Двофакторна аутентифікація і відкриті двері

Sony все ж додала двофакторну аутентифікацію для захисту ста з гаком мільйонів облікових записів користувачів в мережі Sony PlayStation Network. Цього кроку вже давно чекали користувачі PSN, особливо після знаменитого злому в 2011 році, в результаті якого доступ до ігрового сервісу був закритий на цілий місяць, і під загрозою опинилися дані кредитних карт, адреси електронної пошти та інша персональна інформація користувачів. Можливо, навіть занадто давно…



Враховуючи, що ігри в PSN зазвичай продаються по $25 і вище, компрометація пароль від облікового запису і низка шахрайських списань може призвести до чималого рахунку, завзятому гравцеві ж не залишиться нічого іншого, як оплатити витрати, або, як варіант, оплатити витрати, а потім витратити багато часу на подачу всіляких онлайн заяв по оскарженню і вирішення шахрайських транзакцій.

Так чому ж однією з найбільших інноваційних компаній, піонера в області технологій і гіганту, що спеціалізується на споживчих продуктах і розважальних сервісах, знадобилося стільки часу, щоб додати двофакторну аутентифікацію для захисту облікових записів в PSN? Можливо, вся справа в корпоративній політиці або в неузгодженості бізнес-підрозділів, як припускають деякі експерти, а можливо, компанія все ж зневірилася знайти більш надійне і просте рішення для захисту користувачів від зломщиків. PSN опинилася на передній лінії оборони*, на відміну від внутрішніх мереж компанії, її не змогли захистити ні вчинені фаєрволи, ні спеціальна підготовка співробітників, яка велася всі роки після злому. Більш того, на думку експертів, 90% світових компаній не змогли б протистояти атаці, подібній атаці на Sony 2011 року, використовуючи тільки ті засоби захисту, які застосовувалися на той момент.

Тут доречно процитувати висновки нещодавнього звіту Verizon про розслідування витоків даних: «Ми знаємо, що стандартної комбінації імені користувача і пароля може виявитися цілком достатньо для захисту ваших ігрових персонажів. Ми також знаємо, що впровадження більш стійких механізмів аутентифікації лише підвищує рівень захисту, але аж ніяк не є панацеєю. Але навіть з урахуванням усього цього, з усіх зафіксованих і підтверджених витоків даних 63% інцидентів були так чи інакше обумовлені використанням слабких, які встановлюються за умовчанням або вкрадених паролів».

З урахуванням цієї статистики та проведеного нами раніше аналізу загроз і способів боротьби з ними можна сміливо стверджувати, що введення двофакторної аутентифікації цілком виправдано. Можна навіть сказати, що, якщо ви досі не використовуєте двофакторну аутентифікацію, по суті це рівноцінно тому, щоб не замикати за собою двері, йдучи з дому – закрита на замок двері навряд чи зупинить всіх зловмисників, але це все ще одна з найбільш ефективних засобів забезпечення особистої безпеки.

Компанія Gemalto провела власне опитування серед 900 осіб, що приймають рішення в ІТ-індустрії, яка, зокрема, показало поточне положення з двофакторної аутентифікацією:

  • 38% користувачів в організаціях вже використовують двофакторну аутентифікацію, а в найближчі 2 року їх буде вже половина (51%)
  • В середньому, близько третини користувачів зобов'язані використовувати двофакторну аутентифікацію для доступу до корпоративних ресурсів з мобільних пристроїв. Очікується, що їх число також досягне майже половини всіх користувачів.
  • Дев'ять з десяти (92%) респондентів використовують двофакторну аутентифікацію хоча б в одному додатку межах своєї компанії.
  • Двофакторну аутентифікацію переважно використовують з VPNs (86%), веб-порталами (84%) і хмарними додатками (83%).
  • Переважна більшість (93%) респондентів очікують, що їх компанії розширять використання двофакторної аутентифікації для захисту більшого числа додатків, при цьому майже половина (48%) очікують помітної активації в цьому напрямку в найближчий рік.
Досвід корпоративних користувачів застосуємо і для більш широкої аудиторії, хоча проникнення в цьому сегменті ще не таке високе, а з доступних можливостей двофакторної аутентифікації (SMS, дзвінки, повідомлення ел. пошти, апаратні і програмні токени) часто використовуються найбільш прості.

Сайт TwoFactorAuth.org дозволяє перевірити, чи підтримують двофакторну аутентифікацію, що цікавлять вас, онлайн-сервіси, будь то ігрові портали, банківські сервіси та послуги з доставки їжі, і яку саме. Якщо ви вважаєте, що якийсь сервіс ховає голову в пісок, роблячи вигляд, що не помічає проблеми, то ви можете залишити відповідне повідомлення в Twitter з проханням до компанії додати двофакторну аутентифікацію.

Ціною чималих зусиль Sony вдалося відновити довіру користувачів, підірване пропущеної кібер-атакою (геймери виявилися дуже отходчивыми людьми), однак приклад цієї компанії дозволяє припустити, що, зрештою, компанії, які не поспішають із впровадженням сучасних технологій інфобезпеки можуть закінчити аутсайдерами на ринку в цілому.

* Атаки тривають – так деякі джерела вважають, що основною метою DDoS-атаки на Dyn кілька днів тому, зробила недоступними сервіси відразу декількох великих компаній, таких як PayPal і Spotify, була саме PSN.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.