Чому необхідно налаштувати двофакторну аутентифікацію своїх облікових записів – пояснює експерт

Wired

Двофакторна аутентифікація – це спосіб контролю за доступом до акаунта користувача за допомогою кількох етапів перевірки. «Після того, як поштові скриньки та акаунти кількох всесвітньо відомих політиків були зламані, люди почали більше перейматися власною безпекою», – пишуть Ерік Гросс та Мейнк Упаджія з підрозділу безпеки та захисту особистих даних компанії Google. На їхню думку, двофакторна аутентифікація стала справжнім проривом і нею користуються мільйони людей в усьому світі.

Втім, іноді зловмисники полюють не лише на ваш пароль, але й на код підтвердження, необхідний для входу в акаунт. MediaSapiens поспілкувався з Миколою Костиняном, тренером з цифрової безпеки, про надійність двофакторної аутентифікації та про те, чому перейматися фішинговими сторінками, які виманюють коди підтвердження, варто далеко не всім користувачам.

Наскільки надійна двофакторна аутентифікація?

– Обліковий запис без двофакторної аутентифікації не може вважатися захищеним. Її потрібно вмикати всюди – вона дуже підсилює захищеність облікового запису. Ось цей «другий фактор» може приходити і як SMS-повідомлення, і як код підтвердження, який генерується в користувача на смартфоні в додатку, наприклад, Google authenticator.

Існує настільки хитрий вид фішингу, який може видурити в користувача і пароль, і ось цей код підтвердження. Якщо користувач введе код на фішингову сторінку, то він дасть зловмисникам змогу зайти на його акаунт.

Але такий фішинг середній користувач ніколи не отримає і не побачить. Він спрямований спеціально на керівників правозахисних організацій, на топових журналістів-розслідувачів. Тож від більшості загроз двофакторна аутентифікація акаунт захистить.

Чи шкідлива прив'язка до акаунта телефонного номера та SMS-повідомлення? У цьому контексті ніяк не шкідлива. Код не шкідливий ніколи. Проблема постає тоді, якщо користувач не розпізнає шахрайські листи і введе свої паролі та коди підтвердження.

За якими ознаками можна розпізнати шахрайські листи?

– Фішингові листи виглядають точно так само, як справжні, вони можуть бути дуже гарно зроблені. Зазвичай на тренінгу з цифрової безпеки цілу сесію займає розглядання подібних листів, виділення спільних ознак, критеріїв підозрілості, які ми можемо застосовувати. Це смислові критерії, а не технічні. Річ у тому, що широкий загал користувачів доволі складно навчити розпізнавати саме технічні критерії несправжніх листів, тому ми акцентуємо увагу на смислових ознаках.

Якщо лист виглядає загрозливо, лякає на емоційному рівні, значить треба вважати його підозрілим. Можна скласти список із двадцяти дрібних ознак шахрайського листа, але вони як можуть бути в листі, так і можуть не бути. Гарно зроблений фішинговий лист не відрізнити від справжнього. Але ознака залякування у листі – універсальна.

Наприклад, повідомлення про те, що ваш акаунт буде заблоковано у зв'язку з численними скаргами. Або що хтось намагався зайти з вашим паролем, продивіться деталі щодо спроби входу – і в них дані про те, що хтось намагався увійти звідкись із Нью-Джерсі, Лаосу чи Камбоджі. Чи про те, що ваш акаунт буде заблокований за порушення правил користування сервісом.

Будь-який залякувальний наратив допоможе розпізнати підозрілий лист, незалежно від рівня комп'ютерної грамотності користувача. Тому ми намагаємося апелювати до цієї ознаки.

Що ви порадите робити з таким листом?

– Інструкція для звичайного користувача, що робити з підозрілим листом – переслати його комусь, хто на цьому розуміється, і запитати, чи цей лист справжній, чи ні. Це єдина універсальна порада, яку можна задіяти для всіх користувачів.

Від офіційних служб підтримки компаній чекати відповіді можна дуже довго. Це дуже довгий шлях і взагалі не факт, що вам хтось відпише у відповідь.

Викладати подібні листи на обговорення в інтернет-форумах – теж не дуже хороша ідея. Коли хтось у Facebook викладає скріншот якогось свого листа, завжди багато людей у коментарях дають різноманітні поради, більшість з яких не мають сенсу. Якби подібний форум був, то він би приносив лише шкоду, тому я не рекомендую подібні дії.

Які є альтернативи двофакторній аутентифікації?

– Такої альтернативи немає, але є додаткові засоби безпеки для захисту вашого облікового запису. Наприклад, компанія Google для свого браузера Google Chrome розробила розширення під назвою «Захисник пароля Google» (Google password alert). Якщо встановлене це розширення і користувач клікає на фішингове посилання, то «Захисник пароля» з певною ймовірністю не дасть перейти на сайт за цим посиланням. Розширення виведе на екран повідомлення, попереджаючи про те, що форма введення логіну та паролю на цьому сайті є несправжньою. Але 100% гарантії немає.

У підсумку зазначу, що для двофакторної аутентифікації є такі основні засоби, як SMS-повідомлення та генерування кодів підтвердежння на смартфоні. Крім них є й інші засоби, але вони коштують грошей, тому зазвичай користувачі до них не звертаються.

Для ефективного захисту від фішингу потрібно налаштувати двофакторну аутентифікацію та розпізнавати фішингові листи. Для захисту від фішингу цього достатньо. Також треба зважати, що фішинг, який вміє виманювати і пароль, і код підтвердження, дуже «елітний». Середній користувач навряд чи колись із ним зіштовхнеться.

comments powered by Disqus