В связи с недавними взломами Telegram-аккаунтов оппозиционных активистов Георгия Албурова и Олега Козловского пользователи вновь заговорили о способах защиты личных данных от нежелательного вторжения.
Позднее оказалось, что доступ к аккаунтам оппозиционеров был перехвачен с одного и того же нью-йоркского IP-адреса. Создатель мессенджера и бывший глава соцсети «ВКонтакте» Павел Дуров предположил, что к взлому аккаунтов Албурова и Козловского могут быть причастны российские спецслужбы. К такому выводу он пришел из-за того, что взлом, который произошел ночью, по каким-то причинам не сопровождался SMS-сообщением от мобильного оператора МТС, в котором должен был прийти код подтверждения.
В пресс-службе МТС опровергли причастность к целенаправленному отключению сервисов и предположили, что одной из причин взлома могла быть вирусная атака или получение доступа к аккаунту через веб-интерфейс.
Пострадавшие организовали масштабную акцию, направленную против оператора. Как утверждают оппозиционеры, в счете за услуги оператора в апреле 2016 года указано, что кратковременные отключения услуг передачи и отправки сообщений, а также мобильного интернета все-таки проводились.
После взломов Дуров посоветовал пользоваться двухфакторной авторизацией, чтобы обезопасить свой аккаунт от возможности взлома.
Что такое двухфакторная авторизация и зачем она нужна
Все системы авторизации, с которыми сталкивается пользователь, представлены единственным этапом — либо ввести пароль, заданный во время регистрации, либо ввести сгенерированный код, который придет на телефон/почту. Двухфакторная аутентификация объединяет в себе эти два принципа: «что пользователь знает» и «что у пользователя есть».
Проще говоря, это двойная защита, для прохождения которой нужно не только знать пароль от аккаунта, но и иметь в распоряжении, например, привязанный к аккаунту телефон.
Использование в качестве «второго рубежа» именно SMS-сообщений является наиболее простым и распространенным способом, хотя код может быть отправлен по почте, в виде голосового сообщения или же вообще с использованием отдельного устройства, считывающего биометрические данные — голос, сетчатку глаза, отпечаток пальца.
Более того, SMS-сообщения с кодом могут выступать в качестве оповещения о попытке взлома аккаунта. Это послужит признаком того, что кто-то знает ваш пароль и его необходимо сменить.
В любом случае стоит понимать, что двухфакторная аутентификация не панацея от взлома аккаунта, но она очень усложнит жизнь злоумышленникам. На сегодняшний день это самая совершенная система защиты.
При этом, используя двойную защиту, можно не так сильно переживать за сохранность и сложность пароля, так как даже если его и удастся скомпрометировать, то пройти второй этап авторизации взломщику будет гораздо сложнее. Но пренебрегать безопасностью пароля все равно не стоит.
Однако вместе с повышением безопасности двухфакторная аутентификация порождает неудобства. При утрате телефона, смене номера и в другой стране с выключенным роумингом получить доступ к аккаунту будет сложно.
Вместе с этим сам способ передачи кода посредством SMS обладает низкой защитой. Для использования двухфакторной авторизации в большинстве случаев требуется вводить свой номер телефона, что сводит на нет все попытки сохранить анонимность, даже при использовании VPN и Tor.
Куда могут утечь личные данные
Использование номера телефона для авторизации в социальных сетях и других сервисах означает то, что в распоряжение этих самых сервисов попадает ваша личная информация. С учетом того что телефон регистрируется с использованием паспортных данных, при получении судебного ордера получится без труда найти связь между номером телефона и его обладателем.
Спецслужбам даже не нужно решение суда, чтобы получить, например, историю вызовов абонента.
Сотовые операторы, осуществляющие деятельность на территории России, обязаны внедрять систему технических средств для обеспечения функций оперативно-разыскных мероприятий (СОРМ), что дает возможность силовым структурам прослушивать разговоры при получении официального судебного решения. При этом использование СОРМ возможно и до него, «в случаях, установленных федеральными законами».
Как активировать дополнительную защиту
Почти все популярные онлайн-сервисы уже давно внедрили поддержку двухфакторной аутентификации. На различных сайтах такой способ входа называется по-разному:
— во «ВКонтакте» и Facebook — пункт «безопасность» в настройках страницы под названием «подтверждение входа»;
— в Twitter — «проверка входа»;
— в Google и Telegram — «двухэтапная аутентификация».
В большинстве случаев для ее включения потребуется телефон, который способен получать SMS-сообщения.
В Telegram же, например, способ входа несколько отличается. Первым этапом выступает как раз SMS-сообщение, которое должен получить пользователь для входа в свой аккаунт. Если включена двухфакторная аутентификация, то после этого потребуется ввести заранее подготовленный пароль.
Кому следует использовать двухфакторную аутентификацию
Очевидно, что подобный способ защиты используется в тех случаях, когда пользователь передает личную, ценную или конфиденциальную информацию. В первую очередь дополнительные средства нужны публичным лицам — политикам, активистам, медийным персонам, чья личная жизнь потенциально может привлечь злоумышленников.
Но не стоит забывать, что от «угона» аккаунтов не защищены и обычные люди, которые обычно уверены в своей непричастности к столь громким событиям, — ведь в личной информации могут содержаться данные онлайн-банкинга и другие ценные пароли.
Кроме того, ваши аккаунты могут быть использованы для банальной спам-рассылки. Или, что еще хуже, мстительные люди вполне способны потратить свои силы для того, чтобы написать, к примеру, провокационные заявления от вашего имени, что не лишит вас финансовых сбережений, но может подпортить репутацию. Именно поэтому дополнительные способы защиты востребованы не только среди популярных личностей, но и у обычных пользователей интернета.
Влад Массино