Зачем нужна двухфакторная аутентификация в интернете?

Интернет вошел в нашу жизньнастолько прочно, что, кажется, он существовал всегда. Но это не так. Эта сетьпоявилась относительно недавно, всего несколько десятилетий назад. И онапредназначалась для несколько иных целей, нежели те, которые возлагаются на интернетсейчас.

На заре появления глобальнойпаутины пары логин-пароль хватало с избытком для надежной аутентификацииотносительно небольшого количества пользователей. Да и воровать в сети былоособенно нечего. Да и не скрывали в нем особенно ничего.

Полумерами кражи аккаунтов уже не остановить

Сфера использования сети современем резко расширилась. Сейчас посредством интернета проводятся банковскиеоперации, осуществляются покупки в онлайн-магазинах, пересылаются важныедокументы. Да, конечно, стали использовать защищенные технологии передачиинформации. Но вот защита аккаунтов как была на примитивном уровне, так в большинстве случаев и осталась.

К чему приводит утрата логина и пароля? Многие считают свою скромную персону неинтересной для хакеров. Однако этоочень опасное заблуждение. «И не стоит думать, что эти проблемы грозят толькообеспеченным людям, которые находятся в сфере интересов криминальногосообщества. К несчастью, люди идут на преступление порой только ради того,чтобы завладеть телефоном или просто из хулиганских побуждений», – комментируетДмитрий Скрипкин, заместительдиректора департамента информационной безопасности компании «РТС-Тендер».

Постепенно число краж и взломов аккаунтовв сети приобрело настолько угрожающие масштабы, что стало понятно: полумерамиздесь уже не обойтись. Требуется объединение усилий множества участников рынка,выработка новых стандартов и регламентов.

Алексей Сабанов, доцент МГТУ им. Н.Э. Баумана и заместительгенерального директора «Аладдин Р.Д.», соглашается: «Информация в интернете ужепривычно стала товаром, а зачастую движущей силой развития технологий и проектов. Число инцидентов безопасности, связанных с кражей и неправомернымиспользованием информации пользователей интернет-ресурсов неуклонно растет.Уровни рисков и число решений с более-менее проработанной схемой их снижения до приемлемого уровня могут быть посчитаны с помощью пальцев не только однойруки».

В таблице ниже приведена малаячасть того, что стало известно аналитикам и общественности о крупнейших инцидентахс аккаунтами за последние год-полтора.

Крупнейшие утечки пользовательских данных, 2014–2015 гг.

ПериодОписание инцидента
2014 г., сентябрьЗлоумышленникам удалось получить информацию о приблизительно 5 млн учетных записях американского почтового сервиса Gmail.
2014 г., сентябрьБыло похищено более 1 млн паролей пользователей «Яндекса». В компании заявили, что хакеры могли получить данные с помощью фишинга и заражения вычислительных устройств вирусами.
2014 г., сентябрьВ интернете обнаружена база данных с примерно 4,6 млн паролей от почты Mail.ru.
2014 г., октябрьАдминистрация социальной сети «Вконтакте» заблокировала свыше 200 тыс. учетных записей и просила их владельцев поменять пароли. Речь шла об аккаунтах, связанных с почтовыми ящиками Gmail, Mail.ru и Яндекс.
2015 г., майАдминистрация сервиса анонимных мнений «Спрашивай.ру» сообщила, что хакерам удалось взломать 6,7 млн аккаунтов их пользователей.
2015 г., августДанные 32 млн мужчин и женщин, заводивших новые знакомства для измены своему супругу, попали в сеть. Большинство пострадавших не удалило свои учетные записи после успеха в поиске. Общая аудитория ресурса около 50 млн человек.
2015 г., октябрьКомпания T-mobile заявила, что хакеры получили доступ к данным 15 млн клиентов.

Источник: CNews Analytics, 2015

Масштабы хищений просто поражаютвоображение. И, что самое неприятное, один и тот же человек, попав на удочкумошенников в одном месте, может завтра же стать жертвой на другом ресурсе.

«Пользователи наивно полагают,что, ограничив аудиторию просмотра в настройках публикации и придумав, по ихмнению, сложный пароль для доступа к своему профилю, они уберегут себя от кражии распространения этой информации. Ведь для многих кража аккаунта в социальнойсети сулит большие проблемы, например: потеря уважения среди друзей или коллег,потеря работы, проблемы в семье из-за того, что кто-то узнал о неверности своейполовинки, а иногда и более серьезные, такие как шантаж, вымогательство состороны лиц, завладевших конфиденциальной информацией», – комментирует ДмитрийСкрипкин.

Всем миром за безопасный интернет

Несколько лет назад проблемазащиты пользовательских данных подтолкнула крупнейшие мировые технологическиекомпании к созданию новой структуры, взявшей на себя координирующую роль в этойсфере информационной безопасности.

Новая международная структураполучила название FIDO Alliance. Ее основная задача – предоставлениеонлайн-службам возможности проведения строгой аутентификации для снижения числапроблем, связанных с необходимостью запоминания большого количества учетных данных.А это еще одна серьезная проблема безопасности.

FIDO Alliance – весьмапредставительный орган, наделенный серьезными полномочиями. В его рядах крупнейшиефинансовые организации (Bank of Ameriсa, PayPal, MasterCard), электронные торговыеплощадки (AliExpress и др.), а также технологические компании (Google, Mozilla,Microsoft).

Простота использования во главе угла

Практическим достижением работыэтой команды стала выработка технологии двухэтапной аутентификации U2F с использованием токенов, которая позволяет онлайн-службам усилить безопасностьсуществующей парольной инфраструктуры, включив в процедуру аутентификациипользователей второй фактор. В зависимости от настроек онлайн-служба или сайтможет потребовать от пользователя предъявления U2F-токена в качестве второгофактора аутентификации. Уже сейчас пользователи Google, Dropbox и GitHub в любой момент могут начать им пользоваться.

Для начала работы необходимозапустить браузер Chrome,зайти в свой личный кабинет и включить опцию аутентификации с использованием U2F.Сам же токен необходимо вставить в USB-порт. Далее по сообщению в браузеренеобходимо нажать кнопку на токене. На этом процедура регистрации закончена.Несмотря на кажущуюся простоту и элегантность решения, в нем заложенысложнейшие криптографические алгоритмы на базе открытых ключей, что гарантируетзащищенность процедуры аутентификации и идентификации.

Столь представительный состав FIDOAlliance позволил реализовать на практике еще одну интересную вещь – универсальностьтехнологии. Уже сейчас в соответствии с этой концепцией U2F-токен с подключением по USB-порту готов к работе со многими операционными системами бездополнительных драйверов.

В России есть, кому развивать U2F-технологии

Российские разработчики не остались «за бортом» мирового тренда. Компания «Аладдин Р.Д.» – также член FIDOAlliance – развивает собственные решения для двухфакторной аутентификации пользователей онлайн-сервисов сучетом требований отечественных регулирующих органов и новых зарубежных стандартов. Компания уже разработалаи наладила производство U2F-токенов под брендом JaCarta, а также создает готовые решения с применением этих устройств.

Западные вендоры, в частности нидерландскийпроизводитель полупроводников NXP (также участник FIDO Alliance), высокооценивают потенциал местных игроков. Так, ИгорьБояренко, директор по развитию бизнеса компании NXP в области идентификациив СНГ, Польше, Прибалтике и Скандинавии, отмечает: «Очень важно, что «АладдинР.Д.» начинает продвижение не только токенов, но и готового решения для разработчиков и сервис-провайдеров российского рынка».

Эксперты подчеркивают, что U2F-токены, гарантирующие защищенностьпроцедуры аутентификации и идентификации, могут быть встроены в существующиесистемы, которые используют электронные подписи на базе PKI с учетом требований к криптографии российскихрегулирующих органов.

Татьяна Ведешкина


Источник: CNEWS


Добавить комментарий

Оставить комментарий

Кликните на изображение чтобы обновить код, если он неразборчив