Как работает гугл аутентификатор
Перейти к содержимому

Как работает гугл аутентификатор

  • автор:

Как работает гугл аутентификатор

#crypto

Что такое Google Authenticator?

Google Authenticator — что это такое и как им правильно пользоваться

Гугл Аутентификатор — это мобильное приложение от небезызвестной компании Google, прямое предназначение которого кроется в повышении уровня защиты аккаунтов интернет-пользователей в различных онлайн сервисах, где предусмотрена возможность включения двухэтапной аутентификации.

На сегодняшний день практически все крупные сайты и сервисы предоставляют такой уровень защиты своим пользователям. Например, 2ФА аутентификацию можно встретить в сервисах электронной почты, социальных сетях, электронных кошельках, некоторых почтовиках (буксах) и т.д.

Пользоваться приложением Google Authenticator очень просто. После его подключения, каждый раз, когда вы будете входить в свой аккаунт или совершать подтверждающее действие (например, переводить денежные средства), вам потребуется ввести сгенерированный шестизначный код из мобильного приложения.

Главная особенность Гугл Аутентификатора заключается в том, что секретный ключ генерируется каждые 30 секунд. И даже если злоумышленнику удастся каким бы то ни было способом узнать ваши основные данные для авторизации (логин и пароль), то подобрать/перехватить код из приложения для подтверждения входа с неизвестного устройства в ваш аккаунт ему будет уже проблематично, точнее говоря даже нереально. Это повышает защиту аккаунта и ваших данных в несколько раз.

�� Что такое 2FA?

Двухфакторная аутентификация или 2fa code — это метод добавления дополнительного уровня безопасности для ваших онлайн-аккаунтов. Обязательно настраивайте 2FA для своих аккаунтов на крипто биржах, чтобы предотвратить их взлом.

Google Authenticator — это программное обеспечение, которое реализует двухэтапные сервисы проверки с использованием алгоритма одноразовых паролей TOTP (Time-based One-time Password Algorithm — алгоритм, основанный на времени) и алгоритма одноразовых паролей на основе HMAC, для аутентификации пользователей мобильных приложений Google.

Google Authenticator генерирует одноразовый пароль из шести-восьми цифр каждые несколько секунд. Пользователи, которые включили двухэтапную аутентификацию, должны ввести сгенерированный код вместе со своим именем пользователя и паролем, чтобы войти в службы Google. Это программное обеспечение предназначено не только для служб и приложений Google, оно также может быть реализовано на сторонних веб-сайтах и в приложениях.

Google Authenticator — это бесплатный, быстрый и один из самых надежных сервисов. Он доступен как для пользователей Android (Google Play), так и для пользователей IOS (App Store).

Большинство людей используют пароли в качестве единственного протокола проверки своих учетных записей в Интернете.

Если пароль, который они установили, является достаточно надежным, то вероятность взлома меньше.

Однако это не относится к большинству пользователей. Поскольку многие из нас, как правило, забывают пароли, мы устанавливаем пароли, которые легко запомнить. К сожалению, такие пароли очень легко взломать хакерам. Чтобы предотвратить эту ситуацию, рекомендуется добавить 2FA.

Обычно Вы просто вводите свое имя пользователя и пароль для входа в учетную запись. Включив 2FA, Вы будете запрашивать дополнительный ключ безопасности при каждом входе в систему.

Это может быть одноразовый пароль (OTP), подтверждение по электронной почте или проверка подлинности по SMS.

Добавив этот дополнительный уровень проверки, Вы значительно улучшите безопасность своего аккаунта.

�� Как восстановить Аутентификатор Google на новом устройстве

У каждого человека может возникнуть ситуация, при которой он может утратить доступ к своему приложению Google Authenticator, а следовательно и доступ к аккаунтам, к которым он был подключен в качестве 2FA. Например, телефон можно потерять, его могут украсть, можно и вовсе купить новое мобильное устройство, либо может потребоваться переустановка (перепрошивка) операционной системы и т.д. Как результат, без переустановки и восстановления доступа к приложению будет попросту не обойтись.

Вся проблема в том, что Гугл Аутентификатор удаляется вместе со всеми ключами и войти в свои аккаунты будет невозможно, поскольку у вас не будет кодов доступа. Это связано с тем, что ключи хранятся в единственном экземпляре, только на вашем устройте, и никуда не передаются. Другими словами, если вы заранее не позаботились о вариантах, которые помогли бы вам Google Authenticator и все прикрепленные к нему аккаунты перенести на новое устройство, то восстановить доступ к ним будет не то чтобы не возможно, но как минимум проблематично так уж точно.

�� Предназначение и порядок установки

«Google Authenticator» — это продукт из категории «Инструменты для обеспечения безопасности», реализующий защиту персональных данных с помощью внедрения в систему двухэтапной аутентификации. Суть этого приложения максимально проста. Пользователь для получения санкционированного допуска к какой-либо персональной информации, кроме авторизационных данных (логина и пароля), вводит подтверждающий полномочия код, который ранее сам пользователь придумал или сгенерировал. Подобная двухэтапная аутентификация позволяет пресечь получение несанкционированного доступа, в случае если основные авторизационные данные были умышленно или неумышленно скомпрометированы. Конечно же, сразу стоит отметить, что использование данного программного обеспечения предполагает несение определённой ответственности с самого пользователя.

К сожалению, если почитать отзывы о рассматриваемом продукте, то можно встретить достаточно много пользователей, которые жалуются на то, что после сброса настроек столкнулись с трудностями в восстановлении доступа к каким-либо необходимых для них сетевым ресурсам. Именно в этих моментах и возникает та самая ответственность, которая предполагает, что перед каким-либо вмешательством в штатную работу операционной системы мобильного устройства, необходимо позаботиться о сохранности ключей шифрования и восстановления доступа. «Бэкап спасёт Мир» — это утверждение всегда нужно держать в уме в данную информационную эру.

�� Как отключить Google Authenticator

Иногда возникают ситуации, при которых может потребоваться отключение Гугл Аутентификатора. Осуществить это достаточно просто — в личном кабинете сервиса, где у вас подключена двухфакторная аутентификация через приложение, нажмите кнопку «Отключить» или «Выключить». Затем просто введите 6-значный генерируемый код из приложения в последний раз или свой основной пароль от аккаунта (смотря, что попросят).

Важно: если вы через время захотите заново подключить Google Authenticator, то вам нужно будет по новой сгенерировать QR-код и секретный ключ, поскольку старые будут уже неактуальны и не подойдут, т.е. работать уже не будут.

Кроме того, после отключения 2FA не забудьте и в самом приложении Аутентификатора удалить отключенный аккаунт (выделите нужный из списка и нажмите в правом верхнем углу по иконке с корзиной, после чего подтвердите удаление нажатием кнопки «Удалить аккаунт»), т.к. при его повторном подключении создастся новый профиль с генерируемым паролем и можно будет запутаться, какой из них является правильным.

Safety Management — двухфакторная аутентификация, Google Authenticator, Authy, и другие аналоги

Двухфакторная аутентификация, Google Authenticator, Authy

Ниже в статье буду рассматривать все детали двухфакторной аутентификации с помощью приложения Google Authenticator и его аналогов. SMS и все остальные виды аутентификации в этой статье рассматриваться не будут.

Two-factor authentication (2FA), 2-Step verification — двухфакторная аутентификация, двухэтапная аутентификация, двухэтапная проверка.

Аутентификация — это процедура проверки подлинности.

  • Подтверждение по емейл = 1FA
  • Подтверждение по емейл + sms = 2FA
  • Подтверждение по емейл + authenticator = 2FA
  • Подтверждение по емейл + usb ключ = 2FA
  • Другие варианты…

Зачем нужна двухфакторная аутентификация?

Взлом паролей довольно частое явление. Чтоб обезопасить пользователя от взлома уважающие себя сервисы добавляют вторую защиту. Злоумышленнику нужно будет не только взломать ваш комп (подсмотреть ваш пароль) но и добраться до вашего второго устройства.

Чаще пароли взламывают:

  • если они сильно простые и предсказуемые;
  • если вы используете один и тот же пароль на двух и более сайтах;
  • если вы на комп и смартфон устанавливаете взломанные или непонятные программы и браузерные дополнения (там может быть невидимая для обычного пользователя программа, которая шпионит за вами, записывает ваш буфер обмена, ваши нажатия на клаве, и ваши действия на экране).
  • фишинг (рыбалка) — вам подсовывают точно такой же сайт, вы не подозревая вводите туда свои данные, а это оказывается копия сайта, которая сделана специально чтоб узнать ваши данные для аторизации. Рыбалку также используют в емейл письмах, присылают вам письмо которое один в один похоже на письмо вашего сайта, и в этом письме вам сообщают что-то срочное и важное (или акцию), чтоб справоцирвоть вас нажать на кнопку или перейти по ссылке, когда вы переходите вы попадаете не на свой сайт, а на идентичный, который создан с целью чтоб вы сами вписали свой логин и пароль не подозревая что это не оригинальный сайт.

Как настроить Google Authenticator?

Картинки c инструкциями тут постить не буду, потому что на разных сайтах кнопка для включения Google Authenticator может быть в разном месте, расскажу смысл.

Смысл в том что если сайт важный, и вы решили включить защиту не с помощью sms а с помощью Google Authenticator, то вам нужно посмотреть поддерживает ли этот сайт Google Authenticator. Если да, то там обязательно есть инструкция с картинками как его подключить. Также посмотрите в инструкции что делать если телефон будет утерян, это полезно узнать перед подключением.

Если вы не готовы к защите с помощью Google Authenticator, включите защиту с помощью sms кодов — это проще, и понятнее, и лучше, чем если у вас будет вход только по паролю. Защита по sms бесплатная, sms-ки вам присылают бесплатно.

Но бывают сайты которые обязательно требуют включить Google Authenticator, если у них на сайте нет sms защиты и они не хотят тратить деньги на отправление sms, тогда они используют Google Authenticator, и обязательно требуют его подключить, с целью добавить безопасность своим пользователям и существенно сократить количество взломов аккаунтов.

Как настроить Google Authenticator?

  1. В своем смартофне заходите в магазин приложений, и там в поиске находите и устанавливаете Google Authenticator (он бесплатный).
  2. С компа заходите на ваш сайт где вы собрались подключать, переходите на страницу для подключения.
  3. Там на страние будет квадратный штрих-код, возле штрих-кода будет написаный в стоку код из символов, и штрих-код и этот код одно и тоже.
  4. На смартоне запускаете Google Authenticator, в нем нажимаете на плюсик. Там будет два варианта или сканировать штрих-код или ввести ключ. Если у вас есть камера на смартофне, тогда выбираете «Сканировать штрих-код»
  5. Подносите смартфон к экрану компьютера там где открыт ваш сайт со штрих-кодом, и все, штрих-код считан и добавлен. В программе Google Authenticator начинают генерироватся 30 секундные коды, вам нужно вписать 30 секундный код на странице сайта в окошко под штрих-кодом, и нажать подтвердить.
  6. Все, вы подклчючили к сайту Google Authenticator, теперь когда вы будете входить на сайт вас спросит логин, пароль, и код с Google Authenticator’а (чтоб посмотреть код вам нужно ткрыть приложение на смартоне и посмотреть код, потом его вписать в окошко на сайте).

Почему приложение для смартфона лучше чем приложение для ПК?

Приложений 2FA для ПК существует не много, а вот приложений для смартфонов очень много.

Google Authenticator — официальное приложение от Гугл, его нет для ПК с целью безопасности, но для смартфонов (Андроид, Эпл, Майкрософт) оно обязательно есть.

Почему лучше, потому что одноразовый 30 секундный код генерируется на другом устройстве отдаленном от вашего ПК/ноутбука, что снижает риски и повышает безопасность.

Но есть и недостаток, при потере смартфона (или при удалении программы Authenticator’а со смартфона, или при перепрошивке смартфона) нужно будет восстанавливать коды.

Еще один недостаток приложений на ПК — они дают возможность сделать экспорт генерального кода (посмотреть и скопировать его). То есть не разовых 30 секундных кодов, а того который вы вводили при добавлении аккаунта (сканировали штрих код). Тот кто владеет этим кодом может генерировать правильные коды без вашего ведома. Поэтому в Google Authenticator’е нет возможности экспорта, и во всех других аналогичных программах тоже нет возможности экспорта, с той целью чтоб ваша безопасность не пострадала. Смысл Google Authenticator’а полностью пропадает если кто-то сможет взять на время ваш телефон поиграться, и пока вы не видите посмотреть ваш код и отправить его себе на почту/в мессенджер/соцети, или сфотографировать его, или сделать скриншот кода, и тп.

Если вы потеряли смартфон. Вам нужно зайти на тот сайт где вы включали защиту с помощью Google Authenticator’а, и почитать страницу с ответами на опросы FAQ, там обязательно должен быть пункт что делать если я включил Google Authenticator и потерял телефон. Вам нужно будет подтвердить свою личность теми способами которые там написаны и после этого они дадут вам возможность войти в ваш аккаунт и подключить новый смартфон (сгенерировать новый код для смартфона).

Как вариант на этапе добавления аккаунта (экран со штрих кодом), вы можете сохранить главный пароль в надежное место. И если будет телефон утерян, сможете ввести этот код на новом смартфоне. Но при сохранении кода, нужно учесть безопасность, если вы скопируете его в буфер, и если у вас установлена программа шпион (о которой вы не догадываетесь) то она может с буфера сохранить код себе. Лучше важные операции делать в защищенном режиме браузера (некоторые антивирусы предоставляют такую возможность для банковских операций). Этот пароль лучше не сохранять в то место где вы держите пароли, а сохранить отдельно. И также желательно зашифровать и запаролить.

Почему Google Authenticator лучше чем код в sms?

Какие есть приложения двухэтапной аутентификации для ПК

Authy — для активации присылают смс на телефон, если телефон потеряете то нужно будет восстановить номер у оператора, чтоб потом была возможность получить смс на него и войти в приложение. Дает возможность доступа к вашим кодам с разных устройств, можно установить на ПК, мобильный, планшет и тп). Для подключения других устройств нужно в настройках дать разрешение на это. Для безопасности все же лучше использовать генератор кодов только на одном устройстве.

2 Factor Authenticatior – приложение, его нет в интернете, оно есть в Магазине Виндовс, если у вас Windows8 или Windows10 в системе есть магазин, там можно найти его и установить, оно бесплатное, недостаток оно опаздывает. В Магазине Виндовс есть и другие похожие приложения, но все они пока не очень, опаздывают.

WinAuth – программа которая скачивается с интернета и устанавливается на ваш ПК. Насколько она надежная, или насколько ей можно доверять, не знаю, не проверял. Умеет делать экспорт всех ключей в текстовый файл, это опасно.

Приложение для браузера хром Authenticator ( chrome.google.com/webstore/detail/authenticator/bhghoamapcdpbohphigoooaddinpkbai ) — не рекомендую устанавливать. Приложение устанавливается в браузер и генерирует коды. Разработчик приложения малоизвестный китаец, неизвестно насколько безопасно хранить коды в нем. Новички любят эту программу потому что она простая, и потому что она дает возможность сделать бекап (резервную копию секретных кодов ваших ключей). Но возможность делать бекап с помощью просмотра секретного кода это дырка в безопасности, любой сможет сделать бекап и ваша защита и возня с кодами доступа становится бессмысленная. У известных брендов в приложениях нет возможности посмотреть секретный код, так как это прямая угроза безопасности. Разовые коды которые генерируют программы никому не нужны так как они каждые 30 секунд меняются, а вот если завладеть вашим секретным ключом, можно будет потом без вашего ведома генерировать правильные коды и с помощью их попасть к вам на ваши защищенные сайты.

Какие есть приложения двухэтапной аутентификации для смартфонов

Для смартфонов приложения много, ссылки давать не будут так как все приложения находятся в магазинах (Google Play, App Store, Windows Store) и их можно там легко найти вписав название в поиск.

  • Google Authenticator (Генератор кодов Google)
  • Microsoft Authenticator (доступен для Андроида, Эпл, и Вин)
  • LastPass Authenticator
  • Authy 2-Factor Authentication
  • Яндекс.Ключ
  • SAASPASS | Authenticator 2FA (идея интересная но бывает подвисает на телефоне)
  • MyDigipass Authenticator (не проверял не знаю)
  • Authlogics Authenticator (не проверял не знаю)
  • И еще много других.

Как пользоваться Authy

Сервис интересный, бесплатный для личного использования. Для бизнеса платный, но недорого (100 авторизаций в месяц бесплатно, а потом $ 0,045 за одну авторизацию). На их сайте можно скачать программу для ПК (для браузера) и для смартфона. Вход в программу на самом сайте не предусмотрен. Вы входите только через программу которая в браузере или в приложении на смартфоне. Authy это альтернатива программе Google Authenticator, но более продвинутая. Решает проблему доступа к кодам с нескольких устройств. Также умеет делать бекапы, которые хранятся зашифровано у них на сервере, к бекапу можете получить доступ только вы с помощью телефона и вашего пароля от бекапа. При создании бекапа программа Authy секретные мастер ключи от сайтов не показывает и не дает возможности их узнать — это хорошо.

Недостаток — если потеряете телефон, то на том телефоне коды дальше будут генерироваться. Можно отключить с другого устройства доступ к телефону, но после отключения все коды на утерянном телефоне дальше будут генерироваться. Поэтому нужно ставить хороший пароль на саму программу и еще один хороший другой пароль для доступа к бекапу, и еще один хороший пароль на телефон (смартфон).

Еще один недостаток — идет привязка к номеру телефона, вы не сможете войти на другом устройстве пока не подтвердите код из смс. Если вы посеяли телефон то не сможете получить смс.

У программы есть два пароля, один для доступа к программе, второй для доступа к бекапу. Первый слетает после удаления программы, и при след установке, вы задаете заново пароль, этот пароль локальный он не передается на сервер а действует для запрета доступа к программе без разрешения. Второй пароль хранится на сервере, он нужен для доступа к бекапу в котором хранятся все ваши записи которые генерирую 30 сек коды.

В приложении есть возможность запретить мульти-устройства, например на ПК авторизировались в Authy с помощью смс, в настройках отключили мультиустройсва (по умолчания они отключены), и если вы потом захотели подключить еще смартфон, то на смартфоне вылезет сообщение мульти-устройства запрещены, зайдите с активированного приложения и в настройках разрешите доступ.

Если вы забыли пароль к бекапу, то новый бекап создать не получится, нужно будет полностью очистить аккаунт, удалить все записи, и тогда можно будет создать новый бекап с новым паролем.

Как пользоваться Authy на ПК:

Если вы хотите использовать только на ПК, тогда

1. На смартфон ничего устанавливать не нужно.

2. Устанавливаете приложение для браузера www.authy.com/app/desktop/

3. После установки предложит установить еще одно предложение для браузера, да они нужны оба, устанавливаете второе.

4. В браузере сверху появится значок, нажимаете его, выбираете своей код страны, и вписываете номер своего моб телефона.

5. На номер придет смс, код из смс нужно ввести на ПК в приложении, чтоб активировать приложение.

6. Ввели код, вас пустило внутрь приложения.

7. Вам нужно задать код для доступа к программе, вписываете, главное не забудьте его. При переустановке программы этого кода не будет, и вам придется заново активировать с помощью смс и потом назначать новый код.

8. Если вы хотите чтоб после переустановки программы, все ваши коды остались, нужно в настройках включить бекап в облако «Backups & Sync», и нужно назначить пароль для бекапа. После чего все ваши добавленные аккаунты будут автоматически добавляться в облако.

9. После того как вы назначили пароль для доступа в программу, и пароль для бекапа, желательно в настройках добавить свой емейл, и подтвердить его.

10. Все, теперь вы можете добавлять нужные вам сайты. Чтоб добавить сайт нужно нажать на шестеренку, откроется окно с настройками, перейдите на вкладку «External Accaunts» снизу будет надпись «Add Authenticator Account», нажимаете и вписываете там код от вашего сайта (код который возле штрих-кода, штрих-код и код идентичны, в программе нужно вписать код. На следующем шаге выбираете любую иконку, пункт Token lenght: 6-digh, и потом в окошке ниже вписываете любое имя, но желательно чтоб имя было такое как ваш сайт, чтоб вы знали какой код для какого сайта. После чего нажимаете кнопку «Done», и потом закрываете окно с настройками (нажимаете на крестик). Окно закрылось и автоматом открылось маленькое окно с вашим добавленным сайтом, можете нажать на свой добавленный сайт и там увидите 30 секундные коды доступа.

11. Если хотите дать доступ другим устройствам, нужно нажать на шестеренку, перейти на вкладку «Devices» и там поставить галочку «Multi-device». После чего вам нужно установить приложение на смартфоне, или приложение для браузера на другом ПК, запустить это приложение, оно попросит ввести номер телефона, вводите тот номер который закреплен за вашей учетной записью, и после чего там предложит варианты для авторизации (смс, голосовой звонок, подтверждение с помощью активированного устройства (с помощью которого вы уже вошли в аккаунт)).

Рекомендации от меня

1. На этапе штрих-кода, когда вы подносите телефон к экрану для того чтобы считать штрих-код, рядом со штрих-кодом есть написанный код из символов, сохраните его в недоступное место. Если вы посеете телефон (или он поломается, или удалите программу на нем), то не нужно будет восстанавливать номер, достаточно будет взять другой телефон и в программу Authenticator вписать этот ваш сохраненный код, после чего Authenticator будет генерировать 30 секундные коды именно такие которые дают возможность войти на ваш сайт.

2. Если у вас сайтов к которым подключен Authenticator много, да, от каждого сайта у вас будет отдельный главный код.

3. Эти коды хранить вместе с паролями нельзя, ибо если кто то доберется до паролей, то нельзя чтоб он одновременно добрался до ваших кодов от Authenticator’a. Секретные коды от Authenticator’a лучше хранить отдельно от паролей, в другом зашифрованном запароленом месте, и в случае если с телефоном что-то случится, вы сможете без головной боли быстро восстановить генерацию кодов для всех ваших сайтов.

Новинка от Google. Безопасна ли аутентификация без ввода пароля?

Я думаю, что не только мне надоели пароли: их надо запоминать, они должны быть желательно сложными и разными для каждого ресурса. И как оказалось не только я так думаю. Недавно я наткнулся на информацию о том, что Google тестирует новую систему аутентификации, которая позволит отказаться от ввода пароля при входе в аккаунт. Весь процесс аутентификации пользователя будет сведен к тому, что последнему достаточно будет лишь нажать на кнопку “Yes” на своем смартфоне, тем самым подтверждая собственную личность, и получить доступ к аккаунту.

image

Являясь человеком немного знакомым с информационной безопасностью, решил поделиться своим мнением по поводу данного решения. Имеются некоторые сомнения в его целесообразности и главное надежности. Хотелось бы узнать и мнения хабаровчан по этому поводу.

Обмен данными происходит по каналу GCM (Google Cloud Messaging). На девайс пользователя отправляется уведомление, которое нужно принять для входа в свою учетную запись. Кому интересно узнать больше, можно почитать тут.

По словам Рохита Пола, который, собственно, и известил мир об этом нововведении, система работает по принципу двухфакторной аутентификации. Сначала пользователь должен авторизоваться на своем смартфоне (первый фактор), и только после этого он сможет принять уведомление от Goggle и войти в аккаунт (второй фактор).

Но я осмелюсь с этим не согласиться. Ведь есть в этой схеме и несколько «но»:

  1. Считать такой способ аутентификации двухфакторным было бы ошибкой, ведь при нажатии на кнопку «Yes» пользователь подтверждает на самом деле лишь один фактор – фактор владения телефоном. Второй фактор (фактор знания пароля) система не проверяет. Двухфакторная аутентфикация подразумевает использование одновременно двух разных факторов – фактора знания, а также второго фактора, владения или биометрии. Ключевая идея 2FA заключается в том, что недостатки одного фактора перекрываются преимуществами другого.
  2. Если смартфон заблокирован, потерян, или просто недоступен, то у пользователя остается возможность ввести обычный логин и пароль. То есть второй фактор не является обязательным. Что же помешает злоумышленнику воспользоваться этой лазейкой и свести весь процесс к простому вводу пароля? А уже узнать пароль с помощью фишинга, социальной инженерии, брутфорса и т.д. для хакера не большая проблема.
  3. На самом деле такое нововведение может значительно ухудшить ситуацию с защитой аккаунтов, ведь у злоумышленника даже появиться выбор – или подобрать пароль, или запустить вирус на смартфон. Вспоминаем статистику, которая утверждает, что 87% смартфонов на Android уязвимы, да и новости об уязвимостях iOS проскакивают нередко.

Но если ответственно относиться к вопросу защиты данных, то, по моему мнению, от подобного способа аутентификации лучше отказаться и использовать 2FA с одноразовыми паролями. Сегодня для генерации одноразовых паролей есть множество бесплатных приложений. Тот же Google Authenticator, или любые другие мобильные аутентификаторы, например, от Microsoft, Dell, ATSolution, Authentry или Protectimus. Я попробовал их почти все, но использую один из них, который имеет ряд дополнительных преимуществ по сравнению с Аутентификатором от Гугл. Как их использовать для аутентификации в популярных соц. сетях и чем они хороши я расскажу в отдельной статье.

Защита вашего аккаунта Google с помощью двухфакторной аутентификации

В современном мире, даже сложные и уникальные перестают быть достаточной мерой защиты ваших аккаунтов в сети, потому что основной проблемой становится среда их передачи. И наиболее слабым звеном является сам пользователь.

Дето в том, что брут-форсом хакеры пароли к публичным сервисам уже давно не подбирают, потому что сами сервисы (почтовые, социальные сети) защищены от такого рода атак. Они блокируют множественные попытки подбора пароля.
Именно поэтому чаще всего выбирается другой вектор атаки — сам пользователь и его среда передачи данных. Проще всего выманить пароль у самого пользователя, перехватив его, когда он перейдет по фейковой ссылке. В этом процессе активно используются элементы социального инжиниринга. Например, создается фейковый (ставится фотография, скопированная с реального профиля) или взламывается оригинальный аккаунта человека, которому вы доверяете (например, ваших родителей) и от их имени рассылаются осмысленные предложения и фишинговые ссылки, нажав на которые, вы отправите свои данные злоумышленнику. При этом могут использоваться реальные данные людей, которые были похищены с какого-нибудь другого плохо защищенного сайта, такого как интернет-магазин. Обычно, простые интернет-магазины защищены хуже всего.

Другой вариант — взломать его почту тем или иным способом и получить оттуда ссылку или временный пароль, который сгенерирует сервис для восстановления пароля. Этим список вариантов, конечно, не ограничивается, но в этой статье речь не об этом.

Еще один вектор атаки — компьютер самого пользователя, на котором можно перехватывать и отправлять злоумышленнику вводимые пользователем данные. Для этого используются различные кейлоггеры, которые мониторят буфер ввода с клавиатуры, различные шпионские адд-ины для браузеров (панели, «хелперы»). Ту же цель преследуют и различные «улучшатели» популярных соцсетей — неофициальные приложения, которые подключаются к реальным серверам соцсети через API, однако предоставляют якобы расширенные возможности (такие как прослушивание музыки без ограничения). Они же могут и логировать и ваши пользовательские данные.

Четвертый тип атак — MITM («человек в середине»). Если вход выполняется по паролю, то можно представить следующий сценарий атаки:

  • трафик пользователя перенаправляется на машину атакующего
  • атакующий отслеживает попытки подключения к серверу/приложению и перенаправляет их на свой сервер
  • сервер атакующего настроен, во-первых, вести журнал всех введённых данных, в том числе пароля пользователя, а, во-вторых, передавать команды на легитимный сервер, к которому хочет подключиться пользователь, для их выполнения, а затем возвращать результаты легитимному пользователю.

Для данной атаки в локальной сети перенаправить трафик можно двумя способами:

  • ARP спуфинг. Во время этой атаки, компьютер атакующего рассылает ложные сообщения ARP пакета о том, что MAC адресом роутера является MAC адрес компьютера атакующего. В результате компьютеры в локальной сети начинают отправлять сетевые пакеты через компьютер атакующего. Это универсальный вариант, который подойдёт во всех случаях.
  • DNS спуфинг. Суть в подмене ответов на DNS запросы, в результате компьютер жертвы будет получать неправильные IP адреса для запрашиваемых хостов. Этот вариант подходит только если подключение к удалённому серверу или сайту выполняется по имени хоста.

Для перехвата паролей пользователя в реальном времени на сайтах часто используется DNS спуфинг, когда пользователь заходит на фейковых сайт, который выглядит как оригинал и вводит там данные. Например, существовало несколько клонов сети Vkontakte, которые воровали пользовательские данные.

Не менее популярный, но не всегда работающий вариант — перехват cookie с сайтов, которые вы посетили и ввели данные из браузера пользователя. Сами cookie не содержат пары логин/пароль, но если сайт, их выдавший настроен неправильно, то украв файл cookie можно установить сессию с сервером, их выдавшим от имени пользователя и сбросить его пароль или поменять данные.

Про безопасность и параметры файлов cookie можно почитать здесь.

Современные сайты на базе популярных открытых CMS более-менее защищены и хранят пароли в виде хэша который даже в случае его утечки достаточно сложно и/или долго расшифровать (в зависимости от приименного алгоритма шифрования). Однако, кастомные или рукописные движки часто грешат низкой безопасностью и их взломать проще, в результате чего периодически случаются утечки данных пользователей, даже с крупных сайтов. Хорошо защищённые сайты не должны хранить пароль пользователя вообще.

Также, некоторые боятся использовать авторизацию на различных сервисах через аккаунты в соцсетях (Facebook, Vk, и т.д.). В целом, такой способ авторизации достаточно безопасен и его бояться не стоит. При таком способе авторизации на сайтах пароль не используется. Вместо этого между сторонним сайтом и аккаунтом в соцсетях настроено безопасное соединение по протоколу OAuth, которое использует ключи. Сайт доверяет публичному соцсервису и не проверяет пароль, но он спрашивает у сервиса, выполняющего аутентификацию, проверенный вы пользователь или нет. Сервис, выполняющий аутентификацию проверяя вас, выдает OAuth токен вам в браузерную сессию, который и возвращает токен авторизации сайту.При условии, что ваш компьютер и браузер не скомпрометированы, такая передача одноразового токена безопасна. Перехватить и использовать такой токен на другом компьютере практически невозможно, но единственное, что сам процесс аутентификации в соцсети может быть скомпрометированы через те же самые cookie (мало кто выходит из Facebook, и сессия постоянно поддерживается).

Как вы видите, пароль может быть похищен или аккаунт может быть скомпрометирован на различных стадиях. Но напомню, что цель статьи — не изучение способов атаки и похищения паролей, а защита от этого на примере Google аккаунта.

Почему надо защищать именно его? Многие хранят пароли, сохраняемые Google Chrome в Google аккаунте. И действительно, это удобно, но опасно, если не использовать дополнительную защиту. При таком использовании Google аккаунта обязательно требуется включить двухфакторную аутентификацию (2FA). 2FA практически на 100% делает процесс аутентификации безопасным (см. применения ниже). На данный момент его следует включать на всех сайтах, где это доступно.

Похожие публикации:
  1. Rf что это за единица измерения
  2. Как написать батник для перезапуска службы
  3. Кто может работать без кассового аппарата в 2017 году
  4. Что такое повременно премиальная оплата труда

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *