У вас свой сайт с регистрацией клиентов в личном кабинете или онлайн-сервис? Задумывались ли вы о том, как защитить аккаунты пользователей от мошеннических атак и взломов паролей? 
Мы побеседовали с Артуром Гайнуллиным, исполнительным директором "УНИТС" (инновационное подразделение компании "Такснет"). Он рассказал о важности двухфакторной аутентификации при использовании паролей. А также о современной технологии безопасности в виде приложения Identify,
разработанного компанией УНИТС, которое гарантирует защиту учетной записи от взлома.

– Почему одного пароля для защиты своей учетной записи недостаточно?
Даже если ваш пароль надёжный (содержит строчные и заглавные буквы, цифры, символы и буквы; не совпадает со словарными словами и имеет длину больше 9ти символов), то нет никакой гарантии, что он не будет перехвачен. Есть множество мошеннических схем, начиная от банального брутфорса (перебора паролей) и кейлогеров (регистрация действий пользователя – нажатия клавиш на клавиатуре) до более сложных в организации – Кликджекинга, XSS-атак и CSRF-атак (когда хакер выполняет клик на сайте-жертве от имени посетителя).  
Ну и конечно не нужно забывать, что чуть ли не каждый месяц происходит очередная утечка паролей. И есть сайты и сервисы, которые их заботливо собирают (недавно даже бота сделали для телеграм). Поэтому подборка (взлом) чужого пароля чаще всего является не такой уж и не решаемой задачей. 

– Какие современные технологии безопасности могут решить проблему с атаками на учетную запись?
Если ваш аккаунт защищен не только паролем, но и вторым фактором (дополнительная защита электронных данных, когда для подтверждения входа требуется не только пароль, но и, например, код из смс), то все вышеназванные манипуляции могут оказаться абсолютно бесполезными. В этом случае если кто-то узнает пароль, но не знает, например, одноразовый код доступа, то ценность такого знания сводится на нет: в аккаунт все равно попасть не получится. Кстати, многие сервисы, такие как Яндекс или Майл.ру  в скором будущем планируют полный отказ от паролей. 
Мы создали удобное приложение Identify, которое работает как менеджер паролей с поддержкой двухфакторной аутентификации (процедура проверки подлинности с помощью второго фактора), которое можно использовать на любых сайтах и сервисах.

– Каков принцип работы приложения Identify? 
Менеджер паролей – только одно из его применений. Identify – это решение, позволяющее внедрить аутентификацию и подтверждение операций. Есть два алгоритма работы – со встраиванием и без. Если Identify встраивается в какой-нибудь сервис, например, банк, то авторизация осуществляется в один клик. Пользователь заходит в аккаунт, к нему приходит push-сообщение, содержащее всю информацию о транзакции. Далее от него требуется лишь подтвердить или отклонить операцию (авторизация, перевод денег и т.д). 

Если же речь о работе с теми сервисами, которые еще не были интегрированы с Identify, то здесь тоже всё просто. Пользователь устанавливает расширение для браузера и мобильное приложение (Android, iOS), придумывает мастер-пароль (единственный пароль, который ему теперь нужно знать) и сохраняет все пароли при первичной авторизации. При повторном заходе Identify сам подставит пароль за пользователя. Пользователю нужно лишь подтвердить это действие в мобильном приложении. 

– От кого и чего защищает Identify?
Приложение Identify это комплексное решение, поэтому его защита работает на всех этапах: в мобильном телефоне, браузере, на сервере и в канале передачи. Все сообщения передаются зашифрованными, а в каждой точке коммуникации происходит дополнительная проверка сообщения и устройства, которое его принимает. Например, в мобильном приложении у него реализована проверка целостности устройства, имеются датчики безопасности операционной системы и еще несколько скрытых проверок софта и устройства. Схожие механизмы имеются и в браузере. 
Identify защищает пользователя как от мошеннических перехватов паролей с помощью Кликджекинга (прежде чем подставить пароль проверяются все формы), так и от любых подобных атак. Потому что используется двухфакторная аутентификация и end-end шифрование (сквозное шифрование, которое не позволяет получить доступ к криптографическим ключам со стороны третьих лиц).

Identify - сервис, который гарантирует, что доступ к своей учетной записи может получить только ее владелец, даже если пароль от нее стал известен кому-то еще

– Для каких пользователей приложение Identify сейчас наиболее востребовано?
Это могут быть банки и другие финансовые и технические организации, торговые площадки, криптобиржи, системы электронного документооборота (в том числе международные), веб-сервисы и т.п.
Приложение решит задачи корпоративных клиентов, которым важна не только безопасность, но и возможность сэкономить, например, на отправке смс. Используя Identify вместо стандартных механизмов аутентификации, владельцы систем могут снизить издержки до 10 раз, а если мы говорим о международной отправке – то до 100 раз! 
Identify удобнее обычных смс и push еще и тем, что является двухсторонней системой взаимодействия – оно ведет полную историю всех подтверждений, статистику прочтений и т.д. К тому же оно не ограничено только текстом, с помощью Identify можно отправлять любые, в том числе мультимедийные сообщения (картинки, графики, видео и т.д). Ну и всем этим конечно можно удобно управлять, делая массовые рассылки или, например, отложенную отправку. 

– Не получится так, что кто-то из разработчиков продукта Identify сможет заполучить доступ к аккаунту пользователя?
Это исключено. Все пароли шифруются локально (на устройстве пользователя) на мастер-ключ, затем специальным образом разбивается на части и в таком виде передаются на сервер. Так как мастер-ключ знает только пользователь, то расшифровать его разработчик не сможет даже если очень сильно захочет. 

– Как происходит интеграция Identify в различные сервисы и мобильные приложения?

Мы очень гибки в плане интеграции и кастомизации. Во-первых, у нас есть метод  API (описание способов, которыми одна программа может взаимодействовать с другой программой), то есть написав пару методов можно встроить наше решение почти в любую систему на сервере. 

Во-вторых, мы разработали свой  SDK (набор инструментальных средств разработки системы). Если клиенту требуется работать со своим собственным приложением или приложением под White Label (модель сотрудничества, при которой одна компания производит продукт, а другая продает его под собственным брендом), то он сможете легко это сделать. 

Советуем использовать безопасную двухфакторную аутентификацию на всех сайтах и сервисах. С помощью решения Identify можно легко управлять аккаунтами и подтверждать доступ к сервисам прямо в мобильном приложении. Ваш бизнес будет гарантированно защищен от взлома и действий злоумышленников.

Посмотреть и скачать презентацию сервиса Identify можно тут

Автор статьи: ЗАО ТаксНет