Главная-Скачать софт-Двухфакторная аутентификация Apple: особенности, принцип защиты, отключение. Двухфакторная аутентификация

Двухфакторная аутентификация Apple: особенности, принцип защиты, отключение. Двухфакторная аутентификация

При мысли о том, как обезопасить свои аккаунты на сайтах и сервисах в Интернете, в первую очередь вспоминается двухфакторная аутентификация (2FA). С одной стороны, она уменьшает вероятность взлома наших аккаунтов, с другой — раздражает усложнением входа в них нами самими.

Ниже будут рассмотрены разные имеющиеся варианты двухфакторной аутентификации и развеяны некоторые мифы относительно неё.

Наиболее распространённые альтернативы 2FA

Подтверждение по СМС

Среди приложений и сервисов распространено предлагать добавить двухфакторную аутентификацию хотя бы посредством сообщений СМС, например, при входе в аккаунт. Можно использовать 2FA при каждом входе в аккаунт или только с нового устройства. Вторым этапом аутентификации при этом становится смартфон или сотовый телефон.

СМС-сообщение состоит из одноразового кода, который нужно ввести в сервис или на сайт. Хакеру, который захочет взломать аккаунт, потребуется доступ к телефону его обладателя, чтобы получить этот код. Проблемой может быть сотовая связь. Что, если вы оказались в месте без связи, или в путешествии без доступа к своему оператору? Тогда вы сами не сможете зайти в свой аккаунт, не получив код доступа.

В большинстве случаев этот метод удобен, поскольку телефоны есть почти у всех и всегда рядом. Некоторые сервисы обладают автоматическими системами, которые произносят код вслух, позволяя получать его даже через проводной телефон.

Google Authenticator / генерируемые приложениями коды

Потенциально лучшая альтернатива СМС, поскольку не полагается на оператора связи. Есть вероятность, что вы уже пользовались хотя бы одним приложением генерации кодов. Google Authenticator для Android и iPhone является самым популярным в этой категории программ предложением.

После настройки определённого сервиса на использование Authenticator появится окно с предложением ввести код авторизации наряду с логином и паролем. Выдаст этот код приложение Google Authenticator на смартфоне. Срок жизни кода исчисляется минутами, так что нужно ввести его вовремя или придётся получать другой. Хотя в названии и есть слово Google, можно добавлять сюда многочисленные сервисы помимо Gmail, в том числе Dropbox, LastPass, Amazon Web Services, Evernote и прочие.

Если вы не доверяете Google, есть ряд альтернатив, из которых лучшей считается Authy. Authy предлагает зашифрованные резервные копии генерируемых кодов, поддержку множества платформ и работу в режиме офлайн. LastPass недавно также запустил собственный аутентификатор.

Эти приложения генерируют годы с доступом в Интернет и без него. Единственным минусом можно назвать сложный процесс установки приложений.

Физические средства аутентификации

Если использование кодов, приложений и текстовых сообщений звучит слишком сложно, есть другой вариант: физические ключи аутентификации. Это небольшое USB-устройство, которое можно носить вместе с ключами (вроде указанного на изображении FIDO U2F Security Key.) При входе в аккаунт на новом компьютере вставьте ключ USB и нажмите на кнопку.

Ряд компаний работают над созданием стандарта под названием U2F. Учётные записи Google, Dropbox и GitHub уже совместимы с метками U2F. В будущем ключи физической аутентификации будут работать со стандартами беспроводной связи NFC и Bluetooth для общения с устройствами без портов USB.

Аутентификация на основе приложений и электронной почты

Некоторые мобильные приложения не пользуются вышеописанными опциями и выполняют подтверждение внутри самого приложения. Например, активация «Подтверждения логина» в Твиттере при входе с нового устройства заставит подтверждать этот логин со смартфона. Это покажет, что входит владелец аккаунта, если только его смартфон не украли. Сходным образом Apple использует мобильную систему iOS для подтверждения входа в новые устройства. Одноразовый код присылается на уже имеющееся устройство.

Системы на основе электронной почты используют её адрес как второй этап входа в аккаунт. Одноразовый код отправляется на почту.

Вопросы и ответы о двухфакторной аутентификации

** Здесь двухфакторная аутентификация особенно важна, так как эти сервисы обычно служат вратами ко всей остальной активности пользователя в Интернете.

Чтобы узнать, поддерживает ли определённый сайт или сервис 2FA, воспользуйтесь сайтом twofactorauth.org.

Если сервис был взломан, активируйте двухфакторную аутентификацию как можно скорее.

Проблема заключается в том, что 2FA нельзя активировать одним переключателем. Запуск 2FA означает необходимость выпуска меток или криптографических ключей, встроенных в другие устройства. Поскольку 2FA полагается на участие пользователя, скорость в данном случае не будет быстрой.

Включать двухфакторную аутентификацию или нет?

Да, особенно на важных сервисах с персональной и финансовой информацией.

Двухфакторная аутентификация неуязвима?

Нет. 2FA зависит от технологий и от людей, и проблемы могут иметься с обеих сторон. 2FA с СМС полагается на надёжность оператора связи. Вредоносные программы на смартфоне могут перехватить и отправить СМС злоумышленникам. Пользователь также может не глядя одобрить запрос авторизации, который пришёл из-за попытки злоумышленника получить доступ к аккаунту.

Все двухфакторные решения по существу одинаковые?

Когда-то это могло быть правдой, но в последнее время в 2FA появляется немало инноваций. Есть решения с применением СМС и электронной почты. Есть решения с мобильными приложениями с криптографическими секретами или хранением информации в браузере пользователя.

Двухфакторная аутентификация затрудняет доступ в свои аккаунты и не несёт никакой пользы?

Такое отношение помогает хакерам добиваться своих целей. У некоторых организаций и сервисов использование 2FA является обязательным требованием. Для пользователя это может быть раздражающим решением, но если компания использует его, то может сократить вероятность мошенничества.

Конец современных методов 2FA близок?

Возможно. Всё написанное выше относится к двухфакторной аутентификации сегодняшнего дня, а не завтрашнего. Со временем она может стать удобнее и надёжнее.

Это утверждение имеет смысл и относится, прежде всего, к компаниям финансового сектора, как, впрочем, и ряду компаний, выполняющих научно-исследовательские, опытно-конструкторские и технологические работы (НИОКР) в высокотехнологичных секторах рынка.

Применяя данный тип 2FA пользователь вводит на первом уровне аутентификации персональный пароль. На следующем этапе он должен ввести маркер ОТР, обычно отправляемый с помощью SMS на его мобильное устройство. Идея способа понятна. ОТР будет доступен только тому, кто, как предполагается в теории, ввел недоступный постороннему пароль.

Однако, увы, отправлять OTP в SMS, вообще говоря, небезопасно, так как часто сообщения отправляются открытым текстом. Даже начинающие хакеры могут прочесть подобные текстовые сообщения, ведь фактически все, что им нужно - целевой номер телефона.

Кроме того, многофакторная аутентификация не в состоянии предотвратить атаки класса MitM, которые часто используются в ходе фишинговых компаний с помощью электронной почты. В случае успеха атаки пользователь перейдет по мошеннической ссылке и попадет на сайт, похожий на онлайн-портал банка. Там пользователь введет информацию о входе в систему и другие конфиденциальные данные, которые будут использоваться злоумышленником чтобы получить доступ к реальному сайту.

И хотя данная атака будет возможна для осуществления только ограниченный период времени, она все же возможна.

Требования Федеральной службы по техническому и экспортному контролю по многофакторной аутентификации

В начале 2014 года Федеральная служба по техническому и экспортному контролю (ФСТЭК) утвердила методический документ о мерах защиты информации в государственных информационных системах. Документ прояснил многие аспекты, касающихся организационных и технических мер защиты информации, принимаемых в государственных информационных системах, в соответствии с утверждённым приказом ФСТЭК России от 11 февраля 2013 г. No17.

ФСТЭК настоятельно рекомендует полностью отказаться от привычной аутентификации на основе статических паролей для всех пользователей без исключения и перейти к более надежной многофакторной аутентификации. Обязательными требованиями для многофакторной аутентификации является использование аппаратных аутентификаторов и механизма одноразовых паролей при удаленном и локальном доступе.

Примеры двухфакторной и многофакторной аутентификации

Методика аутентификации при помощи SMS основана на использовании одноразового пароля: преимущество такого подхода, по сравнению с постоянным паролем в том, что этот пароль нельзя использовать повторно. Даже если предположить, что злоумышленнику удалось перехватить данные в процессе информационного обмена, он не сможет результативно использовать украденный пароль для получения доступа к системе.

А вот пример, реализуемый с применением биометрических устройств и методов аутентификации: использование сканера отпечатка пальца, который имеется в ряде моделей ноутбуков. При входе в систему пользователь должен пройти процедуру сканирования пальца, а затем подтвердить свои полномочия паролем. Успешно завершенная аутентификация даст ему право на использование локальных данных конкретного ПК. Тем не менее, регламентом работы в ИС может быть предусмотрена отдельная процедура аутентификации для доступа к сетевым ресурсам компании, которая помимо ввода другого пароля может включать в себя целый ряд требований к представлению аутентификаторов субъекта. Но даже при такой реализации, защищенность системы, несомненно, усиливается.

Аналогичным образом могут быть использованы и другие биометрические аутентификаторы :

  • отпечатки пальцев;
  • геометрия кисти руки;
  • очертания и размеры лица;
  • характеристики голоса;
  • узор радужной оболочки и сетчатки глаз;
  • рисунок вен пальцев.

При этом конечно применяется соответствующее оборудование и программное обеспечение, а затраты на его приобретение и поддержку могут отличаться в разы.

Однако, стоит понимать – биометрические аутентификаторы не являются абсолютно точными данными. Отпечатки одного пальца могут иметь отличия под воздействием внешней среды, физиологического состояния организма человека и т.п. Для успешного подтверждения этого аутентификатора достаточно неполного соответствия отпечатка эталону. Методы биометрической аутентификации содержат определение степени вероятности соответствия действующего аутентификатора эталону. Что касается биометрической аутентификации и удаленного доступа к ИС, то пока у современных технологий нет возможности передать по незащищенным каналам достоверные данные - отпечаток пальца или результат сканирования сетчатки глаза.

Эти технологии в большей степени годятся для использования в корпоративных сетях.

Наиболее популярной технологией в этом направлении в недалеком будущем может стать голосовая аутентификация и признаки тому очевидны. Значительное количество разработок в этой сфере имеется уже сегодня, проекты внедрения подобных механизмов управления/контроля нашли место в ряде крупных банков РФ. В качестве примера практического применения систем голосовой биометрической аутентификации, можно указать аутентификацию по ключевой фразе, применяемую в ряде колл-центров, аудио-пароли для доступа к системам интернет-банкинга и т.п., подтверждение действий персонала при осуществлении важных операций доступа к информации, контроль физического доступа и присутствия в помещении.

Помимо технологий, связанных с использованием биометрических аутентификаторов, имеются также программно-аппаратные решения, такие как автономные ключи для генерации одноразовых паролей, считыватели RFID -меток, криптокалькуляторы, программные и аппаратные жетоны (токены), электронные ключи различных типов – Touch Memory и ключ/смарт-карта, а также биометрические идентификационные карты. Все перечисленные в рамках статьи системы и методы многофакторной аутентификации, а помимо них еще и системы контроля и управления доступом (СКУД) могут интегрироваться, комбинироваться, отрабатываться поочерёдно и в комплексе. Отсюда можно сделать вывод: на рынке России существует достаточное количество предложений для усиления защиты информационных систем, как от внутренних, так и внешних вторжений. У компаний имеется возможность выбора, ограничиваемая лишь размером бюджета.

Методам защиты, основанным на методиках многофакторной аутентификации, сегодня доверяет большое число зарубежных компаний, среди которых организации хай-тека, финансового и страхового секторов рынка, крупные банковские учреждения и предприятия госсектора, независимые экспертные организации, исследовательские фирмы.

При этом, частные компании и организации в мире, в целом, не очень охотно распространяются о внедрении у себя технологических новинок в сфере безопасности и защиты информации , по вполне понятным причинам. Гораздо больше известно о проектах в государственном секторе – с 2006 года публично известны успешно реализованные технологические решения в государственных учреждениях Канады, Саудовской Аравии, Испании , Дании и ряда других стран.

2019: Иск против Apple за «незаконное» включение двухфакторной аутентификации

11 февраля 2019 года стало известно, что житель Калифорнии Джей Бродски (Jay Brodsky) подал в суд на компанию Apple за «незаконное» включение двухфакторной аутентификации . Бродски жалуется на то, что двухфакторная аутентификация существенно усложняет жизнь пользователям, поскольку от них требуется не только помнить пароль, но еще и иметь доступ к доверенному телефону или телефонному номеру. Подробнее .

2017: Google отказывается от SMS при двухфакторной авторизации

В документе содержится прямое указание на то, что использование SMS -сообщений для двухфакторной аутентификации может являться «недопустимым» и «небезопасным» (секция документа 5.1.3.2).

Полностью данный параграф выглядит так: «Если верификация по внешнему каналу осуществляется посредством SMS-сообщения в публичной сети мобильной телефонной связи, верификатор должен убедиться, что используемый предварительно зарегистрированный телефонный номер действительно ассоциируется с мобильной сетью, а не с VoIP или иным программным сервисом. После возможна отправка SMS-сообщения на предварительно зарегистрированный телефонный номер. Изменение предварительно зарегистрированного телефонного номера не должно быть возможно без двухфакторной аутентификации в ходе изменения. Использование SMS-сообщений в аутентификации по внешнему каналу недопустимо, и не будет дозволяться в будущих версиях данного руководства».

Основные опасения экспертов Национального института стандартов и технологий сводятся к тому, что номер телефона может быть привязан к VoIP -сервису, кроме того, злоумышленники могут попробовать убедить поставщика услуг в том, что номер телефона изменился, и подобные уловки нужно сделать невозможными.

Хотя документ рекомендует производителям использовать в своих приложениях токены и криптографические идентификаторы, авторы поправок также отмечают, что смартфон или другое мобильное устройство всегда могут быть украдены, или могут временно находиться в руках другого человека" - говорится в документе NIST.

Механизмов компрометации SMS паролей существует достаточно много, и они уже были неоднократно использованы в основном для похищения денежных средств клиентов российских банков. Достаточно перечислить лишь несколько методов взлома SMS паролей:

  • Замена SIM карты с использованием поддельных документов
  • Использование уязвимостей в протоколе OSS-7
  • Переадресация вызовов у оператора мобильной связи
  • Ложные базовые станции
  • Специализированные троянские программы для смартфонов , перехватывающие SMS пароли

То обстоятельство, что механизм SMS-паролей используется всеми банками, открывает для хакеров широкие перспективы. Очевидно, что написав один раз троян для смартфона , его можно использовать для атаки на все российские банки, при его (трояна) минимальной кастомизации.

При этом можно предсказать, что первыми "под раздачу" будут попадать крупные банки – большая клиентская база последних позволяет мошенникам рассчитывать на весомый результат даже при небольших остатках на счетах клиентов.

Одноразовые пароли через SMS

  • задержки в доставке
  • возможность перехвата на уровне канала связи или ввода в систему
  • возможность перехвата на уровне оператора мобильной связи
  • возможность переоформления сим-карты клиента на мошенника по поддельной доверенности (и перехвата SMS)
  • возможность направления клиенту SMS-сообщений с подменного номера
  • рост операционных затрат пропорционально клиентской базе

Одноразовые пароли через PUSH

  • негарантированная доставка
  • прямой запрет Apple /Google /Microsoft на использование для передачи конфиденциальной информации
  • предназначение – только информирование

Исследователи продемонстрировали простую атаку для обхода двухфакторной аутентификации

Ученые из Амстердамского свободного университета Радхеш Кришнан Конот (Radhesh Krishnan Konoth), Виктор ван дер Вен (Victor van der Veen) и Герберт Бос (Herbert Bos) продемонстрировали практическую атаку на двухфакторную аутентификацию с использованием мобильного устройства. Исследователи продемонстрировали атаку «Человек в браузере» (Man-in-the-Browser) против смартфонов на базе Android и iOS .

Проблема с двухфакторной аутентификацией возникла из-за увеличения популярности смартфонов и желания владельцев синхронизировать данные между различными девайсами. Двухфакторная аутентификация полагается на принцип физического разделения устройств для защиты от вредоносного ПО. Однако синхронизация данных делает подобную сегментацию абсолютно бесполезной.

Исследователи продемонстрировали атаку с использованием установки уязвимого приложения через Google Play . Им удалось успешно обойти проверку Google Bouncer и активировать приложение для перехвата одноразовых паролей.

Для атаки на iOS исследователи использовали новую возможность OS X под названием Continuity, позволяющую синхронизировать SMS -сообщения между iPhone и Mac. Если этот функционал активирован, злоумышленнику достаточно иметь доступ к компьютеру, чтобы прочитать все SMS сообщения.

Согласно исследователям, приложение для хищения одноразовых паролей было добавлено в Google Play 8 июля 2015 года и оставалось доступно для пользователей в течение двух месяцев, до выхода видео с демонстрацией атаки.

Два фактора авторизации в системе «Яндекса» следующие: информация о принадлежности устройства конкретному пользователю, которая хранится на серверах «Яндекса», и знание пользователем своего четырехзначного пина (или его отпечаток пальца), пояснили в компании.

Каждый раз при вводе пин-кода (или при срабатывании Touch ID) в приложении генерируется уникальный одноразовый код, который действует 30 секунд. При этом часть кода генерируется из пин-кода, который знают только пользователь и «Яндекс», и часть - из данных приложения. В одноразовом коде зашифрованы оба «секрета». «Таким образом, исключается вариант, когда один из факторов был скомпрометирован и злоумышленник подбирает данные второго фактора», - добавили в «Яндексе».

Если считать QR-код не получается, например, не работает камера смартфона или нет доступа к интернету приложение «Яндекс.Ключ» создаст одноразовый пароль из символов. Он также будет действовать в течение только 30 секунд.

После перехода на двухфакторную аутентификацию существующий пароль пользователя перестанет работать на всех установленных программах, использующих логин и пароль «Яндекса», включая «Яндекс.Диск», почтовые программы, настроенные на сбор почты из «Яндекс.Почты», синхронизацию в «Яндекс.Браузере», предупредили в компании. Для каждого приложения будет необходим свой новый пароль - он будет создан в «Яндекс.Паспорте», в настройке «Пароли приложений». Его необходимо будет ввести один раз в каждом приложении.

Сервер аутентификации объединит процессы проверки

Цель аутентификации - максимально затруднить использование чужих (украденных, подобранных) учетных данных. Этот процесс должен быть простым для легального пользователя, а придумывание и запоминание стойких паролей длиной не менее nn символов и включением в них спецсимволов, цифр с высокой вероятностью раздражает пользователей .

В компании может быть несколько различных информационных систем, источников ресурсов, требующих аутентификации:

  • корпоративный портал,
  • электронная почта,
  • CRM -система,
  • удаленный VPN -доступ,

И поскольку перед пользователем стоит задача - соответствовать требованиям политики безопасности по сложности и уникальности паролей, ее решение представляет определенные трудности для исполнения пользователем, а в технологическом плане - это разрозненные системы аутентификации, не связанные между собой, не гибкие, требующие большого объема ресурсов для поддержки. Все вкупе ведет к дополнительным расходам и «неповоротливости» компании при внесении изменений в способах аутентификации.

Разрешить вопросы и помочь в решении стоящих задач может сервер аутентификации - единый центр администрирования всех процессов проверки подлинности сразу для всех приложений/сервисов/ресурсов. Промышленные серверы такого типа поддерживают целый набор методов аутентификации. Как правило, это OATH HOTP, TOTP, OCRA, PKI-сертификаты, RADIUS, LDAP , обычный пароль, SMS , CAP/DPA и другие. Каждый ресурс, использующий сервер аутентификации, может использовать метод, который требуется именно ему.

С использованием серверов аутентификации ИТ-администраторы получают единый интерфейс управления учетными данными пользователей, гибкие возможности по смене методов проверки подлинности. Бизнес получает надежную защиту доступа к сервисам и ресурсам в виде двухфакторной аутентификации, что повышает лояльность пользователей, как внутренних, так и внешних.

Добавление второго фактора для проверки подлинности, при действующем сервере аутентификации, не потребует от компании создания новых программно-технических средств и закупки новых токенов.

В качестве примера: банк А проверял подлинность владельцев дебетовых или кредитных карт в клиент-банке по сертификатам на USB -токенах. Его платежные карты были исключительно с магнитной полосой, но в какой-то момент банк наладил выпуск карт с EMV-чипом, который, по сути, является микрокомпьютером. Карту с EMV-чипом можно использовать для аутентификации по алгоритму Master Card Chip Authentication Program (CAP). То есть теперь банк А может отказаться от применения для каждого пользователя дорогостоящих PKI-токенов и сменить этот метод аутентификации на CAP, для которого требуется только недорогой криптокалькулятор. Через некоторое время банк А начинает выпуск платежных карт с дисплеем и реализованным алгоритмом OATH TOTP и для того, чтобы избавить пользователя от использования дополнительного криптокалькулятора, настраивает аутентификацию TOTP для клиент-банка. Следует понимать, что помимо дистанционного банковского обслуживания в банке А есть множество других сервисов, как внутренних, так и предназначенных для клиентов или партнеров, требующих аутентификации. Для каждого приложения служба информационной безопасности может выдвинуть свои требования по необходимым методам проверки подлинности пользователей. Вся аутентификация банка А может производиться на сервере аутентификации. Нет никакой необходимости заниматься разработками для каждого приложения отдельно.

Такая гибкость и легкость добавления новых методов проверки подлинности недостижима без сервера аутентификации. Сокращение времени на эти задачи столь значительно, что позволяет говорить о быстроте ввода продукта в эксплуатацию как о конкурентном преимуществе.

Доступность строгой аутентификации в виде специализированного программного обеспечения позволяет добавлять многофакторность приложениям, прежде не обладающим таким функционалом, без комплексных доработок. Практически все информационные системы, сервисы, приложения, не поддерживающие строгую аутентификацию «из коробки», могут использовать возможности сервера аутентификации для доступа пользователей.

Windows , OS X, Linux и Chrome OS. Для работы с USB-ключом необходимо использовать браузер Google Chrome версии 38 и выше.

Использование USB-ключей полностью бесплатно, однако пользователи должны приобретать их за свой счет. Ключи отличаются дизайном. Самая дорогая модель за $60 оснащена технологией Java Card.

Двухфакторную аутентификацию с отсылкой SMS -сообщения с кодом подтверждения Google запустила в 2011 г. В январе 2013 г. корпорация сообщила, что планирует разработать и предложить физические средства подтверждения личности. В частности, именно тогда речь зашла о доступе к сервисам Google с помощью USB-ключей.

2013: Двухфакторная аутентификация мобильных транзакций

Лишь 34% опрошенных уверены, что сотрудники в состоянии сделать все необходимое для защиты компании от компьютерных угроз.

Здравствуйте, уважаемые читатели блога сайт. Хочу продолжить тему толкования простыми словами распространенных терминов, которые можно повсеместно встретить в наш компьютерный век. Чуть ранее мы уже , а так же про и про .

Сегодня у нас на очереди аутентификация . Что означает это слово? Отличается ли сие понятие от авторизации или идентификации? Какие методы аутентификации существуют, насколько сильно они защищены, почему могут возникать ошибки и почему двухфакторная аутентификация лучше однофакторной?

Интересно? Тогда продолжим, а я постараюсь вас не разочаровать.

Что такое аутентификация?

На самом деле, это та процедура, которая хорошо знакома не только нам (современным жителям), но и нашим далеким предкам (практически испокон веков).

Если говорить кратко, то аутентификация — это процесс проверки подлинности ( подлинность). Причем не важно каким способом (их существует как минимум несколько типов). Простейший пример. Вы заходите в свою квартиру открывая замок ключом. И если дверь таки открылась, то значит вы успешно прошли аутентификацию.

Разложим в этом примере все по полочкам:

  1. Ключ от замка — это ваш идентификатор (вставили и повернули — прошли идентификацию). В компьютерном мире это аналог того, что вы сообщили системе свое .
  2. Процесс открывания (совпадения ключа и замка) — это аутентификация. В компьютерном мире — это аналог прохождения этапа проверки подлинности (сверке введенного пароля).
  3. Открывание двери и вход в квартиру — это уже авторизация (получение доступа). В сети — это вход на сайт, сервис, программу или приложение.

Как вы уже, наверное, поняли — двухфакторной аутентификации в данном примере будет отвечать наличие на двери второго замка (либо наличие собаки в доме, которая уже проведет свою собственную аутентификацию опираясь на биометрические признаки — запах, внешний вид, наличие вкусняшек у вас в кармане).

Еще один пример. Печать на документе (в паспорте, сургучная печать на старинных письмах).

Как видите — все предельно просто. Но сегодня под этим термином чаще всего понимают именно электронную аутентификацию , т.е. процесс входа на сайты, сервисы, в системы, программы и даже подключение к домашней WiFi сети. Но по сути, тут мало отличий от приведенного примера.

В электронном варианте у вас так же будет идентификатор (в простейшем случае ) и пароль (аналог замка), необходимый для аутентификации (входа в систему, получение доступа к интернету, входа в онлайн-сервис и т.п.).

Как я уже говорил выше, существует несколько типов аутентифаторов :

Как видите, нет идеала. Поэтому зачастую для усиления безопасности используют так называемую двухфакторную (двухэтапную) аутентификацию. Давайте рассмотрим на примере.

Двухфакторная (2FA — двухэтапная) аутентификация

Например, во , и прочих сервисах связанных с доступом к деньгам, двухфакторная аутентификация сводится к следующему:


Что это дает? Существенное повышение безопасности и снижение риска аутентификации вместо вас мошенников. Дело в том, что перехватить одноразовый пароль намного сложенее, чем узнать пароль многоразовый. К тому же, получить доступ к мобильному телефону (да и просто узнать его номер) намного сложнее, чем покопаться у вас на компьютере или в электронной почте.

Но это лишь один из примеров двухфакторной аутентификации (2FA) . Возьмем уже упоминавшиеся выше банковские карты. Тут тоже используется два этапа — проверка подлинности с помощью устройства (идентификационного кода на карте) и с помощью ввода личного пароля (пинкода).

Еще пример из фильмов, когда сначала вводят код доступа, а потом идет проверка сетчатки глаза или отпечатка пальца. По идее, можно сделать и три этапа, и четыре, и пять. Все определяется целесообразностью соблюдения между обострившейся паранойей и разумным числом проверок, которые в ряде случаев приходится проходить довольно часто.

В большинстве случаев хватает совмещения двух факторов и при этом не доставляет очень уж больших неудобств при частом использовании.

Ошибки аутентификации

При использовании любого из упомянутых выше типов аутентификаторов (паролей, устройств и биометрии) возможны ошибки. Откуда они берутся и как их можно избегать и разрешать? Давайте посмотрим на примере.

Допустим, что вы хотите подключить компьютер или смартфон к имеющейся у вас в квартире беспроводной сети. Для этого от вас потребуют ввести название сети (идентификатор) и пароль доступа (аутентификатор). Если все введено правильно, то вас авторузует и вы получите доступ с подключаемого устройства в интернет.

Но иногда вам при этом может выдаваться сообщении об ошибке аутентификации . Что в этом случае вам сделать?

  1. Ну, во-первых, проверить правильность вводимых данных. Часто при вводе пароль закрывается звездочками, что мешает понять причину ошибки.
  2. Часто используются пароли с символами в разных регистрах (с большими и маленькими буквами), что не все учитывают при наборе.
  3. Иногда причиной ошибки может быть не совсем очевидная двухфакторная система проверки подлинности. Например, на роутере может быть включена блокировка доступа по . В этом случае система проверяет не только правильность ввода логина и пароля, но и совпадение Мак-адреса устройства (с которого вы осуществляете вход) со списком разрешенных адресов. В этом случае придется лезть в настройки роутера (через браузер с подключенного по Lan компьютера) и добавлять адрес этого устройства в настройках безопасности беспроводной сети.

Системы биометрии тоже могут выдавать ошибки при распознавании в силу их несовершенства или в силу изменения ваших биометрических данных (охрипли, опухли, глаза затекли, палец порезали). То же самое может случиться и с приложениями, используемыми для двухфакторной аутентификации. Именно для этаких случаев предусматривают систему получения доступа по резервным кодам . По сути, это одноразовые пароли, которые нужно будет распечатать и хранить в ящике стола (сейфе).

Если обычным способом аутентифицироваться не получается (выдается ошибка), то резервные коды дадут возможность войти. Для следующего входа нужно будет использовать уже новый резервный код. Но у этой палочки-выручалочки есть и обратная сторона медали — если у вас эти резервные коды украдут или выманят (как это было со мной, ), то они сработают как мастер-ключ (универсальная отмычка) и вся защита пойдет прахом.

Удачи вам! До скорых встреч на страницах блога сайт

посмотреть еще ролики можно перейдя на
");">

Вам может быть интересно

Аутентичный - это какой, что означает аутентичность Яндекс Аккаунт - регистрация и как пользоваться сервисом Как удалить свою страницу на Одноклассниках
Как восстановить страницу в Контакте (при утере доступа, удалении или блокировке)
Как поставить пароль на папку (заархивировать или другим способом запаролить ее в Windows) Почему не загружается ВК и браузер не заходит во Вконтакте Идентификация - что это такое и как подтверждается идентичность

Двухэтапная аутентификация в Google

Ваша учетная запись Google нуждается в усиленной защите, потому что она используется для доступа к данным банковской карты для совершения покупок в магазине приложений Google Play, важным сообщениям, документам и письмам и даже к видеороликам на YouTube. К счастью, технологический гигант реализовал систему двухфакторной аутентификации еще в 2010 году.

В Google данная система называется “Двухэтапная аутентификация”. Данный метод позволяет идентифицировать пользователя с помощью мобильного устройства. При включении двухэтапной аутентификации в Google пользователю доступно несколько опций. Первая опция называется Google Prompt - пользователь просто добавляет свой смартфон в аккаунт и проверяет, что на устройстве установлено поисковое приложение Google. Затем при попытке входа в аккаунт нужно будет подтвердить на смартфоне, что это делаете вы лично.

Если это не сработает, то придется ввести дополнительный код, который будет отправлен на смартфон посредством текстового SMS-сообщения, голосового вызова или с помощью приложения Google Authenticator . В своем персональном аккаунте вы можете зарегистрировать свой компьютер, чтобы не вводить код при каждой авторизации. Если вы являетесь обладателем корпоративного аккаунта G Suite, вы можете настроить получение кода каждые 30 дней.

Google Authenticator может сгенерировать код аутентификации, даже если смартфон не подключен к сети Интернет. Вам нужно сначала подключить двухэтапную аутентификацию. Затем приложение будет сканировать QR код на экране рабочего стола, а затем сгенерирует одноразовый пароли в зависимости от времени или значения счетчика, который нужно будет ввести в соответствующее поле. Данный метод заменяет текстовые сообщения, голосовые вызовы или сообщения электронной почты. Google Authenticator поддерживает работу с другими сервисами, такими как LastPass, Facebook, Evernote, Microsoft, Dropbox и Slack.

После того, как вы настроить двухэтапную аутентификацию Google, снова посетите раздел настроек вашего аккаунта Google. Тем вы сможете настроить номер телефона, на который будут приходить коды доступа, переключиться на использование Google Authenticator и получить доступ к 10 резервным кодам, которые можно распечатать на случай чрезвычайных ситуаций (например, разрядилась батарея смартфона и вы не можете получить доступ к приложению для аутентификации).

В этом интерфейсе вы можете создать пароли приложений. Предположим, что вы хотите использовать аккаунт Google в сервисе, которые не поддерживает стандартную авторизацию Google. В случае, если у вас активирована двухфакторная аутентификация вам понадобиться пароль приложения для использования учетной записи Google в сервисе.

Как включить двухфакторную аутентификацию в Google

  1. Нажмите на странице профиля в верхнем правом углу экрана и нажмите по кнопке “Мой аккаунт”.
  2. После того, как страница аккаунта загрузится, выберите страницу “Безопасность и вход”.
  3. В секции “Пароль и способ входа в аккаунт” выберите пункт “Двухэтапная аутентификация”.
  4. На данном шаге, если вы захотите внести изменения в процедуру аутентификации, Google может запросить повторный ввод пароля. Введите пароль, чтобы продолжить настройку безопасности.
  5. Теперь вы можете настроить двухэтапную аутентификацию. Нажмите кнопку “Приступить”.
  6. Введите свой номер телефона. Вы сможете получать текстовые сообщения или телефонные звонки на данный номер. Выберите желаемую опцию и нажмите “Далее”.
  7. После этого вы получите SMS-сообщение или телефонный звонок с кодом доступа. Просто введите цифры без префикса “-G” и нажмите “Далее”.
  8. После этого откроется следующая страница с сообщением “Получилось! Включить двухэтапную аутентификацию?”. Нажмите “Включить”.

После этого вы можете перейти на страницу настройки двухэтапной аутентификации, где можно настроить альтернативный второй фактор на случай, если вы не можете получать текстовые сообщения или голосовые вызовы. Обратите внимание, что по умолчанию используется опция получения кодов по SMS. Работоспособность данного способа зависит от вашего сотового оператора. Кроме того, этот метод является менее безопасным, чем другие доступные методы. Еще очень популярными опциями являются использование приложения Google Authenticator или Google Prompt. Для них также потребуется наличие мобильного устройства.

Как добавить Google Authenticator в качестве второго фактора аутентификации

  1. Установите на свое мобильное устройство приложение Google Authenticator
  2. Перейдите на страницу настройки двухэтапной аутентификации аккаунта Google и в панели “Приложение Authenticator” нажмите кнопку “Создать”
  3. Выберите операционную систему свое смартфона - Android или iOS и нажмите “Далее”
  4. Откройте приложение Google Authenticator на мобильном устройстве и выберите опцию “Сканировать штрихкод”
  5. Просканируйте QR-код, который отображается на экране компьютера и нажмите Далее
  6. На экране мобильного телефона появится уведомления “секретный код сохранен” и отобразится цифровой код. Введите данный код на компьютере и нажмите “Подтвердить”

Как добавить Google Prompt в качестве второго фактора аутентификации

  1. Перейдите на страницу настройки двухэтапной аутентификации аккаунта Google и в панели “Google Prompt” нажмите кнопку “Добавить телефон”
  2. На следующем экране нажмите “Приступить”
  3. Затем выберите телефон, привязанный к аккаунту Google. Убедитесь, чтобы на телефоне было установлено поисковое приложение “Google”, и он был подключен к Интернету. Нажмите “Далее”.
  4. В появившемся уведомлении на мобильном телефоне нажмите кнопку “Да”.
  5. Затем нажмите кнопку “Готово” на компьютере. Настройка Google Prompt завершена.

Как создать пароль приложения Google

Пароль приложения представляет собой 16-значный код доступа, который дает приложению или устройству разрешение на доступ к вашему аккаунту Google. Если вы используете двухэтапную аутентификацию и видите ошибку “неправильный пароль” при попытке войти в свою учетную запись Google, пароль приложения может решить проблему. В большинстве случаев вам нужно будет вводить пароль приложения только один раз для каждого приложения или устройства, поэтому не беспокойтесь о его запоминании.

  1. Нажмите на ссылку “паролей приложений” в секции “Пароль и способ входа в аккаунт” страницы настройки безопасности аккаунта Google. Вас могут попросить войти в свой аккаунт Google.
  2. Внизу в выпадающем списке выберите приложение, которое вы используете.
  3. В следующем выпадающем списке выберите устройство, которое вы используете.
  4. Нажмите кнопку “Создать”.
  5. Следуйте инструкциям, чтобы ввести пароль приложения (16-значный код в желтой строке) на устройстве.
  6. Нажмите “Готово”.
Похожие публикации: