Журнал "Системы Безопасности" № 5‘2024

В Ц Е Н Т Р Е В Н И М А Н И Я 60 К аноничный пример использования E2EE и 2FA можно найти в мессенджерах, где предусмотрено сквозное шифрование для защиты сообщений. Более того, популярные мессенджеры заявляют, что используют как сквозное шифрование, так и двухфакторную аутентификацию для защиты учетных записей. Когда вы входите в мессенджер с нового устройства, нужно ввести пароль и код из СМС – это пример двухфакторной аутентифи- кации (2FA). Однако даже после успешного входа все сообщения, файлы и звонки остаются зашифрованными благодаря сквозному шиф- рованию (E2EE). Никто, кроме вас и вашего собеседника, не сможет прочитать переписку. Чтобы получить доступ к ней, киберпреступни- ки используют различные методы и сценарии атак: их может интересовать не только ваша персональная информация, но и любые другие незашифрованные данные. Универсальное защитное решение Шифрование – это процесс обратимого (в отличие от хеширования) кодирования информации для предотвращения несанкцио- нированного доступа. Зашифрованные дан- ные – результат применения алгоритма для кодирования, который делает информацию недоступной для тех, кому она не предназначе- на. Данные могут быть декодированы в исход- ную форму только с помощью ключа. Причем для шифрования и дешифрования не всегда используется один и тот же ключ – здесь и лежит различие между симметричным и асимметричным шифрованием. При этом шифрование данных – универсальное решение для защиты: оно может применяться к паролю, информации в файле или ко всем данным на носителе. Шифрование от чужих и от своих Сквозное шифрование гарантирует, что данные остаются конфиденциальными не только для внешних злоумышленников, но и для самих компаний, предоставляющих услуги. Например, в облачных сервисах с E2EE даже их владельцы не могут получить доступ к содержимому пере- писки или файлов. Яркий пример – https-протокол. За последние десять лет на него перешла большая часть Интернета. Это произошло не только из-за желания пользователей защитить содержимое post-запросов, но и благодаря политике ранжи- рования сайтов поисковыми системами. Сейчас это требование присутствует практически в каж- дом техническом задании на создание инфор- мационной системы. Однако не всегда легко убедиться, что шифрование действительно сквозное. Двухфакторная аутентификация Двухфакторная аутентификация (2FA) – это процесс, который требует от клиента наличия не только пароля, но и физическо- го устройства (например, СИМ-карты). В начале 2000-х гг. системы использовали лишь логин и пароль, но Интернет разви- вался, и сейчас однофакторную авториза- цию можно встретить лишь на сайтах небольших компаний, которые не рабо- тают с финансовой информацией и персо- нальными данными. Что такое "фактор" в данном случае? Это то, что вы знаете (например, пароль), то, что у вас есть (например, устройство), и то, что вас иденти- фицирует (например, биометрия). Существуют разные виды факторов. Напри- мер, авторизация может проходить через аппаратные устройства вроде Yubikey или Rutoken, но эти технологии пока мало распро- странены среди массового потребителя. Зато СМС-коды и биометрия уже широко приме- няются. Альтернативы – это ввод кода из вхо- дящего звонка или push-уведомления. Усиленная защита Сквозное шифрование и двухфакторная аутен- тификация работают на разных уровнях, но их сочетание значительно усиливает безопасность пользователя в Интернете. Даже если сервер мессенджера подвергнется атаке, злоумышленники не смогут получить доступ к сообщениям. А если злоумышленник попытается войти в аккаунт, заполучив пароль, двухфакторная аутентификация значительно усложнит этот процесс. Хотя некоторые пользователи могут считать такие меры избыточными для мессенджеров, в финансо- вом секторе они становятся критически важными. Сегодня защита данных в финтехе становится все более актуальной. По данным компаний 1 , спе- циализирующихся на информационной безопас- ности, в первом полугодии 2024 г. в России утек- ло 986 млн строк персональных данных, что на 40% больше по сравнению с аналогичным периодом 2023 г. Значительная часть этих дан- ных была скомпрометирована в одном инциден- те – утекло 500 млн строк. Лидерами по количе- ству утечек остаются интернет-ритейлеры, на которых приходится порядка 40% инцидентов. Невозможно представить, какими бы были эти цифры без внедрения многофакторной аутен- тификации и шифрования данных. Вывод Сквозное шифрование (E2EE) защищает переда- ваемые данные от перехвата и несанкционирован- ного чтения, даже на стороне сервисов, а двухфак- торная аутентификация (2FA) предотвращает несанкционированный доступ к учетным записям. E2EE – это ключевая технология, которая позволяет пользователям быть уверенными, что их данные, переписка и файлы защищены от посторонних глаз. Это особенно важно в условиях глобальной цифровизации и, как следствия, увеличившихся киберрисков и злоупотреблений данными. n октябрь – ноябрь 2024 www.secuteck.ru Ваше мнение и вопросы по статье направляйте на ss @groteck.ru Андрей Овчаренко Главный эксперт по технологиям направления разработки Java дирекции по информационным технологиям компании СберКорус Изображение от freepik – https://ru.freepik.com/ Сквозное шифрование и двухфакторная аутентификация в современном Интернете Сегодня практически каждый пользователь Интернета знаком с такими терминами, как "сквозное шифрование" (E2EE) и "двухфакторная аутентификация" (2FA). Этому во многом поспособствовали маркетологи, сделав технические термины массово узна- ваемыми. Почему они стали так популярны? Разбираемся в этой статье. 1 https://www.infowatch.ru/company/presscenter/news/v-rossii-v-pervom-polugodii-uteklo-pochti-odin-milliard-personal- nykh-dannykh