Всем привет! На связи Александр Дубровин и Никита Андрианов, мы занимаемся развитием продуктов для верификации данных пользователей в компании edna. В этой статье разберем актуальность второго фактора при аутентификации в личном кабинете, где и как важно его внедрить, чем edna может в этом помочь и как мы уже сделали это для собственных продуктов.
В последние годы всё больше компаний переводят свои бизнес-процессы в цифровой формат, ввиду чего вопрос информационной безопасности становится критически важным. В системах хранения данных появляется больше уязвимостей, так как:
- компании используют множество цифровых решений, IT-архитектуры становятся более сложными, комплексными и разветвленными;
- пользователи подключаются к аккаунтам с разных типов устройств. Один пользователь параллельно использует мобильные, десктопные и веб-версии сервисов;
- удаленная работа – часть нашей реальности, пользователи подключаются из разных локаций.
Немного статистики
В России в 2022 году было украдено около 150 тысяч логинов и паролей (как корпоративных, так и личных, в том числе – крупных компаний). Проникновение в инфраструктуру 93 % российских компаний не потребовало от злоумышленников высокой квалификации и больших усилий. Результат взлома – публикация личных данных пользователей в открытом доступе в сети Интернет. Такие инциденты чреваты для бизнеса огромными репутационными, юридическими и финансовыми рисками. Исследования показывают, что 65 % паролей российских пользователей можно взломать путем перебора за одну минуту. Очевидно, что сегодня всем компаниям необходим дополнительный уровень безопасности.
Двухфакторная аутентификация – эффективное решение для защиты доступа. Она представляет собой добавление дополнительного фактора проверки права входа, помимо базового доступа по логину и паролю. Факторы могут быть разными: SMS-код, ссылка по e-mail, голосовые сообщения, токены, аутентифицирующие приложения, биометрический вход, беспарольный доступ на основе SIM-данных, физическая flash-карта и другие. Главный принцип действия – разносторонняя проверка права доступа к аккаунту.
Мнения и факты
Достаточно часто можно встретить мнение, что второй фактор не панацея. Например, некоторые эксперты отмечают, что SMS не шифруются и их можно перехватить (имеется в виду теоретическая уязвимость протокола ОКС-7). Но на практике это сложно осуществить, потому что телекоммуникационные сети в России относятся к критической инфраструктуре и защищены всеми соответствующими протоколами безопасности. Существует только один реальный способ перехвата SMS – создание дубликата SIM-карты с использованием украденных персональных данных абонента и поддельной доверенности для обращения к оператору. По этой схеме произошло крупное хищение со счетов экс-директора Twitter Джека Дорси: выпустили дубликат его SIM-карты и взломали аккаунт.
Однако подобные ситуации – это точечные кейсы, спланированные атаки на конкретных пользователей. Конечно, такое уязвимое место есть, и подобные сценарии рекомендуется предусмотреть, но это все-таки следующий этап и программа для продвинутых. Более того, на рынке, в частности у edna, есть инструменты для проверки на предмет дубликата SIM-карты, которыми активно пользуются банки и финансовые организации.
На сегодняшний день использование второго фактора показывает реальные результаты. Конечно, двухфакторная аутентификация – это лишь одна из составляющих ИБ компаний, но именно она является надежным барьером, так как сильно усложняет цепочку атаки. Теперь хакер должен получить не только пароль, но и специальный код или ссылку.
В мире все чаще используют второй фактор. Это позволяет клиентам получить удобный, но при этом безопасный доступ к личным кабинетам и приложениям компаний.
Подключение второго фактора
В edna мы выделяем два подхода к подключению второго фактора.
Подход 1: для компаний, которые планируют подключать новые решения для коммуникации с клиентами в цифровых каналах и находятся на этапе выбора вендора. Необходимо собрать решение под ключ и сразу внедрить механизм защиты данных.
edna – ведущий поставщик решений и сервисов в области цифровых коммуникаций. В портфеле компании:
· каналы – WhatsApp, Telegram, Viber, VK, Apple Business Chat, Push, SMS;
· продукты для эффективного диалога с клиентом – уведомления для клиентов, рассылки и аудитории, сценарии;
· продукты для контактных центров – чат-центр, чат-боты;
· продукты для верификации данных пользователей: IMSI, Mobile-ID, одноразовые пароли.
Компания edna всегда внимательно и профессионально относилась к процессу защиты данных. Используются различные механизмы верификации доступа как сотрудников к рабочим серверам, так и клиентов к личным кабинетам. Среди проверенных способов Whitelabeling – учет и ограничение IP-адресов, имеющих допуск к домену.
Подход 2: для компаний, у которых уже есть сложная ИТ-инфраструктура, требующая некоторых доработок. Нужно усилить решение без существенных затрат на внедрение нового ПО.
Компания edna имеет открытый API и возможность подключения цифровых каналов для второго фактора защиты, а также готовые решения для верификации данных пользователей: IMSI, Mobile-ID и рассылку одноразовых паролей в разных каналах.
Окно аутентификации пользователя и вход в личный кабинет в продуктах edna.
На что обратить внимание
При внедрении второго фактора лучше доверять проверенным специалистам. Надежный поставщик решения всегда учтет следующие аспекты.
- Комплексный подход при подключении новых сервисов. Механизмы должны органически встраиваться в ИТ-систему компании. Ситуативное нагромождение ИТ-систем ведет к частым сбоям, тормозит бизнес-процессы.
- Разработка четкой документации и регулярные обновления политики прав и сценариев клиентского пути. В ситуации поломок это поможет оперативно разобраться.
- Стандартизация и автоматизация процессов помогут минимизировать влияние человеческого фактора.
- Быстрый и безопасный сценарий действий при блокировке аккаунта, который не будет мешать рабочим процессам. При этом необходима защита от механизмов обхода блокировки.
Кейс с клиентом из банковской сферы
Одна из компаний обратилась к нам с запросом на добавление второго фактора защиты доступа. К сервисам был оперативно подключен второй шаг аутентификации – вход по одноразовому паролю. В данном проекте был использован метод проверки SMS URL. Пользователю направляется уникальная, ограниченная временем ссылка, прочтение и переход по которой требуют разблокировки телефона. Теперь доступ в личный кабинет дополнительно защищен как от взлома пароля, так и на случай кражи мобильного устройства.
Пройдите небольшой тест, чтобы проверить уровень защиты данных в вашей компании
1. Делит ли компания учетные записи пользователей на группы по уровню допуска?
2. Происходит ли своевременная блокировка неактивных аккаунтов?
3. Отслеживаются ли дубли аккаунтов?
4. Все ли личные кабинеты компании имеют второй фактор аутентификации?
5. У вас российский поставщик решения?
6. Уверены ли вы в уровне защиты доступов и репутации вашего поставщика?
7. Происходит ли плановое, планомерное внедрение двухфакторного входа во все сервисы и аккаунты?
8. Делаете ли вы ограничения доступов по разрешенным IP?
9. Отслеживается ли IP-адрес, MAC или другие характеристики в качестве признака доверенного устройства?
За каждый ответ ДА – 1 балл, НЕТ – 0.
Результаты
8–9 баллов – так держать! Данные в вашей компании хорошо защищены.
5–7 баллов – всё не так уж плохо, но может быть еще надежнее.
Меньше 5 баллов – тревога! Рекомендуем прямо сегодня позаботиться о внедрении решений для защиты.
Двухфакторная аутентификация сегодня обязательна для всех компаний. На вопрос, где ее важно использовать, мы ответим – везде, во всех бизнес-процессах и для всех сервисов. Чтобы добавить второй фактор в свой продукт, вам будет достаточно подключиться к нашему ПО и настроить типовые сценарии в личном кабинете: указание телефонного номера и опцию включения второго фактора. С этого самого момента ваше решение будет обладать усиленной защитой, а все технические нюансы по доставке SMS и получению подтверждения мы возьмем на себя.