А вы защищаете свои аккаунты двухфакторной или двухэтапной аутентификацией? Разработчики отменили имя пользователя при регистрации в Skype. В чем разница между двухэтапной и двухфакторной аутентификацией

Ну что ж, раз теперь должны использовать только учётную запись Майкрософт, попробуем собрать список преимуществ и недостатков этой нововведении:

Кстати, с тех пор как отменили старую форму регистрации, на просторах интернет увидел разные вопросы связанные с этим. Ответы на них можно прочитать ниже:

Как генерируется новый логин Skype?

В противном случае, при выборе опции «Регистрации в Skype с помощью адреса электронной почты», логин будет совпадать с именем пользователя емайла (которая находиться до знака "@").. Однако, если такой логин уже существует в системе, то к логину добавляется "_X", где X это номер аккаунта. То есть, если зарегистрировать новый один аккаунт с емайлым "[email protected]" то логин будет "live:vasya_1".

Как авторизоваться в Skype без логина?

Как найдут меня в Skype?

Вы когда-нибудь выполняли вход по коду из SMS? А с помощью приложения, генерирующего код? Сегодня я расскажу о том, в чем разница между этими способами, и почему важно защищать аккаунты Интернет-сервисов и мессенджеров двухфакторной или двухэтапной аутентификацией.

Если бы он использовал двухэтапную аутентификацию, новости бы не было.

Сегодня в программе

Зачем нужна дополнительная защита аккаунта

Когда речь заходит о безопасности Windows, тезисы о необходимости грамотной защиты нередко упираются в простое и незатейливое «а мне наплевать », подкрепленное убийственным аргументом «у меня нет ничего ценного». Его появление в сегодняшних комментариях не станет для меня неожиданностью:)

Тем не менее, если только вы не живете в абсолютном вакууме, ваш аккаунт электронной почты, социальной сети или мессенджера может представлять ценность для злоумышленников. Список ваших контактов вкупе с историей переписки может стать золотым дном социальной инженерии для мошенников, позволяя им развести на деньги ваших близких и знакомых (привет, Skype!).

Захват почтовой учетной записи также может открыть двери к другим сетевым сервисам, в которых вы зарегистрированы с ней (вы ведь используете одну почту для разных сервисов, не так ли?)

Пример со взломом Telegram интересен тем, что моментально породил в сети язвительные комментарии в стиле «ха-ха, вот вам и хваленая безопасность!» Однако важно понимать, что нужно обеспечивать рекомендуемый уровень защиты , а не лежать на печи, полагаясь на маркетинговые заявления.

Эта статья для тех, кто не ждет, пока грянет гром, а соблюдает правила сетевой гигиены и ответственно подходит к защите своей конфиденциальной информации. Поехали!

Терминология и аббревиатуры

Я сознательно упрощаю определения, потому что дальше мы будем подробно рассматривать эти понятия на практике.

• Аутентификация . Проверка уникальной информации, известной или доступной человеку, который пытается получить доступ к данным. Простейший пример – ввод пароля к учетной записи.
• Двухэтапная аутентификация (Two-Step Verification, 2SV ). Вход выполняется в два этапа – например, сначала вы вводите пароль к учетной записи, а потом код из SMS.
• (Two Factor Authentication, 2FA ). Вход тоже может выполняться в два этапа, но они должны отличаться факторами (ниже их разберем). Например, сначала вводится пароль, а потом одноразовый пароль, сгенерированный аппаратным токеном.
• Одноразовый пароль (One-Time Password, OTP ). Цифровой или буквенный код из 6-8 символов. Это может быть код из SMS или приложения, генерирующего коды (Google Authenticator).

Факторы аутентификации

Двухэтапную аутентификацию часто называют двухфакторной, не делая особой разницы между понятиями. Я тоже не придавал ей особого значения, хотя и пользовался обоими способами. Но однажды глаз зацепился за новость о переходе Apple с двухэтапной на двухфакторную аутентификацию, которую твитнул специалист по информационной безопасности Алексей Комаров.

Я попросил эксперта объяснить разницу между 2SV и 2FA, и он уложился в один твит со ссылкой на свою статью.

В ней мне очень понравились аналогии – простые и понятные. Позволю себе процитировать их целиком.

На этот раз воспользуемся образами из шпионских романов. Агенту Смиту необходимо встретиться со связным и передать ему секретную информацию. Друг друга они не знают и никогда раньше не встречались. Как Смит сможет удостовериться, что перед ним действительно связной, а не вражеский агент? Различают всего четыре фактора аутентификации . Рассмотрим их все.

«У Вас продается славянский шкаф?» — это пример первого фактора, когда субъект что-то знает . На практике это может быть пароль, логин, кодовая фраза – словом, любой секрет, известный обеим сторонам.

Связной может предъявить, например, половину разорванной фотографии или что- то еще, что есть только у него – это пример второго фактора аутентификации, основанного на том, что у субъекта что-то есть . В современных системах информационной безопасности для этих целей используются токены – персональные аппаратные средства аутентификации.

Для обеспечения безопасности встречи можно условиться, что она должна состояться на третьей скамейке справа от входа в Центральный парк. Третий фактор – субъект находится в определенном месте . В информационных системах могут определяться, например, IP-адрес компьютера субъекта или считываться данные радио-метки.

Ну и наконец, Смиту могли показать фотографию связного, чтобы он смог его узнать. Четвертый фактор (субъект обладает некой биологической особенностью ) применяется только в случае, когда субъект аутентификации – человек, а не, например, сервер или процесс, не имеющие отпечатков пальцев, структур ДНК или радужной оболочки глаза.

Какая аутентификация является двухфакторной

Исходя из названия, аутентификация выполняется с помощью двух факторов, причем они обязательно должны быть разными! Продолжу рассказ своей аналогией – посмотрите внимательно на этот сейф.

Открыть его вы сможете, только если знаете секретную комбинацию , и у вас есть ключ от замка . Заметьте, что эти два фактора отличаются.

Злоумышленник может похитить ключ, но без кода он бесполезен. Равно как подсмотренный код не поможет без ключа. Другими словами, чтобы пробраться в сейф, преступнику нужно украсть две разные «вещи».

Давайте посмотрим, как это выглядит в контексте информационных технологий.

В чем разница между двухэтапной и двухфакторной аутентификацией

Двухфакторная аутентификация может быть двухэтапной, но обратное верно не всегда. Граница между этими понятиями очень тонкая, поэтому их часто и не различают. Например, Twitter в блоге нарекает свою двухэтапную аутентификацию двухфакторной, а Google в справке уравнивает эти способы (впрочем, компания предлагает оба).

Действительно, в сетевых учетных записях (Microsoft, Google, Яндекс и т.п.), соцсетях и мессенджерах реализация 2FA и 2SV очень похожа. Один этап всегда подразумевает ввод пароля или ПИН-кода, который вы знаете . Разница между способами аутентификации кроется во втором этапе – 2FA возможна только в том случае, если у вас что-то есть .

Типичным дополнением к известному вам паролю служит одноразовый код или пароль (OTP). Здесь-то и зарыта собака!

Двухфакторная аутентификация подразумевает создание одноразового пароля непосредственно на устройстве, которым вы обладаете (аппаратный токен или смартфон). Если OTP отправлен в SMS, аутентификация считается двухэтапной.

Казалось бы, SMS приходит на смартфон, который у вас есть. Как вы увидите ниже, это – ложная предпосылка.

Пример двухфакторной аутентификации

Для удаленного доступа к ресурсам моего работодателя необходимо пройти двухфакторную аутентификацию. Первый фактор – пароль учетной записи, который я знаю . Второй фактор – аппаратный токен для генерации OTP, который у меня есть .

Чтобы выполнить вход в систему от моего имени, злоумышленник должен украсть не только пароль, но и выданный мне токен, т.е. физически проникнуть в мою квартиру.

Пример двухэтапной аутентификации

Когда вы впервые входите на новом устройстве в Telegram, вам приходит на телефон код подтверждения – это первый этап аутентификации. У многих пользователей мессенджера он единственный, но в настройках безопасности приложения можно включить второй этап — пароль, который известен только вам и вводится после кода из SMS.

Заметьте, что создатели Telegram корректно именуют свою аутентификацию двухэтапной.

Проблема одноразовых паролей в SMS

Давайте вернемся к случаю с получением неправомочного доступа к аккаунту Telegram, с которого я начал сегодняшний рассказ.

В процессе взлома оппозиционерам временно отключили сервис SMS. Они видят в этом руку технического отдела МТС, но и без его участия злоумышленники вполне могли перевыпустить SIM-карту или провести атаку MITM . Больше им ничто не мешало войти в Telegram на другом устройстве!

Будь на аккаунте пароль, известный только владельцу, осуществить взлом было бы на порядок сложнее.

Однако такая аутентификация остается двухэтапной, и взлом аккаунта хорошо демонстрирует, что при целевой атаке обладание смартфоном не играет никакой роли. Вы лишь знаете свой пароль и одноразовый код, который приходит в SMS, а это одинаковые факторы.

Снижает ли безопасность регистрация по номеру телефона

В комментариях к предыдущей записи несколько читателей выразили мнение, что типичное для ряда мессенджеров удобство регистрации по номеру телефона ослабляет защиту аккаунта по сравнению с традиционным паролем. Я так не считаю.

В отсутствие 2FA или 2SV аутентификация получается одноэтапной и однофакторной. Поэтому по большому счету нет разницы, выполняете вы вход с помощью известного вам пароля или неизвестного заранее кода, присылаемого в SMS.

Да, злоумышленники могут получить ваш SMS-код, но они могут перехватить и ваш пароль, пусть и каким-то другим способом (клавиатурный шпион, контроль публичной сети Wi-Fi).

Если вы хотите лучше защитить свою учетную запись, опирайтесь на 2FA или 2SV, а не на ложное ощущение превосходства пароля над номером телефона.

Реализация 2FA и 2SV у Google, Microsoft и Яндекс

Давайте посмотрим, какую защиту учетной записи предлагают некоторые крупные игроки с миллионами пользователей.

Google

Компания предлагает, пожалуй, самый широкий спектр средств дополнительной защиты учетной записи. Наряду с традиционными способами 2SV (отправкой кода в SMS или звонком) у Google реализована 2FA. Это приложение для генерации кодов и, что редкость, поддержка аппаратных токенов стандарта FIDO UTF.

После проверки пароля вам предлагается ввести код, способ получения которого зависит от настроек аутентификации для вашей учетной записи.

Обратите внимание, что по умолчанию компьютер переводится в разряд доверенных, т.е. при следующих входах на этом устройстве второй фактор не требуется. Список таких устройств можно очистить в параметрах 2SV.

У меня настроена генерация кодов приложением. В Google Authenticator реализована поддержка RFC 6238, что позволяет создавать OTP для любых сервисов, использующих эту спецификацию.

Кстати, в приложении я как-то наступил на грабли – коды перестали приниматься. В Twitter мне быстро подсказали синхронизировать коррекцию времени для кодов в настройках приложения, но я уже перешел в Яндекс.Ключ.

Также, у Google есть возможность распечатать одноразовые коды, что может быть полезно в путешествиях людям, не имеющим смартфона и пользующихся SIM-картой местного оператора.

Microsoft

У Microsoft все очень похоже на Google (см. настройки аккаунта) поэтому я сфокусируюсь на любопытных различиях. Компания не поддерживает аппаратные токены, но можно обеспечить 2FA, генерируя OTP фирменным приложением Authenticator.

Приложения для аутентификации

На мобильной Windows и iOS приложения Microsoft работают одинаково – просто генерируют коды. На Android ситуация интереснее, потому что у приложения Microsoft Account два режима работы – двухэтапный и двухфакторный.

После первоначальной настройки приложения включается режим, который отлично реализован с точки зрения удобства использования. Когда вы входите на сайт, вам предлагается подтвердить запрос в приложении. Одновременно приходит уведомление, которое одобряется одним нажатием, т.е. не надо вводить код вручную.

Строго говоря, это – 2SV, потому что пуш-уведомление передается через интернет, но можно переключиться на 2FA. Нажав «Не получается», вы увидите требование ввести код. Внизу мобильного приложения есть соответствующая возможность, открывающая список подключенных аккаунтов. Вернуться к режиму уведомлений можно аналогичным путем при следующем входе.

Кстати, в отличие от Google, Microsoft по умолчанию не переводит устройство в разряд доверенных (см. картинку выше), и я считаю это правильным.

Skype и 2SV

Upd. 01-Nov-2016 . В Skype наконец-то появилась 2SV за счет полной интеграции аккаунта Skype в учетную запись Microsoft. Поэтому написанное в этом разделе актуально лишь для аккаунтов Skype, не прошедших процедуру обновления .

Skype заслуживает отдельного упоминания, причем в негативном контексте. Двухэтапной аутентификацией защищена учетная запись Microsoft , и вы можете входить с ней в Skype.

Однако, если у вас есть аккаунт Skype (регистрируется на сайте), то для него 2SV не реализована, даже если он связан с учетной записью Microsoft.

На практике это означает, что вы не можете обеспечить своему аккаунту Skype уровень защиты, который рекомендует Microsoft. На сайте поддержки Skype есть замечательная тема (наверное, не единственная), куда приходят владельцы взломанных аккаунтов и просят реализовать 2FA.

Обходной путь – отказ от использования такого аккаунта и создание нового путем входа с учетной записью Microsoft. Но те, кого еще не взломали, вряд ли захотят бросать учетную запись с массой контактов.

Яндекс

У Яндекса найдется все, в том числе и своя реализация 2FA . Компания в блоге на Хабре, почему решила изобрести велосипед, поэтому я ограничусь лишь практикой использования этого решения.

Включение 2FA отменяет использование пароля для учетной записи, вход в которую далее будет выполняться с помощью смартфона или планшета. Как я понял, приложение Яндекс.Ключ доступно только для iOS и Android, поэтому владельцы смартфонов на Windows не смогут защитить свою учетную запись Яндекс двухфакторной аутентификацией.

Мобильное приложение поддерживает разные учетные записи, но только аккаунт Яндекс защищен обязательным ПИН-кодом – это первый фактор. Второй показан на картинке выше – это одноразовый пароль из восьми букв или сканирование QR-кода с веб-страницы, на которой вы осуществляете вход.

OTP истекает через 30 секунд. Сделав опечатку, я не успевал повторно ввести тот же код, и приходилось ждать нового (цифры все-таки проще вводить без ошибок). Поэтому рекомендуемый и более удобный способ – это сканирование QR-кода. Для случаев авторизации на том же устройстве предусмотрена кнопка, копирующая OTP в буфер обмена.

Вопросы и ответы

Комментарии высветили несколько вопросов, ответы на которые я решил добавить в статью.

Ура, теперь у меня везде 2SV/2FA! Что-то еще нужно сделать?

Представьте, что вы поехали на отдых, где у вас в первый же день украли смартфон. Теперь вы не попадаете ни в один аккаунт, пока не восстановите SIM-карту. Чтобы избежать такого сценария, зайдите в настройки ключевых аккаунтов, найдите там одноразовые или резервные коды для доступа к учетной записи и сохраните их на другом устройстве и/или запишите на бумаге.

У меня есть приложение, которое перестало работать после включения 2SV/2FA. Что делать?

Некоторые приложения несовместимы с двухэтапной аутентификацией в том смысле, что сервис ждет кода на втором этапе, а вводить его некуда. Примером может служить какой-нибудь «десктопный» почтовый клиент.

На этот случай в настройках 2SV вашего аккаунта предусмотрена возможность создавать пароли приложений (app passwords). Нужно создать пароль и ввести его в проблемном приложении вместо вашего пароля учетной записи. У Яндекс (например, в Яндекс.Браузер) достаточно просто ввести одноразовый пароль, сгенерированный приложением Яндекс.Ключ.

По каким параметрам сервис определяет, что устройство доверенное?

У каждого вендора своя реализация. Это может быть комбинацией SSL cookie, IP-адреса, браузера, еще чего-нибудь. Есть порог изменения параметров, по достижении которого нужно авторизоваться снова.

Какие мобильные приложения для генерации OTP лучше всего использовать?

Если вы не пользуетесь 2FA в Яндекс, то подойдет любое приложение (Google, Microsoft, Яндекс.Ключ). Если у вас включена 2FA в Яндекс, имеет смысл консолидировать все сервисы в Яндекс.Ключ. Причина в том, что реализация 2FA у Яндекс отличается от других сервисов, но Яндекс.Ключ поддерживает RFC 6238, что позволяет создавать OTP для прочих сервисов, внедривших эту спецификацию.

Почему в приложении для генерации кодов не получается настроить 2FA для ВКонтакте?

В настройках смартфона нужно установить автоматическое определение даты и часового пояса. Иначе приложение не зарегистрировать — созданный приложением код не принимается с ошибкой «Неверный код подтверждения». Доставка OTP по SMS при этом работает и никак не связана с проблемой.

Дискуссия и опрос

Изначально двухфакторная и двухэтапная аутентификация была уделом организаций, но постепенно она стала появляться и в сервисах, ориентированных на потребителей. Google была одной из первых крупных компаний, предложивших своим пользователям такую защиту в 2011 году, а позже подтянулись и другие игроки, в том числе популярные в Рунете Яндекс и mail.ru ввели эти меры в начале 2015 года.

Пока 2FA/2SV доступна далеко не для всех распространенных сервисов. Например, на момент публикации статьи ее нет в мессенджерах с многомиллионной аудиторией Viber и WhatsApp (появилась в феврале 2017 года). Но в целом к середине 2016 года технология получила очень широкое распространение .

Сам я начинал с Google, потом подключил соцсети, позже учетную запись Microsoft (там была возня с рядом приложений, не поддерживающих 2SV, и приходилось создавать одноразовые пароли). Сейчас 2FA/2SV у меня включена везде, и даже в этом блоге (только для администраторов).

Вы можете отметить интересные вам фрагменты текста, которые будут доступны по уникальной ссылке в адресной строке браузера.

Об авторе

Николай

С недавнего времени прикрутил аутентификацию, после того как пришло на почту уведомление о попытке взлома.

Павловский Роман

Я выбрал пункт: Нет, но теперь начну пользоваться.
Включал на Goole учетке, но после этого я не мог отправить почту с почтового клиента и не мог подключиться к hangouts чатам из приложения. Возможно нужно было зайти с компьютера на Google учетку, чтобы ПК стал доверенный и тогда все бы заработало. Но я не стал заморачиваться и отключил двухэтапную авторизацию.
Если нужно просто авторизироваться на нужном ПК, чтобы он стал доверенным, то это нормально, а если это не поможет, тогда проблема будет с отправкой почты и использованием чата.
На другой почтовой учетной записи вообще нет двухфакторной авторизации, к тому же я бы ее там и включил.

Александр [Маздайщик]

Выбрал «Моего варианта тут нет», хотя, возможно, стоило бы выбрать «Нет, и но теперь начну пользоваться».

Почтой пользуюсь только через Outlook, а он, вроде как, двухфакторную авторизацию не поддерживает (хотя не гуглил - может плагины придумали). Аккаунтом Microsoft не пользуюсь. Смартфона нет. В соцсетях не зарегистрирован (за исключением GitHub). Регистрации на всяких форумах и сайтах, вроде этого, защищать считаю нецелесообразно.

Есть аккаунт в Скайпе, которым я пользуюсь только в офисе (сижу в общем чате компании). Теперь подумаю о том, чтобы слить его с аккаунтом Microsoft (вроде как есть такая функциональность) и использовать двухфакторную авторизацию.

Николай

Evgeniy Kazakin

Спасибо, очень интересно!
«Обратите внимание, что по умолчанию компьютер переводится в разряд доверенных, т.е. при следующих входах на этом устройстве второй фактор не требуется. Список таких устройств можно очистить в параметрах 2SV.»

А по каким факторам он распознаёт это доверенное устройство? Это сертификат, или какой-то сгенерированный на основе железа SID ?

Евгений

Двухфакторная аутентификация включена только в особо важных сервисах, например, на банковских счетах, в платёжных системах. Но на некоторых из них войти в учётку можно просто одним паролем, а вот любые операции — уже через двухфакторную. На почтовых сервисах и соцсетях отсутствует, так как сами сервисы неплохо отслеживают «подозрительные действия» (смена IP, попытка подбора пароля, смена используемого устройства и т.д.) и довольно быстро уведомляют об этом, а многие даже сразу автоматом блокируют аккаунт.

Nikita Panov

Evgeniy Kazakin : Спасибо, очень интересно!
«Обратите внимание, что по умолчанию компьютер переводится в разряд доверенных, т.е. при следующих входах на этом устройстве второй фактор не требуется. Список таких устройств можно очистить в параметрах 2SV.»А по каким факторам он распознаёт это доверенное устройство? Это сертификат, или какой-то сгенерированный на основе железа SID ?

Скорее всего зависит от реализации. Даже у Steam-клиента есть своя 2Ф-аутентификация.

Андрей Баятаков

Включено везде где это возможно. Взломов вроде бы не было. :) Но на outlook.com видны Запросы защиты из мест где я точно не мог нахотиться… и с ОС которыми я никогда не пользовался. Насчет отключения SMS — в прошлом году несколько раз сталкивался когда SMS с кодом из QIWI не приходили на смартфон, но при этом без проблем получались на обычный телефон. Достаточно было переставить симку.

Матвей Солодовников

Вадим, отменная статья! Спасибо за подробное изложение.
Включено в гугле (после того, как пытались поломать мой пароль откуда-то из Турции), в учетке Microsoft (ленился сделать. но после этой статьи все ж решил включить) и в Dropbox (уже года два как включено). Использую Microsoft Authenticator на Lumia 640.
P. S. Да. и в телеграме тоже надо включить:) мало ли.

• Матвей, спасибо за отклик. Да, Telegram в этом плане лучше защищен, чем WhatsApp или Viber, поэтому имеет смысл включить 2SV.

D K

Моя учетка Яндекса защищена на W10M двухфакторной аутентификацией. Пароль беру с яндекс ключа, установленного на iPad. И вообще включаю такую защиту, где это только возможно. Мою почту на Mail.ru взламывали раньше, приходилось пароль часто менять. Теперь, после включения там двухэтапной авторизации взломов не было. После известных событий и на Telegram включил.

D K

Забыл добавить, что мою карту Сбербанка ломанули и с включенной двухэтапной авторизацией.

Андрей

Спасибо за статью, не знал о приложении для смартфона к аккаунту Майкрософт, подключил.

Виталий

Отличная статья, хорошо разложили по полочкам 2FA и 2SV.
В общем подумал я недавно над безопасностью, и перешёл на KeePass. Надёжнее, безопаснее, а главное независемее от сторонних серверов ничего не придумал. Настроил автоблокировку, пароль посложнее и все дела.
2FA есть разве что для карты сбера, там имя пользователя (только у меня в голове), пароль (в KeePass), и СМС.

Damear Dadabayev

Пользуюсь Гугл Афентикатором для Майл.ру, Фейсбука, ВК (в который редко захожу) и Майкрософтовской учётки (последняя прекрасно дружит с гугловской прогой, а смысла ставить два приложения для одной и той же функции не вижу). Пытался подключить ещё и Яндекс, но не получилось. В идеале хотелось бы видеть авторизацию в банках тоже на основе этого приложения.

Кстати, вопрос Вадиму на тему паролей приложений – гугл предлагает для них пароль из одних только строчных латинских букв. Насколько это надёжно?

Ярослав Непомнящих

Спрашивал у поддержки.
Действительно в магазине Windows есть приложение ВТБ24 Токен

Андрей Варыпаев

Недавно тоже на mail.ru организовал двух этапную. Так как у меня по https соединению через прокси увели 20-ти значный пароль и успели войти в почту 2 раза один раз через Украину, второй раз с с каких то островов. Благо мой аккаунт mail.ru заблокировало с подозрением на взлом. После этого сделал двух этапную аутентификацию.

Николай

Vadim Sterkin : Андрей, годный пример того, что сложный пароль + второй фактор лучше просто сложного пароля.

А каким образом могут увести 20-ти значный пароль? Кейлоггер в расчет не берем.
Вадим, а можно поподробнее про эти аппаратные токены. Что это такое, какой в них смысл? Генерируются коды по заранее заданному алгоритму? Если это так, то неужели это безопасно и алгоритм не может быть вычислен?
И еще одно заодно. :) Насколько безопасно использовать для входа на ресурсы кнопочки «Войти с помощью». Как, например, у Вас в блоге.

Николай

Vadim Sterkin :
2. А погуглить? TOTP, HOTP
3. Это интересный вопрос. Думаю, его стоит осветить отдельно. Но вы можете исследовать самостоятельно и подбросить сюда пищу для размышлений.

Ну так не честно! А разжевать? :)

виталий чернышов

Использую 2FA везде где есть такая возможность — гитхаб, учетка live, дропбокс, яндекс, гугл. Почта сейчас это самое важное что нужно защищать, на ней завязано все остальное.

Вот меня волнует вопрос паролей приложений, для тех программ которые не поддерживают 2FA, например тот же почтовый клиент. Не является ли это ослаблением безопасности? Ведь этот пароль точно так же можно перехватить, для простоты опустим момент шифрования трафика. И ввести этот пароль в другом приложении. У оутлока же нет cookies или подобного механизма, чтобы сервис отличил одно приложение от другого. Или есть? Что мешает перехватить этот пароль приложения точно так же как и обычный пароль? И использовать его в другом приложении. Если только шифрование трафика, то получается что пароли приложений это огромная дыра. Точно такой же уровень безопасности и у обычного пароля.

Эмма

Недавно мне прилетела новость: https://geektimes.ru/post/276238/ , которая меня неприятно удивила, уже успела привыкнуть всей душой к Телеграму. Автор статьи путает понятия, 2-этапную аутентификацию называет 2-факторной, но не в этом суть.Что же получается — злоумышленник, имея доступ к СМС жертвы, все равно сможет войти в аккаунт, и в данном случае 2SV аутентификация Телеграма не поможет? А какой в ней смысл тогда?

Дмитрий Сергеевич

Если я всё правильно понял, то двухфакторная аутентификация доступна только с установленным соответствующим приложением на смартфон. А вот у меня нет смартфона. Я в состоянии его приобрести, но мне он попросту не нужен. Пользуюсь бронебойным непотопляемым кнопочным телефоном доисторической функциональности, который нужен мне лишь для звонков и смс (который больше ничего по сути и не умеет) и который держит заряд полторы-две недели. Покупать смартфон только ради возможности использовать двухфакторную аутентификацию?

• Пользуйтесь двухэтапной — смски же ваш бронебойный смартфон умеет принимать.

artem

Для доступа к ресурсам клиента я тоже использую 2FA, но в этом случае роль аппаратного токена выполняет смартфон с приложением RSA SecureID.

с этой точки зрения - генерация кода приложением на телефоне не является вторым фактором. Телефон можно взломать. А некоторые пользователи делают это сами для того, чтобы устанавливать неофициальное ПО (джейлбрейк). После этого любое приложение (вирус или кто-то, маскирующийся под полезное приложение) может, к примеру, залезть в область памяти, используемой твоим приложением-генератором одноразовых паролей. А можно поступить ещё проще, и просто украсть содержимое экрана через API, которое создаёт снимки экрана. (Да, в норме этот API должен быть недоступен для скрытого использования сторонними программами, но после джейлбрейка возможно всё).

даже если ты не делал джейблрейк своими руками - телефон, теоретически, можно взломать удалённо, как любое достаточно сложное устройство, подключённое к сети. Маловероятно? Конечно. Но это примерно так же маловероятно и сложно в реализации, как взломать сотового оператора, подкупить техника, сделать дубликат сим-карты или иным способом перехватить код из SMS.

даже если у тебя есть отдельное устройство для генерации OTP или листок с распечатанными одноразовыми паролями - их можно «подсмотреть», используя сильную оптику или взломав камеру наблюдения по соседству:) Или подкупить клерка в банке, который тебе эти пароли выдавал. Это всё примерно так же маловероятно, но вполне возможно на практике. Таким образом твой «второй фактор» превращается… превращается… превращается в первый.

к чему это я? К тому, что грань между 2FA и 2SV настолько тонка, что представляет интерес только с точки зрения теоретических рассуждений об идеальном мире. На практике этой грани нет. Поэтому, например, реализацию, принятую в «Телеграме», однинаково корректно называеть как двухфакторной, так и двухэтапной.

P.S. К делу это не относится, но возможность провести MITM-атаку на телефон, подобную описанной в статье на Хабре, критикуется практикующими специалистами, которым я доверяю. Они утверждают, что такая атака возможна только в специальных лабораторных условиях. На практике все действующие в России мобильные операторы научились от неё защищаться, т.к. используют специальным образом настроенное оборудование.

• Артем, long time, no see:)

  Действительно, где же проходит граница? :)

  

  Моя аргументация отталкивается от факторов (в частности — владения), а ты начал за здравие, а потом скатился ко «все можно украсть и взломать». Я даже думал, что в конце появится тезис «2фа не нужна, ибо паяльник!»:)

  Ну, раз уж ты влез в холивар, я бы хотел услышать твое мнение по моему вопросу, озвученному дискуссии:

  Заодно, возможно, у вас есть грамотное объяснение тому, что Google, Microsoft и Telegram не называют свою аутентификацию двухфакторной, a Apple переходит от 2SV по SMS/Find My Phone к 2FA ? Без отговорок типа «я за них не отвечаю», а толково.

  • artem

    ты начал за здравие, а потом скатился

    а где в моём комментарии проходит граница между «здравием» и «скатился»?

    Ну, раз уж ты влез в холивар,

    не то чтобы я очень хотел влезать, и вообще не вижу здесь холиворности. Но у меня зашёл разговор с некоторым человеком (да, в чятике Телеграма) — он привёл твой блог в качестве аргумента.

    я бы хотел услышать твое мнение по моему вопросу

    ну это странный вопрос для меня, потому что я как раз не разделяю 2FA и 2SV. Во всяком случае, когда речь идёт про SMS. Там выше как раз в той ветке, на которую ты ссылаешься, всё правильно говорит человек. SIM-карта — это всё-таки «то, чем ты владеешь». Да, её можно украсть, подделать или перехватить сообщения на лету — но это не отменяет действия принципа . (К тому же, как я сказал, MITM на практике не работает, так что одного этого аргумента явно недостаточно для того, чтобы переквалифицировать SMS из 2FA в 2SV).

    Вот тебе ещё пример в копилку терминологических разногласий. (Ты их выше сам приводишь в избытке, включая тот же Google, который не разделяет 2FA и 2SV). GitHub используется термин «2FA» (https://github.com/settings/security), при этом речь идёт про тот же самый RFC 6238, т.е. генарацию кодов приложением на телефоне. При этом у них есть поддержка FIDO U2F и fallback на SMS. Это всё не мешает им считать свою аутентификацию двухфакторной.

    • » Ты мне: но есть ряд других компаний, которые не разделяют. Какие у тебя мысли по этому поводу?
      Я тебе: с моей точки зрения они не правы или ловят блох.

      Каждый имеет право использовать тот термин, который им ближе. Разногласие возникает только в том случае, если пишущий одновременно использует оба термина, и при этом явно их разделяет (а не использует как синонимы, как это делает, например, Google). Такое встречается очень редко. В основном - либо в академических материалах (как история про агента Смита), либо вот у тебя в блоге:)

      Они считают свою аутентификацию двухэтапной (на странице настроек написано 2-Step Verification).

      Где? Вот цитата с главной страницы настроек (https://github.com/settings/security):

      Two-factor authentication - это заголовок раздела.

      Дальше, если кликнуть по кнопке Edit , попадаем на страницу https://github.com/settings/two_factor_authentication/configure . (Внимание на URL). Там читаем:

      Providing a fallback SMS number will allow GitHub to send your two-factor authentication codes to an alternate device if you lose your primary device.

      Ну и вообще термин 2FA встречается на этой странице семь раз. Термин 2SV не встречается ни разу.

      Каждый имеет право использовать тот термин, который им ближе.

      Угу, и озвученные компании не используют термин 2FA, хотя «фактор» — одно из базовых понятий в инфобезе.

      В основном - либо в академических материалах (как история про агента Смита), либо вот у тебя в блоге:)

      Все зависит от дотошности комментаторов. Если в блоге закрыть комменты, можно писать что угодно. Я разделил 2FA/2SV, и в комменты сразу прибежали несогласные — минусуют даже:) Если б не разделил, их было бы меньше, наверное. Но это им не мешало бы тыкать пальцем в контексте «SMS — не 2FA».

      artem

      Я думал ты про Google, невнимательно посмотрел. Я же спрашивал про Google/MSFT/Apple/Telegram, а ты мне подсунул GitHub, где все соответствует твоим тезисам. И да, мне нравится, как ты подтянул Google сюда же, зацепившись за фразу в справке.

      Я подсунул GitHub по двум причинам. Во-первых, кто-то тут в комментариях уже спрашивал про него, но мне было лень отвечать именно там, что - да, GitHub тоже вообще-то поддерживает 2FA. Ну и во-вторых потому, что по всем остальным крупным компаниям ты уже прошёлся, дотошно проанализировав их подход к терминологии. Не повторяться же. Поэтому пришлось найти кого-то нового.

      Если б не разделил, их было бы меньше, наверное. Но это им не мешало бы тыкать пальцем в контексте «SMS - не 2FA».

      Вот в этом всё и дело. Я не против делить 2FA и 2SV - если бы это можно было сделать однозначно. Т.е. классифицировать: да, вот этот канал является вторым фактором, а этот - всего лишь вариация первого. Ты прекрасно знаешь, что я не меньше тебя люблю докапываться к терминам, если не больше:)

      Проблема в том, что в случае с SMS эту грань провести нельзя. Т.е. это не вопрос дотошности, а вполне беспредметный терминологический спор.

      По некоторым признакам, SIM-карта - это «предмет обладания», т.е. второй фактор. Легитимный пользователь не может получить сообщение, не обладая SIM-картой. И для большинства злоумышленников это является серьёзным препятствием, хотя и не непреодолимым. (Сравнимо с необходимостью вломиться в квартиру, чтобы похитить устройство генерации OTP).

      По некоторым другим признакам - да, технологию GSM можно обмануть и перехватить сообщение. И таким образом этот фактор превращается и информационный, как и первый. Но с этой точки зрения, и генерация OTP на телефоне - это тоже информационный фактор. (См. выше рассуждения про jailbreak).

      Поэтому я во-первых не вижу практической разницы между 2FA и 2SV. И во-вторых, не вижу смысла вести этот спор. Потому что на праткике 2FA не оказывается чем-то более безопасным по сравнению с 2SV. Во всяком случае, пока самым распространённым «вторым каналом» остаётся SMS.

      Можно и нужно рассуждать о том, что вот конкретно SMS является менее безопасным каналом, чем отдельное устройство генерации OTP. Такая беседа действительно имеет смысл - в отличие от попыток классифицировать разные каналы как 2FA или 2SV и вести спор о том, что из этих сферических вариантов надёжнее в вакууме.

      Тот самый случай, когда попытка упростить через классификацию только усложняет обсуждение и делает его менее осмысленным и более уязвимым для терминологических разногласий.

    • NIST declares the age of SMS-based 2-factor authentication over | TechCrunch .

      If the out of band verification is to be made using a SMS message on a public mobile telephone network, the verifier SHALL verify that the pre-registered telephone number being used is actually associated with a mobile network and not with a VoIP (or other software-based) service. It then sends the SMS message to the pre-registered telephone number. Changing the pre-registered telephone number SHALL NOT be possible without two-factor authentication at the time of the change. OOB using SMS is deprecated, and will no longer be allowed in future releases of this guidance .

  George

  Вадим, приветствую!

  Сегодня прикупил себе аппаратный токен: http://www.aladdin-rd.ru/catalog/jacarta_u2f/ — юзаю его на Gmail аккаунте и на Dropbox аккаунте. Т.к сила цепи определяется самым слабым её звеном, то я убрал телефон из дропбокса и гугла как фактор восстановления и теперь я могу войти в гугл только по токену либо если его нет, то через OTP Google Authentificator, а если и его нет, то 8-ми значный резервный код: https://i.gyazo.com/d6589d7523d4259e423d500de1c2354b.png

  Соответственно сейчас я захожу на gmail.com, ввожу обычный пароль и google начинает требовать токен: https://i.gyazo.com/0503e8347c80ce865dd2f5ed69eab95c.png . Вставляю токен, он его определяет, я нажимаю на токене хардварную кнопку, мол я реальный человек и я аутентифицируюсь в аккаунт. Можно ли такой способ аутентификации считать двух факторной? Плюс я прочитал все комменты и не очень понял, почему SMS не является фактором. Т.к есть пароль (я знаю) и у меня есть телефон с привязанным номером (я имею). Я не холивара ради, но я больше запутался чем понял почему оно не может называется двухфакторным способом аутентификации.

  • Георгий, поздравляю с покупкой — хорошая идея! И сколько он стоит? У дилера цена по запросу зачем-то. Впрочем, Яндекс.Маркет намекает на цену в районе 1500 руб.

    Да, это 2FA. Я определяю фактор владения по наличию у пользователя аппаратного устройства для аутентификации (ваш токен) или генерации OTP непосредственно на устройстве (смартфон или токен для генерации OTP). В случае с SMS код генерируется где-то и передается вам, поэтому я его фактором не считаю.

    Оппоненты не согласны, но как я отмечал в комментариях и указывал Артем, в зависимости от степени паранойи, можно не считать фактором и смартфон с приложением, поскольку он может быть взломан.

  Как пользователь Винды ничего не могу сказать — я чайник. Но с точки зрения надежности и эффективности именно для чайников могу дать совет. Взломать можно что угодно любого уровня сложности. А посему для защиты реально ценных данных — банковские счета, выбирайте крупные надежные банки, и пусть их высококлассные профи парятся о вашей безопасности. А если не справятся — банку будет проще возместить вам ущерб, если вы конечно не Миллер и не Дерипаска, чем судиться с вами. А касательно соц. сетей…. а чо там защищать-то? Если вы активный пользователь соцсетей, скорее всего и брать то у вас нечего — ценной инфы там никогда не было.

  Последнее время пользователи Skype начали получать сообщения от своих контактов, которые содержат в себе только ссылку на Google с некими параметрами. Некоторые пользователи получают по несколько подобных сообщений в день. Кто-то получал лишь раз или два. На форумах Skype данную тему обсуждают достаточно активно.

  Некоторые пользователи заметили, что подобная рассылка производилась с его учетной записи, хотя сам он таких действий, конечно же, не совершал.

  

  В журнале активности учетной записи четко видны попытки получить доступ к учетной записи из других стран. Кому-то из злоумышленников это удавалось, это было видно по журналу событий.

  Почему это происходит?

  Согласно данным, которые описываются на форумах Skype, данная проблема проявляется у пользователей, которые недостаточно внимания уделяют безопасности своей учетной записи Skype/Microsoft. Рассылки происходят даже от людей, которые несколько лет не пользуются сервисом. Все дело в том, что они используют слабый пароль и не используют двухфакторную авторизацию. Злоумышленники же просто подбирают пароль. И как только это произошло, с вашей учетной записи начинает рассылаться спам всем контактам.

  Как защититься?

  Если вы не хотите, чтобы с вашей учетной записи рассылали спам-сообщения или уже стали жертвой такой рассылки, то обязательно необходимо проделать следующие простые шаги:

  1. свой компьютер на вирусы бесплатным антивирусным сканером.
  2. версию Skype.
  3. Поменять старый пароль на более сложный у своей учетной записи.
  4. Активировать двухфакторную авторизацию через смс, e-mail или мобильный авторизатор.

  После этого вероятность рассылки спама будет минимальной, потому как для доступа к вашей учетной записи злоумышленникам придется получить доступ еще и к телефону или электронной почте.
  Если вы заметили, что кто-то из ваших контактов рассылает подобные сообщения, то это означает, что его учетную запись взломали. Отправьте ему ссылку на эту статью, чтобы он защитил свой аккаунт и предотвратил дальнейшую рассылку спама.

  Свой Skype от непрошеных гостей, ведь за последнее время частота взломов в покерных кругах только увеличивается. До авторов Покерофф взломщикам также удалось добраться, пусть и закончилось это более менее благополучно. Чтобы не забивать вашу голову лишней информацией, я решил сделать короткое руководство, которое, как минимум, усложнит задачу юным любителям халявы.

  Прежде чем начать, хочется отметить, что Skype был и остаётся решетом, но самое главное, что Microsoft никак не старается исправить ситуацию, а зачастую и вовсе усугубляет её. Вспомнить хотя бы прошлогоднюю историю с маркером пароля, когда практически любой уверенный пользователь ПК мог "угнать" любой аккаунт другого пользователя, обладая минимумом общедоступной информации.

  Анонимный электронный адрес

  Обычно электронные адреса пользователей легко найти в открытом доступе, нам необходимо устранить сей досадный факт, дабы не испытывать судьбу. Заведите новый адрес электронной почты на mail.google.com Сделать это достаточно просто, подсказки тут не нужны.

  Замена основного адреса

  Далее идём на Skype.com, логинимся и меняем основной адрес электронной почты (Primary email) для аккаунта Skype на новый, только что созданный, и забываем о его существовании до лучших времен. Сменить основной e-mail прямо из клиента Skype нельзя.

  

  Ни в коем случае не пользуйтесь этим адресом на сторонних сайтах и не сообщайте его никому, используйте его исключительно для привязки к Skype, иначе магия не будет работать.

  Двухэтапная аутентификация

  Самый главный козырь в нашем гайде - это двухэтапная аутентификация электронной почты. Фича крайне полезная, помогает защитить наш аккаунт от несанкционированного доступа. Даже если злоумышленнику каким-либо способом удалось узнать пароль, он не сможет войти в аккаунт без кода подтверждения, который направляется только на мобильный телефон владельца аккаунта. Чтобы включить данную фичу для своего google аккаунта, проделываем следующие нехитрые действия:

  

  Такие разные пароли

  Настоятельно рекомендую не использовать один и тот же пароль на нескольких ресурсах. Зачастую, получив пароль от одного из аккаунтов на любом посещаемом вами сайте, мошенники, зная ваш логин, пробуют "примерить" полученный пароль где это только возможно. О случаях, когда база порталов вроде NeverFold продавалась за жалкие $10, и вовсе говорить не стоит. Сомнительные сайты стоит обходить стороной.

  

  Антивирусное ПО

  По роду своей деятельности мне приходится сталкиваться с различными антивирусами, и я, мягко говоря, расстроен не только их быстродействием, но и эффективностью. Одна из немногих программ которая работает не на словах на деле - Dr. Web Cure IT. Тот случай, когда действительно стоит потратить 15 минут вашего драгоценного времени, чтобы пройти полное сканирование. Софт абсолютно бесплатный, но при этом получающий регулярные обновления.

  

  Альтернатива

  К сожалению, из-за своей популярности найти замену Skype достаточно сложно. Но если для вас на первом месте безопасность, я рекомендую обратить внимание на Google Hangouts. Здесь есть чат, видеозвонки, смс и бесплатные видео-конференции. Чтобы начать пользоваться Hangouts, необходим логин и пароль от вашего google аккаунта, а также один из популярных браузеров. После автоматического скачивания расширения для браузера приложение готово к работе.

  Блокировка аккаунта

  Да будет вам известно, что аккаунт Skype может быть заблокирован при поступлении 40 однотипных жалоб (для этого достаточно отправить в соответствующую переписку нехитрый код и много раз на него нажать, пускай даже с одного аккаунта). Защититься от этого достаточно просто - необходимо иметь баланс счета от $2, и активированую премиум подписку.

  

  Заключение

  Мы все с вами взрослые люди, поэтому, я думаю, не стоит напоминать вам о том, что открывать подозрительные ссылки, как и принимать файлы от малознакомых контактов нельзя. Чтобы не оказаться на месте одной из жертв взломщика, получив сообщения с текстом вроде: "Одолжи 100$ вебмани или яндекс до завтра, отдам 110$." попробуйте позвонить контакту и всё встанет на свои места. Также при подозрении на взлом стоит опросить ваших общих знакомых на предмет получения схожих по содержанию сообщений.

  Этот короткий гайд не является истинной в последней инстанции, а как раз наоборот создан для того, чтобы получить еще больше рекомендаций по безопасности от читателей Покерофф.