После того, как социальную сеть Twitter атаковали хакеры, в результате чего было скомпрометировано близко 250 000 аккаунтов, компания стала задумываться о том, чтобы начать внедрять новые механизмы защиты данных пользователей. На днях представители Twitter заявили о своих планах внедрять систему двухфакторной аутентификации в качестве опции для пользователей, которые хотели бы предостеречь себя от возможных атак в будущем.
Поможет ли такое внедрение для улучшения базы данных пользователей соцсети Twitter – попытались разобраться аналитики раздела «новости hi-tech» журнала «Биржевой лидер».
Внедрение системы двухфакторной аутентификации
На корпоративном сайте Twitter появились вакансии для инженеров, которые имеют опыт разработки системы двухфакторной аутентификации, а также создания систем, распознающих мошенническую активность. На сегодняшний день Twitter использует для системы двухфакторной аутентификации протокол OAuth, который также используется и для мобильных приложений, имеющих взаимодействие с ресурсами трафика между сервером и клиентом, который к нему присоединен.
Самым надежным способом сохранить данные в Twitter считается двухфакторная аутентификация – это аутентификация, в процессе которой используют аутентификационные факторы нескольких видов. Например, пользователю нужно предоставить USB-ключ или смарт-карту и ввести пароль. В этом случае злоумышленник будет иметь возможности доступа к данным, так как ему придется не только подсмотреть пароль, но и предъявить физическое устройство, кражу которого, в отличие от кражи пароля, практически всегда можно обнаружить.
USB-ключи и смарт-карты, которые предназначаются для двухфакторной аутентификации, безопасно сохраняют в защищенной памяти пароли, закрытые ключи, сертификаты открытого ключа, профили пользователя и другую информацию, которая нуждается в безопасном хранении. Также в процессе аутентификации могут быть использованы мобильные телефоны, на которые посредством SMS может быть передана дополнительная подтверждающая последовательность (одноразовый пароль).
Плюсы и минусы двухфакторной аутентификации
Виды аутентифицирующих признаков называются аутентификационными факторами. Как правило, выделяются следующие «факторы»: «нечто, что нам известно» (пароль), «нечто, что нам присуще» (биометрика), и «нечто, что у нас есть» (документ или предмет, который характеризируется некой уникальной информацией. Обычно этот фактор заканчивается формулировкой «устройство», хотя такой ход суждения не всегда оправдан).
Судя по такой системе понятий, двухфакторная аутентификация – это аутентификация, при которой используется одновременно: пароль + устройство, пароль + биометрические данные или биометрические данные + устройство.
Какие же факторы можно привести в пользу такого вида аутентификации, в отличии от однофакторной?
Смысл стандартного хода заключается в том, что ввод пароля с клавиатуры в качестве метода аутентификации имеет ряд неоспоримых недостатков, поэтому он не является гарантией безусловной аутентификации.
Конечно, это так, однако стоит ли из этого приходить к выводу о ненадежности «однофакторной» аутентификации в целом?
Есть и другие методы, такие, как электронная цифровая подпись. С помощью ее подписать документ может человек (автор, отправитель, архивариус) с помощью использования технических средств, а может какой-то процесс (например, при взаимной аутентификации технических средств путем обмена подписанными пакетами).
Как результат, ЭЦП, будучи реквизитом документа, помогает осуществить аутентификацию автора документа (отправителя пакета) или сам документ.
Независимо от того, каким устройством было сформировано и каким устройством идет проверка ЭЦП, она представляет собой только один признак. Может ли это свидетельствовать о том, что метод ненадежен?
Еще один, менее уязвимый довод в защиту двухфакторной (многофакторной) аутентификации состоит в том, что чем больше факторов, тем меньше вероятность ошибок. Причем ошибок обоих типов, таких как «совпадения» и подтверждения статуса, который в действительности не является собственностью пользователя (случайно или злонамеренно, например, путем перебора идентификаторов), так и ошибочного неподтверждения легального статуса из-за определенного сбоя.
Наконец, мы можем назвать плюсы и минусы двухфакторной аутентификации. Минусом можно назвать опасность формального подхода, ведь факторы, которые влияют на надежность аутентификации, вовсе не ограничиваются типами идентифицирующих признаков. Все остальное можно считать плюсами.
Автор: Елена Клименко