2024/02/05 15:51:14

Многофакторная (двухфакторная) аутентификация
Multi-factor authentication, MFA
Two-factor authentication

Использование парольной аутентификации в информационной системе предприятий и организаций себя изживает. Продолжая применять эту традиционную методику доступа в отношении собственных информационных ресурсов, компании фактически ставят под угрозу рентабельность и, тем самым, вероятно, само существование предприятия.

Каталог решений аутентификации доступен на TAdviser.

Содержание

Это утверждение имеет смысл и относится, прежде всего, к компаниям финансового сектора, как, впрочем, и ряду компаний, выполняющих научно-исследовательские, опытно-конструкторские и технологические работы (НИОКР) в высокотехнологичных секторах рынка.

Согласно стандарту РФ о защите информации, три основных свойства определяют безопасное состояние обрабатываемой информации – её конфиденциальность, доступность и целостность. Вспомним, что парольная аутентификация является одним из первых барьеров, появившихся в ИТ-системах одновременно с операционными системами, реализующими множественный доступ к информационным ресурсам. Без малого 20 лет именно она стоит на первом рубеже контроля. Очевидно, что, среди основных достоинств этой методики защиты, – её простота. И вряд ли кто станет оспаривать достаточность применения парольной аутентификации во многих организациях и уровня безопасности использования информации, при соответствующем организационном подходе. Однако…

80% инцидентов в сфере информационной безопасности случаются из-за использования слабых паролей - к такому выводу пришла компания Trustwave по результатам собственного исследования, охватившего ряд компаний в 18 регионах мира. Аналитики посвятили своё исследование уязвимости элементов в системах информационной безопасности, в процессе которого изучили более 300 инцидентов, имевших место в 2011 году. Главное заключение, сделанное в итоге: слабые пароли пользователей в ИС - наиболее уязвимое место, активно используемое злоумышленниками. Это касается как крупных, так и небольших компаний.

Слабый пароль - это плохо с точки зрения норм информационной безопасности, но обратная сторона применения сложных паролей – трудность их удержания в памяти человека. Как следствие – небрежность их хранения в виде рабочих записей, а в этом случае уже не имеет значения, будет ли пара логин/пароль записана в личном блокноте сотрудника или закреплена на мониторе липким листком. Зная традицию обращения с такими данными работниками российских компаний, к примеру, злоумышленник без особого труда получит эти сведения… Если еще учесть часто применяемую «синхронизацию» паролей для доступа к различным приложениям и корпоративным системам… И вот, минимум два из трёх столпов информационной безопасности предприятия повержены в цифровую пыль.

Некоторые зарубежные компании, действующие в сфере анализа инцидентов в системах безопасности, делают вывод: несанкционированный доступ к информации ограниченного использования о финансовой активности предприятия, договорах и графиках способен повлечь не то, что потери - разорение. Ежегодные потери от утечек информации в США оцениваются в миллиардах долларов. Российский отраслевой портал «Информационная безопасность банков» в оценке финансового ущерба от возможных злоупотреблений сотрудников ссылается на исследования Ассоциации экспертов по борьбе с мошенничеством (ACFE, США), которая видит эту сумму в размере 6% прибыли банка за год. По наблюдениям ассоциации, потери при подобных инцидентах, в среднем, достигали $100 тыс., а в 14,6% превысили $1 млн.Российский рынок HR-tech: оценки, перспективы, крупнейшие поставщики. Обзор TAdviser 100 т

Исследовательская компания Javelin Strategy в своем ежегодном исследовании, опубликованном в феврале 2012 года, оценила мировой объем мошенничества и утечек данных из компаний и организаций за 2011 год в $18 млрд. Не доверять экспертам нет оснований, а поправку на отставание России в области информатизации и непубличность российских банков и компаний каждый вправе сделать сам.

Невзирая на множество средств вычислительной техники и широкий спектр технологических решений, выбор методов аутентификации для компаний, планирующих своё будущее, невелик – многофакторная аутентификация (конечно, если в ближайшее время не случится технологический прорыв в управлении вычислительными системами при помощи мысли). Однофакторной или парольной аутентификации для безопасной работы с информационными системами в развитом бизнесе уже недостаточно.

Двухфакторная аутентификация — это технология контроля доступа в два этапа: когда помимо ввода логина и пароля к аккаунту, пользователя просят подтвердить свою личность дополнительным способом, например, ввести в форму код, полученный в SMS-сообщении на мобильный телефон. Помимо такого варианта, TeleSign предлагает дополнительную верификацию посредством голосовых команд и токенов.

Мобильная идентификация

Мобильная идентификация позволяет выполнять доступ к корпоративным приложениям только от «достоверных» устройств и пользователей. Для реализации этих возможностей могут использоваться различные технологии (в конкретном случае — одна или несколько): сертификаты (для пользователей и устройств), кодирование приложений, аутентификация и пр. Все чаще EMM-инструменты применяют различную контекстную информацию (например, время или местоположение), помогающую принимать решения при предоставлении доступа.

Сильные и слабые стороны многофакторной аутентификации

К преимуществам можно отнести её способность защитить информацию, как от внутренних угроз, так и от внешних вторжений. Определенной слабостью можно считать необходимость использования дополнительных программно-аппаратных комплексов, устройств хранения и считывания данных. В то же время, в настоящий момент статистика взломов систем, применяющих двухфакторную аутентификацию, отсутствует или ничтожна.

Многофакторная или расширенная аутентификация уже сегодня применяется рядом российских компаний в сфере финансов при создании сервисов интернет-банкинга, мобильного банкинга, файлообмена и т.п. решений для конечных пользователей. Она основана на совместном использовании нескольких факторов аутентификации (знаний, средств или объектов хранения одной из информационных составляющих легитимной процедуры аутентификации), что значительно повышает безопасность использования информации, по меньшей мере, со стороны пользователей, подключающихся к информационным системам по защищенным и незащищенным каналам коммуникаций.

В качестве примера может послужить процесс двухфакторной аутентификации пользователя, реализованный в рядом российских банков: вход в личный кабинет пользователя посредством сети интернет возможен после ввода пароля на странице, после чего (в случае подтвержденной правомерности), следует передача одноразового пароля (в виде SMS) на мобильный телефон, ранее зарегистрированный пользователем.

Аналогичные схемы контроля и управления полномочиями пользователя, его дальнейших действий в корпоративных или других информационных системах, могут быть реализованы с применением самых различных средств и методов, выбор коих достаточно широк, как по технологичности, стоимости, исполнению, так и по возможным комбинациям перечисленных свойств.

Сессия работы пользователя может также контролироваться на предмет соответствия, как IP-адреса последней успешно завершенной сессии, так и MAC-адреса соответствующего сетевого оборудования. Далее могут идти действия подтверждения или отказа в доступе к информационным ресурсам, но доверия к этим двум параметрам контроля быть не может в силу их технологической слабости: IP-адрес можно подменить, а MAC-адрес просто переписать в ходе работы системы, и даже без перезагрузки. Тем не менее, в качестве неких контрольных значений эти сведения могут быть использованы.

Обратная сторона многофакторной аутентификации

Первой проблемой многофакторной аутентификации является способ ее реализации. В настоящее время самым популярным вторым фактором, используемым поставщиками сервиса, является одноразовый пароль one time password — OTP[1].

Применяя данный тип 2FA пользователь вводит на первом уровне аутентификации персональный пароль. На следующем этапе он должен ввести маркер ОТР, обычно отправляемый с помощью SMS на его мобильное устройство. Идея способа понятна. ОТР будет доступен только тому, кто, как предполагается в теории, ввел недоступный постороннему пароль.

Однако, увы, отправлять OTP в SMS, вообще говоря, небезопасно, так как часто сообщения отправляются открытым текстом. Даже начинающие хакеры могут прочесть подобные текстовые сообщения, ведь фактически все, что им нужно — целевой номер телефона.

Кроме того, многофакторная аутентификация не в состоянии предотвратить атаки класса MitM, которые часто используются в ходе фишинговых компаний с помощью электронной почты. В случае успеха атаки пользователь перейдет по мошеннической ссылке и попадет на сайт, похожий на онлайн-портал банка. Там пользователь введет информацию о входе в систему и другие конфиденциальные данные, которые будут использоваться злоумышленником чтобы получить доступ к реальному сайту.

И хотя данная атака будет возможна для осуществления только ограниченный период времени, она все же возможна.

Требования Федеральной службы по техническому и экспортному контролю по многофакторной аутентификации

В начале 2014 года Федеральная служба по техническому и экспортному контролю (ФСТЭК) утвердила методический документ о мерах защиты информации в государственных информационных системах. Документ прояснил многие аспекты, касающихся организационных и технических мер защиты информации, принимаемых в государственных информационных системах, в соответствии с утверждённым приказом ФСТЭК России от 11 февраля 2013 г. No17.

ФСТЭК настоятельно рекомендует полностью отказаться от привычной аутентификации на основе статических паролей для всех пользователей без исключения и перейти к более надежной многофакторной аутентификации. Обязательными требованиями для многофакторной аутентификации является использование аппаратных аутентификаторов и механизма одноразовых паролей при удаленном и локальном доступе.

Примеры двухфакторной и многофакторной аутентификации

Методика аутентификации при помощи SMS основана на использовании одноразового пароля: преимущество такого подхода, по сравнению с постоянным паролем в том, что этот пароль нельзя использовать повторно. Даже если предположить, что злоумышленнику удалось перехватить данные в процессе информационного обмена, он не сможет результативно использовать украденный пароль для получения доступа к системе.

А вот пример, реализуемый с применением биометрических устройств и методов аутентификации: использование сканера отпечатка пальца, который имеется в ряде моделей ноутбуков. При входе в систему пользователь должен пройти процедуру сканирования пальца, а затем подтвердить свои полномочия паролем. Успешно завершенная аутентификация даст ему право на использование локальных данных конкретного ПК. Тем не менее, регламентом работы в ИС может быть предусмотрена отдельная процедура аутентификации для доступа к сетевым ресурсам компании, которая помимо ввода другого пароля может включать в себя целый ряд требований к представлению аутентификаторов субъекта. Но даже при такой реализации, защищенность системы, несомненно, усиливается.

Аналогичным образом могут быть использованы и другие биометрические аутентификаторы:

  • отпечатки пальцев;
  • геометрия кисти руки;
  • очертания и размеры лица;
  • характеристики голоса;
  • узор радужной оболочки и сетчатки глаз;
  • рисунок вен пальцев.

Основная статья: Биометрия


При этом конечно применяется соответствующее оборудование и программное обеспечение, а затраты на его приобретение и поддержку могут отличаться в разы.

Однако, стоит понимать – биометрические аутентификаторы не являются абсолютно точными данными. Отпечатки одного пальца могут иметь отличия под воздействием внешней среды, физиологического состояния организма человека и т.п. Для успешного подтверждения этого аутентификатора достаточно неполного соответствия отпечатка эталону. Методы биометрической аутентификации содержат определение степени вероятности соответствия действующего аутентификатора эталону. Что касается биометрической аутентификации и удаленного доступа к ИС, то пока у современных технологий нет возможности передать по незащищенным каналам достоверные данные - отпечаток пальца или результат сканирования сетчатки глаза.

Эти технологии в большей степени годятся для использования в корпоративных сетях.

Наиболее популярной технологией в этом направлении в недалеком будущем может стать голосовая аутентификация и признаки тому очевидны. Значительное количество разработок в этой сфере имеется уже сегодня, проекты внедрения подобных механизмов управления/контроля нашли место в ряде крупных банков РФ. В качестве примера практического применения систем голосовой биометрической аутентификации, можно указать аутентификацию по ключевой фразе, применяемую в ряде колл-центров, аудио-пароли для доступа к системам интернет-банкинга и т.п., подтверждение действий персонала при осуществлении важных операций доступа к информации, контроль физического доступа и присутствия в помещении.

Помимо технологий, связанных с использованием биометрических аутентификаторов, имеются также программно-аппаратные решения, такие как автономные ключи для генерации одноразовых паролей, считыватели RFID-меток, криптокалькуляторы, программные и аппаратные жетоны (токены), электронные ключи различных типов – Touch Memory и ключ/смарт-карта, а также биометрические идентификационные карты. Все перечисленные в рамках статьи системы и методы многофакторной аутентификации, а помимо них еще и системы контроля и управления доступом (СКУД) могут интегрироваться, комбинироваться, отрабатываться поочерёдно и в комплексе. Отсюда можно сделать вывод: на рынке России существует достаточное количество предложений для усиления защиты информационных систем, как от внутренних, так и внешних вторжений. У компаний имеется возможность выбора, ограничиваемая лишь размером бюджета.

Методам защиты, основанным на методиках многофакторной аутентификации, сегодня доверяет большое число зарубежных компаний, среди которых организации хай-тека, финансового и страхового секторов рынка, крупные банковские учреждения и предприятия госсектора, независимые экспертные организации, исследовательские фирмы.

При этом, частные компании и организации в мире, в целом, не очень охотно распространяются о внедрении у себя технологических новинок в сфере безопасности и защиты информации, по вполне понятным причинам. Гораздо больше известно о проектах в государственном секторе – с 2006 года публично известны успешно реализованные технологические решения в государственных учреждениях Канады, Саудовской Аравии, Испании, Дании и ряда других стран.

Рынок России

2024: Рынок многофакторной аутентификации в России ожидает рост на 20%

Компания МТС RED, входящая в ПАО «МТС», провела исследование российского рынка многофакторной аутентификации. Согласно прогнозам аналитиков, в 2024 году этот сегмент ожидает рост около 20% до 3,8 млрд рублей. Об этом МТС RED сообщил 2 февраля 2024 года.

Технология многофакторной аутентификации пользователей обеспечивает защиту от взлома компании методами атаки на пароли пользователей, в том числе с помощью их автоматического перебора или социальной инженерии. По данным МТС RED SOC, в 2023 году этот метод взлома применялся в четверти всех атак на российские компании.

Рост рынка многофакторной аутентификации обусловлен увеличением не только увеличением числа атак, но и рядом других факторов. Среди них – переход компаний на удаленный или гибридный формат работы сотрудников, рост объёма онлайн-транзакций и сегмента электронной коммерции. Также распространению строгой аутентификации способствуют запуск платежных систем в режиме реального времени и внедрение POS-систем в торговых точках для удобства пользователей.

По прогнозам аналитиков МТС RED, к 2027 году объем российского рынка многофакторной аутентификации может вырасти на 80% по сравнению с 2023 годом – до 5,6 млрд рублей. Такая динамика ожидается как за счет новых заказчиков, так и за счет того, что крупные организации, использующие данную технологию для защиты учетных записей пользователей, начинают внедрять ее более широко. Основной спрос на решения MFA в России на февраль 2024 года наблюдается со стороны финансового и нефтегазового секторов, а также сфер промышленности и энергетики.

«
Спрос в сегменте многофакторной аутентификации долгое время создавался за счет достаточно крупных и зрелых в отношении информационной безопасности компаний. Однако с 2021 года рынок также начал расти за счет организации безопасного доступа к корпоративным ИТ-ресурсам для сотрудников, работающих удаленно. Затем российские компании столкнулись с резким увеличением числа кибератак, что создало повышенный спрос на эффективные средства безопасности, включая многофакторную аутентификацию как меру дополнительной защиты. На все эти факторы дополнительно накладываются требования регуляторов. в некоторых случаях использование многофакторной аутентификации становится обязательным, что активно стимулирует рост этого рынка, – сказал Василий Огнев, руководитель направления многофакторной аутентификации компании МТС RED.
»

На февраль 2024 года около 75% российского рынка занимают поставщики аппаратных средств многофакторной аутентификации, однако уже заметен тренд к увеличению доли рынка разработчиков программных решений данного класса. По мнению аналитиков МТС RED, это связано с тем, что программные решения более просты с точки зрения процессов внедрения, логистики и учета, и при этом обеспечивают тот же уровень защиты, что и аппаратные. Также аналитики прогнозируют рост выручки поставщиков сервисов многофакторной аутентификации, поскольку они дополнительно снимают с заказчиков задачи по закупке оборудования или ПО, а также затраты на его поддержку.

Тренды мирового рынка многофакторной аутентификации аналогичны российским: к 2027 году этот сегмент вырастет примерно на 70% и составит 27 млрд долларов США. В 2024 году рост выручки поставщиков данной технологии составит 19% и таким образом достигнет 19 млрд долларов США. Среди драйверов развития мирового рынка многофакторной аутентификации аналитики отмечают ужесточение законодательства, общий рост спроса на кибербезопасность и распространение популярности удаленной работы в различных организациях по всему миру.

2023: Требования закона об авторизации в интернете могут быть смягчены до 2025 года

Антон Горелкин, зампред комитета Госдумы по информполитике Госдумы, вынес на рассмотрение законопроект (№ 487343-8) об изменении принятого летом этого года закона №406-ФЗ, который требует авторизации всех российских пользователей хостинг-провайдеров для перевода к ним государственных информационных систем к 1 сентября 2024 г. Закон определяет понятие провайдера хостинга и требует от них с 1 декабря этого года авторизации всех пользователей либо по телефонному номеру, либо через ЕСИА, либо через ЕБС, либо через любую систему аутентификации (без аутентификации нельзя авторизовать доступ), которая контролируется российской компанией или гражданином.

Вот с последним пунктом – российскими системами аутентификации – и случился небольшой конфуз. В пояснительной записке к законопроекту сказано:

«
В настоящее время ряд крупных российских ИТ-компаний завершают мероприятия, направленные на соответствие вышеуказанным требованиям о российском контроле. В целях обеспечения стабильного функционирования российских информационных ресурсов до завершения мероприятий по переводу под российский контроль указанных ИТ-компаний проектом федерального закона «О внесении изменений в статью 8 Федерального закона «Об информации, информационных технологиях и о защите информации» (далее – законопроект) предусматривается установление переходного периода до 1 января 2025 года, в течение которого данные российские ИТ-компании могут продолжить использование своих информационных систем для проведения авторизации пользователей.
»

Фактически это означает, что сейчас крупные российские ИТ-компании, которые имеют собственные федеративные системы аутентификации, такие как «Яндекс» и VK, не совсем находятся под контролем граждан России или российских компаний, но работают в этом направлении. В течении года, видимо, редомициляция в Россию у таких компаний будет завершена, и тогда они будут соответствовать требованиям закона. За год российские хостинг-провайдеры также должны избавиться и от иностранных федеративных систем аутентификации компаний Apple, Microsoft и других.

Работа федеративной системы аутентификации «Яндекса», встроенная в систему показа рекламы «Директ» (фото «Яндекс»)
«
Цель этих нововведений – усиление сохранности персональных данных наших граждан, сокращение рисков интеграции сервисов из недружественных стран в российские ресурсы, – пояснил Антон Горелкин в своем телеграмм-канале. – Мы рассчитывали, что наши крупнейшие цифровые платформы успеют решить все организационные вопросы до 1 декабря этого года. Однако после череды консультаций и совещаний с отраслью выяснилось, что сроки нужно продлевать – иначе не будет гарантии стабильного функционирования платформ, что поставит под угрозу комфорт российских пользователей.
»

Кроме того, в законе №406-ФЗ был странный пункт по использованию телефонного номера для аутентификации. В законе он сформулирован так:

«
Доступ к сайту разрешается для пользователей, прошедших авторизацию «с использованием абонентского номера оператора подвижной радиотелефонной связи в порядке, установленном Правительством РФ, на основании договора об идентификации, заключенного владельцем сайта..»
»

То есть всем хостинг-провайдерам законом предписывалось заключать договоры об идентификации с операторами мобильной связи. Причем Правительство РФ должно было к 1 декабря сформировать правила для этого, но вряд ли оно успеет за оставшиеся срок. Но даже если это случиться, всем хостинг-провайдерам в срочном порядке нужно будет эти договоры оформлять. Это неудобно как для хостинг-провайдеров, так и для мобильных операторов – поэтому Антон Горелкин предложил исключить пункт об обязательных договорах и оставить только авторизацию «с использованием абонентского номера оператора подвижной радиотелефонной связи».

В соответствии с решением комитета по информационной политике, информационным технологиям и связи запланировано рассмотрение законопроекта в Госдуме на 28 ноября. Чтобы он вступил в силу с 1 декабря (с момента подписания, как указано в тексте) нужно, чтобы до 1 декабря он был принят во всех трех чтениях, а также был утвержден Советом Федерации и Президентом РФ. Скорее всего этого не случиться, и поэтому есть ненулевая вероятность возникновения квантово-юридического разрыва: вроде бы договоры об идентификации с операторами заключать надо в соответствии с законом, но правил для этого нет, да и само это требование может быть отменено принятием поправки. Это же относиться и к легитимности «российских» систем федеративной аутентификации.

2022: Сложная фишинговая кампания позволяет обходить многофакторную аутентификацию

12 июля 2022 года Microsoft подробно рассказала о продолжающейся крупномасштабной фишинговой кампании, в рамках которой злоумышленники могут похитить учетную запись пользователя, даже если он использует многофакторную аутентификацию (МФА). Злоумышленник, с сентября 2021 года атаковавший 10 000 организаций, использовал свой скрытый доступ к учетным записям электронной почты жертв, чтобы обманом заставить сотрудников отправить деньги хакерам.

Иллюстрация:securitylab.ru

Киберпреступник вставляет прокси-сайт между жертвой и сервером, на который пользователь пытается войти. Когда пользователь вводит пароль на прокси-сайте, сайт отправляет его на реальный сервер, а затем отправляет ответ сервера обратно пользователю.

После завершения аутентификации злоумышленник крадет cookie-файл сеанса, отправленный сайтом, поэтому пользователю не нужно проходить повторную аутентификацию при посещении каждой новой страницы. Кампания началась с фишингового письма с HTML-вложением, ведущим на прокси-сервер.

Иллюстрация:securitylab.ru
«
После того, как скомпрометированная учетная запись впервые вошла на фишинговый сайт, злоумышленник использовал украденный cookie-файл сеанса для аутентификации в Outlook Online,
сказали участники исследовательской группы Microsoft 365 Defender.
»

Иллюстрация:securitylab.ru
«
Во многих случаях cookie-файлы содержали требование МФА, а это означает, что даже если в организации была политика МФА, злоумышленник использовал cookie-файл сеанса для получения доступа от имени скомпрометированной учетной записи,
сообщила команда Microsoft Threat Intelligence Center в блоге о кампании.
»

Через несколько дней после кражи cookie-файлов злоумышленник получил доступ к учетным записям электронной почты сотрудников и стал искать сообщения для использования в BEC-мошенничестве . Киберпреступник обманным путем заставлял жертвы переводить большие суммы денег на счета, которые, по их мнению, принадлежали коллегам или деловым партнерам. Злоумышленник использовал ветки электронной почты и поддельную личность взломанного сотрудника, чтобы убедить другую сторону произвести платеж.

Чтобы взломанный сотрудник не обнаружил компрометацию, злоумышленник создал правила для папки «Входящие», которые автоматически перемещали определенные письма в архивную папку и помечали их как прочитанные. В течение следующих нескольких дней киберпреступник периодически входил в систему, чтобы проверить наличие новых электронных писем.

«
Однажды хакер предпринял несколько попыток мошенничества одновременно с одного и того же взломанного почтового ящика. Каждый раз, когда злоумышленник находил новую цель мошенничества, он обновлял созданное им правило папки «Входящие», чтобы включить домены организации новых целей,
написали авторы блога.
»

Наиболее эффективными из доступных форм МФА являются те, которые соответствуют стандартам альянса FIDO. Эти типы МФА используют физический ключ безопасности, который поставляется в виде ключа от Android или iOS.

Аутентификация также может использовать отпечаток пальца или сетчатку глаза, которые всегда сохраняются на устройстве во избежание кражи биометрических данных. Все способы MFA Альянса FIDO не могут быть фишинговыми и используют серверные системы, устойчивые к этому типу продолжающейся кампании. Один хакер может причинить столько же вреда, сколько 10 000 солдат.[2]

2021

Двухфакторная идентификация больше не самый безопасный способ защиты

Двухфакторная аутентификация не так эффективна, как раньше, об этом стало известно 31 декабря 2021 года со слов исследователей из Stony Brook University и Palo Alto Networks.

Двухфакторная аутентификация представляет собой систему двух ключей, где один приходит пользователю извне (имеется в виду SMS с кодом, которое приходит на телефон), другой же человек запоминает (обычные логин и пароль). Двухфакторная аутентификация считалась одной из самых надежных способов защиты аккаунта.

Как отмечают исследователи, ПО для обхода двухфакторной аутентификации постепенно становится более демократичным и доступным для большого круга киберпреступников.

Намного проще стало получить набор для взлома, предлагаемый злоумышленниками. Если раньше для поиска таких инструментов приходилось исследовать даркнет, то теперь они доступны в Интернете. Хакерские комплекты позволяют с минимальными усилиями (или вообще без них) похитить cookie-файлы аутентификации. После этого, сайт будет считать киберпреступника легитимным пользователем и без проблем даст войти под его именем. При этом не потребуется даже обычный пароль.

Дело в том, что cookie-файлы обычно хранят в себе токены авторизации аккаунтов пользователей, чтобы им не пришлось вводить логин на сайте при каждом его открытии.

По словам исследователей, предлагаемые хакерские наборы эффективны на большинстве крупных сайтов и приложений. За время исследования они обнаружили не менее 1200 комплектов .

Отмечается, что хакеры уже несколько лет могут обходить двухфакторную аутентификацию. Однако, с другой стороны, широкое распространение наборов для взлома и более простое их получение, вызывает у исследователей серьезное беспокойство[3].

Мошенники научились обходить двухфакторную аутентификацию по коду из СМС

В декабре 2021 года стало известно о том, что мошенники научились обходить двухфакторную аутентификацию (по коду из SMS-сообщения). О новой схеме рассказали в «Лаборатории Касперского».

Как пишут «Известия» со ссылкой на экспертов антивирусной компании, киберпреступники организовали рассылку автомобилистам с предложением продлить договор ОСАГО, при этом в сообщении указан фишинговый сайт, копирующий портал страховой компании. После перехода по ссылке и ввода данных карты пользователя перебрасывает на форму ввода кода. В этот момент клиенту действительно поступает SMS от кредитной организации, однако такое SMS подтверждает заявку на перевод денег, а не на оплату товаров и услуг.

Злоумышленники научились обходить двухфакторную аутентификацию

Когда пользователь вводит SMS-код на страничке, которая появилась после ожидания, злоумышленники завершают атаку, подтверждая перевод денег.

По словам специалистов, появление новой схемы связано с тем, что россияне уже привыкли, что нельзя называть коды из SMS по телефону, а вот при покупках на сайтах пока проявляют меньшую бдительность и указывают проверочные цифры без сомнений.

«
Обычно человек получает письмо с предложением продлить ОСАГО, переходит по ссылке и видит, что там отображаются все данные его авто, в том числе госномер. Рядом ссылка для оплаты. Стоит перейти по ней, как собственник транспортного средства в ловушке, — сообщил руководитель отдела развития методов фильтрации контента в «Лаборатории Касперского» Алексей Марченко.
»

Эксперты говорят, что даже несмотря на то что злоумышленники находят способы обойти двухфакторную аутентификацию, ей все равно стоит доверять. Этот метод подтверждения легальности операции подразумевает, что пользователь отдает себе отчет в своих действиях и понимает, на каком сайте и с какой целью он вводит пароль и код, подчеркнул генеральный директор Infosecurity a Softline Company Николай Агринский.[4]

2019

Представлен новый способ обхода двухфакторной аутентификации

В конце декабря 2019 года группу хакеров, предположительно связанную с китайским правительством, обвинили во взломе сетей по всему миру. Эксперты считают, что хакеры разработали новую методику обхода двухфакторной аутентификации, что встревожило сообщество кибербезопасности.

Впервые хакерскую деятельность, приписываемую группе APT20, обнаружили в 2011 году. Она занималась взломом и доступом к данным государственных структур, крупных компаний и поставщиков услуг в США, странах Южной Америки и Европы. В 2016–2017 годах группа исчезла из поля зрения специалистов, и лишь недавно голландская компания Fox-IT, специализирующаяся на консалтинговых услугах по кибербезопасности, обнаружила следы вмешательства APT20 в сети одного из своих клиентов, который попросил расследовать нарушения в целостности сети.

Группу хакеров, предположительно связанную с китайским правительством, обвинили во взломе сетей по всему миру

Исследователи Fox-IT подробно описали методику взлома. По мнению специалистов, группа хакеров использовала веб-серверы в качестве точки входа, в частности, платформу корпоративных приложений Jboss. Проникнув в систему и установив веб-оболочки, хакеры расходились по сетям жертв. Найденные пароли и учётные записи позволяли злоумышленникам красть данные с помощью стандартных инструментов, без установки вирусов.

Но хуже всего оказалось то, что группа APT20 смогла обойти двухфакторную авторизацию, получив доступ к защищенным учетным записям VPN. Наиболее вероятно, что хакеры смогли украсть из взломанной системы программный токен RSA SecurID и модифицировать его таким образом, чтобы разорвать связь с локальной системой. Обычно без него программа RSA SecurID выдаёт ошибку, однако хакеры обошли весь комплекс начальной проверки и с помощью украденной программы смогли беспрепятственно генерировать одноразовые коды для обхода двухфакторной защиты.[5]

Использование многофакторной аутентификации блокирует 99,9% взломов

В облачных сервисах Microsoft ежедневно совершается около 300 млн попыток мошеннического входа в учетные записи. Многофакторная аутентификация (МФА) может помочь защитить учетные записи от многих типов атак[6].

По словам специалистов из Microsoft, пользователи, включившие многофакторную аутентификацию для своих учетных записей, в итоге блокируют 99,9% автоматических атак[7]. Рекомендация распространяется не только на учетные записи Microsoft, но и на любой другой профиль, web-сайт или online-сервис. Если поставщик услуг поддерживает многофакторную аутентификацию, Microsoft рекомендует использовать ее, независимо от того, является ли она чем-то простым, как одноразовые SMS-пароли или расширенные биометрические решения.

По словам исследователей из Microsoft, такие старые советы, как «никогда не используйте пароль, который когда-либо был скомпрометирован» или «используйте действительно длинные пароли», в последние годы не очень помогают. В настоящее время киберпреступники имеют в своем распоряжении различные методы, позволяющие получить учетные данные пользователей, и в большинстве случаев пароль и его сложность не имеют значения.

От постоянных попыток мошеннического входа защитит включение многофакторной аутентификации. Она не сможет заблокировать только 0,1% атак, в ходе которых киберпреступники используют технические решения для захвата токенов МФА, но они происходят крайне редко.

Иск против Apple за «незаконное» включение двухфакторной аутентификации

11 февраля 2019 года стало известно, что житель Калифорнии Джей Бродски (Jay Brodsky) подал в суд на компанию Apple за «незаконное» включение двухфакторной аутентификации. Бродски жалуется на то, что двухфакторная аутентификация существенно усложняет жизнь пользователям, поскольку от них требуется не только помнить пароль, но еще и иметь доступ к доверенному телефону или телефонному номеру. Подробнее здесь.

2017: Google отказывается от SMS при двухфакторной авторизации

Google планирует летом 2017 года вместо одноразовых кодов проверки, рассылаемых с помощью SMS, пользователям выводит экранные уведомления с просьбой подтвердить логин. Подобный подход считается более надёжным, нежели отправка секретных кодов через SMS, поскольку их сложнее перехватить.

В сообщениях от Google будут указываться устройство, с которого осуществляется логин, его физическое местоположение, а также время попытки входа. Пользователям необходимо будет внимательно следить за этой информацией, чтобы не допускать несанкционированного входа посторонних.

Переход на экранные уведомления предложат только тем пользователям Google, у которых двухфакторная аутентификация уже активирована. Предложение принимать не обязательно - предусмотрена опция сохранения отправки кода через SMS.

2016

SMS-пароли признаны небезопасными

Национальный Институт стандартов и технологий США (The National Institute of Standards and Technology, NIST) представил летом 2016 года предварительную версию будущего Digital Authentication Guideline (документа, который установит новые нормы и правила в отношении цифровых методов аутентификации): механизм SMS OTP изначально для аутентификации не предназначался и не может считаться полноценным фактором аутентификации[8].

В документе содержится прямое указание на то, что использование SMS-сообщений для двухфакторной аутентификации может являться «недопустимым» и «небезопасным» (секция документа 5.1.3.2).

Полностью данный параграф выглядит так: «Если верификация по внешнему каналу осуществляется посредством SMS-сообщения в публичной сети мобильной телефонной связи, верификатор должен убедиться, что используемый предварительно зарегистрированный телефонный номер действительно ассоциируется с мобильной сетью, а не с VoIP или иным программным сервисом. После возможна отправка SMS-сообщения на предварительно зарегистрированный телефонный номер. Изменение предварительно зарегистрированного телефонного номера не должно быть возможно без двухфакторной аутентификации в ходе изменения. Использование SMS-сообщений в аутентификации по внешнему каналу недопустимо, и не будет дозволяться в будущих версиях данного руководства».

Основные опасения экспертов Национального института стандартов и технологий сводятся к тому, что номер телефона может быть привязан к VoIP-сервису, кроме того, злоумышленники могут попробовать убедить поставщика услуг в том, что номер телефона изменился, и подобные уловки нужно сделать невозможными.

Хотя документ рекомендует производителям использовать в своих приложениях токены и криптографические идентификаторы, авторы поправок также отмечают, что смартфон или другое мобильное устройство всегда могут быть украдены, или могут временно находиться в руках другого человека" - говорится в документе NIST.

Механизмов компрометации SMS паролей существует достаточно много, и они уже были неоднократно использованы в основном для похищения денежных средств клиентов российских банков. Достаточно перечислить лишь несколько методов взлома SMS паролей:

  • Замена SIM карты с использованием поддельных документов
  • Использование уязвимостей в протоколе OSS-7
  • Переадресация вызовов у оператора мобильной связи
  • Ложные базовые станции
  • Специализированные троянские программы для смартфонов, перехватывающие SMS пароли

Еще одним методом может считаться взлом шлюза между банком и оператором связи.

То обстоятельство, что механизм SMS-паролей используется всеми банками, открывает для хакеров широкие перспективы. Очевидно, что написав один раз троян для смартфона, его можно использовать для атаки на все российские банки, при его (трояна) минимальной кастомизации.

При этом можно предсказать, что первыми "под раздачу" будут попадать крупные банки – большая клиентская база последних позволяет мошенникам рассчитывать на весомый результат даже при небольших остатках на счетах клиентов.


Одноразовые пароли через SMS

  • задержки в доставке
  • возможность перехвата на уровне канала связи или ввода в систему
  • возможность перехвата на уровне оператора мобильной связи
  • возможность переоформления сим-карты клиента на мошенника по поддельной доверенности (и перехвата SMS)
  • возможность направления клиенту SMS-сообщений с подменного номера
  • рост операционных затрат пропорционально клиентской базе

Одноразовые пароли через PUSH

  • негарантированная доставка
  • прямой запрет Apple/Google/Microsoft на использование для передачи конфиденциальной информации
  • предназначение – только информирование

Исследователи продемонстрировали простую атаку для обхода двухфакторной аутентификации

Ученые из Амстердамского свободного университета Радхеш Кришнан Конот (Radhesh Krishnan Konoth), Виктор ван дер Вен (Victor van der Veen) и Герберт Бос (Herbert Bos) продемонстрировали практическую атаку на двухфакторную аутентификацию с использованием мобильного устройства. Исследователи продемонстрировали атаку «Человек в браузере» (Man-in-the-Browser) против смартфонов на базе Android и iOS[9].

Проблема с двухфакторной аутентификацией возникла из-за увеличения популярности смартфонов и желания владельцев синхронизировать данные между различными девайсами. Двухфакторная аутентификация полагается на принцип физического разделения устройств для защиты от вредоносного ПО. Однако синхронизация данных делает подобную сегментацию абсолютно бесполезной.

Исследователи продемонстрировали атаку с использованием установки уязвимого приложения через Google Play. Им удалось успешно обойти проверку Google Bouncer и активировать приложение для перехвата одноразовых паролей.

Для атаки на iOS исследователи использовали новую возможность OS X под названием Continuity, позволяющую синхронизировать SMS-сообщения между iPhone и Mac. Если этот функционал активирован, злоумышленнику достаточно иметь доступ к компьютеру, чтобы прочитать все SMS сообщения.

Согласно исследователям, приложение для хищения одноразовых паролей было добавлено в Google Play 8 июля 2015 года и оставалось доступно для пользователей в течение двух месяцев, до выхода видео с демонстрацией атаки.

Компания Apple была уведомлена 30 ноября 2015 года, однако исследователи не получили ответ.

2015

«Яндекс» и Mail.ru запустила двухфакторную аутентификацию

Обычно двухфакторная аутентификация подразумевает ввод пароля на сайте, а затем подтверждение личности с помощью дополнительного кода, полученного в SMS-сообщении на мобильный телефон.

В реализации двухфакторной аутентификации Mail.Ru первым фактором является пароль, а вторым выступает код, который пользователь получает по SMS на номер телефона, подключенный к аккаунту. По мнению разработчиков решения, это наиболее доступный способ, охватывающий в том числе аудиторию, которая не пользуется смартфонами на популярных операционных системах.

«У нас все еще проще», — говорит Владимир Иванов, заместитель руководителя департамента эксплуатации «Яндекса». Компания предлагает вовсе не вводить пароль на веб-сайте. Вместо этого пользователю нужно будет сфотографировать QR-код на странице сервиса (например, «Яндекс.Почты») с помощью смартфона и ввести на смартфоне четырехзначный пин-код, рассказал он .

Фотография QR-кода поступит в приложение «Яндекс.Ключ» и в нем уже нужно будет ввести указанный код. Приложение «Яндекс.Ключ» нужно поставить на устройство заранее, если владелец желает пользоваться новой технологией «Яндекса». Кроме того, заранее нужно будет включить двухфакторную аутентификацию в «Яндекс.Паспорте», сообщил Иванов. Владельцы смартфонов и планшетов Apple вместо пин-кода могут использовать сканер отпечатка пальца Touch ID (при его наличии в модели)[10].

Два фактора авторизации в системе «Яндекса» следующие: информация о принадлежности устройства конкретному пользователю, которая хранится на серверах «Яндекса», и знание пользователем своего четырехзначного пина (или его отпечаток пальца), пояснили в компании.

Каждый раз при вводе пин-кода (или при срабатывании Touch ID) в приложении генерируется уникальный одноразовый код, который действует 30 секунд. При этом часть кода генерируется из пин-кода, который знают только пользователь и «Яндекс», и часть — из данных приложения. В одноразовом коде зашифрованы оба «секрета». «Таким образом, исключается вариант, когда один из факторов был скомпрометирован и злоумышленник подбирает данные второго фактора», — добавили в «Яндексе».

Если считать QR-код не получается, например, не работает камера смартфона или нет доступа к интернету приложение «Яндекс.Ключ» создаст одноразовый пароль из символов. Он также будет действовать в течение только 30 секунд.

После перехода на двухфакторную аутентификацию существующий пароль пользователя перестанет работать на всех установленных программах, использующих логин и пароль «Яндекса», включая «Яндекс.Диск», почтовые программы, настроенные на сбор почты из «Яндекс.Почты», синхронизацию в «Яндекс.Браузере», предупредили в компании. Для каждого приложения будет необходим свой новый пароль — он будет создан в «Яндекс.Паспорте», в настройке «Пароли приложений». Его необходимо будет ввести один раз в каждом приложении.

Сервер аутентификации объединит процессы проверки

Цель аутентификации — максимально затруднить использование чужих (украденных, подобранных) учетных данных. Этот процесс должен быть простым для легального пользователя, а придумывание и запоминание стойких паролей длиной не менее nn символов и включением в них спецсимволов, цифр с высокой вероятностью раздражает пользователей[11].

В компании может быть несколько различных информационных систем, источников ресурсов, требующих аутентификации:

  • корпоративный портал,
  • электронная почта,
  • CRM-система,
  • удаленный VPN-доступ,
  • Wi-Fi.

И поскольку перед пользователем стоит задача - соответствовать требованиям политики безопасности по сложности и уникальности паролей, ее решение представляет определенные трудности для исполнения пользователем, а в технологическом плане - это разрозненные системы аутентификации, не связанные между собой, не гибкие, требующие большого объема ресурсов для поддержки. Все вкупе ведет к дополнительным расходам и «неповоротливости» компании при внесении изменений в способах аутентификации.

Разрешить вопросы и помочь в решении стоящих задач может сервер аутентификации — единый центр администрирования всех процессов проверки подлинности сразу для всех приложений/сервисов/ресурсов. Промышленные серверы такого типа поддерживают целый набор методов аутентификации. Как правило, это OATH HOTP, TOTP, OCRA, PKI-сертификаты, RADIUS, LDAP, обычный пароль, SMS, CAP/DPA и другие. Каждый ресурс, использующий сервер аутентификации, может использовать метод, который требуется именно ему.

С использованием серверов аутентификации ИТ-администраторы получают единый интерфейс управления учетными данными пользователей, гибкие возможности по смене методов проверки подлинности. Бизнес получает надежную защиту доступа к сервисам и ресурсам в виде двухфакторной аутентификации, что повышает лояльность пользователей, как внутренних, так и внешних.

Добавление второго фактора для проверки подлинности, при действующем сервере аутентификации, не потребует от компании создания новых программно-технических средств и закупки новых токенов.

В качестве примера: банк А проверял подлинность владельцев дебетовых или кредитных карт в клиент-банке по сертификатам на USB-токенах. Его платежные карты были исключительно с магнитной полосой, но в какой-то момент банк наладил выпуск карт с EMV-чипом, который, по сути, является микрокомпьютером. Карту с EMV-чипом можно использовать для аутентификации по алгоритму Master Card Chip Authentication Program (CAP). То есть теперь банк А может отказаться от применения для каждого пользователя дорогостоящих PKI-токенов и сменить этот метод аутентификации на CAP, для которого требуется только недорогой криптокалькулятор. Через некоторое время банк А начинает выпуск платежных карт с дисплеем и реализованным алгоритмом OATH TOTP и для того, чтобы избавить пользователя от использования дополнительного криптокалькулятора, настраивает аутентификацию TOTP для клиент-банка. Следует понимать, что помимо дистанционного банковского обслуживания в банке А есть множество других сервисов, как внутренних, так и предназначенных для клиентов или партнеров, требующих аутентификации. Для каждого приложения служба информационной безопасности может выдвинуть свои требования по необходимым методам проверки подлинности пользователей. Вся аутентификация банка А может производиться на сервере аутентификации. Нет никакой необходимости заниматься разработками для каждого приложения отдельно.

Такая гибкость и легкость добавления новых методов проверки подлинности недостижима без сервера аутентификации. Сокращение времени на эти задачи столь значительно, что позволяет говорить о быстроте ввода продукта в эксплуатацию как о конкурентном преимуществе.

Доступность строгой аутентификации в виде специализированного программного обеспечения позволяет добавлять многофакторность приложениям, прежде не обладающим таким функционалом, без комплексных доработок. Практически все информационные системы, сервисы, приложения, не поддерживающие строгую аутентификацию «из коробки», могут использовать возможности сервера аутентификации для доступа пользователей.

2014: Google против паролей: Начались продажи USB-ключей для доступа к сайтам

Google объявил в октябре 2014 года о запуске на своих сайтах двухфакторной аутентификации с использованием физического USB-ключа. Купить ключ можно на Amazon (ссылка). Сейчас в магазине представлено три модели ключей стоимостью от $6 до $60[12].

Все ключи используют открытый протокол Universal 2nd Factor (U2F), разработанный FIDO Alliance. Ключи можно будет использовать на любом сайте (не только Google), который добавит поддержку этого протокола.

USB-ключи не требуют установки — достаточно поместить его в USB-порт компьютера после ввода пароля на сайте, когда сайт попросит об этом. Все ключи работают с Windows, OS X, Linux и Chrome OS. Для работы с USB-ключом необходимо использовать браузер Google Chrome версии 38 и выше.

Использование USB-ключей полностью бесплатно, однако пользователи должны приобретать их за свой счет. Ключи отличаются дизайном. Самая дорогая модель за $60 оснащена технологией Java Card.

Двухфакторную аутентификацию с отсылкой SMS-сообщения с кодом подтверждения Google запустила в 2011 г. В январе 2013 г. корпорация сообщила, что планирует разработать и предложить физические средства подтверждения личности. В частности, именно тогда речь зашла о доступе к сервисам Google с помощью USB-ключей.

2013: Двухфакторная аутентификация мобильных транзакций

Ученые из корпорации IBM разработали и представили в октябре 2013 года новую мобильную технологию защиты с помощью аутентификации на основе стандарта беспроводной связи малого радиуса действия (near-field communication, NFC). Технология обеспечивает дополнительный уровень защиты доступа в корпоративную сеть или частное облако при проведении транзакций посредством мобильных устройств, поддерживающих NFC, и бесконтактных смарт-карт.

Согласно результатам отчета исследовательской компании ABI Research, в 2014 г. количество используемых устройств с функцией NFC превысит 500 миллионов. Эти данные, а также тот факт, что к 2017 г. 1 млрд. мобильных пользователей будет совершать банковские транзакции с помощью своих устройств*, подтверждают растущий риск утери данных в связи с мошеннической деятельностью.

Для решения этой проблемы сотрудники лаборатории IBM в Цюрихе, которые также создали операционную систему, обеспечивающую функционирование и безопасность сотен миллионов смарт-карт, разработали дополнительный уровень защиты мобильных транзакций, подразумевающий двухфакторную аутентификацию.

Многие пользователи уже применяют двухфакторную аутентификацию при работе на компьютере, к примеру, вводя не только пароль, но и код подтверждения, полученный в SMS-сообщении. Ученые из IBM применили тот же принцип при обработке номера персональной идентификации (PIN-кода) и использовании бесконтактной смарт-карты. Смарт-карта может быть выпущена банком для обслуживания в банкоматах или работодателем в качестве удостоверения сотрудника.

«Технология двухфакторной аутентификации, основанная на стандарте улучшенного шифрования (Advanced Encryption Standard), обеспечивает высокий уровень безопасности» – прокомментировал Диего Ортис-Епес (Diego Ortiz-Yepes), специалист IBM Research по мобильной безопасности.

Как работает технология

Пользователь держит смарт-карту вблизи NFC-считывателя своего мобильного устройства. После ввода PIN-кода карта генерирует одноразовый код, затем направляя его серверу посредством мобильного устройства.

Технология IBM основывается на абонентском шифровании передачи данных между смарт-картой и сервером по стандарту Advanced Encryption Standard (AES), одобренному Национальным институтом стандартов и технологий (NIST). Современные мобильные технологии, представленные на рынке, требуют наличия у пользователя, к примеру, генератора случайных паролей, что не всегда удобно и в некоторых случаях менее надежно.

Новая технология, которая теперь доступна на любом устройстве под управлением Android 4.0 с функцией NFC, основана на IBM Worklight – мобильной платформе, входящей в портфель решений IBM MobileFirst. Будущие обновления позволят использовать новые NFC-устройства, учитывая тенденции развития рынка.

Результаты нового исследования IBM Institute for Business Value, проведенного среди «мобильных» предприятий, подтвердили, что организации осознают важность обеспечения высокого уровня безопасности мобильных транзакций. По итогам опроса специалистов, безопасность находится на втором месте в списке наиболее сложных задач предприятия.

2011: Двухфакторная аутентификация слишком сложна, считают администраторы

60% из ста опрошенных компанией GrIDsure руководителей информационных служб обеспокоены чрезмерной сложностью методов двухфакторной аутентификации пользователей, а более половины из них считают, что реализация ее обойдется слишком дорого (данные 2011 года). При этом каждый пятый скептически оценивает шансы двухфакторной аутентификации решить проблемы традиционной аутентификации по одному паролю. Тем не менее, 36% опрошенных считают многоуровневую аутентификацию важнейшим факторов обеспечения безопасности доступа. 32% ставят на первое место обучение сотрудников, и только 7% высказываются за полное отключение удаленного доступа.

Аутентификации по паролю уже недостаточно для защиты ценных данных, заключают в GrIDsure. Однако решающим фактором оказывается стоимость системы. Большинство из имеющихся на рынке решений слишком сложны и дороги в реализации и поддержке. Любая система, требующая наличия аппаратного ключа или отправки паролей на мобильный телефон, лишь делает процесс аутентификации более громоздким.[13]

Лишь 34% опрошенных уверены, что сотрудники в состоянии сделать все необходимое для защиты компании от компьютерных угроз.

Примечания

  1. Многофакторная аутентификация — отнюдь не панацея
  2. Сложная и незаметная кампания обошла многофакторную аутентификацию
  3. Двухфакторная идентификация больше не самый безопасный способ защиты
  4. Хитрый код: мошенники научились обходить СМС-подтверждение операций
  5. Chinese hacking group has found new way to bypass two-factor authentication
  6. Использование многофакторной аутентификации блокирует 99,9% взломов
  7. One simple action you can take to prevent 99.9 percent of attacks on your accounts
  8. По материалам Xakep.ru, PLUSworld.ru
  9. Исследователи продемонстрировали простую атаку для обхода двухфакторной аутентификации
  10. «Яндекс» запустил двухфакторную аутентификацию без паролей
  11. Николай Корабельников: Зачем нужен сервер аутентификации
  12. Google против паролей: Начались продажи USB-ключей для доступа к сайтам
  13. Двухфакторная аутентификация слишком сложна, считают администраторы