21:16 

Электронные деньги и т.п.: О том, почему двухфакторная аутентификация - это плохо

Сейчас очень часто говорят о том, что необходимо чуть ли не все сайты переводить на двухфакторную аутентификацию.
Недавно я даже просмотрел статью, где на полном серьёзе утверждалось, что антиправительственный сайт то ли в Сирии, то ли в Иране должен был бы использовать двухфакторную аутентификацию. Потому что его взломали и взяли каких-то там антиправительственных людей.

То есть людям, которые работают против правительства при регистрации аккаунта предлагается вводить номер телефона и входить на сайт не только по паролю, но ещё и по sms.
Как вы понимаете, это очень забавное предложение. Ведь sms нужно откуда-то и куда-то посылать, что само по себе является демаскирующим антиправительственного агента признаком и доказательством против него, которое может быть получено простым запросом детализации соединений у оператора сотовой связи.


В чём риски двухфакторной аутентификации:
1. При вас должен быть включённый мобильный телефон или мобильное устройство с приложением.
Это означает
1.1. Это устройство вы должны с собой носить. Если вы его потеряете - вы временно потеряете доступ к аккаунту.
1.2. Если устройство не заряжено или сломалось - вы временно теряете доступ к аккаунту.
1.3. Если у вас нет устройства - вы его должны купить.
1.4. Если вы потеряли свой номер телефона (такое тоже бывает) - вы временно потеряли доступ к аккаунту.
2. Двухфакторная аутентификация подвергает опасности ваш второй фактор.
2.1. Мошенники становятся заинтересованными в том, чтобы украсть не только ваши деньги, но и ваш номер телефона, если вы используете sms как второй фактор. Причём вы некоторое время можете даже не понимать, что происходит и не можете посмотреть состояние вашего счёта. То есть не знаете о том, что вас обокрали и не можете никуда позвонить. Особенно весело, если в этот момент времени вы за границей.
2.2. Мошенники становятся заинтересованными в заражении вашего мобильного устройства.
3. Вероятность случайной утери аккаунта почти в 2 раза выше, так как утерять один из двух факторов гораздо проще, чем единственный фактор.
Причём после такой утери, никак не связанной со злым умыслом, мы должны будем ехать в офис и доказывать, что это вообще наш аккаунт. То есть тратить своё личное время и деньги на то, чтобы просто доехать и постоять в очереди. Если вы в Москве - это не проблема. А если в Урюпинске? Насколько долго надо будет ехать в офис?
4. Платёжная система (здесь я называю так любое предприятие с электронное коммерцией) вынуждена содержать офисы и платить операторам связи за рассылку sms. А также разрабатывать мобильные приложения, кстати, которые бывают с уязвимостями.
Всё это удорожает их услуги.

Конечно, всё это ради повышения безопасности по сравнению с парольной защитой. И это окупается. Так ведь?

Почему двухфакторная аутентификация вредна в сравнении даже с парольной защитой?

Начнём с того, что у меня есть старенький мобильник 10-летней давности (даже больше). И я им вполне доволен.
Зачем мне более сложное мобильное устройство? Кому-то нужно, мне - нет. Таким образом лично у меня появляется необходимость покупки дорогостоящего устройства. Но даже если это не так: это устройство не является специально разработанным в целях безопасности. То есть является довольно уязвимым. Взломать его не так сложно, хотя гораздо сложнее, чем только компьютер. Сложнее, но вполне доступно для многих мошенников.

Теперь посмотрим, что мы можем сделать недорого с одним фактором - то есть с нашим компьютером.
1. Зашифровать разделы жёсткого диска (или купить второй компьютер - кстати, может быть даже дешевле, чем мобильное устройство).
2. На один из них установить систему для общих нужд. На другой раздел систему для нужд платёжных систем. Это может быть обычная лицензионная Windows Professional. Для систем, которые работают из браузера или могут работать из-под Linux хватит обычной бесплатной Ubuntu.
3. Настроить на ней обновления, установить антивирус, межсетевой экран (фаервол; брандмауэр), HIPS (host based IPS - система предотвращения вторжений). Последнее, например, в бесплатном виде - это COMODO Internet Security. Можно вообще обойтись стандартными средствами Windows.
4. Настроить политику ограниченного использования программ по сертификатам. В том числе и на компоненты ОС и антивируса. Если под Ubuntu - настроить AppArmor.
5. Межсетевой экран настраиваем ограниченным и на вход, и на выход. Обновления с CDN, включая обновления ОС, разрешаем только вручную, когда сами их запросили и появился запрос на их разрешение в межсетевом экране.
6. Ходим только на сайт банка/платёжной системы. На всякий случай, для этих целей устанавливаем на FireFox дополнительно NoScript и Http UserAgent Cleaner, чтобы не грузился лишний контент. Разумеется, межсетевой экран также говорит досвидания неразрешённым сайтам.
7. Да, совсем забыл. Конечно же, работаем из-под ограниченного аккаунта.

Фактически, мы получили систему, которая защищена чуть ли не лучше, чем сам банк :) . Особенно учитывая, что в банке могут работать тысячи "доверенных" лиц, а у вас доверенное лицо - только вы.
Эта система точно защищена лучше, чем оба фактора, если оба используются не только в целях безопасности. Помним, что оператор мобильной связи вообще не защищает свои sms так, как полагалось бы защищать второй фактор.

Таким образом, мы можем за небольшие деньги или бесплатно построить более защищённую систему с обычной парольной защитой, чем двухфакторная аутентификация. А вот с двумя факторами мы такую защищённую систему построить не сможем (или один из факторов тогда просто будет лишним - уже не повышать безопасность, а скорее - понижать).

Если же говорить про самую серьёзную защиту, то это вовсе не два фактора. Это может быть всего лишь одно устройство - один фактор.
Это устройство должно быть специальным криптографическим устройством, используемым только в целях криптографии. Оно должно отображать информацию, которую клиент подпсывает и иметь собственную клавиатуру для ввода пин-кода. Но это уже не мало денег стоит.


Вывод.
Двухфакторная аутентификация подвергает нас рискам даже тогда, когда никто не хочет нас обокрасть. Нам самим гораздо легче потерять один фактор из двух, чем единственный фактор. Восстановить утерянный доступ гораздо сложнее. А мошенники теперь заинтересованы в том, чтобы украсть ваш второй фактор (например, номер телефона или заразить ваше мобильное устройство).
Но пользы от этого очень мало.

Таким образом, двухфакторная аутентификация не обязательна. Конечно, платёжная система должна её предлагать, но не навязывать пользователю. Пользователь может нести повышенные риски, связанные с двухфакторной аутентификацией.


Фактически, в двухфакторной аутентификации заинтересован не пользователь, а платёжная система.
1. Она использует её наличие как рекламу
2. Пытается отпугнуть мошенников, снижая количество хищений. У сильно защищённых пользователей это ничего не снижает. Это хорошо для слабо защищённых, плохо осведомлённых в области информационной безопасности людей.

Поэтому, если в следующий раз вы прочитаете статью о том, как замечательна двухфакторная аутентификация, задумайтесь над профессионализмом этих людей. И над тем, зачем им это надо. Потому что, возможно, надо это им, а не вам.


URL
Комментирование для вас недоступно.
Для того, чтобы получить возможность комментировать, авторизуйтесь:
 
РегистрацияЗабыли пароль?

fdsc

главная