Двухфакторная аутентификация: зачем нужна и как настроить

Содержание

Основы

Первое, что стоит упомянуть про одноразовые пароли, — это то, что они бывают двух типов: HOTP и TOTP. А именно, HMAC-based One Time Password и Time-based OTP. TOTP — это лишь надстройка над HOTP, поэтому сначала поговорим о более простом алгоритме.

HOTP описан спецификацией RFC4226. Она небольшая, всего 35 страниц, и содержит все необходимое: формальное описание, пример реализации и тестовые данные. Давайте рассмотрим основные понятия.

Прежде всего, что такое HMAC? HMAC расшифровывается как Hash-based Message Authentication Code, или по-русски «код аутентификации сообщений, использующий хэш-функции». MAC — это механизм, позволяющий верифицировать отправителя сообщения. Алгоритм MAC генерирует MAC-тэг, используя секретный ключ, известный только отправителю и получателю. Получив сообщение, вы можете сгенерировать MAC-тэг самостоятельно и сравнить два тэга. Если они совпадают — все в порядке, вмешательства в процесс коммуникации не было. В качестве бонуса этим же способом можно проверить, не повредилось ли сообщение при передаче. Конечно, отличить вмешательство от повреждения не выйдет, но достаточно самого факта повреждения информации.

Что же такое хэш? Хэш — это результат применения к сообщению Хэш-функции. Хэш-функции берут ваши данные и делают из него строку фиксированной длины. Хороший пример — всем известная функция MD5, которая широко использовалась для проверки целостности файлов.

Сам по себе MAC — это не конкретный алгоритм, а лишь общий термин. HMAC в свою очередь — уже конкретная реализация. Если точнее, то HMAC-X, где X — одна из криптографических хэш-функций. HMAC принимает два аргумента: секретный ключ и сообщение, смешивает их определенным образом, применяет выбранную хэш-функцию два раза и возвращает MAC-тэг.

Если вы сейчас думаете про себя, какое отношение все это имеет к одноразовым паролям — не волнуйтесь, мы почти дошли до самого главного.

Согласно спецификации, HOTP вычисляется на основе двух значений:

  • K — секретный ключ, который знают клиент и сервер. Он должен быть минимум 128 бит длиной, а лучше 160, и создается когда, вы настраиваете 2FA.
  • C — счетчик.

Счетчик — это 8-байтовое значение, синхронизированное между клиентом и сервером. Оно обновляется, по мере того как вы генерируете новые пароли. В схеме HOTP счетчик на стороне клиента инкрементируется каждый раз, когда вы генерируете новый пароль. На стороне сервера — каждый раз, когда пароль успешно проходит валидацию. Так как можно сгенерировать пароль, но не воспользоваться им, сервер позволяет значению счетчика немного забегать вперед в пределах установленного окна. Однако если вы слишком заигрались с генератором паролей в схеме HOTP, придется синхронизировать его повторно.

Итак. Как вы, наверное, заметили, HMAC тоже принимает два аргумента. RFC4226 определяет функцию генерации HOTP следующим образом:

Вполне ожидаемо, K используется в качестве секретного ключа. Счетчик, в свою очередь, используется в качестве сообщения. После того, как HMAC функция сгенерирует MAC-тэг, загадочная функция вытаскивает из результата уже знакомый нам одноразовый пароль, который вы видите в своем приложении-генераторе или на токене.

Давайте начнем писать код и разберемся с остальным по ходу дела.

Ошибки аутентификации при подключении к беспроводным сетям

Подключаясь к беспроводной сети, пользователь также проходит через процесс аутентификации. Существует несколько способов проверки подлинности такого типа. Они зависят от настроек роутера, количества абонентов, вида беспроводной сети (домашняя, общественная, корпоративная). Чаще всего используется тип шифрования WPA-PSKWPA2-PSK2 mixed. Он является достаточно защищенным и подходит для применения в различных видах сетей. Для большей безопасности многие частные организации используют шифрование, где каждый пользователь имеет индивидуальный пароль, привязанный к ПК.

Ошибки аутентификации чаще всего возникает при несоответствии вида шифрования и набранной парольной фразы. Пути решения проблемы будут отличаться для пользователей ПК и владельцев мобильных телефонов.

Как убрать ошибки аутентификации на компьютере

Если после введения ключевой фразы вы получаете уведомление об ошибке аутентификации, то в первую очередь вам необходимо проверить следующее:

  • правильность написания ключевой фразы (возможно, была допущена ошибка или включена неверная раскладка);
  • отключен ли Caps Lock;
  • верно ли выбрана беспроводная сеть, к которой вы подключаетесь.

Как узнать пароль от Wi-Fi?

Если вы забыли свою парольную фразу, то узнать ее можно в настройках роутера. Для этого подключитесь к нему при помощи кабеля и откройте любой интернет-браузер. Напишите IP маршрутизатора в адресной строке. Посмотреть его можно в инструкции или на корпусе роутера. Еще один способ узнать IP-адрес — использовать командную строку. Для этого используйте комбинацию Win+R и в появившемся окне введите команду «CMD». Запустится командная строка, где вам необходимо будет ввести «ipconfig». Строка «Основной шлюз» является требуемым IP-адресом.

Введите IP-адрес в адресной строке браузера. В появившемся окне введите логин и пароль для входа (по умолчанию admin и admin соответственно). В меню выберите пункт «Расширенные настройки» и перейдите в подраздел «Wi-Fi». Найдите параметры безопасности — именно здесь можно обнаружить тип шифрования, название сети и пароль.

Пароль введен правильно, но войти в сеть не удается

Аутентификация может не состояться при сбое самого роутера. Решается простой перезагрузкой девайса. В таких ситуациях также рекомендуется проверить канал роутера. Для этого в настройках WiFi перейдите в раздел «Основные настройки», а там — в подпункт «Канал». Желательно установить значение «Автоматически».

Если и это не помогло, то необходимо проверить Wi-Fi-адаптер компьютера. Проверьте наличие и правильность работы драйверов в вашем диспетчере устройств. Перейдите во вкладку «сетевые адаптеры» и найдите свой Wi-Fi модуль. Если рядом с устройством есть восклицательный знак, значит его работа некорректна — отсутствуют или не работают драйвера. Переустановите их, и проблема с аутентификацией должна решиться.

Проблемы с аутентификацией на мобильном устройстве

Процесс аутентификации на мобильном девайсе происходит следующим образом:

  1. Устройство производит поиск сетей, после чего владелец телефона или планшета выбирает необходимый Wi-Fi.
  2. Пользователь вводит пароль беспроводной сети.
  3. Статус соединения изменяется: подключение, аутентификация, сохранено (с указанием вида шифрования сети).

Что значит уведомление «Ошибка аутентификации»? Данное сообщение показывает, что проблема кроется в неправильно введенном пароле или параметрах безопасности роутера. Неработающий Wi-Fi после уведомления «Сохранено» свидетельствует о неполадках самой беспроводной сети.

Как исправить?

Прежде чем изменять параметры роутера, убедитесь, что пароль введен правильно, у вас не включен Caps Lock или кириллица/латынь. Только после этого обращайтесь к настройкам Wi-Fi:

  • убедитесь, что режим Wi-Fi сети поддерживается — попробуйте переключить его на 802.11 b/g;
  • смените регион — попробуйте переключить Россию на США и обратно;
  • измените тип шифрования: если у вас стоит WPA2-Personal, то замените его на WPA с шифрованием AES;
  • если ошибка аутентификации сочетается со слабым сигналом беспроводной сети, то попробуйте выбрать свободный канал и расширить его на 20 МГц.

Еще один вариант, который может вам помочь — это специальное приложение для устройств Android — Wi-Fi Fixer (доступен для скачивания в Google Play). Оно автоматически исправляет ошибки беспроводной сети и позволяет вам подключиться к роутеру при ошибке аутентификации.

Как хакеры обходят 2FA?

Хакеры могут использовать несколько потоков эксплойтов для целевых учетных записей 2FA на основе паролей. Рассмотрим несколько распространенных техник обхода 2FA в действии:

1. Браузер Necro

Все гениальные решения просты — и это одно из них. Два инструмента — Muraena и NecroBrowser автоматизируют фишинговые атаки, которые могут обойти 2FA. Большинство средств защиты не остановят их по простой причине — эти атаки идут непосредственно к первопричине всех нарушений — пользователям.

Принцип работы такой же, как и у любой фишинговой схемы, за исключением одного момента. Вместо того, чтобы просто создать поддельный сайт, который выглядит как реальный для того, чтобы обманом заставить пользователей ввести свои пароли, новый способ действует еще и как прокси между жертвой и реальным сайтом. Как только пользователь войдет в систему — запрос посылается от его имени в службу. Пользователь, ошибочно считая, что находится на легальной странице входа в систему, передает и пароль, и PIN-код 2FA непосредственно в руки злоумышленника.

Злоумышленник входит в систему, используя оба фактора на реальной странице входа и вуаля — он имеет полный доступ к системе, полностью автоматически и в режиме реального времени.

2. Атака «человек в браузере»

Во-первых, хакер заранее готовится для такой атаки, предварительно заразив устройство пользователя трояном. Обычно это делается с помощью фишинга или социальной инженерии. Как только троян активизируется, злоумышленник получает возможность контролировать все действия пользователя в интернете. Хакер получает беспрепятственный доступ к истории браузера и его активности, и даже видит, что вводит пользователь, включая пароли. Многие люди слишком доверяют своему браузеру и хранят в нем много личной информации. Не стоит этого делать.

https://youtube.com/watch?v=_xVM0oBJ3PU

3. Социальная инженерия и фишинг

Умение манипулировать пользователями — это оружие хакеров, выбранное ими по веской причине: оно отлично работает. Социальная инженерия использует человеческую психологию против пользователей, и никакая технология не может эффективно блокировать атаки СИ. Существует множество способов использования социальной инженерии для обхода 2FA, от рассылки SMS до писем на электронную почту. Чаще всего пользователи добровольно передают свои пароли и коды. После того, как злоумышленники получат доступ к учетной записи, они начинают искать уязвимости, чтобы получить повышенный доступ к защищенным ресурсам пользователя. После чего, они могут манипулировать настройками 2FA. Например, изменить номер телефона, привязанный с учетной записи, чтобы данные теперь отправлялись на устройство злоумышленника.

Хакеры могут нацелиться на аутентификацию 2FA огромным количеством способов:

  • Перехватить 2FA ПИН-код «в пути».
  • Перенаправить 2FA на свое устройство.
  • Получите PIN-код 2FA непосредственно от пользователя, с помощью спуфинга и социальной инженерии.
  • Украсть маркеры сессии после 2FA и войти в аккаунт, не проходя через 2FA вообще.

Преимущество двухфакторной аутентификации

  • следуя пословице «Одна голова хорошо, а две лучше» можно сделать вывод, что один пароль или ПИН-код — это хорошо, но если их будет два, при этом разного характера — безопасность учетной записи, устройства или системы будет в разы надежнее;
  • в случае кражи, утечки или хищения логина и пароля — Вы узнаете об этом через приложение или СМС-сообщение, что позволит среагировать и восстановить скомпрометированный пароль от учетной записи;
  • генерация новых уникальных кодовых комбинаций при каждом входе в систему, в то время, как пароль остается постоянным (до тех пор, пока не смените его самостоятельно).

Новая учётная запись Apple ID

Новая учётка Apple ID несёт в себе массу проблем, так что не рекомендую её заводить

Единственный способ сделать так, чтобы двухфакторная аутентификация вас не доставала, — это завести себе новую учётную запись Apple ID. При её создании дополнительный способ защиты не включается по умолчанию. Поэтому до тех пор, пока вы его не активируете принудительно, входить в аккаунт можно будет без прохождения второй стадии верификации – просто по паролю или по биометрии.

Однако создание нового аккаунта чревато рядом серьёзных неудобств, которые вам придётся понести:

  • Весь купленный софт останется на старом аккаунте;
  • Все подписки, которые у вас оформлены, придётся оформлять заново по новым ценам;
  • Придётся переносить все свои пароли из iCloud;
  • Придётся переносить все данные из облака iCloud;
  • Изменятся контакты для связи по iMessage и FaceTime;
  • Придётся перепривязать все свои устройства к новому Apple ID.

Как видите, неудобств довольно много. И ради чего всё это? Ради того, чтобы не вводить 6 цифр после ввода основного пароля, которые только для того и нужны, чтобы уберечь вас от взлома? На мой взгляд, сомнительная перспектива. Да, возможно, двухфакторная аутентификация не очень удобна, и её можно было улучшить или по крайней мере как-нибудь упростить. Например, не запрашивать код, если вы входите с доверенного устройства.

Как еще усилить защиту

Следующим шагом по усилению защиты будет переход на двухфакторную аутентификацию по коду.

Получать пароль для авторизации на сайте лучше не по СМС, а из специальных 2FA-приложений (two-factor authentication). Так вы не будите зависеть от оператора связи и уровня сигнала, а еще код не получится узнать путем клонирования вашей СИМ-карты.

Такие приложения аутентификаторы привязываются к сервису или сайту и в дальнейшем генерируют код для авторизации. Алгоритм создания пароля, чаще всего, основывается на текущем времени.

Каждые 30 секунд программа генерирует код, который состоит из части ключа сервиса и точного текущего времени. Приложению не нужен доступ к сети или дополнительные данные для генерации кода.

Большая часть сайтов и сервисов не ограничивает пользователей в используемом 2FA-приложении, однако, некоторые разработчики вынуждают использовать только свои программы аутентификаторы.

Подобным способом можно защитить учетные записи Gmail, Dropbox, PayPal, Facebook, Twitter, Instagram, Twitch, Slack, Microsoft, Evernote, GitHub, Snapchat и многих других сайтов/сервисов/приложений.

Пользователи и провайдеры

То, у какого провайдера и каким образом выполнять аутентификацию второго фактора, определяется для каждого пользователя отдельно.

Чтобы описать HTTP-запросы, которые следует отправить провайдеру, мы реализовали во встроенном языке новый тип – ШаблонНастройкиВторогоФактораАутентификации. Объекты этого типа — это именованные объекты, которые вы можете сохранять в базе данных. Каждый такой шаблон позволяет сохранить сразу два HTTP-запроса: один для запроса аутентификации, другой – для получения её результата. Оба этих запроса описываются с помощью привычных объектов HTTPЗапрос, но имеют две интересные особенности:

  • Во-первых, для каждого из них вы можете задать HTTP-метод в виде строки. Так сделано потому, что спецификация HTTP допускает использование собственных глаголов (методов).
  • Во-вторых, некоторые поля в этих запросах можно «параметризировать», используя «&» (например, &sms_phone_number). Это связано с тем, что для разных пользователей запросы будут, в основном, одинаковыми, отличие будет лишь в значениях некоторых полей, зависящих от конкретного пользователя (например, номер телефона, по которому надо отправить СМС).

В результате, например, шаблон для простого провайдера, отправляющего СМС, вы можете сформировать, задав только один запрос – запрос для аутентификации. В этом запросе будут использованы два параметра – host (адрес провайдера) и secret (код второго фактора, который сформирует платформа):

Шаблон «умного» провайдера будет содержать уже два запроса (просьба выполнить аутентификацию и запрос результатов аутентификации):

После того, как вы сохранили один или несколько шаблонов для провайдеров, вы можете каждому пользователю назначить определенный шаблон и набор значений для параметров, которые должны подставляться в этот шаблон.

Например, для пользователя, который будет использовать «простого» провайдера вы можете записать единственный параметр – адрес, на который будет отправляться HTTP-запрос (host):

А для пользователя, который будет использовать «умного» провайдера, параметров понадобится больше:

Обратите внимание, что каждому пользователю можно задать не один «набор» настроек, а несколько (массив). Свойство ОбработкаНастроекВторогоФактораАутентификации позволяет применять их по очереди в том случае, если исполнение текущего HTTP-запроса закончилось ошибкой

Например, провайдер не работает, тогда можно попробовать другого провайдера, который умеет выполнять аналогичные действия (другой набор настроек).

Двухфакторная аутентификация

При двухфакторной аутентификации система использует два не связанных между собой способа аутентификации. Первый обычный, а второй — для дополнительной безопасности. 

Второй способ должен быть независимым: на другом устройстве или принципиально другим методом. Расчёт на то, чтобы существенно усложнить жизнь злоумышленникам, которые могут захотеть воспользоваться чужим логином и паролем. 

Входить в сервис намного дольше. 

Надёжность выше: чтобы войти от вашего имени, нужно получить доступ к вашему телефону или почте. Плюс нужно знать пароли от них. 

Войти сложно, даже если у вас везде один и тот же пароль. 

Примеры второго фактора

СМС-код с подтверждением. Предполагается, что человек не передаёт свой телефон другим людям, поэтому если отправить ему СМС, то прочитает его именно он. Так работают почти все интернет-банки. 

Также код могут отправить на почту или в приложение. Смысл тот же. 

Ссылка на электронную почту. После логина и пароля система отправляет специальную одноразовую ссылку, после клика на которую система убеждается, что вы — это вы. Не слишком безопасно, потому что почту несложно взломать. 

Подтверждение в приложении. Если у сервиса есть приложение и вы его установили, сервис может связаться с приложением на вашем телефоне и задать вам там вопрос: «Это вы входите?». Вход в аккаунт Гугла, например, работает именно так.

Приложение-аутентификатор с кодом. Для более злых сценариев есть специальные приложения — например, «Ключ» у Яндекса. Сервер и ваше приложение договариваются о каком-то принципе криптографии. Когда нужно ввести второй код, вы смотрите его не в смс, а в приложении.

Таким методом пользуются для входа в некоторые почтовые сервисы или в защищённые контуры корпоративных сетей. Например, если у вас почта Яндекса, можно настроить вход через «Яндекс-ключ».

Аутентификация по QR-коду. В приложении может быть функция «Считать QR-код»: подносите камеру к компьютеру, и система убеждается, что перед экраном сидите именно вы. 

Так работает аутентификация в веб-версию WhatsApp или в почту Яндекса через приложение «Ключ».

Устройство-аутентификатор. Обычно их делают в виде флешки с кнопкой и экранчиком. Нажимаете на кнопку — высвечивается код. Потеряется флешка — нужно будет идти к тому, кто её выдавал, без этого система никуда просто по логину и паролю не пустит.

USB-токен. Тоже выглядит как флешка, но внутри стоит специальная микросхема и криптософт. Этот софт безопасно соединяется с системой и сам вводит нужный код доступа, который ему генерирует микросхема. Если потерять, то доступ тоже будет утерян.

Пример токена, который продаётся на сайте secure-market.ru. Сам по себе он бесполезен — его нужно привязывать к системе аутентификации вашего софта, чтобы они знали друг о друге. Если просто купить этот токен, его коды ничего вам не откроют

NFC-карта или карта с магнитной лентой. Иногда у сотрудников банков к компьютеру подключён специальный ридер для карт. Чтобы совершить важную операцию, сотрудник должен подтвердить её своей картой: мол, это точно я.

Биометрия. Биометрия — это всё, что касается вашего тела: распознавание отпечатков, лица, голоса, биоритмов, ауры и что там ещё придумают. Как правило, применяется на крупных и важных объектах с повышенными требованиями к безопасности. 

Как использовать резервные коды для восстановления доступа к аккаунту

Чтобы восстановить доступ к аккаунту, воспользуйтесь резервным кодом. Если для аккаунтов включена двухэтапная аутентификация, вы можете сгенерировать для них резервные коды. Двухэтапная аутентификация может не использоваться, если пользователи добавлены в группы исключения, для которых этот метод защиты не является обязательным.
Вы можете использовать группы исключения, когда изменяете структуру организации и перемещаете большое количество пользователей из одной организации в другую, в которой настроена двухэтапная аутентификация. Подробнее о том, как перенести пользователей в организацию, для которых включена двухэтапная аутентификация…

Как подключить двухфакторную аутентификацию во «ВКонтакте»

Зайдите в «Настройки» → Во вкладке «Безопасность» выберите «Подтверждение входа» → «Подключить». Дальше нужно будет ввести свой пароль, ввести последние цифры номера, с которого на ваш телефон поступит звонок, и функция подтверждения входа будет подключена. При желании можно выбрать аутентификацию через приложения для генерации кодов, а также распечатать или записать резервные коды.

В приложении:

Зайдите в «Настройки» (в приложении они находятся в меню в нижней части экрана) → выберите «Управление аккаунтом VK Connect» → «Безопасность и вход» → «Подтверждение входа».

Далее, как и в полной версии, выбираете способ подтверждения входа и восстановления доступа.

Вам Нужна 2FA Для Вашей Учетной Записи Fortnite?

В декабре 2018 года BBC взяла интервью у одного словенского подростка, зарабатывающего невероятную сумму денег. Этот молодой парень взламывал пароли учетных записей Fortnite в надежде найти учетную запись, полную премиальных скинов и другой добычи.

Взломщик оценил свой заработок примерно в 20 000 долларов за семь месяцев работы.

Но это только один пример. Форум Epic Games Fortnite полон обсуждений украденных аккаунтов, потерянных скинов, мошеннических транзакций V-Bucks (V-Bucks — внутренняя валюта Fortnite) и многом другом.

Некоторые предметы Fortnite очень редки. Настолько редки, что в реальном мире они стоят сотни долларов.

Epic Games тоже остро осознает эту проблему. Подавляющее большинство пользователей Fortnite — молодые. Многие понятия не имеют о включении 2FA, не говоря уже о том, как соблюдать правила безопасности паролей.

Комбинация этих двух факторов означает, что взломщики используют базовые инструменты для заполнения учетных данных для взлома учетных записей Fortnite.

Вкратце: вам необходимо включить двухфакторную аутентификацию для каждой вашей учетной записи, включая учетные записи ваших детей.

Epic Games даже даст вам эмоцию Boogiedown, если вы включите ее, а также 50 слотов для арсенала, 10 слотов для рюкзака и 1 легендарную ламу из тайника троллей в режиме Save the World .

Если ваши дети играют в видеоигры, скорее всего, они играют в Fortnite. Итак, что родителям нужно знать об этой игре? Вот ответы на ваши вопросы.

Что такое двухфакторная аутентификация

Когда вы заходите на сайт, вас спрашивают имя пользователя и пароль. Как только вы правильно введете обе эти части информации, вы попадете в свою учетную запись. Это легко, распространено, и к чему все привыкли. Но, это также небезопасно.

Двухфакторная аутентификация помогает защитить ваш логин вторым кодом, который вам нужно получить, прежде чем вы действительно сможете войти.

Даже если ваш пароль достаточно сложен, он может быть взломан. Это сделать особенно легко, учитывая, что многие люди не удосуживаются использовать действительно сложные пароли для своих учетных записей. Используя некоторые легкодоступные инструменты, преступники могут достаточно быстро подобрать пароль, поэтому лучше быть максимально защищенным.

Как использовать Google Authenticator с несколькими устройствами и аккаунтами

Как включить двухэтапную аутентификацию для нескольких аккаунтов

Приложение Google Authenticator, установленное на одном устройстве, может генерировать коды сразу для нескольких аккаунтов Google. Каждому аккаунту должен соответствовать отдельный секретный ключ.

Чтобы настроить дополнительные аккаунты, выполните следующие действия:

  1. Включите двухэтапную аутентификацию для каждого из аккаунтов.
  2. Используйте то же приложение Google Authenticator.

Как настроить Google Authenticator на нескольких устройствах

Чтобы коды подтверждения генерировались сразу на нескольких устройствах, выполните следующие действия:

  1. Проверьте, установлено ли приложение Google Authenticator на всех нужных устройствах.
  2. В аккаунте Google перейдите в раздел Двухэтапная аутентификация.
  3. Если вы уже настроили Google Authenticator, удалите аккаунт из приложения.
  4. Настройте двухэтапную аутентификацию через Google Authenticator, следуя инструкциям на экране. Используйте один и тот же QR-код или секретный ключ на всех устройствах.
  5. Убедитесь, что на все устройства приходят одинаковые коды подтверждения.

Однофакторная аутентификация

Это самый простой и самый распространённый тип аутентификации: вы вводите логин и пароль. Софт смотрит, есть ли такие логины и пароли в базе данных. Если да — узнает вас. Дальше смотрит, есть ли у вас какие-то права.

Системе неважно, кто именно вводит логин и пароль. Главное — чтобы они совпали с базой

Если злоумышленник подсмотрит, как мы вводим логин и пароль от какого-нибудь форума, потом он сможет зайти от нашего имени творить зло. 

Если помните логин и пароль, вход будет относительно быстрым.

Если кто-то другой узнает ваш логин и пароль, он сможет залезть в софт под вашим именем. 

Часто люди в качестве логина используют адрес почты — это публичная информация, её легко вычислить.

Люди нечасто используют много разных паролей для разных сервисов. Если какой-то один сервис сольёт ваш пароль, злоумышленники смогут воспользоваться им и в других сервисах.

Очень часто пароль — это дата рождения, что тоже может быть публичной информацией. 

Где можно подключить двухфакторную аутентификацию?

Здесь вопрос, вероятнее всего нужно ставить несколько иначе — а нужно ли подключать? Потому что подключить можно практически везде, но целесообразно ли это? Здесь необходимо учитывать тот факт, насколько важен для Вас ресурс и какую информацию он содержит. Если это какой-то форум, где Вы были всего один раз и никаких данных не указывали — не стоит беспокоиться. Если же это, например, социальная сеть, электронная почта или личный кабинет в онлайн-банке — однозначно нужно и в данном случае не должно быть никаких сомнений. Основные ресурсы, где можно подключить двухэтапную аутентификацию:

2016

SMS-пароли признаны небезопасными

Национальный Институт стандартов и технологий США (The National Institute of Standards and Technology, NIST) представил летом 2016 года предварительную версию будущего Digital Authentication Guideline (документа, который установит новые нормы и правила в отношении цифровых методов аутентификации): механизм SMS OTP изначально для аутентификации не предназначался и не может считаться полноценным фактором аутентификации.

В документе содержится прямое указание на то, что использование SMS-сообщений для двухфакторной аутентификации может являться «недопустимым» и «небезопасным» (секция документа 5.1.3.2).

Основные опасения экспертов Национального института стандартов и технологий сводятся к тому, что номер телефона может быть привязан к VoIP-сервису, кроме того, злоумышленники могут попробовать убедить поставщика услуг в том, что номер телефона изменился, и подобные уловки нужно сделать невозможными.

Хотя документ рекомендует производителям использовать в своих приложениях токены и криптографические идентификаторы, авторы поправок также отмечают, что смартфон или другое мобильное устройство всегда могут быть украдены, или могут временно находиться в руках другого человека» — говорится в документе NIST.

Механизмов компрометации SMS паролей существует достаточно много, и они уже были неоднократно использованы в основном для похищения денежных средств клиентов российских банков. Достаточно перечислить лишь несколько методов взлома SMS паролей:

  • Замена SIM карты с использованием поддельных документов
  • Использование уязвимостей в протоколе OSS-7
  • Переадресация вызовов у оператора мобильной связи
  • Ложные базовые станции
  • Специализированные троянские программы для смартфонов, перехватывающие SMS пароли

Еще одним методом может считаться взлом шлюза между банком и оператором связи.

То обстоятельство, что механизм SMS-паролей используется всеми банками, открывает для хакеров широкие перспективы. Очевидно, что написав один раз троян для смартфона, его можно использовать для атаки на все российские банки, при его (трояна) минимальной кастомизации.

При этом можно предсказать, что первыми «под раздачу» будут попадать крупные банки – большая клиентская база последних позволяет мошенникам рассчитывать на весомый результат даже при небольших остатках на счетах клиентов.

Одноразовые пароли через SMS

  • задержки в доставке
  • возможность перехвата на уровне канала связи или ввода в систему
  • возможность перехвата на уровне оператора мобильной связи
  • возможность переоформления сим-карты клиента на мошенника по поддельной доверенности (и перехвата SMS)
  • возможность направления клиенту SMS-сообщений с подменного номера
  • рост операционных затрат пропорционально клиентской базе

Одноразовые пароли через PUSH

  • негарантированная доставка
  • прямой запрет Apple//Microsoft на использование для передачи конфиденциальной информации
  • предназначение – только информирование

Исследователи продемонстрировали простую атаку для обхода двухфакторной аутентификации

Ученые из Амстердамского свободного университета Радхеш Кришнан Конот (Radhesh Krishnan Konoth), Виктор ван дер Вен (Victor van der Veen) и Герберт Бос (Herbert Bos) продемонстрировали практическую атаку на двухфакторную аутентификацию с использованием мобильного устройства. Исследователи продемонстрировали атаку «Человек в браузере» (Man-in-the-Browser) против смартфонов на базе Android и iOS.

Проблема с двухфакторной аутентификацией возникла из-за увеличения популярности смартфонов и желания владельцев синхронизировать данные между различными девайсами. Двухфакторная аутентификация полагается на принцип физического разделения устройств для защиты от вредоносного ПО. Однако синхронизация данных делает подобную сегментацию абсолютно бесполезной.

Исследователи продемонстрировали атаку с использованием установки уязвимого приложения через Google Play. Им удалось успешно обойти проверку Google Bouncer и активировать приложение для перехвата одноразовых паролей.

Для атаки на iOS исследователи использовали новую возможность OS X под названием Continuity, позволяющую синхронизировать SMS-сообщения между iPhone и Mac. Если этот функционал активирован, злоумышленнику достаточно иметь доступ к компьютеру, чтобы прочитать все SMS сообщения.

Согласно исследователям, приложение для хищения одноразовых паролей было добавлено в Google Play 8 июля 2015 года и оставалось доступно для пользователей в течение двух месяцев, до выхода видео с демонстрацией атаки.

Компания Apple была уведомлена 30 ноября 2015 года, однако исследователи не получили ответ.

Как получать коды на новый телефон

Как перенести коды Google Authenticator на новый телефон

Вот что вам потребуется:

  • прежний телефон Android с кодами Google Authenticator;
  • установленная на нем последняя версия приложения Google Authenticator;
  • новый телефон.
  1. Установите приложение Google Authenticator на новом телефоне.
  2. В приложении нажмите Начать.
  3. Внизу экрана выберите Импортировать имеющиеся аккаунты?.
  4. Создайте QR-код на прежнем телефоне:
    1. В приложении Authenticator нажмите на значок «Ещё» Перенести аккаунты Экспорт аккаунтов.
    2. Выберите аккаунты, которые вы хотите перенести на новый телефон, и нажмите Далее

      В случае переноса нескольких аккаунтов может быть сгенерировано больше одного QR-кода.

      .

  5. На новом телефоне нажмите Отсканировать QR-код.
  6. После сканирования QR-кодов вы получите подтверждение того, что аккаунты Google Authenticator перенесены.

Совет. Если отсканировать QR-код с помощью камеры не получается, причиной может быть слишком большой объем информации. Попробуйте перенести меньшее количество аккаунтов.

Как указать, на какой телефон должны отправляться коды Google Authenticator

  1. На своем устройстве откройте страницу аккаунта Google.
  2. На панели навигации вверху нажмите Безопасность.
  3. В разделе «Вход в аккаунт Google» выберите Двухэтапная аутентификация. При необходимости выполните вход.
  4. В разделе «Доступные варианты второго этапа аутентификации» найдите пункт «Приложение Authenticator» и нажмите Изменить номер.
  5. Следуйте инструкциям на экране.

Как устранить распространенные проблемы

Как устранить неполадки с кодом

Если код оказался некорректным, убедитесь, что:

  • Вы указали код до того, как срок его действия истек.
  • Время на устройстве соответствует вашему часовому поясу.

Если устранить проблему не удалось, синхронизируйте свое устройство Android. Для этого выполните следующие действия:

  1. Откройте приложение Google Authenticator на устройстве Android.
  2. В правом верхнем углу экрана нажмите на значок «Ещё» Коррекция времени для кодов Синхронизация.
  3. На следующем экране появится сообщение о том, что время синхронизировано. Теперь вы можете использовать коды подтверждения для входа.