Что такое двухфакторная аутентификация и как ее использовать
Содержание:
- Зачем это нужно
- Как обезопасить любую учётку
- Получение кодов 2FA
- Учетные записи управления паролями
- Как еще усилить защиту
- Как авторизоваться с Authy
- Доверенные (проверенные) устройства
- Меры предосторожности
- Authy
- Пользователи и провайдеры
- Как настроить
- Аутентификация
- При входе в учетную запись отображается местоположение, не соответствующее реальному
Зачем это нужно
Использование в качестве второго фактора авторизации СМС – не самое безопасное решение. Телефонный номер может быть привязан всего один, а значит и подтверждающее устройство будет у нас одно.
Во-первых, для авторизации при работе на компьютере или планшете придется всегда держать под рукой смартфон.
Во-вторых, при нахождении в зоне неуверенного приема СМС от сервиса может и вовсе не прийти.
В-третьих, номер могут украсть вместе с телефоном или попытаться сделать его дубликат для авторизации вместо вас.
В-четвертных, могут быть проблемы с авторизацией в заграничных поездках. Например, СМС долго приходят, роуминг не работает или вместо родной карты решили использовать местную.
Обо всех этих неудобствах можно забыть при использовании специальных сервисов и приложений, которые могут выступать вторым фактором авторизации.
Из подобных решений мне приглянулось приложение Authy. Работаю с ним уже несколько месяцев, никаких проблем не обнаружено. Для тех, кто хочет поэкспериментировать, можно попробовать еще Google Authenticator или Duo Mobile.
Сейчас Authy поддерживает такие сервисы:
- Gmail;
- Amazon;
- Dropbox;
- Slack;
- Twithch;
- И другие сервисы.
Как обезопасить любую учётку
Во-первых, проверьте пароль на повторения. Такая довольно полезная фишка появилась еще в iOS 12.
Перейдите по пути Настройки – Пароли и учетные записи – Пароли сайтов и программ. Авторизуйтесь при помощи Face ID или Touch ID и введите название сайта в окне поиска.
Если пароль будет неоригинальным (повторяться с другими сайтами и сервисами), iPhone подскажет это.
Во-вторых, настройте скрытие текста сообщений, чтобы их не смогли прочитать без разблокировки смартфона.
Перейдите в меню Настройки – Уведомления – Показ миниатюр и измените параметр на Если разблокировано или Никогда.
Если смартфон окажется в чужих руках, то злоумышленники не смогут получить приходящий по СМС или в уведомлении пароль для авторизации.
В-третьих, установите пароль на СИМ-карту.
Эта опция доступна по пути Настройки – Сотовые данные – SIM-PIN. Простой четырехзначный пароль не позволит мошенникам использовать сим-карту в другом телефоне для получения одноразового пароля по СМС.
Эти три простых шага позволят минимизировать риск потери доступа к своим учётным записям на сайтах и сервисах с двухфакторной аутентификацией.
Получение кодов 2FA
В этом суть вопроса… как получить коды 2FA. Есть два разных метода, один из которых более безопасен, чем другой:
- С помощью текстовых сообщений на устройство Android или iOS.
- Через специализированное приложение 2FA (например, Google Authenticator), установленное на вашем устройстве Android или iOS.
Работают коды просто:
- Вы включаете аутентификацию 2FA для своей учетной записи.
- Выбираете метод 2FA, который будет использоваться (если применимо – поскольку некоторые учетные записи предлагают только один метод).
- Если вы выбираете метод приложения, вы затем добавляете учетную запись в приложение и, когда вам нужен код, он будет отображен на экране вашего телефона.
- Если вы выберете текстовый метод SMS, то нужно связать свою учетную запись с номером телефона, а затем вы получите код.
Метод приложения является более безопасным. Почему? Потому что текстовые сообщения SMS могут быть перехвачены. Другими словами, если хакер знает ваше имя пользователя, ваш пароль и номер вашего телефона, он может (используя специальные инструменты) перехватить передачу кода в SMS и затем использовать его для получения доступа к вашей учетной записи. Из-за этого всегда лучше по возможности идти по маршруту приложения 2FA.
Учетные записи управления паролями
Используете ли вы инструмент для хранения всех ваших логинов, паролей и личной идентификационной информации? В наше время это делают многие, но только потому, что они позволяют хранить все ваши данные для входа в одном удобном месте, не означает, что они надежно защищены без включенного 2FA.
Пусть это будет напоминанием о том, что даже место, где вы храните все свои данные для входа в систему, должно быть защищено. На самом деле, если вы используете инструмент управления паролями или идентификацией, это может быть наиболее важным местом для включения двухфакторной аутентификации.
Если кто-то когда-либо получит ваши данные для входа в вашу учетную запись, он получит доступ к информации для входа в систему не только для одной учетной записи, но и для любых учетных записей, в которых хранится персональная информация – от вашей банковской учетной записи и учетной записи Gmail до вашей учетной записи Facebook и вашей учетной записи Яндекс. Хакеры могут выбрать и взломать столько ваших аккаунтов, сколько захотят.
Популярные инструменты управления паролями и идентификацией, которые предлагают 2FA:
Как еще усилить защиту
Следующим шагом по усилению защиты будет переход на двухфакторную аутентификацию по коду.
Получать пароль для авторизации на сайте лучше не по СМС, а из специальных 2FA-приложений (two-factor authentication). Так вы не будите зависеть от оператора связи и уровня сигнала, а еще код не получится узнать путем клонирования вашей СИМ-карты.
Такие приложения аутентификаторы привязываются к сервису или сайту и в дальнейшем генерируют код для авторизации. Алгоритм создания пароля, чаще всего, основывается на текущем времени.
Каждые 30 секунд программа генерирует код, который состоит из части ключа сервиса и точного текущего времени. Приложению не нужен доступ к сети или дополнительные данные для генерации кода.
Большая часть сайтов и сервисов не ограничивает пользователей в используемом 2FA-приложении, однако, некоторые разработчики вынуждают использовать только свои программы аутентификаторы.
Подобным способом можно защитить учетные записи Gmail, Dropbox, PayPal, Facebook, Twitter, Instagram, Twitch, Slack, Microsoft, Evernote, GitHub, Snapchat и многих других сайтов/сервисов/приложений.
Как авторизоваться с Authy
Когда потребуется авторизация в сервисе, вводим логин и пароль (если он не сохранен в браузере, связке ключей или другом приложении) и 6-значный код подтверждения из приложения Authy.
Пароль генерируется автоматически при запуске программы и действует 30 секунд с момента создания.
Генерировать код авторизации можно как на смартфоне, так и на компьютере. Если настроить общий буфер обмена между Mac и iPhone, то получится еще и передавать код с одного устройства на второе.
Все подключенные девайсы будут видны в приложении, в случае необходимости в пару нажатий можно отключить или заблокировать потерянный аппарат.
Остается дождаться, когда другие крупные сервисы обзаведутся поддержкой авторизации через сторонние программы. Ждем подобное в Apple ID.
iPhones.ru
Это очень удобно!
Доверенные (проверенные) устройства
К доверенным устройствам относятся iPhone, iPad, iPod touch или Mac, с установленными операционными системами iOS 9 или OS X El Capitan (или более новой версией ПО). С этих гаджетов должен быть осуществлен вход в единый аккаунт Apple ID с применением двухфакторной аутентификации. Иначе говоря, к проверенным устройствам относятся те, о которых система может точно знать, что они принадлежат конкретному владельцу, и в этом можно удостовериться, отправив на его гаджет проверочный код.
Для того чтобы посмотреть перечень доверенных устройств, перейдите по пути: Настройки → Ваше имя. Внизу страницы будет находиться список устройств.
Меры предосторожности
Чтобы максимально обезопасить данные, необходимо:
- не разглашать пароль от Apple ID и не хранить его в доступном месте;
- использовать пароли блокировки для доступа на всех доверенных устройствах;
- обновлять доверенные номера телефонов в случае смены или утери старых;
- указать в учетной записи действительную кредитную карту, в случае восстановления пароля эта информация может быть использована для удостоверения личности.
Это все, что нужно знать о двухфакторной аутентификации. Не откладывай с настройкой защиты, процесс занимает всего 5 минут, а безопасность на уровень выше.
Спасибо re:Store за полезную и интересную информацию.
iPhones.ru
Это реально необходимо.
Authy
Одно из самых мощных и функциональных решений в данной нише. Для начала использования сервиса потребуется регистрация по номеру телефона, что для многих может стать недостатком.
В остальном – одни плюсы и преимущества: есть облачная синхронизация токенов, возможность удаленного отключения от учетной записи потерянного или проданного гаджета, блокировка приложения паролем или по биометрии.
Хранящиеся в облаке бекапы зашифрованы и защищены паролем, который нужно помнить для развертывания базы на другом девайсе.
Клиенты Authy есть не только для iOS или Android. На сайте разработчиков доступны программы под macOS, Windows и Linux, а еще есть расширение для браузера Chrome.
Сам уже несколько лет пользуюсь сервисом и рекомендую именно его.
Это лишь самые популярные приложения аутентификаторы. В App Store можно найти еще несколько десятков подобных программ от менее известных разработчиков. В основном они отличаются дизайном и имеют схожий функционал.
Пользователи и провайдеры
То, у какого провайдера и каким образом выполнять аутентификацию второго фактора, определяется для каждого пользователя отдельно.
Чтобы описать HTTP-запросы, которые следует отправить провайдеру, мы реализовали во встроенном языке новый тип – ШаблонНастройкиВторогоФактораАутентификации. Объекты этого типа — это именованные объекты, которые вы можете сохранять в базе данных. Каждый такой шаблон позволяет сохранить сразу два HTTP-запроса: один для запроса аутентификации, другой – для получения её результата. Оба этих запроса описываются с помощью привычных объектов HTTPЗапрос, но имеют две интересные особенности:
- Во-первых, для каждого из них вы можете задать HTTP-метод в виде строки. Так сделано потому, что спецификация HTTP допускает использование собственных глаголов (методов).
- Во-вторых, некоторые поля в этих запросах можно «параметризировать», используя «&» (например, &sms_phone_number). Это связано с тем, что для разных пользователей запросы будут, в основном, одинаковыми, отличие будет лишь в значениях некоторых полей, зависящих от конкретного пользователя (например, номер телефона, по которому надо отправить СМС).
В результате, например, шаблон для простого провайдера, отправляющего СМС, вы можете сформировать, задав только один запрос – запрос для аутентификации. В этом запросе будут использованы два параметра – host (адрес провайдера) и secret (код второго фактора, который сформирует платформа):
Шаблон «умного» провайдера будет содержать уже два запроса (просьба выполнить аутентификацию и запрос результатов аутентификации):
После того, как вы сохранили один или несколько шаблонов для провайдеров, вы можете каждому пользователю назначить определенный шаблон и набор значений для параметров, которые должны подставляться в этот шаблон.
Например, для пользователя, который будет использовать «простого» провайдера вы можете записать единственный параметр – адрес, на который будет отправляться HTTP-запрос (host):
А для пользователя, который будет использовать «умного» провайдера, параметров понадобится больше:
Обратите внимание, что каждому пользователю можно задать не один «набор» настроек, а несколько (массив). Свойство ОбработкаНастроекВторогоФактораАутентификации позволяет применять их по очереди в том случае, если исполнение текущего HTTP-запроса закончилось ошибкой
Например, провайдер не работает, тогда можно попробовать другого провайдера, который умеет выполнять аналогичные действия (другой набор настроек).
Как настроить
В последних версиях iOS и macOS система сама будет напоминать о том, что двухфакторная аутентификация не включена. Об этом просигнализирует красный бейдж на иконке приложения Настройки и периодически появляющиеся баннеры на экране.
Для включения на iOS:
1. Перейдите в Настройки – Имя пользователя – Пароль и безопасность (для iOS 10.2 и более ранних Настройки – iCloud – Apple ID – Пароль и безопасность).
2. Выберите опцию Включить двухфакторную аутентификацию.
3. Нажмите Продолжить.
4. Укажите номер телефона, на который будут поступать сообщения или звонки с подтверждающими кодами.
5. Нажмите далее и после получения сообщения подтвердите номер телефона вводом кода.
Для включения на macOS:
1. Перейдите в Настрйоки – iCloud – Учетная запись.
2. Откройте раздел Безопасность.
3. Нажмите на кнопку Включить двухфакторную аутентификацию.
4. Укажите доверенный номер телефона и способ доставки кода (СМС или звонок).
5. Введите полученный проверочный код.
Для управления доверенными устройствами и телефонными номерами используйте страницу своей учетной записи Apple ID.
В разделе «Безопасность» можно менять и добавлять номера телефонов, а в разделе «Устройства» – доверенные смартфоны, планшеты и компьютеры.
Аутентификация
Применительно к системе 1С:Предприятие аутентификация – это процедура проверки логина и пароля, которые ввёл пользователь, на корректность. Эту операцию платформа может выполнять самостоятельно, либо может воспользоваться результатами аутентификации, которую выполнил другой ресурс, которому она доверяет (операционная система или аутентификация OpenID). В любом случае либо там, либо там пользователь выбирает некоторый логин и вводит пароль. Если логин и пароль корректные, платформа считает, что пользователь идентифицирован и предоставляет ему доступ к данным.
Эта привычная парадигма (логин / пароль) проста и удобна, но обладает одним концептуальным недостатком. Пароль надо помнить, для этого он должен быть коротким и простым. Но такие пароли легко взломать. Чтобы пароль было трудно взломать, он должен быть длинным и сложным. Но такие пароли запомнить непросто. По этой причине в реальности всё сводится к тому, что люди используют простые пароли, причём в разных местах одни и те же.
Двухфакторная аутентификация — это способ, позволяющий, с одной стороны, значительно усложнить злоумышленникам доступ к чужим данным, а с другой стороны — это решение, которое позволяет в какой-то степени нивелировать недостатки классической парольной защиты.
Двухфакторная аутентификация требует, чтобы пользователь имел два из трех возможных типов аутентификационных данных:
- Нечто ему известное, то, что он помнит (например, логин / пароль),
- Нечто, чем он владеет (например, мобильный телефон),
- Нечто ему присущее (например, отпечаток пальца).
Смысл двухфакторной аутентификации заключается в том, что для того, чтобы куда-то попасть, пользователь должен дважды подтвердить тот факт, что он – это он, причём, разными способами. Например, ввести логин / пароль (первый фактор), а затем ввести код, присланный на его мобильный телефон (второй фактор).
Проверку первого фактора аутентификации выполняет платформа 1С:Предприятия, а для работы со вторым фактором аутентификации используется некоторый сторонний сервис, который мы будем называть провайдером.
При входе в учетную запись отображается местоположение, не соответствующее реальному
Когда пользователь пытается получить доступ к своему аккаунту с нового устройства, на его проверенный гаджет присылается код с указанием местоположения этого нового девайса. Оно может отличаться от реального, так как система определяет его по используемому им IP-адресу. Таким образом данные могут свидетельствовать о сети, к которой подключен пользователь, а не о физическом местонахождении устройства.
Если же юзер получает уведомление о том, что в его учетную запись пытаются войти с нового устройства, но осуществляет вход не он сам, то необходимо нажать кнопку «Не разрешать», чтобы заблокировать попытку доступа к аккаунту.