Правительственная команда реагирования на чрезвычайные события Украины CERT-UA разработала инструкцию по установлению двухэтапной аутентификации ("2FA") для мессенджеров Telegram, Signal, WhatsApp и Viber.
Как сообщается на сайте CERT-UA в среду, такая же инструкция разработана для информсистем Ukrnet и Google, а также соцсети Facebook с необходимостью установления приложение-аутентификатора.
"Двухфактор является залогом сохранения конфиденциальности ваших данных, а также дополнительным барьером для мошенников, пытающихся похитить учетную запись или инициировать сбор средств от вашего имени", - подчеркивается в сообщении.
В CERT-UA отмечают, что вторым фактором как правило является дополнительно придуманный PIN-код, генерируемый в соответствующем приложении (Google Authenticator, Microsoft Authenticator) или же USB-устройство (аппаратный ключ, токен) типа Yubikey. При этом использование одноразовых кодов в SMS в качестве основного средства 2FA не рекомендуется. "В случае хищения (компрометации) логина и пароля третьим лицам будет сложнее получить доступ к учетной записи, ведь они не будут знать дополнительный пароль и/или не смогут сгенерировать одноразовый код. Вы получите уведомление о попытке получения доступа к вашему аккаунту, который будет сигнализировать об утечке и необходимости изменения логина и пароля", - говорится в сообщении.
При этом отмечается, что в случае утери телефона с приложением-аутентификатором это может привести к невозможности доступа к соответствующему аккаунту. В связи с этим при настройке 2FA с использованием приложения необходимо дополнительно генерировать коды для восстановления доступа и/или указывать альтернативный номер телефона или адрес электронной почты.
"Довольно часто публичные почтовые сервисы используются как основное корпоративное средство электронной переписки. Учитывая указанное, просим руководителей и лиц, обеспечивающих выполнение обязанностей по киберзащите, проконтролировать осуществление соответствующих настроек", - подчеркнули в CERT-UA.