Нужна ли в соцсетях усиленная аутентификация?

С необходимостью двухфакторной аутентификации (two-factor authentication) для важных служебных и личных аккаунтов — особенно, связанных с оборотом финансовых средств — уже никто не спорит. Но усиленная аутентификация клиента в социальных сетях многим кажется чрезмерной предосторожностью. Ведь соцсети, как правило, служат только для развлечения, общения с друзьями, просмотра новостей. Денежные средства в них не “крутятся”, корпоративные секреты не хранятся. Что там может заинтересовать хакеров? Однако, для сетевых мошенников интересен буквально каждый пользователь интернета. И события последнего времени как нельзя лучше подтверждают эту истину.

С начала этого года бушует настоящая эпидемия разглашения конфиденциальной информации частных пользователей. Причем, от утечек пострадала система защиты данных сразу нескольких крупнейших социальных сетей. Мы уже писали о скандале с LinkedIn. А буквально через пару недель после случившегося хакер под ником Peace_of_mind, который ранее продавал данные с LinkedIn, Tumblr и MySpace на «черном рынке” интернета, обнародовал новые “коммерческие предложения”: более 100 млн. учетных записей социальной сети ВКонтакте, а вслед за ними — 379 млн. аккаунтов Twitter. (По статистике, каждый месяц Twitter имеет 310 млн. активных пользователей. Но, видимо, в базу попали и те, кто уже давно не заходит на свою страничку в Twitter.)

Агрегатор утечек LeakedSourse получил от анонимного доброжелателя дамп выставленных на продажу баз и сообщил, что в них содержатся ФИО, адреса электронной почты, пароли и телефоны, привязанные к аккаунтам. На сайте LeakedSourse можно проверить, попал ли тот или иной аккаунт в число скомпрометированных. Правда, процедура эта не бесплатная.

У всех последних инцидентов есть одна общая черта: утечки данных произошли не сегодня. Большинство из них случилось в промежутке между 2011-2013 годами. Казалось бы, можно облегченно перевести дух: за такое продолжительное время старые секреты утратили актуальность, пароли к аккаунтам и другие регистрационные данные давно сменились. Реальность же оказалась не столь утешительной. Специалистами были проверены 100 случайных e-mail из числа скомпрометированных и выяснилось, что 92 до сих пор привязаны к ученым записям пользователей.

От взломов соцсетей пострадал сам отец-основатель Facebook Марк Цукерберг. Хакеры завладели его аккаунтами в Twitter и Pinterest, в доказательство чего даже опубликовали обращение к Цукербергу на его странице. Утверждалось также, что был получен доступ и к учетной записи Марка в Instagram. (Ирония в том, что сервис этот принадлежит Facebook.) Правда, это заявление не подтвердилось. Взлом стал возможен из-за того, что среди похищенных паролей LinkedIn оказался и принадлежащий Цукербергу. Тот же самый пароль использовался им в Twitter, что помогло взломщикам скомпрометировать и эту учетную запись. Правда, выяснилось, что аккаунт Цукерберга в сети микроблогов не используется еще с 2012 года. Возможно, именно этим объясняется то, что хозяин не заботился о регулярном изменении пароля и прочих мерах, которые предусматривают правила защиты данных пользователя. Как видим, создателю Facebook оказались свойственны те же ошибки, что и обычным людям: один пароль для нескольких учетных записей и отсутствие двухфакторной аутентификации.

Выводы, которые можно сделать из череды взломов крупнейших социальных сетей, не новы, но по-прежнему актуальны.

Больше внимания паролям

Рейтинги самых плохих и предсказуемых паролей опубликованы во многих источниках — и в нашем блоге тоже. Стоит ознакомиться с ними и избегать применения этих “шедевров” для защиты своих аккаунтов.

Но даже самые сложные пароли нуждаются в периодической замене — хотя бы раз в несколько месяцев.

Логина и пароля недостаточно

Все больше сайтов (и социальные сети относятся к их числу) предоставляют своим пользователям возможность подключения к учетной записи двухэтапной аутентификации. К сожалению, до сих пор не все понимают важность 2FA и не хотят тратить время на эту процедуру. Между тем, усиленная аутентификация поможет сохранить контроль над своим аккаунтом даже тогда, когда мошенникам стали известны пароль и e-mail к нему. Без знания временного пароля (one time password), необходимого для авторизации, завладеть учетной записью у злоумышленников не получится.

Стоит ли использовать в социальных сетях двухфакторную аутентификацию и одноразовые пароли? На этот вопрос каждый пользователь должен ответить сам.

Author: Ann

Share This Post On

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Подпишитесь на нашу рассылку!

Подпишитесь на нашу рассылку!

Подпишитесь на нашу рассылку и получайте последние новости из мира информационной безопасности от блога Protectimus.

Спасибо за подписку на нашу рассылку!

Share This