В настоящий момент наиболее широкое распространение получила многоступенчатая аутентификация, которая используется во многих IT-сервисах, социальных сетях, сайтах и т. д. Суть заключается в многоэтапном подтверждении личности различными способами, уменьшающими вероятность несанкционированного доступа.
Простейший пример — это связка из ввода: традиционных (буквенно-цифровых) логина-пароля (этап № 1) и одноразовой цифровой комбинации (этап № 2), которая присылается на мобильное устройство пользователя после этапа № 1. Дополнительным ограничивающим фактором является факт того, что комбинация из этапа № 2 действительна в течение небольшого отрезка времени с момента генерации, что уменьшает вероятность взлома.
Конечно, существуют и более сложные системы для многоуровневой аутентификации, включающие в себя самые различные методы, усложняющие подбор, перехват или симуляцию паролей-логинов.
Достоинства:
- · Доступность;
- · Если вторым лицам известен пароль и логин, то они все равно не смогут получить доступ;
Недостатки:
· Недостаточная защищенность от вредоносных программ.
Почему-же многоуровневая аутентификация недостаточна защищена от ВПО? Так как технический прогресс не стоит на месте, поэтому с развитием защиты данных так же развиваются и вредоносные программы, основная задача которых изъятие паролей и кодов доступа, а последние версии даже могут захватывать данные прямо с экрана, если используется ввод пароля с помощью виртуальной? клавиатуры.
Примером такого ПО является «ZEUS», появившиеся еще в 2007 году, он остается в ряду активных угроз и по сей день. По мнению ведущих аналитиков, данная программа считается виновной в 90% случаях банковских мошенничествах в мире (может проникать на персональные и мобильные устройства). В 2009 году в США было зафиксировано заражение на 3.6 млн. машин. Также в 2009 было зарегистрировано наибольшее количество модификации данного вредоносного программного обеспечения.
Наиболее опасные черта таких ПО:
- · Ведет учет наборов символов с клавиатуры, кроме этого может сохранять информацию об отметках (например, когда отмечаете поле «Запомнить пароль», или поля при регистрации счетов и прочее. Так же запоминает рисунок и область;
- · Может улавливать ввод данных с виртуальной клавиатуры;
- · Контролирует, данные проходящие через браузер и в случае, если вы заходите на страницу, если веб-страница была учтена в конфигурации, то ВПО может добавить несколько лишних полей (например, номер телефона, или поле для PIN-кода кредитной карты);
- · Удаление критически важных фрагментов реестра с целью нарушить нормальную загрузку операционной системы.
Противостоять подобным вредоносным программным комплексам, с вполне успешным результатами, помогают методы аутентификации пользователя, о которых рассказано далее.