Двухфакторная аутентификация: что это и зачем она нужна?

Фишинг – одна из главных проблем для проектов, где у пользователей имеются средства на балансе. Ежедневно от рук фишеров страдают крупные банки, обменные системы и даже нелегальные ресурсы как наркосайт Гидра. Сегодня эта даркнет-площадка стала едва ли не главным прибежищем для онлайн-мошенников, а главная манипуляция, к которой прибегают аферисты – подмена настоящей ссылки на Гидру. Заметно усложнить жизнь мошенникам как на этом, так и на других сайтах, получилось именно благодаря двухфакторной аутентификации, важному инструменту для защиты аккаунтов от угона.

Что такое двухфакторная аутентификация

Двухфакторная аутентификация – это система дополнительной защиты аккаунтов пользователей различных ресурсов. Помимо пароля, при входе пользователю также нужно предоставить ещё одно подтверждение владение аккаунта: код активации, отпечаток пальца, специальный одноразовый ключ и т.п.

Такую систему защиты сегодня используют почти все сайты с формой входа, поскольку это усложняет угон аккаунтов. С этой опцией хакерам нужен не только логин и пароль, но и дополнительное подтверждение личности, за счёт чего угон становится сложнее или и вовсе невозможен.

Тем не менее, хакеры постоянно придумывают способы обхода двухфакторной аутентификации. Так они могут позвонить пользователю и представиться сотрудником банка, членом команды сайта или представителем службы безопасности. В общем, сделать всё, чтобы доверчивый владелец аккаунта сообщил им необходимые данные.

Какими бывают способы подтверждения

На сегодня существует 4 основных типа двухфакторной аутентификации:

1.    СМС-код. Самый незамысловатый и популярный способ подтверждения, но в то же время и наименее надёжный. На телефон пользователя приходит сообщение со специальным кодом, однако всегда присутствует вероятность перехвата сообщения злоумышленниками.

2.   Аутентификаторы. Этот способ требует установить специальное приложение для аутентификации. При входе в аккаунт с его помощью пользователь получает код, который отправляется с помощью HTTPS-соединения, которое снижает вероятность кражи данных.

3.   Биометрика. Такой способ проверки предполагает идентификацию с помощью биометрических данных: отпечатка пальца, скана радужной оболочки глаза или технологии распознавания лиц.

4.   Электронные ключи безопасности. Это физический накопитель, который при входе нужно подключить к компьютеру. Таким образом, даже если злоумышленники узнают логин и пароль пользователя, зайти в аккаунт они не смогут. 

Не так давно на сайте моментальных покупок Гидра также ввели двухфакторную аутентификацию при входе в аккаунт. Опция не является обязательной, и пользователь может активировать её при желании. Это помогает клиентам и работникам площадки защититься от части фишинговых схем, при которых мошенники присваивают себе аккаунт после кражи логина и пароля. В основном, аферисты копируют стартовую страницу сайта, где пользователь вводит логин и попросту похищают аккаунт. Двухфакторная аутентификация стала препятствием для осуществления таких схем.

Пользователям площадки предлагают пройти проверку одним из удобных способов: через приложения-аутентификаторы, либо же с помощью PGP-ключа. Подробную схему установки такой опции можно найти на форуме официального сайта Гидра.

Тем не менее, многие пользователи принебрегают использованием этой опции, за счёт чего часто нередко становятся жертвами фишинговых схем. Их суть сводится к элементарной подмене ссылки и краже аккаунта и средств на нём. Также фишеры научились получать деньги не только за счёт украденных средств, но и с перепродажи учётных записей. Особым везением для фишера считается заполучить во владение аккаунт работника одного из магазинов, ведь тогда заработать они могут ещё и за счёт перепродажи закладок с витрины. Поэтому каждому покупателю и работнику Гидры есть смысл обезопасить себя и активировать эту опцию.