Двухфакторная аутентификация и открытые двери

Sony все же добавила двухфакторную аутентификацию для защиты ста с лишним миллионов учетных записей пользователей в своей сети Sony PlayStation Network. Этого шага уже давно ждали пользователи PSN, особенно после знаменитого взлома в 2011 году, в результате которого доступ к игровому сервису был закрыт на целый месяц, и под угрозой оказались данные кредитных карт, адреса электронной почты и прочая персональная информация пользователей. Возможно, даже слишком давно…



Учитывая, что игры в PSN обычно продаются по $25 и выше, компрометация пароля от учетной записи и череда мошеннических списаний может привести к немалому счету, заядлому игроку же не останется ничего иного, как оплатить расходы, или, как вариант, оплатить расходы, а затем потратить уйму времени на подачу всевозможных онлайн заявлений по оспариванию и разрешению мошеннических транзакций.

Так почему же одной из крупнейших инновационных компаний, пионеру в области технологий и гиганту, специализирующемуся на потребительских продуктах и развлекательных сервисах, потребовалось столько времени, чтобы добавить двухфакторную аутентификацию для защиты учетных записей в PSN? Возможно, все дело в корпоративной политике или в несогласованности бизнес-подразделений, как предполагают некоторые эксперты, а возможно, компания все же отчаялась найти более надежное и простое решение для защиты пользователей от взломщиков. PSN оказалась на передней линии обороны*, в отличие от внутренних сетей компании, ее не смогли защитить ни совершенные фаерволы, ни специальная подготовка сотрудников, которая велась все годы после взлома. Более того, по мнению экспертов, 90% мировых компаний не смогли бы противостоять атаке, подобной атаке на Sony 2011 года, используя только те средства защиты, которые применялись на тот момент.

Здесь уместно процитировать выводы недавнего отчета Verizon о расследовании утечек данных: «Мы знаем, что стандартной комбинации имени пользователя и пароля может оказаться вполне достаточно для защиты ваших игровых персонажей. Мы также знаем, что внедрение более устойчивых механизмов аутентификации всего лишь повышает уровень защиты, но отнюдь не является панацеей. Но даже с учетом всего этого, из всех зафиксированных и подтвержденных утечек данных 63% инцидентов были так или иначе обусловлены использованием слабых, устанавливаемых по умолчанию или украденных паролей».

C учетом этой статистики и проведенного нами ранее анализа угроз и способов борьбы с ними можно смело утверждать, что введение двухфакторной аутентификации вполне оправдано. Можно даже сказать, что, если вы до сих пор не используете двухфакторную аутентификацию, по сути это равноценно тому, чтобы не запирать за собой дверь, уходя из дома – закрытая на замок дверь вряд ли остановит всех злоумышленников, но это все еще одно из наиболее эффективных средств обеспечения личной безопасности.

Компания Gemalto провела собственный опрос среди 900 лиц, принимающих решения в ИТ-индустрии, которое, в том числе, показало текущее положение с двухфакторной аутентификацией:

  • 38% пользователей в организациях уже используют двухфакторную аутентификацию, а в ближайшие 2 года их будет уже половина (51%)
  • В среднем, около трети пользователей обязаны использовать двухфакторную аутентификацию для доступа к корпоративным ресурсам с мобильных устройств. Ожидается, что их число также достигнет почти половины всех пользователей.
  • Девять из десяти (92%) респондентов используют двухфакторную аутентификацию хотя бы в одном приложении внутри своей компании.
  • Двухфакторную аутентификацию преимущественно используют с VPNs (86%), веб-порталами (84%) и облачными приложениями (83%).
  • Подавляющее большинство (93%) респондентов ожидают, что их компании расширят использование двухфакторной аутентификации для защиты большего числа приложений, при этом почти половина (48%) ожидают заметной активации в этом направлении в ближайший год.

Опыт корпоративных пользователей применим и для более широкой аудитории, хотя проникновение в этом сегменте еще не такое высокое, а из доступных возможностей двухфакторной аутентификации (SMS, телефонные звонки, сообщения эл. почты, аппаратные и программные токены) часто используются наиболее простые.

Сайт TwoFactorAuth.org позволяет проверить, поддерживают ли двухфакторную аутентификацию интересующие вас онлайн-сервисы, будь то игровые порталы, банковские сервисы или сервисы по доставке еды, и какую именно. Если вы считаете, что какой-то сервис прячет голову в песок, делая вид, что не замечает проблемы, то вы можете оставить соответствующее сообщение в Twitter с просьбой к компании добавить двухфакторную аутентификацию.

Ценой немалых усилий Sony удалось восстановить доверие пользователей, подорванное пропущенной кибер-атакой (геймеры оказались очень отходчивыми людьми), однако пример этой компании позволяет предположить, что, в конце концов, компании, которые не торопятся с внедрением современных технологий инфобезопасности, могут закончить аутсайдерами на рынке в целом.

* Атаки продолжаются – так некоторые источники полагают, что основной целью DDoS-атаки на Dyn несколько дней назад, сделавшей недоступными сервисы сразу нескольких крупных компаний, таких как PayPal и Spotify, была именно PSN.
Gemalto Russia
Company
AdBlock has stolen the banner, but banners are not teeth — they will be back

More
Ads

Comments 14

    0
    >> геймеры оказались очень отходчивыми людьми
    Думаю, что у них просто не было иного выбора, как смиренно ждать. Вариантов игровых приставок с учётом порочной практики «эксклюзивов» исчезающе мало.
      0
      Sony поздно задумалась над двухфакторной аутентификацией и когда реализовала ее, то тоже немного опоздала: выбрали SMS, которые сейчас не рекомендуются к использованию в качестве фактора аутентификации.
        0
        Связка пароль+SMS всегда была 2SV, но не 2FA
        Подробнее
          0
          Я уже комментировал эту терминологию ранее.
          Автор статьи по вашей ссылке считает, что SMS не является вторым фактором, поэтому пароль+код_из_SMS он называет 2SV, а не 2FA. Я же полагаю, что через код в SMS подтверждается владение SIM картой. Наличие атак на данный фактор не означает, что он перестает быть фактором аутентификации. К тому же эти атаки являются нарушением законодательства.
          Если рассуждать как автор той статьи, то одноразовые коды в мобильном приложении (и вообще любой фактор) тоже могут быть скомпрометированы, например, вирусом на смартфоне.
            0
            Я же полагаю, что через код в SMS подтверждается владение SIM картой
            Принципиальная разница в том, что для получения доступа к коду из приложения злоумышленник должен получить доступ к самому устройству и произвести атаку, а для получения смски доступ к оригинальной симке не нужен.
            Фактор владения — он про неповторимость того, чем владеем — иначе в чём его смысл?
            Ещё раз: чтобы скомпрометировать одноразовый пароль, злоумышленник должен действительно «украсть» его из того места, где он был до этого. И виноват в этом будет тот, у кого украли. Чтобы украсть код из смс, никакое взаимодействие с атакуемым не нужно вообще.
              0
              С чего вы взяли, что вы владеете своим смартфоном?

              Если серьезно, то я понимаю вашу логику. Факт ввода кода из SMS действительно может подтвердить что-то из списка: владение SIM картой или доступ к сети/оборудованию оператора или доступ к сети SS7.
              Кстати, если кто-то подсмотрел (MiTM, фишинг, камера, вирус) QR с seed при инициализации вашего TOTP токена, то он тоже может сделать сколько угодно дубликатов.
          0

          SMS лучше чем ничего.

          0
          Относительно сони и их техподдержки: когда я обнаружил, что к моему аккаунту привязана чужая консоль, получил ответ на обращение, что они не могут отвязать консоль взломщика от моего аккаунта, так как это моё второе обращение, и при этом не могут сообщить деталей об этой консоли (страну итд), так как «известно, она не моя». Предложили ждать полгода и деактивировать её самостоятельно, так как я виноват в «ненадлежащем отношении к безопасности у/з», признавать, что у них были утечки отказались. Попытки убедить их помочь мне, хозяину у/з, с включенной двухфакторной авторизацией результата не принесли. Негативнейшее впечатление.
            0
            1 в 1 ситуация произошла со мной в августе. При том что пароль от PSN я нигде больше не использывал (оба пароля — первого и второго инцедента были уникальными), а сам пароль как и нужно состоит из букв, цифр и символов. Такое чувство, что у них какие-то проблемы на серверной стороне с этим.
            Жду пока пройдет пол года, чтоб домашние тоже могли воспользоваться консолью… бред.
            0
            Сони просто очередная толстая корпорация с типичным соседством «и так сойдет» и многоуровневой бюрократии. У них же не аккаунты сфишили а вынесли содержимое с их серверов, двухфакторная авторизация после взлома их сервера смотрится как навешивание на ворота второго комплекта замков, когда их просто обходят сбоку там, где должна быть стена — короче простой популизм, чем мне поможет код с SMS при логине в PSN когда данные моей кредитки уже у Джона Смита и в продаже на силкроаде, надеюсь внутри кроме двухфакторки то что-то архитектурно поменяли к лучшему.
              0
              Самое главное не написали — что за двухфакторная авторизация? Какой чип используют и куда в приставке его надо пихать. Есть ли дрова для компа, чтобы тем же устройством авторизоваться в браузере?
                0
                Судя по описанию на сайте Sony, второй фактор — одноразовый код из SMS
                  0
                  Была одна проблема, стало две
                0
                По поводу этой 2факторной авторизации. Странная работа с принятием кода. На работе всегда даёт отмаз, что пароль не правильный. Дома все работает идеально. Мистика…
                После подключения авторизации, пс3 попросила зайти на доп.сайт, где был сгенерирован уникальный пароль на вход именно с неё. пс4 вообще никак не сообщила о подключении, даже не попросил ввод доп.паролей.

                Only users with full accounts can post comments. Log in, please.