Многофакторная аутентификация: защита клиентской учетной записи на LocalBitcoins и в Cryptoverse

Отзывы, представленные людьми, которые использовали бета-платформу демонстрируют, насколько клиенты удовлетворены пользовательским интерфейсом и развитием LocalBitcoins в целом.

Перейти на сайт LocalBitcoins

Пользователи ценят то, как инструменты регулярно обновляются для создания простого, интуитивно понятного и интересного в использовании интерфейса. Но под поверхностью происходит гораздо больше, чем обычные пользователи могут себе представить, и одним из обновлений, которое было выпущено в последние недели, было внедрение многофакторной аутентификации (MFA) в учетных записях пользователей.

Безопасность имеет основополагающее значение для безопасного осуществления любого вида онлайн-активности, а криптовалютные транзакции находятся в своей собственной лиге – будучи необратимыми и анонимными, есть так много проблем, связанных со взломами, фишингом или простыми ошибками, которые приводят к потере монет и токенов. 

Это огромная ответственность для LocalBitcoins, которая служит связующим звеном и дает возможность на постоянной основе воспроизводить одноранговые транзакции в криптовалюте и фиате. И это именно то, что разработчики стремились обеспечить — соответствие самым высоким стандартам, о которых говорили с самого начала.

Но проблема с онлайн-безопасностью заключается в том, что она все еще неудобна для пользователя. Если это слишком обременительно (вводить много данных и отправлять большое количество документов), люди не будут использовать данный сервис, или они будут обойти его и эффективно нарушать его законы. 

Достаточно спросить любого сотрудника ИТ-поддержки в крупной организации со сложной политикой паролей, сколько людей хранят свои пароли в сверхсекретных местах, таких как записка на стене или под своим столом. ИТ-специалист обычно может войти в любую учетную запись без каких-либо проблем, потому что он точно знает, где искать.

За пределами офиса это происходит почти точно так же, при этом чрезвычайно низкий процент онлайн-пользователей тратят время на настройку менеджеров паролей и используют действительно длинные надежные и уникальные пароли на каждом сайте, которые они регулярно посещают. LocalBitcoins рекомендует создавать каждый раз новый пароль при настройке учетной записи. 

Проблема с паролями заключается в том, что даже при использовании добросовестными и осведомленными людьми они все равно могут быть скомпрометированы — например, если пароли фишированы или захвачены вредоносным ПО для ведения ключей. Пользователи LocalBitcoins, как криптотрейдеры, заслуживают лучшего.

Таким образом, поскольку паролей уже недостаточно для защиты, в настоящее время все больше и больше систем переходят к многофакторной аутентификации (MFA), чтобы укрепить точку доступа к любым конфиденциальным учетным записям или информации, требуя что-то в дополнение к имени пользователя и паролю.

Имя пользователя и пароль — это то, что известно уже давно. Другие виды данных для входа в систему также попадают в эту категорию. Такие как контрольные вопросы, например, девичья фамилия матери или имя первого питомца — они часто используются для запуска сброса паролей, но они не являются многофакторными. Все они выступают в качестве фрагментов информации, которые известны или неизвестны. И если хакер/фишер может их узнать, они часто могут довольно легко узнать остальное.

Контрольные вопросы – это тип аутентификации на основе знаний (KBA), где вопросы и ответы статичны. Вопросы могут быть определены компанией или клиентом, и клиент дает ответы, которые позже будут проверены. Динамическая KBA, которая более безопасна, чем статическая KBA, использует вопросы, генерирующиеся в режиме реального времени на основе записей данных, таких как кредитная история или транзакции.

Аутентификация на основе рисков (RBA) также может использоваться в сочетании с MFA. Отслеживая такие вещи, как местоположение, можно настроить частоту проверок в соответствии с ситуацией безопасности. RBA помогает избежать повторных запросов клиентов о дополнительной проверке при входе в систему со своего “домашнего” компьютера и местоположения.

Итак, чтобы усилить свою защиту, следующий этап — добавить что-то особенное и индивидуальное. Вор должен будет контролировать доступ, чтобы нанести урон, и это значительно снижает риск попасть на такого рода атаку. Банки, как правило, предоставляют индивидуальный считыватель карт в качестве примера этой категории защиты.

И именно поэтому LocalBitcoins добавил интеграцию с Google Authenticator через приложение на смартфоне. Необходимо при помощи мобильного устройства сканировать QR-код на бирже, каждый раз, когда предстоит войти в систему. Аутентификация работает путем создания одноразового пароля, который отображается на экране телефона и вводится пользователем в обмен в момент входа в систему. 

Пароль, сгенерированный Authenticator, активен 30 секунд, этого вполне достаточно для того, чтобы ввести 6 цифр и войти в систему (он мигает красным в последние несколько секунд, прежде чем он изменится, поэтому человек знает, что нужно дождаться нового кода, прежде чем войти в систему).

Сочетая то, что человек знает, с тем, что у него есть, формирует гораздо более сильный барьер для тех, кто хочет получить несанкционированный доступ к учетной записи. Это двухфакторная аутентификация, 2FA, благодаря такому прочному симбиозу невозможно войти в какой-либо банк или криптобиржу посторонним людям. Считыватель банковских карт работает аналогично приложению, генерируя одноразовый код.

Человек может также пойти еще дальше и добавить что-то, что у него уже есть для лучшей защиты.

Многие банки и современные защищенные системы теперь включают биометрические маркеры в свои инструменты доступа, такие как сканирование сетчатки, распознавание голосовых образов и даже странные вещи, такие как идентификация с помощью уникального способа ходьбы. 

Институциональные депозитарные решения для криптовалюты уже используют такие инструменты. Но, возможно, простой человек тоже может ознакомиться с такими привилегиями, если телефон, на котором клиент запускает приложение Authenticator, имеет распознавание отпечатков пальцев или сканирование лица.

Это действительно многофакторная система верификации, потому что для того, чтобы скомпрометировать учетную запись сейчас, вору нужно будет знать пароли, запустить телефон с аутентификатором и иметь палец или лицо, чтобы разблокировать его. Можно ли это сделать? Шанс один на миллиард.

Легко и просто можно защитить криптоактивы с помощью многофакторной аутентификации, и ответственные сайты, такие как LocalBitcoins, будут все чаще требовать его в качестве обязательного условия использования. Времена меняются и нет необходимости быть человеком, который хранит ключ от дома под ковриком или пользуется словом “пароль”, застрявшим на его задней панели монитора.