Почему двухфакторная аутентификация не всегда гарантирует защиту

Всего за 15 минут вы можете лишиться денег, телефонного номера и персональных данных. Все, что потребуется для этого – незащищенная двухфакторная аутентификация и человеческая ошибка.

Двухфакторная аутентификация – дополнительный метод безопасности, который используется в качестве дополнения к вашим учетным данным для входа на сайты. Метод требует подтверждения входа через физическое устройство, которым вы обладаете – к примеру, через смартфон с помощью SMS или приложения.

Многие люди, похоже, согласны с тем, что такой подход является невероятно безопасным, и потому никто не подвергает это сомнению.

Бывают ситуации, когда даже те стратегии, которые кажутся нам «непробиваемыми», дают сбой, и это относится к двухфакторной аутентификации с помощью SMS.

Сегодня я расскажу подробнее о двухфакторной аутентификации, потенциальных рисках безопасности с SMS, а также о том, как вы можете защитить себя от взлома.

Что такое двухфакторная аутентификация?

Как правило, при входе на сайт вам нужно ввести только логин и пароль. Такая практика в целом является безопасной, если вы используете сложные пароли и логины, однако потенциальные риски все же имеются.

К примеру, если ваши учетные данные для входа будут скомпрометированы в результате атак, таких как фишинг, то ваши логин и пароль могут попасть в руки к хакерам, и потому злоумышленники смогут получить доступ к сайту.

Если у вас слабый пароль, то в таком случае взломщик может подобрать его, получив только логин. Это называется брутфорсом.

Двухфакторная аутентификация – это дополнительный уровень безопасности, известный также как мультифакторная аутентификация. С помощью такого подхода добавляется дополнительный шаг для входа в систему. Помимо ввода имени пользователя и пароля для входа на сайт вам нужно будет также подтвердить свою личность с помощью еще одного дополнительного шага.

Есть несколько способов подтверждения личности с помощью двухфакторной аутентификации:

  • Приложение на мобильном устройстве
  • SMS на мобильный телефон
  • Токен безопасности (длинная строка из случайных цифр и букв)
  • Зашифрованный USB-накопитель
  • Мини-устройство для аутентификации (key fob)
  • Физическая карта, которая считывается кардридером

Естественно, двухфакторная аутентификация онлайн подразумевает использование приложения, SMS, токена безопасности или USB-накопителя.

Если вы установили и активировали Defender на вашем WordPress-сайте, и вам требуется приложение Google Authenticator, iPhone или телефон на Android для входа на сайт, то в таком случае вы реализовали двухфакторную аутентификацию.

Почему вам может потребоваться это

Двухфакторная аутентификация добавляет дополнительный уровень безопасности для WordPress сайта.

Учитывая, что каждый день ломается около 30 000 сайтов, и свыше 90 978 сайтов WordPress всех размеров подвергаются атакам каждую минуту, имеет смысл добавить дополнительный уровень безопасности.

Очень важно включить двухфакторную аутентификацию, но важно также понимать и потенциальные риски такого подхода.

В каких случаях двухфакторная аутентификация не является безопасной

В большинстве случаев двухфакторная аутентификация для WordPress сайтов является безопасной, и рекомендуется использовать эту опцию для всех аккаунтов сайта.

Однако мультифакторная аутентификация с помощью SMS не всегда может быть безопасной. Это больше связано с человеческой ошибкой, и не с вашей стороны. Давайте рассмотрим небольшой пример.

Один человек по имени Джастин Уильямс написал в Twitter о том, что двухфакторная аутентификация по SMS у него не удалась.

«Кто-то воспользовался социальным инжинирингом с AT&T, чтобы получить новую SIM-карту для моего телефона, с которой он вошел в PayPal (используя двухфакторную аутентификацию) и снял много денег. Я в ярости»

Как это происходило:

  • Пользователь заметил, что его мобильный телефон перестал обслуживаться.
  • Он получил письмо о сбросе пароля от Google.
  • Затем он получил письмо от PayPal о снятии денег
  • Пользователь позвонил своему мобильному оператору и подтвердил свое имя, адрес и ключ безопасности
  • Мобильный оператор отметил, что было предпринято несколько попыток по телефону получить новую SIM карту, однако человек не предоставил ключ безопасности, а потому ему было отказано.
  • К сожалению, во время одной из попыток агент оператора не запросил ключ безопасности, а потому хакеру удалось выпустить новую SIM-карту.
  • Поскольку PayPal требует только email-адрес и SMS для сброса пароля, хакер смог получить доступ к аккаунту PayPal, как только он завладел новой SIM-картой.

Хакеру потребовалось несколько часов, чтобы найти агента из службы поддержки, который не следовал протоколу и не запросил ключ безопасности.

Как только хакер нашел такое слабое звено в лице агента поддержки, ему понадобилось всего лишь 15 минут, чтобы скомпрометировать мобильный телефон и украсть деньги с банковского счета жертвы.

В результате этого злоумышленник завладел деньгами, поскольку двухфакторной аутентификации с помощью SMS оказалось недостаточно для стопроцентной защиты.

Потенциальные риски для безопасности

Значит ли это, что вся двухфакторная аутентификация (как минимум с помощью SMS) является небезопасной?

Нет. Это означает лишь следующее: существует вероятность того, что SMS и другая мультифакторная аутентификация будет неэффективной, если в данный процесс вклинивается человеческая ошибка.

Есть много ситуаций, когда мультифакторная аутентификация не является адекватной мерой защиты:

  • Как уже было упомянуто выше, ваш мобильный оператор нарушил меры безопасности
  • Вы не предоставили мобильному оператору сложный код безопасности
  • Вы не выбрали сложные пароли
  • Ваши пароли хранятся небезопасно
  • Ваш телефон или другие устройства были украдены
  • Вы не защитили свой телефон или другие мобильные устройства
  • Ваш компьютер или ноутбук были украдены
  • Вы стали жертвой фишинговых атак по email или по телефону
  • Вы опубликовали твит, в котором признались, что у вас есть криптовалюта, и этот твит привлек внимание

К сожалению, есть много ситуаций, когда человеческая ошибка приводит к рискам безопасности, поэтому важно обеспечить как можно больше шагов, чтобы гарантировать свою защиту.

Как остаться в безопасности

К счастью, есть несколько способов защиты себя и своего сайта WordPress, а также своих персональных данных с помощью двухфакторной аутентификации:

  • Предоставьте своему мобильному оператору ключ безопасности, и если вы позвонили лично, и у вас не запросили этот ключ, обязательно сообщите оператору об этом.
  • Используйте надежные пароли на своем WordPress сайте
  • Используйте сложные, различные пароли для каждого из ваших WordPress-сайтов
  • Вы можете установить плагин Defender для защиты
  • Включите двухфакторную аутентификацию для большинства (или всех) пользователей вашего сайта
  • Не используйте двухфакторную аутентификацию по SMS
  • Используйте безопасную блокировку на мобильных устройствах и на своем компьютере
  • Не сохраняйте свои пароли в веб-браузере
  • Используйте безопасный сервис хранения паролей
  • Храните физические токены безопасности в нескольких безопасных местах
  • Следите за уведомлениями по email или SMS о сбросах паролей или PayPal переводах
  • Повышайте свой уровень знаний по поводу фишинга

Не публикуйте личную или идентификационную информацию публично в сети вне зависимости от того, насколько она кажется вам безопасной или неважной. Не пишите, что у вас есть деньги на PayPal или где-то еще, не говорите, когда вы едете в отпуск, не указывайте свой телефон, email и другие подобные данные.

Держите компьютер и мобильные устройства в безопасном месте и следите за ними, когда вы находитесь на публике. Важно, чтобы никто не подглядывал за вашим вводом данных.

Если вы используете браузер, который сохраняет ваши пароли, и ваш компьютер будет украден, все ваши пароли могут быть скомпрометированы. Потому рассмотрите возможность удаления всех сохраненных в настоящее время паролей, переход к двухфакторной аутентификации для всех сайтов, либо использование надежного сервиса хранения паролей.

Хотя многие из этих шагов могут показаться очевидными, пользователи, порой даже технически подкованные, зачастую могут забыть об этом или иметь ложное чувство безопасности. Ну и недооценивать взломщиков не нужно, ибо их заработки неуклонно растут.

Безусловно, до паранойи доходить в этих вопросах не следует, но и пускать все на самотек тоже не стоит.

А вы используете двухфакторную аутентификацию?

Источник: https://premium.wpmudev.org

Блог про WordPress
Комментарии: 8
  1. Иван Иванченков

    Получается, что 100 процентной гарантии безопасности просто не существует?

    1. Дмитрий (автор)

      Нет, но тут играет роль уже человеческий фактор. И при должном уровне социального инжиниринга можно аккуратно запрограммировать человека на выполнение необходимых тебе действий. Или обойти какие-либо препятствия для достижения своей цели, как в случае, описанном в статье.

  2. Андрей

    Компрометация персданных всегда вероятна. Надо быть начеку. Не пользоваться общественным вай фай, не оставлять телефон без присмотра. Не открывать левые приложения и ссылки..

    1. Дмитрий (автор)

      Да, все это важно соблюдать. Но главное, чтобы это не превращалось в паранойю, а то так окончание своих дней можно провести в психбольнице.

  3. Сергей

    Можно двухфакторную аутентификацию сделать через браузер, получается у вас два разных логина и два пароля. Что уже подбором и др методами взломать очень сложно или практически не возможно.

    1. Дмитрий (автор)

      Такой вариант тоже можно взломать. Вот как пример: https://gizmodo.com/5882888/new-man-in-the-browser-attack-bypasses-banks-two-factor-authentication-systems

  4. Игорь

    Уже давно говорят, что двухфакторная аутентификация через sms является не надежной, даже некоторые сервисы сами об этом уведомляют своих пользователей, предлагая перейти на более безопасные способы аутентификации

    1. Дмитрий (автор)

      SMS или E-Num у того же вебмани, к примеру. + логин-пароль, естественно.

Добавить комментарий

Получать новые комментарии по электронной почте.