15 октября вторник
СЕЙЧАС +5°С

Два пароля от всего

Поделиться

Два крупных российских интернет ресурса – Mail.ru и Yandex – предложили своим пользователям возможность двухфакторной аутентификации при входе в свой аккаунт. Разумеется, в этом деле они далеко не первые. Что это такое, зачем оно нужно (и нужно ли оно вам) – читайте в нашем материале.

Двухфакторная аутентификация: зачем?

Ответ на этот вопрос прост: все делается ради безопасности пользователя. В первую очередь его следует обезопасить… от самого себя.

Кража паролей – это далеко не самая большая беда. Подобная утечка данных встречается гораздо реже, чем простая халатность.

Самый популярный пароль в Интернете – 123456. Об этом свидетельствуют данные исследования компании SplashData. Второй по популярности пароль – password, третий – 12345, далее следует попытка запутать потенциальных взломщиков при помощи добавления еще трех цифр – 12345678, и, наконец, «великолепную пятерку» замыкает легендарный и всеми любимый пароль qwerty. И, как показывает практика, взывать к благоразумию пользователей здесь бесполезно.

С точки зрения безопасности есть только два варианта контроля над чужой беспечностью.

Вариант первый – интернет-сервис сам выдает пользователю «взломостойкий» пароль вроде 8xa46n696pRZ3YULpH. Но тут есть одна большая проблема – этот пароль сложно не только взломать, но и запомнить. Соответственно, пользователь либо меняет его на более привычный, либо, заходя на сайт, постоянно жмет на кнопку «восстановить пароль».

Вариант второй – мы разрешаем посетителю ресурса использовать практически любое сочетание цифр и букв (в разумных пределах), но вводим дополнительный фактор (или факторы) проверки личности пользователя.

Выбор фактора

В качестве второго (третьего, четвертного…) фактора может выступать все что угодно: отпечаток пальца, процедура сканирования сетчатки глаза, специальный USB-ключ, уникальный идентификатор компьютера, генерируемый на основе данных, предоставляемых «железом» ПК, и многое, многое другое. Но со временем появился самый удобный способ работы со вторым фактором – мобильный телефон.

В самом деле, современный человек практически не расстается со своим мобильным. Телефон обладает всеми характеристиками, необходимыми для претендента на роль дополнительного фактора аутентфикации. В первую очередь речь идет об уникальном телефонном номере, последовательность цифр которого не может повторяться по определению. Есть еще одна немаловажная особенность: в отличие от USB-ключа или магнитной карты, мобильный – это, как правило, предмет личного пользования не на словах, а на деле. Шанс на то, что вы беспечно доверите его коллегам, близким или друзьям гораздо меньше.

Но не бывает плюсов без минусов: утерянная трубка приводит к тому, что пользователь теряет доступ к собственному аккаунту. Некоторые ресурсы предоставляют возможность обойти это ограничение – в случае с почтой Google вам предлагается заранее распечатать резервные коды, другие ресурсы могут предложить ответить на несколько контрольных вопросов.

Вам звонит… Amazon

Существует как минимум три способа многофакторной аутентификации при помощи сотового телефона: звонок, SMS и соответствующее мобильное приложение на стороне пользователя.

Звонками активно пользуется система первичной регистрации на облачных сервисах Amazon – мелодичный голос на том конце провода предлагает перевести трубку в тоновый набор и ввести на мобильном цифры, которые вы видите на экране компьютера. Система, стоит отметить, работает не без сбоев – одно время в Россию звонки просто не проходили по нескольку дней. На чьей стороне была проблема – сервиса или оператора сотовой связи – не суть важно.

SMS в качестве ключа

Аутентификация при помощи SMS – вот, пожалуй, самый распространенный на сегодняшний день способ задействования второго фактора. Он используется достаточно давно Google, Facebook, VK и рядом других сайтов. Недавно к числу ресурсов, использующих SMS для идентификации пользователя, присоединился и Mail.ru. Закрытое тестирование этой функции шло с декабря 2014 года по январь 2015-го. На сегодняшний день включение второго фактора является добровольным.

«Интернет-сервисы могут до бесконечности повышать уровень безопасности, однако слабым звеном часто оказывается сохранность пароля у самого пользователя. Если же включен второй фактор защиты, то для входа в учетную запись злоумышленнику придется завладеть не только паролем, но и мобильным телефоном жертвы, что гораздо сложнее. Таким образом, двухфакторная аутентификация – один из самых надежных методов защиты аккаунта на сегодняшний день, – прокоментировала внедрение нового способа защиты вице-президент Mail.Ru Group Анна Артамонова. – Реализовать эту функцию нас просили в основном продвинутые пользователи, но я очень надеюсь, что она станет популярна и у более широкой аудитории».

Процедура идентификации при помощи SMS достаточно тривиальна, и подробно описывать ее нет никакого смысла: на номер сотового, указанный в аккаунте пользователя, приходит сообщение с кодом доступа, который и следует ввести в соответствующее поле при входе на ресурс. В случае с упомянутым почтовым сервисом определенной критики заслуживает лишь добровольность подключения двухфакторной аутентификации.

QR-код открывает двери

«Яндекс» стал продвигать идею двухфакторной аутентификации достаточно давно. По словам представителей компании, первые наработки в этой сфере датируются 2012 годом, а неофициальное обсуждение началось еще раньше. Но процесс, очевидно, затянулся – свое видение двухфакторной аутентификации крупнейший российский поисковик представил буквально на днях.

В «Яндексе» решили пойти более оригинальным путем. Пароль вообще не вводится на странице доступа к сервису. Вместо этого используется отдельное мобильное приложение, которое сначала требует пользовательский pin-код, а потом сканирует QR-код на странице браузера. Если все проходит успешно, то веб-страница автоматически перезагружается, и пользователь получает доступ к собственному аккаунту.

Система, используемая «Яндексом», более совершенна, нежели SMS-аутентификация, но, как нетрудно догадаться, обладает рядом недостатков. Самый существенный из них – необходимость наличия на стороне пользователя не просто мобильного телефона, а смартфона, на который можно установить соответствующее приложение. Соответственно, владельцы более простых трубок оказываются не у дел. Возможно, в будущем компания придумает какой-нибудь вариант и для этой части пользователей. Но на сегодняшний день двухфакторная аутентификация в исполнении «Яндекса» представляется несколько экзотическим вариантом.

ТЕКСТ

оцените материал

    Поделиться

    Поделиться

    Увидели опечатку?
    Выделите фрагмент и нажмите Ctrl+Enter
    10 фев 2015 в 20:11

    Придумали же Глонасс, вместо GPS Придумайте и русский инет и браузер, читать невозможно про аутентификацию, pin и qr коды, усби ключи и прочий набор букв.

    Кунин
    9 фев 2015 в 14:05

    Ну вот в этот раз читать интересно.