АНАЛІЗ ЕФЕКТИВНОСТІ ДВОФАКТОРНОЇ АВТЕНТИФІКАЦІЇ ТА ЛЮДСЬКОГО ФАКТОРА У КІБЕРБЕЗПЕЦІ
DOI:
https://doi.org/10.28925/2663-4023.2025.28.853Ключові слова:
двофакторна автентифікація; людський фактор; цифрова безпека; фішинг; соціальна інженерія; резервні коди.Анотація
У цифровому середовищі, де інформація стала одним із найцінніших ресурсів, забезпечення її конфіденційності та цілісності є пріоритетом як для державних органів, так і для приватного сектору. З огляду на різноманітність кіберзагроз і стрімке зростання випадків несанкціонованого доступу до облікових записів, традиційна автентифікація за допомогою пароля вже не виконує захисної функції на належному рівні. Поширення методів соціальної інженерії, фішингових атак, використання шкідливого програмного забезпечення, а також технологій автоматизованого зламу паролів актуалізують потребу у використанні більш надійних способів автентифікації. Одним із таких засобів є двофакторна автентифікація, яка базується на комбінації щонайменше двох незалежних факторів перевірки особи. Попри її широку підтримку з боку провідних сервісів та платформ, ефективність 2FA на практиці значною мірою залежить не лише від технічної реалізації, а й від поведінки самого користувача. У цій роботі розглянуто комплексний підхід до аналізу стійкості систем двофакторної автентифікації, що включає як оцінку технічних рішень, так і вивчення людського фактора як потенційної вразливості. Проведено низку практичних досліджень з моделювання типових загроз: збою доставки кодів, втрати пристрою, маніпуляцій з часовими параметрами. У результаті виявлено, що несанкціонований доступ часто стає можливим унаслідок неправильного зберігання резервних кодів, недостатнього ознайомлення користувачів із принципами безпечної автентифікації та використання небезпечних методів передачі кодів, таких як SMS. Особливо підкреслено проблему відмови користувачів від налаштування додаткових засобів відновлення доступу, що може призводити до повної втрати облікового запису. Оцінено ефективність інструментів на зразок Google Authenticator, Authy, апаратних токенів та криптографічних стандартів FIDO2. Обґрунтовано необхідність інтеграції багаторівневих механізмів автентифікації з користувацькими інструкціями, перевіркою синхронізації часу та автоматизованим аналізом підозрілої активності. Встановлено, що оптимальне поєднання технологічної безпеки та цифрової грамотності користувача є основою для побудови ефективного механізму протидії сучасним загрозам у сфері кібербезпеки.
Завантаження
Посилання
Information security, cybersecurity and privacy protection – Information security management systems – Requirements. Geneva: International Organization for Standardization (ISO/IEC 27001:2022). (2022).
National Institute of Standards and Technology (NIST). Special Publication 800-63B. Digital Identity Guidelines: Authentication and Lifecycle Management. Gaithersburg, MD: NIST (2020). https://pages.nist.gov/800-63-3/sp800-63b.html
Bonneau, J., Herley, C., Van Oorschot, P. C., & Stajano, F. (2012). The quest to replace passwords: A framework for comparative evaluation of Web authentication schemes. IEEE Symposium on Security and Privacy, 553–567. https://doi.org/10.1109/SP.2012.44
Google Security Blog. How Google Accounts are attacked: Insights from millions of users. (2021). https://security.googleblog.com/2021/
FIDO Alliance. FIDO2: Moving the World Beyond Passwords. (2021). https://fidoalliance.org/fido2/ʼ
Kim, M., Sukh, J., & Kwon, H. (2022). A study of the emerging trends in SIM swapping crime and effective countermeasures. Proceedings of the 7th IEEE/ACIS International Conference on Big Data, Cloud Computing, and Data Science (BCD 2022), 240–245. https://doi.org/10.1109/BCD54882.2022.9900510
Brostoff, S., Sasse, M. A. (2013). Are Passfaces more usable than passwords? A field trial investigation. Proceedings of the Sixth International Conference on Information Security, 161–174. https://doi.org/10.1007/978-1-4471-0515-2_27
IBM Security. (2022). X-Force Threat Intelligence Index 2022. International Business Machines Corporation. https://www.ibm.com/reports/threat-intelligence
Anti-Phishing Working Group. (2022). Phishing activity trends report: 4th quarter 2021. APWG. https://apwg.org/trendsreports/
Zscaler. (2022). EvilProxy phishing-as-a-service platform targets MFA-protected accounts. Zscaler. https://www.zscaler.com/blogs/security-research/evilproxy-phishing-service
Microsoft. (2022). Defending Ukraine: Early lessons from the cyber war. Microsoft Security Blog. https://www.microsoft.com/enus/security/blog/2022/04/27/defending-ukraine-early-lessons-from-the-cyber-war/
Federal Communications Commission. (2021). FCC acts to protect consumers from SIM swapping scams. https://www.fcc.gov/document/fcc-acts-protect-consumers-sim-swapping-scams
ThreatFabric. (2022). Mobile malware BRATA evolves with new features. https://www.threatfabric.com/blogs/brata-targeting-latam.html
Proofpoint. (2023). 2023 State of the Phish Report: Threat Actors Double Down on Emerging and Tried-and-Tested Tactics to Outwit Employees. https://www.proofpoint.com/us/newsroom/press-releases/proofpoints-2023-state-phish-report-threat-actors-double-down-emerging-and-0
ENISA. Threat Landscape 2022: Cybersecurity threats facing Europe. European Union Agency for Cybersecurity. (2022). https://www.enisa.europa.eu/publications/enisa-threat-landscape-2022
2023 Data Breach Investigations Report. (2023). Verizon. https://www.verizon.com/business/
resources/reports/dbir/
Understanding phishing attacks and how to prevent them. Cloudflare Learning Center. (2022). Cloudflare. https://www.cloudflare.com/learning/security/threats/phishing-attacks/
Global Cybersecurity Outlook 2023. WEF. (2023). World Economic Forum. https://www.weforum.org/reports/global-cybersecurity-outlook-2023
CIS Controls v8. CIS. (2021). CIS (Center for Internet Security). https://www.cisecurity.org/controls/cis-controls/
Cybersecurity and Infrastructure Security Agency (CISA). Protecting Against Phishing. (2022). CISA. https://www.cisa.gov/protecting-against-phishing
Опубліковано
Як цитувати
Номер
Розділ
Ліцензія
Авторське право (c) 2025 Іван Опірський, Роман Сікорський, Дмитро Мартинюк
Ця робота ліцензується відповідно до Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License.
