Зачем нужна двухфакторная аутентификация? Разбор
Что такое доверие? Нам кажется, что доверие — это что-то человеческое, стоящее в одном ряду с такими понятиями, как мораль, этика, справедливость, честность.
Но когда дело касается защиты персональных данных, вашего банковского счета, вычислительных систем, корпоративных сетей — доверие становится чем-то конечным. Чем-то что может быть описано математически.
В 2010 году именно такие мысли крутились в голове отраслевого аналитика компании Forrester Research Джона Киндерварга. Его беспокоил вопрос, почему даже самые современные, продвинутые компании рано или поздно терпят крах с точки зрения безопасности. Ведь даже если из Пентагона можно вынести любые тайны, то кому вообще мы можем доверять?
Анализируя эти вопросы Киндерварг сделал единственно верный вывод “никому нельзя доверять”. И в 2010 году выдвинул главную концепцию кибербезопасности 21 века — концепцию Нулевого доверия. Идеи которой ежедневно спасают большие компании и нас в вами от киберугроз.
Сегодня — необычная тема. Мы немного поговорим о самой концепции и одном из её инструментов, которым мы пользуемся постоянно — двухфакторной аутентификации. И выясним, почему каждый из нас обязан её настроить.
Что такое Zero Trust?
В чем же суть концепции нулевого доверия?
Представьте, что вы живете в средневековье и вам нужно спроектировать неприступный замок. Как вы это будете делать?
Скорее всего первая мысль, которая вам придет в голову: нужно возвести высокие крепкие стены, чтоб защитить внутренний периметр замка от набегов кочевников, соседей феодалов и шумных рекламщиков онлайн-казино. Мне кажется, что эта проблема с нами давно. Неприступные стены вполне помогут от всех этих угроз.
Примерно такой же логике раньше придерживались IT-компании для защиты своей инфраструктуры. Они разворачивали локальную сеть с подключенными к ней стационарными устройствами и дальше тупо “защищали периметр”. Это, значит, что они очень тщательно проверяли всё, что пытается подключиться извне. При этом внутри периметра (то есть в корпоративной сети) образовывалась доверенная зона, в которой пользователи, устройства и приложения делали всё, что хотели. И все жили счастливо, пока не появились облачные сервисы и смартфоны. И тогда всё пошло по ложному пути, так сказать.
Большие стены рухнули и компании попали в страшную ситуацию: больше нет никакого периметра, непонятно откуда ожидать угроз и каких: каждый сотрудник и каждое устройство само по себе стало потенциальной угрозой. Но как защититься от угрозы, которую ты не знаешь? Правильно — никому не доверять, всегда проверять!
Так и появилась модель нулевого доверия, в которой нет доверительных зон, а пользователи, устройства и приложения подлежат проверке каждый раз, когда требуют доступ к какому-либо корпоративному ресурсу.
Модель включает в себя шесть компонентов, но сегодня мы остановимся только на одном компоненте — на самом слабом звене в любой модели безопасности — на людях. И поговорим об основном инструменте этого компонента — двухфакторной аутентификации.
Двухфакторная аутентификация
Что такое двухфакторная аутентификация — мы понимаем интуитивно. Тем более мы все ей постоянно пользуемся.
Когда оплачиваем покупки в сети и нам приходит СМС с кодом от банка — это двухфакторка.
Когда логинимся в Google-аккаунт с нового девайса и нам нужно подтвердить что это вы со старого — это двухфакторка.
Когда вы встречаете своего двойника из будущего и не верите в его слова и простите рассказать что-то, что знаете только вы про вас и вашего дядю, про тот случай в детстве — это nj;t двухфакторка.
Но является ли двухфакторной аутентификацией запрос пароля и ответ на секретный вопрос? Нет, не является, и вот почему.
По большому счету мы можем идентифицировать человека всего тремя способами:
- По тому, что этот человек знает — например, пароль или девичья фамилия матери.
- По тому, что у него имеется — к примеру, какое-нибудь портативное устройство, которое будет генерировать случайные пароли. Такие устройства называют токенами. И это может быть как отдельный маленький брелок, так и смартфон.
- И третий способ идентификации, по тому что человеку присуще, то есть биометрия.
Чаще всего, в нашей повседневной жизни, используется фактор знания и фактор владения, то есть сначала мы вводим пароль, а потом получаем секретный код на устройство, которым владеем.
Двухфакторка — сейчас абсолютно необходимая вещь для защиты ваших аккаунтов в социальных сетях, мессенджеров, банковских приложений и прочей чувствительной информации.
Используя её, вы исключаете достаточно крупную категорию атак. Например, она резко снижает возможность кражи личных данных онлайн, так как знание пароля жертвы недостаточно для совершения мошенничества. Лично меня двухфакторка спасала не раз. А если вам когда-либо приходили шестизначные защитные коды от Google, хотя вы ни куда не логинились — знайте, вас она тоже спасала.
Уязвимости двуфакторной аутентификации
Тем не менее, такой подход к защите — неидеальный и он остается уязвим к ряду атак. А именно к “фишингу” — это когда вам присылают какую-нибудь рекламную рассылку с прямой ссылкой на известный сайт: какую-нибудь социальную сеть, банк или почтовую службу. Внешне сайт неотличим от настоящего поэтмоу вы спокойно логинитесль и сливаете все нужные данные.
Или атаки типа “человек-в-браузере”. Это когда ваш браузер заражается «трояном» и незаметно для пользователя начинает изменять веб-страницы. Например, начинает подсовывать фейковые формы для банковских транзакций.
А еще есть атака посредника или “человека посередине”. Это когда злоумышленник подключается к каналу связи и начинают вытворять всякое: искажать информацию, выдавать себя за другого человека или просто “подслушивать”.
Но самая страшная на мой взгляд уязвимость двухфакторки — это “атака на порт SIM-карты” .
Вы знаете, что в России можно совершенно официально сменить оператора с сохранением своего номера. В этом случае ваш номер переносится на новую SIM-карту. И сама по себе услуга классная, удобная, если она делается официально, по вашему запросу. Но такую вещь также может проделать атакующий.
И тогда вы в одночасье можете лишиться своего номера, а заодно и доступа ко всем аккаунтам на который настроена двухфакторная аутентификация через ваш номер.
При помощи такой атаки, например, угнали домен у владельца издания “Банки сегодня”, он буквально лишился всех денег и трех лет работы. Об этом есть пост на Hasbr. И еще было куча подобный случаев.
Cisco Duo
В общем, как видите иногда двухфакторная аутентификация может быть злом. Именно поэтому в крупных компаниях она используется в связке с другими инструментами защиты и является частью корпоративных систем работающих по модели нулевого доверия. Например, это система Cisco Zero Trust, частью которой многофакторная аутентификация Cisco DUO.
Еще до начала авторизации DUO проверяет, а надежно ли само устройство, с которого происходит авторизация. Нет ли вирусов, не заражен ли ваш браузер трояном, к примеру?
Cisco DUO позволяет подтвердить личность пользователя: любым удобным методом многофакторной аутентификации, который вы сами можете настроить:
- при помощи push-уведомления,
- биометрии,
- ключом безопасности,
- метjlом без подключения к сети и не только.
Также DUO позволяет использовать адаптивные политики, предоставляют пользователю доступ к только к необходимым приложениям и данным, на основе ролей, должностных обязанностей, местоположения и так далее. И это я только несколько фич перечислил.
Ну а в связке с инструментами типа Cisco Umbrella, которая обеспечивает защиту на уровне DNS и VPN модулем AnyConnect, который создает надежный зашифрованный канал связи, Cisco DUO становится неуязвим ко всем типам атак? которые я озвучил выше и многим другим.
Более того, хорошая новость в том, что мобильная версия DUO — бесплатная. При помощи DUO Mobile вы сможете защитить свои Instagram, Facebook, Twitter и другие аккутны.
Выводы
Мир становится сложнее, наши гаджеты становятся сложнее. С каждым годом они обрастают новыми классными функциями, которые делают нашу жизнь проще и удобнее. Но, каждая новая фича становится потенциальной угрозой безопасности. Поэтому кибербезопасность — это гигиена 21 века. А двухфакторная аутентификация — это как помыть руки перед едой. Она хоть и не избавит вас от всех болезней, но точно поможет избежать многих неприятностей.
И если вы еще не настроили двухфакторную аутентификацию в своём Google-аккаунте, Apple ID, Telegram, социальных сетях и прочих сервисах, обязательно это сделайте. Лишним уж точно не будет.
Post Views: 251