Вы когда-нибудь входили в онлайн-аккаунт, а затем получали текстовое сообщение, подтверждающее, что вы действительно входили в систему? В настоящее время это обычное дело, особенно с финансовыми счетами, но все чаще и чаще со многими видами онлайн-счетов, которые содержат конфиденциальную информацию.
Этот тип безопасности называется двухфакторной аутентификацией, потому что вам нужны два типа проверки, чтобы доказать, что это действительно вы, а не какой-то плохой парень, получаете доступ к учетной записи. Двухфакторная аутентификация - одна из наиболее распространенных технологий, используемых для защиты вашей учетной записи, но, по крайней мере, один наблюдатель предполагает, что технология не была изучена достаточно, чтобы знать ее слабые стороны.
Этот недостаток знаний может означать, что ваши учетные записи не так безопасны, как кажется, что потенциально делает ваши деньги уязвимыми для хакеров, которые могут использовать лазейки в процессе.
Иногда этот второй фактор может включать идентификацию предварительно выбранного изображения на веб-сайте или подтверждение доступа к учетной записи с помощью голосового телефонного звонка. Некоторые финансовые сайты требуют логина и пароля, а затем проверяют вас на основе вашего браузера или устройства.
Один из первых брокеров, внедривший двухфакторную аутентификацию, был Interactive Brokers, - говорит официальный представитель Кален Холлидей. Брокер много лет использовал кодовую карту, а теперь также предлагает приложение для настольных и мобильных устройств, которое требует от вас ввода ПИН-кода или отпечатка пальца на телефоне. По словам Холлидея, Interactive Brokers также может требовать распознавания лиц.
Двухфакторная аутентификация сделала финансовые счета более безопасными, но неясно, насколько. Кража личных данных продолжает оставаться огромной проблемой, и, хотя потребители могут чувствовать себя в большей безопасности, используя многоэтапный процесс, было проведено недостаточно исследований, чтобы изучить, насколько он эффективен.
По мнению экспертов, даже отраслевые стандарты и передовые методы уязвимы для взлома. И некоторые финансовые учреждения также не очень подходят для аутентификации.
Чтобы быть реализованной должным образом, такая аутентификация должна использовать сочетание различных типов факторов, таких как основанный на знаниях, биометрический или физический элемент, говорит Максим Руссо, директор по информационной безопасности Personal Capital. Вместо этого некоторые компании просто добавляли вопросы безопасности к требованию пароля, что не обеспечивает такой же безопасности, говорит он.
«Стандартная многофакторная аутентификация сегодня обычно сочетает в себе пароль и код SMS», - говорит Руссо. Но ведущие организации или организации с более высоким уровнем риска переходят от этого стандарта к кодам на основе приложений для борьбы с атаками с использованием телефона, говорит он.
Эти угоны становятся все более распространенным явлением: с примерно 380 000 в 2017 году до примерно 679 000 в 2018 году. Конечно, телефоны являются одним из самых популярных методов проверки.
«По мере того, как мобильные технологии становятся более уязвимыми, двухфакторная аутентификация в качестве меры безопасности становится все менее эффективной, - говорит д-р Се.
Но насколько неэффективно? Доктор Джозефин Вольф, профессор политики кибербезопасности в Университете Тафтса, говорит, что мало опубликовано о том, насколько безопасна двухфакторная аутентификация.
«Он не был изучен и протестирован так тщательно, как мог бы», - говорит Вольф. «Таким образом, мы до сих пор не очень хорошо понимаем сильные и слабые стороны различных типов вторых факторов». Однако она отмечает, что Google недавно опубликовал пару исследований, которые «делают большие шаги», чтобы проанализировать, какие факторы более безопасны.
А насчет безопасности финансовых институтов мы просто не знаем, - говорит Вольф. «Большинство сайтов не публикуют никаких цифр о том, как часто учетные записи их пользователей скомпрометированы, поэтому мы действительно не знаем, кто делает лучшую или худшую работу».
Например, если вы используете логин и пароль своей электронной почты для финансового аккаунта, хакеры могут легко получить доступ к обоим, поскольку они могут подтвердить вашу личность по электронной почте. Это все равно, что дать ворам ключи от вашей входной двери и надеяться, что они не обнаружат, что ключи работают и на ваш сейф.
По словам доктора Вольфа, нарушение некоторых типов двухфакторной аутентификации - не редкость. Хакеры могут создавать мошеннические веб-сайты, которые выглядят почти идентично реальным. Затем, якобы из банка или брокера, они пишут людям по электронной почте, что срок их действия истекает или у них отсутствуют данные. Но вместо этого электронное письмо отправляет клиента на поддельный сайт, который мошенническим образом собирает любую информацию для входа в систему, которую он отправляет с помощью фишинга.
Хакер вводит эту информацию на реальном сайте банка, отправляя пользователю текстовое сообщение с одноразовым кодом. Ничего не подозревая, пользователь затем вводит этот код на поддельном веб-сайте, а затем хакер вводит его на реальном сайте, получая доступ к учетной записи.
«Такое несовершенство не означает, что мы должны отказаться от двухфакторной аутентификации», - говорит Вольф. Скорее, « мы должны тщательно изучить его и выяснить, как его можно реализовать наиболее эффективно».
«Лучший подход - это тот, который требует наименьшего количества шагов и самой быстрой аутентификации, при этом обеспечивая максимальную безопасность финансовых счетов», - говорит Холлидей.
Многие люди будут время от времени раздражаться при входе в систему, чтобы гарантировать безопасность своей личности и финансовых счетов. Таким образом, двухфакторная аутентификация получила распространение, особенно в финансовых учреждениях, которым есть что потерять в случае кражи ваших денег.
По словам Пьера Демарша, вице-президента по продуктам и маркетингу TeleSign, компании, занимающейся онлайн-безопасностью, всплеск новых финтех-компаний и разработка цифровых продуктов также привели к переходу на многофакторную аутентификацию. «По мере появления этих новичков, - говорит он, - двухфакторная аутентификация не рассматривается как полезная, а скорее ожидаемая функция».
Потребители могут рассматривать эти меры безопасности как раздражающие, но они никуда не денутся. «Банки постоянно тестируют и сравнивают свои возможности, чтобы оставаться актуальными и безопасными», - говорит Демарш, и это будет продолжаться.
«Хотя может показаться неудобным проходить многофакторную аутентификацию для доступа к своим учетным записям, знайте, что веб-сайты и финансовые учреждения внедряют ее в вашу пользу», - говорит Циммерман.
Поэтому не рекомендуется обходить процедуры, созданные для защиты вашей учетной записи, даже если вход в систему станет немного более громоздким.
Тем временем специалисты по безопасности продолжат работу над аутентификацией, которая будет менее навязчивой, но при этом сохранит безопасность.
Доктор Се объясняет одно видение такого процесса, называемого аутентификацией с нулевым фактором. Такой процесс использует вашу «цифровую ДНК» - ваше различное онлайн-поведение, такое как устройства и действия, - для проверки вашей личности. «С ИИ реальность нулевой аутентификации ближе, чем мы думаем».
Некоторые из старейших советов по-прежнему остаются одними из лучших. Не сообщайте свои пароли и создавайте отдельные пароли для каждой из своих учетных записей.
Но если вы хотите сделать еще один шаг в области безопасности, Вольф предлагает использовать физическое устройство, такое как Yubikey, в качестве второго фактора для ценных учетных записей. Она также рекомендует использовать менеджер паролей, который может хранить и создавать сложные и уникальные пароли. Два популярных приложения для управления паролями - это Keeper Security Password Manager и LastPass. Оба они доступны бесплатно и доступны на нескольких вычислительных платформах.
Но плохие парни по-прежнему будут искать способы преодолеть или преодолеть цифровую ограду, чтобы получить ваши деньги. Таким образом, потребители должны тщательно следовать передовым методам защиты своей финансовой информации, чтобы устранить или хотя бы уменьшить свой риск.
Этот тип безопасности называется двухфакторной аутентификацией, потому что вам нужны два типа проверки, чтобы доказать, что это действительно вы, а не какой-то плохой парень, получаете доступ к учетной записи. Двухфакторная аутентификация - одна из наиболее распространенных технологий, используемых для защиты вашей учетной записи, но, по крайней мере, один наблюдатель предполагает, что технология не была изучена достаточно, чтобы знать ее слабые стороны.
Этот недостаток знаний может означать, что ваши учетные записи не так безопасны, как кажется, что потенциально делает ваши деньги уязвимыми для хакеров, которые могут использовать лазейки в процессе.
Что такое двухфакторная аутентификация?
Двухфакторная или многофакторная аутентификация - это способ подтвердить, что вы являетесь тем, кем себя называете. Обычно он объединяет часть информации, которую вы знаете, например пароль, с тем, что у вас есть, например, телефоном, картой кодов или физическим ключом, который вы должны вставить в свое устройство.Иногда этот второй фактор может включать идентификацию предварительно выбранного изображения на веб-сайте или подтверждение доступа к учетной записи с помощью голосового телефонного звонка. Некоторые финансовые сайты требуют логина и пароля, а затем проверяют вас на основе вашего браузера или устройства.
Один из первых брокеров, внедривший двухфакторную аутентификацию, был Interactive Brokers, - говорит официальный представитель Кален Холлидей. Брокер много лет использовал кодовую карту, а теперь также предлагает приложение для настольных и мобильных устройств, которое требует от вас ввода ПИН-кода или отпечатка пальца на телефоне. По словам Холлидея, Interactive Brokers также может требовать распознавания лиц.
Двухфакторная аутентификация сделала финансовые счета более безопасными, но неясно, насколько. Кража личных данных продолжает оставаться огромной проблемой, и, хотя потребители могут чувствовать себя в большей безопасности, используя многоэтапный процесс, было проведено недостаточно исследований, чтобы изучить, насколько он эффективен.
Итак, насколько безопасна двухфакторная аутентификация?
«Двухфакторная аутентификация не обеспечивает такой безопасности, как можно было бы предположить», - говорит д-р Инлиан Се, генеральный директор DataVisor.По мнению экспертов, даже отраслевые стандарты и передовые методы уязвимы для взлома. И некоторые финансовые учреждения также не очень подходят для аутентификации.
Чтобы быть реализованной должным образом, такая аутентификация должна использовать сочетание различных типов факторов, таких как основанный на знаниях, биометрический или физический элемент, говорит Максим Руссо, директор по информационной безопасности Personal Capital. Вместо этого некоторые компании просто добавляли вопросы безопасности к требованию пароля, что не обеспечивает такой же безопасности, говорит он.
«Стандартная многофакторная аутентификация сегодня обычно сочетает в себе пароль и код SMS», - говорит Руссо. Но ведущие организации или организации с более высоким уровнем риска переходят от этого стандарта к кодам на основе приложений для борьбы с атаками с использованием телефона, говорит он.
Эти угоны становятся все более распространенным явлением: с примерно 380 000 в 2017 году до примерно 679 000 в 2018 году. Конечно, телефоны являются одним из самых популярных методов проверки.
«По мере того, как мобильные технологии становятся более уязвимыми, двухфакторная аутентификация в качестве меры безопасности становится все менее эффективной, - говорит д-р Се.
Но насколько неэффективно? Доктор Джозефин Вольф, профессор политики кибербезопасности в Университете Тафтса, говорит, что мало опубликовано о том, насколько безопасна двухфакторная аутентификация.
«Он не был изучен и протестирован так тщательно, как мог бы», - говорит Вольф. «Таким образом, мы до сих пор не очень хорошо понимаем сильные и слабые стороны различных типов вторых факторов». Однако она отмечает, что Google недавно опубликовал пару исследований, которые «делают большие шаги», чтобы проанализировать, какие факторы более безопасны.
А насчет безопасности финансовых институтов мы просто не знаем, - говорит Вольф. «Большинство сайтов не публикуют никаких цифр о том, как часто учетные записи их пользователей скомпрометированы, поэтому мы действительно не знаем, кто делает лучшую или худшую работу».
Возможные лазейки для хакеров
«Хотя ни одна система безопасности не является надежной, добавление многофакторной аутентификации - это разумный способ снизить риск захвата аккаунта», - говорит Гэри Циммерман, генеральный директор MaxMyInterest. Но некоторые типы двухфакторной аутентификации слабее других, говорит он.Например, если вы используете логин и пароль своей электронной почты для финансового аккаунта, хакеры могут легко получить доступ к обоим, поскольку они могут подтвердить вашу личность по электронной почте. Это все равно, что дать ворам ключи от вашей входной двери и надеяться, что они не обнаружат, что ключи работают и на ваш сейф.
По словам доктора Вольфа, нарушение некоторых типов двухфакторной аутентификации - не редкость. Хакеры могут создавать мошеннические веб-сайты, которые выглядят почти идентично реальным. Затем, якобы из банка или брокера, они пишут людям по электронной почте, что срок их действия истекает или у них отсутствуют данные. Но вместо этого электронное письмо отправляет клиента на поддельный сайт, который мошенническим образом собирает любую информацию для входа в систему, которую он отправляет с помощью фишинга.
Хакер вводит эту информацию на реальном сайте банка, отправляя пользователю текстовое сообщение с одноразовым кодом. Ничего не подозревая, пользователь затем вводит этот код на поддельном веб-сайте, а затем хакер вводит его на реальном сайте, получая доступ к учетной записи.
«Такое несовершенство не означает, что мы должны отказаться от двухфакторной аутентификации», - говорит Вольф. Скорее, « мы должны тщательно изучить его и выяснить, как его можно реализовать наиболее эффективно».
Потребителей часто раздражают технологии безопасности.
Безопасности учетной записи не способствует тот факт, что некоторых потребителей может раздражать двухфакторная аутентификация. Опрос профессионалов в области кибербезопасности, проведенный в 2017 году компанией SecurAuth Corporation, показал, что 74% организаций, использующих двухфакторную аутентификацию, получают жалобы от пользователей на этот процесс. Около 10 процентов пользователей заявили, что действительно ненавидят его. Несмотря на эти проблемы, многие привыкли к дополнительной ступеньке и сейчас почти не замечают ее.«Лучший подход - это тот, который требует наименьшего количества шагов и самой быстрой аутентификации, при этом обеспечивая максимальную безопасность финансовых счетов», - говорит Холлидей.
Многие люди будут время от времени раздражаться при входе в систему, чтобы гарантировать безопасность своей личности и финансовых счетов. Таким образом, двухфакторная аутентификация получила распространение, особенно в финансовых учреждениях, которым есть что потерять в случае кражи ваших денег.
По словам Пьера Демарша, вице-президента по продуктам и маркетингу TeleSign, компании, занимающейся онлайн-безопасностью, всплеск новых финтех-компаний и разработка цифровых продуктов также привели к переходу на многофакторную аутентификацию. «По мере появления этих новичков, - говорит он, - двухфакторная аутентификация не рассматривается как полезная, а скорее ожидаемая функция».
Потребители могут рассматривать эти меры безопасности как раздражающие, но они никуда не денутся. «Банки постоянно тестируют и сравнивают свои возможности, чтобы оставаться актуальными и безопасными», - говорит Демарш, и это будет продолжаться.
Как потребители могут оставаться в безопасности в сети
Хотя двухфакторная аутентификация не идеальна, потребители должны стремиться принять этот новый стандарт, поскольку он помогает защитить их деньги и их личность.«Хотя может показаться неудобным проходить многофакторную аутентификацию для доступа к своим учетным записям, знайте, что веб-сайты и финансовые учреждения внедряют ее в вашу пользу», - говорит Циммерман.
Поэтому не рекомендуется обходить процедуры, созданные для защиты вашей учетной записи, даже если вход в систему станет немного более громоздким.
Тем временем специалисты по безопасности продолжат работу над аутентификацией, которая будет менее навязчивой, но при этом сохранит безопасность.
Доктор Се объясняет одно видение такого процесса, называемого аутентификацией с нулевым фактором. Такой процесс использует вашу «цифровую ДНК» - ваше различное онлайн-поведение, такое как устройства и действия, - для проверки вашей личности. «С ИИ реальность нулевой аутентификации ближе, чем мы думаем».
Некоторые из старейших советов по-прежнему остаются одними из лучших. Не сообщайте свои пароли и создавайте отдельные пароли для каждой из своих учетных записей.
Но если вы хотите сделать еще один шаг в области безопасности, Вольф предлагает использовать физическое устройство, такое как Yubikey, в качестве второго фактора для ценных учетных записей. Она также рекомендует использовать менеджер паролей, который может хранить и создавать сложные и уникальные пароли. Два популярных приложения для управления паролями - это Keeper Security Password Manager и LastPass. Оба они доступны бесплатно и доступны на нескольких вычислительных платформах.
Выводы
Двухфакторная аутентификация полезна, даже если она не надежна. По мере того как профессионалы изучают, какие методы являются наиболее безопасными, потребители должны ожидать появления новых типов безопасности со временем.Но плохие парни по-прежнему будут искать способы преодолеть или преодолеть цифровую ограду, чтобы получить ваши деньги. Таким образом, потребители должны тщательно следовать передовым методам защиты своей финансовой информации, чтобы устранить или хотя бы уменьшить свой риск.