Эксперт рассказал об уязвимости двухфакторной аутентификации
Двухфакторная аутентификация снижает риски взлома аккаунтов, однако в некоторых случаях даже она бывает уязвима - например, когда пользователь использует один и тот же пароль для разных сервисов, рассказал ведущий эксперт по сетевым угрозам, web-разработчик компании «Код безопасности» Константин Горбунов.
«Настройка двухфакторной аутентификации значительно снижает риск взлома аккаунтов, однако в ряде случаев даже эта мера защиты может оказаться неэффективной. Первая и самая распространенная ошибка пользователей – использование одинаковых паролей для разных сервисов», - сказал Горбунов.
«Если двухфакторная аутентификация настроена через электронную почту или мессенджер, где для входа достаточно иметь логин и пароль, а для входа в них применяется тот же пароль, что и для основного аккаунта, то злоумышленники легко обойдут защиту», - добавил он.
Второй фактор защиты аккаунта может стать бесполезным в случаях кибератак с применением социальной инженерии и фишинга - злоумышленники в таком случае перехватывают коды или выманивают их психологическими манипуляциями.
Также риски заключаются в том, что на устройство может попасть вирус, который получает доступ к смс с кодами, уведомлениям из аутентификаторов или ведет запись экрана, или сам сервис может содержать уязвимость, которая помогает злоумышленникам перехватить токен сессии.
По словам эксперта, серьезную угрозу представляет утрата сим-карты, к которой привязаны важные аккаунты. Нашедший телефон мошенник получает возможность принимать смс с кодами подтверждения.
«Двухфакторная аутентификация действительно спасает от массовых атак, когда злоумышленники используют подбор паролей. Даже узнав секретную комбинацию, без одноразового кода войти в аккаунт они не смогут. Поэтому во всех значимых сервисах – от "Госуслуг" до банковских приложений и соцсетей – пренебрегать этой настройкой безопасности не стоит», – отметил Горбунов.
Эксперт рекомендует использовать менеджеры паролей для создания и хранения уникальных сложных паролей, а также сохранять резервные коды в защищенном хранилище. Кроме того, пользователям стоит проверять доменные имена сайтов, избегать переходы по сомнительным ссылкам, регулярно обновлять операционную систему и ПО, пишет РИА Новости.
