В новом исследовании специалисты компании Gartner указывают на слабые места двухфакторной аутентификации, когда дело доходит до предотвращения мошенничества и сетевых атак. Согласно выводам исследования, в целях безопасности бизнес должен учесть сложившуюся в этом сегменте ситуацию.

В новом отчете: «Когда строгая аутентификация терпит крах, и что вы можете с этим сделать» аналитик компании Авива Литан утверждает, что «троянские» приложения и атаки типа «man-in-the-browser» обходят строгую двухфакторную аутентификацию и доказывает, что любой метод аутентификации, который полагается на коммуникации посредством интернет-браузера, является уязвимым. Электронные карты и биометрические технологии не являются исключением.

«Мошенникам удавалось получить доступ к банковским счетам пользователей, которые, казалось, были защищены надежной двухфакторной аутентификацией. Любые подобные веб-приложения также уязвимы, – полагает аналитик. – В некоторых случаях, хакерские приложения копируют имя пользователя, его пароль и одноразовый код доступа, и немедленно используют его. В других случаях, вредоносный код заменяет транзакции пользователя мошенническими транзакциями, без ведомо для пользователя и провайдера услуг, например такого как интернет банк».

Двухфакторная аутентификация, основанная на телефонии, также подвержена атакам, например, через переадресацию вызовов. В этом случае, звонок от провайдера услуг принимает мошенник, а не законный пользователь, заявляет аналитик.

«Подобные атаки успешно и регулярно проводились против многих банков и их клиентов по всему миру в течение 2009 года, – отмечается в пресс-релизе Gartner. – Однако, хотя банковские счета являются главной целью, эти методы атак будут мигрировать на другие секторы и приложения, которые могут содержать ценные данные».

Напомним, что двухфакторной аутентификацией называют аутентификацию, при которой используется одновременно два различных аутентифицирующих фактора. Например: пароль+устройство, пароль+биометрические данные или биометрические данные+устройство.