Текстовые сообщения и двухфакторная аутентификация: что должен знать каждый бизнес

По мере того, как преступники все активнее пытаются проникнуть через защиту пользователей, компании должны активнее поддерживать целостность своих данных.

Клиенты, привыкшие просто отправлять электронное письмо, как будто оно отправляется по почте, могут неловко отреагировать на любые дополнительные действия. К счастью, клиенты становятся более информированными, и процесс становится проще.

Цель состоит в том, чтобы максимально упростить двухфакторную идентификацию для конечных пользователей и в то же время гарантировать, что злоумышленникам будет трудно ее обойти.

Звучит грозно? Расслабляться! Двухфакторная аутентификация ( 2FA ) была разработана для борьбы с этими хитрыми мошенниками.

Как это работает?

2FA добавляет дополнительный уровень к протоколам аутентификации. Это может прийти во многих формах. Иногда это биометрия, требующая, чтобы голос, отпечаток пальца, сканирование сетчатки глаза или какой-либо другой уникальный элемент были частью микса.

Для этого требуется обширное ведение записей и хранение PII (личной информации), что может значительно увеличить накладные расходы, а также вызвать дополнительные проблемы с безопасностью, если это хранилище когда-либо будет скомпрометировано.

Однако, хотя такие методы возможны, в большинстве случаев они непрактичны. Вместо этого такие учреждения, как банки, выдают уникальные удостоверения личности, чтобы (например) управлять банкоматом (банкоматом). Такие карты бесполезны без PIN-кода (персонального идентификационного номера).

Эта безопасность зависит от наличия определенного элемента и его сочетания с определенным элементом знаний. Банковские карты могут быть утеряны при краже или утере кошелька, но сами карты бесполезны без ПИН-кода.

Двухфакторная аутентификация дополняет традиционную парадигму «имя пользователя» и «пароль».

Преимущества двухфакторной аутентификации

Организованные банды или даже преступники-одиночки нашли способы обмануть умных людей, заставив их принять поразительно плохие решения, такие как предоставление безопасного доступа незнакомцам или обмен паролями.

2FA через SMS делает процесс достаточно сложным для преступников, что, по большому счету, большинству из нас слишком неинтересно, чтобы привлекать внимание.

Удаление шага

IoT , или Интернет вещей, был большим благом для человечества (а в некоторых случаях и проклятием). Это означает, что в настоящее время используется 5 миллиардов смартфонов плюс бесчисленное множество других устройств, которые могут принимать SMS-сообщения.

По текущим оценкам, 21/2 миллиарда землян имеют по крайней мере один смартфон (помимо всех остальных наших устройств).

Он с нами почти все время, в пределах легкой досягаемости, и мы стали очень полагаться на него.

Сервисы 2FA не должны выдавать незаметные средства идентификации; они также не должны хранить ненужную информацию о людях.

У нас по-прежнему могут быть имена и пароли, но теперь, идентифицировав себя таким образом, сервис может использовать SMS-аутентификацию, чтобы отправить нам текстовое сообщение с временным PIN-кодом, срок действия которого истекает всего через минуту или две.

Теперь вы что-то знаете (имя и пароль) и что -то имеете (ваш телефон), так что можете продолжать. Что может быть проще?

Страхи прочь, клиенты будут использовать это

Некоторые компании думают, что клиенты будут бунтовать и браться за дело в другом месте. В качестве доказательства они часто указывают на тот факт, что только 10% пользователей Gmail включают двухфакторную аутентификацию, а точнее 90% — нет .

Хотя использование 2FA, несомненно, является хорошей идеей, вы должны знать о парадигме, которая здесь работает. Люди часто используют охранную компанию или частную службу электронной почты интернет-провайдера для своей «важной» почты, а Gmail — для поглощения спама и обеспечения связи с ненадежными веб-сайтами.

Те, кто использует его «для всего», обычно проявляют больше осторожности; в остальном это не стоит дополнительных усилий.

Клиенты теперь требуют 2FA для финансовых транзакций

С другой стороны, когда дело доходит до перемещения денег , клиенты, как правило, гораздо более разборчивы и пользуются дополнительными мерами безопасности.

Если вы не предлагаете услуги аутентификации по SMS, они перейдут к другому поставщику. Популярные веб-сайты, такие как Amazon, LinkedIn, PayPal и DropBox, требуют 2FA для финансовых транзакций с неизвестных устройств или для обмена PII.

Для удобства вы часто найдете маленькие флажки с надписью «Доверять этому устройству», что означает, что будущие транзакции через это устройство автоматически считаются доверенными.

Если вы одолжите планшет друга для входа в свой банковский счет, вам потребуется получить одноразовый и ограниченный по времени код аутентификации, но на вашем зарегистрированном устройстве это будет просто вопрос использования вашего обычного пароля и имени.

Некоторые сайты требуют, чтобы вы сертифицировали устройство только один раз; другие ежемесячно или ежегодно. Сайты с высоким уровнем безопасности требуют 2FA при каждом входе в систему.

Проблемы двухфакторной аутентификации

Двухфакторная аутентификация не является панацеей, потому что опытные хакеры могут выполнять перехват SMS и мгновенную переадресацию звонков — и все это для отправки полученного кода в другое место.

Однако «Не паникуйте!», как однажды посоветовал нам Дуглас Ноэль Адамс. Требуется огромный объем работы, и обычно это ограничивается нечестными сотрудниками поставщика услуг GSM, чтобы создать эти возможности для использования.

Когда можно получить значительную выгоду, мошенники готовы приложить больше усилий.

Тем, кто переводит десятки тысяч или миллионы (или, в случае со знаменитостями, все свои обнаженные фотографии), необходимо соблюдать дополнительные меры предосторожности, но это не касается большинства населения.

Некоторые системы изначально слабы или охраняются представителями службы поддержки, которые слишком озабочены сбросом паролей. Вероятно, лучше всего придерживаться авторитетных компаний, использующих услуги известных брендов.

Конечно, 2FA может быть проблематичным для людей, которые чувствуют себя обязанными приобретать новый смартфон каждый год. Они должны обновить все свои учетные записи, идентифицируя новое устройство (добавляя новые и удаляя старые разрешения), прежде чем они смогут беспрепятственно получить к ним доступ. Такова цена постоянного наличия новейших технологий…

Дополнительные инструменты для 2FA

Вы можете подумать, что есть лучшие инструменты. Существуют инструменты приложений, такие как Google Authenticator (см. пример рабочего теста здесь), которые защищены от «перехвата SMS», или, если вы поклонник Apple, PUSH-уведомления, которые также не используют систему SMS.

Вы можете использовать что-то подобное, если вам это нравится. В средах с высоким уровнем безопасности существуют еще более надежные инструменты, и они часто используются при необходимости.

Возможно, вы слышали о USB-подобном брелоке, который, например, генерирует случайный пароль по запросу. Это полезно для организации, но значительно менее полезно для работы с тысячами представителей широкой общественности.

Вынос

Все это отличные системы, которые преодолевают любые кажущиеся недостатки двухфакторной аутентификации на основе SMS. Правда, однако, в том, что указанные слабости незначительны и не обязательно являются внутренними. Вина почти всегда лежит на реализации протоколов отдельными коммуникационными компаниями.

Со временем эти недостатки станут академическими, поскольку мы будем двигаться к устранению уязвимостей в эксплуатируемых протоколах, таких как SS7 (используется для обеспечения роуминга в разных телефонных сетях).

SMS — отличный вариант, потому что люди уже очень хорошо его понимают, он вездесущ и усложняет жизнь хакерам.

Защитите себя и своих клиентов, как мы это сделали для Cloud Data Service, веб-агентства и агентства по разработке программного обеспечения, которое полагается на безопасность SMS 2FA, чтобы гарантировать конфиденциальность информации своих клиентов.

Если вам нужен надежный и безопасный канал связи для ваших клиентов, свяжитесь с одним из наших экспертов по TextMagic через нашу контактную онлайн-форму или зарегистрируйтесь для получения бесплатной пробной версии, чтобы вы могли лично убедиться, как это работает!