Двухфакторная аутентификация для защиты финансовых сервисов: проблемы использования
В последнее время все более популярным становится использование одноразовых паролей (OTP) в качестве второго шага для входа в систему, особенно для защиты финансовых сервисов. Вместе с тем у пользователей остается недопонимание, что такое двухфакторная аутентификация, какие существует риски, связанные с ней, и стоит ли вообще ее использовать. На эти вопросы ответил Александр Ермакович, руководитель направления по борьбе с онлайн мошенничеством "Лаборатории Касперского".
На сегодняшний день существует два основных подхода к OTP. Первый — это отправка одноразового пароля пользователю, например, в SMS. Второй — это код, который изменяется каждый раз, когда вы используете его для входа в систему или по предопределенному расписанию на основе предопределенного алгоритма.
Чтобы использовать первый тип, необходимо иметь устройство с сетевым подключением и номер телефона для получения SMS. С помощью таких устройств как RSA SecurID или Google Authenticator можно генерировать второй тип OTP. При чем они бывают отторгаемыми в виде железных токенов или софтверные.
Однако оба типа OTP имеют несколько недостатков, из-за которых они являются «двухступенчатой», а не «двухфакторной» аутентификацией.
Для начала рассмотрим SMS. По факту, оно не является вторым фактором. При входе на сайт с использованием SMS вы получаете сообщение с одноразовым паролем, отправленное на ранее указанный вами номер телефона. Идея заключается в том, что канал вряд ли будет контролироваться злоумышленником, который пытается аутентифицироваться незаконно.
Первая проблема здесь — доверие. Предполагается, что злоумышленник не может перехватить OTP из SMS-сообщения, поэтому вам нужно доверять операторам мобильной сети. Даже если вы уверены в сотовых операторах, вам все равно придется бороться с мобильными вредоносными программами, которые перехватывают SMS-сообщения, кроме того, шифрование, используемое в сотовых сетях, слабое. Даже если вы согласны с безопасностью мобильной сети и конечных пользователей, SMS по-прежнему не обеспечивает второго фактора, так как оно не является вашим уникальным идентификатором и может быть скопировано и использовано другими пользователями. Ваш номер телефона — это просто адрес, который вы можете в любой момент перевести на новое устройство. Единственное, что связано с номером — это сам телефон, но он используется только для получения SMS и никогда не аутентифицируется.
Теперь рассмотрим второй тип – генерируемые одноразовые пароли. Основная проблема в том, что такой вид OTP не создавался для второго фактора. Он был изобретен для предотвращения повторных атак в те дни, когда большинство сетевых коммуникаций были не зашифрованы, а сниффинг паролей являлся гораздо более серьезной проблемой, чем сейчас. Идея заключалась в том, что если вы включили переменную часть в пароль, то даже если бы она была захвачена из сети, злоумышленник не смог бы повторно использовать ее в будущем сеансе. Однако OTP не защищают от атак Man-in-the-Middle (MITM) или от фишинга, так что злоумышленник может по-прежнему использовать соединение, в котором пользователь отправил OTP.
И самое главное — OTP очень неудобные и раздражают пользователей! Чтобы использовать OTP, пользователям необходимо скопировать их из любого устройства, которое получает или генерирует их в форме кода. Кроме того, для удобства нужна достаточно короткая строка для ввода. Это препятствует гибкости, что приводит к снижению безопасности в реализациях OTP.
В итоге, с одной стороны, наличие OTP улучшает безопасность, так как их использование — это лучше, чем просто ввод паролей. С другой стороны, OTP не защищают от фишинга и MITM, при этом ухудшают опыт использования. Решение этой проблемы кроется в аутентификации на основе рисков, но это повод для отдельной статьи.
