Двухфакторная аутентификация стала удобной – используй свой смартфон или Smart Watch как OTP токен

Наверное, вам не раз приходилось слышать о том, что важную информацию нужно хранить под семью замками, особенно если она хранится в сети. На обычный логин и пароль полагаться нельзя: их легко подсмотреть, угадать, выудить с помощью одного из сотен хакерских приемов. Но, к счастью, существуют и более действенные методы защиты данных, один из которых - проверенная годами и миллионами пользователей двухфакторная аутентификация.

Сегодня практически каждый ресурс, на котором может храниться ценная информация, предлагает пользователю включить двухфакторную аутентификацию для своего аккаунта. Среди них и почтовые сервисы, и социальные сети, и онлайн-игры, и, конечно же, банковские и платежные системы. Чаще всего одноразовые пароли доставляются с помощью SMS-сообщений. С одной стороны подобный способ кажется вполне удобным, но существует и обратная сторона медали:

• Компания теряет средства, так как за каждое SMS нужно платить.
• В процесс аутентификации вмешивается третья сторона (SMS шлюз).
• Иногда ждать SMS приходится до нескольких минут, что достаточно неудобно для клиента и дает злоумышленникам больше времени на перехват сообщения.

Среди других популярных методов – аппаратные токены в виде брелоков, флешек или банковских карт, а также доставка OTP по электронной почте. Аппаратные токены достаточно надежны, но постоянно носить их с собой не всегда удобно. Они теряются, забываются, требуют постоянного внимания к себе. Недостатки передачи one time password (OTP) по e-mail практически полностью совпадают с минусами SMS-аутентификации.

Следствием всех этих неудобств стало то, что многие просто отказываются от дополнительной защиты аккаунта, считая двухфакторную аутентификацию лишней обузой. Но с приходом в нашу жизнь современных технологий, таких как Android смартфоны и Smart Watch, появилось еще одно новое, более современное и удобное средство генерации одноразовых паролей. Речь идет о приложениях для смартфонов и Smart Watch на операционной системе Android или iOS, которые позволяют исключить каждый из вышеперечисленных недостатков традиционных OTP токенов.

Около двух миллиардов людей, то есть четверть всего населения планеты, уже пользуются смартфонами. А в США, Европе, Китае, Японии, Индии количество обладателей Android и iOS смартфонов давно превысило отметку 50%. По прогнозам экспертов к 2017 году смартфоны будут уже у трети всего человечества. Потому такой ход 2FA провайдеров является логичным и хорошо продуманным.

Хорошим примером подобного приложения послужит Protectimus SMART - программный токен, разработанный компанией Protectimus. Он подходит как для смартфонов на базе операционной системы Android, так и для iPhone. Следует отметить, что это бесплатное приложение, которое вы может скачать в Google Play и AppStore прямо сейчас. При этом каждый обладатель этого OTP-токена получает следующие преимущества:

• Возможность выбора алгоритма генерации OTP (по счетчику, по времени, по ответу от сервера).
• Дополнительная защита приложения с помощью PIN-кода.
• Возможность выбора длины одноразового кода (6 или 8 символов).
• Возможность создания нескольких токенов на одном устройстве.
• Не требуется замена батареи, как это бывает с аппаратными токенами.
• Возможность установки приложения на Android Smart Watch.
• Функция подписи данных (CWYS), которая защищает от таких современных хакерских угроз как автозалив или реплейсмент.

Хотелось бы более подробно остановиться на функции подписи данных, которую также называют CWYS (Confirm What You See). Это совершенно новое слово в защите транзакции и других операций, так как помогает бороться с такими опаснейшими кибер-угрозами, как автозалив, реплейсмент, подмена данных.

Совсем недавно злоумышленникам удавалось обходить двухфакторную аутентификацию с помощью подобных зловредов. После того, как такой инжнект попадает в систему, он дожидается момента, когда юзер начнет выполнение легального перевода, и выдает пользователю окошко с сообщением, в котором, например, просит подождать, пока идет проверка данных. В это время инжект выполняет скрытие от пользователя действия, результатом которых становится залив средств на дропа, если при этом запрашивается OTP или PIN, зловред показывает пользователю фейковую страницу с запросом этого пароля, но под другим обманным предлогом. Ничего не подозревая, юзер вводит правильный код, а автозалив использует полученные данные для завершения транзакции.

Благодаря подключению функции CWYS при генерации OTP-пароля используются не только секретный ключ, время или счетчик, но и основные данные перевода, такие как сумма перевода, валюта, адресат, и т.п. Таким образом даже в том случае, если пароль будет перехвачен, он окажется абсолютно бесполезным для хакера.

Технологии двухфакторной аутентификации не стоят на месте, а развиваются с умопомрачительной скоростью. Производители 2FA учитывают последние тренды в мире электроники, изучают потребности потенциальных клиентов, и предлагают наиболее удобное для потребителя решение. Очень удобно, что подобный сервис доступен на гаджетах, которые всегда под рукой, – смартфоне и Android Smart Watch. Это революционный шаг к популяризации двухфакторной аутентификации и как результат – к защите персональной информации каждого интернет-пользователя.