Ни один из 85 тысяч сотрудников Google не пострадал от фишинга после введения обязательной системы двухфакторной аутентификации с помощью USB токенов. В чем особенности U2F, и где еще используется эта технология – в нашем материале.
Новый подход
В начале 2017 года компания Google ввела в качестве обязательного стандарта для сотрудников аутентификацию U2F с использованием USB токенов вместо паролей и одноразовых кодов.
Классический способ двухфакторной аутентификации 2FA, используемый в системах вроде Google Authenticator, предполагает, что для входа пользователю кроме стандартного пароля нужен одноразовый код, полученный через SMS, голосовое сообщение или мобильное приложение. Код при этом меняется через короткие промежутки времени. Однако инфраструктура мобильной связи бывает уязвима и позволяет злоумышленникам перехватить этот код. Так взломали аккаунты Telegram российских оппозиционеров в 2016 году. Передавать код через мобильное приложение безопаснее, но остается возможность перехватить его на этапе генерации или через подставной сайт.
Аппаратные токены U2F работают иначе. Пользователь подключает флэшку и вводит пароль, после этого токен проверяет данные сайта, чтобы удостовериться в его надежности, и самостоятельно вводит генерируемый код.
После того, как устройство зарегистрировано для определенного веб-сайта, который поддерживает ключи безопасности, вводить пароль больше не нужно. Он понадобится, если пользователь попытается получить доступ к той же учетной записи с другого устройства.
Безопасность превыше всего
Пресс-секретарь Google сказал, что доступ к учетным записям сотрудников теперь основан на аппаратных токенах: «У нас не было никаких подтвержденных хищений аккаунтов с момента внедрения ключей безопасности в Google».
В будущем многие сайты начнут использовать API-аутентификацию – WebAuthn стандарт, поставленный консорциумом World Wide Web в сотрудничестве с Альянсом FIDO. Преимущество WebAuthn заключается в том, что он избавляет пользователей от необходимости постоянно вводить пароли. Методы кражи вроде фишинга и «атаки посредника» больше не сработают.
U2F уже поддерживается браузерами Chrome, Mozilla Firefox и Opera. Microsoft заявляет, что планирует выпустить обновления своего флагманского браузера для поддержки U2F в конце этого года. Apple пока не раскрывает, собирается ли встраивать новый стандарт в Safari.
Наш ответ Чемберлену
В то время как Google, Microsoft и другие ИТ-гиганты постоянно работают над все более надежными методами аутентификации, в России продолжают активно внедрять не менее совершенную технологию на базе биометрических данных. Однако, в отличие от паролей и USB токенов, доступ к биометрическим данным пользователей будет не только у государственных структур и банков, но даже у коллекторских фирм. И, рискну предположить, что коллекторы далеко не последние в очереди за этой информацией.