Двухфакторная аутентификация для финансовых счетов - насколько она безопасна?

[Carder]

Вы когда-нибудь входили в онлайн-аккаунт, а затем получали текстовое сообщение, подтверждающее, что вы действительно входили в систему? В настоящее время это обычное дело, особенно с финансовыми счетами, но все чаще и чаще со многими видами онлайн-счетов, которые содержат конфиденциальную информацию.

Этот тип безопасности называется двухфакторной аутентификацией, потому что вам нужны два типа проверки, чтобы доказать, что это действительно вы, а не какой-то плохой парень, получаете доступ к учетной записи. Двухфакторная аутентификация - одна из наиболее распространенных технологий, используемых для защиты вашей учетной записи, но, по крайней мере, один наблюдатель предполагает, что технология не была изучена достаточно, чтобы знать ее слабые стороны.

Этот недостаток знаний может означать, что ваши учетные записи не так безопасны, как кажется, что потенциально делает ваши деньги уязвимыми для хакеров, которые могут использовать лазейки в процессе.

Что такое двухфакторная аутентификация?​

Двухфакторная или многофакторная аутентификация - это способ подтвердить, что вы являетесь тем, кем себя называете. Обычно он объединяет часть информации, которую вы знаете, например пароль, с тем, что у вас есть, например, телефоном, картой кодов или физическим ключом, который вы должны вставить в свое устройство.

Иногда этот второй фактор может включать идентификацию предварительно выбранного изображения на веб-сайте или подтверждение доступа к учетной записи с помощью голосового телефонного звонка. Некоторые финансовые сайты требуют логина и пароля, а затем проверяют вас на основе вашего браузера или устройства.

Один из первых брокеров, внедривший двухфакторную аутентификацию, был Interactive Brokers, - говорит официальный представитель Кален Холлидей. Брокер много лет использовал кодовую карту, а теперь также предлагает приложение для настольных и мобильных устройств, которое требует от вас ввода ПИН-кода или отпечатка пальца на телефоне. По словам Холлидея, Interactive Brokers также может требовать распознавания лиц.

Двухфакторная аутентификация сделала финансовые счета более безопасными, но неясно, насколько. Кража личных данных продолжает оставаться огромной проблемой, и, хотя потребители могут чувствовать себя в большей безопасности, используя многоэтапный процесс, было проведено недостаточно исследований, чтобы изучить, насколько он эффективен.

Итак, насколько безопасна двухфакторная аутентификация?​

«Двухфакторная аутентификация не обеспечивает такой безопасности, как можно было бы предположить», - говорит д-р Инлиан Се, генеральный директор DataVisor.

По мнению экспертов, даже отраслевые стандарты и передовые методы уязвимы для взлома. И некоторые финансовые учреждения также не очень подходят для аутентификации.

Чтобы быть реализованной должным образом, такая аутентификация должна использовать сочетание различных типов факторов, таких как основанный на знаниях, биометрический или физический элемент, говорит Максим Руссо, директор по информационной безопасности Personal Capital. Вместо этого некоторые компании просто добавляли вопросы безопасности к требованию пароля, что не обеспечивает такой же безопасности, говорит он.

«Стандартная многофакторная аутентификация сегодня обычно сочетает в себе пароль и код SMS», - говорит Руссо. Но ведущие организации или организации с более высоким уровнем риска переходят от этого стандарта к кодам на основе приложений для борьбы с атаками с использованием телефона, говорит он.

Эти угоны становятся все более распространенным явлением: с примерно 380 000 в 2017 году до примерно 679 000 в 2018 году. Конечно, телефоны являются одним из самых популярных методов проверки.

«По мере того, как мобильные технологии становятся более уязвимыми, двухфакторная аутентификация в качестве меры безопасности становится все менее эффективной, - говорит д-р Се.

Но насколько неэффективно? Доктор Джозефин Вольф, профессор политики кибербезопасности в Университете Тафтса, говорит, что мало опубликовано о том, насколько безопасна двухфакторная аутентификация.

«Он не был изучен и протестирован так тщательно, как мог бы», - говорит Вольф. «Таким образом, мы до сих пор не очень хорошо понимаем сильные и слабые стороны различных типов вторых факторов». Однако она отмечает, что Google недавно опубликовал пару исследований, которые «делают большие шаги», чтобы проанализировать, какие факторы более безопасны.

А насчет безопасности финансовых институтов мы просто не знаем, - говорит Вольф. «Большинство сайтов не публикуют никаких цифр о том, как часто учетные записи их пользователей скомпрометированы, поэтому мы действительно не знаем, кто делает лучшую или худшую работу».

Возможные лазейки для хакеров​

«Хотя ни одна система безопасности не является надежной, добавление многофакторной аутентификации - это разумный способ снизить риск захвата аккаунта», - говорит Гэри Циммерман, генеральный директор MaxMyInterest. Но некоторые типы двухфакторной аутентификации слабее других, говорит он.

Например, если вы используете логин и пароль своей электронной почты для финансового аккаунта, хакеры могут легко получить доступ к обоим, поскольку они могут подтвердить вашу личность по электронной почте. Это все равно, что дать ворам ключи от вашей входной двери и надеяться, что они не обнаружат, что ключи работают и на ваш сейф.

По словам доктора Вольфа, нарушение некоторых типов двухфакторной аутентификации - не редкость. Хакеры могут создавать мошеннические веб-сайты, которые выглядят почти идентично реальным. Затем, якобы из банка или брокера, они пишут людям по электронной почте, что срок их действия истекает или у них отсутствуют данные. Но вместо этого электронное письмо отправляет клиента на поддельный сайт, который мошенническим образом собирает любую информацию для входа в систему, которую он отправляет с помощью фишинга.

Хакер вводит эту информацию на реальном сайте банка, отправляя пользователю текстовое сообщение с одноразовым кодом. Ничего не подозревая, пользователь затем вводит этот код на поддельном веб-сайте, а затем хакер вводит его на реальном сайте, получая доступ к учетной записи.

«Такое несовершенство не означает, что мы должны отказаться от двухфакторной аутентификации», - говорит Вольф. Скорее, « мы должны тщательно изучить его и выяснить, как его можно реализовать наиболее эффективно».

Потребителей часто раздражают технологии безопасности.​

Безопасности учетной записи не способствует тот факт, что некоторых потребителей может раздражать двухфакторная аутентификация. Опрос профессионалов в области кибербезопасности, проведенный в 2017 году компанией SecurAuth Corporation, показал, что 74% организаций, использующих двухфакторную аутентификацию, получают жалобы от пользователей на этот процесс. Около 10 процентов пользователей заявили, что действительно ненавидят его. Несмотря на эти проблемы, многие привыкли к дополнительной ступеньке и сейчас почти не замечают ее.

«Лучший подход - это тот, который требует наименьшего количества шагов и самой быстрой аутентификации, при этом обеспечивая максимальную безопасность финансовых счетов», - говорит Холлидей.

Многие люди будут время от времени раздражаться при входе в систему, чтобы гарантировать безопасность своей личности и финансовых счетов. Таким образом, двухфакторная аутентификация получила распространение, особенно в финансовых учреждениях, которым есть что потерять в случае кражи ваших денег.

По словам Пьера Демарша, вице-президента по продуктам и маркетингу TeleSign, компании, занимающейся онлайн-безопасностью, всплеск новых финтех-компаний и разработка цифровых продуктов также привели к переходу на многофакторную аутентификацию. «По мере появления этих новичков, - говорит он, - двухфакторная аутентификация не рассматривается как полезная, а скорее ожидаемая функция».

Потребители могут рассматривать эти меры безопасности как раздражающие, но они никуда не денутся. «Банки постоянно тестируют и сравнивают свои возможности, чтобы оставаться актуальными и безопасными», - говорит Демарш, и это будет продолжаться.

Как потребители могут оставаться в безопасности в сети​

Хотя двухфакторная аутентификация не идеальна, потребители должны стремиться принять этот новый стандарт, поскольку он помогает защитить их деньги и их личность.

«Хотя может показаться неудобным проходить многофакторную аутентификацию для доступа к своим учетным записям, знайте, что веб-сайты и финансовые учреждения внедряют ее в вашу пользу», - говорит Циммерман.

Поэтому не рекомендуется обходить процедуры, созданные для защиты вашей учетной записи, даже если вход в систему станет немного более громоздким.

Тем временем специалисты по безопасности продолжат работу над аутентификацией, которая будет менее навязчивой, но при этом сохранит безопасность.

Доктор Се объясняет одно видение такого процесса, называемого аутентификацией с нулевым фактором. Такой процесс использует вашу «цифровую ДНК» - ваше различное онлайн-поведение, такое как устройства и действия, - для проверки вашей личности. «С ИИ реальность нулевой аутентификации ближе, чем мы думаем».

Некоторые из старейших советов по-прежнему остаются одними из лучших. Не сообщайте свои пароли и создавайте отдельные пароли для каждой из своих учетных записей.

Но если вы хотите сделать еще один шаг в области безопасности, Вольф предлагает использовать физическое устройство, такое как Yubikey, в качестве второго фактора для ценных учетных записей. Она также рекомендует использовать менеджер паролей, который может хранить и создавать сложные и уникальные пароли. Два популярных приложения для управления паролями - это Keeper Security Password Manager и LastPass. Оба они доступны бесплатно и доступны на нескольких вычислительных платформах.

Выводы​

Двухфакторная аутентификация полезна, даже если она не надежна. По мере того как профессионалы изучают, какие методы являются наиболее безопасными, потребители должны ожидать появления новых типов безопасности со временем.

Но плохие парни по-прежнему будут искать способы преодолеть или преодолеть цифровую ограду, чтобы получить ваши деньги. Таким образом, потребители должны тщательно следовать передовым методам защиты своей финансовой информации, чтобы устранить или хотя бы уменьшить свой риск.

 

[Carding]

Как использовать двухфакторный ключ безопасности​

Недостаточно иметь отличные новые устройства, приложения и игры - вы также должны знать, как ими пользоваться. Здесь, в The Verge, мы предлагаем пошаговые инструкции для опытных и новых пользователей, которые работают с приложениями, службами, телефонами, ноутбуками и другими инструментами в Интернете, macOS, Windows, Chrome OS, iOS и Android. От простых инструкций по установке и использованию новых устройств до малоизвестных стратегий использования скрытых функций и лучших методов увеличения мощности или хранилища - мы вернем вам ваши технологии.

Двухфакторная аутентификация - хороший способ добавить дополнительный уровень безопасности к онлайн-учетным записям. Однако это требует использования вашего смартфона, что не только неудобно, но и может стать проблемой, если ваш телефон потерян или взломан. Аппаратные ключи безопасности могут предложить дополнительный уровень безопасности для защищенных паролем онлайн-учетных записей и, в свою очередь, вашей личности. Их также несложно установить. Вот как настроить их для своей учетной записи Google, Facebook и Twitter.

Ключи безопасности подключаются к вашей системе с помощью USB-A, USB-C или Bluetooth, и они достаточно малы, чтобы их можно было носить на связке ключей (за исключением нано-ключа Yubico USB-C, который настолько мал, что безопаснее всего хранить в USB-порт вашего компьютера). В основном они используют открытый стандарт аутентификации под названием FIDO U2F. Также есть улучшенный стандарт Fido2, хотя не все клавиши или приложения его используют.

Когда вы вставляете ключ безопасности в свой компьютер или подключаете его по беспроводной сети и нажимаете кнопку на ключе, ваш браузер выдает запрос к ключу, который включает доменное имя конкретного сайта, к которому вы пытаетесь получить доступ. Затем ключ криптографически подписывает и разрешает задачу, регистрируя вас в сервисе.

Многие сайты поддерживают ключи безопасности U2F, включая Twitter, Facebook, Google, Instagram, GitHub, Dropbox, Electronic Arts, Epic Games, службы учетных записей Microsoft, Nintendo, Okta и Reddit. Вы также можете использовать его для входа в macOS, но не в Windows - во всяком случае, пока нет. Стандарт Fido2 может использовать Windows Hello вместе с браузером Microsoft Edge для аутентификации Windows, если ключ поддерживает это. Однако, насколько нам известно, ключи нельзя использовать на некоторых устройствах, таких как телевизоры Android или Nvidia Shields, поэтому заранее изучите их.

Прежде чем использовать ключ безопасности, необходимо выполнить настройку. После этого для безопасного доступа к вашему онлайн-профилю на сайте достаточно просто ввести пароль, вставить ключ и нажать кнопку.
Помните, что вы не можете копировать, переносить или сохранять данные ключа безопасности между ключами (даже если ключи одной модели). Это сделано по дизайну, поэтому ключи не могут быть легко скопированы и использованы где-либо еще. Если вы потеряете ключ безопасности, вы можете использовать приложение двухфакторной аутентификации или аутентификатора вашего мобильного телефона. Затем, если вы хотите использовать новый ключ, вам придется заново пройти процесс повторной авторизации ваших учетных записей.

КАКОЙ ЭЛЕКТРОННЫЙ КЛЮЧ МНЕ СЛЕДУЕТ ИСПОЛЬЗОВАТЬ?
Есть несколько доступных брендов. Yubico, который является одним из разработчиков стандарта аутентификации FIDO U2F, продает несколько различных версий. Google продает собственный ключ U2F под названием Titan (который подвергся тщательной проверке из-за того, что производится в Китае). У Google есть запасной ключ с функцией Bluetooth, но он должен быть заряжен, что может стать проблемой, если он внезапно выйдет из строя в неподходящее время. К другим производителям ключей U2F относятся Kensington и Thetis, которые также предлагают ключи USB-A, но не имеют вариантов USB-C.

Для этого практического руководства я использовал ключ безопасности YubiKey 5 NFC, который подходит к порту USB-A для настольных компьютеров, но также работает с телефонами Android и iPhone через NFC. Однако процесс для всех аппаратных ключей безопасности практически одинаков.

ПОДКЛЮЧЕНИЕ КЛЮЧА К ВАШЕЙ УЧЕТНОЙ ЗАПИСИ GOOGLE
Чтобы использовать ключ безопасности с вашей учетной записью Google (или любой другой учетной записью), вам необходимо уже настроить двухфакторную аутентификацию.

• Войдите в свою учетную запись Google и щелкните значок своего профиля в правом верхнем углу. Выберите «Аккаунт Google».
• В меню слева нажмите «Безопасность». Прокрутите вниз, пока не увидите «Вход в Google». Щелкните ссылку «Двухэтапная проверка». На этом этапе вам может потребоваться снова войти в свою учетную запись.
  
  
• Прокрутите вниз, пока не увидите «Настроить альтернативный второй шаг». Найдите параметр «Электронный ключ» и нажмите «Добавить электронный ключ».
• Вы увидите окно с сообщением, что ключ находится поблизости, но не подключен к розетке. Нажмите «Далее».
• Вставьте ключ в порт вашего компьютера. Нажмите кнопку на ключе, затем нажмите «Разрешить», как только увидите всплывающее окно Chrome с просьбой прочитать марку и модель вашего ключа.
• Дайте вашему ключу имя.
• Теперь все готово! Вы можете вернуться на страницу 2FA своей учетной записи Google, чтобы переименовать, добавить или удалить дополнительные ключи.

ПОДКЛЮЧЕНИЕ КЛЮЧА К ВАШЕЙ УЧЕТНОЙ ЗАПИСИ TWITTER

• Войдите в свою учетную запись Twitter и щелкните значок своего профиля в правом верхнем углу. В раскрывающемся меню выберите «Настройки и конфиденциальность».
• Найдите заголовок «Безопасность». Если вы еще не настроили двухфакторную проверку, вы увидите кнопку с надписью «Настроить проверку входа». Вы получите всплывающее окно, в котором сообщается о подтверждении входа. Нажмите «Пуск».
• Повторно введите пароль и нажмите «Подтвердить». Вам будет отправлено SMS-сообщение для подтверждения вашего номера телефона.
• Вы будете отправлены обратно на страницу безопасности. Нажмите «Просмотрите методы проверки входа в систему».
  
  
• Найдите «Электронный ключ» и нажмите «Настроить». Выберите «Начать».
• Вставьте ключ в USB-порт, затем нажмите кнопку ключа. Мастер настройки может попросить вас нажать его еще раз. Идите и нажмите еще раз.
• Окно должно обновиться, чтобы сказать: «Все готово». Нажмите "Понятно". И теперь вы добавили ключ безопасности в свою учетную запись Twitter.
• Если вы передумали или хотите удалить ключ безопасности, вернитесь на страницу «Подтверждение входа», выберите «Изменить» рядом с категорией «Ключ безопасности», затем выберите «Выкл.» И «Сохранить изменения».

СВЯЗЫВАНИЕ КЛЮЧА С ВАШЕЙ УЧЕТНОЙ ЗАПИСЬЮ FACEBOOK

• Войдите в свою учетную запись Facebook. Щелкните значок раскрывающегося меню в правом верхнем углу и выберите «Настройки».
• Теперь вы находитесь в «Общих настройках учетной записи». Выберите ссылку «Безопасность и вход» на левой боковой панели.
• Прокрутите вниз, пока не увидите раздел «Двухфакторная аутентификация». Нажмите «Изменить» в опции «Использовать двухфакторную аутентификацию».
• Нажмите «Начать», чтобы настроить текстовое сообщение или приложение аутентификации в качестве двухфакторного метода.
• Вернитесь к «Двухфакторной аутентификации» и прокрутите вниз до «Добавить резервную копию». Выберите «Настройка» для параметра Электронный ключ.
  
  
• Введите свой пароль Facebook и нажмите «Отправить». Вставьте ключ безопасности в порт USB, нажмите кнопку. Вы должны получить всплывающее окно с подтверждением.
• Вы можете повторно посетить страницу «Двухфакторная аутентификация» из «Безопасность и вход», чтобы добавить, удалить или переименовать ключи безопасности, привязанные к вашей учетной записи.

theverge.com