Многофакторная аутентификация позволяет защитить ваш аккаунт, даже если злоумышленники получили доступ к логину и паролю. Но есть и минус – большое количество уведомлений с кодами для входа вызывает усталость у пользователей и открывает возможность для хакерской атаки.
Представьте, что вы настроили многофакторную или скорее двухфакторную аутентификацию для всех ваших аккаунтов. В результате в течение дня вам приходит множество Push-уведомлений с кодами или с запросом разрешения на вход. В какой-то момент вы так устаете от этого потока, что не глядя подтверждаете операцию.
Но не факт, что все эти запросы создали вы сами. Вполне возможно, вы стали жертвой хакерской атаки.
Вот как это происходит:
- злоумышленники находят ваши логин и пароль, утекшие в сеть, либо получают их с помощью фишинговой атаки;
- они присылают на ваше устройство огромное количество запросов на подтверждение входа.
Все это совершается в расчете на то, что вы устанете от бесконечного потока уведомлений и подтвердите вход, а хакеры получат доступ к вашему аккаунту.
Такие атаки вполне могут быть автоматизированы и даже сочетаться с методами социальной инженерии. Например, вы можете получить электронное письмо с ложной информацией о внедрении новой системы безопасности и указанием, что подтверждение входа нужно для ее окончательной установки.
Такие атаки можно предотвратить.
1. Обратите внимание на контекст
В Push-уведомлениях часто отображаются параметры входа: устройство, с которого пытаются войти, и его местоположение. Если это не ваш девайс и локация, то не подтверждайте вход, а вместо этого срочно поменяйте пароль от аккаунта.
Если же такие параметры не отображаются, войдите в приложение, которым пользуетесь для многофакторной аутентификации, и настройте в нем отображение дополнительных сведений в уведомлениях.
2. Не используйте Push-уведомления
Это самый простой способ подтверждения входа, но весьма небезопасный. Вместо него используйте одноразовые коды из приложения-генератора кодов. Это будет занимать чуть больше времени, но зато повысит уровень защищенности аккаунта.
3. Настройте аутентификацию на основе рисков
Если это возможно, настройте адаптивную аутентификацию для своих аккаунтов (она также называется аутентификацией на основе рисков – Risk-Based Authentication). В этом случае при входе система будет анализировать комплекс данных, таких как местоположение, устройство, IP-адрес, выявлять нетипичное поведение и запрашивать дополнительное подтверждение.
Например, такая аутентификация настроена в большинстве почтовых агентов и соцсетей, которые реагируют на ваш вход в систему с нового устройства и запрашивают подтверждение, что это действительно вы.
4. Ограничьте количество запросов
В некоторых приложениях для аутентификации можно настроить ограничение количества запросов в сутки. Если таких требований окажется слишком много, аккаунт будет заблокирован. Это не очень удобно для пользователя, но обеспечивает его безопасность.
5. Используйте аппаратный ключ
Чтобы защитить самые важные аккаунты, например, связанные с финансами или криптовалютой, лучше применить систему аутентификации FIDO (Fast Identity Online). Она используется в аппаратных ключах, например, в Ubikey и Security Key. В этом случае вы подключаете к компьютеру физический ключ и идентифицируете себя в нем, а уже после этого устройство создает уникальные комбинации для входа в аккаунты.
На данный момент это самый надежный метод аутентификации, который используется в сфере безопасности. Но, вероятно, однажды у каждого пользователя будет такой ключ.