Зачем нужна двухфакторная аутентификация

Причины, по которым утечек становится все больше

У роста утечек есть несколько причин.

Хактивисты взламывают ИТ-инфраструктуру и сливают данные по политическим мотивам. Если крупные компании достаточно защищены, то малый и средний бизнес уязвим перед ними. В прошлом году доля малого бизнеса в структуре утечек выросла до 34,1%.

Социальные инженеры взламывают аккаунты с целью наживы. При этом социальная инженерия активно развивается за счет искусственного интеллекта, больших языковых моделей, которые помогают разрабатывать наиболее эффективные схемы влияния на людей.

Слитые в сеть данные используются для взлома аккаунтов. Зная паспортные данные, дату рождения, номер телефона человека, пару «логин-пароль» от одного сервиса, преступник может взломать практически любой аккаунт. Часто для этого используются брутфорс, то есть автоматический подбор пароля или его «восстановление» через кодовое слово.

Часто пользователи сами облегчают работу хакерам. Многие люди склонны применять для авторизации на всех сервисах одну пару «логин-пароль» или использовать в качестве пароля дату рождения, имя и другую личную информацию. Такой пароль — подарок хакеру, так как его можно подобрать за минуту.

Зачем нужна двухфакторная аутентификация

В ответ на рост утечек государство стало ужесточать законодательство в сфере защиты персональных данных. С 1 декабря 2023 года была запрещена авторизация на российских сайтах с помощью Google и Apple ID. На государственных ресурсах, например, на порталах «Госуслуги» и «Мос-ру» введена обязательная двухфакторная аутентификация (2FA).

Появились и отраслевые требования. Например, ЦБ рекомендовал банкам проверять email-адреса, которые используются при авторизации, делать мониторинг IMSI (идентификатор мобильного абонента) и IMEI (индивидуальный номер мобильного телефона) клиентов.

Двухфакторная аутентификация подходит и для защиты персональных данных клиентов компании, и для контроля доступа к внутреннему ИТ-ландшафту: корпоративным системам, облакам, административной панели сайта, авторизованной зоне сайта для партнеров, поставщиков и т.д.

Проникновение в эти системы приводит к утечкам коммерческой информации, ущерб от которых, как правило, больше, чем от утечек личной информации.

По теме. Онлайн-мошенничество скоро превратится в битву между ИИ

Человеческий фактор vs второй фактор

Второй фактор защищает авторизацию почти на 100%, но слабое звено этой технологии — человек. Отправляемый OTP (One Time Password или одноразовый пароль) имеет ограниченный срок действия. Как правило, несколько минут. Это делает любые попытки взлома брутфорсом или восстановлением пароля бесполезными, так как без второго фактора авторизоваться все равно не получится, а к нему доступа нет.

Однако второй фактор не поможет, если в компании не соблюдается политика доступа, правила включения и отключения пользователей. Около 45% утечек связаны с действиями персонала, в том числе и неосознанными. Нужно следить, чтобы у уволившихся сотрудников не было доступа к корпоративным системам. При этом важно обучать персонал кибергигиене.

Из старых схем обхода второе рождение переживает подмена SIM-карты. Возрождение метода связано с распространением eSIM и увеличением количества виртуальных операторов связи.

Для подмены SIM-карты мошеннику нужен скомпрометированный аккаунт, который он взял из ранее утекших данных, и телефон с поддержкой eSIM. Он подает заявку на перевыпуск карты или «переходит» к виртуальному оператору с сохранением номера. Получив телефон с нужным номером, можно войти в любые сервисы и украсть деньги, взять кредиты и т.д.

Будущее двухфакторной аутентификации

По нашим данным, среди компаний, использующих 2FA, 20% добавляет только один дополнительный фактор, а 40% — два и более. В качестве второго фактора используются разные методы: SMS OTP, email-ссылка, email OTP, SMS со ссылкой, голосовые звонки с кодом-роботом, приложения аутентификаторы, флеш-носители с токеном, биометрия.

На наш взгляд, технология 2FA будет развиваться дальше и появятся новые методы защиты. Например, из последних новинок можно отметить QR-код в качестве второго фактора. Это интересный метод с точки зрения надежности, но он не очень удобен для пользователей.

Двухфакторную аутентификацию будут подключать все больше компаний: причем даже из тех отраслей, которые раньше не задумывались о защите аккаунтов своих пользователей, клиентов и сотрудников. При этом, как нам кажется, будет расти и количество случаев, когда используется второй фактор. Например, если раньше банки отправляли код подтверждения в среднем в четырех случаях, то сейчас таких сценариев около 15.

По теме. Тест: Узнайте, насколько ваш сайт готов к хакерской атаке

Как пользователям обезопасить себя

Пользователям можно посоветовать подключать двухфакторную аутентификацию не только на портале «Госуслуги» и в приложении банка, а везде, где есть какая-то значимая информация: социальные сети, мессенджеры, e-mail, личные кабинеты на маркетплейсах и в интернет-магазинах.

Подключение даже одного дополнительного фактора повышает безопасность в несколько раз. Авторизация по паре «логин-пароль» или «телефон-пароль» дает мнимое спокойствие. Из-за массовых утечек номера телефонов давно доступны, а пароль, особенно если он не самый надежный, можно подобрать за минуту брутфорсом.