Как обойти двухфакторная аутентификация


 Сейчас всё больше и больше сервисов и сайтов представляют возможность которая призвана увеличить безопасность – двухфакторная аутентификация.

Двухфакторная аутентификация – вход пользователя куда-либо с использованием двух ключей или паролей, независимых друг от друга. Самая популярная реализация – получение смс или электронного письма на почту для подтверждения входа на какой-либо сайт или сервис после ввода пароля.

Но так ли это безопасно на самом деле? Можно ли целиком и полностью надеяться на двухфакторку? К сожалению, нет. И вот несколько путей обойти двухфакторную аутентификацию:

Первый из них – перехват смс. Произойти это может разными путями. Например, могут использовать социальную инженерию и путем звонка выпытать данные. Но есть и более технологичные методы это сделать – например, заражение смартфона вредоносной программой. Такие проги перехватывают все смс и push-уведомления от приложений и передают их в чужие руки. Также возможен перехват не через ПО, а через возможности самой сим-карты, куда приходит SMS. Тут путей большое количество, можно как и заказать распечатку смсок у не особо честного продавца в салоне сотовой связи (а таких немало, поверь), можно сделать дубликат сим-карты и принимать смс туда. Есть вообще перевыпуск симки, но это уже отдельная история.

Решение здесь такое – использовать для двухфакторной аутентификации отдельный номер, который никто не знает. Но и это не обезопасит от вирусов. Но в общем безопасность станет выше. Ведь для того, чтобы перехватить смс другими путями, надо знать номер телефона, а в самом сервисе он чаще всего зашифрован и видно лишь часть цифр как раз из соображений безопасности.

Вторая опасная лазейка – куки и привязанные устройства. Некоторые сайты и сервисы позволяют запоминать устройства, с которых вы заходите в сеть, и больше не запрашивать дополнительный пароль при повторном входе. Например стим, вконтакте. Это удобно, но создаёт брешь в безопасности. Ведь и куки, и файлы-ключи, и параметры устройства можно украсть и подменить. И защита в виде двухфакторки падёт) Поэтому лучше не пользоваться этой функцией, если это возможно.

Третья уязвимость – заранее подготовленные ключи для обхода. Всегда могут произойти непредвиденные обстоятельства вроде потери телефона. И для восстановления доступа предусмотрены разные способы защиты. Чаще всего это заранее подготовленные ключи, которые либо генерирует сам сайт и просит их записать в безопасном месте (но чаще всего если их сохраняют, то сохраняют где-нибудь в текстовом файле на рабочем столе, да ещё и называют как-нибудь вроде «пароль для восстановления»… понятно, что это очень опасно). Либо же просят придумать самому, что-то вроде секретного вопроса. Но секретный вопрос может быть не таким уж и секретным. Например, девичью фамилию матери сейчас уже можно найти в соцсетях. Любимую марку автомобиля – по сообществам и фотографиям в них же. Поэтому проверь этот вариант также, если не хочешь, чтобы твою двухфакторку взломали.

Так что двухфакторная аутентификация хоть и повышает безопасность аккаунта, но не является панацеей. Помни об этом.


Comments 0