Двухфакторная аутентификация и открытые двери

[RBNVSLK]

Двухфакторная аутентификация и открытые двери

Sony все же добавила двухфакторную аутентификацию для защиты ста с лишним миллионов учетных записей пользователей в своей сети Sony PlayStation Network. Этого шага уже давно ждали пользователи PSN, особенно после знаменитого взлома в 2011 году, в результате которого доступ к игровому сервису был закрыт на целый месяц, и под угрозой оказались данные кредитных карт, адреса электронной почты и прочая персональная информация пользователей. Возможно, даже слишком давно… 

Учитывая, что игры в PSN обычно продаются по $25 и выше, компрометация пароля от учетной записи и череда мошеннических списаний может привести к немалому счету, заядлому игроку же не останется ничего иного, как оплатить расходы, или, как вариант, оплатить расходы, а затем потратить уйму времени на подачу всевозможных онлайн заявлений по оспариванию и разрешению мошеннических транзакций.

Так почему же одной из крупнейших инновационных компаний, пионеру в области технологий и гиганту, специализирующемуся на потребительских продуктах и развлекательных сервисах, потребовалось столько времени, чтобы добавить двухфакторную аутентификацию для защиты учетных записей в PSN? Возможно, все дело в корпоративной политике или в несогласованности бизнес-подразделений, как предполагают некоторые эксперты, а возможно, компания все же отчаялась найти более надежное и простое решение для защиты пользователей от взломщиков. PSN оказалась на передней линии обороны*, в отличие от внутренних сетей компании, ее не смогли защитить ни совершенные фаерволы, ни специальная подготовка сотрудников, которая велась все годы после взлома. Более того, по мнению экспертов, 90% мировых компаний не смогли бы противостоять атаке, подобной атаке на Sony 2011 года, используя только те средства защиты, которые применялись на тот момент.

Здесь уместно процитировать выводы недавнего отчета Verizon о расследовании утечек данных: «Мы знаем, что стандартной комбинации имени пользователя и пароля может оказаться вполне достаточно для защиты ваших игровых персонажей. Мы также знаем, что внедрение более устойчивых механизмов аутентификации всего лишь повышает уровень защиты, но отнюдь не является панацеей. Но даже с учетом всего этого, из всех зафиксированных и подтвержденных утечек данных 63% инцидентов были так или иначе обусловлены использованием слабых, устанавливаемых по умолчанию или украденных паролей». 

C учетом этой статистики и проведенного нами ранее анализа угроз и способов борьбы с ними можно смело утверждать, что введение двухфакторной аутентификации вполне оправдано. Можно даже сказать, что, если вы до сих пор не используете двухфакторную аутентификацию, по сути это равноценно тому, чтобы не запирать за собой дверь, уходя из дома – закрытая на замок дверь вряд ли остановит всех злоумышленников, но это все еще одно из наиболее эффективных средств обеспечения личной безопасности. 

Компания Gemalto провела собственный опрос среди 900 лиц, принимающих решения в ИТ-индустрии, которое, в том числе, показало текущее положение с двухфакторной аутентификацией:
 

38% пользователей в организациях уже используют двухфакторную аутентификацию, а в ближайшие 2 года их будет уже половина (51%)

В среднем, около трети пользователей обязаны использовать двухфакторную аутентификацию для доступа к корпоративным ресурсам с мобильных устройств. Ожидается, что их число также достигнет почти половины всех пользователей.

Девять из десяти (92%) респондентов используют двухфакторную аутентификацию хотя бы в одном приложении внутри своей компании.

Двухфакторную аутентификацию преимущественно используют с VPNs (86%), веб-порталами (84%) и облачными приложениями (83%).

Подавляющее большинство (93%) респондентов ожидают, что их компании расширят использование двухфакторной аутентификации для защиты большего числа приложений, при этом почти половина (48%) ожидают заметной активации в этом направлении в ближайший год.

Опыт корпоративных пользователей применим и для более широкой аудитории, хотя проникновение в этом сегменте еще не такое высокое, а из доступных возможностей двухфакторной аутентификации (SMS, телефонные звонки, сообщения эл. почты, аппаратные и программные токены) часто используются наиболее простые.

Сайт TwoFactorAuth.org позволяет проверить, поддерживают ли двухфакторную аутентификацию интересующие вас онлайн-сервисы, будь то игровые порталы, банковские сервисы или сервисы по доставке еды, и какую именно. Если вы считаете, что какой-то сервис прячет голову в песок, делая вид, что не замечает проблемы, то вы можете оставить соответствующее сообщение в Twitter с просьбой к компании добавить двухфакторную аутентификацию. 

Ценой немалых усилий Sony удалось восстановить доверие пользователей, подорванное пропущенной кибер-атакой (геймеры оказались очень отходчивыми людьми), однако пример этой компании позволяет предположить, что, в конце концов, компании, которые не торопятся с внедрением современных технологий инфобезопасности, могут закончить аутсайдерами на рынке в целом.

* Атаки продолжаются – так некоторые источники полагают, что основной целью DDoS-атаки на Dyn несколько дней назад, сделавшей недоступными сервисы сразу нескольких крупных компаний, таких как PayPal и Spotify, была именно PSN.

Источник: Хабрахабр

Изменено 27 октября, 2016 пользователем Робин Василюк (смотреть историю редактирования)