Почему двухфакторная аутентификация не всегда надежна?
Опубликовано: 02.09.2018
Двухфакторная аутентификация является дополнительным методом безопасности, используемым для входа на сайт. В итоге, чтобы войти на сайт, необходимо подтверждение через физическое устройство (например, с помощью SMS или приложения на смартфоне). Многие считают такую защиту безупречной. В принципе, это так. Но иногда и эта стратегия дает сбой. Давайте разберемся почему.
Что такое двухфакторная аутентификация?
Обычно для входа на сайт требуется ввести логин и пароль. Отметим, что этого более чем достаточно, если в качестве логина и пароля используются сложные комбинации. Однако все же риски существуют. Если эти данные стали известны посторонним лицам, то, безусловно, могут быть использованы для нарушения безопасности сайта в целом. Двухфакторная авторизация означает дополнительный уровень безопасности, добавляющий еще один шаг для входа в систему. Помимо ввода логина и пароля, необходимо будет также подтвердить свою личность с помощью еще одного дополнительного шага. Для этого предлагается несколько способов:
Poloniex - как давать займ - кредит на бирже - LENDING [МИР ИНТЕРНЕТ БИЗНЕСА]
приложение или SMS на мобильном устройстве;
токен безопасности (длинная строка из случайных цифр и букв); зашифрованный USB -накопитель; мини-устройство для аутентификации ( key fob ); физическая карта, которая считывается кардридером.Почему двухфакторная аутентификация не всегда надежна?
В большинстве случаев двухфакторная аутентификация для WordPress-сайтов — вполне безопасна и рекомендуется для использования для всех аккаунтов сайта. Однако использование SMS не всегда надежно. Рассмотрим небольшой пример. Пусть на Вашем сайте подключена двухфакторная аутентификация, использующая для подтверждения SMS . По каким-то причинам Ваша SIM -карта заблокирована оператором и нужен ее перевыпуск. Этим могут воспользоваться хакеры, завладевшие Вашим e-mail -ящиком. Многие мобильные операторы используют для подтверждения именно электронную почту. Подтвердив полученное письмо от оператора, хакер вполне может перевыдать SIM -карту раньше Вас.
В итоге получается, что вследствие человеческой ошибки может быть нарушена безопасность всего сайта. Поэтому существует много ситуаций, когда мультифакторная аутентификация не гарантирует полную защиту. А именно:
SIM -карта заблокирована; телефон, компьютера или другие устройства были украдены; были использованы простые логин и пароль; Вы стали жертвой фишинговых атак по e-mail или по телефону и др.Подытоживая все вышесказанное, важно отметить, что необходимо обеспечить как можно больше шагов, чтобы гарантировать свою защиту.
Как обеспечить безопасность?
К счастью, существует несколько способов защиты, позволяющих защитить свой сайт с помощью двухфакторной аутентификации:
используйте надежные и различные пароли для каждого из своих WordPress-сайтов; включите двухфакторную аутентификацию для большинства (или всех) пользователей своего сайта; не используйте двухфакторную аутентификацию по SMS ; используйте безопасную блокировку на мобильных устройствах и на своем компьютере; не сохраняйте пароли для сайтов в веб-браузере; используйте безопасный сервис хранения паролей; храните физические токены безопасности в нескольких безопасных местах.Кроме того, не следует публиковать личную информацию (телефон, e-mail и пр.) в соц. сетях, даже если Вам кажется, что она вполне безопасна. Также рекомендуется держать компьютер и мобильные устройства в безопасном месте и следить за ними, особенно когда находитесь в публичном месте. Если Ваш компьютер с сохраненными данными в веб-браузере будет украден, то пароли могут быть скомпрометированы. Потому имеет смысл удалить все сохраненные в настоящее время пароли, перейти к двухфакторной аутентификации для всех сайтов, либо использовать надежный сервис хранения паролей.
Хотя многие из этих шагов могут показаться вполне очевидными, пользователи, порой даже и опытные, зачастую могут забыть об этом или не предусмотреть какую-либо возможность взлома. Ну и, конечно же, недооценивать взломщиков тоже не нужно, ведь они постоянно находятся в поисках новых способов завладеть чужими данными.
Если Вам понравилась статья — поделитесь с друзьями