Безопасность

ATO vs MFA: как многофакторная аутентификация защищает аккаунты

Иван СоколовSecurity Engineer6 мин чтения

Что такое ATO

Account Takeover — захват чужого аккаунта без согласия владельца. По данным отчётов IBM и Verizon, 60% инцидентов происходят через кражу или подбор пароля. Остальные — через сессионные cookies, ответы на секретные вопросы, реcет пароля по почте.

Почему пароль больше не работает

Среднестатистический пользователь повторяет один пароль в семи сервисах. После утечки любого из них пароль попадает в credstuffing-базы и автоматически проверяется в банках, почтах и соцсетях. К моменту, когда жертва меняет пароль, аккаунт уже скомпрометирован.

Уровни второго фактора

SMS-код: лучше, чем ничего, но уязвим к SIM-swap. TOTP в приложении (Google Authenticator, Authy): надёжно, не требует сети. Push-уведомления в приложение банка: удобно, но уязвимы к усталостным атакам. Hardware-ключ FIDO2 (YubiKey, Solokey): пока единственный иммунитет к фишингу.

Что выбрать

Для основной почты и аккаунта VPN — hardware-ключ или TOTP. Для второстепенных сервисов — TOTP. SMS оставьте только там, где другого варианта нет.

Что делает Orvia

Аккаунт Orvia поддерживает TOTP и WebAuthn. Мы не используем SMS-аутентификацию вообще: SIM-swap — слишком распространённая угроза. Восстановление аккаунта возможно только через recovery-фразу, выданную при регистрации.

Автор: Иван Соколов, Security Engineer