5 декабря 2025 года граждане в коричневых рубашках из Минцифры «обрадовали» полиэтничный народ России очередной новостью.

«Двухфакторная аутентификация эффективно защищает информационные ресурсы от несанкционированного доступа. На Госуслугах можно выбрать один из нескольких вариантов подтверждения входа.

Из-за растущего числа случаев мошенничества, когда пользователи Госуслуг непреднамеренно передают СМС-коды для входа на портал, было принято решение постепенно отказаться от подтверждения входа на портал через СМС — пока это решение касается только входа на «Госуслуги» через мобильные устройства.»

Все это можно прочесть в посте «Вход в приложение «Госуслуги» можно подтвердить разными способами» на сайте Минцифры.

Новость «Пользователи мобильного приложения «Госуслуги» на Android не могут зайти в госсервис без кода из Max» на Хабре.

Но что делать если вы не разделяете ценности этих граждан в коричневых рубашках? И их стремление обезопасить себя от вас при помощи цифрового скам-поводка и номерков на руке в виде «Цифрового идентификационного номера»?

Решение (скорее всего временное, но все же) есть. И название ему – TOTP (Time-based one-time password, Алгоритм одноразовых паролей, зависящих от времени).

1. Что такое 2FA и TOTP?

Сначала нужно выяснить что такое 2FA или двухфакторная аутентификация (статья «What is 2FA (two-factor authentication)?»):

«Двухфакторная аутентификация (2FA) — это способ проверки личности пользователя путем запроса ровно двух подтверждений (того что человек, который пытается войти в аккаунт и его владелец – одно лицо), таких как пароль к онлайн-аккаунту (первый фактор) и одноразовый код из приложения-аутентификатора (второй фактор).

Большинство людей знакомы с системами безопасности 2FA на основе SMS-сообщений. В этой версии приложение отправляет числовой код на мобильный телефон пользователя при входе в систему. Пользователь должен ввести как свой пароль, так и код, чтобы продолжить. Ввод только одного из них недостаточен для аутентификации.

2FA является наиболее распространенной формой многофакторной аутентификации (MFA), которая относится к любому методу аутентификации, при котором пользователи должны предоставить более одного фактора аутентификации для подтверждения своей личности.

Хотя 2FA часто ассоциируется с компьютерными системами, она также может защищать физические активы и местоположения. Например, в здание с ограниченным доступом может потребоваться предъявить пропуск и пройти сканирование отпечатков пальцев для входа.»

Виды 2FA (статья «8 Multi Factor Authentication Types and How to Choose»):

1. Коды, присылаемые на электронную почту (безопасность зависит от безопасности электронной почты).

2. Одноразовые пароли (OTP), присылаемые по SMS или звонку (безопасность зависит от SIM-карт).

3. Биометрическая информация (снимок лица, сетчатки глаза или рисунка на подушачках пальцев, образцы голоса).

4. Приложения-аутентификаторы (зависят от безопасности самого приложения и мобильного устройства, на котором оно установлено).

5. Волшебные ссылки, то есть отправка уникальной, чувствительной ко времени ссылки на адрес электронной почты пользователя (безопасность зависит от безопасности электронной почты).

6. Вход через аккаунт в социальных сетях (безопасность зависит от безопасности самой социальной сети, способности пользователя обеспечить безопасность своей учетной записи, высокая опасность для конфиденциальности за счет связывания аккаунта в соц. сетях и других аккаунтов пользователя).

7. Программные токены, встроенные в приложения компаний (как пункт 4, только приложение-аутентификатор встраивается в более крупное приложение).

8. Смарт-карты и криптографические аппаратные токены, похожие на обычные кредитные карты или брелки для ключей (главная угроза – физическая кража).

9. Секретные вопросы вроде «день рождения человека», «кличка животного» или «название первого работодателя» (уязвимы для методов социальной инженерии или перебора вариантов).

10. Адаптивная аутентификация, когда внутри приложения могут запрашиваться новые методы аутентификации в зависимости от действий пользователей (два метода для входа в приложение, третий для совершения потенциально опасных операций, вроде финансовых переводов в банковском приложении).

11. Список предварительно сгенерированных кодов. Выглядит как табличка из 20 или более сгенерированных кодов, каждый – под своим номером (уязвимость заключается в потере такого листочка или файла).

В нашем случае речь будет идти о 4 пункте – приложения-аутентификаторы для одноразовых TOTP-кодов.

То есть TOTP-коды и приложения для их генерации – одна из разновидностей 2FA, которая предназначена для повышения безопасности аккаунта.

Определение TOTP (статья «What is TOTP and why do you need it?»):

«TOTP (одноразовый пароль, основанный на времени) — это алгоритм, который генерирует уникальный пароль для каждой попытки входа в систему, используя время в качестве счетчика. Через каждый фиксированный интервал (обычно 30 секунд) генерируется новый пароль. Это решает несколько проблем с традиционными паролями: их можно забыть, украсть или угадать. Одноразовые пароли (OTP) решают некоторые из этих проблем, но их доставка по SMS или электронной почте может быть ненадежной (или даже рискованной, учитывая, что это открывает новые векторы атак).

TOTP, однако, генерирует коды в автономном режиме, что делает его безопасным и удобным. Вам просто нужно приложение-аутентификатор на телефоне, и все готово — интернет не требуется.»

Секретный код – в нашем случае это 32-значный ключ (8 сегментов по 4 символа) от Госуслуг. Это то, как он выглядит на момент декабря 2025 года, потом его возможно изменят. Так же этот ключ может быть передан в виде QR-кода.

Генерируемый код – 6-значный код, который генерируется на устройстве пользователя при помощи специального приложения, внутри которого происходит «математическая магия» на основе текущего времени и метода HMAC (внутри которого взаимодействуют секретный код и хеш-функция).

Пояснение к картинкам: сервер генерирует 6-значный временный код на основе 32-значного секретного кода + временной период + метод HMAC (хеш-функция). То же самое делает приложение для 2FA на телефоне пользователя. Если 6-значные коды совпадают, то человек получает доступ к приложению, в которое хочет зайти.

Когда в других постах люди писали в духе «Потерял телефон и пришлось топать ножками в МФЦ» вся их проблема была прежде всего не в том, что они потеряли не телефон или приложение, а в том что они потеряли этот 32-значный секретный код, который хранился внутри приложения на телефоне. И который они никуда не скопировали на всякий пожарный случай.

2. Преимущества двухфакторной аутентификации через TOTP над двухфакторной аутентификации через SMS

1. Работает в автономном или офлайн-режиме.

2. Регистрация без PII (Personally identifiable information, личная информация — это любая информация, связанная с конкретным человеком, которая может быть использована для раскрытия или кражи его личности, например, номер социального страхования, полное имя, адрес электронной почты или номер телефона).

3. Стандартизированное решение для аутентификации (описание и код на Java были опубликованы в 2011 году).

4. Программное обеспечение, не зависящее от тарифов оператора связи или доступа к телефонии.

5. Более быстрое среднее время аутентификации.

6. Повышенная безопасность по сравнению с SMS: секретный ключ для TOTP передается только один раз, и метод не зависит от телефонной сети, что помогает уменьшить поверхность атаки. TOTP имеет более надежное подтверждение владения, чем SMS, к которому можно законно получить доступ с нескольких устройств и которое может быть подвержено атакам с подменой SIM-карты в устройстве.

Инфа взята из статьи «What is a Time-based One-time Password (TOTP)?».

3. Настройка TOTP на Android

В принципе инструкцию можно взять и с самого сайта Госуслуг:

1. Установите приложение для работы с одноразовым кодом (TOTP). Одноразовый код будет приходить в приложение для работы с ним. При потере доступа к этому приложению войти на Госуслуги с одноразовым кодом не получится.

2. В личном кабинете откройте: Профиль → Безопасность → Вход в систему.

3. Выберите: Вход с подтверждением → Одноразовый код (TOTP) → Продолжить.

4. Откройте на телефоне приложение для работы с одноразовым кодом.

5. В приложении отсканируйте QR‑код или введите ключ — появится запись «Gosuslugi» с кодом, который будет периодически обновляться.

6. Введите на Госуслугах одноразовый код из приложения.

Наглядно это можно посмотреть на картинках, которые взяты из поста на DTF «Не хочу ставить MAX для Госуслуг» (человек использовал приложение «Яндекс Ключ»):

Тоже самое с интерфейсом для ПК – картинки взяты из статьи «Аутентификация на «Госуслугах» без SMS» на сайте антивируса Касперского:

Вставка секретного кода с вариантом Госуслуг на ПК такая же как и в варианте Госуслуг на телефоне (в обоих случаях используется мобильное приложение для 2FA, во всех них примерно одинаковый интуитивно понятный интерфейс).

Пара уточнений:

1. Код не будет «приходить», он будет именно генерироваться локально на устройстве пользователя (на телефоне).

2. Запись внутри приложения-аутентификатора можно назвать как захотите, не обязательно «Gosuslugi». Название «Gosuslugi» задается автоматически только при сканировании QR-кода с сайта или с приложения Госуслуг через приложение для 2FA.

3. Код из приложения понадобится только при его запросе при входе в Госуслуги.

4. Вход в само приложение-аутентификатор можно дополнительно обезопасить, установив для него проверку по PIN-коду, биометрии и так далее.

4. Какое приложение для 2FA выбрать для Android?

Большинство пользователей, вероятно, выберет одно из самых популярных мобильных приложений для 2FA (Яндекс ключ, Google Authenticator, Microsoft Authenticator) и в принципе будут правы. Потому что все эти приложения выполняют плюс-минус одну функцию, а для неискушенного пользователя главное – доверие к той или иной компании и ее программам. Яндекс, Гугл и Майкрософт у всех на слуху, они существуют уже не первое десятилетие, так что большинство выберет решение от этих корпораций.

Если посмотреть другие варианты, то можно увидеть рекомендации следующих приложений:

1. PCMag (наглосакский компьютерный журнал, который выходил в печатном виде с 1982 года) в статье 2025 года выше всего оценил 2 приложения: 2FAS и Aegis Authenticator.

2. Наглосаксы с Реддита лучшим приложением в одной из тем назвали Aegis Authenticator как лучшее 2FA приложение.

3. И все те же наглосаксы с Реддита в другой теме назвали лучшим опен сорс (открытый исходный код программы, который может любой посмотреть на, например, Гитхабе) 2FA приложением все тот же Aegis Authenticator и Ente Auth.

5. Последние советы с сайта антивируса Касперского

Наткнулся на статью «The best authenticator apps for Android, iOS, Windows, and macOS» в процессе поиска инфы по теме. Сама статья средняя, но вот советы из ее конца можно привести здесь:

1. Вы никогда не ограничены использованием только одного приложения-аутентификатора. Один вариант может быть лучше для одних целей, другой — для других. Вы можете — и должны — комбинировать приложения в зависимости от ваших потребностей.

2. Мы рекомендуем обратить внимание на безопасность. Установите надежную блокировку устройства и всегда включайте защиту доступа к приложению, особенно если вы планируете использовать один из аутентификаторов, который позволяет легко экспортировать токены (Google Authenticator, andOTP, OTP auth или WinAuth). С этими приложениями, которые отдают приоритет простоте доступа, потенциальный злоумышленник может не только украсть одноразовый код, который работает 30 секунд, но и быстро клонировать все токены.

3. Не забудьте сделать резервную копию ваших токенов, особенно если вы выбрали одно из приложений, в котором вы не можете просмотреть секретный ключ или QR-код или экспортировать токены в файл (другими словами, большинство из них). Резервная копия пригодится, если вы потеряете свой смартфон или если, например, приложение перестанет работать правильно после обычного обновления. В большинстве случаев восстановление аутентификатора без резервной копии будет намного сложнее.

Резервное копирование лучше проводить с помощью программ на ПК, например, с помощью KeePassXC, но его настройка и использование уже тема другой статьи.

P.s. Кстати, в статье «Understanding TOTP Two-Factor Authentication: An ELI5» автор говорит, что основные свойства TOTP кодов можно настроить: символов может быть не 6, а от 4 до 10, срок жизни временного пароля может составлять от нескольких секунд до нескольких дней.

P.p.s ВНИМАНИЕ! ВСЕМ АЛКОГОЛИКАМ, СКУФАМ ЗА 50 ЛЕТ И ПРОСТО ГРАЖДАНАМ С 2-ЗНАЧНЫМ IQ.

Ставьте строго "Яндекс Ключ" по этой ссылке - https://play.google.com/store/apps/details?id=ru.yandex.key

Яндекс это надежная, посконная, скрепная, суверенная, православная, ОТЕЧЕСТВЕННАЯ корпорация, которой можно доверять. Потому что если не доверять ей, то кому? MAX, которому предлагается доверять вход в Госуслуги, создается то ли силами Мейл.ру, то ли силами какой-то мутной фирмочки со штатом 13 человек.

Все остальные разработчики 2FA приложений, которые были перечислены в статье, это рептилоиды, инагенты, серые, анунаки, НАГЛОСАКСЫ, которые рано или поздно будут схвачены, допрошены и расстреляны из главного орудия танка Т-90М!!!

КРАТКИЙ СМЫСЛ-ПЕРЕСКАЗ СУТИ ПРОБЛЕМЫ

Существует мнение, что многофакторная защита авторизации, гарантировано защищает аккаунты от взлома. Но это не совсем так.

Несмотря на активное внедрение многофакторной аутентификации (MFA), киберпреступники научились обходить её с помощью всё более изощрённых методов.

Один из них — атаки типа «противник посередине» (Adversary-in-the-Middle, AiTM), которые особенно эффективно реализуются через обратные прокси-серверы.

Эти атаки позволяют перехватывать не только логины и пароли, но и сессионные cookies, открывая злоумышленникам путь в защищённые аккаунты, даже если включена MFA.

Популярность этого метода подкрепляется удобством: благодаря наборам инструментов «Фишинг как услуга» (Phishing-as-a-Service, PhaaS) , таких как:
Tycoon 2FA, Evilproxy, Rockstar 2FA и других.

Даже неспециалисты могут запустить такую кампанию.

Разработчики этих комплектов постоянно обновляют их, добавляя функции обхода защитных механизмов, маскировки трафика и сбора дополнительных данных.

Например, инструменты ограничивают доступ к фишинговым страницам только по точной ссылке, используют фильтрацию по IP-адресу и User-Agent, внедряют динамически обфусцированный JavaScript и задерживают активацию ссылок, чтобы обойти защиту на стороне почтовых сервисов.

Фишинговые прокси работают по схеме:
Пользователь переходит по ссылке, указывает логин и пароль, а затем подтверждает MFA.

Всё это происходит на настоящем сайте — просто через прокси-сервер атакующего.

После успешной аутентификации сайт выдаёт сессионную cookie, которую перехватывает злоумышленник. В его руках оказывается полный доступ к учётной записи.

Некоторые атакующие тут же добавляют своё MFA-устройство в профиль жертвы, чтобы сохранить доступ и после окончания текущей сессии.

БОЛЕЕ ПОДРОБНОЕ ИЗУЧЕНИЕ ПРОБЛЕМЫ "
Современный фишинг: обход MFA. Автор: Джейсон Шульц"

Киберпреступники обходят многофакторную аутентификацию (MFA), используя атаки типа «злоумышленник посередине» (AiTM) через обратные прокси-серверы, перехватывая учётные данные и файлы cookie для аутентификации.

• Разработчики таких комплектов «Фишинг как услуга» (PhaaS), как Tycoon 2FA и Evilproxy, добавили функции, которые упрощают их использование и затрудняют обнаружение.
  

• WebAuthn, решение для многофакторной аутентификации без пароля, использующее криптографию с открытым ключом, предотвращает передачу пароля и обнуляет серверные базы данных аутентификации, обеспечивая надёжную защиту от атак с обходом многофакторной аутентификации.
  

• Несмотря на значительные преимущества в плане безопасности, WebAuthn внедряется медленно. Компания Cisco Talos рекомендует организациям пересмотреть свои текущие стратегии многофакторной аутентификации в свете этих развивающихся фишинговых угроз.

В течение последних тридцати лет фишинг был основным средством в арсенале многих киберпреступников.

Все специалисты по кибербезопасности знакомы с фишинговыми атаками: преступники выдают себя за сайт, которому доверяют, в попытке вынудить жертв социальной инженерии к разглашению личной информации, такой как имена пользователей учетных записей и пароли.

На заре фишинга киберпреступникам часто было достаточно создавать поддельные целевые страницы, соответствующие официальному сайту, собирать учетные данные для аутентификации и использовать их для доступа к учетным записям жертв.

С тех пор сетевые защитники пытались предотвратить подобные атаки, используя различные методы. Помимо внедрения мощных систем защиты от нежелательной почты для фильтрации фишинговых писем из почтовых ящиков пользователей, многие организации также проводят имитационные фишинговые атаки на своих собственных пользователей, чтобы научить их распознавать фишинговые письма.

Какое-то время эти методы работали, но по мере того, как фишинговые атаки становились все более изощренными и целенаправленными, фильтры спама и обучение пользователей становились менее эффективными.

В основе этой проблемы лежит тот факт, что имена пользователей часто легко угадать или вычислить, а люди, как правило, очень плохо используют надёжные пароли. Люди также склонны повторно использовать одни и те же слабые пароли на разных сайтах. Киберпреступники, зная имя пользователя и пароль жертвы, часто пытаются взломать учётные данные и войти на разные сайты, используя одну и ту же комбинацию имени пользователя и пароля.

Чтобы подтвердить подлинность пользователей, системы аутентификации обычно используют как минимум один из трёх методов или факторов аутентификации:

• Что-то, что вы знаете (например, имя пользователя и пароль)

• Что-то, что у вас есть (например, смартфон или USB-ключ)

• Что-то, чем вы являетесь (например, ваш отпечаток пальца или распознавание лица)

В условиях появления всё более изощрённых фишинговых сообщений использование только одного фактора аутентификации, такого как имя пользователя и пароль, является проблематичным.
Многие сетевые администраторы в ответ на это внедрили многофакторную аутентификацию, которая включает дополнительный фактор, например SMS-сообщение или push-уведомление, в качестве дополнительного шага для подтверждения личности пользователя при входе в систему.
Благодаря включению дополнительного фактора в процесс аутентификации скомпрометированные имена пользователей и пароли становятся гораздо менее ценными для киберпреступников.
Однако киберпреступники — изобретательные люди, и они нашли хитрый способ обойти многофакторную аутентификацию. Добро пожаловать в безумный мир обхода многофакторной аутентификации!

Как злоумышленники обходят MFA?

Чтобы обойти MFA, злоумышленники встраиваются в процесс аутентификации с помощью атаки «злоумышленник посередине» (AiTM).

Как правило, это делается с помощью обратного прокси-сервера. Обратный прокси-сервер функционирует как сервер-посредник, принимающий запросы от клиента и перенаправляющий их на реальные веб-серверы, к которым клиент хочет подключиться.

Чтобы обойти многофакторную аутентификацию, злоумышленник настраивает обратный прокси-сервер и рассылает фишинговые сообщения как обычно. Когда жертва подключается к обратному прокси-серверу злоумышленника, он перенаправляет трафик жертвы на настоящий сайт.
С точки зрения жертвы, сайт, к которому она подключилась, выглядит подлинным — и это так!
Жертва взаимодействует с законным сайтом.

Единственное отличие, заметное жертве, — это расположение сайта в адресной строке браузера.

Вклинившись в этот процесс обмена данными между клиентом и сервером, злоумышленник может перехватить имя пользователя и пароль, которые отправляются от жертвы на легитимный сайт.

Это завершает первый этап атаки и запускает запрос многофакторной аутентификации, отправляемый жертве с легитимного сайта.

Когда ожидаемый запрос многофакторной аутентификации получен и одобрен, файл cookie аутентификации возвращается жертве через прокси-сервер злоумышленника, где он перехватывается злоумышленником.

Теперь злоумышленник владеет как именем пользователя и паролем жертвы, так и файлом cookie аутентификации с официального сайта.

Наборы для фишинга как услуги (PhaaS)

Благодаря готовым наборам инструментов «Фишинг как услуга» (Phaas) практически любой может проводить такого рода фишинговые атаки, не зная многого о том, что происходит «под капотом».

В этой сфере появились такие наборы инструментов, как Tycoon 2FA, Rockstar 2FA, Evilproxy, Greatness, Mamba 2FA и другие.

Со временем разработчики некоторых из этих наборов инструментов добавили функции, чтобы сделать их более простыми в использовании и менее заметными:

• Наборы для обхода MFA от Phaas обычно включают шаблоны для самых популярных фишинговых целей, чтобы помочь киберпреступникам в организации фишинговых кампаний.
  

• Наборы для обхода MFA ограничивают доступ к фишинговым ссылкам только для тех пользователей, у которых есть правильный фишинговый URL-адрес, и перенаправляют других посетителей на безопасные веб-страницы.
  

• Наборы для обхода многофакторной аутентификации часто проверяют IP-адрес и/или заголовок User-Agent посетителя, блокируя доступ, если IP-адрес соответствует известной компании по обеспечению безопасности/крадущемуся программному обеспечению или если User-Agent указывает на то, что это бот.
  
  Фильтры User-Agent также могут использоваться для дальнейшей нацеливания фишинговых атак на пользователей, использующих определённое оборудование/программное обеспечение.
  

• Наборы для обхода MFA с обратным прокси-сервером обычно вводят свой собственный код JavaScript на страницы, которые они предоставляют жертвам, для сбора дополнительной информации о посетителе и обработки перенаправлений после кражи файла cookie аутентификации.
  Эти скрипты часто динамически запутываются для предотвращения статического снятия отпечатков пальцев, что позволило бы поставщикам средств безопасности идентифицировать сайты атак в обход MFA.
  

• Чтобы обойти антифишинговые защиты, которые могут автоматически переходить по URL-адресам, содержащимся в электронном письме, в момент его получения, может быть предусмотрена короткая программируемая задержка между отправкой фишингового сообщения и активацией фишингового URL-адреса.

Ускоряют рост атак в обход MFA через обратный прокси общедоступные инструменты с открытым исходным кодом, такие как Evilginx. Evilginx дебютировал в 2017 году как модифицированная версия популярного веб-сервера с открытым исходным кодом nginx. Со временем приложение было переработано и переписано на Go и реализует собственный HTTP и DNS-сервер. Хотя он позиционируется как инструмент для тестирования red teams на проникновение, поскольку у него открытый исходный код, любой может скачать и модифицировать его.

К счастью для защитников, существуют общие для Evilginx и других инструментов для обхода MFA характеристики, которые могут указывать на то, что атака с обходом MFA уже началась:

• Многие серверы обратного прокси-сервера для обхода MFA размещены на относительно недавно зарегистрированных доменах/сертификатах.
  

• Получение файла cookie для аутентификации предоставляет злоумышленникам доступ к учетной записи жертвы только на этот единственный сеанс.
  
  Получив доступ к учетной записи жертвы, многие злоумышленники добавляют к учетной записи дополнительные устройства MFA для поддержания сохраняемости.
  
  Проверяя журналы MFA на предмет такого рода активности, правозащитники могут обнаружить учетные записи, ставшие жертвами атак в обход MFA.
  

• По умолчанию URL-адреса фишинговых приманок Evilginx состоят из 8 букв в смешанном регистре.
  

• По умолчанию Evilginx использует HTTP-сертификаты, полученные от LetsEncrypt. Кроме того, сертификаты, которые он создаёт по умолчанию, имеют организацию «Evilginx Signature Trust Co.» и общее имя «Evilginx Super-Evil Root CA».
  

• После того, как злоумышленник перехватил файл cookie для аутентификации сеанса, он обычно загружает этот файл cookie в свой собственный браузер, чтобы выдать себя за жертву.
  
  Если злоумышленник не будет осторожен, какое-то время два разных пользователя с разными пользовательскими агентами и IP-адресами будут использовать один и тот же файл cookie сеанса. Это можно обнаружить с помощью веб-журналов или продуктов безопасности, которые ищут такие вещи, как “невозможное перемещение”.
  

• Чтобы жертва не переходила по ссылке, которая перенаправляет ее с фишингового сайта, обратный прокси-сервер Evilginx переписывает URL-адреса, содержащиеся в HTML-формате, с законного сайта.
  
  Популярные цели фишинга могут использовать очень специфические URL-адреса, и сетевые защитники могут искать эти URL-адреса, обслуживаемые с серверов, отличных от легитимного сайта.
  

• Многие реализации обратного прокси-сервера для обхода многофакторной аутентификации написаны с использованием встроенных в язык программирования реализаций Transport Layer Security (TLS). Таким образом, отпечаток TLS обратного прокси-сервера и легитимного веб-сайта будет отличаться.

WebAuthn спешит на помощь?

FIDO (Быстрая идентификация личности онлайн) Альянс и W3C создали WebAuthn (Web Authentication API) - спецификацию, которая позволяет выполнять MFA на основе криптографии с открытым ключом. WebAuthn, по сути, не имеет пароля.

Когда пользователь регистрируется в MFA с помощью WebAuthn, генерируется криптографическая ключевая пара. Закрытый ключ хранится на устройстве пользователя, а соответствующий открытый ключ хранится на сервере.

Когда клиент хочет войти в систему, он сообщает об этом серверу, который отвечает запросом. Затем клиент подписывает эти данные и возвращает их серверу. Сервер может проверить, что запрос был подписан с помощью закрытого ключа пользователя.

Пароли никогда не вводятся в веб-форму и не передаются по интернету. Это также делает базы данных аутентификации на стороне сервера бесполезными для злоумышленников. Что хорошего в краже открытого ключа?

Рисунок 3. Процесс аутентификации WebAuthn.

В качестве дополнительного уровня безопасности учётные данные WebAuthn также привязываются к источнику веб-сайта, на котором они будут использоваться. Например, предположим, что пользователь переходит по ссылке в фишинговом сообщении на контролируемый злоумышленником обратный прокси-сервер mfabypass.com, который выдаёт себя за банк пользователя.

Адрес в адресной строке веб-браузера не будет соответствовать адресу банка, к которому привязаны учётные данные, и процесс многофакторной аутентификации WebAuthn завершится ошибкой.

Привязка учётных данных к определённому источнику также предотвращает связанные с идентификацией атаки, такие как переполнение учётными данными, когда злоумышленники пытаются повторно использовать одни и те же учётные данные на нескольких сайтах.

Несмотря на то, что спецификация WebAuthn была впервые опубликована в 2019 году, она внедрялась относительно медленно.

Судя по данным телеметрии аутентификации Cisco Duo за последние шесть месяцев, аутентификация с помощью WebAuthn по-прежнему составляет очень небольшой процент от всех аутентификаций с помощью MFA.

В определенной степени это понятно. Многие организации, возможно, уже внедрили другие типы MFA и могут считать, что это достаточная защита.

Однако они могут захотеть пересмотреть свой подход, поскольку все больше и больше фишинговых атак используют стратегии обхода MFA.

Покрытие

Cisco Secure Endpoint (ранее AMP для конечных устройств) идеально подходит для предотвращения запуска вредоносного ПО, описанного в этой статье. Попробуйте Secure Endpoint бесплатно здесь.

Cisco Secure Email (ранее Cisco Email Security) может блокировать вредоносные электронные письма, отправляемые злоумышленниками в рамках их кампании. Вы можете бесплатно попробовать Secure Email здесь.

Cisco Secure Firewall (ранее называвшиеся Next-Generation Firewall и Firepower NGFW), такие как Threat Defense Virtual, Adaptive Security Appliance и Meraki MX, могут обнаруживать вредоносные действия, связанные с этой угрозой.

Cisco Secure Network/Cloud Analytics (Stealthwatch/Stealthwatch Cloud) автоматически анализирует сетевой трафик и предупреждает пользователей о потенциально нежелательной активности на каждом подключенном устройстве.

Cisco Secure Malware Analytics (Threat Grid) выявляет вредоносные двоичные файлы и встраивает защиту во все продукты Cisco Secure.

Cisco Secure Access — это современная облачная служба безопасности (SSE), построенная на принципах нулевого доверия. Secure Access обеспечивает бесперебойный, прозрачный и безопасный доступ к интернету, облачным сервисам или частным приложениям независимо от того, где работают ваши пользователи.

Если вас интересует бесплатная пробная версия Cisco Secure Access, пожалуйста, свяжитесь с представителем Cisco или авторизованным партнером.

Umbrella, защищенный интернет-шлюз Cisco (SIG), блокирует доступ пользователей к вредоносным доменам, IP-адресам и URL-адресам независимо от того, находятся ли пользователи в корпоративной сети или за ее пределами.

Cisco Secure Web Appliance (ранее Web Security Appliance) автоматически блокирует потенциально опасные сайты и проверяет подозрительные сайты перед доступом к ним пользователей.

Дополнительные средства защиты с учётом особенностей вашей среды и данных об угрозах доступны в Центре управления брандмауэром.

Cisco Duo обеспечивает многофакторную аутентификацию пользователей, гарантируя, что только авторизованные пользователи получат доступ к вашей сети.