Что такое двухфакторная аутентификация?

Оглавление

Шаг 2. Настройте базовые параметры двухэтапной аутентификации (обязательно)

Разрешите пользователям включать двухэтапную аутентификацию. По умолчанию пользователи могут включить ее и выбрать любой . В аккаунтах G Suite, созданных до декабря 2016 года, двухэтапная аутентификация по умолчанию отключена.

Как применить настройки двухэтапной аутентификации

Вы можете задать настройки двухэтапной аутентификации для организационных подразделений и групп исключений – групп пользователей в организационном подразделении. Например, можно включить обязательное использование электронных ключей для небольшой команды в отделе продаж.

Как работают группы исключений:

  • Организационному подразделению можно назначить одну группу исключений.
  • Участники такой группы должны принадлежать к организационному подразделению.
  • Настройки двухэтапной аутентификации применяются к пользователям в группе исключений, а не к адресам группы или вложенным группам.
  • Такие группы необходимо создавать в консоли администратора (а не в Google Группах) с помощью Groups API или Directory Sync.

Для удобства можно указывать организационное подразделение в названиях групп исключений (например, гр_искл_орг_подразд).

Как разрешить пользователям включать двухэтапную аутентификацию

  1. Войдите в Консоль администратора Google.

    Используйте аккаунт администратора (он не заканчивается на @gmail.com).

  2. На главной странице консоли администратора выберите Безопасность Двухэтапная аутентификация.

  3. Слева выберите организационное подразделение или группу исключения.
  4. Разрешите пользователям включать двухэтапную аутентификацию и использовать любой способ подтверждения, но пока что не делайте ее обязательной.
    • Установите флажок Разрешить пользователям включать двухэтапную аутентификацию.
    • Выберите Принудительное применение > Выкл.
  5. Нажмите Сохранить.

Как уведомить пользователей о том, что они должны включить двухэтапную аутентификацию

  1. Попросите пользователей выполнить инструкции из статьи Как включить двухэтапную аутентификацию.
  2. Предоставьте инструкции по выбору способа двухэтапной аутентификации:
    • Электронные ключи
    • Уведомление от Google
    • Приложение Google Authenticator
    • Резервные коды
    • SMS или голосовое сообщение

Как отслеживать статус включения двухэтапной аутентификации у пользователей 

В отчетах можно найти следующие сведения о статусе включения двухэтапной аутентификации у пользователей: 

  • Статус включения, статус принудительного применения и количество электронных ключей. Выберите Отчеты > Отчеты о пользователях > Безопасность (чтобы посмотреть количество электронных ключей, нажмите «Настройки» Настройки и выберите «Аппаратные токены»).
  • Настройки и статус для отдельного пользователя (статус в реальном времени). Подробнее…
  • Сводка по включению двухэтапной аутентификации у пользователей. Выберите Отчеты > Отчеты о приложениях > Аккаунты.
  • Организационные подразделения и группы, которые не используют двухэтапную аутентификацию. Подробнее…
     

Как подключить двухфакторную аутентификацию в «Яндексе»

Чтобы подключить двухфакторную аутентификацию в сервисах «Яндекса», обязательно нужно приложение «Яндекс.Ключ». Это же приложение можно использовать для входа в любые другие сервисы, поддерживающие подтверждение входа через приложения-аутентификаторы.

В первую очередь нужно зайти на эту страницу. Подтвердив номер телефона, нужно придумать PIN-код и скачать приложение «Яндекс.Ключ». Через приложение нужно будет сканировать QR-код. После этого в приложении появится первый из автоматически генерируемых кодов. Его нужно будет ввести на сайте, и новый способ аутентификации будет подключен.

Остерегайтесь мошенничества в Fortnite

Если угрозы взлома учетных записей Fortnite было недостаточно, есть также мошенники, которые пытаются обмануть ничего не подозревающих пользователей. Большинство мошенников сосредоточено вокруг бесплатных В-баксов.

Мошенники создают яркие видеоролики, наполненные изображениями Fortnite с заманчивыми заголовками, такими как «Как получить бесплатные V-Bucks» или «Проверьте эти бесплатные V-Bucks Fortnite Glitch».

В большинстве случаев видео приглашают пользователей на определенный мошеннический веб-сайт, где вы вводите код из своей учетной записи Fortnite.

В некоторых случаях мошенники могут получить доступ к учетной записи Fortnite и использовать ее для кражи существующих В-баксов или заблокировать учетную запись для перепродажи.

Другие примеры отправляют пользователей на веб-сайты, полные вредоносных программ, которые сразу же начинают загружаться.

А другие по-прежнему действуют как фишинговые порталы, ожидая, пока пользователь введет свои учетные данные Fortnite, прежде чем их учетная запись будет украдена, заблокирована или перепродана.

Еще один путь для мошенников — через Google Play Store. В магазине Google Play полно приложений, которые утверждают, что дарят пользователю десятки тысяч В-баксов.

В лучшем случае это просто ужасные руководства, подробно описывающие поддельные методы получения В-баксов. В худшем случае они запрашивают данные для входа в учетную запись Fortnite, чтобы украсть вашу учетную запись.

Двухфакторная аутентификация, биржа Poloniex

Следующая биржа Poloniex — она хоть и начала сдавать позиции, но тем не менее, все еще входит в список ТОПовых.

Для включения двухфакторной аутентификации необходимо в верхнем меню нажать на кнопку с гаечным ключом и выбрать первый пункт:

Вы попадете в следующее окно:

Тут действуем по схожей схеме:

  1. Вводим свой пароль от аккаунта в первое пустое поле «Password»;
  2. Сканируем QR-код или вручную вводим 16-значный ключ;
  3. Как только аккаунт Poloniex будет добавлен в Google Authenticator, мы сразу же получим наш первый 6-значный код, который необходимо будет ввести во второе пустое поле «Code»;
  4. Ставим галочку, соглашаясь с тем, что мы сохранили ключ;
  5. Нажимаем кнопку «Enable 2FA».

Теперь, при следующем входе в аккаунт, нас любезно попросят помимо стандартных данных ввести еще и 6-значный 2FA код из приложения.

Счета коммунальных услуг

У всех нас есть эти «ненавистные» ежемесячные счета за коммунальные услуги. В то время как некоторые люди предпочитают производить оплату счетов вручную, другие – такие как мы – подписываются на автоматическую ежемесячную оплату банковской картой или другим способом оплаты через личные учетные записи на сайтах коммунальных служб.

Если хакер вошел в вашу учетную запись, он может получить доступ к номерам банковской карты или другой информации об оплате. Они могут украсть её, чтобы использовать для мошеннических целей, или, возможно, даже изменить ваш ежемесячный план – подключив плату за свои услуги.

Как двухфакторная аутентификация работает в сети? Anchor link

В течение последних лет несколько онлайновых сервисов (включая Facebook, Google и Twitter) начали предоставлять возможность двухфакторной аутентификации в качестве альтернативы аутентификации при помощи только пароля. После активации этой функции пользователям предлагается ввести и пароль, и код вторичного метода аутентификации. Как правило, он либо высылается по SMS, либо генерируется специальным мобильным приложением: Google Authenticator, Duo Mobile, Facebook app или Clef. В любом случае второй фактор – это мобильный телефон пользователя (что-то, чем он владеет). Некоторые веб-сайты (включая Google) также поддерживают списки кодов, которые можно скачать и распечатать в качестве резервных, обязательно спрятать их в надёжном месте. После того, как пользователь активировал двухфакторную аутентификацию, для входа в учётную запись ему понадобится вводить свой пароль и одноразовый код, полученный при помощи телефона.

Скретч-коды

Ярлык

H: Царапины

Пример скретч-кодов

При настройке 2FA вам будет предоставлено несколько 16-значных скретч-кодов, каждый из которых состоит из четырех буквенно-цифровых блоков. Вы можете использовать один из скретч-кодов, если потеряете доступ к своему приложению 2FA (например, если ваш телефон или компьютер сломан или украден). Вы видите эти коды только при настройке 2FA (и никогда больше) , поэтому скопируйте их из своего браузера и сохраните в автономном режиме в надежном месте (например, на карте памяти или в бумажной распечатке). Если вы не сохраните эти коды и у вас возникнут проблемы с устройством 2FA, вы будете заблокированы для доступа к своей учетной записи.

  • Каждый скретч-код можно использовать только один раз, и для отключения 2FA требуется два из них (первый для входа в систему без 2FA, а второй для отключения 2FA после входа в систему).
  • Не храните их на своем смартфоне. Если он потеряется, вы не сможете пользоваться телефоном и потеряете коды!
  • Вам по-прежнему необходимо соблюдать правила безопасности . Не используйте свое имя, дату рождения или что-либо, что может быть угадано при атаке по словарю в качестве пароля. Не записывайте свой пароль в том месте, где его могут увидеть другие, и подумайте, стоит ли входить в свою учетную запись Википедии на общественных терминалах в школах, библиотеках и аэропортах.

Если по какой-то причине вам нужно использовать один или несколько скретч-кодов или вы чувствуете, что они были скомпрометированы, вы должны создать новый набор как можно скорее (особенно если у вас осталось три или меньше). Чтобы сгенерировать новую партию скретч-кодов, просто отмените регистрацию, а затем повторно зарегистрируйтесь в двухфакторной аутентификации. Это приведет к аннулированию всех ваших старых скретч-кодов и созданию нового пакета.

Если вы полностью заблокированы, восстановить доступ к вашей учетной записи будет очень сложно и обычно требует подтверждения вашей личности без тени сомнения одному из разработчиков через систему Phabricator , который может или не может решить вручную отключить 2FA в базе данных. прямо. Если вы не можете удовлетворить эти требования или разработчики отклонят ваш запрос, отключить 2FA невозможно и вам придется создать новую учетную запись.

Двухэтапная аутентификация

Далее: Как избежать проблем с доступом сотрудников к аккаунтам при обязательном использовании двухэтапной аутентификации

Если в компании включена двухэтапная аутентификация, администратор и пользователь могут потерять доступ к аккаунту в указанных ниже случаях.

  • Администратор или пользователь потерял электронный ключ.
  • Пользователь не настроил двухэтапную аутентификацию до того, как истек период включения двухэтапной аутентификации для новых пользователей.
  • Пользователь потерял телефон, на который получает коды двухэтапной аутентификации или уведомления от Google.

Как предотвратить потерю доступа к аккаунту

  • Создайте дополнительный электронный ключ. Зарегистрируйте несколько электронных ключей для своего аккаунта администратора и храните их в безопасном месте.
  • Сохраните резервные коды. Администраторам и пользователям следует создать и распечатать резервные коды и хранить их в безопасном месте.
  • Предоставьте роль администратора ещё одному пользователю. Если вы не сможете войти в аккаунт, другой администратор сможет создать для вас резервный код.
  • При включении аутентификации только с помощью электронных ключей укажите период, в течение которого пользователи смогут использовать другие способы двухэтапной аутентификации, например резервный код.

Как использовать резервные коды для восстановления доступа к аккаунту

Чтобы восстановить доступ к аккаунту, воспользуйтесь резервным кодом. Если для аккаунтов включена двухэтапная аутентификация, вы можете сгенерировать для них резервные коды. Двухэтапная аутентификация может не использоваться, если пользователи добавлены в группы исключения, для которых этот метод защиты не является обязательным.
Вы можете использовать группы исключения, когда изменяете структуру организации и перемещаете большое количество пользователей из одной организации в другую, в которой настроена двухэтапная аутентификация. Подробнее о том, как перенести пользователей в организацию, для которых включена двухэтапная аутентификация…

Аккаунт пользователя

  1. Войдите в консоль администратора Google.

    Используйте аккаунт администратора (он не заканчивается на @gmail.com).

  2. На главной странице консоли администратора выберите Пользователи.
  3. Выберите пользователя из списка.  
    Отобразится сводная информация о нем. Подробнее о том, как найти аккаунт пользователя…
  4. Нажмите Безопасность.
  5. Выберите Двухэтапная аутентификация.
  6. Нажмите Получить коды подтверждения.
  7. Скопируйте один из кодов подтверждения.
  8. Нажмите Готово.
  9. Отправьте пользователю код в SMS или приложении для мгновенного обмена сообщениями.
    Пользователь сможет войти в аккаунт с помощью пароля и резервного кода.

Аккаунт администратора

  1. Попросите другого администратора организации сгенерировать резервные коды, как указано выше.
  2. Если вы единственный администратор в организации, следуйте инструкциям по сбросу пароля.

В некоторых случаях восстановить доступ к аккаунту можно с помощью дополнительного имени пользователя. Мы не рекомендуем использовать этот способ, так как он небезопасен. Если дополнительное имя пользователя не защищено двухэтапной аутентификацией, к нему и, соответственно, к аккаунту администратора могут получить несанкционированный доступ другие пользователи.
Этот способ нельзя использовать для восстановления аккаунтов, если в организации не менее трех суперадминистраторов или более 500 пользователей.

Как подключить двухфакторную аутентификацию в Google

Настроить подтверждение входа в почте и других сервисах Google можно на странице аккаунта. Процесс настройки здесь чуть сложнее, чем в других сервисах. В первую очередь нужно подтвердить, что это действительно ваш аккаунт, введя свой пароль и подтвердив вход (можно сделать это, просто нажав «да» на выбранном устройстве, либо выбрав другой способ).

Дальше необходимо выбрать способ, которым вы будете получать коды в дальнейшем: SMS, звонок, резервные коды.

Дальше нужно убедиться, что выбранный способ аутентификации работает.

Подтвердите, что вы действительно хотите подключить эту функцию.

Что такое двухфакторная аутентификация?

2FA, или двухфакторная аутентификация — это такой метод идентификации пользователя для входа в сервис, при котором нужно двумя разными способами подтвердить, что именно он — хозяин аккаунта. В некоторых сервисах, например, «ВКонтакте», она называется «подтверждение входа».

Эта функция серьезно повышает уровень безопасности. Злоумышленникам, которым по разным причинам могут пригодиться ваши данные, гораздо сложнее получить доступ одновременно к вашему паролю, а также телефону, электронной почте или другому методу аутентификации. Если использовать только пароль, то аккаунт остается уязвимым. Пароли легко утекают в Сеть, и далеко не всегда по вине пользователя.

Виды двухфакторной аутентификации

Аутентификация является многофакторной, это необязательно будет одноразовый пароль, приходящий на телефон. В основном существуют 3 вида:

  1. введение паролей, секретных слов, фраз и т.д.;
  2. применение токена, т.е. компактного устройства, находящегося у владельца;
  3. применение биоматериалов.

Если первый вид находится в памяти хозяина аккаунта, также пароль может быть куда-то записан, то рассмотреть второй и третий вид стоит подробнее. В качестве токена выступает смартфон. Модели, выпущенные в течение последних двух лет, в настройках имеют функцию, подключив которую телефон сам будет выдавать на дисплее число, которое нужно будет ввести. Генерацию поддерживает как Apple, так и Android. Если данной функции на смартфоне нет, установите специализированное приложение Google Authenticator:

  • для Android в PlayMarket;
  • для iOS в App Store.

Authentication третьего вида используется крайне редко: биоматериалами выступают отпечатки пальцев, сканер лица и т.д. Подобный метод является наиболее надежной защитой, но имеет некоторые недостатки: услуга недешевая, а при травмировании выбранной части тела, вход будет невозможен. Замена такого пароля не является возможной до тех пор, пока не будет первоначально проведен сканер.

Совет! Если интересна тема биометрии, рекомендуем ознакомится со статьей биометрические системы защиты в жизни современного человека.

Насколько надежна 2FA?

Двухэтапная аутентификация не является гарантом полной безопасности, но ее использование исключает ряд атак. Злоумышленнику придется:

  • обзавестись вашим пальцем, что невозможно без желания владельца;
  • обрести в руки телефон или доступ к кодам, приходящим на телефон.

Важно! Программист-хакер может добиться последнего, при помощи вредоносных сервисов или восстановления пароля. Были отмечены случаи, когда 2FA был обойден при помощи восстановления аккаунта

При затратах большого количества времени, защита может быть отключена, но и над этим недостатком работают специалисты

Были отмечены случаи, когда 2FA был обойден при помощи восстановления аккаунта. При затратах большого количества времени, защита может быть отключена, но и над этим недостатком работают специалисты.

Области применения

Сегодня 2FA используется для защиты аккаунтов социальных сетей, разных ресурсов (биржи криптовалют и т.д.), электронных почтовых ящиков и т.д.

Она дает возможность повысить уровень безопасности, учитывая то, что вам придется выполнить несколько дополнительных действий для того чтобы войти в свой аккаунт.

При использовании специального токена можно осуществить защиту данных, имеющихся на вашем личном компьютере.

Для этого на ПК ставится специальная программа, которая разрешает пользователю войти в систему не только на основании ввода логина и пароля, но и при вставленном в порт токена.

Внешний вид устройства eToken

Если во время работы его извлечь из разъема — компьютер сразу же будет заблокирован.

Самым надежным и действенным сегодня принято считать EToken Network Logon.

С его помощью вы без труда создадите строгую двухфакторную аутентификацию как в сети Windows, так и на своем локальном компьютере.

Для ее реализации можно использовать usb-ключи или смарт-карту eToken.

Этот продукт поможет избежать попытки входа в систему от имени официального пользователя посторонним людям.

Лучшие приложения 2FA

1. Google Authenticator


Приложение доступно для пользователей iOS и Android, оно абсолютно бесплатное и считается одним из лучших. Использование Google Authenticator чрезвычайно просто. Вы скачиваете его, включаете 2FA на вашем крипто-аккаунте, затем сканируете QR-код учетной записи с помощью приложения. Оно импортирует данные вашего аккаунта и начнет генерировать коды.

2. Authy

Authy также доступен как для пользователей iOS, так и для Android. Authy имеет преимущество по сравнению с большинством альтернативных приложений 2FA: вы можете синхронизировать свои учетные записи на нескольких устройствах. Authy также предлагает защищенную систему резервного копирования. Это означает, что вы можете передавать свои учетные записи Authy 2FA между устройствами для удобства использования. Но вы никогда не должны забывать свой пароль Authy. Пароль — это ключ разблокировки шифрования, без него вы все потеряете — навсегда.

3. LastPass

Это приложение для 2FA, а также для управления паролями. LastPass использует надежный алгоритм шифрования AES-256, поэтому никто не получит доступа к вашим данным, не зная вашего мастер-пароля. Приложение можно синхронизировать между несколькими устройствами.

Рекомендуется всегда использовать 2FA для защиты своих крипто-аккаунтов. На разблокировку уйдет всего несколько секунд, но так вы можете сохранить свои инвестиции в безопасности.

Что такое 2FA?

2FA, или двухфакторная аутентификация, по сути, представляет собой систему безопасности, которая требует использования двух различных форм идентификации для доступа к вашим данным – в данном случае к вашим паролям. Когда вы используете только мастер-пароль, это считается однофакторной аутентификацией. Добавьте к нему еще один уровень авторизации, и у вас будет двухфакторная аутентификация.

По сути, тогда, используя 2FA, вы должны правильно ввести две вещи, прежде чем вы сможете получить доступ к своей учетной записи – то, что вы знаете (ваш главный пароль), и что-то, что вы получите (текстовый код на свою электронную почту или в приложении для аутентификации). Таким образом, никто не может получить доступ к вашим данным, используя только ваш главный пароль.

Связанный: Bitwarden безопасен?

Сильные и слабые стороны многофакторной аутентификации

К преимуществам можно отнести её способность защитить информацию, как от внутренних угроз, так и от внешних вторжений. Определенной слабостью можно считать необходимость использования дополнительных программно-аппаратных комплексов, устройств хранения и считывания данных. В то же время, в настоящий момент статистика взломов систем, применяющих двухфакторную аутентификацию, отсутствует или ничтожна.

Многофакторная или расширенная аутентификация уже сегодня применяется рядом российских компаний в сфере финансов при создании сервисов интернет-банкинга, мобильного банкинга, файлообмена и т.п. решений для конечных пользователей. Она основана на совместном использовании нескольких факторов аутентификации (знаний, средств или объектов хранения одной из информационных составляющих легитимной процедуры аутентификации), что значительно повышает безопасность использования информации, по меньшей мере, со стороны пользователей, подключающихся к информационным системам по защищенным и незащищенным каналам коммуникаций.

В качестве примера может послужить процесс двухфакторной аутентификации пользователя, реализованный в рядом российских банков: вход в личный кабинет пользователя посредством сети интернет возможен после ввода пароля на странице, после чего (в случае подтвержденной правомерности), следует передача одноразового пароля (в виде SMS) на мобильный телефон, ранее зарегистрированный пользователем.

Аналогичные схемы контроля и управления полномочиями пользователя, его дальнейших действий в корпоративных или других информационных системах, могут быть реализованы с применением самых различных средств и методов, выбор коих достаточно широк, как по технологичности, стоимости, исполнению, так и по возможным комбинациям перечисленных свойств.

Сессия работы пользователя может также контролироваться на предмет соответствия, как IP-адреса последней успешно завершенной сессии, так и MAC-адреса соответствующего сетевого оборудования. Далее могут идти действия подтверждения или отказа в доступе к информационным ресурсам, но доверия к этим двум параметрам контроля быть не может в силу их технологической слабости: IP-адрес можно подменить, а MAC-адрес просто переписать в ходе работы системы, и даже без перезагрузки. Тем не менее, в качестве неких контрольных значений эти сведения могут быть использованы.

Обратная сторона многофакторной аутентификации

Первой проблемой многофакторной аутентификации является способ ее реализации. В настоящее время самым популярным вторым фактором, используемым поставщиками сервиса, является одноразовый пароль one time password — OTP.

Применяя данный тип 2FA пользователь вводит на первом уровне аутентификации персональный пароль. На следующем этапе он должен ввести маркер ОТР, обычно отправляемый с помощью SMS на его мобильное устройство. Идея способа понятна. ОТР будет доступен только тому, кто, как предполагается в теории, ввел недоступный постороннему пароль.

Однако, увы, отправлять OTP в SMS, вообще говоря, небезопасно, так как часто сообщения отправляются открытым текстом. Даже начинающие хакеры могут прочесть подобные текстовые сообщения, ведь фактически все, что им нужно — целевой номер телефона.

Кроме того, многофакторная аутентификация не в состоянии предотвратить атаки класса MitM, которые часто используются в ходе фишинговых компаний с помощью электронной почты. В случае успеха атаки пользователь перейдет по мошеннической ссылке и попадет на сайт, похожий на онлайн-портал банка. Там пользователь введет информацию о входе в систему и другие конфиденциальные данные, которые будут использоваться злоумышленником чтобы получить доступ к реальному сайту.

И хотя данная атака будет возможна для осуществления только ограниченный период времени, она все же возможна.

2016

SMS-пароли признаны небезопасными

Национальный Институт стандартов и технологий США (The National Institute of Standards and Technology, NIST) представил летом 2016 года предварительную версию будущего Digital Authentication Guideline (документа, который установит новые нормы и правила в отношении цифровых методов аутентификации): механизм SMS OTP изначально для аутентификации не предназначался и не может считаться полноценным фактором аутентификации.

В документе содержится прямое указание на то, что использование SMS-сообщений для двухфакторной аутентификации может являться «недопустимым» и «небезопасным» (секция документа 5.1.3.2).

Основные опасения экспертов Национального института стандартов и технологий сводятся к тому, что номер телефона может быть привязан к VoIP-сервису, кроме того, злоумышленники могут попробовать убедить поставщика услуг в том, что номер телефона изменился, и подобные уловки нужно сделать невозможными.

Хотя документ рекомендует производителям использовать в своих приложениях токены и криптографические идентификаторы, авторы поправок также отмечают, что смартфон или другое мобильное устройство всегда могут быть украдены, или могут временно находиться в руках другого человека» — говорится в документе NIST.

Механизмов компрометации SMS паролей существует достаточно много, и они уже были неоднократно использованы в основном для похищения денежных средств клиентов российских банков. Достаточно перечислить лишь несколько методов взлома SMS паролей:

  • Замена SIM карты с использованием поддельных документов
  • Использование уязвимостей в протоколе OSS-7
  • Переадресация вызовов у оператора мобильной связи
  • Ложные базовые станции
  • Специализированные троянские программы для смартфонов, перехватывающие SMS пароли

Еще одним методом может считаться взлом шлюза между банком и оператором связи.

То обстоятельство, что механизм SMS-паролей используется всеми банками, открывает для хакеров широкие перспективы. Очевидно, что написав один раз троян для смартфона, его можно использовать для атаки на все российские банки, при его (трояна) минимальной кастомизации.

При этом можно предсказать, что первыми «под раздачу» будут попадать крупные банки – большая клиентская база последних позволяет мошенникам рассчитывать на весомый результат даже при небольших остатках на счетах клиентов.

Одноразовые пароли через SMS

  • задержки в доставке
  • возможность перехвата на уровне канала связи или ввода в систему
  • возможность перехвата на уровне оператора мобильной связи
  • возможность переоформления сим-карты клиента на мошенника по поддельной доверенности (и перехвата SMS)
  • возможность направления клиенту SMS-сообщений с подменного номера
  • рост операционных затрат пропорционально клиентской базе

Одноразовые пароли через PUSH

  • негарантированная доставка
  • прямой запрет Apple//Microsoft на использование для передачи конфиденциальной информации
  • предназначение – только информирование

Исследователи продемонстрировали простую атаку для обхода двухфакторной аутентификации

Ученые из Амстердамского свободного университета Радхеш Кришнан Конот (Radhesh Krishnan Konoth), Виктор ван дер Вен (Victor van der Veen) и Герберт Бос (Herbert Bos) продемонстрировали практическую атаку на двухфакторную аутентификацию с использованием мобильного устройства. Исследователи продемонстрировали атаку «Человек в браузере» (Man-in-the-Browser) против смартфонов на базе Android и iOS.

Проблема с двухфакторной аутентификацией возникла из-за увеличения популярности смартфонов и желания владельцев синхронизировать данные между различными девайсами. Двухфакторная аутентификация полагается на принцип физического разделения устройств для защиты от вредоносного ПО. Однако синхронизация данных делает подобную сегментацию абсолютно бесполезной.

Исследователи продемонстрировали атаку с использованием установки уязвимого приложения через Google Play. Им удалось успешно обойти проверку Google Bouncer и активировать приложение для перехвата одноразовых паролей.

Для атаки на iOS исследователи использовали новую возможность OS X под названием Continuity, позволяющую синхронизировать SMS-сообщения между iPhone и Mac. Если этот функционал активирован, злоумышленнику достаточно иметь доступ к компьютеру, чтобы прочитать все SMS сообщения.

Согласно исследователям, приложение для хищения одноразовых паролей было добавлено в Google Play 8 июля 2015 года и оставалось доступно для пользователей в течение двух месяцев, до выхода видео с демонстрацией атаки.

Компания Apple была уведомлена 30 ноября 2015 года, однако исследователи не получили ответ.

Виды двухфакторной аутентификации

  • Через приложения (к примеру, Google Authenticator или Authy). Один из самых безопасных и распространенных способов двухэтапной верификации, для использования которого нужно установить специальное приложение на мобильный телефон, к примеру, Google Authenticator, в котором автоматически генерируются одноразовые пароли каждые 60 секунд (подробнее о данном приложении и как им пользоваться читаем в статье про Google Authenticator).
  • Через SMS сообщения. Простой и удобный вид 2FA, при подключении которого на втором этапе верификации вводят одноразовый код, который приходит на заданный номер мобильного телефона в SMS сообщении.
  • Через Email. Распространенный, но менее безопасный вид двухфакторной авторизации, при котором уникальный одноразовый код высылается на Ваш Email.
  • С помощью ввода защитного кодового слова или дополнительного пароля. Редкий вариант 2FA, но на некоторых сайтах всё еще доступный. Для входа в личный аккаунт или проведения определенной операции кроме пароля необходимо вводить дополнительно второй пароль или защитное кодовое слово.
  • Физический ключ безопасности (например, «флешка» с ключом доступа).
  • Биометрические данные (например, отпечаток большого пальца или авторизация с помощью камеры).

Однофакторная аутентификация

Это самый простой и самый распространённый тип аутентификации: вы вводите логин и пароль. Софт смотрит, есть ли такие логины и пароли в базе данных. Если да — узнает вас. Дальше смотрит, есть ли у вас какие-то права.

Системе неважно, кто именно вводит логин и пароль. Главное — чтобы они совпали с базой

Если злоумышленник подсмотрит, как мы вводим логин и пароль от какого-нибудь форума, потом он сможет зайти от нашего имени творить зло. 

Если помните логин и пароль, вход будет относительно быстрым.

Если кто-то другой узнает ваш логин и пароль, он сможет залезть в софт под вашим именем. 

Часто люди в качестве логина используют адрес почты — это публичная информация, её легко вычислить.

Люди нечасто используют много разных паролей для разных сервисов. Если какой-то один сервис сольёт ваш пароль, злоумышленники смогут воспользоваться им и в других сервисах.

Очень часто пароль — это дата рождения, что тоже может быть публичной информацией. 

Что такое двухфакторная аутентификация

Когда вы заходите на сайт, вас спрашивают имя пользователя и пароль. Как только вы правильно введете обе эти части информации, вы попадете в свою учетную запись. Это легко, распространено, и к чему все привыкли. Но, это также небезопасно.

Двухфакторная аутентификация помогает защитить ваш логин вторым кодом, который вам нужно получить, прежде чем вы действительно сможете войти.

Даже если ваш пароль достаточно сложен, он может быть взломан. Это сделать особенно легко, учитывая, что многие люди не удосуживаются использовать действительно сложные пароли для своих учетных записей. Используя некоторые легкодоступные инструменты, преступники могут достаточно быстро подобрать пароль, поэтому лучше быть максимально защищенным.

Как работает двухфакторная аутентификация

На самом деле, 2FA работает довольно просто:

  1. Вы указываете веб-браузеру аккаунт, который хотите использовать.
  2. Вы вводите своё имя пользователя и пароль.
  3. Затем вас либо попросят ввести код 2FA (который вы получаете из приложения), либо сгенерировать код 2FA (который отправляется на ваш телефон с помощью SMS).
  4. После того как вы ввели правильный код 2FA, вам будет разрешено войти в свой аккаунт.

Если у вас нет кода для вашей учетной записи, вам не будет разрешен доступ. Вот почему 2FA является важным дополнительным шагом для обеспечения безопасности. Каждый код имеет «срок годности». Как правило, у Вас есть около 3 минут, чтобы использовать код, прежде чем он перестанет действовать. И как только код был использован, он не может быть использован снова. Поэтому, даже если у хакера есть ваше имя пользователя и пароль, без возможности получить связанный код 2FA, он не сможет получить доступ к вашей учетной записи.

Как войти в Bitwarden через Интернет с помощью 2FA

Как только ваша 2FA настроена, ее использование для входа в свою учетную запись Bitwarden – довольно быстрый процесс. Вот как это сделать…

Метод 1. По электронной почте 2FA

Идти к и введите свой мастер-пароль (аутентификация по первому фактору).

Теперь вам будет предложено ввести отправленный вам 6-значный проверочный код (в этом примере в приложении для аутентификации).

Найдите код в отправленном вам электронном письме.

Затем введите его в поле входа и нажмите Продолжать.

Метод 2: по электронной почте 2FA

Идти к и введите свой мастер-пароль (аутентификация по первому фактору).

Теперь вам будет предложено ввести отправленный вам 6-значный проверочный код (в этом примере в приложении для аутентификации).

Откройте приложение Authenticator на своем телефоне и нажмите Bitwarden.

Обратите внимание на отправленный вам одноразовый пароль

Введите это в поле и нажмите Продолжать.

При необходимости измените метод 2FA

Если у вас настроено более одной вторичной аутентификации (например, электронная почта и приложение-аутентификатор), Bitwarden автоматически будет использовать тот, который имеет лучшую безопасность.

Но если вы не можете получить к нему доступ, нажмите используйте другой двухэтапный метод входа в систему на странице входа.

Выберите один из вариантов входа, которые вы настроили ранее. В нашем примере мы выбираем электронную почту.

Найдите код в отправленном вам электронном письме. и используйте это для входа в систему, как было упомянуто выше.

Похожие записи:

Default ThumbnailСкачать и настроить nicehash miner [v3.0.4.0] для максимальной прибыли Павел дуров Как создать электронный кошелек яндекс деньги Как пополнить счет в paypal Default ThumbnailЛучшие видеокарты rtx 2060 super (обзоры 2021 года) Криптовалюта shiba inu (shib). что это? где торговать? новости