Добрый день! Уважаемые читатели и гости IT блога Pyatilistnik.org. В прошлый раз я вам подробно рассказал, каким образом вы можете защитить свою флешку от вирусов и вредоносных программ, сегодня еще раз поговорим, о защите ваших данных и сервисов. Речь пойдет, о двухфакторной аутентификации, или как ее еще называют двухфакторная защита. Которую вы можете встретить, абсолютно на любом нормальном сервисе или сайте. Уверен, что многим эта информация будет актуальной, так как процентов 80 пользователей на это просто забивают, за что потом и платятся.
Что такое двухфакторная аутентификация (2FA)
Представим классическую ситуацию, на примере России. Есть популярная социальная сеть Вконтакте, которой пользуются огромное количество людей. Для доступа к ней, большинство людей использует логин и пароль, а так как человек существо ленивое и наивное, то он не особо напрягается безопасностью своего аккаунта, что в итоге влечет за собой его взлом, тем самым потерю аккаунта и доступа, и не факт, что он его потом восстановит, так как мог даже не привязывать номер телефона к нему. А вот если бы он заранее настроил двухфакторную защиту, то даже при компрометации пароля ему было бы по барабану, так как еще нужен был бы дополнительные этап проверки, который привязывается к телефону.
Двухфакторная аутентификация (Two-Factor Authentication) — это дополнительный, надежный процесс обеспечения безопасности, я бы назвал его расширенная аутентификация, которая требует от пользователя, получающего доступ к устройству или сервису. еще один из ключей безопасности, в качестве которого можете быть код безопасности из SMS, временный код сгенерированный с помощью специального приложения. которое обновляет их каждые 25 секунд.
В роли бастиона двухфакторной защиты, выступает ваш мобильный телефон, к номеру которого привязывается аккаунт или устройство, для которой он будет дополнительным средством подтверждения личности истинного хозяина.
LastPass Authenticator
Пользователи, предпочитающие хранить свои пароли от чего угодно в специальных диспетчерах паролей, наверняка, знакомы с программой LastPass, а точнее — с его плагином под браузеры. Разработчики LastPass также выпустили и 2FA-приложение для мобильных устройств под управлением Android, iOS и Windows 8 Mobile.
Никакой регистрации LastPass Authenticator не требует. Привязать к аутентификатору аккаунт очень просто:
Приложение LastPass Authenticator также позволяет пользователям создать резервную копию настроек. И для этого разработчики решили использовать свой знаменитый диспетчер паролей LastPass Password Manager. Для этого его придется установить на телефон или в браузер (плагин доступен для всех популярных браузеров), о чем аутентификатор сообщит при попытке создать резервную копию данных:
При необходимости LastPass Authenticator можно защитить паролем (пин-кодом), который потребуется вводить каждый раз при запуске приложения:
Кстати, для пользователей LastPass Password Manager приложение LastPass Authenticator поможет дополнительно защитить хранимые в диспетчере пароли путем задействования двухфакторной аутентификации. Конечно, можно использовать и другой аутентификатор, но проще, удобней и безопасней совместить менеджер паролей LastPass с 2FA-приложением от того же разработчика.
Как работает двухфакторная защита
Давайте я вам опишу алгоритм работы двухфакторной защиты, понимая принцип, вам будет легко его настроить, где угодно, на любом сервисе. И так у нас есть замечательный пользователь Таня, люблю я это имя. Таня решила завести себе аккаунт в Gmail.com. Она проходит процедуру регистрации, где указывает какой логин и пароль у нее будет при входе на почту. Gmail подтверждает ее регистрацию и активирует ее логин и пароль по которому она будет авторизовываться.
Таня логиниться на почте, указывая логин и пароль. Gmail предлагает ей настроить двухфакторную аутентификацию, через привязку к номеру телефона, где будет получать SMS коды или через установку приложения Authenticator, которое будет генерировать каждые 25 секунд коды безопасности, если его не успели ввести, то будет новый 6-ти значный код. Таня их устанавливает и включает двухфакторную защиту.
Теперь при следующей авторизации, Тане нужно будет ввести по мимо классических средств защиты (Логина и пароля), код из SMS или из утилиты Authenticator, так же установленной на ее смартфоне. Как только она это делает, то получает доступ к сервису.
Почему вы должны использовать это
Представьте, что кто-то взломал вашу учетную запись электронной почты. К какой информации они получат доступ?
Вот идея: имена пользователей других учетных записей, пароли к другим учетным записям, альтернативные адреса электронной почты, личные данные, личные фотографии, отсканированные документы, информация о ваших друзьях, семье и других контактах, номера кредитных карт, номера банковских счетов, страховые номера. , что-нибудь еще?
Может ли эта информация помочь им взломать некоторые из ваших других учетных записей, например, Facebook? И в скольких местах вы вошли в систему, используя свой Facebook или другой аккаунт в социальной сети?
Когда вы подумаете об этом, вы обнаружите, что большинство ваших учетных записей онлайн связаны между собой. Взлом одного из них, вероятно, даст умному человеку доступ к нескольким другим вашим учетным записям. Другими словами, если кому-то удастся взломать один из ваших ключевых аккаунтов, ваша личность будет практически украдена, а потенциальные последствия — безумие.
Плюсы и минусы двухфакторной аутентификации
Начну с плюсов, этой технологии:
- Очень высокая степень защиты, я бы ей дал 99%, так как все привязано к номеру телефона, который будет очень сложно скомпрометировать
- Всегда под рукой
- Коды доступа часто меняются
Из минусов можно выделить вот что:
- Так как все привязано к номеру телефона, то при его утере, будет затруднены доступы к вашим сервисам, хотя на большинстве из них и есть процедура восстановления, но она очень трудоемкая
- Вероятность установить или занести вирус в устройство, которое будет передавать ваши данные злоумышленникам
- Может разрядиться устройство в нужный момент
- Мобильный телефон всегда должен видеть сеть оператора, иначе не будет возможности получать SMS или коды.
- Бывают сервисы, которые в качестве многофакторной защиты используют, дополнительный код отправленный на электронную почту, поэтому, чтобы вас не скомпрометировали, обязательно включите двухфакторную аутентификацию на самой почте, а то ее взломают и будет веселье.
- Например, SMS оповещения, могут приходить с задержкой, такое встречал у Сбербанка или ВТБ24.
Authy
Authy является сильным конкурентов двум рассмотренным 2FA-приложениям. И в отличие от них, программа Authy доступна не только для мобильных устройств или браузера (на данный момент поддерживается Google Chrome), но и для Windows в качестве полноценного самостоятельного приложения (именно его и рассмотрим).
Для кого-то покажется минусом, что Authy требует обязательной регистрации перед использованием, для чего потребуется сообщить системе свой номер мобильного телефона и почтовый ящик.
Нужны эти данные Authy для: а) синхронизации настроек между разными устройствами; б) восстановления настроек при переустановке программы; в) восстановления доступа к самой системе Authy при утере устройства или даже смене номера телефона (для этих целей используется почтовый ящик, указанный при регистрации).
Программой Authy очень легко пользоваться, независимо от устройства, на котором та запущена. Каждый отдельный аккаунт, привязанный к аутентификатору, здесь именуется токеном (token). Для привязки учетной записи также требуется просканировать QR-код (только для мобильной версии) или ввести ключ (для Windows-версии это единственный способ привязки):
Также в приложении Authy пользователь может указать длину генерируемого ключа, если она не была определена аутентификатором при подключении аккаунта.
Другие полезные функции Authy:
- Возможность создания резервной копии настроек 2FA, защищенной паролем.
- Возможность привязке к одной учетной записи Authy нескольких устройств. При этом синхронизация между ними осуществляется путем передачи файла резервной копии. Т.к. тот зашифрован, на новом устройстве придется ввести пароль.
Как и в случае с Яндекс.Ключ, программу Authy можно защитить мастер-ключом.
Виды двухфакторной аутентификации
Давайте рассмотрим основные виды реализации двухфакторной защиты, которые вы легко можете повстречать на текущий момент, они со временем могут обновляться и расширяться, но пока есть такие:
- Первый вид дополнительной защиты, это SMS коды или Push-уведомления (двухфакторный код). Чаще всего, это шестизначные номера. Вы их можете встретить при онлайн покупках, когда расплачиваетесь пластиковой картой или при доступах в се возможные сервисы, Gmail.com или Сбербанк Онлайн . Выглядит данное сообщение таким образом.
- Второй метод, это использование временных кодом из приложений аутентификаторов, например, Google Authenticator или Microsoft Authentificator, по сути, это просто приложения на ваш смартфон. У вас каждые 25 секунд обновляется цифровой, шестизначный код доступа (двухфакторный код).
- Третий метод, это дополнительное письмо с кодом на вашу электронную почту, менее надежно, но все же, дополнительный рубеж безопасности. Я его встречал на таких сервисах, как Advcash (Электронный кошелек) или на криптовалютных биржах.
- Четвертый метод, двухфакторной аутентификации, это использование аутентификаторов в виде брелков eToken PASS (токен генератор кодов) и их разновидностей, которые работают по принципу, программных аутентификаторов.
Какой выбрать программный Authenticator 2FA
Давайте я вам опишу, какой аутентификатор я бы посоветовал выбрать
- Google Authenticator — самый популярный в мире аутентификатор,используемый при двухфакторной защите, в виду популярности Google как компании и конечно же количеству сервисов, которая она предоставляет.
- Fido — второй по популярности защитник (https://www.yubico.com/solutions/fido-u2f/)
- Microsoft Authenticator — как видно из названия, используется для двухфакторной аутентификации, учетной записи Microsoft или операционной системы Windows 10.
- FreeOTP
- Yandex ключ
Где вы должны его использовать
В идеале вы должны использовать 2FA для всех учетных записей, в которых хранится личная информация любого типа, а также для учетных записей, с которыми связана платежная информация. Это включает, но не ограничивается:
- учетная запись электронной почты
- Facebook и подобные аккаунты в социальных сетях
- онлайн банкинг
- счета онлайн-платежей
- учетные записи онлайн покупок
- любой тип облачного хранилища
- игровые онлайн-аккаунты
К сожалению, не все онлайн-аккаунты или сервисы предлагают 2FA или не имеют четкого представления об этом. Зачастую, нужно искать их веб-сайт, чтобы найти дополнительные параметры безопасности.
Два ключевых онлайн-сервиса, которые предлагают 2FA и для которых вы должны обязательно включить его, это Facebook (подтверждение входа в систему) и Google (двухэтапное подтверждение). Вы можете прочитать больше об их соответствующих функциях 2FA здесь:
- Разрешения на вход в Facebook
- Google двухэтапное подтверждение
Как взломать двухфакторную аутентификацию 2FA
Для того, чтобы обойти двухфакторную аутентификацию, хакеры используют вот такие методы:
- считать одноразовый код с доверенного устройства — разблокировать не обязательно; Тут чаще устройство заражаю вирусом, который перехватывает или дублирует SMS или push-код.
- переставить SIM-карту в другой аппарат, получить СМС; Тут нужен физический доступ.
- клонировать SIM-карту, получить код на нее;
- воспользоваться двоичным маркером аутентификации, скопированным с компьютера пользователя.
Как восстановить двухфакторную аутентификацию
Если вы потеряли свой телефон и хотите восстановить свой доступ, то алгоритм такой:
- Если есть возможность быстрее восстановите симкарту и телефон
- Перед активацией программного Authenticator, сервисы вам выдают секретные коды восстановления или QR-код, у вас огни должны быть
- Если кодов нет, то придется писать в техническую поддержку, и доказывать, что вы это вы, подготовьте обязательно все ваши данные и документы, но это прокатит, если у вас все было корректно и полностью заполнено, а не просто хозяин учетной записи megapixar123 :))