Двухфакторная аутентификация

Каждый раз, выходя из дома, вы, вероятно, очень осторожно закрываете все двери и окна, возможно, даже включаете охранную сигнализацию, если она у вас есть. Вы не можете быть слишком осторожными, верно? Но насколько вы осторожны, когда речь заходит о защите вашего компьютера? Вы стараетесь выбирать сложные пароли, а не записывать их там, где их могут найти другие люди? Даже если вы это сделаете, не может ли кто-нибудь еще взломать используемые вами системы и нанести всевозможные повреждения? Теперь все больше и больше людей переводят свою жизнь в онлайн, банки, сайты электронной коммерции (покупки) и вы вынуждены относиться к безопасности гораздо серьезнее, больше не полагаясь на простые пароли, чтобы держать злоумышленников в страхе. Одна из все более популярных мер называется двухфакторной аутентификацией, и это онлайновый эквивалент кодовой блокировки, код которой постоянно меняется. Как именно это работает? Давайте внимательнее посмотрим!

Ваш компьютер и онлайн-системы, к которым он предоставляет доступ, могут быть одной из самых ценных вещей в вашей жизни, но насколько она безопасна на самом деле?

Содержание

1.Почему онлайн-безопасность не всегда безопасна

2.Что такое двухфакторная аутентификация?

3.Что такое одноразовый пароль?

4.Как генерируются одноразовые пароли?

5.Кто использует двухфакторную аутентификацию?

6.Узнать больше

Почему онлайн-безопасность не всегда безопасна

Большинство людей теперь получают доступ ко всем важным областям своей жизни - банковскому делу, магазинам, страхованию, медицинским картам и т. д. - просто сидя за своим компьютером и вводя имя пользователя и пароль на веб-сайте. Получение доступа к чему-либо таким способом называется однофакторной аутентификацией, потому что для входа в систему нужно знать только одно: сочетание имени пользователя и пароля похоже на один ключ для одной блокировки. Теоретически, такая защита должна быть достаточно безопасной; на практике это все меньше и меньше заслуживает доверия. Многие люди выбирают простые пароли, которые легко угадать (например, имя своего партнера или ребенка, собственное имя или даже слово «пароль»). Или они записывают пароли на прикрепленные к компьютеру заметки или позволяют своему веб-браузеру хранить для них пароли. Многие люди используют одно и то же имя пользователя и пароль на разных сайтах (поэтому мошеннический пользователь, который крадет ваши данные с одного сайта, может сразу получить доступ к любому другому сайту, который вы используете). Если вы регулярно пользуетесь кибер-кафе или компьютерами в колледжах или других общественных местах, существует риск, что вы можете непреднамеренно сохранить свой пароль на компьютере, который кто-то другой будет использовать, или забыть выйти из защищенного сайта.

Является ли регистрация нажатия клавиш «вредоносные программы» (вирусы, черви и т. Д.), Тайно работающим на вашем компьютере и записывающим кнопки, которые вы нажимаете при доступе к «защищенным» веб-сайтам? Если вас это беспокоит, вырежьте и вставьте пароли за раз из других документов с помощью мыши.

Даже если вы хорошо разбираетесь в паролях, вы не обязательно так надежны, как думаете: ваш пароль может быть украден всеми способами, которые вы даже не заметите. Умные хакеры могут писать программы регистрации нажатий клавиш, которые тихо сидят на вашем компьютере, помня все нажатия клавиш, включая любые введенные вами пароли. Ходят слухи, что вирусы, черви и другие вредоносное программные обеспечение часто устанавливают такие регистраторы нажатий клавиш на компьютерах людей. Теоретически пароли также могут быть украдены при передаче, так как они отправляются из веб-браузера пользователя на сервер, который проверяет («аутентифицирует») их - то, что называется атакой «человек посередине»; Вредоносное ПО, установленное в вашем браузере, может даже легче захватывать пароли (это называется атакой «человек в браузере»). Если вы используете стандартную настройку Wi-Fi (беспроводной Интернет), все, что вы вводите в свой браузер, транслируется публично на расстояние до 100 м (более 300 футов), когда оно передается по воздуху к маршрутизатору, который подключает вас к сети. Если ваша система не использует надлежащее шифрование, возможна (по крайней мере, в теории) любая конфиденциальная информация, передаваемая назад и вперед между вашим компьютером и Интернетом, которая будет перехвачена электронным перехватчиком. А поскольку пароли зачастую относительно тривиальны, а компьютеры становятся все быстрее и сложнее, то хакеры могут использовать полностью автоматизированные методы для получения доступа к онлайн-системам. В одной известной технике, известной как атака по словарю, хакер может запрограммировать компьютер для входа в чью-либо систему с помощью грубой силы, пытаясь один за другим вводить список общих слов (или имен) в качестве паролей, пока не найдет нужный случайно.

Банки и другие организации, подверженные киберпреступности, усложняют жизнь злоумышленникам и ворам в Интернете, требуя от пользователей вводить больше информации при входе в систему. Возможно, вам придется ввести не только имя пользователя и пароль, но и запоминающуюся информацию, такую как дата вашего рождения, город, в котором вы родились, имя вашего питомца или что бы это ни было. Это более безопасно, но все еще не преодолевает такие проблемы, как регистраторы нажатий клавиш, небезопасный Wi-Fi, "человек посередине" или атаки по словарю.

Художественная работа: Вы надежно подключаетесь? Всякий раз, когда вы отправляете личную или конфиденциальную информацию на веб-сайт, убедитесь, что он использует соединение https, которое шифрует двусторонний диалог между вашим веб-браузером и сервером, на котором находится веб-сайт, с которым он общается. Посмотрите в адресной строке браузера. Наиболее безопасные веб-сайты используют как аутентификацию (имя банка ясно показано, подтверждая, что они говорят, что они есть), так и шифрование (показывается частью URL-адреса https, замок, обычно окрашенный в зеленый или желтый цвет, или сообщение как «Безопасный» в некоторых браузерах); многие сайты используют только шифрование. Обратите внимание, что https делает не что иное, как защищает соединение между вашим браузером и сервером, с которым он общается. Это не делает сайт полностью безопасным. Например, есть ли на сайте страницы, которые не используют https? Как веб-сайт хранит вашу информацию, когда она собирается и расшифровывается? У кого есть доступ к вашим данным? Вы вынуждены менять свой пароль довольно часто? Использует ли сайт двухфакторную аутентификацию? Использование https - это только одна из вещей, которые необходимо предпринять бизнесу для обеспечения безопасности своего веб-сайта.

Что такое двухфакторная аутентификация?

В реальном мире банок стараются обезопасить свои ценности, поместив их в хранилища с несколькими устройствами безопасности. Для открытия сейфа может потребоваться два разных набора ключей, например, каждый из которых находится у другого старшего сотрудника. Или у него может быть таймер, который означает, что он открывается только между определенными часами дня, независимо от того, есть ли у вас нужные ключи или нет. Онлайновый эквивалент этого называется многофакторной аутентификацией (МФА), и это означает, что для получения доступа к компьютерной системе вам необходимо пройти совершенно разные виды проверки безопасности. Теоретически, точно так же, как вы можете иметь банковское хранилище, защищенное любым количеством ключей и других защитных устройств, вы можете иметь онлайн-банк или веб-сайт покупок, защищенный множеством различных проверок безопасности. На практике большинство онлайн-систем, которые используют эту дополнительную безопасность, в настоящее время требуют, чтобы вы выполнили вход с именем пользователя и паролем, а также прошли одну дополнительную проверку безопасности. Поскольку вместо обычной проверки используются две отдельные проверки, это часто называют двухфакторной аутентификацией (2FA или TFA) или двухэтапной проверкой.

«... на конференции Usenix по безопасности Enigma 2018 в Калифорнии инженер по программному обеспечению Google Гжегож Милка сегодня сообщил, что сейчас менее 10% активных учетных записей Google используют двухэтапную аутентификацию для блокировки своих служб» Регистр, 2018

Что такое одноразовый пароль?

Microsoft Live теперь дает вам возможность войти в систему с помощью одноразового пароля (или «одноразового кода», как им нравится называть его). Как это работает? Если вы используете общедоступный компьютер, вы можете не вводить свой обычный пароль, если кто-то смотрит вам через плечо (или вы беспокоитесь о регистрации ключей). Если вы зарегистрировали свой номер мобильного телефона на сайте, вы можете щелкнуть ссылку, чтобы на ваш телефон был отправлен одноразовый код, который вы затем вводите вместо пароля, как показано здесь.

Так что за дополнительная проверка? При входе в компьютерные системы и на веб-сайты обычно требуется ввести одноразовый пароль, который действителен только один раз и изменяется при каждом входе в систему. Это называется одноразовым паролем (ОП), и каждый раз, когда вы получаете доступ к системе, генерируется новый пароль. Обычно одноразовый пароль представляет собой серию бессмысленных цифр или символов, или это может быть полдюжины или около того коротких случайных слов. Как узнать свой одноразовый пароль, если он постоянно меняется? Это не то, что вы должны помнить: оно генерируется автоматически и отправляется вам другим способом, кроме онлайн-передачи. Он может быть отправлен на ваш мобильный телефон в виде текстового сообщения SMS; он может быть создан приложением, запущенным на вашем телефоне, или специальным электронным гаджетом, называемым маркером безопасности; он может быть даже распечатан и отправлено по почте вам на бумаге, старомодным способом.

В отличие от обычного пароля, который является «чем-то, что вы знаете» и помните, ваш одноразовый пароль прибывает из «чего-то, что у вас есть» и хранится, например, текстовое сообщение, маркер безопасности или лист бумаги. (В книгах и статьях о компьютерной безопасности вы часто увидите два разных «ключа», которые разблокируют систему, защищенную двухфакторной аутентификацией, называемую «что-то, что вы знаете» и «то, что у вас есть».) Обычно вам приходится введите одноразовый пароль на веб-сайт или компьютер, к которому вы пытаетесь получить доступ, хотя некоторые токены безопасности используют беспроводные технологии (например, RFID) или подключите к компьютерам через USB-разъемы, автоматически передавая одноразовый пароль без необходимости беспокоиться об этом, и предоставить вам доступ таким образом; подобный токен-плагин немного похож на компьютерный ключ, который открывает дверь в вашу систему, и иногда его называют ключом.

Как генерируются одноразовые пароли?

Если одноразовый пароль даст вам доступ к компьютерной системе, то одноразовый пароль, который вы держите в руке, очевидно, должен совпадать с паролем, который компьютер хранит в своей памяти, так же, как обычный пароль. Единственная проблема в том, что пароль должен меняться каждый раз, когда вы его используете. Это означает, что должна быть какая-то форма синхронизации, позволяющая и вам, и компьютерной системе использовать один и тот же постоянно меняющийся пароль, при этом компьютеру не нужно каждый раз передавать его вам каким-либо небезопасным способом, таким как электронная почта. Вы можете увидеть, как это будет работать с системой на базе мобильного телефона: компьютерная система сгенерирует одноразовый пароль, отправит его вам в текстовом SMS-сообщении, а затем даст вам определенный период времени для его ввода перед тем как пароль станет истекшим. Почтовая система работает в основном таким же образом, но пароль должен был бы быть действителен дольше, чтобы учесть задержки при передаче (некоторые банки отправят вам по почте полный напечатанный список одноразовых паролей, называемых номерами аутентификации транзакций или TAN). которые вы используете, а затем вычеркиваете последовательно, сопоставляя список паролей, хранящихся в компьютерной системе).

Но как работает синхронизация, если у вас есть что-то вроде токена безопасности, генерирующего для вас одноразовые пароли? Один метод, называемый синхронизацией времени, включает в себя токен и компьютерную систему, генерирующие новые одноразовые пароли на основе числовой версии текущего времени. Они могут занять время, скажем, 17:08, превратить его в числовой код 1708, а затем запустить его через генератор кода и алгоритм (математический процесс), называемый хэш-функцией (или хэш-кодом), чтобы сгенерировать уникальный цифровой код, который становится вашим одноразовым паролем. Пока токен и компьютерная система синхронизируют свои часы, токен всегда будет генерировать одноразовый пароль, который совпадает с тем, который ищет компьютер. Но если часы выйдут из строя, токен больше не будет генерировать правильные пароли и должен будет быть сброшеным.

Мобильное приложение Google Authenticator значительно повышает безопасность вашей учетной записи Google. Вы загружаете приложение, настраиваете его с данными своей учетной записи Google, а затем используете его для создания нового кода безопасности каждый раз, когда вы хотите войти в систему - так что в этом случае ваше мобильное устройство («что-то, что у вас есть») становится вторым фактор. Когда вы хотите войти в Google на своем компьютере, вы вводите имя пользователя и пароль Google на обычном экране входа в систему, а затем на втором экране запрашивается одноразовый код безопасности, сгенерированный вашим мобильным телефоном в тот момент (приложение Authenticator). постоянно генерирует новые коды, действительные только в течение 60 секунд). Если ваш пароль скомпрометирован, это не имеет значения: только кто-то с вашего мобильного устройства (и приложения) сможет получить доступ к вашей учетной записи. Google Authenticator - это пример двухфакторной аутентификации, использующей синхронизацию времени.

Другой метод заключается в том, что компьютерная система и токен начинаются с общего номера, называемого начальным числом, и генерируют новый одноразовый пароль с помощью постоянно обновляемого счетчика. Когда пароль требуется в первый раз, компьютер и токен используют счетчик 0001 с начальным номером для генерации пароля; Через некоторое время после того, как будет сгенерировано много паролей, счетчик может стоять как 0299 внутри компьютера и токена, так что число будет использоваться с начальным числом для генерации пароля в следующий раз. Этот метод называется встречной синхронизацией и не имеет недостатка в том, чтобы держать часы в строее.

Кто использует двухфакторную аутентификацию?

Пока что рано, и большинство веб-сайтов по-прежнему полагаются на базовую комбинацию имени пользователя и пароля (однофакторная аутентификация), чтобы предоставить или запретить нам доступ. Некоторые сайты, в том числе PayPal, Amazon и Google, в настоящее время внедрили двухфакторную аутентификацию в качестве опции для клиентов, которым требуется подтверждение дополнительной безопасности. Система ключей безопасности PayPal предлагает выбор между отправкой вам одноразовых паролей в SMS-сообщениях или генерацией их с помощью токена, в то время как система AWS Amazon использует недорогие токены, поставляемые Gemalto, для генерации своих паролей. У Google есть приложение под названием Google Authenticator, которое постоянно генерирует одноразовые коды на основе времени или на основе счетчиков каждые шестьдесят секунд. После того, как вы включили двухфакторную аутентификацию для своей учетной записи Google, вы используете Authenticator для создания нового одноразового кода, который вы вводите при каждом входе в систему. (Один небольшой недостаток заключается в том, что если у вас два телефона / планшета или другой устройства, вы должны настроить их вместе, синхронизированным способом, иначе они не будут генерировать один и тот же одноразовый код. Вы не сможете добавить дополнительное устройство позже, не переустанавливая другие.)

Многие банки в настоящее время выпускают клиентам устройства двухфакторной аутентификации, чтобы сделать онлайн-банкинг более безопасным. Вы вставляете свою банковскую карту в устройство, вводите свой PIN-код, и он генерирует одноразовые пароли, которые вы можете ввести на веб-сайтах онлайн-банкинга. Если у вас есть счета в нескольких разных банках, вам не нужен кард-ридер для каждого из них. Банки согласовали стандартную систему между ними, поэтому вы должны обнаружить, что карта, выпущенная одним банком, будет работать в картридере, выпущенном любым другим банком.

Онлайн-банкиры также экспериментируют с различными системами многофакторной аутентификации, включая кард-ридеры, которые генерируют одноразовые пароли, используя номер вашей кредитной карты и PIN-код. В будущем, когда все больше и больше организаций начнут вводить подобные меры, мы можем оказаться в изобилии различных ключей, токенов и других устройств безопасности для контроля доступа ко всем чувствительным онлайн-системам, которые мы используем - фактически, к настоящему электронному брелоку. Но мы также увидим, что преступники становятся все более изощренными, поскольку они ищут еще более диковинные способы взлома защищенных систем.

Узнать больше

Книгы

Principles of Information Security by Michael E. Whitman, Herbert J. Mattord. Cengage, 2018.
Computer Security: Principles and Practice by William Stallings and Lawrie Brown. Pearson Higher Education, 2018.
Security in Computing by Charles Pfleeger, Shari Lawrence Pfleeger, and Jonathan Margulies. Pearson Education, 2015.

Новости и статьи

Protecting Your Internet Accounts Keeps Getting Easier. Here’s How to Do It. by Brian X. Chen. The New York Times, March 27, 2019. Four excellent suggestions for locking down your accounts.
Who's using 2FA? Sweet FA. Less than 10% of Gmail users enable two-factor authentication by Iain Thomson, The Register, 17 Jan 2018. Why is 2FA takeup so poor... and how can we encourage more people to use it?
How to Protect Yourself After the Yahoo Attack: The New York Times, September 23, 2016. Some good tips for improving personal computer security.
The Secret Life of Passwords by Ian Urbina, The New York Times, November 19, 2014. A fascinating article that explores the growing cultural significance of computer passwords.
A Two-Step Plan to Stop Hackers by Ron Lieber, The New York Times, August 8, 2014. Even two-factor authenication may not be enough to deter determined hackers—which is where biometric security (a third factor) comes in.
Kill the Password: A String of Characters Won't Protect You by Mat Honan, Wired, November 15, 2012. Honan argues that the very concept of passwords is inherently flawed: we need to accept a compromise on our privacy, embrace biometric security, and get rid of insecure passwords altogether.
How to Securely Manage All Your Passwords by Riva Richmond, The New York Times, June 24, 2009. Some simple tips for keeping multiple passwords secure.
What makes a good password?: BBC News, November 2007.