Можно ли считать двухфакторную аутентификацию достаточно защищенным решением?

Одним из сервисов, недавно добавивших возможность двухфакторной
аутентификации для конечных пользователей стал Evernote. После недавнего
взлома, компания заставила 50 миллионов своих пользователей сбросить
пароли.

Facebook, Google, Dropbox, Amazon, PayPal и Yahoo предоставляют своим
конечным пользователям возможность логина через двухфакторную аутентификацию
уже достаточно давно. После взлома, в результате которого у Twitter было угнано
около 250 000 паролей, сервис микроблогов также находится под давлением:
от разработчиков требуют добавления дополнительного способа идентификации
пользователей.

Нет никакого сомнения в том, что двухфакторная аутентификация при логине
повышает безопасность пользовательских данных, но считать это универсальным
решением тоже не стоит.

«Это действительно шаг к победе, я очень рад, что интерес к двухфакторной
аутентификации вновь пробуждается. Меры безопасности при первичной
аутентификации должны усиливаться, но это не панацея», — заявил Гуннар
Петерсон, управляющий директор в компании Arctec Group.

Петерсон отметил, что идея двухфакторной аутентификации далеко не нова. Но
исторически сложилось так, что пользователи воспринимали эту технологию как
обузу: необходимо совершать больше действий, токены все время теряются.

Многие сервисы (например, Google и Evernote) внедряют двухфакторную
аутентификацию не как обязательную, а как дополнительную возможность. Таким
образом, несмотря на все усилия, инициатива по закручиванию гаек в области
безопасности возлагается на самое слабое звено в цепочке – конечного
пользователя.

Однако Петерсон считает, что есть и позитивные подвижки: провайдеры сервисов
применяют креативный подход: используют SMS и другие возможности смартфонов –
устройств, которые у пользователей всегда под рукой.

«Приятно видеть, как некоторые преграды рушатся», заявил он.

Джефф Столлман, директор компании Secure Identity Computing, что
возможности, связанные с двухфакторной аутентификацией, не всегда должным
образом доносятся до провайдеров сервисов, что может приводить к принятию
неверных решений.

«Введение данной технологии обычно навязывается регулирующими госорганами,
но то, как именно это должно происходить зачастую не разъясняется», — заявил
он.

Внутриполосные факторы, такие как ответы на контрольные вопросы,
предоставляют достаточно слабую защиту, они не выдерживают перед атаками с
применением человеческого фактора. Ответы на вопросы, связанные с информацией о
пользователе, достаточно просто находятся в профилях в социальных сетях и
подобных местах.

«Чтобы двухфакторность была действительно защищенной, она должна быть
внеполосной: через токен или мобильный телефон. По шкале от одного до десяти,
где за единицу берется обычная аутентификация, двухфакторная внеполосная
аутентификация получит 3-4 балла», — заявил Столлман.

В случае с внеполосной аутентификацией пользователю высылается секретный
код, либо для подтверждения своей личности он использует специальный токен.

Однако современные смартфоны – это одновременно благословение и проклятье
двухфакторной аутентификации. Они упрощают весь процесс, но при этом
пользователь может заходить на сайт при помощи этого же смартфона, что сводит
второй фактор на нет.

«Вместе с упрощением двухфакторной аутентификации, наличие в цепочке
смартфона может и ослаблять ее, ведь с его помощью пользователь может заходить
на такие сайты как Facebook, Google или Twitter, и если секретный код приходит
на него же, то это уже никакой не второй фактор», считает Столлман.

Распространению двухфакторной аутентификации также содействует тот факт, что
для ее введения компаниям не требуется серьезно перестраивать
инфраструктуру.

«Компании Evernote удалось выкатить изменения без значительных изменений в
сайте и API. Это изолированные обновления, предоставляющие значительное
усиление безопасности при небольших затратах, а это всегда полезно», — заявил
Петерсон.

Но во внимание нужно принимать и другие факторы, особенно, когда дело
касается инфраструктуры провайдеров сервисов. Например, насколько точно
производится изначальное подтверждение личности. Также важно, какие изменения,
направленные на решение проблем с управлением сессиями, утечками данных,
внедрением SSL, неточными авторизационными данными, производятся в бэкэнде. Они
могут вызвать появление уязвимостей.

Петерсон сравнил это с подключением новенькой блестящей раковины к древним
гнилым трубам.

«Не стоит забывать о структурных и стратегических проблемах», — считает он.
Петерсон также упомянул адаптивные к рискам техники предоставления доступа,
анализирующие поведение пользователя, и включающие дополнительные механизмы
безопасности в случае подозрения на попытки взлома.

Он также считает, что технологии геолокации, GPS и распознавания речи могут
также сыграть свою роль на клиентской стороне.

Двухфакторная манипуляция, как и многие другие технологии обеспечения
безопасности, подвержена человеческим ошибкам и другим уязвимостям. Например,
исследователям удавалось находить бреши в системе двухфакторной аутентификации
Google. Они были связаны с ошибками при интеграции системы в бэкэнд некоторых
сервисов.

«Обеспечение безопасности – это гонка за лидером: мы постоянно устанавливаем
новые барьеры, а хакеры преодолевают их. Повышает ли двухфакторная авторизация
планку безопасности? Да, до определенного уровня, но не стоит думать, что
хакеры не смогут взять и эту высоту», — считает Петерсон.