Не бывает достаточной безопасности. С другой стороны, использование глючной или слабой защиты может дать вам шаткую иллюзию безопасности, в то время, как вы остаётесь уязвимым к разного рода угрозам.

Использование только паролей, в общем – , мы выяснили это с тех пор, как появился Интернет. Мы осуществляем прогресс, двигаясь к миру без паролей, но в то же время, многие веб-сайты предлагают дополнительную защиту пользовательских аккаунтов с помощью (2FA).

В общем и целом, существует 2 типа такой аутентификации: Временный одноразовый пароль (TOTP) а также Универсальный Двух-Фактор (U2F). Вы можете быть уже знакомы с первым типом, поскольку он используется наиболее часто: во время логина, предлагается ввести одноразовый пароль, генерируемый вашим приложением на смартфоне, отдельным аппаратным устройством, или же присылаемый в СМС. Метод прост, но есть несколько простых способов, делающих его опасным.

Я видел предупреждения типа “мой телефон взломали” от трёх людей из Кремниевой Долины/Биткойн среды/венчурной тусни. Будьте на чеку, и включите 2FA.

Как работает TOTP?

Временный одноразовый пароль, в основном популяризованный приложением Google Authenticator, подтверждает вашу личность на основании общего секрета . Этот секрет дложен быть известен вам и вашему провайдеру.

Когда вы заходите на веб-cайт под своей учеткой, ваше устройство генерирует уникальный код, основываясь на общем секрете и текущем времени. Затем вам нужно вручную ввести этот код. Сервер генерирует точно такую-же штуку, основанную на том-же секрете, чтобы успешно сравнить и подтвердить запрос на авторизацию.

Обе стороны генерируют одинаковый хеш, из одинаковых исходных данных, делясь секретом в момент регистрации.

В чём неадекватность TOTP?

Метод весьма прост в использовании, однако, он не лишён нескольких уязвимостей и неудобств.

1. Вам необходимо вручную вводить код во время авторизации (логина)

2. Слишком громоздкий бэкап . Вам необходимо совершать много шагов, чтобы сделать бэкап секрета. Кроме того, хорошие сервисы обычно предоставляют резервные коды, вместо того, чтобы явным образом призывать сохранять секрет. Если вы потеряете ваш секрет, и логин вместе с резервным кодом, вам придётся выполнить весь процесс регистрации TOTP заново.

3. Коды бекапа высылаются через Интернет, что совершенно небезопасно.

4. У вас и провайдера один и тот же секрет. Если атакующий хакнет компанию и получит доступ и к базе паролей, и к базе секретов, он сможет проникать в любой аккаунт совершенно незаметно.

5. Секрет показывается простым текстом или QR-кодом. Он не может быть представлен в виде хеша. Это также означает, что скорее всего секрет хранится в виде текстового файла, на серверах провайдера.

6. Секрет может быть раскрыт во время регистрации , так как провайдеру необходимо выдать вам сгенерированный секрет. Используя TOTP, вам нужно верить в способность провайдеров защитить приватность секрета. Но ?

Как работает FIDO/U2F?

Стандарт U2F, разработанный Альянсом FIDO, был создан технологическими корпорациями, вроде Google и Microsoft, под влиянием найденных уязвимостей в TOTP. U2F использует криптографию с публичными ключами для подтверждения вашей личности (Reddit – “Объясняйте, будто мне лет пять ”). В противовес TOTP, в данном варианте вы являетесь единственным, кто знает секрет (приватный ключ).

Сервер отправляет вам запрос, который затем подписывается секретным (приватным) ключом. Результирующее сообщение отправляется назад на сервер, который может подтвердить личность благодаря наличию в его базе данных вашего публичного ключа.

Выгоды U2F:

1. Через Интернет никогда не пересылается секрет (приватный ключ)

Никакая конфиденциальная информация не будет опубликована, благодаря криптографии публичного ключа.

2. Легче использовать . Нет нужды применять одноразовые коды.

3. Приватность . С секретом не ассоциируется никакая персональная информация.

4. Бекап теоретически легче . Однако, не всегда возможен; например, вы не сможете бекапить Yubikey.

Так как, в случае использования U2F, нет разделяемого двумя сторонами секрета и нет конфиденциальных баз данных, хранимых провайдером, хакер не может просто украсть все базы и получить доступ. Вместо того, он должен охотиться на отдельных пользователей, а это намного более затратно по финансам и времени.

Более того, вы можете забекапить ваш секрет (приватный ключ). С одной стороны, это делает вас ответственным за вашу же безопасность, но с другой – вам больше не нужно доверять какой-то компании, чтобы защитить ваши секреты (приватные ключи).

TREZOR – U2F “по-нашенски”

TREZOR представляет собой маленькое отдельное аппаратное решение, разработанное для хранения приватных ключей и работы в качестве изолированного компьютерного окружения. Изначально разработанный, как безопасный “железный” кошелек для Биткойна, рамки его применения значительно расширились благодаря расширяемости асимметричной криптографии. Теперь, TREZOR может служить в качестве безопасного железного токена для U2F, вам также придётся дополнительно подтверждать логин нажатием кнопки на устройстве.

В отличии от некоторых других токенов, TREZOR всегда использует уникальную подпись для каждого зарегистрированного пользовательского аккаунта. Кроме прочего, устройство выводит U2F на совершенно новый уровень:

1. Легко бекапить и восстанавливать . TREZOR просит вас записать на листочке так называемое “зернышко” (recovery seed), в время первого запуска устройства. Это –, единственный одноразовый процесс из всех остальных на устройстве. Восстановительное зёрнышко представляет собой все секреты (приватные ключи), генерируемые устройством и могут быть использованы в любое время для “восстановления” вашего аппаратного (или “железного”) кошелька.

2. Неограниченное количество U2F личностей , все они сохраняются в рамках единого бэкапа.

3. Секрет безопасно хранится в TREZORе . Его никто никогда не узнает, так как он не может покинуть устройство. Их не смогут украсть ни вирусы, ни хакеры.

4. Защита от фишинга с подтверждением на экране . Кошелёк всегда отображает url веб-сайта, на котором вы логинитесь, а также то, что именно вы хотите авторизовать. Вы можете убедиться, что информация, отправленная в устройство, соответствует вашим ожиданиям.

5. Дополнительная информация по использовании U2F во время настройки, использования и восстановления TREZOR может быть найдена в нашем посте в блоге , или в Пользовательской Документации .

Безопасные характеристики асимметричной криптографии кореллируют с философией безопасности TREZOR. С поддержкой U2F в кошельке, мы вдохновляем пользователей использовать все доступные меры для защиты их аккаунтов и личных данных в онлайне.

Google Authenticator является удобным приложением, обеспечивающим усиленную защиту учетных данных, посредством применения дополняющего кода. Его нужно будет указывать перед входом в аккаунт. Кроме учетной записи система может оказаться полезной для владельцев страничек в социальных сетях.

Программа отличается возможностью генерации кодов без наличия сети Internet или мобильной связи. Интерфейс продукта отличается простотой настройкой и выдержанным минимализмом. Authenticator поддерживает множество платформ: Android, iOS и BlackBerry, Windows.

Аутентификацию от Гугла применяют на таких биржах как: Poliniex, Bitfinex, Bitstamp, LiveCoin, Cryptonit, Goc.io, Kuna.io и т.д. Причем коды ввода используются не только при входе в системы, но и при выводе денежных средств. Проще всего данную программу найти на Google Play. Наберите в поисковом запросе: Google Authenticator. Установите приложение, следуя подсказкам интуитивного интерфейса.

При нажатии на кнопку установить появится запрос на подключение к личному кабинету. Если требуется восстановить пароль от имеющего личного кабинета, то он быстро восстанавливается, буквально за пару шагов.

Телефон, в который должно быть установлено приложение, должен быть под рукой. Выберите нужную модель из предложенных вариантов на компьютер. Приложение автоматически начнет загружаться в выбранный телефон.

Установка приложения не займет много времени. На компьютере перейдите на страницу настроек.

Щелкните клавишей мыши на кнопку «Приступить». Система перекинет вас на страницу интерфейса, где потребуется ввести пароль.

Для двухэтапной аутентификации нужен будет номер телефона, введите его в аутентификатор в браузере. Выберите возможные удобные варианты получения кодов. Это могут быть SMS или телефонный звонок. Система предупреждает о возможной взимании платы за передачу данных мобильным оператором. Стоимость передачи данных по сети мобильного оператора зависит от тарифов.

Дождитесь сообщения, которое будет выслано на указанный номер телефона. Введите присланный на указанный номер код в форму на ПК. Щелкните ссылку «Далее».

При включении двухэтапной аутентификации, вам не придется запоминать пароли и вводить бесконечные коды к аккаунту. Достаточно будет утвердительного ответа на запрос, который будет присылать система на указанный номер телефона. При попытке войти в аутентификатор, в телефоне будет сообщение формата: «Пытаетесь войти в аккаунт на ПК?». При утвердительном ответе, доступ в систему будет открыт.

Второй этап настройки подразумевает использование телефона. Выберите

Выберите «Создать» во вкладке «Приложение Authenticator». Для получения кодов нужно выбрать тип используемой платформы в телефоне, к примеру, оставить галочку на Android. Система предложит установить приложение. Если этот шаг проделан ранее, пропустите его. Также система предложит открыть приложение и выбрать пункт – Настроить аккаунт. Имеется в виду аккаунт в телефоне.

Двухэтапная аутентификация в Google

Ваша учетная запись Google нуждается в усиленной защите, потому что она используется для доступа к данным банковской карты для совершения покупок в магазине приложений Google Play, важным сообщениям, документам и письмам и даже к видеороликам на YouTube. К счастью, технологический гигант реализовал систему двухфакторной аутентификации еще в 2010 году.

В Google данная система называется “Двухэтапная аутентификация”. Данный метод позволяет идентифицировать пользователя с помощью мобильного устройства. При включении двухэтапной аутентификации в Google пользователю доступно несколько опций. Первая опция называется Google Prompt - пользователь просто добавляет свой смартфон в аккаунт и проверяет, что на устройстве установлено поисковое приложение Google. Затем при попытке входа в аккаунт нужно будет подтвердить на смартфоне, что это делаете вы лично.

Если это не сработает, то придется ввести дополнительный код, который будет отправлен на смартфон посредством текстового SMS-сообщения, голосового вызова или с помощью приложения Google Authenticator . В своем персональном аккаунте вы можете зарегистрировать свой компьютер, чтобы не вводить код при каждой авторизации. Если вы являетесь обладателем корпоративного аккаунта G Suite, вы можете настроить получение кода каждые 30 дней.

Google Authenticator может сгенерировать код аутентификации, даже если смартфон не подключен к сети Интернет. Вам нужно сначала подключить двухэтапную аутентификацию. Затем приложение будет сканировать QR код на экране рабочего стола, а затем сгенерирует одноразовый пароли в зависимости от времени или значения счетчика, который нужно будет ввести в соответствующее поле. Данный метод заменяет текстовые сообщения, голосовые вызовы или сообщения электронной почты. Google Authenticator поддерживает работу с другими сервисами, такими как LastPass, Facebook, Evernote, Microsoft, Dropbox и Slack.

После того, как вы настроить двухэтапную аутентификацию Google, снова посетите раздел настроек вашего аккаунта Google. Тем вы сможете настроить номер телефона, на который будут приходить коды доступа, переключиться на использование Google Authenticator и получить доступ к 10 резервным кодам, которые можно распечатать на случай чрезвычайных ситуаций (например, разрядилась батарея смартфона и вы не можете получить доступ к приложению для аутентификации).

В этом интерфейсе вы можете создать пароли приложений. Предположим, что вы хотите использовать аккаунт Google в сервисе, которые не поддерживает стандартную авторизацию Google. В случае, если у вас активирована двухфакторная аутентификация вам понадобиться пароль приложения для использования учетной записи Google в сервисе.

Как включить двухфакторную аутентификацию в Google

1. Нажмите на странице профиля в верхнем правом углу экрана и нажмите по кнопке “Мой аккаунт”.
2. После того, как страница аккаунта загрузится, выберите страницу “Безопасность и вход”.
3. В секции “Пароль и способ входа в аккаунт” выберите пункт “Двухэтапная аутентификация”.
4. На данном шаге, если вы захотите внести изменения в процедуру аутентификации, Google может запросить повторный ввод пароля. Введите пароль, чтобы продолжить настройку безопасности.
5. Теперь вы можете настроить двухэтапную аутентификацию. Нажмите кнопку “Приступить”.
6. Введите свой номер телефона. Вы сможете получать текстовые сообщения или телефонные звонки на данный номер. Выберите желаемую опцию и нажмите “Далее”.
7. После этого вы получите SMS-сообщение или телефонный звонок с кодом доступа. Просто введите цифры без префикса “-G” и нажмите “Далее”.
8. После этого откроется следующая страница с сообщением “Получилось! Включить двухэтапную аутентификацию?”. Нажмите “Включить”.

После этого вы можете перейти на страницу настройки двухэтапной аутентификации, где можно настроить альтернативный второй фактор на случай, если вы не можете получать текстовые сообщения или голосовые вызовы. Обратите внимание, что по умолчанию используется опция получения кодов по SMS. Работоспособность данного способа зависит от вашего сотового оператора. Кроме того, этот метод является менее безопасным, чем другие доступные методы. Еще очень популярными опциями являются использование приложения Google Authenticator или Google Prompt. Для них также потребуется наличие мобильного устройства.

Как добавить Google Authenticator в качестве второго фактора аутентификации

1. Установите на свое мобильное устройство приложение Google Authenticator
2. Перейдите на страницу настройки двухэтапной аутентификации аккаунта Google и в панели “Приложение Authenticator” нажмите кнопку “Создать”
3. Выберите операционную систему свое смартфона - Android или iOS и нажмите “Далее”
4. Откройте приложение Google Authenticator на мобильном устройстве и выберите опцию “Сканировать штрихкод”
5. Просканируйте QR-код, который отображается на экране компьютера и нажмите Далее
6. На экране мобильного телефона появится уведомления “секретный код сохранен” и отобразится цифровой код. Введите данный код на компьютере и нажмите “Подтвердить”

Как добавить Google Prompt в качестве второго фактора аутентификации

1. Перейдите на страницу настройки двухэтапной аутентификации аккаунта Google и в панели “Google Prompt” нажмите кнопку “Добавить телефон”
2. На следующем экране нажмите “Приступить”
3. Затем выберите телефон, привязанный к аккаунту Google. Убедитесь, чтобы на телефоне было установлено поисковое приложение “Google”, и он был подключен к Интернету. Нажмите “Далее”.
4. В появившемся уведомлении на мобильном телефоне нажмите кнопку “Да”.
5. Затем нажмите кнопку “Готово” на компьютере. Настройка Google Prompt завершена.

Как создать пароль приложения Google

Пароль приложения представляет собой 16-значный код доступа, который дает приложению или устройству разрешение на доступ к вашему аккаунту Google. Если вы используете двухэтапную аутентификацию и видите ошибку “неправильный пароль” при попытке войти в свою учетную запись Google, пароль приложения может решить проблему. В большинстве случаев вам нужно будет вводить пароль приложения только один раз для каждого приложения или устройства, поэтому не беспокойтесь о его запоминании.

1. Нажмите на ссылку “паролей приложений” в секции “Пароль и способ входа в аккаунт” страницы настройки безопасности аккаунта Google. Вас могут попросить войти в свой аккаунт Google.
2. Внизу в выпадающем списке выберите приложение, которое вы используете.
3. В следующем выпадающем списке выберите устройство, которое вы используете.
4. Нажмите кнопку “Создать”.
5. Следуйте инструкциям, чтобы ввести пароль приложения (16-значный код в желтой строке) на устройстве.
6. Нажмите “Готово”.

Защита персональных данных с помощью Google Authenticator на смартфонах и ПК является одним из наиболее надёжных и простых в освоении способов предотвращения несанкционированного доступа к вашему профилю. В условиях возрастающей доли присутствия человека в сети Интернет, взлом вашего аккаунта может привести к достаточно серьёзным проблемам. Поэтому применение программы Google Authenticator на компьютере с целью обеспечения дополнительной проверки при входе, вовсе не выглядит лишней перестраховкой. Вопрос требует более детального рассмотрения, о чём и пойдёт речь далее.

Общий вид приложения

Итак, Google Authenticator для компьютера представляет собой специальное мобильное приложение, предназначенное для усиления безопасности доступа к определённому аккаунту путём создания дополнительных факторов проверки. Изначально программа была разработана, исходя из специфики использования системой Google, но ничего не мешает применить её и для защиты своей страницы в социальной сети или облачного хранилища данных .

Говоря простым языком, во время входа в закреплённый в приложении аккаунт, оно формирует и высылает на мобильное устройство дополнительный проверочный код, после введения которого открывается вход. То-есть, даже если злоумышленник будет знать часть персональных данных, аутентифицироваться без подтверждения он не сможет. Такое простое, но эффективное решение позволяет значительно обезопасить свой профиль.

Преимущества использования программы

Среди безусловных преимуществ использования Google Authenticator на PC стоит отметить:

• Высокий уровень безопасности;
• Возможность работы с несколькими учётными записями на одном устройстве;
• Интуитивно понятный интерфейс, облегчающий работу;
• Поддержка большинства распространённых мобильных операционных систем.

Вид приложения в Play Market

При этом приложение устанавливается аналогично прочим – из Play Market загружается исполняемый файл, запустив который нужно просто следовать подсказкам инсталлятора. Все необходимые настройки и подключение профилей можно выполнить в соответствующем пункте меню.

Установка Google Authenticator на компьютер

Кроме того, если по каким-то причинам использовать смартфон для работы с приложением Google Authenticator нет возможности/желания, то можно прибегнуть к альтернативному варианту – установке приложения на ПК. Сразу стоит отметить, что алгоритм действий здесь будет несколько сложнее, но при наличии базовых навыков работы на компьютере задача вполне осуществимая.

Для начала необходимо установить эмулятор системы Андроид для Windows.

1. В качестве примера будет рассмотрен один из наиболее востребованных — Nox App Player (https://ru.bignox.com). Программа позволяет устанавливать и запускать на своём компьютере игры и софт, предназначенный для Android.
2. Установка не отличается сложностью – скачивается и устанавливается файл, после чего все попадающие в хранилище ПК файлы, предназначенные для установки на смартфон, будут по умолчанию открываться в эмуляторе. То-есть можно будет скачать и установить на компьютер Google Authenticator.

К слову, эмулятор позволяет запускать не только различные приложения, но и игры, поэтому его установка будет достаточно полезным действием. Многие сайты сегодня предлагают различные дополнительные бонусы для пользователей мобильных версий, так что приложение может пригодиться ещё и для этого.

Используем двухфакторную аутентификацию в ВК и Google

Кроме того, стоит несколько слов сказать о том, что двухступенчатая защита доступа возможна к некоторым профилям и без установки стороннего софта. Например, страница ВКонтакте или аккаунт Google могут быть защищены и с помощью стандартных средств.

Настройка доступа ВК

1. Для того чтобы установить двухэтапный вход в свой аккаунт ВК без Google Authenticator, нужно зайти в меню профиля и перейти к его настройкам.
2. Перейдя на вкладку безопасность, можно будет увидеть вопрос о необходимости подключения дополнительной проверки посредством проверочного кода по СМС.
3. Здесь же можно привязать все ваши устройства, которые могут быть использованы для входа на страницу.

Настройка доступа Google

Если же необходимо повысить безопасность профиля Google, то алгоритм действий будет следующим:

1. После аутентификации необходимо зайти в раздел аккаунта «Безопасность и вход» и найти справа пункт «Двухэтапная аутентификация».
2. После клика по надписи откроется новая страница, следуя подсказкам которой можно осуществить настройку доступа.

Заключение

Несмотря на то, что двухэтапная аутентификация с помощью установки Google Authenticator для компьютера может показаться излишней мерой, которая вызывает неудобства, этот шаг является сегодня уже необходимостью. Не все открываемые страницы сайтов и скачиваемые с них программы одинаково полезны, поэтому дополнительная защита своих личных данных позволит избежать траты нервов и сил в дальнейшем.

Вконтакте

Двухступенчатая проверка может помочь сорвать вредоносную атаку против интернет-аккаунта. Любому, кто пытается проникнуть в ваш аккаунт будет нужен как пароль, так и мобильное устройство, на которое передаются коды аутентификации для получения доступа.

Несомненно, для входа в учётные записи требуется больше времени и действий, но в конце концов, как дорого вы оцениваете свою личную информацию? Большинство веб-служб, которые предлагают двухэтапную аутентификацию, предоставляют вам возможность получать текстовые сообщения или использовать специальное приложение, которое предоставляет шестизначный код, необходимый для входа в свою учётную запись.

Приложение Google Authenticator работает как с вашей учётной записью Google, так и с большинством других сервисов. Приложение доступно на Андроиде и iOS.

При использовании приложения в качестве метода доставки кода аутентификации вы можете задаться вопросом, что произойдёт, когда вы захотите уйти со старого телефона на новый. Или, возможно, вы потеряли своё устройство и хотите отключить службу в качестве меры предосторожности. Вот как переместить приложение аутентификации на новое устройство или полностью его отключить:

Шаг 2. Далее, войдите на страницу двух-шаговой верификации с помощью браузера на своём компьютере. Возможно, вам потребуется войти в свою учётную запись Google, чтобы получить доступ к настройкам безопасности.

Шаг 3. Нажмите на карандаш рядом с разделом "Authenticator". Всплывающее окно спросит вас, хотите ли вы сменить телефоны или удалить Authenticator из своей учётной записи.

Переключение на телефон, с которым связано приложение Authenticator, не приведет к аннулированию каких-либо из ваших существующих паролей приложений, и не потребует никаких резервных кодов для завершения перехода. Однако это приведёт к тому, что временные коды на вашем старом устройстве окажутся недействительными.

Шаг 4. Выберите тип устройства, на которое вы переезжаете, а затем отсканируйте QR-код, используя приложение Authenticator на своём новом телефоне.

Шаг 5. Наконец, введите код аутентификации, который появится на экране, чтобы проверить устройство. Это похоже на процесс входа в систему при использовании двухэтапной аутентификации.

Перед удалением аутентификатора из исходного устройства не забудьте переместить другие учётные записи, которые используют приложение. Вам нужно будет посетить каждый сайт отдельно и отсканировать QR-код новым устройством.

Примечание редактора. Эта статья ранее была опубликовано 29 июня 2013 года, сегодня обновлено и содержит новую информацию.