска разных векторов атаки.

Андрей Самоляк

Начальник отдела внедрения средств защиты информации компании «Комплаинс Софт»

Для каждого типа аутентификации есть свои подходы к взлому и компрометации. Например, при использовании одноразовых паролей через смс злоумышленник может задействовать подменную базовую станцию оператора мобильной связи, что дает возможность перехватывать звонки и смс незаметно для пользователя. Не стоит также забывать, что инфраструктура сервисов, оказывающих социальные и другие услуги населению, тоже может быть атакована.

Тем не менее, введение и использование второго фактора аутентификации ощутимо сокращает количество случаев компрометации данных пользователей.

Рядовой пользователь должен четко осознавать, что двухфакторная аутентификация – это не «ноу-хау», против которого хакеры еще не нашли соответствующих инструментов. Она качественно повышает уровень защищенности, как и «порог знаний», которыми должен обладать киберпреступник для реализации атаки, но ни в коем случае не сводит риски к нулю.

Алексей Морозков

Руководитель группы Центра управления кибербезопасностью ICL Services

Способов может быть множество, среди которых есть как простейшие, так и замысловатые пути кражи аккаунтов.

Если мы говорим про СМС-коды, то у злоумышленников есть вариант, к примеру, подсмотреть код, если у человека всплывают сообщения с текстом на заблокированном экране смартфона, или же с помощью программ-вирусов, перехватывать все входящие сообщения на смартфон, а пользователь элементарно может об этом даже не догадываться.

Подмена SIM карты и привязка ее к номеру жертвы – это более сложная атака, может быть связана с уязвимостью протокола ОКС-7;

Если говорить про другие способы второго фактора, то использование приложений-аутентификаторов создает очень серьезные трудности для злоумышленников, и можно говорить о том, что это даже некий индустриальный стандарт в современном мире 2FA.

Что же касается веб-приложений, то не исключено, что злоумышленник не будет пытаться заполучить второй фактор, а будет искать уязвимости в веб-приложении и пытаться получить привилегированный доступ со всеми вытекающими последствиями. В связи с этим им не особо будет важно, есть второй фактор или нет, когда у них будет привилегированный доступ к базе данных.

С точки зрения того, что может сделать пользователь для своей защиты, рекомендация, фактически, одна – быть внимательным. Если ваш студенческий друг, с которым вы последние пять лет обмениваетесь только взаимными поздравлениями в мессенджере, внезапно просит вас проголосовать в конкурсе рисунков за свою дочь (которой у него еще и нет) – просто не надо нажимать на ссылку. 

Если служба вашего банка «внезапно» открыла техподдержку прямо в мессенджере, без анонсов и уведомлений – это тоже повод задуматься. Также, очень важно осознавать, что «обыватель», в отличие от ИБ-эксперта, априори не знает и десятой части способов атаки на его учетную запись.

Так сколько нужно факторов

Ответ на этот вопрос напрямую зависит от сервиса, в который нужно получить доступ. Например, если мы возьмем в качестве примера бигтех, то их ЦОД, как правило, защищен сразу несколькими линиями идентификации, которые могут включать в себя и несколько видов биометрии, и использование токена.

Но это – если речь идет о доступе к очень чувствительной инфраструктуре компании. Такой же подход в сфере публичных сервисов, где существует конкуренция, просто убьет сервис – пользователи уйдут туда, где не нужно вводить пароли и коды десять минут при каждом входе.

Павел Кузнецов

Директор по продуктам компании «Гарда Технологии»

Задача выбора декомпозируется в данном случае как минимум на две: сделать фактор удобным для пользователей, чтобы не отпугнуть их к другому поставщику услуг (финансовых, если речь о банках), а также – выбрать решение, эффективно повышающее защищённость. Прямую рекомендацию давать не возьмусь, но отмечу, что для особо критических операций возможно даже требовать личного присутствия, а для операций «второго эшелона» (денежный перевод, начиная с суммы N) – возможно применять, например, генераторы ключей. Причём такие генераторы могут быть реализованы как в виде устройства-брелока, так и в виде дополнительного приложения для смартфона.

Задача сервиса в этом контексте сводится к двум тезисам:

• обязать пользователя использовать минимальный уровень защиты, в роли которого сейчас все чаще выступает 2FA;

• предложить инструменты для дополнительной защиты, которые пользователь может использовать на свое усмотрение.

При таком подходе достигается баланс между обеспечением ИБ и комфортом эксплуатации сервиса. Ни для кого не секрет, что на данный момент, и, вероятно, в обозримой перспективе – комфортность взаимодействия будет для пользователя одним из определяющих факторов, идущим сразу за выгодностью.

Таким образом, идеальным решением для массового сегмента выглядит двухфакторная аутентификация, поскольку она обеспечивает баланс комфорта и безопасности. Но в корпоративном сегменте вполне могут быть использованы и дополнительные меры защиты, в том числе, третий фактор.

Сергей Опивалов

Senior Software Engineer в Gradle Inc

Варианты третьего фактора:

1. Возможным третьим фактором может быть физический ключ безопасности, который представляет собой небольшое аппаратное устройство, подключаемое к компьютеру или мобильному устройству пользователя для обеспечения дополнительного уровня аутентификации. Эти ключи могут использовать различные технологии, такие как USB, NFC или Bluetooth, и часто требуют, чтобы пользователь физически нажимал кнопку или касался ключа для создания кода, который используется для аутентификации пользователя.

2. Еще одним возможным третьим фактором может быть биометрическая аутентификация, такая как отпечаток пальца или распознавание лица. Это потребует от пользователя предоставить уникальную физическую характеристику для аутентификации своей личности в дополнение к своему паролю и второму фактору.

Важно отметить, что, хотя третий фактор может повысить безопасность, он не всегда необходим или практичен для каждого варианта использования. Важно оценить риски и преимущества добавления третьего фактора и определить, подходит ли он для ваших конкретных потребностей в безопасности.

Однако, это не значит, что третий фактор должен быть « кактусом», то есть неудобным для пользователя инструментом. Поскольку человек склонен идти по пути наименьшего сопротивления, сложный в использовании фактор будет «искусственно упрощен», как это происходит со сложными паролями, которые пишутся на стикер и крепятся на монитор рабочего ПК, либо сохраняются в сообщениях самому себе в мессенджере.

В пользовательском сегменте, для чувствительных сервисов, третьим фактором, с большой долей вероятности, может стать биометрия, поскольку этот фактор требует минимальных усилий от пользователя. Технические ресурсы для его интеграции у пользователя сервиса, с большой долей вероятности, есть – это его смартфон. 

Николай Хечумов

Эксперт по информационной безопасности, Avito

Если говорить о «третьем факторе», то каким он должен быть и насколько это целесообразно для пользователей?

О третьем факторе можно говорить по-разному. Чисто академически - это то, что человек не может ни забыть, ни потерять: отпечатки пальцев, рисунок сетчатки, особенности лица и так далее. То есть речь идёт о необходимости датчиков, которые должны обеспечивать работу третьего фактора. С этим есть и технические, и юридические проблемы. Те механизмы биометрии, которые мы сейчас видим на мобильных устройствах, используют её для разблокировки по сути второго фактора и пока явным образом не участвуют в цепочке аутентификации на конкретных ресурсах. Но уже есть движение в этом направлении - его принято называть passwordless - проекты развиваются, но пока не получили распространения:

- WebAuthIn;

- PassKey (на базе WebAuthIn);

- SQRL.

Массовое проникновение этих стандартов станет и для пользователей крайне удобным, и серьёзно повысит безопасность аккаунтов.

Иногда же третьим фактором называют просто ещё один одноразовый код, который пользователь должен взять не из SMS - например, из сообщения электронной почты, из специального приложения или вообще из заранее выданного листа. На мой взгляд, TOTP-коды из Authenticator-приложений намного безопаснее SMS, но для массового пользователя, увы, не так удобны и понятны.

Однако, для интеграции этого типа аутентификации требуются и дополнительные мощности со стороны сервиса, в том числе – на обеспечение безопасного хранения биометрических данных и соответствия требованиям законодательства. Но если мы говорим о международных сервисах, то, в данный момент, реализовать такой подход довольно трудно, поскольку регулирование работы с биометрией граждан в разных странах достаточно рознится.

И пользователь, и компания должны осознавать, что усложнение аутентификации – это «палка о двух концах», поскольку чем выше защищенность, тем ниже доступность сервиса.

Итоги

Популяризация двухфакторной аутентификации и обязательное ее использование в ряде сервисов – это, безусловно, позитивное событие с точки зрения информационной безопасности. В то же время, ожидать долгосрочного позитивного эффекта от этого события не стоит, поскольку усложнение цепочки атаки на 1-3 шага не превращает учетную запись пользователя в сейф.

Алексей Симцов

Руководитель группы консалтинга и аудита ИБ ГК ICL

Двухфакторная аутентификация – это эффективная мера безопасности, которая может значительно снизить вероятность успешной кибератаки. Но не стоит забывать, что она не является на 100% надежной, и киберпреступники постоянно находят новые способы компрометации учетных записей пользователей. Хотя третий фактор аутентификации может обеспечить дополнительную безопасность, он также потребует и значительных инвестиций, а также может вызвать проблемы с конфиденциальностью и удобством использования. В итоге ответственность за собственную безопасность должны нести сами пользователи, используя надежные пароли, обновляя ПО и проявляя бдительность в отношении всех форм мошенничества и кибератак. Не лишним будет включить 2FA везде, где это возможно, и убедиться, что вы используете этот метод корректно.

Использование более чем двух факторов оправдано только в том случае, когда пользователь четко понимает, за что « страдает его удобство». В противном случае, оно просто не будет работать в полной мере, поскольку пользователь будет стремиться всеми способами сделать его «удобным для себя», а значит – потенциально уязвимым для взлома. В такой ситуации, у сервиса могут сформироваться ложные ожидания о достаточности защиты. Которые, в лучшем случае, будут развеяны в ходе пентеста, в худшем – по результатам инцидента.

Егор Петров

Руководитель направления по перспективным ИБ-решениям в компании "Сиссофт"

Несмотря на то, что эти способы помогают устранить основные попытки взлома учетных записей, хакеры научились обходить и подобную защиту. Делают они это не только с помощью социальной инженерии, то есть за счет психологического манипулирования людьми, но и с помощью фишинговых атак. 

Например, вспомним фишинговую атаку в июле прошлого года, которую обнаружили в компании Microsoft. Получить доступ к информации у киберпреступника получилось благодаря внедрению подконтрольного прокси-сайта между будущей жертвой и сервером, на который пользователю нужно было зайти. 

При этом, нельзя забывать, что в корпоративном сегменте важна комплексность подхода, который может включать не только многофакторность аутентификации, но и превентивное разграничение доступа в целевые системы между сотрудниками, регулирование привилегий пользователей и использование других программных решений, например, основанных на поведенческом анализе.

Источник: Cyber Media