Почему двухфакторная аутентификация не всегда надежна?

Двухфакторная аутентификация является дополнительным методом безопасности, используемым для входа на сайт. В итоге, чтобы войти на сайт, необходимо подтверждение через физическое устройство (например, с помощью SMS или приложения на смартфоне). Многие считают такую защиту безупречной. В принципе, это так. Но иногда и эта стратегия дает сбой. Давайте разберемся почему.

Что такое двухфакторная аутентификация?

Обычно для входа на сайт требуется ввести логин и пароль. Отметим, что этого более чем достаточно, если в качестве логина и пароля используются сложные комбинации. Однако все же риски существуют. Если эти данные стали известны посторонним лицам, то, безусловно, могут быть использованы для нарушения безопасности сайта в целом. Двухфакторная авторизация означает дополнительный уровень безопасности, добавляющий еще один шаг для входа в систему. Помимо ввода логина и пароля, необходимо будет также подтвердить свою личность с помощью еще одного дополнительного шага. Для этого предлагается несколько способов:

приложение или SMS на мобильном устройстве;
токен безопасности (длинная строка из случайных цифр и букв);
зашифрованный USB-накопитель;
мини-устройство для аутентификации (key fob);
физическая карта, которая считывается кардридером.

Почему двухфакторная аутентификация не всегда надежна?

В большинстве случаев двухфакторная аутентификация для WordPress-сайтов — вполне безопасна и рекомендуется для использования для всех аккаунтов сайта. Однако использование SMS не всегда надежно. Рассмотрим небольшой пример. Пусть на Вашем сайте подключена двухфакторная аутентификация, использующая для подтверждения SMS. По каким-то причинам Ваша SIM-карта заблокирована оператором и нужен ее перевыпуск. Этим могут воспользоваться хакеры, завладевшие Вашим e-mail-ящиком. Многие мобильные операторы используют для подтверждения именно электронную почту. Подтвердив полученное письмо от оператора, хакер вполне может перевыдать SIM-карту раньше Вас.

В итоге получается, что вследствие человеческой ошибки может быть нарушена безопасность всего сайта. Поэтому существует много ситуаций, когда мультифакторная аутентификация не гарантирует полную защиту. А именно:

  • SIM-карта заблокирована;
  • телефон, компьютера или другие устройства были украдены;
  • были использованы простые логин и пароль;
  • Вы стали жертвой фишинговых атак по e-mail или по телефону и др.

Подытоживая все вышесказанное, важно отметить, что необходимо обеспечить как можно больше шагов, чтобы гарантировать свою защиту.

Как обеспечить безопасность?

К счастью, существует несколько способов защиты, позволяющих защитить свой сайт с помощью двухфакторной аутентификации:

  • используйте надежные и различные пароли для каждого из своих WordPress-сайтов;
  • включите двухфакторную аутентификацию для большинства (или всех) пользователей своего сайта;
  • не используйте двухфакторную аутентификацию по SMS;
  • используйте безопасную блокировку на мобильных устройствах и на своем компьютере;
  • не сохраняйте пароли для сайтов в веб-браузере;
  • используйте безопасный сервис хранения паролей;
  • храните физические токены безопасности в нескольких безопасных местах.

Кроме того, не следует публиковать личную информацию (телефон, e-mail и пр.) в соц. сетях, даже если Вам кажется, что она вполне безопасна. Также рекомендуется держать компьютер и мобильные устройства в безопасном месте и следить за ними, особенно когда находитесь в публичном месте. Если Ваш компьютер с сохраненными данными в веб-браузере будет украден, то пароли могут быть скомпрометированы. Потому имеет смысл удалить все сохраненные в настоящее время пароли, перейти к двухфакторной аутентификации для всех сайтов, либо использовать надежный сервис хранения паролей.

Хотя многие из этих шагов могут показаться вполне очевидными, пользователи, порой даже и опытные, зачастую могут забыть об этом или не предусмотреть какую-либо возможность взлома. Ну и, конечно же, недооценивать взломщиков тоже не нужно, ведь они постоянно находятся в поисках новых способов завладеть чужими данными.

Курс WordPress-разработчик
Если Вам понравилась статья — поделитесь с друзьями
Михаил Петров