Добрый день! Уважаемые читатели и гости IT блога Pyatilistnik.org. В прошлый раз я вам подробно рассказал, каким образом вы можете защитить свою флешку от вирусов и вредоносных программ, сегодня еще раз поговорим, о защите ваших данных и сервисов. Речь пойдет, о двухфакторной аутентификации, или как ее еще называют двухфакторная защита. Которую вы можете встретить, абсолютно на любом нормальном сервисе или сайте. Уверен, что многим эта информация будет актуальной, так как процентов 80 пользователей на это просто забивают, за что потом и платятся.
Что такое двухфакторная аутентификация (2FA)
Представим классическую ситуацию, на примере России. Есть популярная социальная сеть Вконтакте, которой пользуются огромное количество людей. Для доступа к ней, большинство людей использует логин и пароль, а так как человек существо ленивое и наивное, то он не особо напрягается безопасностью своего аккаунта, что в итоге влечет за собой его взлом, тем самым потерю аккаунта и доступа, и не факт, что он его потом восстановит, так как мог даже не привязывать номер телефона к нему. А вот если бы он заранее настроил двухфакторную защиту, то даже при компрометации пароля ему было бы по барабану, так как еще нужен был бы дополнительные этап проверки, который привязывается к телефону.
Двухфакторная аутентификация (Two-Factor Authentication) — это дополнительный, надежный процесс обеспечения безопасности, я бы назвал его расширенная аутентификация, которая требует от пользователя, получающего доступ к устройству или сервису. еще один из ключей безопасности, в качестве которого можете быть код безопасности из SMS, временный код сгенерированный с помощью специального приложения. которое обновляет их каждые 25 секунд.
В роли бастиона двухфакторной защиты, выступает ваш мобильный телефон, к номеру которого привязывается аккаунт или устройство, для которой он будет дополнительным средством подтверждения личности истинного хозяина.
С кем мы остались?
Каждый раз, когда мы составляем подборку заявок, из редакция La Manzana Mordida , мы хотим сообщить вам нашу точку зрения и наши личные предпочтения, которые не обязательно должны совпадать с вашими. Прежде всего, из всех приложений, которые предлагают услуги двухэтапной аутентификации бесплатно, мы выберите Authy поскольку мы считаем, что он включает в себя большое количество приложений и сервисов.
Переходя в сторону приложений, которые предлагают свои платные услуги, мы, без сомнения, остаемся с 1Password который также может генерировать фантастическая синергия с Authy . Сегодня действительно необходимо иметь службу, которая хранит пароли и коды подтверждения в два этапа, поэтому мы остались с этим приложением.
Как работает двухфакторная защита
Давайте я вам опишу алгоритм работы двухфакторной защиты, понимая принцип, вам будет легко его настроить, где угодно, на любом сервисе. И так у нас есть замечательный пользователь Таня, люблю я это имя. Таня решила завести себе аккаунт в Gmail.com. Она проходит процедуру регистрации, где указывает какой логин и пароль у нее будет при входе на почту. Gmail подтверждает ее регистрацию и активирует ее логин и пароль по которому она будет авторизовываться.
Таня логиниться на почте, указывая логин и пароль. Gmail предлагает ей настроить двухфакторную аутентификацию, через привязку к номеру телефона, где будет получать SMS коды или через установку приложения Authenticator, которое будет генерировать каждые 25 секунд коды безопасности, если его не успели ввести, то будет новый 6-ти значный код. Таня их устанавливает и включает двухфакторную защиту.
Теперь при следующей авторизации, Тане нужно будет ввести по мимо классических средств защиты (Логина и пароля), код из SMS или из утилиты Authenticator, так же установленной на ее смартфоне. Как только она это делает, то получает доступ к сервису.
Настройка приложения Google Authenticator на нескольких устройствах
Программу можно настроить так, чтобы она генерировала коды подтверждения на двух или даже трех гаджетах.
- Скачайте google authenticator на каждое устройство, которые вы планируете использовать.
- Перейдите на страницу активации, чтобы отсканировать QR-код или ввести секретный ключ.
Осталось проверить корректность работы 2fa-приложения на каждом девайсе, и сохранить настройки. Таким образом, вы застрахуете себя от потери доступа к 2fa code, маловероятно, что выйдут из строя или будут украдены 2 или 3 устройства одновременно.
Плюсы и минусы двухфакторной аутентификации
Начну с плюсов, этой технологии:
- Очень высокая степень защиты, я бы ей дал 99%, так как все привязано к номеру телефона, который будет очень сложно скомпрометировать
- Всегда под рукой
- Коды доступа часто меняются
Из минусов можно выделить вот что:
- Так как все привязано к номеру телефона, то при его утере, будет затруднены доступы к вашим сервисам, хотя на большинстве из них и есть процедура восстановления, но она очень трудоемкая
- Вероятность установить или занести вирус в устройство, которое будет передавать ваши данные злоумышленникам
- Может разрядиться устройство в нужный момент
- Мобильный телефон всегда должен видеть сеть оператора, иначе не будет возможности получать SMS или коды.
- Бывают сервисы, которые в качестве многофакторной защиты используют, дополнительный код отправленный на электронную почту, поэтому, чтобы вас не скомпрометировали, обязательно включите двухфакторную аутентификацию на самой почте, а то ее взломают и будет веселье.
- Например, SMS оповещения, могут приходить с задержкой, такое встречал у Сбербанка или ВТБ24.
Виды двухфакторной аутентификации
Давайте рассмотрим основные виды реализации двухфакторной защиты, которые вы легко можете повстречать на текущий момент, они со временем могут обновляться и расширяться, но пока есть такие:
- Первый вид дополнительной защиты, это SMS коды или Push-уведомления (двухфакторный код). Чаще всего, это шестизначные номера. Вы их можете встретить при онлайн покупках, когда расплачиваетесь пластиковой картой или при доступах в се возможные сервисы, Gmail.com или Сбербанк Онлайн . Выглядит данное сообщение таким образом.
- Второй метод, это использование временных кодом из приложений аутентификаторов, например, Google Authenticator или Microsoft Authentificator, по сути, это просто приложения на ваш смартфон. У вас каждые 25 секунд обновляется цифровой, шестизначный код доступа (двухфакторный код).
- Третий метод, это дополнительное письмо с кодом на вашу электронную почту, менее надежно, но все же, дополнительный рубеж безопасности. Я его встречал на таких сервисах, как Advcash (Электронный кошелек) или на криптовалютных биржах.
- Четвертый метод, двухфакторной аутентификации, это использование аутентификаторов в виде брелков eToken PASS (токен генератор кодов) и их разновидностей, которые работают по принципу, программных аутентификаторов.
Сравнение
Несмотря на то, что базовая функция у всех рассмотренных приложений — одна и та же (создание одноразовых паролей по стандартному алгоритму), некоторые продукты обладают дополнительными возможностями или особенностями. Представим их сопоставление в сравнительной таблице.
Таблица 1. Сравнение 2FA-приложений
Критерий / приложение | Twilio Authy 2-Factor Authentication | Duo Mobile | ESET Secure Authentication | Gemalto SafeNet MobilePASS+ | Multifactor | Protectimus SMART | RSA SecurID Software Token |
Архитектура | Облачная | Облачная | On-premise | Облачная и on-premise | Облачная | Облачная и on-premise | Облачная и on-premise |
Поддерживаемые платформы | iOS, Android, macOS, Windows, Linux | iOS, Android | iOS, Android | iOS (10 или выше), Android (4.4 или выше), Windows 10 | iOS, Android | iOS, Android | iOS, Android, Windows, BlackBerry OS, macOS |
Офлайн-режим | Да | Да | Да | Да | Да | Да | Нет |
Пуш-уведомления | Да | Да | Да | Да | Да | Да | Да |
Резервное копирование учётных записей в облако | Да | Да | Нет (данные ESA автоматически добавляются в резервные копии Active Directory) | Нет | Да | В разработке | Да |
Язык интерфейса | Английский | Английский | Английский | Английский | Русский | Русский, английский | Английский |
Защита приложения | PIN-код, отпечаток пальца | PIN-код, отпечаток пальца | PIN-код, отпечаток пальца | PIN-код, отпечаток пальца, FaceID | PIN-код и Биометрия | PIN-код, отпечаток пальца (в разработке) | PIN-код, отпечаток пальца |
Какой выбрать программный Authenticator 2FA
Давайте я вам опишу, какой аутентификатор я бы посоветовал выбрать
- Google Authenticator — самый популярный в мире аутентификатор,используемый при двухфакторной защите, в виду популярности Google как компании и конечно же количеству сервисов, которая она предоставляет.
- Fido — второй по популярности защитник (https://www.yubico.com/solutions/fido-u2f/)
- Microsoft Authenticator — как видно из названия, используется для двухфакторной аутентификации, учетной записи Microsoft или операционной системы Windows 10.
- FreeOTP
- Yandex ключ
Duo Mobile
Аутентификатор Duo Mobile создан IT-компанией Duo Security (дочернее предприятие Cisco), вплотную занимающейся вопросами кибер-безопасности в области авторизации пользователей в системе, защиты удаленного доступа к рабочим станциям и т.д. Разработанное специалистами Duo Security 2FA-приложение доступно бесплатно для пользователей iOS, Android и Windows Mobile 8/10.
Использование Duo Mobile — процедура стандартная для подобного рода приложений. Добавить аккаунт можно по QR-коду либо вручную. Имеется возможность выбора одного из многочисленных сервисов. Если в представленном списке не оказалось нужного, всегда можно добавить учетную запись «Other»:
Как и в случае с Microsoft Authenticator, у 2FA-приложения Duo Mobile предусмотрена функция скрытия кодов доступа в списке учетных записей. И она включена здесь по умолчанию. Чтобы посмотреть требуемый ключ, пользователю нужно будет коснуться панельки с названием аккаунта:
Есть у Duo Mobile и удобные дополнительные функции:
- Создание резервной копии настроек аккаунтов. Для хранения этих данных Duo Mobile использует облачное хранилище Google Drive или iCloud — зависит от платформы, из-под которой запускается приложение (к сожалению, на счет Windows Mobile у нас нет сведений). Т.е. пользователям Android и iOS-девайсов не придется регистрироваться где-то еще для хранения резервной копии настроек.
- Наличие функции блокировки скриншотов экрана. Если задействовать ее, в течение 10 минут после запуска приложения либо выхода из него до истечения этого времени на мобильном устройстве будет отключена функция создания снимков экрана. Сделано это для защиты отображенных кодов доступа от других приложений или даже вредоносных программ, способных делать скриншоты в автоматическом режиме без участия пользователя.
На последнем изображении также можно увидеть переключатель «Send usage data» для включения/отключения отправки данных на сервера Duo Mobile. Рекомендуем сразу отключить ее. На всякий случай.
Как взломать двухфакторную аутентификацию 2FA
Для того, чтобы обойти двухфакторную аутентификацию, хакеры используют вот такие методы:
- считать одноразовый код с доверенного устройства — разблокировать не обязательно; Тут чаще устройство заражаю вирусом, который перехватывает или дублирует SMS или push-код.
- переставить SIM-карту в другой аппарат, получить СМС; Тут нужен физический доступ.
- клонировать SIM-карту, получить код на нее;
- воспользоваться двоичным маркером аутентификации, скопированным с компьютера пользователя.
Как восстановить двухфакторную аутентификацию
Если вы потеряли свой телефон и хотите восстановить свой доступ, то алгоритм такой:
- Если есть возможность быстрее восстановите симкарту и телефон
- Перед активацией программного Authenticator, сервисы вам выдают секретные коды восстановления или QR-код, у вас огни должны быть
- Если кодов нет, то придется писать в техническую поддержку, и доказывать, что вы это вы, подготовьте обязательно все ваши данные и документы, но это прокатит, если у вас все было корректно и полностью заполнено, а не просто хозяин учетной записи megapixar123 :))