CHIPHi-Tech

Практика > Безопасная авторизация

Надежная защита аккаунтов

Даже не выдумывая пароль из 20 символов, вы эффективно обезопасите себя от хакеров — если, конечно, будете пользоваться двухфакторной защитой через SMS, приложение или USB-накопитель.

Попробуем угадать, как выглядит ваш пароль. 123ABC? Тот, кто защищает свои учетные записи подобным образом, распахивает дверь шпионам. Согласно данным TNS Infratest, лишь половина опрошенных раз в год меняет пароль к своему почтовому аккаунту. Ситуация усложняется тем, что, как выяснила компания PayPal, каждый четвертый вставляет в шифр собственную фамилию или никнейм.

Но даже с таким халатным подходом и примитивными данными вы все равно можете изолировать свои аккаунты от атак хакеров — с помощью двухфакторной аутентификации. Изначально внедренная в онлайн-банкинге, теперь эта защита доступна для входа в различные веб-службы, в том числе Google, Facebook (соцсеть признана в РФ экстремистской и запрещена) и др. Наряду с вводом такой персональной информации, как имя пользователя и пароль, вы получаете одноразовый код каким-то дополнительным способом: по SMS, напрямую через приложение или же посредством специального USB-накопителя. Мы расскажем, как настроить отдельные опции и оптимизировать процесс, в первую очередь с точки зрения технической безопасности. Ведь только при правильной конфигурации новые методы защиты эффективно справляются с хакерскими атаками. Кроме того, вы узнаете, какие устройства следует использовать и какие сервисы поддерживают данную технологию. SMS и двухэтапная аутентификация работают для входа в сервисы со смартфонов и стационарных компьютеров. Для регистрации исключительно с ПК вам нужны варианты протокола U2F.

SMS-коды для входа в систему

Самый простой способ двухфакторной проверки работает всегда, поскольку с задачей справляется любой телефон: нужно просто принять SMS. Одноразовый код отправляется вам напрямую сервисом в коротком сообщении — точно так же, как и при онлайн-банкинге. Но и у этого варианта есть недостаток: он уязвим для хакерских атак типа «человек посередине». Несмотря на простоту интеграции, опция проверки по SMS у многих российских почтовых сервисов до сих пор недоступна. Пользователи же американских служб, в том числе Google и Facebook (соцсеть признана в РФ экстремистской и запрещена), уже могут активировать такую аутентификацию. Список крупных сетевых сервисов, предлагающих SMS-проверку, вы найдете в в правом нижнем углу страницы.

Надежных устройств не существует

Настройка SMS-токена у большинства служб работает схожим образом. На примере онлайн-магазина Amazon мы покажем, что нужно делать. Первым делом авторизуйтесь под своим аккаунтом, а затем в меню «Account & Lists» выберите пункт «Your Account». В разделе «Login & Security Settings | Advanced Security Settings» нажмите на кнопку «Get Started». В следующем окне введите свой номер телефона, выбрав в выпадающем списке страну «Russian Federation», и щелкните по «Send code». Полученный в SMS код введите в поле ниже и задействуйте функцию проверки по SMS нажатием на «Verify code and continue». Теперь при каждом заходе на сервис с компьютера или смартфона вам придется дополнительно к паролю вводить одноразовый код. Многие службы, в том числе и Amazon, позволяют отметить устройство как надежное — однако мы все же не рекомендуем активировать эту опцию, поскольку она полностью отключает двухфакторную защиту для данного устройства.

На большинстве смартфонов входящие SMS-сообщения отображаются непосредственно на экране заставки, даже когда установлена блокировка экрана. Поэтому если ваш телефон украдут, злоумышленники все равно смогут узнать код. Впрочем, это целесообразно только в том случае, если у них уже есть доступ к паролю от вашего аккаунта. И все же лучше всего отключить отображение каких бы то ни было уведомлений в заблокированном состоянии. При этом о появлении новых уведомлений вас по-прежнему будет извещать звук и вибрации. В Android зайдите в «Настройки | Звуки и уведомления» и нажмите на «На заблокированном экране». Выберите вариант «Не показывать уведомления». Пользователи iOS найдут данную функцию в «Настройках». Здесь нажмите на «Уведомления | Сообщения» и отключите опцию «На заблокированном экране».

Опасность таит в себе и слабая защита от прослушки. Национальный институт стандартов и технологий США (NIST) предостерегает от использования SMS для генерации одноразовых паролей. Если злоумышленники знают ваш номер, они могут получить доступ к вашим сообщениям следующим образом: запустить вредоносное ПО на вашем смартфоне, такое как Trojan.SMS.Agent, и считать входящие SMS. Эксперты компании Malwarebytes утверждают, что такие вирусы чаще всего попадают на устройство через взломанные приложения. Для их установки достаточно нажатия на ссылку. Чтобы обезопасить себя, загружайте приложения только из официальных магазинов приложений Apple и Google, а также отключите в настройках установку ПО из неизвестных источников.