Двухфакторная аутентификация — это дополнительный способ защиты вашего аккаунта, например, электронной почты, критовалютного кошелька, криптовалютной бирже или иного сервиса, который поддерживает двухфакторную аутентификацию. Она часто называется в сокращенном виде -2FA (Two-Factor Authentication). Теперь, после установки 2FA, при входе в аккаунт, помимо ввода логина и пароля появляется поле для ввода секретного одноразового кода (меняется каждые 30 секунд), который приходит на ваш телефон. Как установить такую дополнительную защиту на телефон подробно описано в статье . Но если у вас имеются какие-то проблемы с телефоном или по каким-то иным причинам, то такую дополнительную защиту можно реализовать и на компьютере. Для реализации дополнительного уровня защиты аккаунта будем использовать программу Google authenticator.
Как установить google authenticator на компьютер
Для работы нам потребуется браузер Google Chrome. Имеется плагин на этот браузер google authenticator, который и установим. В правом верхнем углу Хрома нажимаем на иконку настроек.
Далее выбираем «Дополнительные настройки» и «Расширения». На открывшейся странице идём в самый низ и кликаем по ссылке «Ещё расширения».Открывается интернет -магазин Chrome. Слева вверху в поле поиска вписываем «authenticator»
Делаем поиск и находим Authenticator. Справа нажимаем на кнопку «+Установить» и устанавливаем как обычное расширение Хрома. (На рисунке вместо кнопки установки нарисована кнопка «Оценить» т.к. у меня оно установлено, а у вас будет кнопка «+Установить»). После установки в правом верхнем углу браузера появится иконка этого расширения.
Пока остановимся и рассмотрим общий принцип включения двухфакторной авторизации (относиться к любым сервисам). Заходим на нужный нам сервис и первое, что мы делаем
- Включение двухфакторной аутентификации
Реализация включения на разных сервисах разная (но смысл один), например, на криптовалютной бирже это выглядит так.
В личном кабинете в настройках выбираем «Защита Google Authenticator, SMS». Жмём кнопку «google authenticator» и генерируем секретный код. В результате имеем буквенный код и соответствующий ему QR-код.
А вот как выглядит включение двухфакторной авторизации в криптовалютном кошельке .
Нужно зайти в центр безопасности и активировать 2-х шаговую верификацию.
Итак, мы видим QR- код. Т.о. любой сервис при настройке 2FA выдает QR-код, который сканируем google authenticator.
ВНИМАНИЕ!!!
QR- код обязательно сфотографируйте и файл сохраните в надежном месте!!!
Имея QR- код ВЫ ВСЕГДА СМОЖЕТЕ ВОССТАНОВИТЬ ДВУХФАКТОРНУЮ АУТЕНТИФИКАЦИЮ!
Представим, что что-то случилось с компьютером. Не можете войти в Хром, отключился google authenticator, в общем не можете получить одноразовый пароль. И всё. Если, например 2FA включена на кошельке blockchain, то вы БЕЗВОЗВРАТНО ПОТЕРЯЕТЕ ВСЕ СРЕДСТВА!
Не считайте себя особо умным и игнорируйте копирование QR-кода. Кучи форумов по крипте кишат людьми, которые утратили доступ к 2FA («загнулся» комп, кто делал 2FA на мобильник, его просто потеряли и т.д). А если у вас есть фото QR-кода, то вы запросто можете его просканировать google authenticator хоть на телефоне, хоть на компьютере.
2. Сканирование QR-кода
Рассмотрим на примере биржи yobit.net . В браузере Chrome нажимаем на иконку установленного расширения. Открывается окно в котором нажимаем на символ карандаша.
Открывается окно
Нажимаем на «+».
Выбираем «Scan QR Code » (Сканирование QR- кода). Manual Entry -ручной ввод буквенного кода, если сервис его выдал. Например, биржа Exmo его выдает, а кошелек blockchain — нет.
Заходим на страницу, где показан QR- код биржи yobit и сканируем его. Обведите мышкой QR-код.
После сканирования (программа считала штрихкод), появится одноразовый код.
Его вставляем (см. картинку выше) в поле «Аутентификационный код 2fa» и жмём кнопку «Включить». Теперь, перед каждым входом на биржу будет появляться поле для ввода ключа. А сам ключ будем брать в приложении, вот здесь.
А этот код меняется несколько раз в минуту.
Не бывает достаточной безопасности. С другой стороны, использование глючной или слабой защиты может дать вам шаткую иллюзию безопасности, в то время, как вы остаётесь уязвимым к разного рода угрозам.
Использование только паролей, в общем – , мы выяснили это с тех пор, как появился Интернет. Мы осуществляем прогресс, двигаясь к миру без паролей, но в то же время, многие веб-сайты предлагают дополнительную защиту пользовательских аккаунтов с помощью (2FA).
В общем и целом, существует 2 типа такой аутентификации: Временный одноразовый пароль (TOTP) а также Универсальный Двух-Фактор (U2F). Вы можете быть уже знакомы с первым типом, поскольку он используется наиболее часто: во время логина, предлагается ввести одноразовый пароль, генерируемый вашим приложением на смартфоне, отдельным аппаратным устройством, или же присылаемый в СМС. Метод прост, но есть несколько простых способов, делающих его опасным.
Я видел предупреждения типа “мой телефон взломали” от трёх людей из Кремниевой Долины/Биткойн среды/венчурной тусни. Будьте на чеку, и включите 2FA.
Как работает TOTP?
Временный одноразовый пароль, в основном популяризованный приложением Google Authenticator, подтверждает вашу личность на основании общего секрета . Этот секрет дложен быть известен вам и вашему провайдеру.
Когда вы заходите на веб-cайт под своей учеткой, ваше устройство генерирует уникальный код, основываясь на общем секрете и текущем времени. Затем вам нужно вручную ввести этот код. Сервер генерирует точно такую-же штуку, основанную на том-же секрете, чтобы успешно сравнить и подтвердить запрос на авторизацию.
Обе стороны генерируют одинаковый хеш, из одинаковых исходных данных, делясь секретом в момент регистрации.
В чём неадекватность TOTP?
Метод весьма прост в использовании, однако, он не лишён нескольких уязвимостей и неудобств.
1. Вам необходимо вручную вводить код во время авторизации (логина)
2. Слишком громоздкий бэкап . Вам необходимо совершать много шагов, чтобы сделать бэкап секрета. Кроме того, хорошие сервисы обычно предоставляют резервные коды, вместо того, чтобы явным образом призывать сохранять секрет. Если вы потеряете ваш секрет, и логин вместе с резервным кодом, вам придётся выполнить весь процесс регистрации TOTP заново.
3. Коды бекапа высылаются через Интернет, что совершенно небезопасно.
4. У вас и провайдера один и тот же секрет. Если атакующий хакнет компанию и получит доступ и к базе паролей, и к базе секретов, он сможет проникать в любой аккаунт совершенно незаметно.
5. Секрет показывается простым текстом или QR-кодом. Он не может быть представлен в виде хеша. Это также означает, что скорее всего секрет хранится в виде текстового файла, на серверах провайдера.
6. Секрет может быть раскрыт во время регистрации , так как провайдеру необходимо выдать вам сгенерированный секрет. Используя TOTP, вам нужно верить в способность провайдеров защитить приватность секрета. Но ?
Как работает FIDO/U2F?
Стандарт U2F, разработанный Альянсом FIDO, был создан технологическими корпорациями, вроде Google и Microsoft, под влиянием найденных уязвимостей в TOTP. U2F использует криптографию с публичными ключами для подтверждения вашей личности (Reddit – “Объясняйте, будто мне лет пять ”). В противовес TOTP, в данном варианте вы являетесь единственным, кто знает секрет (приватный ключ).
Сервер отправляет вам запрос, который затем подписывается секретным (приватным) ключом. Результирующее сообщение отправляется назад на сервер, который может подтвердить личность благодаря наличию в его базе данных вашего публичного ключа.
Выгоды U2F:
1. Через Интернет никогда не пересылается секрет (приватный ключ)
Никакая конфиденциальная информация не будет опубликована, благодаря криптографии публичного ключа.
2. Легче использовать . Нет нужды применять одноразовые коды.
3. Приватность . С секретом не ассоциируется никакая персональная информация.
4. Бекап теоретически легче . Однако, не всегда возможен; например, вы не сможете бекапить Yubikey.
Так как, в случае использования U2F, нет разделяемого двумя сторонами секрета и нет конфиденциальных баз данных, хранимых провайдером, хакер не может просто украсть все базы и получить доступ. Вместо того, он должен охотиться на отдельных пользователей, а это намного более затратно по финансам и времени.
Более того, вы можете забекапить ваш секрет (приватный ключ). С одной стороны, это делает вас ответственным за вашу же безопасность, но с другой – вам больше не нужно доверять какой-то компании, чтобы защитить ваши секреты (приватные ключи).
TREZOR – U2F “по-нашенски”
TREZOR представляет собой маленькое отдельное аппаратное решение, разработанное для хранения приватных ключей и работы в качестве изолированного компьютерного окружения. Изначально разработанный, как безопасный “железный” кошелек для Биткойна, рамки его применения значительно расширились благодаря расширяемости асимметричной криптографии. Теперь, TREZOR может служить в качестве безопасного железного токена для U2F, вам также придётся дополнительно подтверждать логин нажатием кнопки на устройстве.
В отличии от некоторых других токенов, TREZOR всегда использует уникальную подпись для каждого зарегистрированного пользовательского аккаунта. Кроме прочего, устройство выводит U2F на совершенно новый уровень:
1. Легко бекапить и восстанавливать . TREZOR просит вас записать на листочке так называемое “зернышко” (recovery seed), в время первого запуска устройства. Это –, единственный одноразовый процесс из всех остальных на устройстве. Восстановительное зёрнышко представляет собой все секреты (приватные ключи), генерируемые устройством и могут быть использованы в любое время для “восстановления” вашего аппаратного (или “железного”) кошелька.
2. Неограниченное количество U2F личностей , все они сохраняются в рамках единого бэкапа.
3. Секрет безопасно хранится в TREZORе . Его никто никогда не узнает, так как он не может покинуть устройство. Их не смогут украсть ни вирусы, ни хакеры.
4. Защита от фишинга с подтверждением на экране . Кошелёк всегда отображает url веб-сайта, на котором вы логинитесь, а также то, что именно вы хотите авторизовать. Вы можете убедиться, что информация, отправленная в устройство, соответствует вашим ожиданиям.
5. Дополнительная информация по использовании U2F во время настройки, использования и восстановления TREZOR может быть найдена в нашем посте в блоге , или в Пользовательской Документации .
Безопасные характеристики асимметричной криптографии кореллируют с философией безопасности TREZOR. С поддержкой U2F в кошельке, мы вдохновляем пользователей использовать все доступные меры для защиты их аккаунтов и личных данных в онлайне.
Каждый, кто пользуется сервисами Google, будь то почта GMail или любой другой сервис, наверняка слышал о дополнительном способе защиты своего аккаунта от кражи и взлома под названием «двухэтапная аутентификация». Данный метод добавляет к обязательному вводу имени аккаунта пользователя и пароля дополнительный код, который можно получить одним из доступных способов (через SMS, голосовой вызов, приложение для смартфона) и необходимо указать при аутентификации. Таким образом, даже если злодей получит имя вашего аккаунта и пароль к нему, он всё равно ничего не сможет сделать с самим аккаунтом и находящимися в нём сверхсекретными данными.
Многие отказываются от использования двухэтапной аутентификации из-за боязни того, что это очень сложно и вообще неудобно каждый раз вводить дополнительный код. На самом деле, настроить двухэтапную аутентификацию легко и постоянно вводить коды на часто используемых компьютерах не обязательно, а осознание того, что ваши данные надёжно защищены, вполне окупает возможные мелкие неудобства.
Двухэтапная аутентификация через SMS и голосовой вызов
Итак, заходим в настройки безопасности своего аккаунта Google . Здесь есть пункт под названием «Двухэтапная аутентификация» со статусом «Выключено». Смело жмём кнопку «Изменить». На этом и последующих этапах Google может запрашивать повторный ввод пароля к аккаунту. Это нормально и ничего страшного в этом нет.
Перед нами появляется красивая картинка, наглядно иллюстрирующая принцип работы двухэтапной аутентификации. При желании смотрим видео с дополнительной информацией, а затем нажимаем «Приступить к настройке».
Теперь нам нужно указать номер телефона, на который будут приходить коды доступа к аккаунту. Затем выбираем вариант доставки кодов: в виде SMS или входящим звонком. SMS как-то практичнее. Жмём «Отправить код».
На ваш номер придёт SMS с шестизначным кодом подтверждения, который нужно указать на следующем этапе. Вводим, подтверждаем.
Надёжные и ненадёжные компьютеры
Далее идёт очень важная часть настройки. Google предлагает вам определить, надёжен ли компьютер, за которым вы находитесь в данный момент. Смысл в том, что для надёжных компьютеров ввод кода для входа в аккаунт достаточно делать раз в тридцать дней. Под надёжностью здесь понимается факт того, имеют ли другие люди доступ к этому компьютеру.
Пожалуй, надёжным компьютером в этой ситуации можно назвать только домашнюю машину, и лишь при условии, что никто кроме вас за неё не садится. Рабочие и прочие компьютеры смело отмечаем как ненадёжные, то есть снимаем галочку с пункта «Надёжный компьютер». Жмём «Подтвердить».
Пароли приложений и устройств
Следующий этап - создание паролей для приложений. Это необходимо потому, что некоторые приложения обращаются к аккаунту Google не через браузер. Сам процесс создания паролей намного проще, чем может показаться. Более того, создавать эти пароли нужно всего один раз и запоминать их не обязательно.
Итак, нажимаем кнопку «Создать пароли» и попутно вспоминаем, какие устройства и приложения обращаются к нашему аккаунту Google. Для каждого такого устройства и приложения нужно придумать идентификатор, то есть название.
Среди наиболее вероятных устройств/приложений наверняка будет смартфон/планшет Android (если таковой имеется). Мы пишем имя для пароля (например «My Android»), после чего нажимаем «Создать пароль».
Система сгенерирует пароль, который нужно ввести вместо текущего пароля к аккаунту Google на мобильном устройстве.
Также нужно создать пароль для функции синхронизации настроек и параметров браузера Chrome (например, с именем «Chrome Sync»). Если вы используете отдельное приложение Google Talk, то понадобится пароль и для него. В итоге у вас получится список паролей с именами. В дальнейшем при необходимости можно сменить или аннулировать любой из созданных паролей для приложений и устройств.
Завершение настройки
Фактически, двухэтапная аутентификация уже работает, и теперь при попытке входа в почту и другой сервис Google после ввода логина и пароля перед вами появится вот такой экран с просьбой ввести код.
Если мы вернёмся к настройкам безопасности аккаунта Google , то теперь пункт «Двухэтапная аутентификация» имеет статус «Включена».
Попутные дополнительные действия
Кстати, пока вы находитесь на странице настроек , не поленитесь зайти в раздел «Параметры восстановления пароля» и убедиться, что у вас указан телефон для ситуаций, когда вы забыли пароль к аккаунту, или же ваш аккаунт взломан.
Также убедитесь, что вы помните секретный вопрос/ответ для получения доступа к аккаунту.
Альтернативные способы получения кодов
Возможно, вы захотите использовать альтернативный способ получения кодов для входа в аккаунт. Для этого необходимо вернуться на страницу настроек безопасности аккаунта Google, после чего нажать кнопку «Изменить» рядом с пунктом «Двухэтапная аутентификация».
В появившемся окне присутствует раздел «Как получать коды». Здесь вы можете добавить дополнительный номер для получения кодов на случай, если у вас не будет доступа к основному телефонному номеру.
Google Authenticator
Если у вас есть смартфон на iOS, Android или мобильное устройство от RIM, то вы можете установить специальное приложение Google Authenticator, которое заменит собой входящие SMS с кодами.
Рассмотрим принцип работы аутентификатора на примере Android.
Действуя согласно инструкции, загружаем на смартфон приложение Google Authenticator из Play Store . При запуске приложение предложит вам 2 способа настройки: ручной ввод аккаунта и пароля, либо сканирование QR-кода, который находится на странице с инструкцией по установке приложения.
Если выбрать вариант с QR-кодом, то аутентификатор может запросить установку приложения-сканера. Соглашаемся и ставим. После этого сканируем QR-код на странице настройки и вводим сгенерированный приложением код.
В дальнейшем при необходимости ввода кода достаточно просто запустить приложение и ввести сгенерированный код.
Листочек way
С каждым может приключиться ситуация, когда телефон забыт дома, а вместе с ним приложение-аутентификатор и возможность получать SMS. На такой случай полезно перестраховаться и воспользоваться резервными кодами.
Можно просто переписать их на листочек и распечатать, после чего носить в бумажнике. Каждый такой код является одноразовым, а когда распечатанные коды начнут подходить к концу, достаточно запросить генерацию новой пачки кодов.
Надеемся, что данное руководство поможет вам.
Двухэтапная аутентификация усиливает защиту аккаунта. Если она включена, для входа используются два компонента:
- То, что знаете только вы (например, пароль).
- То, что есть только у вас (например, телефон или электронный ключ).
Шаг 1. Настройте двухэтапную аутентификацию
- Откройте страницу Аккаунт Google .
- Безопасность .
- В разделе Вход в аккаунт Google нажмите Двухэтапная аутентификация .
- Выберите Начать .
- Следуйте инструкциям на экране.
Выберите второй этап аутентификации
При настройке второго этапа аутентификации вы можете выбрать один из нескольких способов подтверждения: уведомление на телефон, SMS, голосовой вызов или электронный ключ.
После того как вы укажете имя пользователя и пароль на странице входа, Google отправит на ваш телефон 6-значный код подтверждения. Введите его в соответствующее поле на экране. Вы можете выбрать, как вам удобнее получать коды: с помощью SMS или голосового вызова.
– это небольшое устройство, с помощью которого вы можете подтвердить, что аккаунт Google принадлежит именно вам. При необходимости просто подключите его к телефону, планшету или компьютеру.
Электронный ключ обеспечивает дополнительную защиту и позволяет выполнять вход без телефона.
При входе в аккаунт на ваш телефон придет уведомление. Подтвердите, что это вы, выбрав "Да". Если вы нажмете "Нет", Google поймет, что кто-то другой пытается войти в ваш аккаунт, и не даст злоумышленникам взломать его.
– более безопасный и быстрый способ входа в аккаунт, чем код подтверждения.
Шаг 2. Настройте резервные способы
Настройте резервные способы для входа в аккаунт на тот случай, если забудете пароль или потеряете телефон. Для этого выполните следующие действия:
- Откройте страницу Аккаунт Google .
- На панели навигации слева выберите Безопасность .
- В разделе Вход в аккаунт Google нажмите "Двухэтапная аутентификация".
- Выберите Начать .
- Нажмите Выберите другой способ .
- Выберите подходящий вариант, например:
Шаг 3. Измените информацию для восстановления аккаунта
С помощью резервного адреса электронной почты и номера телефона вы сможете восстановить доступ к аккаунту, если его взломают или вы забудете пароль.
Как добавить или изменить резервный адрес электронной почты
- Откройте страницу Аккаунт Google .
- Личные данные .
- В разделе Контактная информация выберите Электронная почта .
- Укажите или обновите резервный адрес электронной почты.
Как добавить или изменить резервный номер телефона
- Откройте страницу Аккаунт Google .
- На панели навигации слева нажмите Личные данные .
- В разделе Контактная информация выберите Телефон .
- Укажите или обновите резервный номер телефона.
Относительно недавно разработчики Гугл стали реализовывать сервис Google Authenticator, который ускоряет и упрощает , работу с сайтами и процессы регистрации.
Это достаточно простое в использовании приложение, которое предоставляет возможность пользоваться полным функционалом того или иного сайта без регистрации.
В данной статье мы постараемся ответить на вопрос о том, что делать, если потеряно приложение и как восстановить доступ к сайтам в случае сбоя.
Принцип работы
Этот сервис предоставляет возможность двухэтапной аутентификации для быстрого доступа к сайту, на котором необходимо регистрироваться.
Сервис реализуется в форме приложения для мобильного и некоторых других операционных систем, которое надо скачать и установить перед началом использования аутентификатора.
Такое приложение представляет пользователю код из шести или восьми цифр для прохождения аутентификации на том или ином сайте, вместо стандартных учетных данных.
При этом, после введения такого кода, пользователь становится аутентифицирован в системе стороннего сайта с помощью его учетных данных из , то есть, как пользователь Гугл.
Интересно, что сервис способен успешно генерировать такие коды и для сторонних приложений.
Важно! Изначальные версии приложений для данного сервиса распространялись с открытым кодом разработчика. Но все более новые версии в последнее время уже являются интеллектуальной собственностью разработчика, то есть Гугл.
Зачем нужен?
Зачем нужно данное приложение и что оно делает?
Для начала использования необходимо скачать приложение, установить его и войти в него, используя .
После этого приложение должно оставаться запущенным в фоновом режиме.
После входа на тот или иной сайт, приложение сгенерирует вам специальный код, который нужно будет ввести на этом сайте (в браузере появится специальное окно для ввода).
После введения кода вы автоматически аутентифицируетесь на сайте с данными аккаунта Гугл.
Сайт же сгенерирует некоторый цифровой ключ, который, также полностью автоматически, сохранится в скачанном вами приложении, и будет использоваться для всех последующих входов на этот сайт.
Из всего написанного выше видно, что такое приложение особенно пригодится тем, кто часто работает со многими сайтами, требующими регистрации для доступа к полному функционалу сервиса. Такое приложение позволяет не тратить время на постоянные регистрации и аутентификации, не запоминать множество паролей и логинов, но использовать, при этом, полный функционал любого сайта.
Восстановление
Однако, такое приложение сохраняет сгенерированные сайтами коды только в своей памяти, то есть, ни на какие сервера данные не выгружаются.
Таким образом, они хранятся только на и только до тех пор, пока на нем установлено соответствующее приложение.
Понятно, что эти данные могут быть потеряны при удалении приложения, при , при поломке телефона, в результате которой потребуется переустановка операционной системы, при перепрошивке.
Также все сохраненные данные для доступов на сайты могут быть утрачены при физическом полном выходе из строя телефона или при его утере.
В этом случае вы полностью теряете доступ к аутентификационным данным на всех сайтах, на которых вы аутентифицировались с помощью приложения.
Проблема состоит в том, что зайти на сайт как-то иначе уже не получится (только если создавать новую учетную запись), вы не сможете просто ввести свои учетные данные Гугл, так как они не позволят вам зайти на сайт. Особенно серьезной проблемой это является в том случае, если пользователь уже выполнил достаточно много действий в этом аккаунте и необходимо получить доступ к информации в нем.
Однако некоторые способы возвращения доступа к кодам все-таки предусмотрены.
Основной способ
Нужно понимать, что Гуглом не предусмотрено абсолютно никаких способов .
Такая ситуация складывается потому, что пароли не передаются на сервера разработчика с целью повышения безопасности использования приложения.
Но такая высокая надежность и безопасность создает проблему.
Вам придется решать вопрос с каждым сайтом в индивидуальном порядке.
Необходимо будет написать письмо в Техническую поддержку сайта или его Администрации, в котором описать проблему.
В некоторых случаях для этого может потребоваться создать новый пустой аккаунт.
Ряд сайтов могут сразу предоставить вам резервный код, с помощью которого вы, применяя Google Authenticator, сможете зайти на сайт. Но некоторые сервисы могут требовать от вас доказательства, что вы тот самый пользователь. В этом случае вам могут потребоваться скрины с этого сайта, когда вы еще пользовались аккаунтом, к которому утратили доступ, скрины из аккаунта Гугл и т. д., также Администрация может потребовать и какие-то еще доказательства.
Однако некоторые сервисы отказывают в предоставлении резервного кода несмотря на любые доказательства.
Чаще всего так происходит с сайтами, на которых вводятся данные кредитных карт или проводятся какие либо платежи иным способом.
