Москва
+7-929-527-81-33
Вологда
+7-921-234-45-78
Вопрос юристу онлайн Юридическая компания ЛЕГАС Вконтакте

Скрытая двухэтапная аутентификация

  • Печать
Обновлено 23.06.2025 12:00

Протоколам аутентификации и идентификации в кибермире все чаще требуется дополнительный уровень безопасности поверх пароля. Этот подход называется двухступенчатой аутентификацией: то есть на втором шаге требуется, чтобы поль­зователь выполнил дополнительное действие, например ввел секретный код или нажал кнопку на постороннем устройстве, не участвующем в остальном процессе аутентификации. Обратите внимание на небольшое отличие от двухфакторной аутентификации, которая применяется для предотвращения доступа злоумыш­ленника к учетной записи с украденными учетными данными. 

Секретный код (второй шаг аутентификации) может быть рандомизирован с помо­щью программных приложений, но обычно он всякий раз генерируется с использо­ванием одной и той же процедуры. К сожалению, ее негибкость дает злоумышленни­кам возможность обойти защиту двухэтапной аутентификации. Например, обычно код для двухэтапной аутентификации отправляется в виде незащищенного текста или сообщения, которое может быть перехвачено путем клонирования SIM-карты телефона. В этом случае пользователь, который получает код 12345 и вводит его в поле, непреднамеренно сообщает его злоумышленнику. Устройство, применяемое для аутентификации (часто это телефон), может быть украдено, взломано с по­мощью переадресации звонков, клонировано и использовано злоумышленником. И стороннее устройство, применяемое для двухэтапной аутентификации, тоже может быть украдено и использовано для аутентификации и кражи кодов.

Двухэтапный код, дважды запечатанный с помощью техники татисугури исугури, позволяет сгладить недостатки, присущие процедурам аутентификации. У каждого пользователя должен быть заранее заданный идентификатор, который для этого пользователя уникален и имеет определенное значение. Напри­мер, предположим, что пользователю устно или другим безопасным способом было дано указание поменять местами цифры на цифровой клавиатуре относительно цифры 5. Тогда 1 становится 9, 2 становится 8 и т. д., но применять эту технику следует только в случаях, когда код отображается красным шрифтом, а не зеленым.

Смена цвета - это тот самый безмолвный жест из татисугури исугури, срабатыва­ющий, когда система по каким-то своим критериям считает запрос аутентифика­ции подозрительным: это может быть нестандартное время входа, нераспознанное устройство, незнакомый IP-адрес или другие критерии (чтобы скрыть этот протокол от злоумышленников, которые могут наблюдать за процедурой аутентификации, следует использовать его нечасто). Теперь, когда свой получит красный код 12345, он будет знать, что ввести нужно 98765, а злоумышленник, укравший учетные данные пользователя, об этом скрытом правиле не знает и введет 12345. Процесс аутентификации остановится, учетная запись будет временно отключена, а сеанс получит ошибку двухэтапной аутентификации. Затем двухэтапный аутентификатор отправит подсказку вида «Используйте протокол аутентификатора № 5», а вместе с ней еще один красный код, например 64831, на который пользователь должен ответить, введя 46279. Еще один неправильный ответ может вызвать повторное предупреждение или полную блокировку учетной записи.

 

 

 

 
Юридические услуги
Яндекс.Метрика
Представительство в суде и защита прав, досудебное урегулирование споров, медиация, абонентское сопровождение организаций, кадровое делопроизводство, трудовое право, восстановление на работе и выплата заработной платы, регистрация и ликвидация предприятий, земельные споры, споры связанные с недвижимостью, сопровождение сделок с недвижимостью, бесплатная юридическая консультация. Квалифицированный юрист Вологда. Квалифицированный адвокат Вологда. Квалифицированный юрист Москва. Квалифицированный адвокат Москва. Квалифицированный юрист Санкт-Петербург. Квалифицированный адвокат Санкт-Петербург. Суд по интеллектуальным правам. Европейский суд по правам человека. Апелляционная жалоба. Апелляционная жалоба в Московский городской суд. Апелляционная жалоба в Санкт-Петербургский городской суд. Санкт-Петербургский городской суд. Московский городской суд. Верховный суд. Кассационная жалоба. Кассационная жалоба в Верховный суд. Оценка перспектив обращения в Европейский суд по правам человека. Подготовка жалоб в Европейский суд по правам человека. ЕСПЧ. Оценка перспектив обращения в ЕСПЧ. Подготовка жалоб в ЕСПЧ. Жалоба ЕСПЧ. Жалоба в ЕСПЧ. Адвокат ЕСПЧ. Юрист ЕСПЧ. Адвокат Европейский суд по правам человека. Юрист Европейский суд по правам человека. Комитет ООН по правам человека. Подготовка жалоб в Комитет ООН по правам человека. Подготовка жалоб в Комитет ООН по правам человека. Оценка перспектив обращения в Комитет ООН по правам человека. Жалоба Комитет ООН по правам человека. Адвокат Комитет ООН по правам человека. Юрист Комитет ООН по правам человека. Арбитражный суд города Москвы. Арбитражный суд Московской области. Арбитражный суд города Санкт-Петербурга и Ленинградской области. Арбитражный суд Вологодской области. Девятый апелляционный арбитражный суд. Десятый апелляционный арбитражный суд. Тринадцатый апелляционный арбитражный суд. Четырнадцатый арбитражный апелляционный суд. Арбитражный суд Московского округа. Арбитражный суд Северо-Западного округа. Юрист Верховный Суд. Адвокат Верховный Суд. Юрист Верховный Суд Российской Федерации. Адвокат Верховный Суд Российской Федерации. Юрист Верховный Суд РФ. Адвокат Верховный Суд РФ. Юрист Вологодский областной суд. Адвокат Вологодский областной суд. Юрист Ленинградский областной суд. Адвокат Ленинградский областной суд. Юрист Сантк-Петербургский городской суд. Адвокат Санкт-Петербургский городской суд. Юрист Московский областной суд. Адвокат Московский областной суд. Юрист Московский городской суд. Адвокат Московский городской суд. Реновация Москва. Реновация в Москве. Юрист реновация Москва. Юрист реновация в Москве. Адвокат реновация Москва. Адвокат реновация в Москве.