Накопительный счет

Это утверждение имеет смысл и относится, прежде всего, к компаниям финансового сектора, как, впрочем, и ряду компаний, выполняющих научно-исследовательские, опытно-конструкторские и технологические работы (НИОКР) в высокотехнологичных секторах рынка.

80% инцидентов в сфере информационной безопасности случаются из-за использования слабых паролей — к такому выводу пришла компания Trustwave по результатам собственного исследования, охватившего ряд компаний в 18 регионах мира. Аналитики посвятили своё исследование уязвимости элементов в системах информационной безопасности, в процессе которого изучили более 300 инцидентов, имевших место в 2011 году. Главное заключение, сделанное в итоге: слабые пароли пользователей в ИС — наиболее уязвимое место, активно используемое злоумышленниками. Это касается как крупных, так и небольших компаний.

Некоторые зарубежные компании, действующие в сфере анализа инцидентов в системах безопасности, делают вывод: несанкционированный доступ к информации ограниченного использования о финансовой активности предприятия, договорах и графиках способен повлечь не то, что потери — разорение. Ежегодные потери от утечек информации в США оцениваются в миллиардах долларов. Российский отраслевой портал «Информационная безопасность банков» в оценке финансового ущерба от возможных злоупотреблений сотрудников ссылается на исследования Ассоциации экспертов по борьбе с мошенничеством (ACFE, США), которая видит эту сумму в размере 6% прибыли банка за год. По наблюдениям ассоциации, потери при подобных инцидентах, в среднем, достигали $100 тыс., а в 14,6% превысили $1 млн.TAdviser выпустил Карту производителей российских программно-аппаратных комплексов

Исследовательская компания Javelin Strategy в своем ежегодном исследовании, опубликованном в феврале 2012 года, оценила мировой объем мошенничества и утечек данных из компаний и организаций за 2011 год в $18 млрд. Не доверять экспертам нет оснований, а поправку на отставание России в области информатизации и непубличность российских банков и компаний каждый вправе сделать сам.

Невзирая на множество средств вычислительной техники и широкий спектр технологических решений, выбор методов аутентификации для компаний, планирующих своё будущее, невелик – многофакторная аутентификация (конечно, если в ближайшее время не случится технологический прорыв в управлении вычислительными системами при помощи мысли). Однофакторной или парольной аутентификации для безопасной работы с информационными системами в развитом бизнесе уже недостаточно.

Мобильная идентификация позволяет выполнять доступ к корпоративным приложениям только от «достоверных» устройств и пользователей. Для реализации этих возможностей могут использоваться различные технологии (в конкретном случае — одна или несколько): сертификаты (для пользователей и устройств), кодирование приложений, аутентификация и пр. Все чаще EMM-инструменты применяют различную контекстную информацию (например, время или местоположение), помогающую принимать решения при предоставлении доступа.

Сильные и слабые стороны многофакторной аутентификации

К преимуществам можно отнести её способность защитить информацию, как от внутренних угроз, так и от внешних вторжений. Определенной слабостью можно считать необходимость использования дополнительных программно-аппаратных комплексов, устройств хранения и считывания данных. В то же время, в настоящий момент статистика взломов систем, применяющих двухфакторную аутентификацию, отсутствует или ничтожна.

Многофакторная или расширенная аутентификация уже сегодня применяется рядом российских компаний в сфере финансов при создании сервисов интернет-банкинга, мобильного банкинга, файлообмена и т.п. решений для конечных пользователей. Она основана на совместном использовании нескольких факторов аутентификации (знаний, средств или объектов хранения одной из информационных составляющих легитимной процедуры аутентификации), что значительно повышает безопасность использования информации, по меньшей мере, со стороны пользователей, подключающихся к информационным системам по защищенным и незащищенным каналам коммуникаций.

В качестве примера может послужить процесс двухфакторной аутентификации пользователя, реализованный в рядом российских банков: вход в личный кабинет пользователя посредством сети интернет возможен после ввода пароля на странице, после чего (в случае подтвержденной правомерности), следует передача одноразового пароля (в виде SMS) на мобильный телефон, ранее зарегистрированный пользователем.

Аналогичные схемы контроля и управления полномочиями пользователя, его дальнейших действий в корпоративных или других информационных системах, могут быть реализованы с применением самых различных средств и методов, выбор коих достаточно широк, как по технологичности, стоимости, исполнению, так и по возможным комбинациям перечисленных свойств.

Обратная сторона многофакторной аутентификации

Применяя данный тип 2FA пользователь вводит на первом уровне аутентификации персональный пароль. На следующем этапе он должен ввести маркер ОТР, обычно отправляемый с помощью SMS на его мобильное устройство. Идея способа понятна. ОТР будет доступен только тому, кто, как предполагается в теории, ввел недоступный постороннему пароль.

Однако, увы, отправлять OTP в SMS, вообще говоря, небезопасно, так как часто сообщения отправляются открытым текстом. Даже начинающие хакеры могут прочесть подобные текстовые сообщения, ведь фактически все, что им нужно — целевой номер телефона.

Кроме того, многофакторная аутентификация не в состоянии предотвратить атаки класса MitM, которые часто используются в ходе фишинговых компаний с помощью электронной почты. В случае успеха атаки пользователь перейдет по мошеннической ссылке и попадет на сайт, похожий на онлайн-портал банка. Там пользователь введет информацию о входе в систему и другие конфиденциальные данные, которые будут использоваться злоумышленником чтобы получить доступ к реальному сайту.

И хотя данная атака будет возможна для осуществления только ограниченный период времени, она все же возможна.

Требования Федеральной службы по техническому и экспортному контролю по многофакторной аутентификации

В начале 2014 года Федеральная служба по техническому и экспортному контролю (ФСТЭК) утвердила методический документ о мерах защиты информации в государственных информационных системах. Документ прояснил многие аспекты, касающихся организационных и технических мер защиты информации, принимаемых в государственных информационных системах, в соответствии с утверждённым приказом ФСТЭК России от 11 февраля 2013 г. No17.

Примеры двухфакторной и многофакторной аутентификации

Методика аутентификации при помощи SMS основана на использовании одноразового пароля: преимущество такого подхода, по сравнению с постоянным паролем в том, что этот пароль нельзя использовать повторно. Даже если предположить, что злоумышленнику удалось перехватить данные в процессе информационного обмена, он не сможет результативно использовать украденный пароль для получения доступа к системе.

А вот пример, реализуемый с применением биометрических устройств и методов аутентификации: использование сканера отпечатка пальца, который имеется в ряде моделей ноутбуков. При входе в систему пользователь должен пройти процедуру сканирования пальца, а затем подтвердить свои полномочия паролем. Успешно завершенная аутентификация даст ему право на использование локальных данных конкретного ПК. Тем не менее, регламентом работы в ИС может быть предусмотрена отдельная процедура аутентификации для доступа к сетевым ресурсам компании, которая помимо ввода другого пароля может включать в себя целый ряд требований к представлению аутентификаторов субъекта. Но даже при такой реализации, защищенность системы, несомненно, усиливается.

Аналогичным образом могут быть использованы и другие биометрические аутентификаторы:

При этом конечно применяется соответствующее оборудование и программное обеспечение, а затраты на его приобретение и поддержку могут отличаться в разы.

Однако, стоит понимать – биометрические аутентификаторы не являются абсолютно точными данными. Отпечатки одного пальца могут иметь отличия под воздействием внешней среды, физиологического состояния организма человека и т.п. Для успешного подтверждения этого аутентификатора достаточно неполного соответствия отпечатка эталону. Методы биометрической аутентификации содержат определение степени вероятности соответствия действующего аутентификатора эталону. Что касается биометрической аутентификации и удаленного доступа к ИС, то пока у современных технологий нет возможности передать по незащищенным каналам достоверные данные — отпечаток пальца или результат сканирования сетчатки глаза.

Эти технологии в большей степени годятся для использования в корпоративных сетях.

Наиболее популярной технологией в этом направлении в недалеком будущем может стать голосовая аутентификация и признаки тому очевидны. Значительное количество разработок в этой сфере имеется уже сегодня, проекты внедрения подобных механизмов управления/контроля нашли место в ряде крупных банков РФ. В качестве примера практического применения систем голосовой биометрической аутентификации, можно указать аутентификацию по ключевой фразе, применяемую в ряде колл-центров, аудио-пароли для доступа к системам интернет-банкинга и т.п., подтверждение действий персонала при осуществлении важных операций доступа к информации, контроль физического доступа и присутствия в помещении.

Помимо технологий, связанных с использованием биометрических аутентификаторов, имеются также программно-аппаратные решения, такие как автономные ключи для генерации одноразовых паролей, считыватели RFID-меток, криптокалькуляторы, программные и аппаратные жетоны (токены), электронные ключи различных типов – Touch Memory и ключ/смарт-карта, а также биометрические идентификационные карты. Все перечисленные в рамках статьи системы и методы многофакторной аутентификации, а помимо них еще и системы контроля и управления доступом (СКУД) могут интегрироваться, комбинироваться, отрабатываться поочерёдно и в комплексе. Отсюда можно сделать вывод: на рынке России существует достаточное количество предложений для усиления защиты информационных систем, как от внутренних, так и внешних вторжений. У компаний имеется возможность выбора, ограничиваемая лишь размером бюджета.

Методам защиты, основанным на методиках многофакторной аутентификации, сегодня доверяет большое число зарубежных компаний, среди которых организации хай-тека, финансового и страхового секторов рынка, крупные банковские учреждения и предприятия госсектора, независимые экспертные организации, исследовательские фирмы.

При этом, частные компании и организации в мире, в целом, не очень охотно распространяются о внедрении у себя технологических новинок в сфере безопасности и защиты информации, по вполне понятным причинам. Гораздо больше известно о проектах в государственном секторе – с 2006 года публично известны успешно реализованные технологические решения в государственных учреждениях Канады, Саудовской Аравии, Испании, Дании и ряда других стран.

Мошенники в России начали использовать ботов для подбора одноразовых паролей для обхода двухфакторной аутентификации

25 июня 2024 года стало известно о том, что в России мошенники начали применять ботов для перехвата одноразовых паролей, используемых в двухфакторной аутентификации. Эта методика позволяет злоумышленникам обходить дополнительные меры защиты аккаунтов и получать доступ к личной информации пользователей.

По данным «Лаборатории Касперского», двухфакторная аутентификация, основанная на одноразовых паролях (OTP), стала основным объектом атак мошенников. Одноразовые коды, отправляемые через SMS, голосовые сообщения, письма на электронную почту или сообщения в мессенджерах, служат вторым фактором защиты. Мошенники разработали специальные OTP-боты, которые выманивают эти коды у пользователей с помощью социальной инженерии.

Мошенники в России начали использовать ботов для мошенничества

Эксперты компании отмечают, что успешность атаки зависит от убедительности бота, который может заранее отправлять SMS-сообщения с предупреждением о предстоящем звонке. Эта тактика повышает доверие пользователя и увеличивает вероятность успешного перехвата OTP-кода.

Старший контент-аналитик «Лаборатории Касперского» Ольга Свистунова прокомментировала:

Рынок многофакторной аутентификации в России ожидает рост на 20%

Компания МТС RED, входящая в ПАО «МТС», провела исследование российского рынка многофакторной аутентификации. Согласно прогнозам аналитиков, в 2024 году этот сегмент ожидает рост около 20% до 3,8 млрд рублей. Об этом МТС RED сообщил 2 февраля 2024 года.

Технология многофакторной аутентификации пользователей обеспечивает защиту от взлома компании методами атаки на пароли пользователей, в том числе с помощью их автоматического перебора или социальной инженерии. По данным МТС RED SOC, в 2023 году этот метод взлома применялся в четверти всех атак на российские компании.

Рост рынка многофакторной аутентификации обусловлен увеличением не только увеличением числа атак, но и рядом других факторов. Среди них – переход компаний на удаленный или гибридный формат работы сотрудников, рост объёма онлайн-транзакций и сегмента электронной коммерции. Также распространению строгой аутентификации способствуют запуск платежных систем в режиме реального времени и внедрение POS-систем в торговых точках для удобства пользователей.

По прогнозам аналитиков МТС RED, к 2027 году объем российского рынка многофакторной аутентификации может вырасти на 80% по сравнению с 2023 годом – до 5,6 млрд рублей. Такая динамика ожидается как за счет новых заказчиков, так и за счет того, что крупные организации, использующие данную технологию для защиты учетных записей пользователей, начинают внедрять ее более широко. Основной спрос на решения MFA в России на февраль 2024 года наблюдается со стороны финансового и нефтегазового секторов, а также сфер промышленности и энергетики.

Спрос в сегменте многофакторной аутентификации долгое время создавался за счет достаточно крупных и зрелых в отношении информационной безопасности компаний. Однако с 2021 года рынок также начал расти за счет организации безопасного доступа к корпоративным ИТ-ресурсам для сотрудников, работающих удаленно. Затем российские компании столкнулись с резким увеличением числа кибератак, что создало повышенный спрос на эффективные средства безопасности, включая многофакторную аутентификацию как меру дополнительной защиты. На все эти факторы дополнительно накладываются требования регуляторов. в некоторых случаях использование многофакторной аутентификации становится обязательным, что активно стимулирует рост этого рынка, – сказал Василий Огнев, руководитель направления многофакторной аутентификации компании МТС RED.

На февраль 2024 года около 75% российского рынка занимают поставщики аппаратных средств многофакторной аутентификации, однако уже заметен тренд к увеличению доли рынка разработчиков программных решений данного класса. По мнению аналитиков МТС RED, это связано с тем, что программные решения более просты с точки зрения процессов внедрения, логистики и учета, и при этом обеспечивают тот же уровень защиты, что и аппаратные. Также аналитики прогнозируют рост выручки поставщиков сервисов многофакторной аутентификации, поскольку они дополнительно снимают с заказчиков задачи по закупке оборудования или ПО, а также затраты на его поддержку.

Тренды мирового рынка многофакторной аутентификации аналогичны российским: к 2027 году этот сегмент вырастет примерно на 70% и составит 27 млрд долларов США. В 2024 году рост выручки поставщиков данной технологии составит 19% и таким образом достигнет 19 млрд долларов США. Среди драйверов развития мирового рынка многофакторной аутентификации аналитики отмечают ужесточение законодательства, общий рост спроса на кибербезопасность и распространение популярности удаленной работы в различных организациях по всему миру.

Требования закона об авторизации в интернете могут быть смягчены до 2025 года

Антон Горелкин, зампред комитета Госдумы по информполитике Госдумы, вынес на рассмотрение законопроект (№ 487343-8) об изменении принятого летом этого года закона №406-ФЗ, который требует авторизации всех российских пользователей хостинг-провайдеров для перевода к ним государственных информационных систем к 1 сентября 2024 г. Закон определяет понятие провайдера хостинга и требует от них с 1 декабря этого года авторизации всех пользователей либо по телефонному номеру, либо через ЕСИА, либо через ЕБС, либо через любую систему аутентификации (без аутентификации нельзя авторизовать доступ), которая контролируется российской компанией или гражданином.

Вот с последним пунктом – российскими системами аутентификации – и случился небольшой конфуз. В пояснительной записке к законопроекту сказано:

В настоящее время ряд крупных российских ИТ-компаний завершают мероприятия, направленные на соответствие вышеуказанным требованиям о российском контроле. В целях обеспечения стабильного функционирования российских информационных ресурсов до завершения мероприятий по переводу под российский контроль указанных ИТ-компаний проектом федерального закона «О внесении изменений в статью 8 Федерального закона «Об информации, информационных технологиях и о защите информации» (далее – законопроект) предусматривается установление переходного периода до 1 января 2025 года, в течение которого данные российские ИТ-компании могут продолжить использование своих информационных систем для проведения авторизации пользователей.

Фактически это означает, что сейчас крупные российские ИТ-компании, которые имеют собственные федеративные системы аутентификации, такие как «Яндекс» и VK, не совсем находятся под контролем граждан России или российских компаний, но работают в этом направлении. В течении года, видимо, редомициляция в Россию у таких компаний будет завершена, и тогда они будут соответствовать требованиям закона. За год российские хостинг-провайдеры также должны избавиться и от иностранных федеративных систем аутентификации компаний Apple, Microsoft и других.

Работа федеративной системы аутентификации «Яндекса», встроенная в систему показа рекламы «Директ» (фото «Яндекс»)

Цель этих нововведений – усиление сохранности персональных данных наших граждан, сокращение рисков интеграции сервисов из недружественных стран в российские ресурсы, – пояснил Антон Горелкин в своем телеграмм-канале. – Мы рассчитывали, что наши крупнейшие цифровые платформы успеют решить все организационные вопросы до 1 декабря этого года. Однако после череды консультаций и совещаний с отраслью выяснилось, что сроки нужно продлевать – иначе не будет гарантии стабильного функционирования платформ, что поставит под угрозу комфорт российских пользователей.

Кроме того, в законе №406-ФЗ был странный пункт по использованию телефонного номера для аутентификации. В законе он сформулирован так:

Доступ к сайту разрешается для пользователей, прошедших авторизацию «с использованием абонентского номера оператора подвижной радиотелефонной связи в порядке, установленном Правительством РФ, на основании договора об идентификации, заключенного владельцем сайта..»

То есть всем хостинг-провайдерам законом предписывалось заключать договоры об идентификации с операторами мобильной связи. Причем Правительство РФ должно было к 1 декабря сформировать правила для этого, но вряд ли оно успеет за оставшиеся срок. Но даже если это случиться, всем хостинг-провайдерам в срочном порядке нужно будет эти договоры оформлять. Это неудобно как для хостинг-провайдеров, так и для мобильных операторов – поэтому Антон Горелкин предложил исключить пункт об обязательных договорах и оставить только авторизацию «с использованием абонентского номера оператора подвижной радиотелефонной связи».

В соответствии с решением комитета по информационной политике, информационным технологиям и связи запланировано рассмотрение законопроекта в Госдуме на 28 ноября. Чтобы он вступил в силу с 1 декабря (с момента подписания, как указано в тексте) нужно, чтобы до 1 декабря он был принят во всех трех чтениях, а также был утвержден Советом Федерации и Президентом РФ. Скорее всего этого не случиться, и поэтому есть ненулевая вероятность возникновения квантово-юридического разрыва: вроде бы договоры об идентификации с операторами заключать надо в соответствии с законом, но правил для этого нет, да и само это требование может быть отменено принятием поправки. Это же относиться и к легитимности «российских» систем федеративной аутентификации.

Сложная фишинговая кампания позволяет обходить многофакторную аутентификацию

12 июля 2022 года Microsoft подробно рассказала о продолжающейся крупномасштабной фишинговой кампании, в рамках которой злоумышленники могут похитить учетную запись пользователя, даже если он использует многофакторную аутентификацию (МФА). Злоумышленник, с сентября 2021 года атаковавший 10 000 организаций, использовал свой скрытый доступ к учетным записям электронной почты жертв, чтобы обманом заставить сотрудников отправить деньги хакерам.

После завершения аутентификации злоумышленник крадет cookie-файл сеанса, отправленный сайтом, поэтому пользователю не нужно проходить повторную аутентификацию при посещении каждой новой страницы. Кампания началась с фишингового письма с HTML-вложением, ведущим на прокси-сервер.

После того, как скомпрометированная учетная запись впервые вошла на фишинговый сайт, злоумышленник использовал украденный cookie-файл сеанса для аутентификации в Outlook Online,сказали участники исследовательской группы Microsoft 365 Defender.

Во многих случаях cookie-файлы содержали требование МФА, а это означает, что даже если в организации была политика МФА, злоумышленник использовал cookie-файл сеанса для получения доступа от имени скомпрометированной учетной записи,сообщила команда Microsoft Threat Intelligence Center в блоге о кампании.

Через несколько дней после кражи cookie-файлов злоумышленник получил доступ к учетным записям электронной почты сотрудников и стал искать сообщения для использования в BEC-мошенничестве . Киберпреступник обманным путем заставлял жертвы переводить большие суммы денег на счета, которые, по их мнению, принадлежали коллегам или деловым партнерам. Злоумышленник использовал ветки электронной почты и поддельную личность взломанного сотрудника, чтобы убедить другую сторону произвести платеж.

Чтобы взломанный сотрудник не обнаружил компрометацию, злоумышленник создал правила для папки «Входящие», которые автоматически перемещали определенные письма в архивную папку и помечали их как прочитанные. В течение следующих нескольких дней киберпреступник периодически входил в систему, чтобы проверить наличие новых электронных писем.

Однажды хакер предпринял несколько попыток мошенничества одновременно с одного и того же взломанного почтового ящика. Каждый раз, когда злоумышленник находил новую цель мошенничества, он обновлял созданное им правило папки «Входящие», чтобы включить домены организации новых целей,написали авторы блога.

Наиболее эффективными из доступных форм МФА являются те, которые соответствуют стандартам альянса FIDO. Эти типы МФА используют физический ключ безопасности, который поставляется в виде ключа от Android или iOS.

Двухфакторная идентификация больше не самый безопасный способ защиты

Двухфакторная аутентификация не так эффективна, как раньше, об этом стало известно 31 декабря 2021 года со слов исследователей из Stony Brook University и Palo Alto Networks.

Как отмечают исследователи, ПО для обхода двухфакторной аутентификации постепенно становится более демократичным и доступным для большого круга киберпреступников.

По словам исследователей, предлагаемые хакерские наборы эффективны на большинстве крупных сайтов и приложений. За время исследования они обнаружили не менее 1200 комплектов .

Мошенники научились обходить двухфакторную аутентификацию по коду из СМС

В декабре 2021 года стало известно о том, что мошенники научились обходить двухфакторную аутентификацию (по коду из SMS-сообщения). О новой схеме рассказали в «Лаборатории Касперского».

Как пишут «Известия» со ссылкой на экспертов антивирусной компании, киберпреступники организовали рассылку автомобилистам с предложением продлить договор ОСАГО, при этом в сообщении указан фишинговый сайт, копирующий портал страховой компании. После перехода по ссылке и ввода данных карты пользователя перебрасывает на форму ввода кода. В этот момент клиенту действительно поступает SMS от кредитной организации, однако такое SMS подтверждает заявку на перевод денег, а не на оплату товаров и услуг.

Злоумышленники научились обходить двухфакторную аутентификацию

Когда пользователь вводит SMS-код на страничке, которая появилась после ожидания, злоумышленники завершают атаку, подтверждая перевод денег.

По словам специалистов, появление новой схемы связано с тем, что россияне уже привыкли, что нельзя называть коды из SMS по телефону, а вот при покупках на сайтах пока проявляют меньшую бдительность и указывают проверочные цифры без сомнений.

Обычно человек получает письмо с предложением продлить ОСАГО, переходит по ссылке и видит, что там отображаются все данные его авто, в том числе госномер. Рядом ссылка для оплаты. Стоит перейти по ней, как собственник транспортного средства в ловушке, — сообщил руководитель отдела развития методов фильтрации контента в «Лаборатории Касперского» Алексей Марченко.

Представлен новый способ обхода двухфакторной аутентификации

В конце декабря 2019 года группу хакеров, предположительно связанную с китайским правительством, обвинили во взломе сетей по всему миру. Эксперты считают, что хакеры разработали новую методику обхода двухфакторной аутентификации, что встревожило сообщество кибербезопасности.

Впервые хакерскую деятельность, приписываемую группе APT20, обнаружили в 2011 году. Она занималась взломом и доступом к данным государственных структур, крупных компаний и поставщиков услуг в США, странах Южной Америки и Европы. В 2016–2017 годах группа исчезла из поля зрения специалистов, и лишь недавно голландская компания Fox-IT, специализирующаяся на консалтинговых услугах по кибербезопасности, обнаружила следы вмешательства APT20 в сети одного из своих клиентов, который попросил расследовать нарушения в целостности сети.

Исследователи Fox-IT подробно описали методику взлома. По мнению специалистов, группа хакеров использовала веб-серверы в качестве точки входа, в частности, платформу корпоративных приложений Jboss. Проникнув в систему и установив веб-оболочки, хакеры расходились по сетям жертв. Найденные пароли и учётные записи позволяли злоумышленникам красть данные с помощью стандартных инструментов, без установки вирусов.

Использование многофакторной аутентификации блокирует 99,9% взломов

По словам исследователей из Microsoft, такие старые советы, как «никогда не используйте пароль, который когда-либо был скомпрометирован» или «используйте действительно длинные пароли», в последние годы не очень помогают. В настоящее время киберпреступники имеют в своем распоряжении различные методы, позволяющие получить учетные данные пользователей, и в большинстве случаев пароль и его сложность не имеют значения.

От постоянных попыток мошеннического входа защитит включение многофакторной аутентификации. Она не сможет заблокировать только 0,1% атак, в ходе которых киберпреступники используют технические решения для захвата токенов МФА, но они происходят крайне редко.

Иск против Apple за «незаконное» включение двухфакторной аутентификации

11 февраля 2019 года стало известно, что житель Калифорнии Джей Бродски (Jay Brodsky) подал в суд на компанию Apple за «незаконное» включение двухфакторной аутентификации. Бродски жалуется на то, что двухфакторная аутентификация существенно усложняет жизнь пользователям, поскольку от них требуется не только помнить пароль, но еще и иметь доступ к доверенному телефону или телефонному номеру. Подробнее здесь.

Google отказывается от SMS при двухфакторной авторизации

Переход на экранные уведомления предложат только тем пользователям Google, у которых двухфакторная аутентификация уже активирована. Предложение принимать не обязательно — предусмотрена опция сохранения отправки кода через SMS.

SMS-пароли признаны небезопасными

В документе содержится прямое указание на то, что использование SMS-сообщений для двухфакторной аутентификации может являться «недопустимым» и «небезопасным» (секция документа 5.1.3.2).

Полностью данный параграф выглядит так: «Если верификация по внешнему каналу осуществляется посредством SMS-сообщения в публичной сети мобильной телефонной связи, верификатор должен убедиться, что используемый предварительно зарегистрированный телефонный номер действительно ассоциируется с мобильной сетью, а не с VoIP или иным программным сервисом. После возможна отправка SMS-сообщения на предварительно зарегистрированный телефонный номер. Изменение предварительно зарегистрированного телефонного номера не должно быть возможно без двухфакторной аутентификации в ходе изменения. Использование SMS-сообщений в аутентификации по внешнему каналу недопустимо, и не будет дозволяться в будущих версиях данного руководства».

Основные опасения экспертов Национального института стандартов и технологий сводятся к тому, что номер телефона может быть привязан к VoIP-сервису, кроме того, злоумышленники могут попробовать убедить поставщика услуг в том, что номер телефона изменился, и подобные уловки нужно сделать невозможными.

Хотя документ рекомендует производителям использовать в своих приложениях токены и криптографические идентификаторы, авторы поправок также отмечают, что смартфон или другое мобильное устройство всегда могут быть украдены, или могут временно находиться в руках другого человека» — говорится в документе NIST.

Механизмов компрометации SMS паролей существует достаточно много, и они уже были неоднократно использованы в основном для похищения денежных средств клиентов российских банков. Достаточно перечислить лишь несколько методов взлома SMS паролей:

Еще одним методом может считаться взлом шлюза между банком и оператором связи.

То обстоятельство, что механизм SMS-паролей используется всеми банками, открывает для хакеров широкие перспективы. Очевидно, что написав один раз троян для смартфона, его можно использовать для атаки на все российские банки, при его (трояна) минимальной кастомизации.

При этом можно предсказать, что первыми «под раздачу» будут попадать крупные банки – большая клиентская база последних позволяет мошенникам рассчитывать на весомый результат даже при небольших остатках на счетах клиентов.

Одноразовые пароли через SMS

Одноразовые пароли через PUSH

Исследователи продемонстрировали простую атаку для обхода двухфакторной аутентификации

Проблема с двухфакторной аутентификацией возникла из-за увеличения популярности смартфонов и желания владельцев синхронизировать данные между различными девайсами. Двухфакторная аутентификация полагается на принцип физического разделения устройств для защиты от вредоносного ПО. Однако синхронизация данных делает подобную сегментацию абсолютно бесполезной.

Исследователи продемонстрировали атаку с использованием установки уязвимого приложения через Google Play. Им удалось успешно обойти проверку Google Bouncer и активировать приложение для перехвата одноразовых паролей.

Для атаки на iOS исследователи использовали новую возможность OS X под названием Continuity, позволяющую синхронизировать SMS-сообщения между iPhone и Mac. Если этот функционал активирован, злоумышленнику достаточно иметь доступ к компьютеру, чтобы прочитать все SMS сообщения.

Согласно исследователям, приложение для хищения одноразовых паролей было добавлено в Google Play 8 июля 2015 года и оставалось доступно для пользователей в течение двух месяцев, до выхода видео с демонстрацией атаки.

Компания Apple была уведомлена 30 ноября 2015 года, однако исследователи не получили ответ.

«Яндекс» и Mail.ru запустила двухфакторную аутентификацию

Обычно двухфакторная аутентификация подразумевает ввод пароля на сайте, а затем подтверждение личности с помощью дополнительного кода, полученного в SMS-сообщении на мобильный телефон.

В реализации двухфакторной аутентификации Mail.Ru первым фактором является пароль, а вторым выступает код, который пользователь получает по SMS на номер телефона, подключенный к аккаунту. По мнению разработчиков решения, это наиболее доступный способ, охватывающий в том числе аудиторию, которая не пользуется смартфонами на популярных операционных системах.

«У нас все еще проще», — говорит Владимир Иванов, заместитель руководителя департамента эксплуатации «Яндекса». Компания предлагает вовсе не вводить пароль на веб-сайте. Вместо этого пользователю нужно будет сфотографировать QR-код на странице сервиса (например, «Яндекс.Почты») с помощью смартфона и ввести на смартфоне четырехзначный пин-код, рассказал он .

Два фактора авторизации в системе «Яндекса» следующие: информация о принадлежности устройства конкретному пользователю, которая хранится на серверах «Яндекса», и знание пользователем своего четырехзначного пина (или его отпечаток пальца), пояснили в компании.

Каждый раз при вводе пин-кода (или при срабатывании Touch ID) в приложении генерируется уникальный одноразовый код, который действует 30 секунд. При этом часть кода генерируется из пин-кода, который знают только пользователь и «Яндекс», и часть — из данных приложения. В одноразовом коде зашифрованы оба «секрета». «Таким образом, исключается вариант, когда один из факторов был скомпрометирован и злоумышленник подбирает данные второго фактора», — добавили в «Яндексе».

Если считать QR-код не получается, например, не работает камера смартфона или нет доступа к интернету приложение «Яндекс.Ключ» создаст одноразовый пароль из символов. Он также будет действовать в течение только 30 секунд.

Сервер аутентификации объединит процессы проверки

В компании может быть несколько различных информационных систем, источников ресурсов, требующих аутентификации:

И поскольку перед пользователем стоит задача — соответствовать требованиям политики безопасности по сложности и уникальности паролей, ее решение представляет определенные трудности для исполнения пользователем, а в технологическом плане — это разрозненные системы аутентификации, не связанные между собой, не гибкие, требующие большого объема ресурсов для поддержки. Все вкупе ведет к дополнительным расходам и «неповоротливости» компании при внесении изменений в способах аутентификации.

Разрешить вопросы и помочь в решении стоящих задач может сервер аутентификации — единый центр администрирования всех процессов проверки подлинности сразу для всех приложений/сервисов/ресурсов. Промышленные серверы такого типа поддерживают целый набор методов аутентификации. Как правило, это OATH HOTP, TOTP, OCRA, PKI-сертификаты, RADIUS, LDAP, обычный пароль, SMS, CAP/DPA и другие. Каждый ресурс, использующий сервер аутентификации, может использовать метод, который требуется именно ему.

С использованием серверов аутентификации ИТ-администраторы получают единый интерфейс управления учетными данными пользователей, гибкие возможности по смене методов проверки подлинности. Бизнес получает надежную защиту доступа к сервисам и ресурсам в виде двухфакторной аутентификации, что повышает лояльность пользователей, как внутренних, так и внешних.

Добавление второго фактора для проверки подлинности, при действующем сервере аутентификации, не потребует от компании создания новых программно-технических средств и закупки новых токенов.

В качестве примера: банк А проверял подлинность владельцев дебетовых или кредитных карт в клиент-банке по сертификатам на USB-токенах. Его платежные карты были исключительно с магнитной полосой, но в какой-то момент банк наладил выпуск карт с EMV-чипом, который, по сути, является микрокомпьютером. Карту с EMV-чипом можно использовать для аутентификации по алгоритму Master Card Chip Authentication Program (CAP). То есть теперь банк А может отказаться от применения для каждого пользователя дорогостоящих PKI-токенов и сменить этот метод аутентификации на CAP, для которого требуется только недорогой криптокалькулятор. Через некоторое время банк А начинает выпуск платежных карт с дисплеем и реализованным алгоритмом OATH TOTP и для того, чтобы избавить пользователя от использования дополнительного криптокалькулятора, настраивает аутентификацию TOTP для клиент-банка. Следует понимать, что помимо дистанционного банковского обслуживания в банке А есть множество других сервисов, как внутренних, так и предназначенных для клиентов или партнеров, требующих аутентификации. Для каждого приложения служба информационной безопасности может выдвинуть свои требования по необходимым методам проверки подлинности пользователей. Вся аутентификация банка А может производиться на сервере аутентификации. Нет никакой необходимости заниматься разработками для каждого приложения отдельно.

Такая гибкость и легкость добавления новых методов проверки подлинности недостижима без сервера аутентификации. Сокращение времени на эти задачи столь значительно, что позволяет говорить о быстроте ввода продукта в эксплуатацию как о конкурентном преимуществе.

Доступность строгой аутентификации в виде специализированного программного обеспечения позволяет добавлять многофакторность приложениям, прежде не обладающим таким функционалом, без комплексных доработок. Практически все информационные системы, сервисы, приложения, не поддерживающие строгую аутентификацию «из коробки», могут использовать возможности сервера аутентификации для доступа пользователей.

Начались продажи USB-ключей для доступа к сайтам

Все ключи используют открытый протокол Universal 2nd Factor (U2F), разработанный FIDO Alliance. Ключи можно будет использовать на любом сайте (не только Google), который добавит поддержку этого протокола.

USB-ключи не требуют установки — достаточно поместить его в USB-порт компьютера после ввода пароля на сайте, когда сайт попросит об этом. Все ключи работают с Windows, OS X, Linux и Chrome OS. Для работы с USB-ключом необходимо использовать браузер Google Chrome версии 38 и выше.

Использование USB-ключей полностью бесплатно, однако пользователи должны приобретать их за свой счет. Ключи отличаются дизайном. Самая дорогая модель за $60 оснащена технологией Java Card.

Двухфакторную аутентификацию с отсылкой SMS-сообщения с кодом подтверждения Google запустила в 2011 г. В январе 2013 г. корпорация сообщила, что планирует разработать и предложить физические средства подтверждения личности. В частности, именно тогда речь зашла о доступе к сервисам Google с помощью USB-ключей.

Двухфакторная аутентификация мобильных транзакций

Ученые из корпорации IBM разработали и представили в октябре 2013 года новую мобильную технологию защиты с помощью аутентификации на основе стандарта беспроводной связи малого радиуса действия (near-field communication, NFC). Технология обеспечивает дополнительный уровень защиты доступа в корпоративную сеть или частное облако при проведении транзакций посредством мобильных устройств, поддерживающих NFC, и бесконтактных смарт-карт.

Согласно результатам отчета исследовательской компании ABI Research, в 2014 г. количество используемых устройств с функцией NFC превысит 500 миллионов. Эти данные, а также тот факт, что к 2017 г. 1 млрд. мобильных пользователей будет совершать банковские транзакции с помощью своих устройств*, подтверждают растущий риск утери данных в связи с мошеннической деятельностью.

Для решения этой проблемы сотрудники лаборатории IBM в Цюрихе, которые также создали операционную систему, обеспечивающую функционирование и безопасность сотен миллионов смарт-карт, разработали дополнительный уровень защиты мобильных транзакций, подразумевающий двухфакторную аутентификацию.

Многие пользователи уже применяют двухфакторную аутентификацию при работе на компьютере, к примеру, вводя не только пароль, но и код подтверждения, полученный в SMS-сообщении. Ученые из IBM применили тот же принцип при обработке номера персональной идентификации (PIN-кода) и использовании бесконтактной смарт-карты. Смарт-карта может быть выпущена банком для обслуживания в банкоматах или работодателем в качестве удостоверения сотрудника.

«Технология двухфакторной аутентификации, основанная на стандарте улучшенного шифрования (Advanced Encryption Standard), обеспечивает высокий уровень безопасности» – прокомментировал Диего Ортис-Епес (Diego Ortiz-Yepes), специалист IBM Research по мобильной безопасности.

Как работает технология

Пользователь держит смарт-карту вблизи NFC-считывателя своего мобильного устройства. После ввода PIN-кода карта генерирует одноразовый код, затем направляя его серверу посредством мобильного устройства.

Технология IBM основывается на абонентском шифровании передачи данных между смарт-картой и сервером по стандарту Advanced Encryption Standard (AES), одобренному Национальным институтом стандартов и технологий (NIST). Современные мобильные технологии, представленные на рынке, требуют наличия у пользователя, к примеру, генератора случайных паролей, что не всегда удобно и в некоторых случаях менее надежно.

Новая технология, которая теперь доступна на любом устройстве под управлением Android 4.0 с функцией NFC, основана на IBM Worklight – мобильной платформе, входящей в портфель решений IBM MobileFirst. Будущие обновления позволят использовать новые NFC-устройства, учитывая тенденции развития рынка.

Результаты нового исследования IBM Institute for Business Value, проведенного среди «мобильных» предприятий, подтвердили, что организации осознают важность обеспечения высокого уровня безопасности мобильных транзакций. По итогам опроса специалистов, безопасность находится на втором месте в списке наиболее сложных задач предприятия.

Двухфакторная аутентификация слишком сложна, считают администраторы

60% из ста опрошенных компанией GrIDsure руководителей информационных служб обеспокоены чрезмерной сложностью методов двухфакторной аутентификации пользователей, а более половины из них считают, что реализация ее обойдется слишком дорого (данные 2011 года). При этом каждый пятый скептически оценивает шансы двухфакторной аутентификации решить проблемы традиционной аутентификации по одному паролю. Тем не менее, 36% опрошенных считают многоуровневую аутентификацию важнейшим факторов обеспечения безопасности доступа. 32% ставят на первое место обучение сотрудников, и только 7% высказываются за полное отключение удаленного доступа.

Лишь 34% опрошенных уверены, что сотрудники в состоянии сделать все необходимое для защиты компании от компьютерных угроз.