Security Lab

Двух-чего-то-там аутентификация

Двух-чего-то-там аутентификация
Как многие уже слышали, LinkedIn, вслед за Google и Facebook, ввел так называемую двухфакторную аутентификацию пользователей. Вношу поправку.

Все мы знаем, что фактор аутентификации это:

  • или известный пользователю кусок данных (например, пароль),
  • или принадлежащий пользователю редкий (или уникальный) предмет (например, криптографический токен),
  • или, снова таки, уникальный элемент строения тела пользователя (отпечаток пальца, рисунок сетчатки глаза, форма кисти руки и пр.)

Если пользователь предъявляет системе два разных фактора, такая аутентификация называется двухфакторной. Если пользователь представляет системе два экземпляра одного фактора (в случае с LinkedIn так и есть), такая аутентификация не называется двухфакторной. Предъявление двух паролей, один из которых пользователь знает, а второй получает через SMS, называется двухканальной.

Можно, конечно, возразить, что в этом случае вторым фактором является телефонный аппарат или SIM-карта пользователя, но это уже полемика: SIM-карта клонируется или "восстанавливается" через уязвимости организационных процессов центра поддержки абонентов мобильной сети, так что у нас редко есть уверенность в том, что в настоящий момент номер мобильного телефона принадлежит конкретному пользователю.
Alt text

Не ждите, пока хакеры вас взломают - подпишитесь на наш канал и станьте неприступной крепостью!

Подписаться

Vlad Styran

информационно. безопасно.*