Что такое ATO
Account Takeover — захват чужого аккаунта без согласия владельца. По данным отчётов IBM и Verizon, 60% инцидентов происходят через кражу или подбор пароля. Остальные — через сессионные cookies, ответы на секретные вопросы, реcет пароля по почте.
Почему пароль больше не работает
Среднестатистический пользователь повторяет один пароль в семи сервисах. После утечки любого из них пароль попадает в credstuffing-базы и автоматически проверяется в банках, почтах и соцсетях. К моменту, когда жертва меняет пароль, аккаунт уже скомпрометирован.
Уровни второго фактора
SMS-код: лучше, чем ничего, но уязвим к SIM-swap. TOTP в приложении (Google Authenticator, Authy): надёжно, не требует сети. Push-уведомления в приложение банка: удобно, но уязвимы к усталостным атакам. Hardware-ключ FIDO2 (YubiKey, Solokey): пока единственный иммунитет к фишингу.
Что выбрать
Для основной почты и аккаунта VPN — hardware-ключ или TOTP. Для второстепенных сервисов — TOTP. SMS оставьте только там, где другого варианта нет.
Что делает Orvia
Аккаунт Orvia поддерживает TOTP и WebAuthn. Мы не используем SMS-аутентификацию вообще: SIM-swap — слишком распространённая угроза. Восстановление аккаунта возможно только через recovery-фразу, выданную при регистрации.