Статья

Зачем нужна двухфакторная аутентификация в интернете?

Безопасность Стратегия безопасности
мобильная версия

Мировые лидеры в области онлайн-сервисов объединились в поиске надежных способов защиты пользовательских данных в интернете. Российские разработчики средств ИБ не остались «за бортом» и активно развивают решения с применением двухфакторной аутентификации, учитывающие как национальные, так и новые зарубежные стандарты.

Интернет вошел в нашу жизнь настолько прочно, что, кажется, он существовал всегда. Но это не так. Эта сеть появилась относительно недавно, всего несколько десятилетий назад. И она предназначалась для несколько иных целей, нежели те, которые возлагаются на интернет сейчас.

На заре появления глобальной паутины пары логин-пароль хватало с избытком для надежной аутентификации относительно небольшого количества пользователей. Да и воровать в сети было особенно нечего. Да и не скрывали в нем особенно ничего.

Полумерами кражи аккаунтов уже не остановить

Сфера использования сети со временем резко расширилась. Сейчас посредством интернета проводятся банковские операции, осуществляются покупки в онлайн-магазинах, пересылаются важные документы. Да, конечно, стали использовать защищенные технологии передачи информации. Но вот защита аккаунтов как была на примитивном уровне, так в большинстве случаев и осталась.

К чему приводит утрата логина и пароля? Многие считают свою скромную персону неинтересной для хакеров. Однако это очень опасное заблуждение. «И не стоит думать, что эти проблемы грозят только обеспеченным людям, которые находятся в сфере интересов криминального сообщества. К несчастью, люди идут на преступление порой только ради того, чтобы завладеть телефоном или просто из хулиганских побуждений», – комментирует Дмитрий Скрипкин, заместитель директора департамента информационной безопасности компании «РТС-Тендер».

Постепенно число краж и взломов аккаунтов в сети приобрело настолько угрожающие масштабы, что стало понятно: полумерами здесь уже не обойтись. Требуется объединение усилий множества участников рынка, выработка новых стандартов и регламентов.

Алексей Сабанов, доцент МГТУ им. Н.Э. Баумана и заместитель генерального директора «Аладдин Р.Д.», соглашается: «Информация в интернете уже привычно стала товаром, а зачастую движущей силой развития технологий и проектов. Число инцидентов безопасности, связанных с кражей и неправомерным использованием информации пользователей интернет-ресурсов неуклонно растет. Уровни рисков и число решений с более-менее проработанной схемой их снижения до приемлемого уровня могут быть посчитаны с помощью пальцев не только одной руки».

В таблице ниже приведена малая часть того, что стало известно аналитикам и общественности о крупнейших инцидентах с аккаунтами за последние год-полтора.

Крупнейшие утечки пользовательских данных, 2014–2015 гг.

Период Описание инцидента
2014 г., сентябрь Злоумышленникам удалось получить информацию о приблизительно 5 млн учетных записях американского почтового сервиса Gmail.
2014 г., сентябрь Было похищено более 1 млн паролей пользователей «Яндекса». В компании заявили, что хакеры могли получить данные с помощью фишинга и заражения вычислительных устройств вирусами.
2014 г., сентябрь В интернете обнаружена база данных с примерно 4,6 млн паролей от почты Mail.ru.
2014 г., октябрь Администрация социальной сети «Вконтакте» заблокировала свыше 200 тыс. учетных записей и просила их владельцев поменять пароли. Речь шла об аккаунтах, связанных с почтовыми ящиками Gmail, Mail.ru и Яндекс.
2015 г., май Администрация сервиса анонимных мнений «Спрашивай.ру» сообщила, что хакерам удалось взломать 6,7 млн аккаунтов их пользователей.
2015 г., август Данные 32 млн мужчин и женщин, заводивших новые знакомства для измены своему супругу, попали в сеть. Большинство пострадавших не удалило свои учетные записи после успеха в поиске. Общая аудитория ресурса около 50 млн человек.
2015 г., октябрь Компания T-mobile заявила, что хакеры получили доступ к данным 15 млн клиентов.

Источник: CNews Analytics, 2015

Масштабы хищений просто поражают воображение. И, что самое неприятное, один и тот же человек, попав на удочку мошенников в одном месте, может завтра же стать жертвой на другом ресурсе.

«Пользователи наивно полагают, что, ограничив аудиторию просмотра в настройках публикации и придумав, по их мнению, сложный пароль для доступа к своему профилю, они уберегут себя от кражи и распространения этой информации. Ведь для многих кража аккаунта в социальной сети сулит большие проблемы, например: потеря уважения среди друзей или коллег, потеря работы, проблемы в семье из-за того, что кто-то узнал о неверности своей половинки, а иногда и более серьезные, такие как шантаж, вымогательство со стороны лиц, завладевших конфиденциальной информацией», – комментирует Дмитрий Скрипкин.

Всем миром за безопасный интернет

Несколько лет назад проблема защиты пользовательских данных подтолкнула крупнейшие мировые технологические компании к созданию новой структуры, взявшей на себя координирующую роль в этой сфере информационной безопасности.

Новая международная структура получила название FIDO Alliance. Ее основная задача – предоставление онлайн-службам возможности проведения строгой аутентификации для снижения числа проблем, связанных с необходимостью запоминания большого количества учетных данных. А это еще одна серьезная проблема безопасности.

FIDO Alliance – весьма представительный орган, наделенный серьезными полномочиями. В его рядах крупнейшие финансовые организации (Bank of Ameriсa, PayPal, MasterCard), электронные торговые площадки (AliExpress и др.), а также технологические компании (Google, Mozilla, Microsoft).

Простота использования во главе угла

Практическим достижением работы этой команды стала выработка технологии двухэтапной аутентификации U2F с использованием токенов, которая позволяет онлайн-службам усилить безопасность существующей парольной инфраструктуры, включив в процедуру аутентификации пользователей второй фактор. В зависимости от настроек онлайн-служба или сайт может потребовать от пользователя предъявления U2F-токена в качестве второго фактора аутентификации. Уже сейчас пользователи Google, Dropbox и GitHub в любой момент могут начать им пользоваться.

Для начала работы необходимо запустить браузер Chrome, зайти в свой личный кабинет и включить опцию аутентификации с использованием U2F. Сам же токен необходимо вставить в USB-порт. Далее по сообщению в браузере необходимо нажать кнопку на токене. На этом процедура регистрации закончена. Несмотря на кажущуюся простоту и элегантность решения, в нем заложены сложнейшие криптографические алгоритмы на базе открытых ключей, что гарантирует защищенность процедуры аутентификации и идентификации.

Столь представительный состав FIDO Alliance позволил реализовать на практике еще одну интересную вещь – универсальность технологии. Уже сейчас в соответствии с этой концепцией U2F-токен с подключением по USB-порту готов к работе со многими операционными системами без дополнительных драйверов.

В России есть, кому развивать U2F-технологии

Российские разработчики не остались «за бортом» мирового тренда. Компания «Аладдин Р.Д.» – также член FIDO Alliance – развивает собственные решения для двухфакторной аутентификации пользователей онлайн-сервисов с учетом требований отечественных регулирующих органов и новых зарубежных стандартов. Компания уже разработала и наладила производство U2F-токенов под брендом JaCarta, а также создает готовые решения с применением этих устройств.

Западные вендоры, в частности нидерландский производитель полупроводников NXP (также участник FIDO Alliance), высоко оценивают потенциал местных игроков. Так, Игорь Бояренко, директор по развитию бизнеса компании NXP в области идентификации в СНГ, Польше, Прибалтике и Скандинавии, отмечает: «Очень важно, что «Аладдин Р.Д.» начинает продвижение не только токенов, но и готового решения для разработчиков и сервис-провайдеров российского рынка».

Эксперты подчеркивают, что U2F-токены, гарантирующие защищенность процедуры аутентификации и идентификации, могут быть встроены в существующие системы, которые используют электронные подписи на базе PKI с учетом требований к криптографии российских регулирующих органов.

Татьяна Ведешкина