Используйте другой способ идентификации

Что такое двухфакторная аутентификация и почему ее важно использовать

Что такое двухфакторная аутентификация?

2FA, или двухфакторная аутентификация — это такой метод идентификации пользователя для входа в сервис, при котором нужно двумя разными способами подтвердить, что именно он — хозяин аккаунта. В некоторых сервисах, например, «ВКонтакте», она называется «подтверждение входа».

Эта функция серьезно повышает уровень безопасности. Злоумышленникам, которым по разным причинам могут пригодиться ваши данные, гораздо сложнее получить доступ одновременно к вашему паролю, а также телефону, электронной почте или другому методу аутентификации. Если использовать только пароль, то аккаунт остается уязвимым. Пароли легко утекают в Сеть, и далеко не всегда по вине пользователя.

Как можно подтвердить свою личность?

Большинство приложений и сервисов предлагают пользователю на выбор такие варианты двойной аутентификации:

• Ввести код, который пользователь получает в SMS или email, после того, как он ввел логин и пароль. Это самый распространенный и простой способ, но у него есть свои недостатки: например, SMS с паролем могут перехватить через уязвимость в протоколе [1], через который они передаются.
• Ввести код, который генерируется в отдельном приложении-аутентификаторе. Специалисты называют этот способ более надежным [2], к тому же он остается доступен пользователю, даже если у него нет мобильной связи. Чтобы им воспользоваться, нужно сначала установить одно из таких приложений (например, Google Authenticator, Twilio Authy, Duo Mobile, «Яндекс.Ключ»), а потом выбрать в меню нужного сервиса (например, Facebook) вариант двойной аутентификации через приложение. На экране появится QR-код, который нужно будет отсканировать через это приложение — и им сразу можно пользоваться.
• Многие сервисы (например, Facebook и «ВКонтакте») также генерируют для пользователя некоторое количество резервных кодов, которые он может использовать в случае, если у него не будет мобильной связи или он потеряет телефон. Для этого нужно заранее распечатать или сохранить эти коды в надежном месте.

Кроме того, есть еще несколько видов подтверждения входа, которые используют реже:

• Физический ключ безопасности: это устройство в виде USB-флэшки (для использования со смартфоном ее иногда оборудуют NFC и Bluetooth-интерфейсами) [2]. Такой ключ можно использовать для входа в те же соцсети, но столь серьезный подход, скорее, имеет смысл для хранения очень важных данных.
• Подтверждение личности с помощью биометрии. Этот способ пока не используется в широко распространенных сервисах типа соцсетей.

Гарантирует ли двухфакторная аутентификация абсолютную безопасность?

«В идеале второй фактор для входа должен приходить пользователю на другое устройство, не на то, с которого осуществляется вход в учетную запись, — говорит старший эксперт по кибербезопасности «Лаборатории Касперского» Денис Легезо. — Риск появляется при использовании одного и того же устройства и для входа в учетную запись, и для получения одноразового пароля. Если атакующие смогли заразить это устройство определенными видами троянцев, то считать одноразовый пароль защищенным больше не получится. Но по сравнению со сценарием, когда пользователь вовсе не включает двухфакторную аутентификацию, даже вариант с одним устройством выглядит несравненно лучше».

Что, если второе устройство потеряли?

Обычно сервисы всегда предусматривают некий альтернативный способ аутентификации. Но иногда пользователю в таких случаях приходится обратиться в службу поддержки.

Как и где стоит включить двухфакторную аутентификацию:

Как подключить двухфакторную аутентификацию во «ВКонтакте»

Зайдите в «Настройки» → Во вкладке «Безопасность» выберите «Подтверждение входа» → «Подключить». Дальше нужно будет ввести свой пароль, ввести последние цифры номера, с которого на ваш телефон поступит звонок, и функция подтверждения входа будет подключена. При желании можно выбрать аутентификацию через приложения для генерации кодов, а также распечатать или записать резервные коды.

Зайдите в «Настройки» (в приложении они находятся в меню в нижней части экрана) → выберите «Управление аккаунтом VK Connect» → «Безопасность и вход» → «Подтверждение входа».

Далее, как и в полной версии, выбираете способ подтверждения входа и восстановления доступа.

Как подключить двухфакторную аутентификацию в Facebook

В меню (рядом со значком уведомлений) нужно выбрать «Настройки и конфиденциальность» → «Быстрые настройки конфиденциальности». В разделе «Безопасность аккаунта» выбрать «Использовать двухфакторную аутентификацию». Далее нужно выбрать оптимальный способ идентификации, ввести код, полученный на мобильный телефон и — при желании — сохранить резервные коды.

В приложении двухфакторная аутентификация подключается таким же образом.

Как подключить двухфакторную аутентификацию в Google

Настроить подтверждение входа в почте и других сервисах Google можно на странице аккаунта. Процесс настройки здесь чуть сложнее, чем в других сервисах. В первую очередь нужно подтвердить, что это действительно ваш аккаунт, введя свой пароль и подтвердив вход (можно сделать это, просто нажав «да» на выбранном устройстве, либо выбрав другой способ).

Дальше необходимо выбрать способ, которым вы будете получать коды в дальнейшем: SMS, звонок, резервные коды.

Дальше нужно убедиться, что выбранный способ аутентификации работает.

Подтвердите, что вы действительно хотите подключить эту функцию.

Как подключить двухфакторную аутентификацию в «Яндексе»

Чтобы подключить двухфакторную аутентификацию в сервисах «Яндекса», обязательно нужно приложение «Яндекс.Ключ». Это же приложение можно использовать для входа в любые другие сервисы, поддерживающие подтверждение входа через приложения-аутентификаторы.

В первую очередь нужно зайти на эту страницу. Подтвердив номер телефона, нужно придумать PIN-код и скачать приложение «Яндекс.Ключ». Через приложение нужно будет сканировать QR-код. После этого в приложении появится первый из автоматически генерируемых кодов. Его нужно будет ввести на сайте, и новый способ аутентификации будет подключен.

Как подключить двухфакторную аутентификацию в Telegram

В Telegram двухэтапная аутентификация настраивается нестандартно: при входе с каждого нового устройства пользователю и так нужно вводить код, полученный в SMS. Поэтому второй этап аутентификации, который можно подключить — это как раз обычный пароль.

Нужно выбрать «Настройки» → «Конфиденциальность» → «Безопасность» → «Двухэтапная аутентификация».

Дальше вы придумываете новый пароль, подсказку к нему (при желании) и вводите свой адрес электронной почты, чтобы получить на нее код для подтверждения этой операции.

Как подключить двухфакторную аутентификацию в Instagram

Зайдите в меню, выберите «Настройки» → «Безопасность» → «Двухфакторная аутентификация». Затем нужно выбрать удобный способ и ввести полученный код.

Кроме того, двухэтапную аутентификацию можно подключить для Apple ID (здесь) и для сервисов Microsoft (здесь).

Источник

«Госуслуги» и другие методы идентификации для участников лотерей

Онлайн-продажи лотерейных билетов составляют 46%. Остальные продажи всё ещё приходятся на офлайн, но доля онлайн неуклонно растёт. И это всё больше отдаляет бизнес по продаже лотерейных билетов от традиционных киосков или стоек в супермаркетах, ставя перед нами те же вызовы, которые возникают, например, у платёжных систем или сервисов, работающих с персональными данными. Основных проблем две:

● удостовериться в том, что участник совершеннолетний;

● идентифицировать участника, выигравшего крупную сумму.

По закону, участвовать в лотерее может любой человек старше 18 лет.

В офлайне при покупке билета никто паспорт обычно не спрашивает, если нет сомнений в возрасте участника. Но при продаже онлайн нам важно убедиться, что, по крайней мере, пользователь в курсе существующего возрастного порога и подтверждает его прохождение.

Поэтому, прежде чем продать кому-то билет онлайн, мы просим пользователя подтвердить, что ему есть 18 и указать номер телефона, на который приходит смс с паролем. Это позволяет нам провести прединдентификацию и начать работать с пользователем.

А вот потребуется ли от пользователя дополнительная информация, зависит уже от суммы выигрыша.

Какой выигрыш считается крупным?

Всё, что начинается от 15000₽ и выше. Именно такой порог установлен законом «О лотереях». Само же понятие идентификации заключается в следующем определении Федерального закона от 07.08.2001 N 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»:

«идентификация — совокупность мероприятий по установлению определенных настоящим Федеральным законом сведений о клиентах, их представителях, выгодоприобретателях, бенефициарных владельцах и подтверждению достоверности этих сведений с использованием оригиналов документов и (или) надлежащим образом заверенных копий и (или) государственных и иных информационных систем»

Порог в пятнадцать тысяч хорошо знаком многим владельцам электронных кошельков вроде Qiwi или «Яндекс-денег», которые просят подтверждение личности своих пользователей для совершения операций на суммы свыше 15 тысяч.

То же самое правило распространяется и на лотерейные выигрыши: чтобы забрать выигрыш от 15000 рублей, победителю необходимо подтвердить свою личность. Когда речь идет о покупке офлайн, то всё просто: достаточно прийти за деньгами с паспортом.

Но в онлайн схема более сложная: нужно прийти в точку продаж «Столото», и кассир сверит ваши данные (номер паспорта, ФИО,) с теми, которые вы загрузили на сайте. Сведения о пройденной идентификации будут загружены в базу данных, и можно покупать билеты получать и переводить выигрыши из электронного кошелька на свою карту.

Даже просто описывая этот процесс, я понимаю, что для пользователя эта схема очень сложна: нужно куда-то специально ехать, что-то показывать. А если ближайшая точка продаж находится в четырех часах езды, все усложняется еще больше.

Будущее, конечно же, за методами удаленной идентификации. Сейчас мы отслеживаем актуальные изменения и очень рассчитываем, что к 2020 году у нас будут все способы удаленной упрощенной идентификации.

Один из самых эффективных способов удаленной идентификации на сегодняшний день – авторизация или напрямую через «Госуслуги», или через любой другой сервис цифрового правительства (mos.ru и иные), через телефон, email или СНИЛС.

По итогам 2018 года у Госуслуг 86 миллионов пользователей – больше половины всех жителей России. А СНИЛС есть вообще у каждого. Электронный паспорт – над этим проектом госструктуры пока еще работают, но, когда его введут, он будет содержать всю необходимую для идентификации участника лотерей информацию. Надо лишь убедиться, что будет разрешено использовать его на наших платформах.

Потенциально можно идентифицировать пользователя через обращение к оператору связи. Для лотерей это особенно актуально, потому что у нас очень многое завязано на номере мобильного телефона: и регистрация на сайте, и коммуникации об акциях, и сообщения о выигрыше. Но сейчас такой инструмент мало где работает, потому что рынок только приспосабливается к такому варианту. Так что ждем и надеемся.

В идентификации пользователей можно задействовать и банки. Например, пользователь может дать банку, который обслуживает его кредитную карту, право предоставлять необходимую часть его профиля для идентификации на сайте государственных лотерей. При этом всю персональную информацию передавать не нужно: если требуется подтверждение возраста участника, достаточно будет данных о том, исполнилось ли ему 18 лет.

Еще один вариант идентификации пользователя – биометрия: она все глубже распространяется во всех сферах. Biometrics Research Group провела опрос, который показал, что 62% компаний Северной Америки и Европы уже внедрили такой способ, а еще 24% придут к нему до 2020 года. В России биометрия вообще становится государственным трендом.

Если мы говорим о биометрической идентификации как о способе доступа к каким-то данным – по сетчатке глаза, отпечатку пальца или каким-то другим параметрам, – такой метод существенно упростит пользователю работу с интерфейсом. Ему не нужно будет регулярно обращаться к своим документам, помнить их – достаточно просто отсканировать тот параметр, который используется в идентификации. Минусы – это, конечно, то, что данные куда-то уходят, и предположить все возможные модели угроз сейчас сложно.

Мы также рассматриваем практическую возможность применять и совершенно инновационные поведенческо-биометрические методы идентификации пользователей лотерей: по скорости набора текста, углу наклона пальца по отношению к экрану смартфона, силе надавливания на экран. Фактически, это big data, своего рода динамическая биометрия. Такой пул данных, если наложить на него соответствующие математические алгоритмы, позволяет получить более подробный профиль пользователя, а значит, лучше защищает от мошенников. Вопрос только в том, что эти методы должны соответствовать требованиям закона, а участники должны ясно и четко понимать, каким образом это работает и где их данные будут использованы.

И, наконец, метод, который мне очень нравится: распознавание возраста человека через камеру мобильного устройства. Приложение находит на лице человека определенные точки и анализирует их расположение, выдавая предположение о возрасте пользователя. Такой метод уже активно используется в гейминговой индустрии и показывает неплохие результаты. Насколько я знаю, погрешность отечественных разработок составляет два-три года. У зарубежных она немного выше. Мы можем использовать его для первого этапа предшествующего идентификации, когда нужно убедиться, что человек — совершеннолетний и может участвовать в лотереях.

Вопрос, который беспокоит многих пользователей: может ли кто-то другой использовать данные верифицированного аккаунта – например, оплатить вашей картой свои заказы или вывести ваш выигрыш на свою карту. Ответ один: это невозможно. Сейчас большинство карт работает по протоколу 3D Secure. Это значит, что вам на телефон приходит уведомление о том, что вашей картой пытаются оплатить какой-то продукт или сервис, и вы подтверждаете платеж вводом присланных в смс цифр. В случае вывода денег из электронного кошелька также потребуется подтверждение с верифицированного номера.

Конечно же, злоумышленник может заполучить доступ и к вашему телефону, и к банковской карте одновременно – например, если вы потеряли (или у вас украли) сумку с телефоном, кошельком и документами. В этом случае необходимо срочно связаться с банком и заблокировать доступ. Наша безопасность начинается с наших голов.

Источник