19.11.2020 Сложный пароль или простойВ современном мире у каждого человека есть несколько аккаунтов для входа в раличные сети и приложения. Например, едва ли не у каждого есть данные для входа в интернет-банкинг, аккаунт в социальных сетях, аккаунт для сервиса такси и другие.
Однако вместе с удобством приходит и проблема безопасности. Злоумышленники могут заполучить данные для входа в аккаунт разными способами, от банального подбора до покупки слитой базы данных. Получив доступ к пользовательским аккаунтам, они смогут воспользоваться платёжными картами, если они привязаны, украсть личные данные или даже украсть аккаунты жертвы для дальнейшего использования.
Как предотвратить подобные инциденты? Основные две техники борьбы со взломами аккаунтов — это сложные пароли и двухфакторная аутентификация. Какой же из них более эффективный?
Действительно сложный пароль должен: включать в себя строчные, заглавные буквы, а также цифры и специальные символы; быть длинным; быть не связанным с чем-то, что может его выдать, например, не быть датой рождения и фамилией. Иными словами, он должен выглядеть примерно так: GapTrTYU4vT%4. Однако такие пароли чрезвычайно сложно запомнить. Поэтому придётся либо пользоваться менеджером паролей, либо создавать сложные, но запоминающиеся пароли-фразы.
Однако и тут возникает проблема взлома. Менеджер паролей — это тоже сервис, и если получить доступ к менеджеру паролей жертвы, то можно получить доступ вообще ко всему, где жертва хоть раз вводила свои данные.
Остаётся двухфакторная аутентификация. Она решает многие проблемы. Простой пароль, его кража или брутфорс-атака и прочие инциденты перестают быть проблемой, потому что даже если кто-то заполучил ваш пароль, это все равно не позволит ему войти в аккаунт.
Простые системы паролей требуют лишь одно подтверждение того, что вы — владелец аккаунта. Это, собственно, и есть тот самый пароль, который можно украсть, взломать или просто угадать.
Однако системы с двухфакторной аутентификацией требуют уже два подтверждения. Вообще к элементам любой аутентификации, будь она одно- или мультифакторная, относятся:
то, что вы знаете. Это пароль или пин-код, который является базовой мерой безопасности; то, кем вы являетесь. К этому элементу относятся биометрические данные: отпечаток пальца, скан сетчатки глаза, запись голоса или FaceID; то, что у вас есть. Здесь речь идёт об авторизованном устройстве, которое генерирует или принимает коды подтверждения. Им может быть отдельное устройство с узким функционалом или обычный смартфон. Чаще всего в двухфакторной аутентификации используется комбинация «пароль/PIN + код подтверждения». Она проста в использовании и благодаря широкому распространению смартфонов недорога в использовании. Максимум, что будет необходимо сделать — это скачать приложение-аутентификатор и настроить генерацию или приём кодов подтверждения. И даже приложение не всегда необходимо, потому что принять код подтверждения можно с помощью, например, SMS-сообщения.
Использовать доступные решения для защиты данных — это очень правильное решение. Особенно когда эти решения не требуют особых знаний в области информационной безопасности или затрат, полагают эксперты компании Falcongaze.
Некоторые сервисы делают двухфакторную верификацию ещё удобнее, добавляя возможность подтверждения входа через push-уведомление на другом авторизованном устройстве. |