Уязвимость парольной защиты доступа к онлайн-сервисам давно не дает покоя ИБ-специалистам. Концепция системы авторизации на основе пары «логин-пароль», по мнению множества экспертов, давно устарела, а постоянно совершенствуемые техники взлома наносят ей все более ощутимые удары. Пароли легко похитить, взломав базу данных или выудив информацию у самих пользователей через фишинговые письма. На настоящий момент единственным способом укрепить защиту доступа является двухфакторная аутентификация. Например, отраслевой альянс FIDO, объединяющий несколько ведущих мировых IT-компаний, начал работу по созданию единого решения двухфакторной аутентификации, совместимого с широким спектром устройств и платформ.

На этой неделе две крупнейшие российские интернет-компании также решили озаботиться безопасностью своих пользователей и объявили о запуске бета-версий своих реализаций двухфакторной аутентификации.

Mail.ru объявила об открытом бета-тестировании своей системы двухфакторной аутентификации, которая будет применяться в «Почте», «Облаке», «Календаре», «Игровом центре» и на других площадках Mail.Ru. Принцип работы двухфакторной аутентификации зиждется на привычной схеме, где первым фактором выступает придуманный пользователем пароль, а вторым — генерируемый случайный код, высылаемый на привязанный к учетной записи телефон. По мнению представителей, это наиболее доступный и понятный способ валидации доступа, используемый, например, в системах онлайн-банкинга. Как справедливо считают в Mail.Ru, самым слабым звеном в защите учетной записи является пароль. Добавление второго фактора значительно минимизирует вероятность взлома: шансы возникновения ситуации, при которой злоумышленник помимо логина и пароля также завладел телефоном, довольно малы, и такой способ авторизации является достаточно надежным. В дальнейшем компания планирует работать над реализацией поддержки мобильных приложений, основанных на публичном стандарте, например Google Authenticator.

Механизм двухфакторной аутентификации от «Яндекса» ориентирован на пользователей, имеющих смартфон: при прохождении авторизации, по словам разработчиков, пользователям можно вообще забыть о вводе пароля, так как для верификации необходим смартфон с установленным на него специальным приложением «Яндекс.Ключ», доступным для iOS и Android. Для работы этой системы «Яндекс» разместил QR-коды на главной странице, а также на страницах сервисов «Почта» и «Паспорт». В случае отсутствия подключения к Сети или отказа камеры смартфона система генерирует пароль, как и в уже привычных нам реализациях двухфакторной аутентификации, однако ввести его нужно успеть за 30 секунд, иначе срок его действия истечет, поэтому, по утверждению представителей «Яндекса», перехват или подбор пароля практически невозможны.

В случае утери смартфона, к которому привязана учетная запись, доступ к данным сохраняется, так как для валидации доступа к учетной записи используется четырехзначный PIN-код (для владельцев iOS-устройств с поддержкой Touch ID доступна опция биометрической аутентификации). Так что данные останутся в безопасности даже при потере смартфона.

В «Яндексе», по утверждению его представителей, отказались от более распространенного подхода к реализации двухфакторной аутентификации из-за его несовершенства и вреда для юзабилити сервиса, а также ненадежности SMS как способа доставки одноразового пароля. В то же время преимущества двухфакторной аутентификации доступны только владельцам смартфонов. На конец 2014 года показатель проникновения смартфонов в России составил 66%, что, хотя и впервые в истории выше аналогичного показателя для обычных телефонов (64%), пока далеко от 100%. К тому же приложение «Яндекс.Ключ» могут установить только владельцы iOS- и Android-устройств. В Mail.Ru решили пойти по проторенной дорожке и сделали двухфакторную аутентификацию доступной максимальному количеству юзеров, которые могут подключить или отключить ее в настройках учетной записи, — сотовый телефон, скорее всего, есть у 100% пользователей. Пока удобство и надежность обеих систем проверяют подписчики сервисов — они смогут оценить, что лучше: «дешево и сердито» или «элегантно, но не для всех».

Категории: Главное, Кибероборона