Хаос двухфакторной аутентификации

Сейчас сложно найти сервис, который бы не предлагал двухфакторную аутентификацию. В разнообразии методов защиты своего аккаунта сложно разобраться не только пользователям, но и разработчикам. Существует ли единственное решение, которое защитит всех? Приводим для вас перевод статьи The Verge.

Долгие годы двухфакторная аутентификация являлась самым важным советом в персональной кибербезопасности, который компании на удивление мало использовали. Движение начало формироваться в 2012, после того, как журналист Мэт Хонан увидел, как хакеры скомпрометировали его аккаунты на Twitter, Amazon и iCloud. В то время несколько компаний предлагали простые формы двухфакторной аутентификации, предоставляя ограниченные возможности пользователям, обеспокоенным взломом в стиле Хонана. Результатом стала масштабная кампания, которая требовала от компаний принять будущее и представлять двухфакторную аутентификацию как простой и эффективный способ защиты аккаунтов.

Пять лет спустя совет начинает терять свою эффективность. Почти все крупные веб-сервисы предлагают какую-либо форму двухфакторной аутентификации, но методы значительно различаются в том, как они защищают аккаунты. Более слабые формы не остановят хакеров, которые пройдут эту защиту при помощи перехвата кодов или системы восстановления. Кажется, что двухфакторная аутентификация — это аспирин, единое решение на все случаи, которое просто применить — но реальность намного сложнее. В общем система по-прежнему предлагает важную защиту, но надо быть честным в отношении ее эффективности. В 2017 простой двухфакторной аутентификации уже недостаточно.

Центром кампании за двухфакторную аутентификацию является сайт twofactorauth.org под руководством Карла Розенгрена. Сервис может сказать вам, какие сайты предлагают больше, чем просто вход через пароль, а также позволяет вам легко написать твит о компаниях, не предоставляющих такой возможности. Сегодня сайт отправляет сотни тысяч стыдящих твитов ежедневно.

Кампания сработала: почти каждая компания теперь предлагает свою форму двухфакторной аутентификации. Netflix является крупнейшим сторонников старых порядков. Поздно пришедшие последователи, вроде Amazon и BitBucket, сдались перед требованиями, и каждый продукт на сайте, связанный с VPN или криптовалютами, предлагает двухфакторную аутентификацию. Существует несколько проблемных индустрий, например, авиалинии и банки, но многие сервисы осознали сообщение — пользователи хотят двухфакторную аутентификацию.

Но победа оказалась странной. Сейчас существуют десятки различных вариантов двухфакторной аутентификации, выходящих за возможности простого перечисления. Некоторые присылают коды через СМС, другие используют email или приложения, такие как Duo и Google Auth. За 18 долларов вы можете купить специальный USB-носитель для реализации функций вашего второго фактора — его поддерживают многие крупные сервисы. Это одна из самых безопасных возможностей, до тех пор, пока вы не потеряете носитель. Помимо оборудования, сервисы могут хранить длинные строки кода, которые обеспечивают почти невидимый второй фактор, при условии, что его никто не перехватит. Одни из этих методов сложнее взломать, другие проще, но даже продвинутые пользователи не могут сказать, какой из них лучше. Этим пытались заняться в TwoFactorAuth, но вариантов стало слишком много.

Нам сложно оценить сотни сервисов. Я не могу представить, как сложно это будет для обычного пользователя, — Карл Розенгрен.

Надежды на безопасность начали быстро исчезать. В 2014 хакеры нашли способ обхода системы безопасности Bitcoin-сервисов, перехватывая токены или используя восстановление аккаунта. Атаки продолжают быть большой проблемой для владельцев биткоинов: в прошлом месяце предприниматель Коди Браун потерял 8 тысяч долларов при взломе службы поддержки Verizon. В другом случае, рассказанном основателем Symbolic Software Надимом Кобеисси, зловредное устройство позволило атакующим пробраться через двухфакторную аутентификацию даже после перезагрузки системы.

В большинстве случаев проблема не в двухфакторной аутентификации, а во всем, что вокруг неё. Если вы можете взломать что-нибудь рядом с этим двухфакторным логином — будь то процесс восстановления учетной записи, доверенные устройства или базовая учетная запись оператора, — тогда вы можете взломать все остальное.

Самая уязвимая точка двухфакторной аутентификации — мобильные операторы. Если вы можете взломать аккаунт оператора, который поддерживает номер телефона человека, вы можете перехватить любой звонок или текст, отправленный ему. Для мобильных приложений, вроде Signal, полностью привязанных к номеру телефона, этого может быть достаточно, чтобы похитить целый аккаунт.

В то же время очень сложно отказаться от некоторых типов двухфакторной аутентификации, даже уже показавших свою неэффективность. Национальный институт стандартов и технологий отказался от поддержки аутентификации через СМС в прошлом августе, указав на риск перехвата и спуфинга, но технологические компании почти не отреагировали на это. Сервисы полагаются на СМС, чтобы прочнее привязать аккаунты к телефонным номерам. Это менее безопасно, зато проще.

Спешное внедрение двухфакторной аутентификации привело некоторые компании к проблемам в удобстве использования, в дополнение к проблемам безопасности. Марк Бородитски, создающий системы двухфакторной аутентификации в Twilio, указывает на систему Apple iCloud, которая попала под огонь после хищения фото обнаженных знаменитостей в 2014. Согласно недавним правилам Apple, потерять ключ восстановления и забыть пароль достаточно для блокировки аккаунта AppleID. Усложняющиеся правила подталкивают пользователей возвращаться к обычному входу в систему, провоцируя больше взломов.

Это не значит, что двухфакторная аутентификация бессмысленна, но она уже не кажется панацеей. Умелые хакеры всегда найдут обход: аккаунт оператора, предварительно зарегистрированное устройство или отдел обслуживания клиентов. Эти слабые точки и являются реальным показателем защищенности аккаунта, но их почти невозможно заметить снаружи. В результате пользователю становится сложно найти даже безопасный мессенджер, потому что он не знает, на что смотреть.

Поскольку индустрия выходит за рамки двух факторов, безопасность становится все сложнее. Новый акцент делается на обнаружении угроз, использовании десятков внешних сигналов, таких как отпечаток пальца и поведение на странице, чтобы определить, требует ли данный вход дополнительного контроля. Достаточно подозрительный  ввод логина может вызвать заморозку учетной записи или потребовать телефонного звонка в службу поддержки клиентов, прежде чем пользователь сможет продолжить.

Результат подталкивает пользователей к старому статус-кво, который существовал до iPhone или даже до интернета: администраторы компаний снова отказываются от регистрации пользователей, а безопасность считается чем-то, что нужно поручить экспертам в лаборатории. Это необязательно плохие новости: обнаружение угроз делает учетные записи более безопасными. Но, в отличие от двухфакторной аутентификации, пользователи не могут сказать, работает ли система и есть ли более эффективный вариант.

Этот сдвиг оставляет пользователей в трудном положении. «Сделайте двухфакторную аутентификацию» — это все еще хороший совет, но этого недостаточно. Хуже того, неясно, как заполнить возникший пробел. Что вы скажете человеку, кто беспокоится о том, что увидит содержимое своего почтового ящика на WikiLeaks? Нет простого решения для такой угрозы, нет одного шага, который защитит всех. Удивительно, что в течение нескольких лет казалось, что он существует.