317
Двухфакторная аутентификация для защиты финансовых сервисов: проблемы использования
На сегодняшний день существует два основных подхода к OTP. Первый - это отправка одноразового пароля пользователю, например, в SMS. Второй - это код, который изменяется каждый раз, когда вы используете его для входа в систему или по предопределенному расписанию на основе предопределенного алгоритма.
Чтобы использовать первый тип, необходимо иметь устройство с сетевым подключением и номер телефона для получения SMS. С помощью таких устройств как RSA SecurID или Google Authenticator можно генерировать второй тип OTP. При чем они бывают отторгаемыми в виде железных токенов или софтверные.
Однако оба типа OTP имеют несколько недостатков, из-за которых они являются «двухступенчатой», а не "двухфакторной" аутентификацией.
Для начала рассмотрим SMS. По факту, оно не является вторым фактором. При входе на сайт с использованием SMS вы получаете сообщение с одноразовым паролем, отправленное на ранее указанный вами номер телефона. Идея заключается в том, что канал вряд ли будет контролироваться злоумышленником, который пытается аутентифицироваться незаконно.
Первая проблема здесь - доверие. Предполагается, что злоумышленник не может перехватить OTP из SMS-сообщения, поэтому вам нужно доверять операторам мобильной сети. Даже если вы уверены в сотовых операторах, вам все равно придется бороться с мобильными вредоносными программами, которые перехватывают SMS-сообщения, кроме того, шифрование, используемое в сотовых сетях, слабое. Даже если вы согласны с безопасностью мобильной сети и конечных пользователей, SMS по-прежнему не обеспечивает второго фактора, так как оно не является вашим уникальным идентификатором и может быть скопировано и использовано другими пользователями. Ваш номер телефона - это просто адрес, который вы можете в любой момент перевести на новое устройство. Единственное, что связано с номером - это сам телефон, но он используется только для получения SMS и никогда не аутентифицируется.
Теперь рассмотрим второй тип – генерируемые одноразовые пароли. Основная проблема в том, что такой вид OTP не создавался для второго фактора. Он был изобретен для предотвращения повторных атак в те дни, когда большинство сетевых коммуникаций были не зашифрованы, а сниффинг паролей являлся гораздо более серьезной проблемой, чем сейчас. Идея заключалась в том, что если вы включили переменную часть в пароль, то даже если бы она была захвачена из сети, злоумышленник не смог бы повторно использовать ее в будущем сеансе. Однако OTP не защищают от атак Man-in-the-Middle (MITM) или от фишинга, так что злоумышленник может по-прежнему использовать соединение, в котором пользователь отправил OTP.
И самое главное - OTP очень неудобные и раздражают пользователей! Чтобы использовать OTP, пользователям необходимо скопировать их из любого устройства, которое получает или генерирует их в форме кода. Кроме того, для удобства нужна достаточно короткая строка для ввода. Это препятствует гибкости, что приводит к снижению безопасности в реализациях OTP.
В итоге, с одной стороны, наличие OTP улучшает безопасность, так как их использование - это лучше, чем просто ввод паролей. С другой стороны, OTP не защищают от фишинга и MITM, при этом ухудшают опыт использования. Решение этой проблемы кроется в аутентификации на основе рисков, но это повод для отдельной статьи.
В ближайшее время мы опубликуем статью Александра Ермаковича про аутентификацию на основе рисков. Читайте портал PLUSworld.ru.
По материалам PLUSworld.ru
