Что такое двухфакторная аутентификация и как ее использовать

Зачем это нужно

Использование в качестве второго фактора авторизации СМС – не самое безопасное решение. Телефонный номер может быть привязан всего один, а значит и подтверждающее устройство будет у нас одно.

Во-первых, для авторизации при работе на компьютере или планшете придется всегда держать под рукой смартфон.

Во-вторых, при нахождении в зоне неуверенного приема СМС от сервиса может и вовсе не прийти.

В-третьих, номер могут украсть вместе с телефоном или попытаться сделать его дубликат для авторизации вместо вас.

В-четвертных, могут быть проблемы с авторизацией в заграничных поездках. Например, СМС долго приходят, роуминг не работает или вместо родной карты решили использовать местную.

Обо всех этих неудобствах можно забыть при использовании специальных сервисов и приложений, которые могут выступать вторым фактором авторизации.

Из подобных решений мне приглянулось приложение Authy. Работаю с ним уже несколько месяцев, никаких проблем не обнаружено. Для тех, кто хочет поэкспериментировать, можно попробовать еще Google Authenticator или Duo Mobile.

Сейчас Authy поддерживает такие сервисы:

• Gmail;
• Amazon;
• Dropbox;
• Slack;
• Twithch;
• И другие сервисы.

Как обезопасить любую учётку

Во-первых, проверьте пароль на повторения. Такая довольно полезная фишка появилась еще в iOS 12.

Перейдите по пути Настройки – Пароли и учетные записи – Пароли сайтов и программ. Авторизуйтесь при помощи Face ID или Touch ID и введите название сайта в окне поиска.

Если пароль будет неоригинальным (повторяться с другими сайтами и сервисами), iPhone подскажет это.

Во-вторых, настройте скрытие текста сообщений, чтобы их не смогли прочитать без разблокировки смартфона.

Перейдите в меню Настройки – Уведомления – Показ миниатюр и измените параметр на Если разблокировано или Никогда.

Если смартфон окажется в чужих руках, то злоумышленники не смогут получить приходящий по СМС или в уведомлении пароль для авторизации.

В-третьих, установите пароль на СИМ-карту.

Эта опция доступна по пути Настройки – Сотовые данные – SIM-PIN. Простой четырехзначный пароль не позволит мошенникам использовать сим-карту в другом телефоне для получения одноразового пароля по СМС.

Эти три простых шага позволят минимизировать риск потери доступа к своим учётным записям на сайтах и сервисах с двухфакторной аутентификацией.

Получение кодов 2FA

В этом суть вопроса… как получить коды 2FA. Есть два разных метода, один из которых более безопасен, чем другой:

• С помощью текстовых сообщений на устройство Android или iOS.
• Через специализированное приложение 2FA (например, Google Authenticator), установленное на вашем устройстве Android или iOS.

Работают коды просто:

1. Вы включаете аутентификацию 2FA для своей учетной записи.
2. Выбираете метод 2FA, который будет использоваться (если применимо – поскольку некоторые учетные записи предлагают только один метод).
3. Если вы выбираете метод приложения, вы затем добавляете учетную запись в приложение и, когда вам нужен код, он будет отображен на экране вашего телефона.
4. Если вы выберете текстовый метод SMS, то нужно связать свою учетную запись с номером телефона, а затем вы получите код.

Метод приложения является более безопасным. Почему? Потому что текстовые сообщения SMS могут быть перехвачены. Другими словами, если хакер знает ваше имя пользователя, ваш пароль и номер вашего телефона, он может (используя специальные инструменты) перехватить передачу кода в SMS и затем использовать его для получения доступа к вашей учетной записи. Из-за этого всегда лучше по возможности идти по маршруту приложения 2FA.

Учетные записи управления паролями

Используете ли вы инструмент для хранения всех ваших логинов, паролей и личной идентификационной информации? В наше время это делают многие, но только потому, что они позволяют хранить все ваши данные для входа в одном удобном месте, не означает, что они надежно защищены без включенного 2FA.

Пусть это будет напоминанием о том, что даже место, где вы храните все свои данные для входа в систему, должно быть защищено. На самом деле, если вы используете инструмент управления паролями или идентификацией, это может быть наиболее важным местом для включения двухфакторной аутентификации.

Если кто-то когда-либо получит ваши данные для входа в вашу учетную запись, он получит доступ к информации для входа в систему не только для одной учетной записи, но и для любых учетных записей, в которых хранится персональная информация – от вашей банковской учетной записи и учетной записи Gmail до вашей учетной записи Facebook и вашей учетной записи Яндекс. Хакеры могут выбрать и взломать столько ваших аккаунтов, сколько захотят.

Популярные инструменты управления паролями и идентификацией, которые предлагают 2FA:

Как еще усилить защиту

Следующим шагом по усилению защиты будет переход на двухфакторную аутентификацию по коду.

Получать пароль для авторизации на сайте лучше не по СМС, а из специальных 2FA-приложений (two-factor authentication). Так вы не будите зависеть от оператора связи и уровня сигнала, а еще код не получится узнать путем клонирования вашей СИМ-карты.

Такие приложения аутентификаторы привязываются к сервису или сайту и в дальнейшем генерируют код для авторизации. Алгоритм создания пароля, чаще всего, основывается на текущем времени.

Каждые 30 секунд программа генерирует код, который состоит из части ключа сервиса и точного текущего времени. Приложению не нужен доступ к сети или дополнительные данные для генерации кода.

Большая часть сайтов и сервисов не ограничивает пользователей в используемом 2FA-приложении, однако, некоторые разработчики вынуждают использовать только свои программы аутентификаторы.

Подобным способом можно защитить учетные записи Gmail, Dropbox, PayPal, Facebook, Twitter, Instagram, Twitch, Slack, Microsoft, Evernote, GitHub, Snapchat и многих других сайтов/сервисов/приложений.

Как авторизоваться с Authy

Когда потребуется авторизация в сервисе, вводим логин и пароль (если он не сохранен в браузере, связке ключей или другом приложении) и 6-значный код подтверждения из приложения Authy.

Пароль генерируется автоматически при запуске программы и действует 30 секунд с момента создания.

Генерировать код авторизации можно как на смартфоне, так и на компьютере. Если настроить общий буфер обмена между Mac и iPhone, то получится еще и передавать код с одного устройства на второе.

Все подключенные девайсы будут видны в приложении, в случае необходимости в пару нажатий можно отключить или заблокировать потерянный аппарат.

Остается дождаться, когда другие крупные сервисы обзаведутся поддержкой авторизации через сторонние программы. Ждем подобное в Apple ID.

iPhones.ru

Это очень удобно!

Доверенные (проверенные) устройства

К доверенным устройствам относятся iPhone, iPad, iPod touch или Mac, с установленными операционными системами iOS 9 или OS X El Capitan (или более новой версией ПО). С этих гаджетов должен быть осуществлен вход в единый аккаунт Apple ID с применением двухфакторной аутентификации. Иначе говоря, к проверенным устройствам относятся те, о которых система может точно знать, что они принадлежат конкретному владельцу, и в этом можно удостовериться, отправив на его гаджет проверочный код.

Для того чтобы посмотреть перечень доверенных устройств, перейдите по пути: Настройки → Ваше имя. Внизу страницы будет находиться список устройств.

Меры предосторожности

Чтобы максимально обезопасить данные, необходимо:

• не разглашать пароль от Apple ID и не хранить его в доступном месте;
• использовать пароли блокировки для доступа на всех доверенных устройствах;
• обновлять доверенные номера телефонов в случае смены или утери старых;
• указать в учетной записи действительную кредитную карту, в случае восстановления пароля эта информация может быть использована для удостоверения личности.

Это все, что нужно знать о двухфакторной аутентификации. Не откладывай с настройкой защиты, процесс занимает всего 5 минут, а безопасность на уровень выше.

Спасибо re:Store за полезную и интересную информацию.

iPhones.ru

Это реально необходимо.

Authy

Одно из самых мощных и функциональных решений в данной нише. Для начала использования сервиса потребуется регистрация по номеру телефона, что для многих может стать недостатком.

В остальном – одни плюсы и преимущества: есть облачная синхронизация токенов, возможность удаленного отключения от учетной записи потерянного или проданного гаджета, блокировка приложения паролем или по биометрии.

Хранящиеся в облаке бекапы зашифрованы и защищены паролем, который нужно помнить для развертывания базы на другом девайсе.

Клиенты Authy есть не только для iOS или Android. На сайте разработчиков доступны программы под macOS, Windows и Linux, а еще есть расширение для браузера Chrome.

Сам уже несколько лет пользуюсь сервисом и рекомендую именно его.

Это лишь самые популярные приложения аутентификаторы. В App Store можно найти еще несколько десятков подобных программ от менее известных разработчиков. В основном они отличаются дизайном и имеют схожий функционал.

Пользователи и провайдеры

То, у какого провайдера и каким образом выполнять аутентификацию второго фактора, определяется для каждого пользователя отдельно.

Чтобы описать HTTP-запросы, которые следует отправить провайдеру, мы реализовали во встроенном языке новый тип – ШаблонНастройкиВторогоФактораАутентификации. Объекты этого типа — это именованные объекты, которые вы можете сохранять в базе данных. Каждый такой шаблон позволяет сохранить сразу два HTTP-запроса: один для запроса аутентификации, другой – для получения её результата. Оба этих запроса описываются с помощью привычных объектов HTTPЗапрос, но имеют две интересные особенности:

• Во-первых, для каждого из них вы можете задать HTTP-метод в виде строки. Так сделано потому, что спецификация HTTP допускает использование собственных глаголов (методов).
• Во-вторых, некоторые поля в этих запросах можно «параметризировать», используя «&» (например, &sms_phone_number). Это связано с тем, что для разных пользователей запросы будут, в основном, одинаковыми, отличие будет лишь в значениях некоторых полей, зависящих от конкретного пользователя (например, номер телефона, по которому надо отправить СМС).

В результате, например, шаблон для простого провайдера, отправляющего СМС, вы можете сформировать, задав только один запрос – запрос для аутентификации. В этом запросе будут использованы два параметра – host (адрес провайдера) и secret (код второго фактора, который сформирует платформа):

Шаблон «умного» провайдера будет содержать уже два запроса (просьба выполнить аутентификацию и запрос результатов аутентификации):

После того, как вы сохранили один или несколько шаблонов для провайдеров, вы можете каждому пользователю назначить определенный шаблон и набор значений для параметров, которые должны подставляться в этот шаблон.

Например, для пользователя, который будет использовать «простого» провайдера вы можете записать единственный параметр – адрес, на который будет отправляться HTTP-запрос (host):

А для пользователя, который будет использовать «умного» провайдера, параметров понадобится больше:

Обратите внимание, что каждому пользователю можно задать не один «набор» настроек, а несколько (массив). Свойство ОбработкаНастроекВторогоФактораАутентификации позволяет применять их по очереди в том случае, если исполнение текущего HTTP-запроса закончилось ошибкой

Например, провайдер не работает, тогда можно попробовать другого провайдера, который умеет выполнять аналогичные действия (другой набор настроек).

Как настроить

В последних версиях iOS и macOS система сама будет напоминать о том, что двухфакторная аутентификация не включена. Об этом просигнализирует красный бейдж на иконке приложения Настройки и периодически появляющиеся баннеры на экране.

Для включения на iOS:

1. Перейдите в Настройки – Имя пользователя – Пароль и безопасность (для iOS 10.2 и более ранних Настройки – iCloud – Apple ID – Пароль и безопасность).

2. Выберите опцию Включить двухфакторную аутентификацию.

3. Нажмите Продолжить.

4. Укажите номер телефона, на который будут поступать сообщения или звонки с подтверждающими кодами.

5. Нажмите далее и после получения сообщения подтвердите номер телефона вводом кода.

Для включения на macOS:

1. Перейдите в Настрйоки – iCloud – Учетная запись.

2. Откройте раздел Безопасность.

3. Нажмите на кнопку Включить двухфакторную аутентификацию.

4. Укажите доверенный номер телефона и способ доставки кода (СМС или звонок).

5. Введите полученный проверочный код.

Для управления доверенными устройствами и телефонными номерами используйте страницу своей учетной записи Apple ID.

В разделе «Безопасность» можно менять и добавлять номера телефонов, а в разделе «Устройства» – доверенные смартфоны, планшеты и компьютеры.

Аутентификация

Применительно к системе 1С:Предприятие аутентификация – это процедура проверки логина и пароля, которые ввёл пользователь, на корректность. Эту операцию платформа может выполнять самостоятельно, либо может воспользоваться результатами аутентификации, которую выполнил другой ресурс, которому она доверяет (операционная система или аутентификация OpenID). В любом случае либо там, либо там пользователь выбирает некоторый логин и вводит пароль. Если логин и пароль корректные, платформа считает, что пользователь идентифицирован и предоставляет ему доступ к данным.

Эта привычная парадигма (логин / пароль) проста и удобна, но обладает одним концептуальным недостатком. Пароль надо помнить, для этого он должен быть коротким и простым. Но такие пароли легко взломать. Чтобы пароль было трудно взломать, он должен быть длинным и сложным. Но такие пароли запомнить непросто. По этой причине в реальности всё сводится к тому, что люди используют простые пароли, причём в разных местах одни и те же.

Двухфакторная аутентификация — это способ, позволяющий, с одной стороны, значительно усложнить злоумышленникам доступ к чужим данным, а с другой стороны — это решение, которое позволяет в какой-то степени нивелировать недостатки классической парольной защиты.

Двухфакторная аутентификация требует, чтобы пользователь имел два из трех возможных типов аутентификационных данных:

• Нечто ему известное, то, что он помнит (например, логин / пароль),
• Нечто, чем он владеет (например, мобильный телефон),
• Нечто ему присущее (например, отпечаток пальца).

Смысл двухфакторной аутентификации заключается в том, что для того, чтобы куда-то попасть, пользователь должен дважды подтвердить тот факт, что он – это он, причём, разными способами. Например, ввести логин / пароль (первый фактор), а затем ввести код, присланный на его мобильный телефон (второй фактор).

Проверку первого фактора аутентификации выполняет платформа 1С:Предприятия, а для работы со вторым фактором аутентификации используется некоторый сторонний сервис, который мы будем называть провайдером.

При входе в учетную запись отображается местоположение, не соответствующее реальному

Когда пользователь пытается получить доступ к своему аккаунту с нового устройства, на его проверенный гаджет присылается код с указанием местоположения этого нового девайса. Оно может отличаться от реального, так как система определяет его по используемому им IP-адресу. Таким образом данные могут свидетельствовать о сети, к которой подключен пользователь, а не о физическом местонахождении устройства.

Если же юзер получает уведомление о том, что в его учетную запись пытаются войти с нового устройства, но осуществляет вход не он сам, то необходимо нажать кнопку «Не разрешать», чтобы заблокировать попытку доступа к аккаунту.