У вас свой сайт с регистрацией клиентов в личном кабинете или онлайн-сервис? Задумывались ли вы о том, как защитить аккаунты пользователей от мошеннических атак и взломов паролей?
Мы побеседовали с Артуром Гайнуллиным, исполнительным директором "УНИТС" (инновационное подразделение компании "Такснет"). Он рассказал о важности двухфакторной аутентификации при использовании паролей. А также о современной технологии безопасности в виде специальных приложений, которые гарантируют защиту учетной записи от взлома.
– Почему одного пароля для защиты своей учетной записи недостаточно?
Даже если ваш пароль надёжный (содержит строчные и заглавные буквы, цифры, символы и буквы; не совпадает со словарными словами и имеет длину больше 9ти символов), то нет никакой гарантии, что он не будет перехвачен. Есть множество мошеннических схем, начиная от банального брутфорса (перебора паролей) и кейлогеров (регистрация действий пользователя – нажатия клавиш на клавиатуре) до более сложных в организации – Кликджекинга, XSS-атак и CSRF-атак (когда хакер выполняет клик на сайте-жертве от имени посетителя).
Ну и конечно не нужно забывать, что чуть ли не каждый месяц происходит очередная утечка паролей. И есть сайты и сервисы, которые их заботливо собирают (недавно даже бота сделали для телеграм). Поэтому подборка (взлом) чужого пароля чаще всего является не такой уж и не решаемой задачей.
– Какие современные технологии безопасности могут решить проблему с атаками на учетную запись?
Если ваш аккаунт защищен не только паролем, но и вторым фактором (дополнительная защита электронных данных, когда для подтверждения входа требуется не только пароль, но и, например, код из смс), то все вышеназванные манипуляции могут оказаться абсолютно бесполезными. В этом случае если кто-то узнает пароль, но не знает, например, одноразовый код доступа, то ценность такого знания сводится на нет: в аккаунт все равно попасть не получится. Кстати, многие сервисы, такие как Яндекс или Майл.ру в скором будущем планируют полный отказ от паролей.
Создаются специальные приложения, которые работают как менеджер паролей с поддержкой двухфакторной аутентификации (процедура проверки подлинности с помощью второго фактора), которое можно использовать на любых сайтах и сервисах.
– Каков принцип работы таких приложений?
Они могут применяться как менеджеры паролей, а также в виде решения, позволяющего внедрить аутентификацию и подтверждение операций. Есть два алгоритма работы – со встраиванием и без. Если приложение встраивается в какой-нибудь сервис, например, банк, то авторизация осуществляется в один клик. Пользователь заходит в аккаунт, к нему приходит push-сообщение, содержащее всю информацию о транзакции. Далее от него требуется лишь подтвердить или отклонить операцию (авторизация, перевод денег и т.д).
Если же речь о работе с теми сервисами, которые еще не были интегрированы с такими приложениями, то здесь тоже всё просто. Пользователь устанавливает расширение для браузера и мобильное приложение (Android, iOS), придумывает мастер-пароль (единственный пароль, который ему теперь нужно знать) и сохраняет все пароли при первичной авторизации. При повторном заходе приложение само подставит пароль за пользователя. Пользователю нужно лишь подтвердить это действие в мобильном приложении.
– От кого и чего защищают такие приложения?
Это комплексное решение, поэтому их защита работает на всех этапах: в мобильном телефоне, браузере, на сервере и в канале передачи. Все сообщения передаются зашифрованными, а в каждой точке коммуникации происходит дополнительная проверка сообщения и устройства, которое его принимает. Например, в мобильном приложении у них реализована проверка целостности устройства, имеются датчики безопасности операционной системы и еще несколько скрытых проверок софта и устройства. Схожие механизмы имеются и в браузере.
Такие приложения защищают пользователя как от мошеннических перехватов паролей с помощью Кликджекинга (прежде чем подставить пароль проверяются все формы), так и от любых подобных атак. Потому что используется двухфакторная аутентификация и end-end шифрование (сквозное шифрование, которое не позволяет получить доступ к криптографическим ключам со стороны третьих лиц).
Придумали сервисы, которые гарантируют, что доступ к своей учетной записи может получить только ее владелец, даже если пароль от нее стал известен кому-то еще
– Для каких пользователей такие приложения наиболее востребованы?
Это могут быть банки и другие финансовые и технические организации, торговые площадки, криптобиржи, системы электронного документооборота (в том числе международные), веб-сервисы и т.п.
Приложение решит задачи корпоративных клиентов, которым важна не только безопасность, но и возможность сэкономить, например, на отправке смс. Владельцы систем могут снизить издержки до 10 раз, а если речь идет о международной отправке – то до 100 раз!
– Не получится так, что кто-то из разработчиков приложений сможет заполучить доступ к аккаунту пользователя?
Это исключено. Все пароли шифруются локально (на устройстве пользователя) на мастер-ключ, затем специальным образом разбивается на части и в таком виде передаются на сервер. Так как мастер-ключ знает только пользователь, то расшифровать его разработчик не сможет даже если очень сильно захочет.
Советуем использовать безопасную двухфакторную аутентификацию на всех сайтах и сервисах. С помощью специальных приложений можно легко управлять аккаунтами и подтверждать доступ к сервисам прямо в мобильном приложении. Ваш бизнес будет гарантированно защищен от взлома и действий злоумышленников.