Меню
Главная
Лента
Закладки
Скачайте приложение
App Store
установить
Play Market
установить
RuStore
установить
Комментарии 0
...комментариев пока нет
Назад
Secretmag.ru - Секрет Фирмы
6 месяцев назад

Эксперты назвали самые ненадёжные способы двухфакторной аутентификации

2. Приложения-аутентификаторы (Google Authenticator, Authy)

Они создают одноразовые коды, которые обновляются каждые 30 секунд. Главное преимущество — независимость от интернета и СМС.

«Приложения-аутентификаторы более безопасны, чем СМС-коды, и удобны в использовании. Даже если злоумышленники перехватят несколько паролей, предугадать следующий пароль будет невозможно», — объясняет Дмитрий Хомутов, директор Ideco.

Некоторые пользователи предпочитают обходиться без приложений и просто составляют списки заранее сгенерированных или придуманных кодов, которые меняют по мере необходимости. Но, как указывает ИТ-эксперт Анатолий Песковский, в этом случае основной риск заключается в возможности утечки такого списка.

3. Биометрия (отпечаток пальца, Face ID)

Это удобный, но не идеальный метод. Биометрию сложно подделать, данные по ней хранятся, как правило, локально или в зашифрованном виде. Но если данные всё же утекут, их нельзя будет изменить так же легко, как пароль.

«Биометрия уникальна и её достаточно сложно подделать, но в случае потери устройства данные могут быть применены злоумышленниками», — предупреждает Саркис Шмавонян.

4. Passkeys — будущее без паролей

Новый стандарт аутентификации позволяет входить в аккаунты с помощью биометрии, без логинов и паролей.

«Passkeys позволяют забыть не только о паролях, но и о логинах — вход выглядит так же, как разблокировка телефона по отпечатку пальца», — отмечает Филипп Щербанич.

Социальная инженерия: главная угроза любой аутентификации

Слабым местом любых самых навороченных технологических способов защиты аккаунта, увы, остаётся человеческий фактор. В большинстве случаев преступникам не приходится применять какие-то хакерские способы взлома и увода аккаунтов — пользователи сами своими руками отдают им свои логины и пароли, покупаясь на простейшие телефонные разводки, открывая фишинговые ссылки от якобы знакомых и скачивая сомнительные приложения.

Эксперты единогласно называют социальную инженерию самым опасным способом обхода двухфакторной аутентификации.

«Мошенники звонят и просят продиктовать код из СМС. Это происходит постоянно, и люди до сих пор ведутся», — предупреждает Дмитрий Соколов из «МойОфис».

Как это работает:

  • злоумышленники представляются сотрудниками банков или техподдержки;
  • используют психологические приемы, чтобы вызвать доверие;
  • просят сообщить коды подтверждения или установить вредоносное ПО.

«Добыть код злоумышленники могут… просто разговаривая с вами по телефону и затуманивая вам разум. У них для этого много манипулятивных техник», — объясняет Филипп Щербанич.

Кто в группе риска:

  • пожилые люди, менее знакомые с технологиями;
  • занятые сотрудники, невнимательные к деталям;
  • все пользователи в моменты стресса или спешки.

Как защититься

  • Никогда не сообщайте коды подтверждения посторонним!
  • Проверяйте личность звонящего через официальные каналы.
  • Включайте дополнительные проверки для финансовых операций.

«Но любой фактор 2FA можно попробовать обойти при использовании профессиональных методов социальной инженерии», — предупреждает Саркис Шмавонян.

Как выбрать метод аутентификации: рекомендации экспертов

Существующая уязвимость перед социальной инженерией и хитростью мошенников не должна приводить пользователей к мысли, что защищаться бесполезно. Этот фатализм может дорого обойтись, в то время как во многих случаях самых плохих исходов можно было бы избежать.

Даже если вы ведёте максимально скрытный образ интернет-жизни и уверены, что никто про вас не знает и никто не заинтересован в краже ваших данных и аккаунтов, лучше перестраховаться и использовать дополнительные способы аутентификации.

Для максимальной защиты:

  • используйте аппаратные токены для самых важных аккаунтов;
  • добавьте приложение-аутентификатор как дополнительный уровень безопасности.

«Для надёжной защиты в 2025 году это сложный пароль + OTP-приложение как минимум, а лучше аппаратный токен + пароль», — советует Алексей Чуриков из Infosecurity.

Для повседневного использования:

  • Биометрия + пароль — хороший баланс безопасности и удобства.
  • Push-уведомления лучше СМС, но требуют интернета.

«Биометрию лучше использовать, например, для разблокировки приложения-генератора OTP, а не в качестве основного метода входа», — уточняет Чуриков.

Чего избегать:

  • СМС и email-кодов для банковских и рабочих аккаунтов;
  • секретных вопросов, которые легко угадать.

«Способы, такие как СМС и секретные вопросы, стоит избегать, если есть возможность использовать более надёжные методы», — предупреждает Алексей Рубаков.

Важные нюансы:

  1. Не меняйте пароли без необходимости — главное, чтобы они не утекли.
  2. Проверяйте пароли на утечки через сервисы вроде Have I Been Pwned.
  3. Внимание и бдительность — лучшая защита от социальной инженерии.

«Если пароль не утёк в сеть, его можно не менять годами. Но вот проверять его на утечки стоит регулярно», — отмечает Чуриков.

«Важно понимать, что если люди не научатся защищаться от социальной инженерии, то она неизбежно победит любую криптографию», — добавляет Саркис Шмавонян.

Чем выше степень безопасности, тем менее удобным в использовании становится тот или иной способ, признаёт директор департамента мониторинга кибербезопасности Security Vision Николай Гончаров. Конечный выбор зависит от важности данных, которые нужно защитить, и от потенциального вреда от их утечки.

Назад