Про двофакторної аутентифікації написано чимало, але, на жаль, далеко не кожен з нас встиг усвідомити всю крихкість стандартної комбінації логін + пароль.
Сьогодні практично вся важлива інформація, починаючи від особистих фотографій, творів мистецтва, даних про здоров'я людини і закінчуючи фінансами і документацією, зберігається в електронному вигляді. І шахраї від цього тільки виграють.
Збройні пограбування в минулому. Існують більш зручні і безпечні способи заволодіти чужими коштами, залишаючись при цьому непоміченим. І, що найстрашніше, про такі способи знає кожен просунутий кодер. Фішинг, підміна даних, автозале - список можна продовжувати нескінченно.
Двухфакторная аутентифікація - єдино вірне рішення щодо захисту даних
На щастя, сучасні технології освоюють не тільки інтернет-шахраї. Людство дружно шукає найбільш дієвий спосіб захисту даних. І найкраще рішення на сьогоднішній день - це двофакторна аутентифікація або 2FA.
- Введення логіна і пароля.
- Введення одноразового пароля, згенерованого за допомогою апаратного токена, мобільного додатка, або отриманого в СМС.
Google Authenticator - панацея чи сир у мишоловці?
Напевно, найвідомішим і популярним рішенням 2FA є Google Authenticator. Своєю популярністю цей генератор OTP зобов'язаний доступності, адже двухфакторная аутентифікація Google Authenticator - це абсолютно безкоштовне рішення. Але ж кожному відомо, безкоштовний сир тільки в мишоловці. Ми вирішили розібратися, чи достатньо надійно рішення від Google, і розглянути його сильні і слабкі сторони.
Що таке автозале і як від нього захиститися?
Автозале - це один з найпідступніших видів інтернет-шахрайства. Хакери довго думали над тим, як обійти двухфакторную аутентифікацію і прийшли до висновку, що обходити її не потрібно, можна зробити простіше - змусити користувача самостійно перерахувати кошти на рахунок зловмисника шляхом обману та маніпуляцій з його браузером.
Але як же вирішити цю проблему? Здавалося б, двофакторна аутентифікація користувача безсила, і більшість компаній, що існують на ринку сьогодні, не в змозі впоратися з подібним завданням.
Але Protectimus пропонує свій спосіб боротьби з автозалівом, підміною даних і іншими хакерськими хитрощами. Система двофакторної аутентифікації Protectimus успішно протистоїть цим загрозам завдяки новій функції під назвою підпис даних, або CWYS.
Як CWYS (підпис даних) захищає від автозаліва?
Акронім CWYS розшифровується як «Confirm What You See» ( «Підтвердь те, що бачиш»). Суть цієї функції полягає в використанні для генерації одноразового пароля деяких даних про яку здійснюють транзакції.
Зазвичай функція підпису даних підтримується виключно токенами, які працюють за алгоритмом OCRA (OATH Challenge-Response Algorithm). Але компанія Протектімус пішла в цьому плані далі. В одному з наших продуктів, а саме в програмному токені Protectimus SMART. доступні абсолютно всі алгоритми генерації одноразового пароля, користувач самостійно вибирає той алгоритм, який здається йому найбільш зручним, але функція підпису даних залишається доступною для будь-якого з підтримуваних алгоритмів. Більш того, функція CWYS працює і для інших типів токенов (Protectimus ULTRA, Protectimus SMS і Protectimus MAIL). Алгоритм OCRA (запит-відповідь) надійний сам по собі, але завдяки застосуванню CWYS нам вдалося домогтися нового рівня безпеки!
