Разработка двойных паролей
Аутентификация с двойной печатью, работающая совместно со стандартными средствами управления авторизацией, должна отвечать следующим требованиям.
Применяться только в том случае, если личность пользователя под сомнением, например когда он:входит в систему из иного местоположения, с нового устройства, IP-адреса или в нестандартное время;
сообщает о том, что его мобильное устройство украдено или скомпрометировано;
теряет резервный токен, код или пароль и запрашивает сброс пароля.
Применять внеполосный или сторонний канал связи.
Использовать секретную информацию, зависящую от некоторого правила. Каждый пользователь должен иметь возможность настраивать протокол и создавать уникальный набор скрытых правил.
Задействовать факторы аутентификации, которые легко понять и запомнить, но сложно угадать.
Разрешать применение сразу нескольких защитных правил на случай нескольких повторных ошибок или большого промежутка времени между попытками аутентификации.
Применять ограничение, заморозку или блокировку учетной записи, если та после нескольких попыток не сумела пройти аутентификацию. Большинство приложений блокируются после нескольких неудачных попыток ввода пароля, но не блокируются после неудачных попыток двухэтапной аутентификации.
Не быть описанной в документах службы поддержки или другой документации. Сотрудникам также не следует вслух упоминать о таких средствах безопасности и правилах их использования.
Популяризация двойных паролей требует от разработчиков, инженеров и пользователей изучения новых технических решений и творческого мышления. Для примера рассмотрим различные варианты ввода, которые могут задействоваться в приложениях с двухэтапной аутентификацией на мобильных устройствах, на которых для подтверждения личности пользователя применяются вопросы, требующие ответа «да» или «нет». Приведем примеры ответов, которые может дать пользователь, увидев тайный сигнал татисугури исугури в приложении с двухэтапной аутентификацией.
Пользователь переворачивает экран вверх ногами, прежде чем нажать «да», и приложение в фоновом режиме проверяет ориентацию устройства.
Пользователь нажимает кнопки регулировки громкости, устанавливая минимальную или максимальную громкость, а затем нажимает «да». Приложение проверит правильность значения громкости.
Пользователь не нажимает «да», пока часы мобильного устройства не перейдут к следующей минуте. Приложение проверит метку времени и сравнит ее ЧЧ:ММ:0X, где X должно быть менее 3 секунд.
Пользователь нажимает «да» с усилием, и приложение проверяет событие сильного нажатия.
Пользователь выполняет несколько быстрых нажатий кнопки «да», а приложение проверяет их число.
Пользователь выполняет определенный жест - смахивание в какую-либо сторону или вращение, нажимая кнопку «да» на мобильном устройстве, а приложение распознаёт его.
