Вы когда-нибудь выполняли вход по коду из SMS? А с помощью приложения, генерирующего код? Сегодня мы расскажем о том, в чем разница между этими способами, и почему важно защищать аккаунты Интернет-сервисов и мессенджеров двухфакторной или двухэтапной аутентификацией.
В апреле 2016 года у нескольких оппозиционеров взломали аккаунты Telegram, отключив им ночью сервис SMS на несколько часов. За это время кто-то зашел с другого устройства, о чем Telegram прислал уведомление.
View image on Twitter
Если бы он использовал двухэтапную аутентификацию, новости бы не было.
Зачем нужна дополнительная защита аккаунта
Когда речь заходит о безопасности Windows, тезисы о необходимости грамотной защиты нередко упираются в простое и незатейливое «а мне наплевать», подкрепленное убийственным аргументом «у меня нет ничего ценного».
Тем не менее, если только вы не живете в абсолютном вакууме, ваш аккаунт электронной почты, социальной сети или мессенджера может представлять ценность для злоумышленников. Список ваших контактов вкупе с историей переписки может стать золотым дном для мошенников, позволяя им развести на деньги ваших близких и знакомых ().
Двухфакторная аутентификация
Захват почтовой учетной записи также может открыть двери к другим сетевым сервисам, в которых вы зарегистрированы с ней (вы ведь используете одну почту для разных сервисов, не так ли?)
Пример со взломом Telegram интересен тем, что моментально породил в сети язвительные комментарии в стиле «ха-ха, вот вам и хваленая безопасность!» Однако важно понимать, что нужно обеспечивать рекомендуемый уровень защиты, а не лежать на печи, полагаясь на маркетинговые заявления.
Двухфакторная аутентификация
Терминология и аббревиатуры
Эта статья для тех, кто не ждет, пока грянет гром, а соблюдает правила сетевой гигиены и ответственно подходит к защите своей конфиденциальной информации. Поехали!
В данной статье мы сознательно упрощаем определения, потому что дальше мы будем подробно рассматривать эти понятия на практике.
Двухэтапную аутентификацию часто называют двухфакторной, не делая особой разницы между понятиями. Многие продвинутые пользователи не придают ей особого значения, хотя и пользуются обоими способами. Но однажды глаз зацепился за о переходе Apple с двухэтапной на двухфакторную аутентификацию, которую твитнул специалист по информационной безопасности Алексей Комаров.
Мы попросили эксперта объяснить разницу между 2SV и 2FA, и он уложился в один твит со
В ней очень простые и понятные аналогии.
На этот раз воспользуемся образами из шпионских романов. Агенту Смиту необходимо встретиться со связным и передать ему секретную информацию. Друг друга они не знают и никогда раньше не встречались. Как Смит сможет удостовериться, что перед ним действительно связной, а не вражеский агент? Различают всего четыре фактора аутентификации. Рассмотрим их все.
«У Вас продается славянский шкаф?» — это пример первого фактора, когда субъект что-то знает. На практике это может быть пароль, логин, кодовая фраза – словом, любой секрет, известный обеим сторонам.
Двухфакторная аутентификация
Связной может предъявить, например, половину разорванной фотографии или что- то еще, что есть только у него – это пример второго фактора аутентификации, основанного на том, что у субъекта что-то есть. В современных системах информационной безопасности для этих целей используются токены – персональные аппаратные средства аутентификации.
Для обеспечения безопасности встречи можно условиться, что она должна состояться на третьей скамейке справа от входа в Центральный парк. Третий фактор – субъект находится в определенном месте. В информационных системах могут определяться, например, IP-адрес компьютера субъекта или считываться данные радио-метки.
Ну и наконец, Смиту могли показать фотографию связного, чтобы он смог его узнать. Четвертый фактор (субъект обладает некой биологической особенностью) применяется только в случае, когда субъект аутентификации – человек, а не, например, сервер или процесс, не имеющие отпечатков пальцев, структур ДНК или радужной оболочки глаза.
Какая аутентификация является двухфакторной
Исходя из названия, аутентификация выполняется с помощью двух факторов, причем они обязательно должны быть разными! Продолжим примеры с аналогией – посмотрите внимательно на этот сейф.
Двухфакторная аутентификация
Открыть его вы сможете, только если знаете секретную комбинацию, и у вас есть ключ от замка. Заметьте, что эти два фактора отличаются.
Злоумышленник может похитить ключ, но без кода он бесполезен. Равно как подсмотренный код не поможет без ключа. Другими словами, чтобы пробраться в сейф, преступнику нужно украсть две разные «вещи».
Давайте посмотрим, как это выглядит в контексте информационных технологий.
В чем разница между двухэтапной и двухфакторной аутентификацией
Двухфакторная аутентификация может быть двухэтапной, но обратное верно не всегда. Граница между этими понятиями очень тонкая, поэтому их часто и не различают. Например, Twitter в блоге свою двухэтапную аутентификацию двухфакторной, а Google в справке уравнивает эти способы (впрочем, компания предлагает оба).
Двухфакторная аутентификация
Действительно, в сетевых учетных записях (Microsoft, Google, Яндекс и т.п.), соцсетях и мессенджерах реализация 2FA и 2SV очень похожа. Один этап всегда подразумевает ввод пароля или ПИН-кода, который вы знаете. Разница между способами аутентификации кроется во втором этапе – 2FA возможна только в том случае, если у вас что-то есть.
Типичным дополнением к известному вам паролю служит одноразовый код или пароль (OTP). Здесь-то и зарыта собака!
Пример двухфакторной аутентификации
Для удаленного доступа к ресурсам моего работодателя необходимо пройти двухфакторную аутентификацию. Первый фактор – пароль учетной записи, который я знаю. Второй фактор – аппаратный токен для генерации OTP, который у меня есть.
Двухфакторная аутентификация
Чтобы выполнить вход в систему от моего имени, злоумышленник должен украсть не только пароль, но и выданный мне токен, т.е. физически проникнуть в мою квартиру.
Для доступа к ресурсам клиента я тоже использую 2FA, но в этом случае роль аппаратного токена выполняет смартфон с приложением RSA SecureID.
Двухфакторная аутентификацияПример двухэтапной аутентификации
Когда вы впервые входите на новом устройстве в Telegram, вам приходит на телефон код подтверждения – это первый этап аутентификации. У многих пользователей мессенджера он единственный, но в настройках безопасности приложения можно включить второй этап — пароль, который известен только вам и вводится после кода из SMS.
Двухэтапная аутентификация
Заметьте, что создатели Telegram корректно именуют свою аутентификацию двухэтапной.
Проблема одноразовых паролей в SMS
Давайте вернемся к случаю с получением неправомочного доступа к аккаунту Telegram, с которого я началась статья.
В процессе взлома оппозиционерам временно отключили сервис SMS. Они видят в этом руку технического отдела МТС, но и без его участия злоумышленники вполне могли или . Больше им ничто не мешало войти в Telegram на другом устройстве!
Снижает ли безопасность регистрация по номеру телефона
Распространено мнение, что типичное для ряда мессенджеров удобство регистрации по номеру телефона ослабляет защиту аккаунта по сравнению с традиционным паролем. Это не совсем верно.
Если вы хотите лучше защитить свою учетную запись, опирайтесь на 2FA или 2SV, а не на ложное ощущение превосходства пароля над номером телефона.
Реализация 2FA и 2SV у Google, Microsoft и Яндекс
Давайте посмотрим, какую защиту учетной записи предлагают некоторые крупные игроки с миллионами пользователей.
Google
Компания предлагает, пожалуй, самый широкий спектр средств дополнительной защиты учетной записи. Наряду с традиционными способами 2SV (отправкой кода в SMS или звонком) у Google реализована 2FA. Это приложение для генерации кодов и, что редкость, стандарта FIDO UTF.
После проверки пароля вам предлагается ввести код, способ получения которого зависит от для вашей учетной записи.
Двухфакторная аутентификация
Обратите внимание, что по умолчанию компьютер переводится в разряд доверенных, т.е. при следующих входах на этом устройстве второй фактор не требуется. Список таких устройств можно очистить в параметрах 2SV.
У меня настроена генерация кодов приложением. В Google Authenticator реализована поддержка RFC 6238, что позволяет создавать OTP для любых сервисов, использующих эту спецификацию.
Двухфакторная аутентификация
Кстати, в приложении можно наступить на грабли – коды перестают приниматься. В таком случае нужно синхронизировать коррекцию времени для кодов в настройках приложении или перешейти на Яндекс.Ключ.
Также, у Google есть возможность распечатать одноразовые коды, что может быть полезно в путешествиях людям, не имеющим смартфона и пользующихся SIM-картой местного оператора.
Microsoft
У Microsoft все очень похоже на Google (см. ) поэтому сфокусируемся на любопытных различиях. Компания не поддерживает аппаратные токены, но можно обеспечить 2FA, генерируя OTP фирменным приложением Authenticator.
Приложения для аутентификации
Двухфакторная аутентификация
На мобильной Windows и iOS приложения Microsoft работают одинаково – просто генерируют коды. На Android ситуация интереснее, потому что у приложения Microsoft Account два режима работы – двухэтапный и двухфакторный.
После первоначальной настройки приложения включается режим, который отлично реализован с точки зрения удобства использования. Когда вы входите на сайт, вам предлагается подтвердить запрос в приложении. Одновременно приходит уведомление, которое одобряется одним нажатием, т.е. не надо вводить код вручную.
Двухфакторная аутентификация
Строго говоря, это – 2SV, потому что пуш-уведомление передается через интернет, но можно переключиться на 2FA. Нажав «Не получается», вы увидите требование ввести код. Внизу мобильного приложения есть соответствующая возможность, открывающая список подключенных аккаунтов. Вернуться к режиму уведомлений можно аналогичным путем при следующем входе.
Кстати, в отличие от Google, Microsoft по умолчанию не переводит устройство в разряд доверенных (см. картинку выше), и я считаю это правильным.
Skype и 2SV
В Skype наконец-то появилась 2SV за счет полной интеграции аккаунта Skype в учетную запись Microsoft. Поэтому написанное в этом разделе актуально лишь для аккаунтов Skype, не прошедших .
Skype заслуживает отдельного упоминания, причем в негативном контексте. Двухэтапной аутентификацией защищена учетная запись Microsoft, и вы можете входить с ней в Skype.
Обходной путь – отказ от использования такого аккаунта и создание нового путем входа с учетной записью Microsoft. Но те, кого еще не взломали, вряд ли захотят бросать учетную запись с массой контактов.
Яндекс
У Яндекса найдется все, в том числе и . Компания в блоге на Хабре, почему решила изобрести велосипед, поэтому ограничимся практикой использования этого решения.
Включение 2FA отменяет использование пароля для учетной записи, вход в которую далее будет выполняться с помощью смартфона или планшета. Приложение Яндекс.Ключ доступно только для iOS и Android, поэтому владельцы смартфонов на Windows не смогут защитить свою учетную запись Яндекс двухфакторной аутентификацией.
Двухфакторная аутентификация
Мобильное приложение поддерживает разные учетные записи, но только аккаунт Яндекс защищен обязательным ПИН-кодом – это первый фактор. Второй показан на картинке выше – это одноразовый пароль из восьми букв или сканирование QR-кода с веб-страницы, на которой вы осуществляете вход.
OTP истекает через 30 секунд. Сделав опечатку, я не успевал повторно ввести тот же код, и приходилось ждать нового (цифры все-таки проще вводить без ошибок). Поэтому рекомендуемый и более удобный способ – это сканирование QR-кода. Для случаев авторизации на том же устройстве предусмотрена кнопка, копирующая OTP в буфер обмена.
Вопросы и ответы
Комментарии высветили несколько вопросов, ответы на которые добавлены в статью.
Ура, теперь у меня везде 2SV/2FA! Что-то еще нужно сделать?
Представьте, что вы поехали на отдых, где у вас в первый же день украли смартфон. Теперь вы не попадаете ни в один аккаунт, пока не восстановите SIM-карту. Чтобы избежать такого сценария, зайдите в настройки ключевых аккаунтов, найдите там одноразовые или резервные коды для доступа к учетной записи и сохраните их на другом устройстве и/или запишите на бумаге.
У меня есть приложение, которое перестало работать после включения 2SV/2FA. Что делать?
Некоторые приложения несовместимы с двухэтапной аутентификацией в том смысле, что сервис ждет кода на втором этапе, а вводить его некуда. Примером может служить какой-нибудь «десктопный» почтовый клиент.
На этот случай в настройках 2SV вашего аккаунта предусмотрена возможность создавать пароли приложений (app passwords). Нужно создать пароль и ввести его в проблемном приложении вместо вашего пароля учетной записи. У Яндекс (например, в Яндекс.Браузер) достаточно просто ввести одноразовый пароль, сгенерированный приложением Яндекс.Ключ.
По каким параметрам сервис определяет, что устройство доверенное?
У каждого вендора своя реализация. Это может быть комбинацией SSL cookie, IP-адреса, браузера, еще чего-нибудь. Есть порог изменения параметров, по достижении которого нужно авторизоваться снова.
Какие мобильные приложения для генерации OTP лучше всего использовать?
Если вы не пользуетесь 2FA в Яндекс, то подойдет любое приложение (Google, Microsoft, Яндекс.Ключ). Если у вас включена 2FA в Яндекс, имеет смысл консолидировать все сервисы в Яндекс.Ключ. Причина в том, что реализация 2FA у Яндекс отличается от других сервисов, но Яндекс.Ключ поддерживает RFC 6238, что позволяет создавать OTP для прочих сервисов, внедривших эту спецификацию.
Почему в приложении для генерации кодов не получается настроить 2FA для ВКонтакте?
В настройках смартфона нужно установить автоматическое определение даты и часового пояса. Иначе приложение не зарегистрировать — созданный приложением код не принимается с ошибкой «Неверный код подтверждения». Доставка OTP по SMS при этом работает и никак не связана с проблемой.
Дискуссия
Изначально двухфакторная и двухэтапная аутентификация была уделом организаций, но постепенно она стала появляться и в сервисах, ориентированных на потребителей. Google была одной из первых крупных компаний, предложивших своим пользователям такую защиту в 2011 году, а позже подтянулись и другие игроки, в том числе популярные в Рунете Яндекс и mail.ru ввели эти меры в начале 2015 года.
Пока 2FA/2SV доступна далеко не для всех распространенных сервисов. Но в целом к середине 2016 года технология получила .
В апреле 2016 года у нескольких оппозиционеров взломали аккаунты Telegram, отключив им ночью сервис SMS на несколько часов. За это время кто-то зашел с другого устройства, о чем Telegram прислал уведомление.
View image on Twitter
Если бы он использовал двухэтапную аутентификацию, новости бы не было.
Зачем нужна дополнительная защита аккаунта
Когда речь заходит о безопасности Windows, тезисы о необходимости грамотной защиты нередко упираются в простое и незатейливое «а мне наплевать», подкрепленное убийственным аргументом «у меня нет ничего ценного».
Тем не менее, если только вы не живете в абсолютном вакууме, ваш аккаунт электронной почты, социальной сети или мессенджера может представлять ценность для злоумышленников. Список ваших контактов вкупе с историей переписки может стать золотым дном для мошенников, позволяя им развести на деньги ваших близких и знакомых ().
Двухфакторная аутентификация
Захват почтовой учетной записи также может открыть двери к другим сетевым сервисам, в которых вы зарегистрированы с ней (вы ведь используете одну почту для разных сервисов, не так ли?)
Пример со взломом Telegram интересен тем, что моментально породил в сети язвительные комментарии в стиле «ха-ха, вот вам и хваленая безопасность!» Однако важно понимать, что нужно обеспечивать рекомендуемый уровень защиты, а не лежать на печи, полагаясь на маркетинговые заявления.
Двухфакторная аутентификация
Терминология и аббревиатуры
Эта статья для тех, кто не ждет, пока грянет гром, а соблюдает правила сетевой гигиены и ответственно подходит к защите своей конфиденциальной информации. Поехали!
В данной статье мы сознательно упрощаем определения, потому что дальше мы будем подробно рассматривать эти понятия на практике.
- Аутентификация. Проверка уникальной информации, известной или доступной человеку, который пытается получить доступ к данным. Простейший пример – ввод пароля к учетной записи.
- Двухэтапная аутентификация (Two-Step Verification, 2SV). Вход выполняется в два этапа – например, сначала вы вводите пароль к учетной записи, а потом код из SMS.
- Двухфакторная аутентификация (Two Factor Authentication, 2FA). Вход тоже может выполняться в два этапа, но они должны отличаться факторами (ниже их разберем). Например, сначала вводится пароль, а потом одноразовый пароль, сгенерированный аппаратным токеном.
- Одноразовый пароль (One-Time Password, OTP). Цифровой или буквенный код из 6-8 символов. Это может быть код из SMS или приложения, генерирующего коды (Google Authenticator).
Двухэтапную аутентификацию часто называют двухфакторной, не делая особой разницы между понятиями. Многие продвинутые пользователи не придают ей особого значения, хотя и пользуются обоими способами. Но однажды глаз зацепился за о переходе Apple с двухэтапной на двухфакторную аутентификацию, которую твитнул специалист по информационной безопасности Алексей Комаров.
Мы попросили эксперта объяснить разницу между 2SV и 2FA, и он уложился в один твит со
В ней очень простые и понятные аналогии.
На этот раз воспользуемся образами из шпионских романов. Агенту Смиту необходимо встретиться со связным и передать ему секретную информацию. Друг друга они не знают и никогда раньше не встречались. Как Смит сможет удостовериться, что перед ним действительно связной, а не вражеский агент? Различают всего четыре фактора аутентификации. Рассмотрим их все.
«У Вас продается славянский шкаф?» — это пример первого фактора, когда субъект что-то знает. На практике это может быть пароль, логин, кодовая фраза – словом, любой секрет, известный обеим сторонам.
Двухфакторная аутентификация
Связной может предъявить, например, половину разорванной фотографии или что- то еще, что есть только у него – это пример второго фактора аутентификации, основанного на том, что у субъекта что-то есть. В современных системах информационной безопасности для этих целей используются токены – персональные аппаратные средства аутентификации.
Для обеспечения безопасности встречи можно условиться, что она должна состояться на третьей скамейке справа от входа в Центральный парк. Третий фактор – субъект находится в определенном месте. В информационных системах могут определяться, например, IP-адрес компьютера субъекта или считываться данные радио-метки.
Ну и наконец, Смиту могли показать фотографию связного, чтобы он смог его узнать. Четвертый фактор (субъект обладает некой биологической особенностью) применяется только в случае, когда субъект аутентификации – человек, а не, например, сервер или процесс, не имеющие отпечатков пальцев, структур ДНК или радужной оболочки глаза.
Какая аутентификация является двухфакторной
Исходя из названия, аутентификация выполняется с помощью двух факторов, причем они обязательно должны быть разными! Продолжим примеры с аналогией – посмотрите внимательно на этот сейф.
Двухфакторная аутентификация
Открыть его вы сможете, только если знаете секретную комбинацию, и у вас есть ключ от замка. Заметьте, что эти два фактора отличаются.
Злоумышленник может похитить ключ, но без кода он бесполезен. Равно как подсмотренный код не поможет без ключа. Другими словами, чтобы пробраться в сейф, преступнику нужно украсть две разные «вещи».
Давайте посмотрим, как это выглядит в контексте информационных технологий.
В чем разница между двухэтапной и двухфакторной аутентификацией
Двухфакторная аутентификация может быть двухэтапной, но обратное верно не всегда. Граница между этими понятиями очень тонкая, поэтому их часто и не различают. Например, Twitter в блоге свою двухэтапную аутентификацию двухфакторной, а Google в справке уравнивает эти способы (впрочем, компания предлагает оба).
Двухфакторная аутентификация
Действительно, в сетевых учетных записях (Microsoft, Google, Яндекс и т.п.), соцсетях и мессенджерах реализация 2FA и 2SV очень похожа. Один этап всегда подразумевает ввод пароля или ПИН-кода, который вы знаете. Разница между способами аутентификации кроется во втором этапе – 2FA возможна только в том случае, если у вас что-то есть.
Типичным дополнением к известному вам паролю служит одноразовый код или пароль (OTP). Здесь-то и зарыта собака!
Двухфакторная аутентификация подразумевает создание одноразового пароля непосредственно на устройстве, которым вы обладаете (аппаратный токен или смартфон). Если OTP отправлен в SMS, аутентификация считается двухэтапной.
Казалось бы, SMS приходит на смартфон, который у вас есть. Как вы увидите ниже, это – ложная предпосылка.Пример двухфакторной аутентификации
Для удаленного доступа к ресурсам моего работодателя необходимо пройти двухфакторную аутентификацию. Первый фактор – пароль учетной записи, который я знаю. Второй фактор – аппаратный токен для генерации OTP, который у меня есть.
Двухфакторная аутентификация
Чтобы выполнить вход в систему от моего имени, злоумышленник должен украсть не только пароль, но и выданный мне токен, т.е. физически проникнуть в мою квартиру.
Для доступа к ресурсам клиента я тоже использую 2FA, но в этом случае роль аппаратного токена выполняет смартфон с приложением RSA SecureID.
Двухфакторная аутентификацияПример двухэтапной аутентификации
Когда вы впервые входите на новом устройстве в Telegram, вам приходит на телефон код подтверждения – это первый этап аутентификации. У многих пользователей мессенджера он единственный, но в настройках безопасности приложения можно включить второй этап — пароль, который известен только вам и вводится после кода из SMS.
Двухэтапная аутентификация
Заметьте, что создатели Telegram корректно именуют свою аутентификацию двухэтапной.
Проблема одноразовых паролей в SMS
Давайте вернемся к случаю с получением неправомочного доступа к аккаунту Telegram, с которого я началась статья.
В процессе взлома оппозиционерам временно отключили сервис SMS. Они видят в этом руку технического отдела МТС, но и без его участия злоумышленники вполне могли или . Больше им ничто не мешало войти в Telegram на другом устройстве!
Будь на аккаунте пароль, известный только владельцу, осуществить взлом было бы на порядок сложнее.
Однако такая аутентификация остается двухэтапной, и взлом аккаунта хорошо демонстрирует, что при целевой атаке обладание смартфоном не играет никакой роли. Вы лишь знаете свой пароль и одноразовый код, который приходит в SMS, а это одинаковые факторы.Снижает ли безопасность регистрация по номеру телефона
Распространено мнение, что типичное для ряда мессенджеров удобство регистрации по номеру телефона ослабляет защиту аккаунта по сравнению с традиционным паролем. Это не совсем верно.
В отсутствие 2FA или 2SV аутентификация получается одноэтапной и однофакторной. Поэтому по большому счету нет разницы, выполняете вы вход с помощью известного вам пароля или неизвестного заранее кода, присылаемого в SMS.
Да, злоумышленники могут получить ваш SMS-код, но они могут перехватить и ваш пароль, пусть и каким-то другим способом (клавиатурный шпион, контроль публичной сети Wi-Fi).Если вы хотите лучше защитить свою учетную запись, опирайтесь на 2FA или 2SV, а не на ложное ощущение превосходства пароля над номером телефона.
Реализация 2FA и 2SV у Google, Microsoft и Яндекс
Давайте посмотрим, какую защиту учетной записи предлагают некоторые крупные игроки с миллионами пользователей.
Компания предлагает, пожалуй, самый широкий спектр средств дополнительной защиты учетной записи. Наряду с традиционными способами 2SV (отправкой кода в SMS или звонком) у Google реализована 2FA. Это приложение для генерации кодов и, что редкость, стандарта FIDO UTF.
После проверки пароля вам предлагается ввести код, способ получения которого зависит от для вашей учетной записи.
Двухфакторная аутентификация
Обратите внимание, что по умолчанию компьютер переводится в разряд доверенных, т.е. при следующих входах на этом устройстве второй фактор не требуется. Список таких устройств можно очистить в параметрах 2SV.
У меня настроена генерация кодов приложением. В Google Authenticator реализована поддержка RFC 6238, что позволяет создавать OTP для любых сервисов, использующих эту спецификацию.
Двухфакторная аутентификация
Кстати, в приложении можно наступить на грабли – коды перестают приниматься. В таком случае нужно синхронизировать коррекцию времени для кодов в настройках приложении или перешейти на Яндекс.Ключ.
Также, у Google есть возможность распечатать одноразовые коды, что может быть полезно в путешествиях людям, не имеющим смартфона и пользующихся SIM-картой местного оператора.
Microsoft
У Microsoft все очень похоже на Google (см. ) поэтому сфокусируемся на любопытных различиях. Компания не поддерживает аппаратные токены, но можно обеспечить 2FA, генерируя OTP фирменным приложением Authenticator.
Приложения для аутентификации
Двухфакторная аутентификация
На мобильной Windows и iOS приложения Microsoft работают одинаково – просто генерируют коды. На Android ситуация интереснее, потому что у приложения Microsoft Account два режима работы – двухэтапный и двухфакторный.
После первоначальной настройки приложения включается режим, который отлично реализован с точки зрения удобства использования. Когда вы входите на сайт, вам предлагается подтвердить запрос в приложении. Одновременно приходит уведомление, которое одобряется одним нажатием, т.е. не надо вводить код вручную.
Двухфакторная аутентификация
Строго говоря, это – 2SV, потому что пуш-уведомление передается через интернет, но можно переключиться на 2FA. Нажав «Не получается», вы увидите требование ввести код. Внизу мобильного приложения есть соответствующая возможность, открывающая список подключенных аккаунтов. Вернуться к режиму уведомлений можно аналогичным путем при следующем входе.
Кстати, в отличие от Google, Microsoft по умолчанию не переводит устройство в разряд доверенных (см. картинку выше), и я считаю это правильным.
Skype и 2SV
В Skype наконец-то появилась 2SV за счет полной интеграции аккаунта Skype в учетную запись Microsoft. Поэтому написанное в этом разделе актуально лишь для аккаунтов Skype, не прошедших .
Skype заслуживает отдельного упоминания, причем в негативном контексте. Двухэтапной аутентификацией защищена учетная запись Microsoft, и вы можете входить с ней в Skype.
Однако, если у вас есть аккаунт Skype (регистрируется на сайте), то для него 2SV не реализована, даже если он связан с учетной записью Microsoft.
На практике это означает, что вы не можете обеспечить своему аккаунту Skype уровень защиты, который рекомендует Microsoft. На сайте поддержки Skype есть (наверное, не единственная), куда приходят владельцы взломанных аккаунтов и просят реализовать 2FA.Обходной путь – отказ от использования такого аккаунта и создание нового путем входа с учетной записью Microsoft. Но те, кого еще не взломали, вряд ли захотят бросать учетную запись с массой контактов.
Яндекс
У Яндекса найдется все, в том числе и . Компания в блоге на Хабре, почему решила изобрести велосипед, поэтому ограничимся практикой использования этого решения.
Включение 2FA отменяет использование пароля для учетной записи, вход в которую далее будет выполняться с помощью смартфона или планшета. Приложение Яндекс.Ключ доступно только для iOS и Android, поэтому владельцы смартфонов на Windows не смогут защитить свою учетную запись Яндекс двухфакторной аутентификацией.
Двухфакторная аутентификация
Мобильное приложение поддерживает разные учетные записи, но только аккаунт Яндекс защищен обязательным ПИН-кодом – это первый фактор. Второй показан на картинке выше – это одноразовый пароль из восьми букв или сканирование QR-кода с веб-страницы, на которой вы осуществляете вход.
OTP истекает через 30 секунд. Сделав опечатку, я не успевал повторно ввести тот же код, и приходилось ждать нового (цифры все-таки проще вводить без ошибок). Поэтому рекомендуемый и более удобный способ – это сканирование QR-кода. Для случаев авторизации на том же устройстве предусмотрена кнопка, копирующая OTP в буфер обмена.
Вопросы и ответы
Комментарии высветили несколько вопросов, ответы на которые добавлены в статью.
Ура, теперь у меня везде 2SV/2FA! Что-то еще нужно сделать?
Представьте, что вы поехали на отдых, где у вас в первый же день украли смартфон. Теперь вы не попадаете ни в один аккаунт, пока не восстановите SIM-карту. Чтобы избежать такого сценария, зайдите в настройки ключевых аккаунтов, найдите там одноразовые или резервные коды для доступа к учетной записи и сохраните их на другом устройстве и/или запишите на бумаге.
У меня есть приложение, которое перестало работать после включения 2SV/2FA. Что делать?
Некоторые приложения несовместимы с двухэтапной аутентификацией в том смысле, что сервис ждет кода на втором этапе, а вводить его некуда. Примером может служить какой-нибудь «десктопный» почтовый клиент.
На этот случай в настройках 2SV вашего аккаунта предусмотрена возможность создавать пароли приложений (app passwords). Нужно создать пароль и ввести его в проблемном приложении вместо вашего пароля учетной записи. У Яндекс (например, в Яндекс.Браузер) достаточно просто ввести одноразовый пароль, сгенерированный приложением Яндекс.Ключ.
По каким параметрам сервис определяет, что устройство доверенное?
У каждого вендора своя реализация. Это может быть комбинацией SSL cookie, IP-адреса, браузера, еще чего-нибудь. Есть порог изменения параметров, по достижении которого нужно авторизоваться снова.
Какие мобильные приложения для генерации OTP лучше всего использовать?
Если вы не пользуетесь 2FA в Яндекс, то подойдет любое приложение (Google, Microsoft, Яндекс.Ключ). Если у вас включена 2FA в Яндекс, имеет смысл консолидировать все сервисы в Яндекс.Ключ. Причина в том, что реализация 2FA у Яндекс отличается от других сервисов, но Яндекс.Ключ поддерживает RFC 6238, что позволяет создавать OTP для прочих сервисов, внедривших эту спецификацию.
Почему в приложении для генерации кодов не получается настроить 2FA для ВКонтакте?
В настройках смартфона нужно установить автоматическое определение даты и часового пояса. Иначе приложение не зарегистрировать — созданный приложением код не принимается с ошибкой «Неверный код подтверждения». Доставка OTP по SMS при этом работает и никак не связана с проблемой.
Дискуссия
Изначально двухфакторная и двухэтапная аутентификация была уделом организаций, но постепенно она стала появляться и в сервисах, ориентированных на потребителей. Google была одной из первых крупных компаний, предложивших своим пользователям такую защиту в 2011 году, а позже подтянулись и другие игроки, в том числе популярные в Рунете Яндекс и mail.ru ввели эти меры в начале 2015 года.
Пока 2FA/2SV доступна далеко не для всех распространенных сервисов. Но в целом к середине 2016 года технология получила .
