Где двухфакторная аутентификация терпит неудачу

Веб-дизайнеров постоянно бомбардируют советами по безопасности. Нам сообщают о передовых методах, дырах в безопасности и необходимых исправлениях. Достаточно, чтобы голова закружилась.

Конечно, это все важно и благонамеренно. Интернет-безопасность — это постоянно движущаяся цель, к которой уязвимы даже самые крупные игроки. Поэтому мы должны быть в курсе последних событий.

Двухфакторная аутентификация (2FA) была одной из самых разрекламированных технологий для обеспечения безопасности онлайн-аккаунтов. Вы видите, как это внедряется повсюду, от банковских услуг до социальных сетей. И его можно легко установить на свой собственный сайт.

Хотя двухфакторная аутентификация может быть эффективной для предотвращения несанкционированного доступа к нашим учетным записям, она также имеет некоторые потенциально серьезные недостатки. Недавно я убедился в этом на собственном опыте. Ниже приводится обзор того, что произошло, и того беспорядка, который это помогло создать.

Различные реализации у разных провайдеров — с одним общим потоком

Как и любая другая технология, двухфакторная аутентификация может быть реализована несколькими способами. Пользователи могут пройти аутентификацию с помощью SMS-сообщения, электронной почты или кода подтверждения из приложения, такого как Google Authenticator. Они также могут выбрать доверенную фотографию, которая будет отображаться при каждом входе в систему, гарантируя, что они не находятся на фишинговом сайте.

Иногда поставщик услуг предоставляет вам выбор. Но довольно часто вы застряли с любым методом, который они предлагают. Чем больше учетных записей вы защищаете с помощью 2FA, тем сложнее все это становится.

Например, во многих местах используются SMS-сообщения для вашего телефона. Но опять же, некоторым также потребуется это приложение для аутентификации. У других будет другое мнение. Задача состоит в том, чтобы отслеживать, кто какую технологию использует, и убедиться, что у вас под рукой есть нужные инструменты.

Но кажется, что у большинства методов есть одна общая черта: они полагаются на ваше мобильное устройство для работы. Это точно удобно. Тем не менее, что, если что-то случится с этим устройством?

Неисправный телефон ведет к хаосу

Это ситуация, в которой я оказался, когда мобильное соединение для передачи данных на моем телефоне Android перестало работать. Текстовые сообщения задерживались на несколько часов или вообще не доставлялись. Член семьи, проживающий в том же доме и в той же сети, прекрасно получил свои сообщения. Это заставило меня поверить, что это какой-то аппаратный сбой.

Как и в этом затруднительном положении, я испробовал ряд средств. Это включало ужасный «ядерный вариант» сброса настроек моего телефона. Стоит попробовать, верно?

Проблема здесь была двоякой. Во-первых, не решена проблема с текстовыми сообщениями. Еще хуже то, что он вывел меня из всех моих учетных записей. Google, Facebook, Twitter и т. д. были уничтожены. Может быть, это лучше для моего психического здоровья, но, вероятно, не очень хорошо для работы/развлечений.

Попытка снова войти в каждую из этих учетных записей оказалась не такой уж простой. Почему? Из-за 2FA, конечно.

Google был особенно жестким, так как единственные два варианта, которые он мне дал, были привязаны к моему телефону. Он хотел послать мне текст, но это не сработало. И они также разрешили использовать код Google Authenticator. Это было бы здорово, но мне нужно было войти в свою учетную запись Google, чтобы, знаете ли, получить доступ к коду.

Решение состояло в том, чтобы, наконец, загрузить мой настольный компьютер и временно отключить 2FA для Google (им это очень не понравилось). Сладкое облегчение, я вернул свой Gmail.

Для еще большего удовольствия мне пришлось повторить аналогичный процесс с несколькими другими учетными записями. По иронии судьбы, я не могу получить доступ к своему онлайн-банкингу через свой компьютер, так как он основан на проверке по SMS. Однако я могу получить доступ к нему на своем телефоне, потому что такого требования нет. Одна только мысль об этом вызывает у меня холодный пот.

Конечно, моя ситуация не уникальна. Любой, у кого нет доступа к своему мобильному устройству, может легко оказаться в той же лодке.

Уроки выучены

Разочарования, связанные с 2FA, могут быть полезны в качестве обучающего момента. Те из нас, кто создает веб-сайты для заработка, похлопывают себя по плечу за повышение безопасности — и это правильно. Но внедрение этой технологии само по себе не является целью нашей миссии.

Вместо этого нужно серьезно подумать. Вот несколько вещей, о которых следует помнить, прежде чем добавлять двухфакторную аутентификацию на свой веб-сайт:

2FA не обязательно должно быть требованием

Заманчиво заставить пользователей использовать двухфакторную аутентификацию. И в определенных обстоятельствах высокого риска это имеет смысл.

Но для большинства сайтов вы можете рассмотреть возможность использования строгих требований к паролю. Например, если вы используете сайт для участников, который не содержит ничего секретного, 2FA может быть необязательным. Но, возможно, вы просите пользователей менять пароли каждые шесть месяцев.

Это немного меньше хлопот для пользователей и, надеюсь, меньше поддержки для вас. И не забывайте о доступности. Несмотря на предположения, не у всех есть доступ к нескольким устройствам.

Предложите альтернативы

Хотя это может быть сложно с точки зрения обслуживания, предложение более чем одного метода 2FA может быть полезным. Пользователи могут выбрать тот вкус, который им больше всего подходит. Или, в крайнем случае, они могут даже изменить то, что они используют, если их мобильное устройство станет недоступным.

Если не считать этого, по крайней мере предложите людям простой способ связаться с вами, если у них возникнут проблемы. Это невероятно расстраивает, когда вы не можете получить доступ к своей учетной записи, и нет никого, кто мог бы помочь.

Ожидайте некоторых проблем

Можно сделать все правильно и по-прежнему сталкиваться с пользователями, у которых возникают проблемы со входом в систему. Например, некоторые реализации 2FA предлагают одноразовые резервные коды. Они отлично подходят для случаев, когда выбранный вами метод аутентификации не работает.

Однако не каждый собирается тратить время на сохранение или распечатку этих кодов (у меня точно не было). Поэтому важно подготовиться к неизбежным проблемам, которые возникнут.

Двухфакторная аутентификация полезна, но далека от совершенства

В общем, есть много причин любить 2FA. Его довольно просто реализовать, и он помогает предотвратить несанкционированный доступ к пользовательским данным. И есть целый ряд различных доступных методов.

Однако он не лишен недостатков. Как я понял, шаткий телефон может вызвать много проблем. Невозможность войти в ваши самые важные учетные записи ставит вашу жизнь в тупик. Представьте, что вы не можете получить доступ к своему банковскому счету или даже к сотовому оператору.

Поэтому обязательно добавьте двухфакторную аутентификацию на свои сайты и в приложения. Но планируйте заранее и постарайтесь сделать процесс безболезненным для пользователей. Вы можете рассчитывать на более безопасную среду — просто не ждите чудес.