Какво прави недостатъчно удостоверяване с две фактори?
Двуфакторното удостоверяване е станало по-често срещано в чувствителни среди като банкиране, обработка на плащания, социални медии и други платформи, където споделяте голяма част от личната информация, която определено не искате никой друг да получи. Това е един много мощен начин да се уверите, че сте единственият човек с достъп до вашите данни, но има някои лоши новини: това е грешно. Не всичко е лоша новина. Изглежда, че някои компании работят върху създаването на нова форма на удостоверяване, която да отчита някои от тези недостатъци.
Грунд за удостоверяване с две фактори
Същността на това е: Ако трябва да използвате нещо освен само потребителско име и парола, за да влезете в акаунт, най-вероятно използвате двуфакторна удостоверяване, за да влезете в него.
Най-често това ще се случи, когато влезете в банково приложение или използвате приложение като Uber за първи път. Обикновено то е под формата на SMS потвърждение, за да сте сигурни, че сте собственикът на телефонния номер, който е регистриран в профила.
Някои банки ще ви дадат цифров генератор на маркери (подобно на приложението Google Authenticator), който генерира поредица от номера на всяка минута или така, че да използвате, за да влезете в профила си.
Другите приложения използват интелигентна автоматична система за откриване, която извиква телефонен номер и се взима, когато влезе повикването, за да каже, че притежавате телефона си.
В някои случаи двуфакторното удостоверяване може дори да включва биометрични данни, като пръстов отпечатък или лице. Някои от тези методи се използват вместо парола за извършване на определени неща като отключване на телефона ви.
Всички тези методи са измислени, за да докажат точно, че сте вие.
Полетът в мехлема
Най-големият недостатък на модерните методи за автентичност е, че те не вземат под внимание факта, че хората ги използват. Винаги намираме нови и творчески начини за злоупотреба с нашите данни и никоя от мерките за сигурност, които съществуват днес, наистина може да компенсира това.
В много случаи попадаме в схеми за социално инженерство, които ни карат да раздаваме важна информация на хора, които се опитват да получат достъп до нашите сметки.
Съществува и риск от кражба. Ако някой открадне телефона ви, те вече имат начин да получат потвърждаващи SMS съобщения. Ако някой открадне означението ви, той може да удостовери банковата Ви сметка.
Отпечатъците от пръсти? Те също са уязвими. Така е разпознаването на лицето.
Нова граница със свои собствени предупреждения
През есента на 2017 г. група мобилни оператори в Съединените щати обявиха, че ще пуснат нова форма на удостоверяване, която трябва да разгледа всички недостатъци, изброени по-горе. Макар че всичко това може да звучи доста странно, няма много подробности как точно ще работи този нов метод за удостоверяване.
Групата, известна като Taskforce за мобилно удостоверяване, заяви, че техният нов метод ще "намали рисковете за мобилната идентичност чрез анализ на данни и модели на активност в мобилна мрежа, за да предвиди с висока степен на сигурност дали потребителят е кой казват, . "
Това звучи малко като те да следят движенията и моделите на данни от мобилните потребители и да ги използват, за да създадат "пръстов отпечатък" на тяхната самоличност. Ако има твърде много отклонение от този модел (например телефонът ви внезапно е в Лондон и не влиза в сайтовете, в които обикновено влизате), тогава би било безопасно да се предположи, че самоличността на потребителя е била компрометирана.
Макар че това може да звучи вълнуващо за някои, това със сигурност предизвиква загриженост в други, които са загрижени за неприкосновеността на личния живот и способността им да контролират данните си. Много хора може и да не се чувстват комфортно със своите мобилни оператори да проследяват всяко свое движение и всички данни, които изпращат през интернет. И какво, ако правителството иска да призове записи на тези данни?
Откъде сте? Смятате ли, че новият метод за проверка на автентичността на МАТ е стъпка напред в спирането на хакерите, или достатъчно ли са загрижеността за поверителността, за да се отклоните от идеята? Кажете ни какво мислите в коментара!