2 факторная аутентификация лучшие практики без смарт карты
Немного о 2FA: Двухфакторная аутентификация
Cегодня мы решили обратить внимание на тему двухфакторной аутентификации и рассказать о том, как она работает.
Двухфакторная аутентификация или 2FA – это метод идентификации пользователя в каком-либо сервисе, где используются два различных типа аутентификационных данных. Введение дополнительного уровня безопасности обеспечивает более эффективную защиту аккаунта от несанкционированного доступа.
Двухфакторная аутентификация требует, чтобы пользователь имел два из трех типов идентификационных данных.
Второй пункт – это токен, то есть компактное устройство, которое находится в собственности пользователя. Самые простые токены не требуют физического подключения к компьютеру – у них имеется дисплей, где отображается число, которое пользователь вводит в систему для осуществления входа – более сложные подключаются к компьютерам посредством USB и Bluetooth-интерфейсов.
Сегодня в качестве токенов могут выступать смартфоны, потому что они стали неотъемлемой частью нашей жизни. В этом случае так называемый одноразовый пароль генерируется или с помощью специального приложения (например Google Authenticator), или приходит по SMS – это максимально простой и дружественный к пользователю метод, который некоторые эксперты оценивают как менее надежный.
В ходе проведенного исследования, в котором приняли участие 219 человек разных полов, возрастов и профессий, стало известно, что более половины опрошенных используют двухфакторную SMS-аутентификацию в социальных сетях (54,48%) и при работе с финансами (69,42%).
Однако, когда дело касается рабочих вопросов, то здесь предпочтение отдается токенам (45,36%). Но вот что интересно, количество респондентов, пользующихся этими технологиями как добровольно, так и по приказу начальства (или вследствие других вынуждающих обстоятельств), примерно одинаково.
График популярности различных технологий по сферам деятельности
График заинтересованности респондентов в 2FA
Среди токенов можно выделить одноразовые пароли, синхронизированные по времени, и одноразовые пароли на основе математического алгоритма. Синхронизированные по времени одноразовые пароли постоянно и периодически меняются. Такие токены хранят в памяти количество секунд, прошедших с 1 января 1970 года, и отображают часть этого числа на дисплее.
Чтобы пользователь мог осуществить вход, между токеном клиента и сервером аутентификации должна существовать синхронизация. Главная проблема заключается в том, что со временем они способны рассинхронизироваться, однако некоторые системы, такие как SecurID компании RSA, дают возможность повторно синхронизировать токен с сервером путем ввода нескольких кодов доступа. Более того, многие из этих устройств не имеют сменных батарей, потому обладают ограниченным сроком службы.
Как следует из названия, пароли на основе математического алгоритма используют алгоритмы (например цепочки хэшей) для генерации серии одноразовых паролей по секретному ключу. В этом случае невозможно предугадать, каким будет следующий пароль, даже зная все предыдущие.
Иногда 2FA реализуется с применением биометрических устройств и методов аутентификации (третий пункт). Это могут быть, например, сканеры лица, отпечатков пальцев или сетчатки глаза.
Проблема здесь заключается в том, что подобные технологии очень дороги, хотя и точны. Другой проблемой использования биометрических сканеров является неочевидность определения необходимой степени точности.
Если установить разрешение сканера отпечатка пальца на максимум, то вы рискуете не получить доступ к сервису или устройству в том случае, если получили ожог или ваши руки попросту замерзли. Поэтому для успешного подтверждения этого аутентификатора достаточно неполного соответствия отпечатка эталону. Также стоит отметить, что изменить такой «биопароль» физически невозможно.
Насколько надежна двухфакторная аутентификация
Это хороший вопрос. 2FA не является непроницаемой для злоумышленников, однако она серьезно усложняет им жизнь. «Используя 2FA вы исключаете достаточно крупную категорию атак», – говорит Джим Фентон (Jim Fenton), директор по безопасности OneID. Чтобы взломать двухфакторную аутентификацию «плохим парням» придется украсть ваши отпечатки или получить доступ к cookie-файлам или кодам, сгенерированным токенами.
Последнего можно добиться, например, с помощью фишинговых атак или вредоносного программного обеспечения. Есть еще один необычный способ: доступ к аккаунту журналиста Wired Мэтта Хоннана (Matt Honnan) злоумышленники получили с помощью функции восстановления аккаунта.
Восстановление аккаунта выступает в качестве инструмента для обхода двухфакторной аутентификации. Фентон, после истории с Мэттом, лично создал аккаунт в Google, активировал 2FA и притворился, что «потерял» данные для входа. «Восстановление аккаунта заняло некоторое время, но через три дня я получил письмо, что 2FA была отключена», – отмечает Фентон. Однако и у этой проблемы есть решения. По крайней мере, над ними работают.
«Я считаю, что биометрия – это один из таких способов, – говорит технический директор Duo Security Джон Оберхайд (Jon Oberheide). – Если я потеряю свой телефон, то чтобы восстановить все аккаунты мне не хватит вечности. Если бы существовал хороший биотметрический метод, то он бы стал надежным и полезным механизмом восстановления». По сути, Джон предлагает использовать одну форму 2FA для аутентификации, а другую – для восстановления.
Где применяется 2FA
Вот несколько основных сервисов и социальных сетей, которые предлагают эту функцию – это Facebook, Gmail, Twitter, LinkedIn, Steam. Их разработчики предлагают на выбор: SMS-аутентификацию, список одноразовых паролей, Google Authenticator и др. Недавно 2FA ввел Instagram, чтобы защитить все ваши фотографии.
Однако здесь есть интересный момент. Стоит учитывать, что двухфакторная аутентификация добавляет к процессу аутентификации еще один дополнительный шаг, и, в зависимости от реализации, это может вызывать как небольшие сложности со входом (или не вызывать их вовсе), так и серьезные проблемы.
По большей части отношение к этому зависит от терпеливости пользователя и желания повысить безопасность аккаунта. Фентон высказал следующую мысль: «2FA – это хорошая штука, но она способна усложнить жизнь пользователям. Потому имеет смысл вводить её только для тех случаев, когда вход осуществляется с неизвестного устройства».
Двухфакторная аутентификация не панацея, но она помогает серьезно повысить защищенность аккаунта, затратив минимум усилий. Усложнение жизни взломщиков – это всегда хорошо, потому пользоваться 2FA можно и нужно.
Что ждет 2FA
Методам защиты, основанным на методиках многофакторной аутентификации, сегодня доверяет большое число компаний, среди которых организации из сферы высоких технологий, финансового и страхового секторов рынка, крупные банковские учреждения и предприятия госсектора, независимые экспертные организации, а также исследовательские фирмы.
Оберхайд отмечает, что многие пользователи, которые скептически относились к двухфакторной аутентификации, очень скоро обнаруживали, что здесь все не так сложно. Сегодня 2FA переживает настоящий бум, а любую популярную технологию гораздо проще совершенствовать. Несмотря на наличие сложностей, её ждет светлое будущее.
Герои двухфакторной аутентификации, или как «походить в чужих ботинках»
Наверное скажу банальность, но люди устроены очень странно (а ИТ-шники вдвойне). Они живо интересуются маркетинговыми новинками и рвутся их внедрять, но при этом равнодушно проходят мимо технологий, которые на самом деле могут защитить их компании от реального вреда.
Возьмем для примера технологию двухфакторной аутентификации (2FA). Обычные пароли злоумышленник легко может подсмотреть и/или украсть (что очень часто и происходит), а затем войти в систему под правами легального пользователя. Причем сам пользователь скорее всего не догадается о факте кражи пароля до наступления неприятных (а иногда и весьма тяжелых) последствий.
И это при том, что практически ни для кого не является откровением тот факт, что использование методов двухфакторной аутентификации позволит сильно сократить, вероятность наступления каких-то тяжелых последствий, а то и полностью от них защититься.
Под катом мы расскажем как попытались представить себя на месте лиц, принимающих решение о внедрении 2FA в организации, и поняли, как их заинтересовать.
Для желающих немного теории:
Когда выясняется, что сотрудники используют простые пароли («Qq1234567«), то обычно устанавливают жесткие политики по работе с паролями. Например: пароль должен быть не короче 10 символов, минимум одна буква строчная и одна прописная, минимум одна цифра и один прочий символ; пароль не должен включать общеупотребительных слови и числовых последовательностей; пароль должен меняться раз в месяц и не должен совпадать с 12 предыдущими паролями.
Но результате введения таких политик пароли стало так тяжело запомнить, что их стали записывать. И оставлять на самых видных местах, где любой может их подсмотреть. Например вот так:
Пароли более аккуратных коллег можно подсмотреть стоя рядом с ними в момент, когда они эти пароли вводят.
В состав дистрибутива Kali Linux, формально предназначенного для тестирования на проникновение (penetration testing) входит программное обеспечение, которое может быть для перехвата и анализа трафика для получения паролей при аутентификации, причем делает это практически в автоматическом режиме. Не нужно иметь высокой квалификации или специальных знаний — достаточно скачать установить дистрибутив Kali Linux и запустить программу.
Если сотрудник работает вне офиса (командировка, выезд к заказчику, отпуск, домашний офис), то для кражи паролей создают фальшивые точки доступа с тем же именем, что и легальные, например с помощью WiFi-Pumpkin из того же Kali Linux. Человек подключается в Шереметьево к точке доступа «Sheremetievo-WiFi» и весь его трафик становится доступен злоумышленнику. Другой способ кражи паролей — заражение точек доступа вредоносным кодом, после чего злоумышленник получает возможность анализировать проходящий трафик.
Аутентификация — это процесс проверки личности пользователя. Подтвердить свою личность пользователь может с помощью нескольких факторов:
В большинстве случаев пользователю необходимо подключить токен/смарт-карту к компьютеру и ввести PIN-код, открывающий доступ к токену (для некоторых ОТР токенов нужно будет ввести код с экрана устройства).
PIN-код можно придумать достаточно простой, поскольку даже узнав его, злоумышленник ничего не сможет сделать без токена. А если токен будет украден, то владелец немедленно обнаружит этот факт и тут же позвонит или напишет системному администратору, который должен будет сразу же отозвать сертификаты пользователя, а значит вход с помощью украденного токена будет уже невозможен.
Операционная система Microsoft Windows / Windows Server содержит все необходимое программное обеспечение для реализации в организации двухфакторной аутентификации на основе токенов / смарт-карт, то есть дополнительного программного обеспечения покупать не придется, а каждому сотруднику будет необходимо выдать по токену.
Необходимо заметить, что использование кодов подтверждения, получаемых посредством SMS, является элементом не двухфакторной аутентификации, а двухэтапной верификации и предоставляет гораздо более слабую защиту от взлома. Например, мошенники научились подделывать сим-карты, что позволяет им перехватывать SMS и служебные сообщения и в результате красть деньги и информацию.
А в ряде случаев доступ к сим-карте предоставляют излишне доверчивые или нечистые на руку сотрудники оператора мобильной связи. Вот недавняя статья, опубликованная на Хабре, где автор демонстрирует, представители какого оператора согласились пойти на встречу предполагаемому «взломщику», а какие отказались.
Также нельзя забывать и про фишинг, когда люди после недолгих уговоров сами помогают мошенникам, сообщая им коды, присланные по SMS. В довершение всего, SMS-коды обычно пересылаются на сервер через общедоступные сети, то есть среда передачи не является доверенной. Да и среда исполнения тоже не является доверенной — на смартфоне может обитать вредоносное программное обеспечение, которое тут же отправит присланные коды злоумышленнику.
В последнее время вместо передачи кодов через SMS предлагается использовать PUSH-уведомления. Утверждается, что они безопаснее, однако это не так, поскольку все уведомления проходят через Push Notification Service, прежде, чем попадают на устройство пользователя. И, например, Apple Developer Program напрямую запрещает (License Agreement, Приложение 1, пункт 4) данные действия ввиду небезопасности таких уведомлений. Подробности описаны в этой весьма толковой статье.
Итак, существует технология двухфакторной аутентификации, способная при минимальных затратах (денежных и временных) эффективно защищать пользователей от кражи паролей, а, как следствие, их работодателей от потери информации и прочих проблем с безопасностью.
Но почему-то эта технология внедрена лишь в относительно небольшом количестве наиболее защищённых и продвинутых в сфере информационной безопасности компаний. Чего ждут остальные? Не опасаются за безопасность своей ИТ-инфраструктуры или не считают угрозу серьёзной? А может быть уверены, что внедрение дополнительных мер безопасности приведет к ухудшению условий работы пользователей и/или понижению их КПД?
Чтобы понять это, мы решили обратиться к старому проверенному методу — придумать персонажей, которые должны отвечать за внедрение 2FA, и в процессе описания их поведенческих профилей попытаться влезть в их шкуру (или как говорят американцы — походить в их ботинках). Если такой метод работает для проектирования новых продуктов, то почему бы ему не быть столь же эффективным для анализа причин (не)использования проверенной временем технологии?
Мы создали четырех персонажей: двух директоров и двух начальников ИТ-отделов для двух компаний — крупной и средней. И для каждого их них написали свою историю. Вот первая из них.
Федор
Компания
Нефтеперерабатывающий завод ФлайТек, часть крупного нефтяного холдинга ФлайОйл. Всего на НПЗ работает более 3 тыс. человек, но с вычислительной техникой связано около тысячи. Это как вспомогательные подразделения (управленцы, бухгалтерия, логистика, служба сбыта, маркетинг), так и производственники, работающие с АСУ ТП (автоматизированные системы управления технологическими процессами — производством нефтепродуктов) через терминалы на Microsoft Windows.
Должность
Руководитель ИТ-департамента. Руководит командой из 10 человек.
За что отвечает
За работоспособность ИТ-инфраструктуры предприятия. Грубо говоря, чтобы никто ни на что не жаловался.
За что не отвечает
Профессиональное мировоззрение
У Федора достаточно проблем и забот при выполнении своих служебных обязанностей и при защите от угроз, которые он считает вероятными или с которыми он сам сталкивался. Также он понимает, что производители систем защиты ориентированы на продажу своих продуктов, поэтому заинтересованы пугать как можно больше — придумывать новые угрозы и преувеличивать вероятность и значимость существующих. Поэтому Федор обычно весьма скептически реагирует на рассказы о новых угрозах и способах их решения.
Федору проще поверить в новые угрозы, вызванные новым витком развития технологий или открытием хакерами новых дыр для взлома, чем в давно существующие угрозы, с которыми он в теории мог бы столкнуться, но не сталкивался.
Когда Федор узнает о новой угрозе, в которую он верит, то пишет простой план защиты от данной угрозы с указанием того, какие ресурсы (люди, ПО, hardware) для этого потребуются. Этот план представляется топам. Если топы согласны выделит соответствующие ресурсы, то защита от конкретной угрозы внедряется на НПЗ, Но поскольку топы — не профессионалы в ИТ, то согласие на реализацию плана зачастую зависит от правильной подачи Федора. От того, хочется ли ему на самом деле внедрить защиту от данной угрозы или хочется переложить потенциальную ответственность на топов, если угроза и правда окажется реальной, а план по ее предотвращению не будет принят.
Текущее отношение к 2FA
За все время работы, Федор никогда не сталкивался с серьезными последствиями кражи паролей. Он готов признать, что одни сотрудники могли знать пароли других, и даже тайком пару раз слышал как сотрудники обсуждали свои пароли. Федор даже в курсе того, что сотрудники передают свои пароли, не блокируют сеансы, работают из-под чужой учетной записи. Но, по его мнению, ни к каким серьезным утечкам, а тем более взломам или ущербу это не приводило и не приведет. Он готов признать, что причинно-следственная связь существует, но хочет, чтобы кто-то ему её явно показал. Он не будет рассматривать 2FA до тех пор пока не будет явного прецедента, или пока его не заставят
По мнению Федора, за борьбу с утечками отвечает служба безопасности (департамент ИТ только может предоставить необходимые технические средства). В конце концов, не заставляют же ИТ следить за хранением бумажных документов и железных ключей от офиса — даже если ИТ и обслуживает установленные по заказу СБ камеры видео-наблюдения.
Федор считает, что в компании есть политики, обязывающие сотрудников надежно хранить свои пароли, подписанные самими сотрудниками. И если что-то произойдет, то конкретный человек понесет наказание за свою беспечность. А надзирает за исполнением политик пусть СБ. Тут, правда, нельзя не заметить, что теория часто расходится с практикой. Особо важного или заслуженного сотрудника не тронут даже если он себе на лбу пароль напишет, а бесправному низкоуровневому сотруднику все равно, так как терять ему особо нечего. Лишь использование технических средства может всех уравнять.
Единственная область, где Федор испытывает реальное беспокойство — сохранность паролей сисадминов. Потому что если кто-то причинит вред ИТ-инфраструктуре от имени сисадмина и с его обширными правами, то неминуемо будет проведено серьезное расследование, где виновным могут назначить не только беспечного сисадмина, но и (в зависимости от тяжести ущерба) самого Федора.
Ну и где же выводы? Их пока нет, ведь за рамками этой статьи остался рассказ еще о трех персонажах — непосредственном начальнике Федора, генеральном директоре НПЗ, а также о руководителе ИТ-отдела и владельце логистического бизнеса. Очень скоро мы расскажем, что они думают про двухфакторную аутентификацию.
А пока очень хотелось бы узнать, что думаете о 2FA вы — и в виде свободных комментариев и в виде ответов на опрос. Считаете ли вы эту тему актуальной? Реальна ли с вашей точки зрения угроза? Стоит ли предприятиям тратить деньги на внедрение 2FA?
И кстати — узнали ли вы себя в Фёдоре, или быть может на него похож ваш начальник / коллега? А возможно мы ошиблись и у подобных персонажей совсем другие интересы сфера ответственности?
Пять способов защитить свои интимные фото
Год назад утечка фотографий обнаженных знаменитостей познакомила многих с темой ненадежных паролей. Как же защитить свои аккаунты?
Помните утекшие в Интернет фотографии голых знаменитостей, наделавшие столько шуму год назад? Эта история не только разнообразила личную жизнь миллионов подростков по всему миру, но и имела неожиданный образовательный эффект.
Например, из нее многие люди узнали, что имя любимой собаки — не самый надежный пароль. А двухфакторная аутентификация — это не бесполезная заумь айтишников, а штука, необходимая даже владельцу айфона со стразами.
Скандальные картинки утекли из облачного сервиса iCloud, где хранились копии фотографий, сделанных на устройствах Apple. Хакеры, как предполагается, действовали самым незамысловатым путем — просто подобрали пароли, используя комбинацию фишинга и перебора возможных вариантов. После этой истории Apple включила для iCloud двухфакторную аутентификацию и настоятельно посоветовала ею не пренебрегать.
Вы можете десять раз подряд выговорить «двухфакторная аутентификация»? И мы нет 🙁 http://t.co/whFhIx5Cpb #security #безопасность
Однако и в iCloud, и в Gmail, и в Facebook, и во многих других интернет-сервисах дополнительная проверка — это лишь опция. Большинство людей ею не пользуются. Потому что неудобно. Ну или не пробовал, но наверняка же неудобно. И вообще, сейчас есть другие дела, поважнее.
Между тем лишиться своей почты или аккаунта в соцсети можно легко и непринужденно, даже не будучи Ким Кардашян или Кейт Аптон. И последствия могут быть довольно неприятными, особенно если ваш бизнес связан с онлайном.
Два замка лучше
Большинство людей под двухфакторной аутентификацией (2FA) понимают одноразовые пароли, которые приходят на мобильный телефон в виде SMS. Для онлайн-сервисов это действительно самый распространенный вариант защиты, хотя и далеко не единственный.
По большому счету двухфакторная аутентификация — это просто дверь с двумя замками. Одним запором выступает традиционная пара «логин — пароль», а вторым может быть что угодно. Да и замков можно навесить не два, а сколько душе угодно — просто ковыряться с ними придется несколько дольше, так что начать стоит хотя бы с двух.
SMS-пароли просты, понятны и относительно надежны, но не всегда удобны. Каждый раз для входа в аккаунт приходится искать телефон, ждать прихода SMS, вбивать циферки… Ошибся или не успел — процедура повторяется. Если сеть оператора перегружена, то SMS может опаздывать. Меня, например, такие ситуации жутко раздражают.
SIM-карта сокровищ: как потерять все, потеряв один лишь телефон — http://t.co/ElKB4U1unJ
Если сотовой сети совсем нет (не такая уж, кстати, редкость в путешествиях), то и пароля тоже нет. Наконец, телефон можно просто потерять. И остаться в этой ситуации еще и без других средств связи будет совсем грустно.
На случай подобных неурядиц многие сервисы, например Google и Facebook, предлагают запасные варианты. Например, созданный заранее список одноразовых ключей, которые можно распечатать и положить куда-нибудь в надежное место.
Пять способов защитить свои интимные фото с помощью двухфакторной аутентификации #privacy #security #2FA
Кроме того, SMS-пароль может запрашиваться не всякий раз при входе в аккаунт, а только в тех случаях, когда логин происходит с неизвестного устройства. Решать здесь вам, в соответствии с вашим персональным уровнем паранойи. Точно так же происходит авторизация и привязанных к аккаунту приложений вроде почтового клиента. Достаточно один раз скормить им специально сгенерированный пароль, и они этим удовлетворятся на долгое время.
В итоге получается, что если вы каждый день не заходите в Сеть с нового устройства, то включение аутентификации по SMS доставит не так уж много хлопот. Один раз настроил — и все работает.
Удостоверение на смартфоне
А вот если вы много путешествуете, то более разумным решением, возможно, будет двухфакторная аутентификация через приложение. В отличие от SMS, этот способ работает и офлайн. Просто одноразовый цифровой пароль генерируется не на сервере, а непосредственно на вашем смартфоне (подружить программу с сервисом, разумеется, нужно заранее, и для этого Интернет потребуется).
Бесплатных приложений для аутентификации существует масса, но в роли «отраслевого стандарта» выступает Google Authenticator. Эта программа поддерживает работу не только с Gmail, но и со множеством других сервисов: Facebook, «ВКонтакте», Tumblr, Dropbox, WordPress и так далее.
Если хочется чего-то более функционального, хорошим выбором может стать Twilio Authy. Эта программа может все то же, что и Google Authenticator, плюс добавляет несколько весьма полезных фишек.
Во-первых, это возможность сохранить полученные сертификаты в облачном хранилище и скопировать на другие свои устройства (смартфоны, компьютеры, планшеты — список поддерживаемых платформ очень широкий и включает даже Apple Watch). Если вдруг одно из устройств украдут, контроль над аккаунтом от вас никуда не денется. Вход в приложение защищен PIN-кодом, а ключ на скомпрометированном устройстве можно отозвать.
Во-вторых, Authy здорово облегчает жизнь при развертывании на новом устройстве по сравнению с тем же Google Authenticator.
Ключ на старт
Описанные выше варианты обладают одним очевидным недостатком. Если вы заходите в аккаунт с какого-то устройства и оно же выступает в роли «второго замка» — получателя SMS-паролей или носителя приложения, то дополнительная защита работает уже не так хорошо.
Более серьезный уровень безопасности способны обеспечить специализированные аппаратные ключи. Выглядеть они могут по-разному: USB-ключи, смарт-карты, офлайновые брелки-токены с цифровым дисплеем, — но устроены похожим образом. По сути это миниатюрный компьютер, который генерирует по запросу те же самые одноразовые ключи. Эти проверочные ключи пользователь потом вводит вручную, или они передаются в систему автоматически — например, через USB-интерфейс.
Аппаратные ключи не зависят от работоспособности сотовой сети и телефона. Зато их нужно специально покупать и потом носить не теряя. Что для некоторых людей представляет собой довольно серьезный челлендж.
Обычно аппаратные ключи используются для защиты интернет-банкинга, корпоративных систем и прочих «серьезных» дел. Хотя никто не мешает вам закрыть свой Google или WordPress-аккаунт аккуратным замочком в виде недорогой флешки, поддерживающей открытый отраслевой стандарт FIDO U2F (например, это популярные ключи YubiKey).
Предъявите ваши импланты
Традиционные аппаратные ключи, возможно, хороши в плане безопасности, но не так уж удобны в использовании. Необходимость каждый раз втыкать флешку в USB-порт большого энтузиазма не вызывает, да и к смартфону ее никак не подключишь.
Гораздо удобнее было бы сделать беспроводной ключ, работающий через Bluetooth или NFC. Именно это и позволяют новые спецификации стандарта FIDO U2F, принятые летом текущего года.
Подобную метку, удостоверяющую личность владельца аккаунта, можно поместить куда удобно: в брелок на ключах, банковскую карту, в имплантированный под кожу NFC-чип, наконец. А устройством для чтения такого ключа может выступить почти любой современный смартфон.
Один, два… много
На самом деле термин «двухфакторная аутентификация» уже устарел. Крупные сервисы вроде Google и Facebook используют для обеспечения безопасности многофакторный анализ: с какого устройства осуществляется вход в аккаунт, в каком браузере, из какой страны и города, нет ли в действиях пользователя чего-то необычного и так далее. Аналогичные системы применяют и банки для выявления мошеннических транзакций.
Так что будущее, вероятно, именно за продвинутыми многофакторными решениями, позволяющими сохранить разумный баланс между удобством и безопасностью. Примером перспективных исследований в этой области может служить проект Abacus, обнародованный на недавней конференции Google I/O.
В новой реальности вашу личность удостоверит не столько пароль, сколько куча разных мелких деталей: где вы, что делаете, как говорите и печатаете, как дышите, как бьется ваше сердце, сколько киберпротезов опознано в вашем теле и тому подобные данные. А сенсором и каналом передачи для всего этого, скорее всего, выступит ваш же смартфон.
Вот только один пример. Швейцарские исследователи предлагают использовать для дополнительной аутентификации окружающий пользователя фоновый шум.
Идея технологии Sound-Proof довольно проста. Когда вы пытаетесь залогиниться с персонального компьютера на каком-нибудь сайте, сервер отправляет запрос приложению на вашем смартфоне. В течение нескольких секунд компьютер и смартфон записывают звук и передают на сервер зашифрованный «отпечаток». Остается лишь сравнить их, чтобы удостовериться: в аккаунт входит именно владелец смартфона, а не злостный хакер из другого полушария.
Разумеется, и эта схема неидеальна. Например, злостный хакер может сидеть рядом с вами в ресторане, и фоновый звук окажется примерно одинаков. Здесь злоумышленника должны отсечь уже другие дискриминирующие факторы.
Впрочем, Sound-Proof и Abacus — проекты завтрашнего дня. Когда они дойдут до реальности, ситуация в интернет-безопасности тоже наверняка изменится: появятся новые вызовы и угрозы.
А сегодня просто не забудьте включить двухфакторную аутентификацию. Как это сделать для большинства популярных ресурсов, подробно расписано, например, на сайте Telesign Turn It On.