Россиянам объяснили принцип работы и уязвимости двухфакторной аутентификации

Двухфакторная аутентификация (2FA) значительно повышает защищённость аккаунтов, но не является абсолютно неуязвимой, рассказал в беседе с RT директор департамента расследований T.Hunter Игорь Бедеров.

«Принцип работы 2FA заключается в необходимости предоставить два типа доказательств (фактора) вашей личности из трёх возможных. В свою очередь, злоумышленнику нужно скомпрометировать два независимых канала. Украсть пароль через фишинг — полдела. Далее нужно либо физически завладеть вашим телефоном, либо перехватить смс, либо взломать seed-фразу генератора кодов. Это резко повышает «стоимость» взлома и отсеивает большинство автоматических атак», — поделился специалист.

Эксперт посоветовал в первую очередь защищать критически важные аккаунты — на «Госуслугах», в банке, ФНС и основном почтовом ящике.

«Тут важно соблюдать баланс между безопасностью и удобством. Ставить аппаратный ключ на аккаунт в развлекательном сервисе, который вы используете раз в год, может быть избыточным», — дополнил он.

При этом собеседник RT перечислил случаи, когда защита может не сработать. К ним относятся современные фишинговые атаки, перехватывающие код в реальном времени, социальная инженерия для переноса номера телефона, заражение устройства шпионским ПО и уязвимости в процессе восстановления аккаунта.

«Если в качестве второго фактора используется смс, злоумышленник может убедить оператора перенести ваш номер на свою сим-карту, перевыпустить её или банально украсть ваш мобильник. Все коды пойдут к нему», — отметил Бедеров.

В качестве альтернатив он назвал стандарты FIDO2 и WebAuthn, использующие криптографические ключи, биометрическую идентификацию и адаптивную аутентификацию, анализирующую поведение пользователя.

Ранее эксперт также объяснил, чем грозит использование одинакового пароля для соцсетей.

Читать статью в полной версии «RT»