Меню
ГлавнаяБраузеры

Многофакторная (двухфакторная) аутентификация. Как работает двухфакторная аутентификация

Вы можете не осознавать этого, но вы регулярно используете двухфакторную аутентификацию. Когда вы переводите деньги онлайн со своей дебетовой карты, вас же просят ввести пароль или код подтверждения из SMS? Это тоже является формой двухфакторной аутентификации.

Двухфакторная проверка подлинности требует двух способов подтверждения вашей личности, она также может использоваться для защиты различных уётных записей в интернете. Это не обеспечивает идеальную безопасность и требует дополнительного шага при входе в ваши учётные записи, но это делает ваши данные более безопасными в интернете.

Как двухфакторная аутентификация работает в Интернете?

Двухфакторная аутентификация (2FA), также известная как двухэтапная аутентификация или многофакторная аутентификация, широко используется для добавления ещё одного уровня безопасности в ваши онлайн-аккаунты. Наиболее распространенная форма двухфакторной аутентификации при входе в учётную запись - процесс ввода пароля, а затем получение кода по SMS на телефон, который затем необходимо ввести на сайте или в приложении. Второй уровень в двухфакторной проверке подлинности означает, что хакер или другой нечестный человек должен будет украсть ваш пароль вместе с вашим же телефоном, чтобы получить доступ к вашей учётной записи.

Существует три типа аутентификации:

  • Что-то, что вы знаете: пароль, PIN-код, почтовый индекс или ответ на вопрос (девичья фамилия матери, имя домашнего животного и т. д.)
  • Что-то, что у вас есть: телефон, кредитная карта и т.п.
  • Что-то биометрическое: отпечаток пальца, сетчатка глаза, лицо или голос.

Как работает второй фактор?

После ввода пароля (первый фактор аутентификации), второй фактор обычно приходит по SMS. То есть вы получите текст с числовым кодом, который вам нужно будет ввести для входа в свою учётную запись. В отличие от PIN-кода дебетовой карты, код 2FA используется только один раз. Каждый раз, когда вы входите в эту учётную запись, вам будет отправлен новый код.

Альтернативный вариант - вы можете использовать специальное приложение аутентификации для получения кодов вместо отправки их в текстовом режиме. Популярные аутентификационные приложения - Google Authenticator, Authy и DuoMobile.

Что лучше использовать SMS или приложение?

Многие сайты и службы, включая Амазон, Дропбокс, Гугл и Майкрософт, предоставляют вам возможность использовать SMS или приложение для аутентификации. Твиттер - самый яркий пример сайта, который заставляет вас использовать SMS. Если у вас есть выбор, используйте приложение для аутентификации.

Получение кодов с помощью SMS менее надёжно, чем использование приложения для аутентификации. Хакер может перехватить текстовое сообщение или перехватить ваш телефонный номер, убедив вашего оператора перевести его на другое устройство. Или, если вы синхронизируете текстовые сообщения с компьютером, хакер может получить доступ к кодам SMS, украв ваш компьютер.

Приложение аутентификации имеет то преимущество, что тут не нужно полагаться на своего оператора. Коды отправляются на ваш телефон на основе секретного алгоритма шифрации и текущего времени. Действие кодов быстро истекает, обычно через 30 или 60 секунд.
Поскольку приложение аутентификации не нуждается в операторе мобильной связи для передачи кодов, они останутся в приложении, даже если хакеру удастся перенести ваш номер на новый телефон. Приложение аутентификации также работает, когда у вас нет сотовой сети - это дополнительный бонус.

Использование приложения для аутентификации требует небольшой дополнительной настройки, но обеспечивает лучшую защиту, чем SMS. Чтобы настроить приложение аутентификации, вам необходимо установить приложение на свой телефон, а затем настроить общий секретный токен (длинная кодовая строка) между приложением и вашими учётными записями. Это обычно делается путем сканирования QR-кода камерой телефона. Однако после настройки приложение-аутентификатор избавляет вас от необходимости вводить код; вы просто нажимаете на уведомление от приложения, чтобы войти в одну из своих учётных записей.

Что делать, если у меня нет телефона?

Многие онлайн-сервисы, такие как Дропбокс, Фейсбук, Гугл и Инстаграм, позволяют создавать резервные коды, которые вы можете распечатать или сделать скриншот. Таким образом, если вы потеряете свой телефон или не видите сигнала сотовой станции, вы можете использовать резервный код в качестве второго фактора аутентификации для входа. Просто убедитесь, что вы сохранили распечатку резервных кодов в надёжном месте.

2FA сделает мои учётные записи более безопасными?

Ни один продукт безопасности не может претендовать на идеальную, надежную защиту, но, объединив два из трёх вышеупомянутых типов аутентификации, 2FA затрудняет доступ к вашей учётной записи. Вы не только затрудняете атаки на свои учётные записи, но и делаете свои аккаунты менее привлекательными для хакеров.

Думайте об этом, как о защите своего дома. Если у вас есть домашняя система безопасности, вы снижаете вероятность кражи со взломом. Если у вас есть громкая большая собака, вы также понижаете вероятность кражи со взломом. Если вы объедините систему безопасности с большой собакой, тогда ваш дом становится ещё труднее взломать и он будет менее привлекательной целью. Большинство грабителей просто найдут более легкий вариант, без тревожной сигнализации и возможности укуса собаки.

Аналогичным образом, двухфакторная проверка подлинности отторгает большую часть хакеров от нацеливания на вашу учётную запись. Многие будут просто уходить дальше и находить более простые для взлома учётные записи. И если они нацелены на вас, им потребуется больше, чем просто ваш пароль. В дополнение к вашему паролю, хакеру также потребуется ваш телефон, или получить доступ к маркерам, установленным на вашем телефоне с помощью механизма аутентификации, с применением фишинговой атаки, вредоносных программ или активации восстановления учётной записи, где ваш пароль сбрасывается и 2FA затем отключается. Это дополнительная и сложная работа.

На сколько больше хлопот доставляет использование 2FA?

Я не знаю, назвал бы я это хлопотным или нет, но 2FA действительно требует дополнительного шага при входе в свои учётные записи. Вам нужно будет ввести свой пароль, дождаться, пока придет код через SMS, а затем ввести этот код. Или, если вы используете приложение для аутентификации, вам нужно дождаться уведомления, которое вы можете нажать, чтобы подтвердить, что вы это вы.

Я использую аутентификацию 2FA во многих моих учётных записях в интернете и считаю, что это менее хлопотно, чем использование надёжного пароля или кодовой фразы, которая сочетает в себе буквы верхнего и нижнего регистра, цифры и символы. И хотя я говорю о сильных паролях, позвольте мне заявить, что использование 2FA в качестве предлога для использования более слабых и удобных для ввода паролей - это плохая идея. Не ослабляйте свой первый фактор защиты только потому, что вы добавили второй.

Как включить 2FA?

Многие сайты и сервисы предлагают 2FA, но называют его разными именами. Ниже приведены быстрые способы включения двухфакторной аутентификации в некоторых из наиболее популярных онлайн-сервисов.


Dropbox.
Нажмите на свое имя в верхней правой части своей учётной записи Dropbox и перейдите в раздел "Настройки> Безопасность", и вы увидите статус, указанный в верхней части страницы для двухэтапной проверки. Рядом со статусом "Отключено" нажмите ссылку (нажмите, чтобы включить), а затем нажмите кнопку "С чего начать". Затем вы можете настроить получение кодов подтверждения через SMS на своем телефоне или в приложении, например, Google Authenticator. Дополнительные сведения смотрите в инструкциях Дропбокса .


Facebook.
Нажмите кнопку треугольника в правом верхнем углу, выберите "Настройки> Безопасность" и нажмите "Редактировать" справа от "Подтверждение входа". Затем нажмите "Включить" рядом с тем, где написано: "Двухфакторная аутентификация сейчас отключена". Для получения дополнительной информации смотрите

Внимание. Приложения, разработанные в Яндексе, требуют именно одноразового пароля - даже правильно созданные пароли приложений не подойдут.

  1. Вход с помощью QR-кода
  2. Перенос Яндекс.Ключа
  3. Мастер-пароль

Вход на сервис или в приложение Яндекса

Вы можете ввести одноразовый пароль в любой форме авторизации на Яндексе или в разработанных Яндексом приложениях.

Примечание.

Одноразовый пароль нужно успеть ввести, пока он отображается в приложении. Если до обновления осталось слишком мало времени, просто дождитесь нового пароля.

Чтобы получить одноразовый пароль, запустите Яндекс.Ключ и введите пин-код, который вы задали при настройке двухфакторной аутентификации. Приложение начнет генерировать пароли раз в 30 секунд.

Яндекс.Ключ не проверяет введенный вами пин-код и генерирует одноразовые пароли, даже если вы ввели свой пин-код неправильно. В этом случае созданные пароли также оказываются некорректными и авторизоваться с ними не получится. Чтобы ввести правильный пин-код, достаточно выйти из приложения и запустить его снова.

Особенности одноразовых паролей:

Вход с помощью QR-кода

Некоторые сервисы (например, главная страница Яндекса, Паспорт и Почта) позволяют войти на Яндекс, просто наведя камеру на QR-код. При этом ваше мобильное устройство должно быть подключено к интернету, чтобы Яндекс.Ключ мог связаться с сервером авторизации.

    Нажмите на иконку QR-кода в браузере.

    Если такой иконки в форме входа нет, значит на данном сервисе можно авторизоваться только с помощью пароля. В этом случае вы можете авторизоваться с помощью QR-кода в Паспорте , а затем перейти к нужному сервису.

    Введите пин-код в Яндекс.Ключе и нажмите Войти по QR-коду .

    Наведите камеру вашего устройства на QR-код, отображенный в браузере.

Яндекс.Ключ распознает QR-код и передаст в Яндекс.Паспорт ваш логин и одноразовый пароль. Если они пройдут проверку, вы автоматически авторизуетесь в браузере. Если переданный пароль окажется неверным (например, из-за того, что вы неправильно ввели пин-код в Яндекс.Ключе), браузер покажет стандартное сообщение о неправильном пароле.

Вход с аккаунтом Яндекса в стороннее приложение или сайт

Приложения или сайты, которым нужен доступ к вашим данным на Яндексе, иногда требуют ввести пароль, чтобы войти в аккаунт. В таких случаях одноразовые пароли не сработают - для каждого такого приложения необходимо создать отдельный пароль приложения .

Внимание. В приложениях и сервисах Яндекса работают только одноразовые пароли. Даже если вы создадите пароль приложения, например, для Яндекс.Диска, авторизоваться с ним не получится.

Перенос Яндекс.Ключа

Вы можете перенести генерацию одноразовых паролей на другое устройство, или настроить Яндекс.Ключ на нескольких устройствах одновременно. Для этого откройте страницу Управление доступом и нажмите кнопку Замена устройства .

Несколько аккаунтов в Яндекс.Ключе

Один и тот же Яндекс.Ключ можно использовать для нескольких аккаунтов с одноразовыми паролями. Чтобы добавить в приложение еще один аккаунт, при настройке одноразовых паролей на шаге 3 нажмите в приложении значок . Кроме того, вы можете добавить в Яндекс.Ключ генерацию паролей для других сервисов, поддерживающих такую двухфакторную аутентификацию. Инструкции для самых популярных сервисов приведены на странице о создании кодов проверки не для Яндекса .

Чтобы удалить привязку аккаунта к Яндекс.Ключу, нажмите и удерживайте соответствующий портрет в приложении, пока справа от него не появится крестик. Когда вы нажмете на крестик, привязка аккаунта к Яндекс.Ключу будет удалена.

Внимание. Если вы удалите аккаунт, для которого включены одноразовые пароли, вы не сможете получить одноразовый пароль для входа на Яндекс. В этом случае будет необходимо восстанавливать доступ .

Отпечаток пальца вместо пин-кода

Отпечаток пальца вместо пин-кода можно использовать на следующих устройствах:

    смартфоны под управлением Android 6.0 и сканером отпечатков пальца;

    iPhone, начиная с модели 5s;

    iPad, начиная с модели Air 2.

Примечание.

На смартфонах и планшетах с iOS отпечаток пальца можно обойти, введя пароль устройства. Чтобы защититься от этого, включите мастер-пароль или измените пароль на более сложный: откройте приложение Настройки и выберите пункт Touch ID и пароль .

Чтобы воспользоваться включить проверку отпечатка:

Мастер-пароль

Чтобы дополнительно защитить ваши одноразовые пароли, создайте мастер-пароль: → Мастер-пароль .

С помощью мастер-пароля вы можете:

    сделать так, чтобы вместо отпечатка можно было ввести только мастер-пароль Яндекс.Ключа, а не код блокировки устройства;

Резервная копия данных Яндекс.Ключа

Вы можете создать резервную копию данных Ключа на сервере Яндекса, чтобы иметь возможность восстановить их, если вы потеряли телефон или планшет с приложением. На сервер копируются данные всех аккаунтов, добавленных в Ключ на момент создания копии. Больше одной резервной копии создать нельзя, каждая следующая копия данных для определенного номера телефона замещает предыдущую.

Чтобы получить данные из резервной копии, нужно:

    иметь доступ к номеру телефона, который вы указали при ее создании;

    помнить пароль, который вы задали для шифрования резервной копии.

Внимание. Резервная копия содержит только логины и секреты, необходимые для генерации одноразовых паролей. Пин-код, который вы задали, когда включали одноразовые пароли на Яндексе, необходимо помнить.

Удалить резервную копию с сервера Яндекса пока невозможно. Она будет удалена автоматически, если вы ей не воспользуетесь в течение года после создания.

Создание резервной копии

    Выберите пункт Создать резервную копию в настройках приложения.

    Введите номер телефона, к которому будет привязана резервная копия (например, «380123456789» ), и нажмите кнопку Далее .

    Яндекс отправит код подтверждения на введенный номер телефона. Как только вы получите код, введите его в приложении.

    Придумайте пароль, которым будет зашифрована резервная копия ваших данных. Этот пароль нельзя восстановить, поэтому убедитесь в том, что вы не забудете или не потеряете его.

    Введите придуманный пароль два раза и нажмите кнопку Готово . Яндекс.Ключ зашифрует резервную копию, отправит ее на сервер Яндекса и сообщит об этом.

Восстановление из резервной копии

    Выберите пункт Восстановить из резервной копии в настройках приложения.

    Введите номер телефона, который вы использовали при создании резервной копии (например, «380123456789» ), и нажмите кнопку Далее .

    Если для указанного номера найдена резервная копия данных Ключа, Яндекс отправит код подтверждения на этот номер телефона. Как только вы получите код, введите его в приложении.

    Убедитесь, что дата и время создания резервной копии, а также имя устройства, соответствует той резервной копии, которую вы хотите использовать. Затем нажмите кнопку Восстановить .

    Введите пароль, который вы задали при создании резервной копии. Если вы не помните его, к сожалению, расшифровать резервную копию будет невозможно.

    Яндекс.Ключ расшифрует данные резервной копии и сообщит о том, что данные восстановлены.

Как одноразовые пароли зависят от точного времени

При генерации одноразовых паролей Яндекс.Ключ учитывает текущее время и часовой пояс, установленные на устройстве. Когда доступно интернет-соединение, Ключ также запрашивает точное время с сервера: если на устройстве время выставлено неверно, приложение сделает поправку на это. Но в некоторых ситуациях даже после поправки и при корректном пин-коде одноразовый пароль будет неправильным.

Если вы уверены, что вводите пин-код и пароль верно, но авторизоваться не получается:

    Убедитесь, что на вашем устройстве установлено корректное время и часовой пояс. После этого попробуйте войти с новым одноразовым паролем.

    Подключите устройство к интернету, чтобы Яндекс.Ключ мог получить точное время самостоятельно. Затем перезапустите приложение и попробуйте ввести новый одноразовый пароль.

Если проблема не разрешилась, обратитесь в службу поддержки через форму ниже.

Оставить отзыв о двухфакторной аутентификации

Для защиты своих личных данных в современном мире Вам, возможно, придётся позаботиться о повышении уровня защиты своего цифрового пространства при помощи двухфакторной аутентификации.

В жизнь современного человека всё плотнее интегрируются различные онлайн-технологии. Большинство из нас уже не представляют себя без социальных сетей, смартфона и Интернета вообще. Мы ежедневно оставляем во Всемирной паутине целую кучу цифровых следов и личных данных. При этом большинство пользователей даже не задумывается над тем, что будет, если в один день они потеряют доступ к своему "цифровому миру", который окажется в руках злоумышленников...

Кто-то скажет, что их скромная персона вряд ли заинтересует хакеров. Однако, на "чёрном рынке" продаются даже аккаунты от самых захудалых соцсетей. Что уж говорить, скажем, о Вашей учётной записи Google, которая содержит всю почтовую переписку, данные с телефона и, возможно, привязку к банковским картам?

Самое печальное то, что многие полагаются на "авось" и используют довольно простые пароли доступа к любым серьёзным аккаунтам. А, между прочим, существуют целые специальные словари, содержащие тысячи популярных паролей, вроде "1234qwerty" и им подобных, которые позволяют взломать Вас в считанные минуты! Поэтому обычная парольная защита уже не является надёжной. Настало время для использования двухфакторной аутентификации!

Что такое двухфакторная аутентификация?

В различных фантастических фильмах Голливуда мы можем видеть как главный герой (или злодей) для доступа к секретным данным сначала вводит кучу паролей, потом прикладывает специальную идентификационную карту к считывающему устройству, а в довершение всего ещё и смотрит в глазок, где лазер считывает рисунок сетчатки его глаза. Но это уже давно не фантастика, а так называемая многофакторная аутентификация .

Традиционная модель многофакторной аутентификации подразумевает наличие трёх основных факторов (при этом каждый из них может дублироваться для повышения уровня защиты):

  1. Фактор знания . Подразумевает получение системой контроля доступа определённых данных, которые должен знать только конкретный пользователь. Например, это может быть традиционная пара "логин-пароль", пин-код, девичья фамилия матери или иная информация, которую, в идеале, можем знать только мы. Увы, многие пользователи не запоминают свои пароли, а хранят их на клочках бумажек прямо на рабочем месте. Поэтому гипотетическому злоумышленнику их не составит труда украсть...
  2. Фактор владения . Предусматривает наличие у пользователя определённой вещи, которой нет у других. К таким вещам можно отнести уникальный номер телефона, пластиковую карту с уникальным штрих-кодом или чипом с данными, USB-токен либо иное криптографическое устройство. Теоретически, украсть его тоже можно, но уже гораздо сложнее. А, учитывая, что фактор владения обычно подкреплён фактором знания (нужно предварительно ввести пароль), то шансы на успешное применение украденного девайса существенно снижаются.
  3. Фактор свойства . Использует для идентификации пользователя его определённые личные качества. К наиболее уникальным из них относятся отпечатки пальцев, лицо в общем, рисунок радужки глаза или даже проба ДНК! При должной степени чувствительности проверяющей аппаратуры обойти такую защиту просто невозможно. Однако, до подобного совершенства биометрической проверке ещё далеко, поэтому на современном этапе она обычно дополняется дополнительными факторами контроля доступа.

Фактически многофакторная аутентификация на самом деле является трёхфакторной. Соответственно, двухэтапная верификация пользователя подразумевает отбрасывание одного из факторов. Как правило, это фактор свойства, для подтверждения которого требуется специальное биометрическое оборудование. Двухфакторная же аутентификация не требует особых вложений, но позволяет существенно повысить уровень безопасности!

На сегодняшний день в Интернете наиболее распространённым видом двухфакторной аутентификации является привязка аккаунта к телефону пользователя. В общем случае мы традиционно вводим логин с паролем, после чего нам на телефон при помощи SMS или PUSH-сообщения приходит специальный одноразовый пин-код, который мы вводим в специальной форме для доступа к нужному нам сайту. Как вариант, вместо сообщения Вам может поступить звонок от робота, который попросит нажать ту или иную цифру на клавиатуре телефона.

Реже встречается авторизация с использованием USB-токенов (например, в современных бухгалтерских сервисах). Такой токен содержит в себе зашифрованный ключ, соответствующий паролю, который известен пользователю. При авторизации нужно подключить токен к USB-порту компьютера, а затем ввести в специальном поле пароль. Если он совпадёт с тем, который зашифрован на токене, произойдёт авторизация.

Однако, токены стоят денег и требуют периодического обновления ключей, которое тоже не всегда бесплатно. Поэтому наиболее общедоступным способом двухфакторной верификации всё же остаётся проверка по телефону. И вот о ней мы поговорим более подробно.

Двухфакторная аутентификация в Windows

Windows 10 является современной операционной системой, соответственно, она по определению должна содержать в себе и современные средства защиты. Одним из таковых является как раз механизм двухфакторной верификации пользователя. Данная функция в некоторых версиях системы то появлялась, то вновь исчезала, проходя ряд доработок, поэтому, если Вы хотите воспользоваться ею, обязательно убедитесь в том, что у Вас стоят все обновления (особенно патч KB3216755 , который исправил работу аутентификации в Anniversary Update).

Также для работы двухэтапной верификации Вам потребуется иметь учётную запись зарегистрированную в Microsoft. То есть, с локальной "учёткой", увы, ничего не получится...

Теперь нужно подготовить к процедуре свой телефон. На него нужно установить специальное приложение, которое будет принимать сигналы верификации входа в учётную запись Windows и подтверждать их. Для смартфонов на базе Android можно выбрать официальную программу Microsoft Authenticator , а для девайсов на iOS подойдёт унифицированное решение Google Authenticator (оно же для Android).

После всех предварительных настроек нужно войти в свою учётную запись Microsoft и настроить её на двухфакторный вход. Проще всего это сделать, вызвав в оснастке "Параметры" раздел "Учётные записи" . На первой вкладке "Электронная почта и учётные записи" нажмите ссылку "Управление учётной записью Microsoft" , после чего Вас должно перенаправить на страницу входа в аккаунт Microsoft.

Откроется страница с настройками, среди которых нужно найти группу "Двухшаговая проверка" и в ней нажать на ссылку "Настройка двухшаговой проверки" :

Перед Вами появится пошаговый мастер настройки двухфакторной аутентификации, следуя подсказкам которого, Вы сможете активировать двухэтапную верификацию пользователя при входе в Windows:

Двухфакторная аутентификация в Google

После Windows на втором месте по популярности среди современных пользователей идёт Android. А большинство Андроид-устройств, как мы знаем, "привязаны" к аккаунту Google. Его тоже не помешает дополнительно защитить. Тем более, что функция двухфакторной аутентификации для его учётных записей работает уже довольно давно и успешно.

Чтобы получить доступ к настройкам двухэтапной верификации, Вам нужно войти в свой аккаунт Google, перейти на специальную страницу и нажать кнопку "Начать" :

Вас могут попросить повторно ввести пароль от Вашей учётной записи для подтверждения входа в настройки. После этого откроется пошаговый мастер, который поможет Вам задать нужные параметры для двухэтапной верификации входа в аккаунт:

Всё, что Вам потребуется сделать - ввести номер своего телефона (он, скорее всего, уже "привязан" к Вашему аккаунту), получить на него SMS с одноразовым кодом проверки, после чего ввести код в специальное поле и активировать процедуру для всех последующих авторизаций.

Однако, вход с помощью телефона - не единственный метод двухфакторной аутентификации, который предлагает Google. Если у Вас есть токен стандарта FIDO Universal 2nd Factor (U2F), Вы также можете настроить вход в свой аккаунт с его помощью. Подробнее о том как это сделать написано . Ну и, естественно, получать коды верификации Вы можете не только в виде SMS, но и PUSH-сообщений в уже упомянутом нами выше приложении Google Authenticator.

Двухфакторная аутентификация в соцсетях

Следуя всеобщим тенденциям, о двухфактороной аутентификации позаботились и разработчики некоторых крупных социальных сетей.

ДФА в Facebook

Facebook, будучи одной из самых популярных соцсетей на Западе, как и Google, уже давно предлагает своим пользователям функцию двухэтапной верификации входа в аккаунт. Причём коды доступа можно получать как через SMS, так и в универсальных приложениях авторизации. Из них поддерживается Google Authenticator и Duo Mobile .

Включить двухфакторную аутентификацию в Facebook можно, пройдя в раздел настроек

Пользователя. Причем речь идет не только об учетной записи, сохраненных контактах и сообщениях, но и о личных документах и файлах. Наибольший уровень защиты данных гарантирует двухфакторная аутентификация Apple, когда для доступа к персональным данным необходимо ввести подряд два специальных числовых кода.

Как это работает

Главной особенностью новой системы защиты компании Apple является гарантия, что в устройство сможете войти только вы, даже если пароль будет известен другим лицам. При использовании двухшаговой проверки вход в учетную запись возможен лишь с доверенных устройств iPhone, iPad или Mac. При этом двухфакторная аутентификация потребует от вас последовательно ввести два вида пароля: обычный и шестизначный проверочный код, который автоматически отобразится на проверенном гаджете.

Например, вы имеете ноутбук Мас и хотите войти в свою учетную запись на недавно приобретенном планшете iPad. Для этого вы сначала вводите свой логин и пароль, а после проверочный код, который автоматически появляется на экране вашего ноутбука.

После этого двухфакторная аутентификация Apple «запомнит» ваше устройство и откроет доступ к персональным данным без дополнительной проверки. Доверенным можно сделать и браузер любого ПК, установив этот параметр при первом входе в учетную запись.

Доверенные устройства

Сделать доверенным можно гаджет лишь компании Apple. Причем установленная на нем операционная система должна быть не ниже iOS 9 для мобильных устройств и не ниже ОС Х El Capitan для ноутбуков и персональных компьютеров. «Двухфакторная аутентификация» объясняет это тем, что только в таком случае компания Apple может гарантировать, что используемый лэптоп принадлежит именно вам.

Шестизначные проверочные коды могут высылаться не только на доверенные устройства, но и на номера мобильных устройств. При этом методика подтверждения номера и гаджета ничем не отличается. Стоит также помнить, что в любом случае, какой бы способ получения проверочного кода вы ни использовали, двухфакторная аутентификация потребует от вас знания собственного идентификатора Apple ID. Выучите его наизусть, иначе вы рискуете не получить доступ к учетной записи.

Новая степень защиты

Во время каждого нового входа в учетную запись пользователя на доверенные устройства отправляется информация о вашем местоположении. В случаях, когда оно совпадает с фактическим местом вашего пребывания, можно разрешить вход нажатием высветившейся кнопки.

Если же двухфакторная аутентификация предлагает разрешить вход на другом устройстве, хотя в данный момент местоположение устройства не совпадает с вашим, то стоит запретить данное действие. Это свидетельствует о несанкционированном доступе к вашему гаджету, а также может служить сигналом о расположении злоумышленника, укравшего ваш телефон.

Отключение двухфакторной системы защиты

Настоятельно рекомендуется не проводить с устройством каких-либо манипуляций, которые могут отключить двухфакторную аутентификацию Apple, это снизит степень защищенности вашего гаджета. Однако в некоторых случаях она просто не требуется. Например, вы постоянно пользуетесь и ноутбуком, и смартфоном. В подтверждении личности при этом нет необходимости и, более того, процедура сильно утомляет.

Существует два способа отключить двухфакторную аутентификацию Apple. В первом случае вам необходимо войти в свою учетную запись, выбрать меню «Правка» и в пункте меню «Безопасность» выбрать соответствующий параметр. Подтвердив свою дату рождения и ответив на секретные вопросы, вы отключите двухфакторную защиту.

Отключение аутентификации электронной почтой

Если вы обнаружили, что двухшаговая система защиты активирована на вашем устройстве без вашего ведома, вы можете отключить ее дистанционно, используя электронную почту, указанную в момент регистрации, или резервный адрес. Как отключить двухфакторную аутентификацию с использованием email?

Для этого вам необходимо открыть письмо, которое придет на ваш почтовый ящик сразу после активации системы защиты. В нижней части сообщения вы увидите заветный пункт «Выключить…». Щелкните по нему один раз, и прежние настройки защиты ваших персональных данных будут восстановлены.

Перейти по ссылке необходимо в течение двух недель с момента получения сообщения, иначе она станет недействительна. Теперь вы не будете задаваться вопросом о том, как отключить двухфакторную аутентификацию, и знаете еще немного секретов компании Apple.

Пароли не взламывает только ленивый. Недавняя массовая утечка учетных записей из Yahoo только подтверждает тот факт, что одного лишь пароля - и совершенно неважно, какой он будет длины и сложности, - уже недостаточно для надежной защиты. Двухфакторная аутентификация - это то, что обещает дать такую защиту, добавляя дополнительный уровень безопасности.

В теории все выглядит неплохо, да и на практике, в общем-то, работает. Двухфакторная аутентификация действительно усложняет взлом учетной записи. Теперь злоумышленнику недостаточно выманить, украсть или взломать основной пароль. Для входа в учетную запись необходимо ввести еще и одноразовый код, который… А вот каким именно образом получается этот одноразовый код - и есть самое интересное.

Ты неоднократно сталкивался с двухфакторной аутентификацией, даже если никогда не слышал о ней. Когда-нибудь вводил одноразовый код, который тебе присылали через СМС? Это оно, частный случай двухфакторной аутентификации. Помогает? Честно говоря, не очень: злоумышленники уже научились обходить и этот вид защиты.

Сегодня мы рассмотрим все виды двухфакторной аутентификации, применяемой для защиты учетных записей Google Account, Apple ID и Microsoft Account на платформах Android, iOS и Windows 10 Mobile.

Apple

Впервые двухфакторная аутентификация появилась в устройствах Apple в 2013 году. В те времена убедить пользователей в необходимости дополнительной защиты было непросто. В Apple не стали и стараться: двухфакторная аутентификация (получившая название двухэтапной проверки, или Two-Step Verification) использовалась только для защиты от прямого финансового ущерба. Например, одноразовый код требовался при совершении покупки с нового устройства, смене пароля и для общения со службой поддержки на темы, связанные с учетной записью Apple ID.

Добром это все не кончилось. В августе 2014 года произошла массовая утечка фотографий знаменитостей . Хакеры сумели получить доступ к учетным записям жертв и скачали фото из iCloud. Разразился скандал, в результате которого Apple в спешном порядке расширила поддержку двухэтапной проверки на доступ к резервным копиям и фотографиям в iCloud. В это же время в компании продолжались работы над методом двухфакторной аутентификации нового поколения.

Двухэтапная проверка

Для доставки кодов двухэтапная проверка использует механизм Find My Phone, изначально предназначенный для доставки push-уведомлений и команд блокировки в случае потери или кражи телефона. Код выводится поверх экрана блокировки, соответственно, если злоумышленник добудет доверенное устройство, он сможет получить одноразовый код и воспользоваться им, даже не зная пароля устройства. Такой механизм доставки - откровенно слабое звено.

Также код можно получить в виде СМС или голосового звонка на зарегистрированный телефонный номер. Такой способ ничуть не более безопасен. SIM-карту можно извлечь из неплохо защищенного iPhone и вставить в любое другое устройство, после чего принять на нее код. Наконец, SIM-карту можно клонировать или взять у сотового оператора по поддельной доверенности - этот вид мошенничества сейчас приобрел просто эпидемический характер.

Если же у тебя нет доступа ни к доверенному iPhone, ни к доверенному телефонному номеру, то для доступа к учетной записи нужно использовать специальный 14-значный ключ (который, кстати, рекомендуется распечатать и хранить в безопасном месте, а в поездках - держать при себе). Если же ты потеряешь и его, то мало не покажется: доступ в учетную запись может быть закрыт навсегда.

Насколько это безопасно?

Если честно, не очень. Двухэтапная проверка реализована из рук вон плохо и заслуженно получила репутацию худшей системы двухфакторной аутентификации из всех игроков «большой тройки». Если нет другого выбора, то двухэтапная проверка - это все же лучше, чем ничего. Но выбор есть: с выходом iOS 9 Apple представила совершенно новую систему защиты, которой дали бесхитростное название «двухфакторная аутентификация».

В чем именно слабость этой системы? Во-первых, одноразовые коды, доставленные через механизм Find My Phone, отображаются прямо на экране блокировки. Во-вторых, аутентификация на основе телефонных номеров небезопасна: СМС могут быть перехвачены как на уровне провайдера, так и заменой или клонированием SIM-карты. Если же есть физический доступ к SIM-карте, то ее можно просто установить в другое устройство и получить код на совершенно законных основаниях.

Также имей в виду, что преступники научились получать SIM-карты взамен «утерянных» по поддельным доверенностям. Если твой пароль украли, то уж узнать твой номер телефона - плевое дело. Подделывается доверенность, получается новая SIM-карта - собственно, для доступа к твоей учетной записи больше ничего и не требуется.

Как взломать аутентификацию Apple

Взломать этот вариант двухфакторной аутентификации достаточно несложно. Есть несколько вариантов:

  • считать одноразовый код с доверенного устройства - разблокировать не обязательно;
  • переставить SIM-карту в другой аппарат, получить СМС;
  • клонировать SIM-карту, получить код на нее;
  • воспользоваться двоичным маркером аутентификации, скопированным с компьютера пользователя.

Как защититься

Защита с помощью двухэтапной проверки несерьезна. Не используй ее вообще. Вместо нее включи настоящую двухфакторную аутентификацию.

Двухфакторная аутентификация

Вторая попытка Apple носит официальное название «двухфакторная аутентификация». Вместо того чтобы сменить предыдущую схему двухэтапной проверки, две системы существуют параллельно (впрочем, в рамках одной учетной записи может использоваться лишь одна из двух схем).

Двухфакторная аутентификация появилась как составная часть iOS 9 и вышедшей одновременно с ней версии macOS. Новый метод включает дополнительную проверку при любой попытке зайти в учетную запись Apple ID с нового устройства: на все доверенные устройства (iPhone, iPad, iPod Touch и компьютеры под управлением свежих версий macOS) моментально приходит интерактивное уведомление. Чтобы получить доступ к уведомлению, нужно разблокировать устройство (паролем или датчиком отпечатка пальцев), а для получения одноразового кода потребуется нажать на кнопку подтверждения в диалоговом окне.

Как и в предыдущем методе, в новой схеме возможно получение одноразового пароля в виде СМС или голосового звонка на доверенный телефонный номер. Однако, в отличие от двухэтапной проверки, пользователю в любом случае будут доставлены push-уведомления, и неавторизованную попытку зайти в учетную запись пользователь может заблокировать с любого из своих устройств.


Поддерживаются и пароли приложений. А вот от кода восстановления доступа в Apple отказались: если ты потеряешь свой единственный iPhone вместе с доверенной SIM-картой (которую по каким-то причинам не сможешь восстановить), для восстановления доступа к учетной записи тебе придется пройти настоящий квест с подтверждением личности (и нет, скан паспорта таким подтверждением не является… да и оригинал, что называется, «не канает»).

Зато в новой системе защиты нашлось место для удобной и привычной офлайновой схемы генерации одноразовых кодов. Для нее используется совершенно стандартный механизм TOTP (time-based one-time password), который каждые тридцать секунд генерирует одноразовые коды, состоящие из шести цифр. Эти коды привязаны к точному времени, а в роли генератора (аутентификатора) выступает само доверенное устройство. Коды добываются из недр системных настроек iPhone или iPad через Apple ID -> Password and Security.


Мы не станем подробно объяснять, что такое TOTP и с чем его едят, но об основных отличиях реализации этого метода в iOS от аналогичной схемы в Android и Windows рассказать все-таки придется.

В отличие от основных конкурентов, Apple позволяет использовать в качестве аутентификаторов исключительно устройства собственного производства. В их роли могут выступать доверенные iPhone, iPad или iPod Touch под управлением iOS 9 или 10. При этом каждое устройство инициализируется уникальным секретом, что позволяет в случае его утраты легко и безболезненно отозвать с него (и только с него) доверенный статус. Если же скомпрометирован окажется аутентификатор от Google, то отзывать (и заново инициализировать) придется статус всех инициализированных аутентификаторов, так как в Google решили использовать для инициализации единственный секрет.

Насколько это безопасно

В сравнении с предыдущей реализацией новая схема все же более безопасна. Благодаря поддержке со стороны операционной системы новая схема более последовательна, логична и удобна в использовании, что немаловажно с точки зрения привлечения пользователей. Система доставки одноразовых паролей также существенно переработана; единственное оставшееся слабое звено - доставка на доверенный телефонный номер, который пользователь по-прежнему должен верифицировать в обязательном порядке.

Теперь при попытке входа в учетную запись пользователь мгновенно получает push-уведомления на все доверенные устройства и имеет возможность отклонить попытку. Тем не менее при достаточно быстрых действиях злоумышленник может успеть получить доступ к учетной записи.

Как взломать двухфакторную аутентификацию

Так же как и в предыдущей схеме, двухфакторную аутентификацию можно взломать с помощью маркера аутентификации, скопированного с компьютера пользователя. Атака на SIM-карту тоже сработает, но попытка получить код через СМС все же вызовет уведомления на всех доверенных устройствах пользователя, и он может успеть отклонить вход. А вот подсмотреть код на экране заблокированного устройства уже не удастся: придется разблокировать девайс и дать подтверждение в диалоговом окне.


Как защититься

Уязвимостей в новой системе осталось не так много. Если бы Apple отказалась от обязательного добавления доверенного телефонного номера (а для активации двухфакторной аутентификации хотя бы один телефонный номер верифицировать придется в обязательном порядке), ее можно было бы назвать идеальной. Увы, необходимость верифицировать телефонный номер добавляет серьезную уязвимость. Попытаться защититься можно точно так же, как ты защищаешь номер, на который приходят одноразовые пароли от банка.

Продолжение доступно только подписчикам

Вариант 1. Оформи подписку на «Хакер», чтобы читать все материалы на сайте

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов.