6 Марта, 2019

Как заставить людей сидеть и использовать двухфакторную аутентификацию: покажите видео, повторно использующее зубную щетку, чтобы почистить унитаз, а затем сравните его с повторным использованием пароля.

Владимир Безмалый

Образование, образование, образование — ключ к безопасности

Несмотря на то, что уже более десяти лет существуют средства многофакторной аутентификации для защиты учетных записей в Интернете, люди до сих пор не используют их. Сегодня пара ученых раскрыла потенциальные причины ограниченного использования.

Скорее всего это происходит потому, что, очевидно, недостаточно внимания уделяется четкому объяснению фактической необходимости в этом дополнительном уровне безопасности учетной записи.

В презентации на конференции RSA этого года, проходящей в Сан-Франциско на этой неделе, д-р Л. Джин Кэмп, профессор Университета Индианы в Блумингтоне в США, и кандидат в доктора Санчари Дас подробно рассказали, почему люди не используют Юбико ключи безопасности или аппаратные токены Google для многофакторной аутентификации (MFA).

Для тех, кто не знает: как правило, вы используете эти гаджеты, чтобы обеспечить дополнительный уровень безопасности при входе в систему. Вы вводите свое имя пользователя и пароль, как обычно, затем подключаете USB-ключ к компьютеру и нажимаете кнопку, чтобы активировать его. При этом, прежде чем впустить вас, проверяется правильность имени пользователя и пароля, а также то, что физический ключ действителен и привязан к вашей учетной записи.

Это означает, что мошенник должен знать ваше имя пользователя и пароль, и иметь ваш физический ключ для входа в систему как вы. Мы настоятельно рекомендуем вам расследовать активацию MFA в своих сетевых учетных записях, особенно важных, таких как веб-почта.

Выводы

То, что пара нашла во время своей исследовательской работы, разрушает любые предыдущие предположения о том, что отсутствие использования MFA связано с тем, что люди глупы или не могут использовать эту технологию. То, к чему это сводится, является образованием и передачей риска.

Дуэт провел двухэтапное тестирование, где пользователям рассказывали о технологии и показывали инструкции по ее использованию. Отзывы об этом этапе, которые показали, где люди застряли в процессе регистрации в MFA, были переданы производителям ключей безопасности, которые, как нам сказали, изменили свои инструкции и в результате отдали предпочтение простоте использования. Однако этого все еще не было достаточно.

«Даже после тренировочных сеансов они все еще не использовали его, — сказал доктор Кэмп. «Это было не дорого, потому что они получили оборудование бесплатно, и это не было удобством использования, потому что мы изменили инструкции, чтобы сделать их проще. В конце концов, информирование о рисках было ключевым».

На самом деле для передачи этого сообщения нужны различные методы. Они отметили, что молодые пользователи гораздо меньше беспокоятся о потере личной информации, и многие говорят, что все равно публикуют всю эту информацию в Интернете. Но покажите, как их банковские счета могут быть разграблены, и они обратят внимание.

Наиболее эффективным способом передачи сообщения о безопасности является видео. Доктор Кэмп сказал, что видео, показывающее, как повторное использование пароля похоже на повторное использование зубной щетки для чистки туалета, показало результат более эффективно, чем печатное предупреждение. Однофакторная, защищенная только паролем защита является слабой и слабой по сравнению с защитой MFA.

Тем не менее, более длинные видео лучше всего подходят для пожилых людей, в то время как более короткие ролики лучше подходят молодым.

Есть также страхи частной жизни. Биометрические двухфакторные системы — например, отпечатки пальцев и сканирование лица — были наиболее популярны среди пользователей. Но его принятие пострадало из-за опасений, что, если украдены такие данные, как отпечаток радужной оболочки, вы не сможете изменить свое лицо.

Когда менее 10 процентов пользователей Gmail входят в систему с двухэтапной аутентификацией, очевидно, что предстоит пройти долгий путь. ®