Сквозное шифрование и двухфакторная аутентификация в современном интернете
Сегодня практически каждый пользователь интернета знаком с такими терминами, как «сквозное шифрование» (E2EE) и «двухфакторная аутентификация» (2FA). Этому во многом поспособствовали маркетологи, сделав технические термины массово узнаваемыми. Почему они стали так популярны? Разбираемся в этой статье.
Каноничный пример использования E2EE и 2FA можно найти в мессенджерах, где предусмотрено сквозное шифрование для защиты сообщений. Более того, популярные мессенджеры заявляют, что используют как сквозное шифрование, так и двухфакторную аутентификацию для защиты учетных записей.
Когда вы входите в мессенджер с нового устройства, нужно ввести пароль и код из СМС — это пример двухфакторной аутентификации (2FA). Однако даже после успешного входа все сообщения, файлы и звонки остаются зашифрованными благодаря сквозному шифрованию (E2EE). Никто, кроме вас и вашего собеседника не сможет прочитать переписку. Чтобы получить доступ к ней киберпреступники используют различные методы и сценарии атак: их может интересовать не только ваша персональная информация, но и любые другие незашифрованные данные.
Универсальное защитное решение
Шифрование — это процесс обратимого (в отличие от хеширования) кодирования информации для предотвращения несанкционированного доступа. Зашифрованные данные — результат применения алгоритма для кодирования, который делает информацию недоступной для тех, кому она не предназначена. Данные могут быть декодированы в исходную форму только с помощью ключа. Причем для шифрования и дешифрования не всегда используется один и тот же ключ — здесь и лежит различие между симметричным и асимметричным шифрованием.
При этом шифрование данных — универсальное решение для защиты: оно может применяться к паролю, информации в файле или ко всем данным на носителе.
Шифрование от чужих и от своих
Сквозное шифрование гарантирует, что данные остаются конфиденциальными не только для внешних злоумышленников, но и для самих компаний, предоставляющих услуги. Например, в облачных сервисах с E2EE даже их владельцы не могут получить доступ к содержимому переписки или файлов,.
Яркий пример — https-протокол. За последние десять лет на него перешла большая часть интернета. Это произошло не только из-за желания пользователей защитить содержимое post-запросов, но и благодаря политике ранжирования сайтов поисковыми системами. Сейчас это требование присутствует практически в каждом техническом задании на создание информационной системы. Однако не всегда легко убедиться, что шифрование действительно сквозное.
Двухфакторная аутентификация
Двухфакторная аутентификация (2FA) — это процесс, который требует от клиента наличия не только пароля, но и физического устройства (например, SIM-карты). В начале 2000-х годов системы использовали лишь логин и пароль, но интернет развивался, и сейчас однофакторную авторизацию можно встретить лишь на сайтах небольших компаний, которые не работают с финансовой информацией и персональными данными.
Что такое «фактор» в данном случае? Это то, что вы знаете (например, пароль), то, что у вас есть (например, устройство), и то, что вас идентифицирует (например, биометрия).
Существуют разные виды факторов. Например, авторизация может проходить через аппаратные устройства вроде Yubikey или Rutoken, но эти технологии пока мало распространены среди массового потребителя. Зато СМС-коды и биометрия уже широко применяются. Альтернативы — это ввод кода из входящего звонка или push-уведомления.
Усиленная защита
Сквозное шифрование и двухфакторная аутентификация работают на разных уровнях, но их сочетание значительно усиливает безопасность пользователя в интернете.
Даже если сервер мессенджера подвергнется атаке, злоумышленники не смогут получить доступ к сообщениям. А если злоумышленник попытается войти в аккаунт, заполучив пароль, двухфакторная аутентификация значительно усложнит этот процесс.
Хотя некоторые пользователи могут считать такие меры избыточными для мессенджеров, в финансовом секторе они становятся критически важными.
Сегодня защита данных в финтехе становится все более актуальной. По данным компаний, специализирующихся на информационной безопасности, в первом полугодии 2024 года в России утекло 986 миллионов строк персональных данных, что на 40% больше по сравнению с аналогичным периодом 2023 года. Значительная часть этих данных была скомпрометирована в одном инциденте — утекло 500 миллионов строк. Лидерами по количеству утечек остаются интернет-ритейлеры, на которые приходится порядка 40% инцидентов.
Невозможно представить, какими бы были эти цифры без внедрения многофакторной аутентификации и шифрования данных.
Сквозное шифрование (E2EE) защищает передаваемые данные от перехвата и несанкционированного чтения, даже на стороне сервисов, а двухфакторная аутентификация (2FA) предотвращает несанкционированный доступ к учетным записям. E2EE — это ключевая технология, которая позволяет пользователям быть уверенными, что их данные, переписка и файлы защищены от посторонних глаз. Это особенно важно в условиях глобальной цифровизации, и как следствия увеличившихся киберрисков и злоупотреблений данными.