Комментарии 27
Главное не превращать СМС в единственный достаточный фактор, используя его в процедуре восстановления доступа, не считая других открытых или утёкших данных о человеке.
Каналы оперативной связи с человеком стоит использовать только для оперативной связи с человеком (а не для спама). При активации процедуры восстановления доступа рассылать сообщения по всем доступным контактам. Как впрочем и при активации новой сессии на новом устройстве.
Помимо стандартных технических средств взлома паролей, существуют и экзотические как то фото клавиатуры в инфракрасном диапазоне и специальным образом применяемый Wi-Fi, не говоря о ещё более необычных, никак не связанных с социальной инженерией в общепринятом виде. То есть только специальным образом подобранные люди, прошедшие инструктаж и проверки в специально подготовленных помещениях с некоторой вероятностью пароли не сольют. Что касается 2FA, то не все они равнозначны. SMS - только от простоты и бедности, в какой-то степени от бедности и TOTP, но чуть получше, про бэкап нужно объяснять и принцип 3-2-1, то есть тоже требует инструктажа. Аппаратные ключи, особенно с биометрией - с какой-то стороны лучше, поскольку не дадут ввести данные на поддельном сайте, например, в определённой области специальным образом созданной фишинговой странички, но от условно достаточно близко находящегося злоумышленника не спасут, ну и, если нет биометрии, то, что я написал по паролям нужно иметь в виду. Так что MFA - наше всё и регламенты не только работы, но и вообще жизни. Впрочем, вероятность взлома выше, когда его стоимость для конкретного злоумышленника (по методам) меньше, чем деньги, которые удастся в результате получить. Так что можно считать, что я намеренно сгущаю краски: уж очень небольшая вероятность в редких случаях здесь у меня описана :)
пользователь вводит логин и пароль, затем предоставляет второй фактор — одноразовый код, генерируемый приложением-аутентификатором
И пароль и TOTP - это факторы знания. Просто один передаётся напрямую (PAP), а по второму демонстрируется признак знания (CHAP с ручным приводом).
Добавление TOTP, конечно, несколько надёжнее одного только пароля и защищает от брут-форса. Тем не менее, 2FA и MFA предполагают принципиально разные факторы. Если, к примеру снимать на камеру рабочее место или встроиться в сеть в момент регистрации пользователя, то и пароль и TOTP замечательно сливаются, потому что между пользователем и сервисом идёт обмен знаниями.
Так можно всё свести к фактору знания - если заставить пользователей ходить к серверу и физическим ключом поварачивать замок - это тоже знание, ведь сфотографировав этот ключ злоумышленник сможет изготовоить копию.
Каким образом в принципе можно проверить что-то кроме знания, если у нас между пользователем и проверятелем есть только канал передачи этих самых знаний?
Так и есть - обычный квартирный ключ относится к знания: его можно размножать и копировать без особых технических ухищрений и не портя оригинал - по фото, оттиску в пластилине. Нет разницы: написаны буквы на бумажке, или выбит двоичный/троичный и т.д. код на куске металла.
В случае ассиметричной криптографии обмена самим ключами никогда не происходит. А если закрытый ключ сформирован прямо в неизвлекаемом хранилище: смарт-карта и аналогичные крипто-токены, TPM-модуль, то это будет фактором владения.
К сожалению то, что сейчас называют "двухфакторной авторизацией" уже нифига ей не является. Потому что достаточно завладеть сотовым телефоном, чтобы получить доступ в большинство сервисов, декларирующих двухфакторную авторизацию, никаких знаний пароля при этом не нужно. Второй фактор есть, вот только первого нет...
Потому что достаточно завладеть сотовым телефоном.....
никаких знаний пароля при этом не нужно
Позанудствую и возражу. Вообще-то недостаточно. Успехов вам, разблокировать чужой телефон, в большинстве случаев. Лет 10-15 назад, может быть было бы достаточно. А сейчас... Да и знание пароля все равно нужно, если юзер адекватно относится к своей важной информации и не оставляет его(пароль) в кэше браузера/приложения. А если он этого всего не соблюдает, значит, либо он ССЗБ(сам себе злобный буратино) либо у него нет ничего, такого важного чего-то(неуловимый Джо) Не говоря уже о том, что 2FA телефоном не исчерпывается.
В догонку. Вообще не понимаю постановки вопроса автора статьи. Или-или. Как будто, что-то мешает/запрещает использовать одновременно и то и другое. И "крутой" пароль и 2FA/MFA. Короче, статья ниочем, для галочки.
А разблокировать телефон и не надо. Надо просто вытащить симку, и воткнуть в другой телефон. Как вы думаете, как часто у людей установлен пароль на сим-карту? (именно на сим-карту, а не на сам телефон)
Надо просто вытащить симку
Да наздоровье. У адекватных людей(которые берегут свои критические данные) 2FA не в смс/не только в смс, а в, к примеру, TOTP, ГуглАутентификаторе(и его клонах) или в "отпечатке пальцев"/биометрии.
Проблема в том, что некоторые сервисы на попытку восстановить доступ скажут "Ну, если вы можете получить смс на привязанный номер - то вот вам новый пароль". И их совершенно не беспокоит, что там был TOTP.
Ну в случае корпоративных сервисов все строго.
Да вроде возьмите хотя бы мобильное приложение Альфы - вся из себя крутая биометрия, но при переустановке приложения - снова разовое подтверждение по смс. Знаю другой банк, где сделали прям строго - продолбал приложение с секретным ключом в хранилище - добро пожаловать в офис. Но пользователи почему-то не рады
Расскажите, какие крупные российские банки разрешают использовать TOTP вместо смс?
Ну в конце у меня вывод такой же, как у вас, что лучше и то и другое. Просто чаще всего люди хотят сэкономить и выбрать что-то одно хотя бы.
люди хотят сэкономить и выбрать что-то одно хотя бы.
В смысле, "выбрать что-то одно". Так, 2FA так и называется второй фактор. Не вместо, а вместе. А, то что некоторым настолько наплевать на собственную инфобезопасность, что они ленятся соблюдать элементарную цифровую гигиену, не стоит целую статью городить. Если люди ленятся умываться и/или чистить зубы по утрам, вы же не пишите об этом статью с размышлениями, типа что лучше сохранить, зубы или морду лица. :)
Проблема не в людях. Проблема в системе. Безопасность увы невозможна.
Большинство банков позволят вам сделать все, если у вас есть доступ к симкарте. Вы сможете поменять любые пароли итд итп. Ничего "первого" не надо.
Для логина в сбер нужно знать смс и номер карты. Всё. Номер карты ей богу невеликий секрет...
Тут на днях народ писал, что можно после этого переподтвердить имеющийся аккаунт на госуслугах, и в процессе поменять ему способ авторизации. Т.е. был у вас в госуслугах тотр, а теперь ррраз и простой пароль установлен. И на вас тут же кредитов набрали.
Какая гигиена тут поможет ?
Тут поможет zero liability при наличии нормально работающей судебной системы. Если банк наплевал на безопасность, все убытки несёт он. Причем, чтобы клиент не должен был ничего доказывать. Простое заявление в течение 90 дней после инцидента и банк обязан вернуть все дегьги и отменить все кредиты в течение суток. Если банк считает, что клиент могешенник, он может обратиться в суд. А то сейчас на безопасность плюёт банк, а убытки несёт клиент.
Что значит "поможет"? Его нету.
Законодательно вы подписываете с помощью смс договор. Всё. Банк ничего не обязан больше проверять. Он и не проверяет.
Безопасность всегда стоит денег и удобства. И сейчас все организовано так, что все риски на потребителе. И поэтому риски эти запредельны. Неудобства минимальны. Безопасность нулевая.
Страшно жить. Очень.
Поможет, если ввести. Также, как законодательно ввели запрет на штрафы при досрочном погашении ипотеки, заняв сторону людей, а не оборзевших вконец банков.
Законодательно вы подписываете с помощью смс договор.
Я не могу ничего подписать с момощью смс, смс меня не идентифицирует. Я знаю, что в законе написано обратное, но если в законе напишут, что Луна сделана из сыра, реальность от этого не поменяется. И, кстати, законодально, кучу договоров я могу подписать только госключом с УКЭП, которая генерится по моему загранпаспорту с чипом (аппаратный ключ) и защищена моим паролем, который нельзя сбросить по смс. Т.е. у кого-то из законодателей мозги ещё остались.
Неудобства минимальны.
Как по мне, так максимальны. TOTP или аппаратный ключ гораздо удобнее. Например, за границей кое-где смс от российских опсосов просто не работают, т.к. роуминг отключен из-за санкций. Также смс не работают в куче мест, где есть проводной/спутниковый инет, но нет сигнала сотовой сети - VoWiFi работаете не у всех и часто глючит. В одном из таких мест я жил по паре месяцев летом последние несколько лет и каждый раз это был адский геморрой, никаким удобством тут не пахнет от слова "совсем". А еще телефон может сесть и т.д.
И, кстати, законодально, кучу договоров я могу подписать только госключом с УКЭП, которая генерится по моему загранпаспорту с чипом (аппаратный ключ)
Загранпаспорт там не совсем для аппаратного ключа. Потому что в нем, насколько я помню, возможности хранить и использовать приватную часть ключевой пары нет. Он там - чтобы получить подписанную государством биометрию, привязанную к личности. Чтобы, значит, была какая-то уверенность, что ключевая пара генерится именно для того человека, кем представляется человек, держащий в руках телефон.
С тем же успехом можно сходить и положить биометрию в профиль госуслуг, сходив в банк.
Сам же ее хранение и работа с ключами (по объяснениям разработчиков) как-то немного странно устроено:
Ключ ЭП хранится на устройстве пользователя в зашифрованном контейнере, ключ от которого хранится на HSM "в облаке". Вычисление хэша при формировании подписи производится на устройстве пользователя.
А из других слайдов от них (сейчас уже не найду) вроде бы выходит (объяснение было довольно мутным), что хэш подписываемого документа хоть и вычисляется локально, но ЭП на него накладывается - в этом самом HSM.
Потому что реализации ГОСТ-овских алгоритмов в телефоне государство не верит.
Т.е: Шифрованный контейнер к ключевой парой передается куда-то в облако, там расшифровывается, используется и сразу забывается.
Если HSM правильный и полученные ключи действительно наружу не выпускает - то все хорошо. Но вот как это проверить-то?
Успехов вам, разблокировать чужой телефон, в большинстве случаев.
В большинстве случаев телефон разблокируется отпечатком пальца жертвы.
Да и знание пароля все равно нужно
Не нужно, пароль будет сброшен по коду из смс. А сегодня всё чаще пароля вообще нет, только код из смс.
Усиленные пароли или 2FA