Зачем нужна двухфакторная аутентификация в интернете?
Мировые лидеры в области онлайн-сервисов объединились в поиске надежных способов защиты пользовательских данных в интернете. Российские разработчики средств ИБ не остались «за бортом» и активно развивают решения с применением двухфакторной аутентификации, учитывающие как национальные, так и новые зарубежные стандарты.
Источник: CNews.ru. Зачем нужна двухфакторная аутентификация в интернете?
Интернет вошел в нашу жизнь настолько прочно, что, кажется, он существовал всегда. Но это не так. Эта сеть появилась относительно недавно, всего несколько десятилетий назад. И она предназначалась для несколько иных целей, нежели те, которые возлагаются на интернет сейчас.
На заре появления глобальной паутины пары логин-пароль хватало с избытком для надежной аутентификации относительно небольшого количества пользователей. Да и воровать в сети было особенно нечего. Да и не скрывали в нем особенно ничего.
Полумерами кражи аккаунтов уже не остановить
Сфера использования сети со временем резко расширилась. Сейчас посредством интернета проводятся банковские операции, осуществляются покупки в онлайн-магазинах, пересылаются важные документы. Да, конечно, стали использовать защищенные технологии передачи информации. Но вот защита аккаунтов как была на примитивном уровне, так в большинстве случаев и осталась.
К чему приводит утрата логина и пароля? Многие считают свою скромную персону неинтересной для хакеров. Однако это очень опасное заблуждение. «И не стоит думать, что эти проблемы грозят только обеспеченным людям, которые находятся в сфере интересов криминального сообщества. К несчастью, люди идут на преступление порой только ради того, чтобы завладеть телефоном или просто из хулиганских побуждений», — комментирует Дмитрий Скрипкин, заместитель директора департамента информационной безопасности компании «РТС-Тендер».
Постепенно число краж и взломов аккаунтов в сети приобрело настолько угрожающие масштабы, что стало понятно: полумерами здесь уже не обойтись. Требуется объединение усилий множества участников рынка, выработка новых стандартов и регламентов.
Алексей Сабанов, доцент МГТУ им. Н.Э. Баумана и заместитель генерального директора «Аладдин Р.Д.», соглашается: «Информация в интернете уже привычно стала товаром, а зачастую движущей силой развития технологий и проектов. Число инцидентов безопасности, связанных с кражей и неправомерным использованием информации пользователей интернет-ресурсов неуклонно растет. Уровни рисков и число решений с более-менее проработанной схемой их снижения до приемлемого уровня могут быть посчитаны с помощью пальцев не только одной руки».
В таблице ниже приведена малая часть того, что стало известно аналитикам и общественности о крупнейших инцидентах с аккаунтами за последние год-полтора.
Масштабы хищений просто поражают воображение. И, что самое неприятное, один и тот же человек, попав на удочку мошенников в одном месте, может завтра же стать жертвой на другом ресурсе.
«Пользователи наивно полагают, что, ограничив аудиторию просмотра в настройках публикации и придумав, по их мнению, сложный пароль для доступа к своему профилю, они уберегут себя от кражи и распространения этой информации. Ведь для многих кража аккаунта в социальной сети сулит большие проблемы, например: потеря уважения среди друзей или коллег, потеря работы, проблемы в семье из-за того, что кто-то узнал о неверности своей половинки, а иногда и более серьезные, такие как шантаж, вымогательство со стороны лиц, завладевших конфиденциальной информацией», — комментирует Дмитрий Скрипкин.
Всем миром за безопасный интернет
Несколько лет назад проблема защиты пользовательских данных подтолкнула крупнейшие мировые технологические компании к созданию новой структуры, взявшей на себя координирующую роль в этой сфере информационной безопасности.
Новая международная структура получила название FIDO Alliance. Ее основная задача — предоставление онлайн-службам возможности проведения строгой аутентификации для снижения числа проблем, связанных с необходимостью запоминания большого количества учетных данных. А это еще одна серьезная проблема безопасности.
FIDO Alliance — весьма представительный орган, наделенный серьезными полномочиями. В его рядах крупнейшие финансовые организации (Bank of Ameriсa, PayPal, MasterCard), электронные торговые площадки (AliExpress и др.), а также технологические компании (Google, Mozilla, Microsoft).
Простота использования во главе угла
Практическим достижением работы этой команды стала выработка технологии двухэтапной аутентификации U2F с использованием токенов, которая позволяет онлайн-службам усилить безопасность существующей парольной инфраструктуры, включив в процедуру аутентификации пользователей второй фактор. В зависимости от настроек онлайн-служба или сайт может потребовать от пользователя предъявления U2F-токена в качестве второго фактора аутентификации. Уже сейчас пользователи Google, Dropbox и GitHub в любой момент могут начать им пользоваться.
Для начала работы необходимо запустить браузер Chrome, зайти в свой личный кабинет и включить опцию аутентификации с использованием U2F. Сам же токен необходимо вставить в USB-порт. Далее по сообщению в браузере необходимо нажать кнопку на токене. На этом процедура регистрации закончена. Несмотря на кажущуюся простоту и элегантность решения, в нем заложены сложнейшие криптографические алгоритмы на базе открытых ключей, что гарантирует защищенность процедуры аутентификации и идентификации.
Столь представительный состав FIDO Alliance позволил реализовать на практике еще одну интересную вещь — универсальность технологии. Уже сейчас в соответствии с этой концепцией U2F-токен с подключением по USB-порту готов к работе со многими операционными системами без дополнительных драйверов.
В России есть, кому развивать U2F-технологии
Российские разработчики не остались «за бортом» мирового тренда. Компания «Аладдин Р.Д.» — также член FIDO Alliance — развивает собственные решения для двухфакторной аутентификации пользователей онлайн-сервисов с учетом требований отечественных регулирующих органов и новых зарубежных стандартов. Компания уже разработала и наладила производство U2F-токенов под брендом JaCarta, а также создает готовые решения с применением этих устройств.
Западные вендоры, в частности нидерландский производитель полупроводников NXP (также участник FIDO Alliance), высоко оценивают потенциал местных игроков. Так, Игорь Бояренко, директор по развитию бизнеса компании NXP в области идентификации в СНГ, Польше, Прибалтике и Скандинавии, отмечает: «Очень важно, что „Аладдин Р.Д.“ начинает продвижение не только токенов, но и готового решения для разработчиков и сервис-провайдеров российского рынка».
Эксперты подчеркивают, что U2F-токены, гарантирующие защищенность процедуры аутентификации и идентификации, могут быть встроены в существующие системы, которые используют электронные подписи на базе PKI с учетом требований к криптографии российских регулирующих органов.
Автор: Татьяна Ведешкина
Источник: CNews.Ru
Читайте также:
ПодписатьсяУЭК: Несмотря на риски, инвестиции в проект «Стрелка» себя оправдывают
Год назад компания «УЭК» подписала соглашение с правительством Московской области и государственным перевозчиком «Мострансавто» о внедрении в Подмосковье единой транспортной карты «Стрелка». Проект стал одним из крупнейших, реализованных по модели государственно-частного партнерства. О том, оправдались ли прогнозы инвесторов, в интервью CNews рассказал Павел Буяджи, генеральный директор компании «Единая Транспортная Карта».