2FA (Двухфакторная аутентификация) - обязательная функция для современного пользователя
Двухфакторная аутентификация (Two-factor authentication/ 2FA) - это метод защиты, который требует от пользователя предоставления двух разных типов идентификационных данных для подтверждения его личности. Этот метод обычно используется для повышения безопасности входа в системы и онлайн-сервисы. Когда включена двухфакторная аутентификация, помимо стандартного ввода логина и пароля, пользователю может потребоваться предоставить дополнительную информацию для подтверждения своей личности. Это может быть одноразовый код, полученный через SMS, электронное письмо или мобильное приложение, отпечаток пальца, голосовое распознавание или другие формы идентификации. 2FA повышает безопасность, так как даже если злоумышленник узнает логин и пароль пользователя, ему будет сложнее получить доступ к аккаунту без дополнительной проверки подлинности. Этот метод защиты широко применяется в банковских системах, социальных сетях, электронной почте и других сервисах, где важно обеспечить безопасность пользовательских данных и предотвратить несанкционированный доступ.
Пароли
реклама
"Пароль" - это секретная комбинация символов или фраза, которая используется для аутентификации и доступа к защищенным системам, устройствам или аккаунтам. Пароли обеспечивают конфиденциальность и безопасность информации, так как только те, кто знают правильный пароль, могут получить доступ.
Понятие "пароль" придумали несколько тысяч лет назад. Секретный замок... В век технологий подбор пароля стал тривиальной задачей. Вокруг "подбора" или "взлома" ходит множество мифов, что продвигают некоторые компании. Вводите пароль из ста букв и символов в разных регистрах и злоумышленнику понадобится много-много-много лет, чтобы его взломать. И проблема состоит в том, что пароль из 6 цифр более устойчив ко взлому, чем из 100 цифр, букв, знаков в разных регистрах. Парадокс.
Думаете это не так? Попробуйте зайти в свою почту и набрать пароль от нее 20 раз неправильно (тот самый перебор или Bruteforce). Сначала вы получите защиту от ботов (капчу), потом блок аккаунта на 5 минут. А многие сайты дадут вам блок на 10 минут или час. При таком подходе не имеет значение, сколько знаков в вашем шифре. Вот только шестизначный пароль вы легко запомните, а тот что посложнее, вам придется записать. Банально, но чем сложнее пароль, тем больше вероятность его утечки. А теперь добавьте к этому "желание" сайтов менять пароли регулярно. Система усложняется, а защита при этом становится все хуже. А теперь представьте сотни разных сервисов и сложные пароли, которые надо помнить. Кавардак.
2FA
реклама
Два одновременных метода защиты. Заполучить одновременно оба практически невозможно. Удобно. Просто и элегантно. Пока этим способом не начали пользоваться все и каждый. Никакой стандартизации и снова начинается Кавардак. Каждый сервис старается разработать свой способ и алгоритмы по защите. Просто для понимания - STEAM пользуется около 300 млн человек. Если прибавить заброшенные аккаунты, то в сервисе товаров более чем на 1 000 000 000 000 $. Кругленькая сумма. Многие банки не обладают такими сбережениями. И взять пару сотен тысяч на свои личные расходы - огромный ручеек из желающих. А это репутационные и финансовые потери. Подобных сервисов бесчисленное множество. Чего только стоит майнинг бум и сотни всевозможных бирж с цифровыми товарами.
СМС-аутентификация
Удобный сервис. Вам нужно войти в аккаунт, вводите свой пароль, получаете сообщение со вторым паролем и вы вошли. Но у сервиса есть 2 большие уязвимости.
Первая - клонирование sim-карт. Если речь идет о больших суммах, то есть возможность получать СМС сообщения от оператора
реклама
Вторая - более банальная. Рассылка сотен миллионов СМС сообщений каждый день - это весомые финансовые затраты. Плюс, не всегда есть возможность отправлять сообщения в удаленные регионы.
Аутентификаторы
Программы, по определенному алгоритму выдающие код авторизации. Один у пользователя, второй на серверах компаний. Гениальное решение. Понравилось многим... Стоит сделать акцент на слове МНОГИМ. Появились сотни программ с генерацией кодов под каждый отдельный сервис. Про банки и слова не говорю. А еще к этим программам в комплекте идут коды восстановления, которые рекомендуется распечатать и сохранить отдельно на листочке :-))) Маразм крепчал. Безопасность приносит все больше и больше проблем.
Фильм Хакеры 1995 год и Бросок кобры 2008 год
Два совершенно непохожих фильма. Только есть в них одна общая черта. Противостояние "Щит и Меч". Чем сильнее становится оружие, тем быстрее развивается противодействие ему. Взломы пользовательских данных и их методы с 1995 года ушли в космическую эру. И на этом зарабатывают те самые "Дестро". Все слышали про 256-ти битную шифрацию данных (или любую другую, самую новомодную), про которую часто любят говорить компании, допустившие утечку. Взломщики не смогут расшифровать ваши кредитные карты и прочие личные данные. Можете спать спокойно. Правда жизни такова, что сегодня всего за пару минут можно расшифровать любой пароль с любым шифрованием. Да... Математика - это очень сложно. Поэтому никто не использует прямой способ перебора, существует обратная дешифрация по словарю. Зачем заниматься сложными вычислениями, если значение "А" после зашифровки всегда будет иметь значение "Б", а если мы имеем словарь таких соответствий - то нужно просто найти его в словаре. БЕЗ расшифровки. Где-то видел подсчеты. На 12-значный пароль во всех формах словарь будет весить чуть больше 2 Тб. С увеличением числа знаков будет увеличиваться объем словаря. Надеюсь, не надо говорить о том, как GOOGLE быстро работает с индексированными данными и какими объемами он оперирует в мгновение ока?
Что делать с десятками аутентификаторов
реклама
Перерыл десятки статей. И встретил вот такой длинный список только самых распространенных программ
- Приложения-аутентификаторы для Android: andOTP, Twilio Authy, Google Authenticator, Microsoft Authenticator, Яндекс.Ключ, Cisco Duo Mobile, FreeOTP
- Приложения-аутентификаторы для iOS 15: OTP auth, Step Two, Twilio Authy, Google Authenticator, Microsoft Authenticator, Яндекс.Ключ, Cisco Duo Mobile, FreeOTP, встроенный аутентификатор iOS
- Приложения-аутентификаторы для Windows: WinAuth, Twilio Authy
- Приложения-аутентификаторы для macOS: Step Two, OTP auth (только платная версия), Twilio Authy, встроенный аутентификатор macOS
И ужаснулся увиденному. Много неизвестных и непонятных названий, которым надо доверить все самое ценное. Так как телефон не использую для хранения важной информации, круг приложений сузился всего до двух программ, о которых минимум информации в интернете. Являясь продвинутым пользователем, впал в уныние. Впереди нас ждут новые потрясения и множество новых способов защиты. Microsoft тестирует на подопытных "беспарольную защиту". К такому варианту безопасности в скором времени подтянутся и другие компании. Защита данных пользователей все дальше ускользает из их рук. Очень странная тенденция.
WinAuth
Пока остановился на данном генераторе кодов. Сборник включает в себя несколько десятков программ для разных сайтов. Имеет портабельную версию. Оригинал можно держать у себя на компьютере, а резервную версию с кодами "восстановления" держать в облаке. В библиотеке GitHub имеется огромный раздел, посвящённый утилите. Но на душе какое-то беспокойство и ожидание конца света.
А что честной народ думает про свою безопасность и безопасность близких? Как он готовится к цифровому апокалипсису?
Лента материалов
Соблюдение Правил конференции строго обязательно!
Флуд, флейм и оффтоп преследуются по всей строгости закона!
Комментарии, содержащие оскорбления, нецензурные выражения (в т.ч. замаскированный мат), экстремистские высказывания, рекламу и спам, удаляются независимо от содержимого, а к их авторам могут применяться меры вплоть до запрета написания комментариев и, в случае написания комментария через социальные сети, жалобы в администрацию данной сети.
Комментарии Правила