Утечки данных становятся обычным делом как в малых, так и в крупных технологических компаниях. Самой последней жертвой стала австралийская телекоммуникационная компания Optus, что привело к несанкционированному доступу к идентификационным данным примерно 10 миллионов человек.

Усугубляя страдания жертв, эта кибератака привела к множеству последующих попыток фишинга и мошенничества с использованием данных, полученных в результате этого взлома. https://limonsu.ru/

Применение более строгих мер безопасности при входе в систему может помочь защитить ваши учетные записи и значительно снижает вероятность многих автоматических кибератак.

Многофакторная аутентификация (MFA) - это мера безопасности, которая требует от пользователя предоставления двух (также известных как двухэтапная проверка или двухэтапная аутентификация) или более подтверждений личности для получения доступа к цифровым сервисам. Обычно для этого требуется комбинация того, что известно пользователю (PIN-код, секретный вопрос), того, что есть у вас (карта, токен) или того, кем вы являетесь (отпечаток пальца или другой биометрический).

Например, Налоговое управление Австралии недавно ужесточило некоторые правила для поставщиков цифровых услуг в отношении обязательного использования многофакторной аутентификации. Если вы пользуетесь определенными услугами, вы уже знакомы с MFA.

Но не все решения MFA одинаковы, недавние исследования демонстрируют простые способы противодействия более распространенным методам, которые используются для организации кибератак.

Кроме того, люди также предпочитают различные варианты MFA в зависимости от своих потребностей и уровня технической подкованности.

Итак, какие варианты доступны в настоящее время, их плюсы и минусы и для кого они подходят?

Существует четыре основных метода многофакторной аутентификации
SMS или текст: в настоящее время наиболее распространенный вариант, включающий одноразовый пароль (например, код), отправляемый через текстовое сообщение. Несмотря на то, что она довольно популярна и проста в использовании, пароль или код, отправленные вам по смс, обычно могут быть взломаны вредоносными приложениями на телефоне или перенаправлением текста на другой телефон. Этот метод также завершается неудачей, если ваш смартфон не подключен к сервису или выключен.
Аутентификатор на основе: другой распространенный метод, при котором приложение, установленное на вашем смартфоне (например, Google Authenticator), генерирует одноразовые пароли, действительные в течение очень короткого промежутка времени, например, 30 секунд. Хотя она более безопасна, чем текстовые сообщения, вредоносные приложения все равно могут украсть эти одноразовые пароли. Этот метод также дает сбой, если ваш смартфон отключен от сети.
Мобильное приложение: аналогично приложениям-аутентификаторам, но пользователю отправляется запрос на подтверждение, а не одноразовый пароль. Для этого на вашем смартфоне должно быть активное подключение к Интернету и он должен быть включен.
Физический ключ безопасности: наиболее безопасный механизм; он использует аппаратный ключ безопасности (такой как YubiKey, VeriMark или Feitian FIDO), который необходимо подключить к устройству для проверки личности — многие из них очень похожи на USB-накопители. В настоящее время это ведущий метод, поддерживаемый такими компаниями, как Google, Amazon и Microsoft, а также правительственными учреждениями по всему миру.
многофакторная аутентификация
YubiKey - это один из примеров физического ключа, который вы можете подключить к своему устройству для подтверждения своей личности.

Каждый из этих четырех методов отличается удобством использования и безопасностью. Например, несмотря на то, что физические ключи безопасности обеспечивают наивысший уровень безопасности, уровень внедрения самый низкий, и цифры свидетельствуют о всего 10-процентном использовании.

Предпочтение имеет значение
Разные типы многофакторной аутентификации не только отличаются по уровню безопасности, но и имеют разный уровень популярности. Это приводит к несоответствию между наиболее надежным методом MFA (физическим ключом безопасности) и тем, что на самом деле является наиболее широко используемым (SMS / текст).

Наша команда из Центра исследований и инноваций в области кибербезопасности Университета Дикина недавно провела исследование по внедрению технологий MFA. Мы опросили более 400 участников, принадлежащих к разным возрастным группам, уровню образования и опыту работы с MFA.

Результаты нашего исследования показывают, что на предпочтения людей влияют не только их потребности в безопасности, но и удобство использования. Большинство пользователей больше всего заботила простота метода MFA — это ясно объясняет, почему текстовые решения по-прежнему доминируют в среде, хотя существуют более безопасные альтернативы.

В нашем последующем исследовании пользователям на один месяц были предоставлены самые популярные физические ключи безопасности для тестирования без присмотра. Предварительные результаты показывают, что большинство пользователей сочли физические ключи эффективными и интуитивно понятными в использовании.

Однако отсутствие поддержки платформы и инструкций по настройке создало представление о том, что эти ключи сложны в установке и использовании, что привело к отсутствию желания их внедрять.

Один размер не подходит всем
Мы считаем, что необходимо тщательно продумать, прежде чем какое-либо правительственное учреждение или компания назначит MFA, с учетом нескольких ключевых шагов.

У разных людей и организаций будут разные потребности, поэтому в некоторых случаях комбинация методов может сработать наилучшим образом. Например, текстовое решение может использоваться в сочетании с физическим ключом безопасности для доступа к критически важным системам инфраструктуры, которым требуется более высокий уровень безопасности.

Кроме того, жизненно важно просвещение пользователей. Многие люди не осознают важности MFA и не знают, какие методы являются наиболее безопасными.

Взяв на себя определенную личную ответственность и используя высокоэффективные методы, такие как физические ключи безопасности, для защиты наших наиболее уязвимых учетных записей, мы все можем внести свой вклад в то, чтобы сделать Интернет более безопасным местом.