«Принцип работы 2FA заключается в необходимости предоставить два типа доказательств (фактора) вашей личности из трёх возможных. В свою очередь, злоумышленнику нужно скомпрометировать два независимых канала. Украсть пароль через фишинг — полдела. Далее нужно либо физически завладеть вашим телефоном, либо перехватить смс, либо взломать seed-фразу генератора кодов. Это резко повышает «стоимость» взлома и отсеивает большинство автоматических атак», — поделился специалист.
Эксперт посоветовал в первую очередь защищать критически важные аккаунты — на «Госуслугах», в банке, ФНС и основном почтовом ящике.
«Тут важно соблюдать баланс между безопасностью и удобством. Ставить аппаратный ключ на аккаунт в развлекательном сервисе, который вы используете раз в год, может быть избыточным», — дополнил он.
При этом собеседник RT перечислил случаи, когда защита может не сработать. К ним относятся современные фишинговые атаки, перехватывающие код в реальном времени, социальная инженерия для переноса номера телефона, заражение устройства шпионским ПО и уязвимости в процессе восстановления аккаунта.
«Если в качестве второго фактора используется смс, злоумышленник может убедить оператора перенести ваш номер на свою сим-карту, перевыпустить её или банально украсть ваш мобильник. Все коды пойдут к нему», — отметил Бедеров.
В качестве альтернатив он назвал стандарты FIDO2 и WebAuthn, использующие криптографические ключи, биометрическую идентификацию и адаптивную аутентификацию, анализирующую поведение пользователя.
Ранее россиянам объяснили, с чем связаны атаки мошенников с разных номеров подряд.