Двухфакторная аутентификация: безопасный вход в личные кабинеты SaaS-сервисов

Всем привет! На связи Александр Дубровин и Никита Андрианов, мы занимаемся развитием продуктов для верификации данных пользователей в компании edna. В этой статье разберем актуальность второго фактора при аутентификации в личном кабинете, где и как важно его внедрить, чем edna может в этом помочь и как мы уже сделали это для собственных продуктов.

В последние годы всё больше компаний переводят свои бизнес-процессы в цифровой формат, ввиду чего вопрос информационной безопасности становится критически важным. В системах хранения данных появляется больше уязвимостей, так как:

В России в 2022 году было украдено около 150 тысяч логинов и паролей (как корпоративных, так и личных, в том числе – крупных компаний). Проникновение в инфраструктуру 93 % российских компаний не потребовало от злоумышленников высокой квалификации и больших усилий. Результат взлома – публикация личных данных пользователей в открытом доступе в сети Интернет. Такие инциденты чреваты для бизнеса огромными репутационными, юридическими и финансовыми рисками. Исследования показывают, что 65 % паролей российских пользователей можно взломать путем перебора за одну минуту. Очевидно, что сегодня всем компаниям необходим дополнительный уровень безопасности.

Двухфакторная аутентификация – эффективное решение для защиты доступа. Она представляет собой добавление дополнительного фактора проверки права входа, помимо базового доступа по логину и паролю. Факторы могут быть разными: SMS-код, ссылка по e-mail, голосовые сообщения, токены, аутентифицирующие приложения, биометрический вход, беспарольный доступ на основе SIM-данных, физическая flash-карта и другие. Главный принцип действия – разносторонняя проверка права доступа к аккаунту.

Достаточно часто можно встретить мнение, что второй фактор не панацея. Например, некоторые эксперты отмечают, что SMS не шифруются и их можно перехватить (имеется в виду теоретическая уязвимость протокола ОКС-7). Но на практике это сложно осуществить, потому что телекоммуникационные сети в России относятся к критической инфраструктуре и защищены всеми соответствующими протоколами безопасности. Существует только один реальный способ перехвата SMS – создание дубликата SIM-карты с использованием украденных персональных данных абонента и поддельной доверенности для обращения к оператору. По этой схеме произошло крупное хищение со счетов экс-директора Twitter Джека Дорси: выпустили дубликат его SIM-карты и взломали аккаунт.

Однако подобные ситуации – это точечные кейсы, спланированные атаки на конкретных пользователей. Конечно, такое уязвимое место есть, и подобные сценарии рекомендуется предусмотреть, но это все-таки следующий этап и программа для продвинутых. Более того, на рынке, в частности у edna, есть инструменты для проверки на предмет дубликата SIM-карты, которыми активно пользуются банки и финансовые организации.

На сегодняшний день использование второго фактора показывает реальные результаты. Конечно, двухфакторная аутентификация – это лишь одна из составляющих ИБ компаний, но именно она является надежным барьером, так как сильно усложняет цепочку атаки. Теперь хакер должен получить не только пароль, но и специальный код или ссылку.

В edna мы выделяем два подхода к подключению второго фактора.

Подход 1: для компаний, которые планируют подключать новые решения для коммуникации с клиентами в цифровых каналах и находятся на этапе выбора вендора. Необходимо собрать решение под ключ и сразу внедрить механизм защиты данных.

Компания edna всегда внимательно и профессионально относилась к процессу защиты данных. Используются различные механизмы верификации доступа как сотрудников к рабочим серверам, так и клиентов к личным кабинетам. Среди проверенных способов Whitelabeling – учет и ограничение IP-адресов, имеющих допуск к домену.

Подход 2: для компаний, у которых уже есть сложная ИТ-инфраструктура, требующая некоторых доработок. Нужно усилить решение без существенных затрат на внедрение нового ПО.

Компания edna имеет открытый API и возможность подключения цифровых каналов для второго фактора защиты, а также готовые решения для верификации данных пользователей: IMSI, Mobile-ID и рассылку одноразовых паролей в разных каналах.

Окно аутентификации пользователя и вход в личный кабинет в продуктах edna.

При внедрении второго фактора лучше доверять проверенным специалистам. Надежный поставщик решения всегда учтет следующие аспекты.

Одна из компаний обратилась к нам с запросом на добавление второго фактора защиты доступа. К сервисам был оперативно подключен второй шаг аутентификации – вход по одноразовому паролю. В данном проекте был использован метод проверки SMS URL. Пользователю направляется уникальная, ограниченная временем ссылка, прочтение и переход по которой требуют разблокировки телефона. Теперь доступ в личный кабинет дополнительно защищен как от взлома пароля, так и на случай кражи мобильного устройства.

1. Делит ли компания учетные записи пользователей на группы по уровню допуска?

2. Происходит ли своевременная блокировка неактивных аккаунтов?

3. Отслеживаются ли дубли аккаунтов?

4. Все ли личные кабинеты компании имеют второй фактор аутентификации?

5. У вас российский поставщик решения?

6. Уверены ли вы в уровне защиты доступов и репутации вашего поставщика?

7. Происходит ли плановое, планомерное внедрение двухфакторного входа во все сервисы и аккаунты?

8. Делаете ли вы ограничения доступов по разрешенным IP?

9. Отслеживается ли IP-адрес, MAC или другие характеристики в качестве признака доверенного устройства?

8–9 баллов – так держать! Данные в вашей компании хорошо защищены.

5–7 баллов – всё не так уж плохо, но может быть еще надежнее.

Меньше 5 баллов – тревога! Рекомендуем прямо сегодня позаботиться о внедрении решений для защиты.

Двухфакторная аутентификация сегодня обязательна для всех компаний. На вопрос, где ее важно использовать, мы ответим – везде, во всех бизнес-процессах и для всех сервисов. Чтобы добавить второй фактор в свой продукт, вам будет достаточно подключиться к нашему ПО и настроить типовые сценарии в личном кабинете: указание телефонного номера и опцию включения второго фактора. С этого самого момента ваше решение будет обладать усиленной защитой, а все технические нюансы по доставке SMS и получению подтверждения мы возьмем на себя.