П'ять кращих варіантів двофакторної аутентифікації
- Два замку краще
- Посвідчення на смартфоні
- Ключ на старт
- Пред'явіть ваші імпланти
- Один, два ... багато
Пам'ятайте витекли в Інтернет фотографії голих знаменитостей, наробили стільки шуму рік тому? Ця історія не тільки різноманітила особисте життя мільйонів підлітків по всьому світу, а й мала несподіваний освітній ефект.
Наприклад, з неї багато людей дізналися, що ім'я улюбленого собаки - не найнадійніший пароль. А двухфакторная аутентифікація - це не марна заумь айтішників, а штука, необхідна навіть власникові айфона зі стразами.
Скандальні картинки витекли з хмарного сервісу iCloud, де зберігалися копії фотографій, зроблених на пристроях Apple. Хакери, як передбачається, діяли самим нехитрим шляхом - просто підібрали паролі, використовуючи комбінацію фішингу та перебору можливих варіантів. Після цієї історії Apple включила для iCloud двухфакторную аутентифікацію і настійно порадила нею не нехтувати.
Однак і в iCloud, і в Gmail, і в Facebook, і в багатьох інших інтернет-сервісах додаткова перевірка - це лише опція. Більшість людей нею не користуються. Тому що незручно. Ну або не пробував, але напевно ж незручно. І взагалі, зараз є інші справи, важливіші.
Тим часом позбутися своєї пошти або аккаунта в соцмережі можна легко і невимушено, навіть не будучи Кім Кардашян або Кейт Аптон. І наслідки можуть бути досить неприємними, особливо якщо ваш бізнес пов'язаний з онлайном.
Два замку краще
Більшість людей під двухфакторной аутентификацией (2FA) розуміють одноразові паролі, які приходять на мобільний телефон у вигляді SMS. Для онлайн-сервісів це дійсно найпоширеніший варіант захисту, хоча і далеко не єдиний.
За великим рахунком двухфакторная аутентифікація - це просто двері з двома замками. Одним запором виступає традиційна пара "логін - пароль», а другим може бути що завгодно. Та й замків можна навісити не два, а скільки душі завгодно - просто колупатися з ними доведеться трохи довше, так що почати варто хоча б з двох.
SMS-паролі прості, зрозумілі і щодо надійні, але не завжди зручні. Щоразу для входу в аккаунт доводиться шукати телефон, чекати приходу SMS, забивати циферки ... Помилився чи не встиг - процедура повторюється. Якщо мережу оператора перевантажена, то SMS може спізнюватися. Мене, наприклад, такі ситуації дуже дратують.
Якщо мережі зовсім немає (не така вже, до речі, рідкість в подорожах), то і пароля теж немає. Нарешті, телефон можна просто втратити. І залишитися в цій ситуації ще й без інших засобів зв'язку буде зовсім сумно.
На випадок подібних негараздів багато сервісів, наприклад Google і Facebook, пропонують запасні варіанти. Наприклад, створений заздалегідь список одноразових ключів, які можна роздрукувати і покласти кудись в надійне місце.
Крім того, SMS-пароль може запитуватися не всякий раз при вході в аккаунт, а тільки в тих випадках, коли логін відбувається з невідомого пристрою. Вирішувати тут вам, відповідно до вашим персональним рівнем параної. Точно так само відбувається авторизація і прив'язаних до аккаунту додатків на зразок поштового клієнта. Досить один раз згодувати їм спеціально згенерований пароль, і вони цим задовольняться на довгий час.
У підсумку виходить, що якщо ви кожен день не заходьте в Мережу з нового пристрою, то включення аутентифікації по SMS доставить не так вже й багато клопоту. Один раз налаштував - і все працює.
Посвідчення на смартфоні
А ось якщо ви багато подорожуєте, то більш розумним рішенням, можливо, буде двухфакторная аутентифікація через додаток. На відміну від SMS, цей спосіб працює і офлайн. Просто одноразовий цифровий пароль генерується не на сервері, а безпосередньо на вашому смартфоні (подружити програму з сервісом, зрозуміло, потрібно заздалегідь, і для цього Інтернет буде потрібно).
Безкоштовних додатків для аутентифікації існує маса, але в ролі «галузевого стандарту» виступає Google Authenticator . Ця програма підтримує роботу не тільки з Gmail, але і з безліччю інших сервісів: Facebook, «ВКонтакте», Tumblr, Dropbox, WordPress і так далі .
Якщо хочеться чогось більш функціонального, хорошим вибором може стати Twilio Authy . Ця програма може все той же, що і Google Authenticator, плюс додає кілька вельми корисних фішок.
По-перше, це можливість зберегти отримані сертифікати в хмарному сховище і скопіювати на інші свої пристрої (смартфони, комп'ютери, планшети - список підтримуваних платформ дуже широкий і включає навіть Apple Watch). Якщо раптом один з пристроїв вкрадуть, контроль над аккаунтом від вас нікуди не дінеться. Вхід в додаток захищений PIN-кодом, а ключ на скомпрометувати пристрої можна відкликати.
По-друге, Authy здорово полегшує життя при розгортанні на новому пристрої в порівнянні з тим же Google Authenticator.
Ключ на старт
Описані вище варіанти мають одним очевидним недоліком. Якщо ви заходите в аккаунт з якогось пристрою і воно ж виступає в ролі «другого замку» - одержувача SMS-паролів або носія додатки, то додатковий захист працює вже не так добре.
Більш серйозний рівень безпеки здатні забезпечити спеціалізовані апаратні ключі. Виглядати вони можуть по-різному: USB-ключі, смарт-карти, офлайнові брелки-токени з цифровим дисплеєм, - але влаштовані схожим чином. По суті це мініатюрний комп'ютер, який генерує за запитом ті ж самі одноразові ключі. Ці перевірочні ключі користувач потім вводить вручну, або вони передаються в систему автоматично - наприклад, через USB-інтерфейс.
Апаратні ключі не залежить від працездатності мережі і телефону. Зате їх потрібно спеціально купувати і потім носити не втрачаючи. Що для деяких людей є досить серйозний челендж.
Зазвичай апаратні ключі використовуються для захисту інтернет-банкінгу, корпоративних систем та інших «серйозних» справ. Хоча ніхто не заважає вам закрити свій Google або WordPress-аккаунт акуратним замочком у вигляді недорогий флешки, підтримує відкритий галузевий стандарт FIDO U2F (Наприклад, це популярні ключі YubiKey).
Пред'явіть ваші імпланти
Традиційні апаратні ключі, можливо, хороші в плані безпеки, але не так уже й зручні у використанні. Необхідність кожен раз встромляти флешку в USB-порт великого ентузіазму не викликає, та й до смартфону неї не підключиш.
Набагато зручніше було б зробити бездротової ключ, який працює через Bluetooth або NFC. Саме це і дозволяють нові специфікації стандарту FIDO U2F , Прийняті влітку поточного року.
Подібну мітку, що засвідчує особу власника аккаунта, можна помістити куди зручно: в брелок на ключах, банківську карту, в імплантований під шкіру NFC-чіп , Нарешті. А пристроєм для читання такого ключа може виступити майже будь-який сучасний смартфон.
Один, два ... багато
Насправді термін «двухфакторная аутентифікація» вже застарів. Великі сервіси типу Google і Facebook використовують для забезпечення безпеки багатофакторний аналіз: з якого пристрою здійснюється вхід в аккаунт, в якому браузері, з якої країни і міста, чи немає в діях користувача чогось незвичайного і так далі. Аналогічні системи застосовують і банки для виявлення шахрайських транзакцій.
Так що майбутнє, ймовірно, саме за просунутими багатофакторним рішеннями, що дозволяють зберегти розумний баланс між зручністю і безпекою. Прикладом перспективних досліджень в цій області може служити проект Abacus, оприлюднений на недавній конференції Google I / O .
У новій реальності вашу особистість засвідчить не тільки пароль, скільки купа різних дрібних деталей: де ви, що робите, як говорите і друкуєте, як дихаєте, як б'ється ваше серце, скільки кіберпротезов упізнано в вашому тілі і тому подібні дані. А сенсором і каналом передачі для всього цього, швидше за все, виступить ваш же смартфон.
Ось тільки один приклад. швейцарські дослідники пропонують використовувати для додаткової аутентифікації навколишній користувача фоновий шум.
Ідея технології Sound-Proof досить проста. Коли ви намагаєтеся залогінитися з персонального комп'ютера на якому-небудь сайті, сервер відправляє запит з додатком на вашому смартфоні. Протягом декількох секунд комп'ютер і смартфон записують звук і передають на сервер зашифрований «відбиток». Залишається лише порівняти їх, щоб упевнитися: в акаунт входить саме власник смартфона, а не злісний хакер з іншого півкулі.
Зрозуміло, і ця схема неідеальна. Наприклад, злісний хакер може сидіти поруч з вами в ресторані, і фоновий звук виявиться приблизно однаковий. Тут зловмисника повинні відсікти вже інші дискримінують чинники.
Втім, Sound-Proof і Abacus - проекти завтрашнього дня. Коли вони дійдуть до реальності, ситуація в інтернет-безпеки теж напевно зміниться: з'являться нові виклики і загрози.
А сьогодні просто не забудьте включити двухфакторную аутентифікацію. Як це зробити для більшості популярних ресурсів, детально розписано, наприклад, на сайті Telesign Turn It On .