Какие каналы эффективнее для двухфакторной аутентификации
Рассказываем про двухфакторную аутентификацию через email и о том, какие каналы эффективнее всего для надёжной защиты данных
1 мин. чтения
(0)
Двухфакторная аутентификация — надёжная защита аккаунта, данных и денег от киберпреступников. Чтобы получить доступ к чему-то из перечисленного, пользователю необходимо подтвердить владение личным кабинетом с помощью двух типов данных. Есть несколько способов 2FA: приложение, SMS и электронная почта.
Эффективность SMS-аутентификации доказали исследования. К примеру, использование SMS предотвратило около 96% массовых и 76% целевых атак. Если же говорить про email, то здесь всё не так просто и однозначно. В этой статье разберём, какие есть преимущества и недостатки у 2FA с помощью электронной почты, и сравним с другими способами.
Как работает 2FA
Двухфакторная аутентификация — это мера безопасности, которая требует предоставления двух форм идентификации перед входом в личный кабинет. Первым фактором обычно становится пароль, который знает владелец аккаунта. Второй — код подтверждения, такой как код, сгенерированный приложением или отправленный по SMS или почте.
Идея 2FA заключается в том, что даже если киберпреступник сможет завладеть паролем человека, у него не получится взять доступ к учётной записи без дополнительного кода подтверждения. Проще говоря, 2FA добавляет ещё один уровень безопасности для защиты информации пользователей.
Методы двухфакторной аутентификации
Есть три основных способа аутентификации, которые активно использует бизнес. Говорить об аппаратных ключах безопасности не будем. Этот вариант не подходит для массового внедрения из-за дороговизны.
Электронная почта
Email — универсальный и сравнительно безопасный вариант для восстановления доступа к аккаунту и двухфакторной аутентификации. Его активно используют в разных отраслях, поскольку он удобен и прост. Сообщение с кодом отправляют на электронную почту, которую человек указал при регистрации.
Преимущества email:
-
Анонимность. Если посмотреть обсуждения на Reddit и Quora, станет понятно, что для пользователей важна конфиденциальность. В отличие от номера телефона, который привязан к конкретной личности, электронную почту можно создать анонимно. При этом количество почтовых ящиков не ограничено. Это сильно усложняет прохождение 2FA, ведь нет единой базы адресов с именами и другими данными.
-
Безопасность. Письма передают по защищённым каналам, а для почтового ящика можно использовать ещё одну 2FA.
-
Стоимость. Нужно потратить деньги только на настройку автоматической системы для отправки писем. А за сами сообщения бизнес не платит.
Кроме того, электронную почту потерять сложнее, чем телефон. Если в руках преступника окажется смартфон, он без проблем обойдёт 2FA.
SMS
Это более традиционный вариант, который остаётся распространённым в основном у финансовых организаций. Когда пользователь хочет зайти в личный кабинет, на телефон приходит автоматическое сообщение с коротким кодом.
Преимущества SMS:
-
Быстрая доставка. Сообщение мгновенно придёт на телефон, а для прочитывания достаточно взять смартфон в руки.
-
Простая реализация. Двухфакторную аутентификацию легко реализовать, поскольку вы можете использовать SMS API от того же МТС Exolve для отправки этих сервисных текстовых сообщений.
Если бизнес планирует настроить SMS-аутентификацию, нужно заложить в бюджет расходы на сообщения. В среднем за одно SMS компании платят 0,06 рубля.
Приложения
Это новый способ двухфакторной аутентификации, для которого необходимо установить специальную программу. Разработчики создали множество приложений, например:
-
Google Authenticator.
-
«Яндекс Ключ».
-
Microsoft Authenticator.
-
Cisco Duo Mobile и другие.
Эти программы создают и шифруют уникальные ключи, которые необходимы для входа в учётную запись. Обычно приложения выдают новый код каждые 30–60 секунд, из-за чего хакерам сложнее попасть в личный кабинет.
Однако приложения пока уступают по безопасности email и отчасти даже SMS. В 2023 году эксперты Mysk обнаружили, что при должном желании хакер способен найти seed-информацию для генерации собственных одноразовых кодов, а в QR-кодах Google Authenticator указано название аккаунта.
Кроме того, можно потерять телефон с приложением, а софт сделан так, что отключить 2FA без доступа к нему как минимум очень сложно.
Что лучше: почта, телефон или приложение
Электронная почта — оптимальный вариант с точки зрения безопасности и расходов. Клиент может защитить доступ к личному кабинету, если не забывать о базовых мерах безопасности (например, не привязывать одну почту к множеству сервисов). При этом компании не придётся оплачивать каждое письмо, в отличие от SMS-сообщений.
Однако у электронной почты есть и недостатки. Если хакер узнает привязанный email, он может попытаться взломать его с помощью брутфорса. У почты реже настраивают двухфакторную аутентификацию, что создаёт определённые риски. Кроме того, у почтовых сервисов тоже происходят утечки. К примеру, в 2023 году информация для доступа к 3,5 млн аккаунтов mail.ru оказалась у третьих лиц.
SMS безопаснее, потому что для прохождения аутентификации необходим доступ к смартфону или SIM-карте. Конечно, злоумышленник может собрать достаточно информации для замены SIM, но это достаточно сложный процесс. Также можно попытаться перехватить трафик двумя способами:
-
Через коммутатор. К примеру, в 2017 году был актуален взлом систем для перехвата сообщений, если использовать уязвимость в протоколе SS7.
-
С помощью специального софта. Здесь всё достаточно просто: программа передаёт все сообщения на другое устройство. Используя шпионский софт, можно похитить любые данные, так что это нельзя назвать недостатком именно SMS.
У приложений тоже есть как плюсы, так и минусы. Замена SIM-карты или номера не повлияет на безопасность, а данные передаются только через интернет, что надёжнее, особенно если используется зашифрованный канал. Однако часто пользователи запускают приложение-аутентификатор на том же устройстве, с которого заходят в личный кабинет. Получается, что у хакеров есть точка компромисса для обоих факторов проверки. И риск подбора «начального числа», которое позволит преступникам генерировать новые коды.
Таким образом, нет идеального способа, поэтому бизнесу стоит дать клиентам право выбора. По умолчанию стоит использовать электронную почту, потому что это удобный и бесплатный способ доставки кодов. Если клиент хочет, пусть подключит SMS или установит приложение Google или Yandex для входа в личный кабинет.
Есть ли более надёжные способы
Благодаря развитию смартфонов стала распространена биометрическая аутентификация. Есть разные варианты, например:
-
отпечаток пальца;
-
лицо;
-
радужка глаза.
Особенность биометрии — невозможно подделать. Пользователь должен прислонить палец к сканеру, чтобы зайти в личный кабинет. И к счастью, преступники не смогут как-то взять биометрию (если, конечно, вы не персонаж боевика).
Заключение
Двухфакторная аутентификация с помощью электронной почты — удобный и относительно безопасный вариант. Однако, как и другие способы, email не идеален. При желании любой аккаунт можно взломать. Лучший выбор для бизнеса — внедрение нескольких способов подтверждения доступа. Тогда клиент сможет подключить то, что удобно ему.
















Комментарии: