Почему двухфакторная аутентификация не ухудшает безопасность?

Question

[Ярослав]

Рассмотрим самый простой пример 2FA: сначала пользователь вводит пароль, затем вводит код из SMS. Вроде бы все хорошо, чтобы пройти аутентификацию таким образом, взломщику надо уже два фактора получить, это сложнее.

Но ведь и пользователю лишиться одного из двух факторов проще, чем лишиться одного из одного. Значит, должна существовать схема восстановления каждого фактора. То есть, зная пароль, но лишившись номера телефона, должно быть можно восстановить номер. А имея номер телефона, должно быть можно восстановить пароль.

Но в чем тогда выгода? Ведь, если взломщик украл телефон (всего 1 фактор) - он может получить доступ к аккаунту установив свой пароль.

Не является ли это не усилением, а ослаблением защиты? Ведь теперь, чтобы угнали аккаунт, достаточно потерять любой один из двух факторов. Взломщик может атаковать самое слабое звено из двух

Comments

[Somewhere Intech]

очевидно конечно, но безопасность обратно пропорциональна удобству, кэп

[Ярослав]

А где здесь безопасность? Я как раз ведь и описываю ситуацию, которая мне кажется НЕбезопасной. (и при этом еще и НЕудобна :-) ). 2FA и трудна в использовании и либо взламывается через один фактор, либо не восстанавливается при утере фактора.

[Aelliari]

СМС - зло, otp надёжнее ибо нет привязки к сторонним сервисам, а утрата второго фактора должна лишать доступа к аккаунту, остальное фикция. Хотя если на то пошло простой пароль < сложный пароль < 2fa смс < 2fa otp < u2f/fido2

[Ярослав]

утрата второго фактора должна лишать доступа к аккаунту
В таком случае это выглядит уже имеющим смысл, но я бы не сказал, что в таком варианте, это однозначно лучше пароля. Ниже риск, что взломщик получит аккаунт пользователя, но выше риск, что сам пользователь потеряет его.

[xmoonlight]

Ярослав Поляков, Не всегда, т.к. зависит от типа.

Answer 1

[Saboteur]

То есть, зная пароль, но лишившись номера телефона, должно быть можно восстановить номер. А имея номер телефона, должно быть можно восстановить пароль.

Но в чем тогда выгода?

В том, что вы привели пример НЕПРАВИЛЬНОЙ настройки двухфакторной авторизации.
Восстановление доступа должно идти через службу безопасности, возможно даже с личным присутствием.
А то, как двухфакторная авторизация сделана в общих мобильных сервисах - это так, для галочки и небольшого усложнения.

Comments

[xmoonlight]

Saboteur,

Восстановление доступа должно идти через службу безопасности, возможно даже с личным присутствием.

Когда руки и мозг - кривые!)))

А то, как двухфакторная авторизация сделана в общих мобильных сервисах - это так, для галочки и небольшого усложнения.

ДА! А в банках сидят идиоты.

СТАВЬТЕ ЛАЙКИ НА ОТВЕТ!!!
ЗДЕСЬ ВСЁ ВЕРНО!

Answer 2

[xmoonlight]

Любое количество факторов на одном устройстве рано или поздно превращаются в один.
Используйте 2FA правильно!

Answer 3

[SagePtr]

Во-первых, украсть телефон на порядок сложнее, чем логин-пароль, для этого нужно физически находиться рядом с владельцем.
Во-вторых, пропажа телефона обнаружится практически сразу, тогда как украденным логином и паролем могут пользоваться долгие годы, не вызывая подозрений.
В-третьих, телефон может быть запаролен, в таком случае злоумышленнику потребуется сперва обойти этот пароль, что требует дополнительного времени, за которое владелец заметит пропажу и примёт меры.
В-четвёртых, не обязательно использовать один и тот же телефон. Никто не мешает установить приложение для генерации кодов на отдельный телефон, в который даже не вставлять сим-карту и не подключать к сети, с собой его не носить. Тогда для кражи понадобится уже как минимум проникновение в жилище.
А некоторые сервисы позволяют использовать USB-брелок наподобие yubikey, с датчиком отпечатка, в таком случае придётся физически заставить владельца приложить к нему палец.

А касательно восстановления, многие сервисы позволяют генерировать для 2FA резервные коды, которые можно распечатать/переписать на бумаге и положить в шкаф. Или в несгораемый сейф.

Answer 4

[0x131315]

Активировав 2fa, получаешь одноразовый токен для устройства и десяток одноразовых резервных токенов для входа.
При утере устройства, входишь через один из резервных токенов, анулируешь токен устройства, и перевыпускаешь новый.
Утеря устройства и утеря/исчерпание резервных токенов - потеря аккаунта.

Answer 5

[antonwx]

Как правило для сброса номера телефона как минимум требуется пообщаться с техподдержкой и убедить её, что ты - это ты, а не дядя вася мамкин хацкер. Ну а с телефоном всё проще - как правило они у пользователей под каким-никаким, а паролем, да и вирусню на телефон не так уж и просто закинуть.

Comments

[Ярослав]

Но техподдержка же не на честные глаза смотрит и не на уверенный тембр голоса, у них четкие правила. А во многих случаях (в крупных сервисах) вообще восстановление автоматическое, без участия человека.

Если телефон так надежен - зачем тогда пароль? Он только ухудшает безопасность.

Answer 6

[Владимир]

Вообще-то номер телефона как правило "восстановить" или изменить без личного визита в банк (или куда ещё) нельзя. Пароль, имея телефон, сбросить обычно можно, но разработчики исходят из того, что у нормального человека телефон защищен как минимум пин-кодом, а как максимум биометрией и даже, украв физически аппарат, злоумышленник не получит доступа к данным.

Да, можно, дать на лапу манагеру в салоне и втихую перевыпустить симку, но тут уже проблема в человеческом факторе, а не в уязвимости системы защиты.

Comments

[Karpion]

Вроде, банк может отследить факт перевыпуска симки - и заблокировать этот канал авторизации.

[Ярослав]

Насколько я знаю, взломы через SMS код делаются иначе. Взламывается любой сотовый оператор в мире. Гондурас, например, не слишком славится своими специалистами по защите информации. В тот момент, когда аппарат абонента выключен-недоступен (не зарегистрирован в сети), от гондурасского опсоса подается сигнал "номер такой-то зарегистрирован в роуминге у нас". Когда банк отсылает SMS, SMSка идет туда, где в данную минуту зарегистрирован абонент. То есть, в Гондурас. Там код и получают взломщики, не обладая реальным телефонным аппаратом.

[shurshur]

Ярослав Поляков, это тоже метод, но вовсе не такой простой, как кажется. Если отечественный сотовый оператор видит, что абонент через 5 минут после БС в Чебоксарах оказывается зарегистрирован в Тегусигальпе, то он вполне может алертить эту ситуацию. Кроме того, фейкового клиента выдаст изменённый имси.

Как уже тут говорили, у банков есть возможность реагировать на изменение imsi.

[Владимир]

Ярослав Поляков, я читал описание реального уголовного дела. Там девочка в салоне связи за 5 тысяч перевыпустила симку без документов, а потом с ее помощью сперли почти сотню лямов со счета фирмы. В итоге девочка поехала шить варежки за "особо крупный размер в составе группы лиц". Насколько я знаю, это случай не единичный :(.

Answer 7

[Владимир Коротенко]

есть еще 3 х факторная система.
В банке привязка идет к симке (не номеру а imsi)
Привет русский стандарт

Comments

[fdroid]

Сбербанк тоже был с таким же "приветом". Потом их, вроде бы, отпустило.

[shurshur]

fdroid, у Сбербанка это до сих пор есть. Просто, как правило, банки в силу недешовости этого сервиса у операторов ставят на мониторинг не всех клиентов, а только тех, у кого на счету лежит много денег или с которыми есть ещё какие-то повышенные риски.

Answer 8

[Василий Банников]

То есть, зная пароль, но лишившись номера телефона, должно быть можно восстановить номер. А имея номер телефона, должно быть можно восстановить пароль.

Такие кейсы, обычно, обрабатываются вручную, тк владелец аккаунта должен как-то доказать что он-это он службе поддержки.
Хотя на сколько я знаю, некоторые сервисы это правило нарушают.

Comments

[Aelliari]

А некоторые не предоставляют такой возможности как класс

[Ярослав]

А некоторые не предоставляют такой возможности как класс

То есть, если один раз забыл пароль, то нельзя восстановить доступ вообще?

[Василий Банников]

Ярослав Поляков, ага. Так телеграм делает, например

[Aelliari]

Василий Банников, телеграм даёт привязать почту для возможности сброса. Да и у него не 2х факторная авторизация, у него двухэтапная что есть немного иная штука.

[Aelliari]

Ярослав Поляков, если сервис даёт возможность генерации резервных кодов для второго фактора - нет, но если ты их утратил, то сам себе злобный Буратино что умудрился потерять доступ к одному из факторов

Именно по этому fido2 - рулит, не нужны пароли там где это поддерживается, но нужен физический токен (который тоже можно потерять или сломать), токен может быть частью ОС (Android/iOS) или usb/nfc/bluetooth устройством.

Answer 9

[Dimonchik]

вот тут ошибка в рассуждениях

Значит, должна существовать схема восстановления каждого фактора.

восстановления 2FA не существует, только замена

Comments

[Ярослав]

Замена - вы имеете в виду, создание нового, пустого аккаунта?

[Dimonchik]

новой 2FA

[Ярослав]

dimonchik2013, привязанной к тому же аккаунту? В таком случае, есть смысл в "атаке через восстановление" (но можно назвать ее "атаке через замену 2FA").

Если взломщик притворяется клиентом, который забыл пароль, для замены 2FA, очевидно, пароль ему не потребуется.

[Dimonchik]

Ярослав Поляков, да, привязанной к тому же аккаунту

достаточно знать инфу навроде "когда регистрировали" для Гмейл или сходить в банк с паспортои и ибалом жертвы чтобы перепривязать

все просто

но не в IRL

Answer 10

[Alexey Dmitriev]

Не используйте SMS в 2FA, используйте одноразовый код из любого приложения Authenticator (Google, Microsoft), которое должно быть запаролено отдельным паролем (не отпечатком пальца с телефона и т.п.)

Comments

[Ярослав]

Если мы один из факторов сделаем супер-надежным (как вот вы описали), то как быть с восстановлением? Выше предложили один секурный, но неудобный вариант - просто никак не восстанавливать, или с личным визитом (но это не всегда возможно).

[Alexey Dmitriev]

Ярослав Поляков, я не предложил его делать супер надежным-я предложил его запаролить отдельно от телефона на котором это приложение установлено. Восстановить базу приложения можно из облака.