Двухфакторная аутентификация безопасна?

Знакомая фраза — двухфакторная аутентификация пользователя, на ней основан вход в большую часть социальных сетей, финансовых сервисов, проведение 99% платежей подтверждается кодом из СМС и многое другое. Технология двухфакторной аутентификации пользователя была призвана нас обезопасить и большая часть из нас рвется включить ее везде, где только это доступно. Но довольно часто все происходит совсем наоборот, и вместо дополнительной безопасности мы можем получить дополнительные приключения на пятую точку. Почему так происходит и как этого избежать, мы и рассмотрим в данной статье.

Думаю каждый из вас пользуется различными сайтами или веб-банкингом, теми же социальными сетями ВКонтакте или Одноклассниками, поэтому с двухфакторной аутентификацией пользователя сталкивались неоднократно. Данная функция в целях вашей безопасности отсылает вам на телефон дополнительный код, который должен предостеречь ваши страницы и личные кабинеты в сети от взлома. Но ситуации могут случится разные, их я и хочу рассмотреть, чтобы вы не наступали на грабли, когда вас это настигнет, а были подготовлены.

В данной статье мы не будем касаться онлайн банков, так как продиктовав свои данные оператору, вы без труда восстановите вход в кабинет банка. Мы же рассмотрим те сервисы, где эта процедура не настолько радужная.

Финансовые онлайн сервисы

Сейчас уже никого не удивишь электронными деньгами, кошельками Яндекс.Деньги или Webmoney, Qiwi и многими прочими сервисами. Как и большая часть таких сервисов работающих на постсоветском пространстве, они яростно привязывают каждое ваше действие к телефону, хорошо ли это или плохо решать вам.

Но к примеру, если взять популярные сервисы Европы — Payeer , Epayment и прочие, то там вам предоставляется право выбора — хотите включайте, а хотите нет, и как по мне это наиболее правильный вариант, так же работает и Google, Facebook, в котором вы можете, как включить, так и выключить двухфакторную аутентификацию по своему желанию.

И казалось бы, если она призвана нас защитить, как она может нам навредить. Ответ прост — При отсутствии мобильной связи, краже вашего смартфона, потере сим карты и подобных ситуациях вы теряете возможность доступа к сервисам, которые так яростно защищали. А теперь на примерах.

Яндекс.Деньги

Думаю даже не стоит спорить, что сервис очень популярен. Но вот, как раз на нем я и наступил на эти грабли впервые. Кошелек заводил еще 2015 году, номер привязал, но пользовался только почтой. Так как мобильная связь в моем регионе не работала, а оплатить услуги Яндекса надо было, то как мне показалось, сделать это проще всего было именно через Яндекс кошелек.

Зашел в Payeer, без каких либо СМС отправил деньги на кошелек Яндекса, ну и перешел к оплате директа, который находится на том же аккаунте, что и кошелек. А вот тут то и лежали они самые, грабли двухфакторной аутентификации. При попытке оплатить рекламу у меня запросили код из СМС, к которому у меня не было доступа. И это показалось в двойне глупым, потому что оплата услуг в рамках одного аккаунта, не на чужую карту или кошелек, а я пытаюсь положить со своего счета на другой такой же  свой счет Яндекс директа.

Ну не тревожась особенно, это же как-никак финансовый сервис, я написал в Техподдержку Яндекс.Деньги. И вот тут меня ожидал первый сюрприз — это срок рассмотрения обращения. Срок рассмотрения обращений пользователя может занимать до 4-х суток и только в рабочее время с 9.00 и до 20.00. И это сервис, который предоставляет финансовые услуги круглосуточно, а не какой нибудь супермаркет.

При обращении в чат приложения общение начинается практически моментально и это реально дает надежду, но в итоге ваши запросы все так же отправляют на рассмотрение в ту же поддержку. А если у вас отсутствует связь и вы не можете ввести код, то прицепом вам предложат заполнить анкету, которую так же рассматривают далеко не за один день.

Чтобы стало нагляднее, представим ситуацию. Вы потеряли свой смартфон с установленным приложением Яндекс.Деньги и летите поскорее домой, чтобы сообщить о краже или утере — это не важно, главное нужно заблокировать кошелек, а в ответ вам пишут сообщение — рассмотрение до 4-х суток. Проверено на себе, поддержка Яндекса работает в рабочие дни до 20.00, а так же замечательно отдыхает в выходные -Субботу и  Воскресение, возможно по телефону они и отвечают в выходные, но далеко не у всех есть возможность позвонить, а на обращение через форму они полностью игнорируют.

Пароль, логин, номер и прочие данные вы не сможете изменить без кода СМС. Как вы думаете, успеют за время рассмотрения вашего обращения, опустошить ваш кошелек? Такой должна быть поддержка сервиса, которому вы доверяете свои средства?

Вторым сюрпризом стал ответ на мой запрос в поддержку. Чтобы вы сразу поняли адекватность поддержки, я выделил жирным основные моменты.

Я задал вопрос:

» На данный момент у нас не работает мобильная связь, каким образом я могу осуществить платеж, хотя бы Яндекс директа. Другой возможности оплатить нет.»

На что мне дали, вот такой вот ответ: «

Здравствуйте.

Аварийные коды — это подстраховка для тех, кто использует пароли в смс или в приложении.
Выручат, если вы потеряете телефон или окажетесь в роуминге. Аварийным кодом можно подтвердить любую операцию — платеж, перевод, привязку нового телефона.
Кнопка для получения кодов есть в настройках. В каждом комплекте — 25 кодов, используйте в их любом порядке.

Обращаем ваше внимание, что выпуск аварийных кодов требует подтверждение одноразовым паролем из смс или кодом из приложения.

—-
С уважением,
Михаил Зорин
Служба поддержки пользователей
Яндекс.Деньги «

Мне конечно сложно судить, но в данной ситуации ответ просто ТУПОГО существа, который даже не пытается вникнуть в вопрос, на который он отвечает. Но зато я узнал, что есть кнопка «аварийные коды«, что в данной ситуации меня совсем не порадовало.

Но вот как раз, чтобы вас и уберечь от такой ситуации, и пишется данная статья. Если вы пользуетесь Яндекс Деньгами, то обязательно подстрахуйтесь выпуском Аварийных кодов и сохраните их укромном месте. Данное действие поможет вам поменять пароль, снять деньги до злоумышленников, отключить доступ устройствам и прочее, воспользовавшись кодами, вместо СМС подтверждения.

К большому сожалению, на адекватность и скорость реагирования тех поддержки сервиса надеятся не стоит. В момент возникновения такой ситуации — она вас не спасет, и только с помощью аварийных кодов, вы сами сможете защитить свои финансы, в таком большом и суровом сервисе, как Яндекс.Деньги.

WebMoney

С вебмани все намного проще, поддержка там тоже работает не супер, но все же побыстрее Яндекса. Но вот есть проблема входа в кабинет, которую решает установка приложения E-Num на любой свой гаджет. Важно, установить его нужно до потери телефона или связи, так как подтверждение СМС от вас потребуется, при активации! Не поленитесь установить его на несколько устройств, чтобы всегда была возможность спасти ваши средства от кражи злоумышленниками. Кстати, используя приложение Enum вы не только получите дополнительный доступ, но и сможете значительно сэкономить, так как все SMS, которые вам высылает Webmoney платные и их стоимость начинается от 1,5  рублей. Если сильно не заморачиваться получить деньги и просто вывести, то это может показаться копейками, но когда вы занимаетесь с вебмани более плотно, то сможете заметить, что даже авторизовавшись в вебмани и переходя между ихними функциями, вас еще неоднократно попросят ввести код из СМС и в этом случае сумма в месяц может показаться уже и не такой не значительной.

Поддержка WebMoney хоть реагирует и оперативнее на запросы, но рассмотрение может занимать до двух дней, этого времени будет вполне достаточно, чтобы вывести все ваши средства, и спасать их от рук злоумышленников предстоит только вам. Но в вебмани кроме этого все не так уж радужно и с полной статьей о подводных камнях торговли используя сервис Webmoney , вы можете ознакомиться ссылке.

О Qiwi я даже не стану писать, там все просто: Нет телефона с СМС — нет доступа, есть код из СМС ты хозяин кошелька.

Я не буду рекомендовать, какой сервис лучше или хуже, западный или работающий в РФ, делайте выводы сами. Кроме вас, за ваши средства никто не отвечает, примите это как должное, так как выбора у вас особого нет. За свои средства в электронных кошельках несете ответственность только ВЫ.

К слову, в западных сервисах вся безопасность лежит на пользователе, этого не скрывают и так написано в их правилах, хотите пользуйтесь функцией двухфакторной аутентификации, а хотите нет, хотите блокировать по IP -удачи и тп. Но при регистрации, вам обязательно выдается индивидуальный платежный пароль, с помощью которого вы имеете возможность заменить все требуемое в кабинете самостоятельно, не обращаясь с жалобами в поддержку, не ожидая рассмотрения тикета и не дожидаясь ответа, даже без доступа к мобильному оператору.

Почему же гиганты РФ до сих пор работают по пережиткам совдепии и подвергают с помощью двухфакторной аутентификации пользователей дополнительной опасности их сбережений и нервотрепке, для меня остается загадкой. И даже оправдание, что все ваши переводы могут отслеживаться, с помощью смс ради борьбы с терроризмом, мне кажется просто глупейшеим оправданием не состоятельности сервисов, как полноценные финансовые учреждения.

Если в этом нет необходимости не храните значительные суммы на электронных кошельках, а храните их на банковских картах вашего банка. Только так вы обезопасите ваши средства пусть и не на 100%, но на 90% надежнее — это точно.

Двухфакторная аутентификация Google

Я конечно могу и ошибаться, но как мне кажется, то двухфакторная аутентификация началась именно с этого сервиса. Именно гугл стал первопроходцем в направлении безопасности своих аккаунтов, по началу это касалось почты Gmail, ну а сейчас же это включает в себя намного больше функционала.

Как подстраховаться в Google от непредвиденной ситуации:

  1. Обязательно укажите дополнительные номера телефонов;
  2. Резервный Email;
  3. Скачайте резервные коды;
  4. Установите приложение Authenticator;
  5. Так же можно использовать Электронный ключ;
  6. Включите подтверждение с помощью уведомлений на ваши устройства;

Важно все это проделать, пока у вас есть доступ к телефону подтверждения, потом уже пытаться их получить поздно.

Для тех же пользователей, кто пользуется браузером Chrome в связке с аккаунтом, я настоятельно рекомендую — периодически сохранять все пароли в отдельном файле на своем ПК, флэшке и тд. Если у вас есть важные закладки, то стоит экспортировать и их HTML файлом.

Вы можете использовать далеко не все, но выбрать несколько способов восстановления стоит. И лучше это не откладывать в долгий ящик.

Пользователям Facebook тоже стоит задуматься заблаговременно о восстановлении входа в аккаунт, на данный момент уже даже доступно указание доверенных лиц, которые помогут восстановить вам доступ, но и помимо этого другие способы.

Двухфакторная аутентификация Apple

А вот тут разговор особенный, так как подтвердить вход в ICloud можно только двумя способами: с помощью номера телефона или подтвержденного устройства Apple. Что же тут особенного, да то что если у вас одно устройство, то на самом деле у вас не остается выбора кроме, как подтверждение по СМС. Если такового не будет, то восстановление возможно только через техническую поддержку.

И в данной ситуации даже и нечего советовать. Компанией Apple были отменены дополнительные вопросы и код подтверждения начиная с версий Sierra 10.12.4.

Мне совсем не хочется наговаривать на Apple, но лишение выбора пользователей всегда было их не лучшей чертой. А как известно именно начиная с Sierra 10.12 разблокировать ноутбуки и другие устройства Apple стало возможно с помощью Apple Watch, что далеко не является повышением безопасности ваших данных, но должно значительно повысить продажи компании. Но факт остается фактом, если у вас не работает мобильный телефон, то войти в ICloud вы уже не сможете и здесь без вариантов. Только тех поддержка.

Являясь пользователем Mac OS уже много лет, пострадав неоднократно от глюков связки ключей, я настоятельно рекомендую сохранять все пароли и закладки в отдельном файле -это сэкономит вам огромное количество времени на их восстановлении в будущем.

Наверное на этом стоит и остановится, потому что я не смогу описать абсолютно все сервисы инета. Но во многих способы восстановления доступа аналогичны и с ними уже прийдется ознакомится вам самостоятельно. И постарайтесь не откладывать на потом, техника штука капризная, да и жизнь становится не настолько стабильной, как казалось раньше. Все затраченное время сейчас, оправдает себя в любой непредвиденной ситуации.

В нашей жизни мы стремимся обезопасить все, что нас окружает, наши данные, файлы, фото, пароли, входы в личные кабинеты и многое другое. Но всегда стоит помнить, что включение дополнительного способа защиты, который должен повысить безопасность, в определенный момент может стать той самой стеной, которую вам уже перепрыгнуть будет не под силу. Безопасность ваших средств и всех ваших данных зависит только от вас. Удачи!

Вас могут заинтересовать:

@DDR5.RU

@DDR5.RU

Комментарии не относящиеся к тематикам страниц, вводящие в заблуждение пользователей нашего ресурса, носящие рекламный и провокационный характер будут беспощадно удаляться!!! С уважением, администрация DDR5.RU...

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *