Развертывание двухфакторной системы аутентификации в Twitter явилось достойным ответом на череду недавних захватов аккаунтов с громкими именами. Новый для сети микроблогов механизм предусматривает ввод присланного на мобильный телефон кода при регистрации — дополнительную процедуру, известную как проверка идентичности. Такую же систему использует Google на своем почтовом сервисе Gmail.

Новый защитный механизм введен в эксплуатацию в боевых условиях: хакеры с увлечением атакуют профили именитых твиттерян, бравируя друг перед другом своим мастерством. В мае-апреле они в том числе скомпрометировали аккаунты Associated Press и The Onion, американского агентства сатирических новостей. Введенная Twitter процедура проверки идентичности нацелена на профилактику таких взломов: у пользователя запрашивают дополнительный код при входе в аккаунт с нового устройства или с помощью нового приложения.

Для активации новой функции нужно открыть в профиле вкладку Settings и выбрать опцию «Require a verification code when I sign in» («Запрашивать код верификации при входе на сайт»), а затем кликнуть по ссылке, чтобы привязать телефонный номер к аккаунту. С запуском этого механизма вам при каждой регистрации придется вводить одноразовый шестизначный пароль.

«Активация проверки идентичности не создаст помех работе ваших приложений. Если потребуется зайти в профиль Twitter с другого устройства или из другой программы, откройте свой список приложений (applications page), чтобы создать временный пароль на вход и авторизовать это приложение», — поясняет Джим О’Лири (Jim O’Leary), сотрудник подразделения Twitter по обеспечению безопасности программных продуктов.

«Наша новинка построена на базе приложения Twitter via SMS, что позволяет нам отправить текстовое сообщение на ваш номер до запуска процедуры проверки идентичности (у некоторых телеоператоров поддержка этой схемы может отсутствовать). Тем не менее ряд проведенных перед релизом технических работ на сервере открыл нам возможность для дальнейшего совершенствования защиты пользовательских аккаунтов», — продолжает О’Лири.

Google ввела аналогичную систему двойной авторизации более двух лет назад. Пользователи Gmail включают эту опцию через настройки в своем почтовом ящике и затем используют мобильное приложение для генерации одноразовых паролей либо получают их в виде SMS или голосовых сообщений. В минувшем марте Apple добавила очень похожий механизм в учетные записи Apple ID.

Разумеется, дополнительный уровень защиты — это благо, однако никакие защитные средства сами по себе не дают стопроцентной гарантии. Как показывает практика, у систем двухфакторной аутентификации тоже есть свои слабые места. В частности, привязка к конкретному номеру телефона, как отмечают эксперты, неудобна для СМИ и компаний с географически распределенной структурой, и они вряд ли будут пользоваться этой опцией в социальных сетях. Разбросанные по всему миру сотрудники имеют доступ к общему аккаунту, но без промежуточных сервисов не смогут получать коды авторизации, высылаемые на зарегистрированный в сети номер. С другой стороны, если не включить эту опцию, велик риск, что хакер или фишер украдет идентификаторы профиля и включит ее сам, заблокировав доступ законному владельцу.

В случае с банковским счетом подмену осуществить еще проще: если злоумышленник знает номер телефона, привязанного к взломанному аккаунту, он может от имени владельца заблокировать его у телеоператора и купить новую SIM-карту, как это возможно, например, в Индии. Перехват банковских SMS с одноразовыми паролями давно не проблема для операторов банковских троянцев. А если владелец счета настолько неискушен, что сам преподносит эти коды на блюдечке, тут и вовсе можно обойтись простой фишинговой рассылкой.

Категории: Главное, Кибероборона