Как и следует из названия, это больше, чем просто ввод пароля при входе в свой аккаунт – двухфакторная аутентификация добавляет еще один элемент для защиты учетной записи. Эксперты в сфере ИБ распределяют факторы аутентификации на три группы: информация, которую знает пользователь (например, пароль); предмет, который у него есть (физический объект); подтверждение личности (отпечаток пальца или другая биометрия). При использовании одного из приложений-аутентификаторов, упомянутых в этой статье, пользователь может получить доступ к своей странице с помощью токена, смартфона или смарт-часов, которые у него есть.
Какой вид двухфакторной аутентификации лучше?
Пользователь может использовать MFA, попросив свой банк отправлять ему текстовое сообщение с кодом, который он потом введет на сайте, чтобы получить доступ к аккаунту. Однако это, как оказалось, не лучший способ для 2FA («двухфакторной аутентификации»). Недавно была выявлена уязвимость при отправке SMS-сообщений – она позволяла мошенникам перенаправлять месседжи. Приложение-аутентификатор генерирует коды на смартфоне – они никогда не будут отправлены по мобильной сети, чтобы не привести к компрометации аккаунта.
Как работает двухфакторная аутентификация? | РАЗБОР
Пользователь может настроить опции аутентификации на странице параметров безопасности сайта в разделе двухфакторная или многофакторная аутентификация. Это можно сделать почти на каждом популярном ресурсе. Большинство сайтов предлагают самый простой вариант – отправку SMS-кода, но лучше все-таки воспользоваться приложением-аутентификатором.
Настройка 2FA обычно включает в себя сканирование QR-кода на сайте с помощью специального приложения на телефоне. Стоит отметить, что пользователь может сканировать код на нескольких телефонах сразу, если ему нужна резервная копия доступа. Необходимо также записать коды восстановления учетной записи, предоставленные сайтами, и хранить их в безопасном месте, например в менеджере паролей.
Как работают приложения для аутентификации
Всякий раз, когда пользователь входит на сайт с неизвестного устройства, ему нужно будет открыть приложение аутентификации, посмотреть код и ввести его. Приложения-аутентификаторы генерируют одноразовые коды доступа на основе времени (TOTP или OTP) – они состоят из шести цифр и обновляются каждые 30 секунд. Пользователь вводит этот код в защищенное приложение или сайт – и он в системе. Ограничение по времени означает то, что, даже если злоумышленнику удастся получить одноразовый код доступа, он будет рабочим только в течение 30 секунд.
Коды генерируются путем выполнения некоторых математических вычислений на длинном коде, переданном при QR-сканировании, с использованием стандартного алгоритма одноразового пароля на основе HMAC (HOTP). Такая процедура была одобрена Internet Engineering Task Force (IETF). Приложения не имеют доступа к вашим учетным записям – после первоначальной передачи кода они не взаимодействуют с сайтом, просто непрестанно генерируют коды. Пользователю даже не нужно пользоваться мобильной связью, чтобы они работали.
Google Authenticator ➔ Пошаговая Инструкция по Установке 📣
Поскольку протокол, используемый этими продуктами, обычно основан на одном и том же стандарте, можно применять тот же Microsoft Authenticator для входа в свою учетную запись Google. Помимо этого, Microsoft Authenticator предоставляет удобные параметры входа в службы, такие как Office, Outlook и OneDrive.
На что стоит обратить внимание при выборе приложения-аутентификатора
При выборе одного из приложений следует обратить внимание на то, создает ли оно резервные копии информации об учетной записи (зашифрованной, конечно) на случай, если пользователь не сможет использовать старый телефон. Authy, Duo Mobile, LastPass Authenticator и Microsoft Authenticator имеют такую опцию, в то время как Google Authenticator – нет.
Стоит сказать, что в плане безопасности Android запрещает кому-либо делать скриншоты, пока у пользователя открыто приложение для аутентификации, в то время как iOS дает такую возможность.
Для более продвинутой защиты можно реализовать MFA с помощью специального устройства, такого как YubiKey. Подобные устройства выдают коды, которые передаются через NFC, Bluetooth или при подключении непосредственно по USB. В отличие от обычных смартфонов, они обладают такими преимуществами, как универсальность и сверхзащита.
Хотя маловероятно, что зараженное вредоносными программами приложение, запущенное на телефоне, сможет перехватить коды аутентификации, созданные приложением-аутентификатором. Ключи безопасности не имеют батареек, движущихся частей, чрезвычайно долговечны и не требуют подключения к Интернету. Однако постоянно генерируемые коды все-таки более удобная опция при постоянном наличии телефона под рукой.
Authy и Microsoft Authenticator также имеют версии для Apple Watch для большего удобства, чего не хватает тем же Google Authenticator и LastPass. Только в 2020 году было продано около 36 миллионов устройств WatchOS (это на 14 миллионов больше, чем компьютеров Apple Mac).
Итак, подводя итог:
- Следует использовать многофакторную аутентификацию для всех своих аккаунтов.
- Приложения-аутентификаторы обеспечивают лучшую безопасность, чем SMS-коды.
Ниже представлены популярные приложения для аутентификации. Стоит выбрать именно ту программу, которая полностью отвечает имеющимся потребностям.
Duo Mobile
Duo Mobile ориентирован на корпоративные нужды, особенно когда пользователь входит в свой портфель Cisco. Приложение предлагает корпоративные функции, такие как многопользовательские параметры развертывания и обеспечения безопасности, а также включает в себя принудительную аутентификацию одним нажатием, в дополнение к одноразовым кодам доступа, упомянутым выше. Приятным аспектом в плане безопасности также является то, что пользователь не сможет сделать скриншот интерфейса Duo на Android (но сможет на iOS). Есть возможность создать резервную копию Duo Mobile с помощью Google Диска для Android и с помощью iCloud на iPhone.
Google Authenticator
Приложение для аутентификации от поискового гиганта является базовым и не включает в себя никаких дополнительных излишеств. В отличие от Microsoft Authenticator, приложение Google Authenticator не имеет никаких специальных опций для своих собственных служб, а также не предлагает резервное копирование или создание паролей и управление ими. Google, похоже, больше заинтересован в том, чтобы пользователь настроил двухфакторную аутентификацию с помощью встроенных функций Android, а не приложения-аутентификатора. Использование телефона Android для 2FA с учетной записью Google (а не приложением Google Authenticator) удобнее, поскольку для этого требуется просто сделать пару кликов, а не вводить шестизначный код.
В отличие от Authy, в Google Authenticator отсутствует онлайн-резервное копирование кодов учетной записи, но можно импортировать их со старого телефона на новый, если он под рукой. Один из незначительных недостатков заключается в том, что Google Authenticator не подходит для использования с Apple Watch.
LastPass Authenticator
Это приложение отличается от самой программы LastPass, поскольку оно обеспечивает некую синергию с более известными функциями паролей приложений. Установить программу для аутентификации LastPass совсем несложно, если у пользователя уже есть учетная запись LastPass с включенной многофакторной аутентификацией. Он может легко авторизоваться в LastPass, нажав на всплывающее push-уведомление. Кроме того, как только приложение будет связано с учетной записью LastPass, есть возможность с легкостью создать резервную копию учетных записей аутентификатора в хранилище LastPass. Это избавляет от лишних хлопот при переходе на новый телефон.
Microsoft Authenticator
Приложение от Microsoft включает в себя безопасную генерацию паролей и позволяет пользователю входить в учетные записи Майкрософт одним нажатием кнопки. Microsoft Authenticator также дает возможность школам и компаниям, которые его используют, регистрировать устройства пользователей. Восстановление учетной записи – очень важная функция, которую следует включить при использовании приложения. Таким образом, в новом телефоне после установки программы Microsoft человек сможет восстановить свой аккаунт, войдя в свою учетную запись Майкрософт и пройдя дополнительные этапы подтверждения личности.
Один из недостатков заключается в том, что пользователь не сможет перенести сохраненные учетные записи 2FA на устройство Android, если он создал их резервную копию в iCloud, поскольку версия для iPhone требует только использования iCloud. Microsoft Authenticator включает в себя еще один уровень безопасности: можно подключить опцию разблокировки телефона с помощью PIN-кода или биометрии, чтобы добраться до кода.
Есть возможность управления паролями на отдельной вкладке. Можно также выполнить синхронизацию с учетной записью Майкрософт, которую пользователь связал со средством проверки подлинности – после этого он увидит учетные данные, которые были сохранены и синхронизированы из браузера Edge. Кроме того, аутентификатор подойдет в качестве утилиты ввода и сохранения паролей на телефоне.
Twilio Authy
В отличие от других приложений в этом мини-обзоре, Authy потребует номер телефона при его первой настройке. Желательно, конечно, чтобы приложение считало телефоны анонимными аппаратными средствами, а не чем-то, связанным с личными данными. Кроме того, некоторые специалисты уверены, что приложение не полностью защищено от мошенничества с SIM-картами. Справочный центр Authy предлагает обходной путь для тех, кто переживает об этом, но лучше бы программа работа так, как и другие – без требования привязки к номеру телефона. Пользователи Apple Watch по достоинству оценят наличие версии приложения для выбранных ими часов.
Одним из больших преимуществ Authy является резервное копирование в зашифрованном облаке, но это неким родом связано с тем, что пользователь может добавить учетную запись на новый телефон, используя «PIN-код, отправленный с помощью звонка или SMS», согласно странице FAQ Authy. Помимо этого, есть возможность ввести пароль или парольную фразу, которые Authy использует для шифрования данных для входа в учетные записи в облаке. Пароль известен только пользователю, поэтому, если он его забудет, Authy не сможет восстановить учетную запись. Это также означает, что никакие структуры не смогут заставить Authy разблокировать доступ к учетной записи.
Источник: cisoclub.ru
Google Authenticator 6.0
Google Authenticator — генерирует в вашем телефоне коды двухэтапной аутентификации. Двухэтапная аутентификация обеспечивает дополнительный уровень защиты аккаунта от взлома. При использовании этой функции для входа в аккаунт необходимо вводить не только пароль, но и код, сгенерированый приложением.
Telegram-канал создателя Трешбокса про технологии
Источник: trashbox.ru
Google Authenticator: для чего нужен и как восстановить доступ — инструкция
Относительно недавно разработчики Гугл стали реализовывать сервис Google Authenticator, который ускоряет и упрощает интернет-серфинг, работу с сайтами и процессы регистрации.
Это достаточно простое в использовании приложение, которое предоставляет возможность пользоваться полным функционалом того или иного сайта без регистрации.
В данной статье мы постараемся ответить на вопрос о том, что делать, если потеряно приложение и как восстановить доступ к сайтам в случае сбоя.
Содержание:
- Принцип работы
- Зачем нужен?
- Восстановление
- Основной способ
- Что же делать в будущем?
Принцип работы
Этот сервис предоставляет возможность двухэтапной аутентификации для быстрого доступа к сайту, на котором необходимо регистрироваться.
Сервис реализуется в форме приложения для мобильного устройства на базе Андроид и некоторых других операционных систем, которое надо скачать и установить перед началом использования аутентификатора.
Такое приложение представляет пользователю код из шести или восьми цифр для прохождения аутентификации на том или ином сайте, вместо стандартных учетных данных.
При этом, после введения такого кода, пользователь становится аутентифицирован в системе стороннего сайта с помощью его учетных данных из аккаунта Гугл, то есть, как пользователь Гугл.
Интересно, что сервис способен успешно генерировать такие коды и для сторонних приложений.
Важно! Изначальные версии приложений для данного сервиса распространялись с открытым кодом разработчика. Но все более новые версии в последнее время уже являются интеллектуальной собственностью разработчика, то есть Гугл.
Зачем нужен?
Зачем нужно данное приложение и что оно делает?
Для начала использования необходимо скачать приложение, установить его и войти в него, используя учетные данные от аккаунта Гугл.
После этого приложение должно оставаться запущенным в фоновом режиме.
После входа на тот или иной сайт, приложение сгенерирует вам специальный код, который нужно будет ввести на этом сайте (в браузере появится специальное окно для ввода).
После введения кода вы автоматически аутентифицируетесь на сайте с данными аккаунта Гугл.
Сайт же сгенерирует некоторый цифровой ключ, который, также полностью автоматически, сохранится в скачанном вами приложении, и будет использоваться для всех последующих входов на этот сайт.
Из всего написанного выше видно, что такое приложение особенно пригодится тем, кто часто работает со многими сайтами, требующими регистрации для доступа к полному функционалу сервиса. Такое приложение позволяет не тратить время на постоянные регистрации и аутентификации, не запоминать множество паролей и логинов, но использовать, при этом, полный функционал любого сайта.
Восстановление
Однако, такое приложение сохраняет сгенерированные сайтами коды только в своей памяти, то есть, ни на какие сервера данные не выгружаются.
Таким образом, они хранятся только на конкретном телефоне и только до тех пор, пока на нем установлено соответствующее приложение.
Понятно, что эти данные могут быть потеряны при удалении приложения, при откате всех настроек телефона к заводским параметрам, при поломке телефона, в результате которой потребуется переустановка операционной системы, при перепрошивке.
Также все сохраненные данные для доступов на сайты могут быть утрачены при физическом полном выходе из строя телефона или при его утере.
В этом случае вы полностью теряете доступ к аутентификационным данным на всех сайтах, на которых вы аутентифицировались с помощью приложения.
Проблема состоит в том, что зайти на сайт как-то иначе уже не получится (только если создавать новую учетную запись), вы не сможете просто ввести свои учетные данные Гугл, так как они не позволят вам зайти на сайт. Особенно серьезной проблемой это является в том случае, если пользователь уже выполнил достаточно много действий в этом аккаунте и необходимо получить доступ к информации в нем.
Однако некоторые способы возвращения доступа к кодам все-таки предусмотрены.
Основной способ
Нужно понимать, что Гуглом не предусмотрено абсолютно никаких способов восстановления данных из приложения.
Такая ситуация складывается потому, что пароли не передаются на сервера разработчика с целью повышения безопасности использования приложения.
Но такая высокая надежность и безопасность создает проблему.
Вам придется решать вопрос с каждым сайтом в индивидуальном порядке.
Необходимо будет написать письмо в Техническую поддержку сайта или его Администрации, в котором описать проблему.
В некоторых случаях для этого может потребоваться создать новый пустой аккаунт.
Ряд сайтов могут сразу предоставить вам резервный код, с помощью которого вы, применяя Google Authenticator, сможете зайти на сайт. Но некоторые сервисы могут требовать от вас доказательства, что вы тот самый пользователь. В этом случае вам могут потребоваться скрины с этого сайта, когда вы еще пользовались аккаунтом, к которому утратили доступ, скрины из аккаунта Гугл и т. д., также Администрация может потребовать и какие-то еще доказательства.
Однако некоторые сервисы отказывают в предоставлении резервного кода несмотря на любые доказательства.
Чаще всего так происходит с сайтами, на которых вводятся данные кредитных карт или проводятся какие либо платежи иным способом.
Вам это может быть интересно:
Источник: geek-nose.com