Содержание
- 2016
- Как включить двухфакторную аутентификацию? Anchor link
- Пользователи и провайдеры
- Как предотвратить потерю доступа к аккаунту
- Почему вам следует использовать двухфакторную аутентификацию в Zoom?
- Как восстановить доступ к аккаунту
- Аккаунт пользователя
- Аккаунт администратора
- Как обезопасить любую учётку
- Как настроить
- Authy
- Есть ли недостатки у использования двухфакторной аутентификации? Anchor link
- Как работает двухфакторная аутентификация
- Как настроить двухфакторную аутентификацию на Zoom
- Как установить
- Проверенные номера телефона
- Как двухфакторная аутентификация работает в сети? Anchor link
- Ключи безопасности
2016
SMS-пароли признаны небезопасными
Национальный Институт стандартов и технологий США (The National Institute of Standards and Technology, NIST) представил летом 2016 года предварительную версию будущего Digital Authentication Guideline (документа, который установит новые нормы и правила в отношении цифровых методов аутентификации): механизм SMS OTP изначально для аутентификации не предназначался и не может считаться полноценным фактором аутентификации.
В документе содержится прямое указание на то, что использование SMS-сообщений для двухфакторной аутентификации может являться «недопустимым» и «небезопасным» (секция документа 5.1.3.2).
Основные опасения экспертов Национального института стандартов и технологий сводятся к тому, что номер телефона может быть привязан к VoIP-сервису, кроме того, злоумышленники могут попробовать убедить поставщика услуг в том, что номер телефона изменился, и подобные уловки нужно сделать невозможными.
Хотя документ рекомендует производителям использовать в своих приложениях токены и криптографические идентификаторы, авторы поправок также отмечают, что смартфон или другое мобильное устройство всегда могут быть украдены, или могут временно находиться в руках другого человека» — говорится в документе NIST.
Механизмов компрометации SMS паролей существует достаточно много, и они уже были неоднократно использованы в основном для похищения денежных средств клиентов российских банков. Достаточно перечислить лишь несколько методов взлома SMS паролей:
- Замена SIM карты с использованием поддельных документов
- Использование уязвимостей в протоколе OSS-7
- Переадресация вызовов у оператора мобильной связи
- Ложные базовые станции
- Специализированные троянские программы для смартфонов, перехватывающие SMS пароли
Еще одним методом может считаться взлом шлюза между банком и оператором связи.
То обстоятельство, что механизм SMS-паролей используется всеми банками, открывает для хакеров широкие перспективы. Очевидно, что написав один раз троян для смартфона, его можно использовать для атаки на все российские банки, при его (трояна) минимальной кастомизации.
При этом можно предсказать, что первыми «под раздачу» будут попадать крупные банки – большая клиентская база последних позволяет мошенникам рассчитывать на весомый результат даже при небольших остатках на счетах клиентов.
Одноразовые пароли через SMS
- задержки в доставке
- возможность перехвата на уровне канала связи или ввода в систему
- возможность перехвата на уровне оператора мобильной связи
- возможность переоформления сим-карты клиента на мошенника по поддельной доверенности (и перехвата SMS)
- возможность направления клиенту SMS-сообщений с подменного номера
- рост операционных затрат пропорционально клиентской базе
Одноразовые пароли через PUSH
- негарантированная доставка
- прямой запрет Apple//Microsoft на использование для передачи конфиденциальной информации
- предназначение – только информирование
Исследователи продемонстрировали простую атаку для обхода двухфакторной аутентификации
Ученые из Амстердамского свободного университета Радхеш Кришнан Конот (Radhesh Krishnan Konoth), Виктор ван дер Вен (Victor van der Veen) и Герберт Бос (Herbert Bos) продемонстрировали практическую атаку на двухфакторную аутентификацию с использованием мобильного устройства. Исследователи продемонстрировали атаку «Человек в браузере» (Man-in-the-Browser) против смартфонов на базе Android и iOS.
Проблема с двухфакторной аутентификацией возникла из-за увеличения популярности смартфонов и желания владельцев синхронизировать данные между различными девайсами. Двухфакторная аутентификация полагается на принцип физического разделения устройств для защиты от вредоносного ПО. Однако синхронизация данных делает подобную сегментацию абсолютно бесполезной.
Исследователи продемонстрировали атаку с использованием установки уязвимого приложения через Google Play. Им удалось успешно обойти проверку Google Bouncer и активировать приложение для перехвата одноразовых паролей.
Для атаки на iOS исследователи использовали новую возможность OS X под названием Continuity, позволяющую синхронизировать SMS-сообщения между iPhone и Mac. Если этот функционал активирован, злоумышленнику достаточно иметь доступ к компьютеру, чтобы прочитать все SMS сообщения.
Согласно исследователям, приложение для хищения одноразовых паролей было добавлено в Google Play 8 июля 2015 года и оставалось доступно для пользователей в течение двух месяцев, до выхода видео с демонстрацией атаки.
Компания Apple была уведомлена 30 ноября 2015 года, однако исследователи не получили ответ.
Как включить двухфакторную аутентификацию? Anchor link
Способ включения зависит от используемой платформы, также различается и терминология. Обширный список сайтов, поддерживающих двухфакторную аутентификацию доступен на сайте https://twofactorauth.org/. Наиболее распространённые сервисы указаны в статье 12 Days of 2FA post, рассказывающей как включить двухфакторную аутентификацию на сервисах Amazon, Bank of America, Dropbox, Facebook, Gmail и Google, LinkedIn, Outlook.com и Microsoft, PayPal, Slack, Twitter, а также Yahoo Mail.
Если желаете получить страховку на случай похищения ваших паролей, ознакомьтесь со списком сервисов и включите двухфакторную аутентификацию на всех аккаунтах в сети, которые вам особенно важны.
Пользователи и провайдеры
То, у какого провайдера и каким образом выполнять аутентификацию второго фактора, определяется для каждого пользователя отдельно.
Чтобы описать HTTP-запросы, которые следует отправить провайдеру, мы реализовали во встроенном языке новый тип – ШаблонНастройкиВторогоФактораАутентификации. Объекты этого типа — это именованные объекты, которые вы можете сохранять в базе данных. Каждый такой шаблон позволяет сохранить сразу два HTTP-запроса: один для запроса аутентификации, другой – для получения её результата. Оба этих запроса описываются с помощью привычных объектов HTTPЗапрос, но имеют две интересные особенности:
- Во-первых, для каждого из них вы можете задать HTTP-метод в виде строки. Так сделано потому, что спецификация HTTP допускает использование собственных глаголов (методов).
- Во-вторых, некоторые поля в этих запросах можно «параметризировать», используя «&» (например, &sms_phone_number). Это связано с тем, что для разных пользователей запросы будут, в основном, одинаковыми, отличие будет лишь в значениях некоторых полей, зависящих от конкретного пользователя (например, номер телефона, по которому надо отправить СМС).
В результате, например, шаблон для простого провайдера, отправляющего СМС, вы можете сформировать, задав только один запрос – запрос для аутентификации. В этом запросе будут использованы два параметра – host (адрес провайдера) и secret (код второго фактора, который сформирует платформа):
Шаблон «умного» провайдера будет содержать уже два запроса (просьба выполнить аутентификацию и запрос результатов аутентификации):
После того, как вы сохранили один или несколько шаблонов для провайдеров, вы можете каждому пользователю назначить определенный шаблон и набор значений для параметров, которые должны подставляться в этот шаблон.
Например, для пользователя, который будет использовать «простого» провайдера вы можете записать единственный параметр – адрес, на который будет отправляться HTTP-запрос (host):
А для пользователя, который будет использовать «умного» провайдера, параметров понадобится больше:
Обратите внимание, что каждому пользователю можно задать не один «набор» настроек, а несколько (массив). Свойство ОбработкаНастроекВторогоФактораАутентификации позволяет применять их по очереди в том случае, если исполнение текущего HTTP-запроса закончилось ошибкой
Например, провайдер не работает, тогда можно попробовать другого провайдера, который умеет выполнять аналогичные действия (другой набор настроек).
Как предотвратить потерю доступа к аккаунту
- Создайте дополнительный электронный ключ. Зарегистрируйте несколько электронных ключей для своего аккаунта администратора и храните их в безопасном месте.
- Сохраните резервные коды. Администраторам и пользователям следует создать и распечатать резервные коды и хранить их в безопасном месте.
- Предоставьте роль администратора ещё одному пользователю. Если вы не сможете войти в аккаунт, другой администратор сможет создать для вас резервный код.
- При включении аутентификации только с помощью электронных ключей укажите период, в течение которого пользователи смогут использовать другие способы двухэтапной аутентификации, например резервный код.
Почему вам следует использовать двухфакторную аутентификацию в Zoom?
Двухфакторная аутентификация в Zoom полезна для пользователей во многих отношениях. Если вы не уверены, почему вы должны его использовать, рассмотрите следующие моменты, прежде чем переходить к настройке его для своей учетной записи Zoom.
- Добавление дополнительного уровня безопасности предотвращает доступ злоумышленников к вашей учетной записи
- Zoom 2FA гарантирует, что даже угадав ваш пароль, он не позволит никому войти от вашего имени.
- Предотвращает кражу личных данных
- Включив 2FA, организации могут выполнять обязательства по отправке конфиденциальных данных и обмену ими с другими.
- Можно избежать зависимости от Zoom SSO Login, что может быть дорогостоящим делом для малого бизнеса и образовательных учреждений.
- Дополнительный уровень безопасности гарантирует, что вам не придется время от времени менять пароли к своей учетной записи Zoom.
Как восстановить доступ к аккаунту
Аккаунт пользователя
-
Войдите в консоль администратора Google.
Используйте аккаунт администратора (он не заканчивается на @gmail.com).
- На главной странице консоли администратора выберите Пользователи.
- Выберите пользователя из списка.
Отобразится сводная информация о нем. Подробнее о том, как найти аккаунт пользователя… - Нажмите Безопасность.
- Выберите Двухэтапная аутентификация.
- Нажмите Получить коды подтверждения.
- Скопируйте один из кодов подтверждения.
- Нажмите Готово.
- Отправьте пользователю код в SMS или приложении для мгновенного обмена сообщениями.
Пользователь сможет войти в аккаунт с помощью пароля и резервного кода.
Аккаунт администратора
- Попросите другого администратора организации сгенерировать резервные коды, как указано выше.
- Если вы единственный администратор в организации, следуйте инструкциям по сбросу пароля.
Как восстановить доступ к аккаунту с помощью дополнительного имени пользователя
В некоторых случаях восстановить доступ к аккаунту можно с помощью дополнительного имени пользователя. Мы не рекомендуем использовать этот способ, так как он небезопасен. Если дополнительное имя пользователя не защищено двухэтапной аутентификацией, к нему и, соответственно, к аккаунту администратора могут получить несанкционированный доступ другие пользователи.
Этот способ нельзя использовать для восстановления аккаунтов, если в организации не менее трех суперадминистраторов или более 500 пользователей.
Как обезопасить любую учётку
Во-первых, проверьте пароль на повторения. Такая довольно полезная фишка появилась еще в iOS 12.
Перейдите по пути Настройки – Пароли и учетные записи – Пароли сайтов и программ. Авторизуйтесь при помощи Face ID или Touch ID и введите название сайта в окне поиска.
Если пароль будет неоригинальным (повторяться с другими сайтами и сервисами), iPhone подскажет это.
Во-вторых, настройте скрытие текста сообщений, чтобы их не смогли прочитать без разблокировки смартфона.
Перейдите в меню Настройки – Уведомления – Показ миниатюр и измените параметр на Если разблокировано или Никогда.
Если смартфон окажется в чужих руках, то злоумышленники не смогут получить приходящий по СМС или в уведомлении пароль для авторизации.
В-третьих, установите пароль на СИМ-карту.
Эта опция доступна по пути Настройки – Сотовые данные – SIM-PIN. Простой четырехзначный пароль не позволит мошенникам использовать сим-карту в другом телефоне для получения одноразового пароля по СМС.
Эти три простых шага позволят минимизировать риск потери доступа к своим учётным записям на сайтах и сервисах с двухфакторной аутентификацией.
Как настроить
В последних версиях iOS и macOS система сама будет напоминать о том, что двухфакторная аутентификация не включена. Об этом просигнализирует красный бейдж на иконке приложения Настройки и периодически появляющиеся баннеры на экране.
Для включения на iOS:
1. Перейдите в Настройки – Имя пользователя – Пароль и безопасность (для iOS 10.2 и более ранних Настройки – iCloud – Apple ID – Пароль и безопасность).
2. Выберите опцию Включить двухфакторную аутентификацию.
3. Нажмите Продолжить.
4. Укажите номер телефона, на который будут поступать сообщения или звонки с подтверждающими кодами.
5. Нажмите далее и после получения сообщения подтвердите номер телефона вводом кода.
Для включения на macOS:
1. Перейдите в Настрйоки – iCloud – Учетная запись.
2. Откройте раздел Безопасность.
3. Нажмите на кнопку Включить двухфакторную аутентификацию.
4. Укажите доверенный номер телефона и способ доставки кода (СМС или звонок).
5. Введите полученный проверочный код.
Для управления доверенными устройствами и телефонными номерами используйте страницу своей учетной записи Apple ID.
В разделе «Безопасность» можно менять и добавлять номера телефонов, а в разделе «Устройства» – доверенные смартфоны, планшеты и компьютеры.
Authy
Одно из самых мощных и функциональных решений в данной нише. Для начала использования сервиса потребуется регистрация по номеру телефона, что для многих может стать недостатком.
В остальном – одни плюсы и преимущества: есть облачная синхронизация токенов, возможность удаленного отключения от учетной записи потерянного или проданного гаджета, блокировка приложения паролем или по биометрии.
Хранящиеся в облаке бекапы зашифрованы и защищены паролем, который нужно помнить для развертывания базы на другом девайсе.
Клиенты Authy есть не только для iOS или Android. На сайте разработчиков доступны программы под macOS, Windows и Linux, а еще есть расширение для браузера Chrome.
Сам уже несколько лет пользуюсь сервисом и рекомендую именно его.
Это лишь самые популярные приложения аутентификаторы. В App Store можно найти еще несколько десятков подобных программ от менее известных разработчиков. В основном они отличаются дизайном и имеют схожий функционал.
Есть ли недостатки у использования двухфакторной аутентификации? Anchor link
Хотя двухфакторная аутентификация и предлагает более безопасный способ входа в учётные записи, повышается риск того, что пользователи не смогут войти в свои аккаунты, например в случае утери телефона, смены сим-карты или выезда в другую страну, не включив роуминг.
Многие поддерживающие двухфакторную аутентификацию сервисы позволяют создавать «резервные» списки кодов или коды «восстановления». Эти коды – одноразовые, т.е. использовать каждый код для входа в свой аккаунт можно лишь однажды. Если вы обеспокоены возможностью потери доступа к своему телефону или другому устройству аутентификации, вам необходимо распечатать список кодов и всегда носить его с собой. Это по-прежнему будет что-то, чем вы владеете, если, конечно, вы сделаете только одну копию и будете всегда иметь её под рукой. Помните, что хранить коды безопасности необходимо особенно бережно, не допуская доступа третьих лиц. Если вы использовали эти коды или потеряли их, вы сможете сгенерировать новые, как только войдёте в свой аккаунт.
Другой проблемой, связанной с системами двухфакторной аутентификации, использующими SMS-сообщения, является то, что SMS-сообщения имеют низкий уровень защиты. Продвинутый злоумышленник (например, в составе спецслужб или организованных преступных групп), имеющий доступ к телефонным сетям, теоретически может перехватить и использовать коды, отправляемые по SMS. Были случаи, когда менее продвинутым злоумышленникам (частным лицам) удавалось перенаправлять на свой телефон звонки и SMS-сообщения, предназначенные другим абонентам, или получать доступ к сервисам мобильного оператора, которые отображают текстовые сообщения, отправляемые на определённый номер телефона.
Если вы обеспокоены атаками такого уровня, выключите аутентификацию по SMS и используйте специальные приложения, такие как Google Authenticator и Authy. К сожалению, это функция доступна не для всех сервисов, поддерживающих двухфакторную аутентификацию.
Более того, двухфакторная аутентификация требует от вас предоставления используемому сервису больше информации, чем вы, возможно, хотите. Допустим, на Twitter вы используете псевдоним. Даже если вы тщательно скрываете идентифицирующую вас информацию от сервиса Twitter и даже если вы подключаетесь только через Tor или VPN, при включении двухфакторной аутентификации по SMS номер вашего телефона станет известен сервису. Таким образом, если Twitter получит распоряжение суда, сервис сможет найти связь между вашей учётной записью и вами через номер вашего телефона
Возможно, для вас это не проблема, особенно если вы уже используете своё настоящее имя на данной платформе, но если для вас важно сохранять анонимность, вам надо подумать дважды прежде чем включать двухфакторную аутентификацию по SMS
В заключение надо отметить, что по данным исследования, некоторые пользователи упрощают свои пароли после включения двухфакторной аутентификации, считая, что второй фактор обеспечивает их безопасность. Обязательно выбирайте надёжные пароли даже после включения двухфакторной аутентификации. Советы созданию паролей вы найдете в нашем руководстве.
Как работает двухфакторная аутентификация
Настройка аутентификации происходит с помощью различных дополнительных компонентов электронной защиты.
Например:
- При регистрации аккаунта в Microsoft или Googlе используется код из смс, высланный на указанный мобильный телефон или из Push-уведомления. Обычно состоит из комбинации 6 или 8 случайных цифр. Код может передаваться и голосовым сообщением;
- Учетная запись в iCloud потребует кода из е-mail сообщения;
- Код может формироваться с помощью использования специальных устройств – генераторов кодов в виде брелков -токенов (eToken PASS);
- Технологии SecureID, применяемой в корпоративном секторе;
- TAN-паролей (Transaction Authentication Number);
- В индивидуальных случаях используются электромагнитные татуировки, но это скорее экзотический вид аутентификации.
Вид двухфакторной аутентификации будет зависеть от частных или корпоративных задач и желаемого уровня защиты важных данных.
Как настроить двухфакторную аутентификацию на Zoom
Теперь, когда вы узнали, что нужно для настройки двухфакторной аутентификации в Zoom, пришло время фактически приступить к процессу настройки. Чтобы включить Zoom 2FA, вам нужно выяснить, какой тип учетной записи у вас есть — организация или личная учетная запись.
Как администратор аккаунта
Если вы являетесь администратором учетной записи организации, вы можете включить новую систему 2FA Zoom, перейдя на Веб-портал Zoom и войдите с вашими учетными данными. После входа в Zoom перейдите в раздел «Дополнительно»> «Безопасность» и включите переключатель «Вход с двухфакторной аутентификацией».
Когда вы включите переключатель Zoom 2FA, вы сможете увидеть множество опций, которые помогут вам настроить новые элементы управления аутентификацией так, как вы считаете их подходящими для вашей организации.
Во-первых, вам нужно выбрать любой из перечисленных ниже вариантов, чтобы решить, где применима 2FA Zoom.
- Все пользователи в вашем аккаунте: Это включит двухфакторную аутентификацию для всех пользователей вашей учетной записи Zoom.
- Пользователи с определенными ролями: Это включит двухфакторную аутентификацию для тех пользователей, для которых вы указали роль.
- Пользователи, принадлежащие к определенным группам: Это должно обеспечить поддержку двухфакторной аутентификации для всех пользователей в указанной группе.
На следующем этапе вы решаете, как вы хотите аутентифицировать сеанс входа в систему на Zoom. Администраторы организации могут выбрать один из двух вариантов:
- Приложение для аутентификации: Установите этот флажок, если вы хотите использовать любое из ваших приложений Authenticator для входа в Zoom.
- Текстовое сообщение: Выберите это, если вы хотите войти в систему, используя одноразовый пароль, отправленный на ваш номер телефона.
Как пользователь
Если у вас есть личная учетная запись или учетная запись в организации, которая уже включила для вас двухфакторную аутентификацию, вы можете настроить ее, перейдя в Веб-портал Zoom и войдите под своим именем пользователя и паролем. Перейдите на страницу своего профиля, прокрутите вниз и нажмите кнопку «Включить» в разделе «Двухфакторная аутентификация».
Вам будет предложено ввести пароль Zoom, и после того, как вы это сделаете, нажмите кнопку «Далее» ниже.
После ввода пароля вам потребуется настроить приложение для аутентификации или SMS в качестве метода аутентификации.
Включение 2FA с помощью приложения для аутентификации
Чтобы настроить Zoom 2FA с помощью приложения для аутентификации, нажмите на опцию «Настроить» рядом с ним, а затем откройте приложение 2FA на своем смартфоне.
Найдите способ отсканировать QR-код, а затем нажмите на него; после этого укажите камеру вашего телефона с включенным режимом QR-сканера и отсканируйте QR-код на веб-портале Zoom.
Это сгенерирует 6-значный OTP (одноразовый пароль), который необходимо ввести на экране вашего профиля Zoom на вашем компьютере. После того, как вы ввели 6-значный код, нажмите «Подтвердить», и теперь вы увидите список кодов восстановления.
Запишите эти коды, так как они позволяют использовать вашу учетную запись Zoom, даже если вы потеряете свой смартфон. Вы можете сохранить эти коды восстановления, нажав на опции «Загрузить» или «Печать». После того, как вы закончите записывать коды восстановления, нажмите «Готово».
Теперь вы успешно включили 2FA Zoom с помощью приложения аутентификации на своем телефоне.
Включение 2FA с помощью SMS
Чтобы настроить Zoom 2FA с помощью SMS, нажмите на опцию «Настроить» рядом с ним. На следующем экране введите свой номер телефона и код страны, в которой вы хотите получать коды 2FA, а затем нажмите кнопку «Отправить код». Zoom теперь отправит одноразовый пароль (OTP) на ваш номер, который вам нужно будет вставить на веб-портал Zoom, а затем нажмите «Подтвердить».
Теперь вам будет показан список кодов восстановления, которые позволят вам использовать свою учетную запись Zoom, даже если вы потеряете свой смартфон. Загрузите или распечатайте эти коды и сохраните их в надежном месте и нажмите «Готово».
Как установить
Настройка этого способа защиты обычно происходит в ручном режиме в личном аккаунте.
Условия настройки и использования двухфакторной аутентификации:
- Например, в аккаунте Microsoft или Googlе следует перейти в блок «настройки», выбрать метод реализации защиты из предложенных, установив соответствующую галочку напротив. Следует ввести в специальное поле и сохранить номер мобильного телефона;
- Как вариант, можно скачать и установить специальные приложения Google Authenticator или Microsoft Authentificator. Приложение подходит для операционной системы Windows 10.
Некоторые популярные соцсети и сайты в автоматически всплывающем окне или вкладке предлагают установить собственное приложение для использования двухфакторной аутентификации – Authentificator. Эти приложения обеспечивают абсолютную гарантию безопасности аккаунта. Один из примеров Fido – довольно популярный аутентификатор.
Проверенные номера телефона
Доверенный номер телефона это тот номер, на который пользователь предполагает получать цифровой код, отправляемый системой в виде текстовых сообщений и звонков. Само собой, для того, чтобы использовать функцию двухфакторной аутентификации необходимо иметь хотя бы один проверенный номер телефона.
На тот случай, если вдруг под рукой не окажется доверенного устройства, имеет смысл включить в число проверенных номеров свой домашний номер, номер родственника или близкого друга. Это позволит заходить в аккаунт Apple ID, если рядом по какой-то причине не будет своего гаджета.
Если необходимо изменить существующий номер или добавить новый, то следует выполнить следующие действия:
1. Откройте приложение Настройки и перейдите в раздел Apple ID (Ваше имя);
2. Откройте вкладку «Пароль и Безопасность».
3. Нажмите по кнопке-ссылке «Изменить».
Как двухфакторная аутентификация работает в сети? Anchor link
В течение последних лет несколько онлайновых сервисов (включая Facebook, Google и Twitter) начали предоставлять возможность двухфакторной аутентификации в качестве альтернативы аутентификации при помощи только пароля. После активации этой функции пользователям предлагается ввести и пароль, и код вторичного метода аутентификации. Как правило, он либо высылается по SMS, либо генерируется специальным мобильным приложением: Google Authenticator, Duo Mobile, Facebook app или Clef. В любом случае второй фактор – это мобильный телефон пользователя (что-то, чем он владеет). Некоторые веб-сайты (включая Google) также поддерживают списки кодов, которые можно скачать и распечатать в качестве резервных, обязательно спрятать их в надёжном месте. После того, как пользователь активировал двухфакторную аутентификацию, для входа в учётную запись ему понадобится вводить свой пароль и одноразовый код, полученный при помощи телефона.
Ключи безопасности
Этот вариант верификации, как и биометрия, пока редко применяется обычными пользователями и поддерживается далеко не всеми сервисами. Объяснение очевидно: не всегда удобно носить с собой физический ключ и тратить время на вход.
Пока что ключи безопасности актуальны, скорее, для бизнеса, где нужно защищать аккаунты и облачные хранилища со строго конфиденциальными и даже секретными данными. Но требования к безопасности аккаунтов постоянно растут, так что вполне возможно, вскоре все обзаведутся такими ключами. А уже сейчас их можно привязать к Facebook, Google и некоторым другим сервисам.
Итак, ключ безопасности или аппаратный токен представляет собой флеш-карту, подключаемую к смартфону, планшету или ПК. Для таких устройств придуман специальный стандарт U2F (Universal 2nd Factor). Карты выпускаются многими компаниями, например, недавно у Google появился собственный U2F токен Google Titan Security Keys.
Ключ безопасности нужно подключить к устройству и зарегистрировать в выбранном сервисе. При этом будут созданы два связанных между собой ключа: приватный и публичный. Публичный останется на сервере, приватный — в физическом хранилище токена Secure Element.
Самые известные ключи безопасности — Yubikey
После этого при входе в аккаунт с любого другого устройства к нему нужно будет просто подключить U2F-токен и нажать кнопку (как вариант – ввести PIN-код или отсканировать палец). Активируется приватный ключ, и с него на сервер отправится секретное подтверждение кода, для расшифровки которого применяется публичный ключ. Если приватный ключ окажется неверным (например, сгенерированным злоумышленниками), то расшифровать его не получится и на устройство придет уведомление об отказе в доступе к нужному сервису.
Совет ZOOM: ключи безопасности пригодятся для защиты самых важных данных, например, в почтовом сервисе или облачном хранилище.