Неплохая статья, с примерами все ясно, а вот с защитой есть вопросы. Не уверен, что двухфакторная аутентификация действительно защищает от фишинга. Насколько я знаю, фишинг частенько используют чтобы похищать в том числе и одноразовые пароли. Пишешь юзеру сообщение типа “В вашу учетную запись пытались войти с устройства… Если это были не Вы, отправьте одноразовый код, который сейчас получите, на номер ...” В это время на стороне взломщика инициируется вход в аккаунт, он получает одноразовый пароль от доверчивого юзера и вуаля! Например, как тут: image
Вы правы, так бывает. Но согласитесь, лучше активировать двухфакторную аутентификацию, чем нет. В большинстве случаев собираются все же обычные пароли. Чтобы раздобыть одноразовый пароль требуется намного больше усилий. Если украдут только обычный пароль, то она спасет.
Так это основная задача применения социальной инженерии — сделать так, чтобы пользователь сам добровольно и с песней отдал все ключи, пароли и явки. А сколько там будет факторов авторизации — вообще не важно.
Люди вон цыганкам добровольно деньги и драгоценности отдают. Хотя казалось бы — куда-уж защищённей, чем хранить за пазухой.
Так-что только внимательность, опыт и критическое мышление могут дать какую-то гарантию.
Абсолютно с Вами согласен, если в дом зайдут цыгане и унесут Ваш токен, а вместе с ним и лэптоп, и смартфон, и палец с отпечатком, то двухфакторная аутентификация тут — как мертвому припарки. Но в некоторых случаях дополнительный фактор действительно спасает. Особенно если сервис использует 2FA с подписью данных типа CWYS (Confirm What You See). Тогда одноразовые пароли генерируются на основе данных транзакции или данных окружения пользователя, и фишер просто не сможет подписать свою транзакцию или войти в аккаунт пользователя со своего девайса. Его данные не совпадут с данными реального пользователя, использованными для генерации одноразового пароля.
Добавлю к вашему ответу, что есть еще и другие методы аутентификации. Например, FIDO U2F просто и красиво защищает от фишинга тем, что текущий URL является одним из параметров, которые отправляет браузер. Таким образом, если пользоавтель на фишинговом сайте, то URL этого сайта не позволит пройти аутентификацию успешно.
Но согласитесь, лучше активировать двухфакторную аутентификацию, чем нет.

Не факт. Много где через телефон можно сбросить основной пароль, то есть двухфакторная авторизация превращается в два отдельных фактора, которые по определению слабее одного.
Алексей Лукацкий недавно публиковал хорошую обзорную презентацию по фишингу, где-то в блогах cisco. Там и полнее и про защиту, мне оч понравилось.
Использовать лишь безопасные https-соединения. Отсутствие всего одной буквы “s” в адресе сайта обязано насторожить.
Этот пункт уже не полон. Без «s» должно быть подозрительно, но и не все «s» одинаково полезны.
Поэтому надо соблюдать ряд правил, а не выборочно. Одного https недостаточно. Нужно и на домен смотреть, а лучше — писать вручную или открывать из закладок.
Только полноправные пользователи могут оставлять комментарии.
Войдите, пожалуйста.