Autentificare cu doi factori (Yandex). Cum să dezactivați autentificarea cu doi factori. Conectați-vă cu autentificare cu doi factori

Atenţie. Aplicațiile dezvoltate în Yandex necesită o parolă unică - chiar și parolele aplicației create corect nu vor funcționa.

Conectați-vă folosind codul QR
Se transferă Yandex.Key
Parola principală

Conectați-vă la un serviciu sau aplicație Yandex

Puteți introduce o parolă unică sub orice formă de autorizare pe Yandex sau în aplicațiile dezvoltate de Yandex.

Nota.

Trebuie să introduceți parola unică în timp ce aceasta este afișată în aplicație. Dacă a mai rămas prea puțin timp înainte de actualizare, așteptați noua parolă.

Pentru a obține o parolă unică, lansați Yandex.Key și introduceți codul PIN pe care l-ați specificat la configurarea autentificării cu doi factori. Aplicația va începe să genereze parole la fiecare 30 de secunde.

Yandex.Key nu verifică codul PIN introdus și generează parole unice, chiar dacă ați introdus incorect codul PIN. În acest caz, parolele create se dovedesc a fi incorecte și nu vă veți putea conecta cu ele. Pentru a introduce PIN-ul corect, ieșiți din aplicație și lansați-o din nou.

Caracteristici ale parolelor unice:

Conectați-vă folosind codul QR

Unele servicii (de exemplu, pagina de pornire Yandex, Pașaport și e-mail) vă permit să vă conectați la Yandex prin simpla îndreptare a camerei către codul QR. În acest caz, dispozitivul dvs. mobil trebuie să fie conectat la Internet, astfel încât Yandex.Key să poată contacta serverul de autorizare.

Faceți clic pe pictograma codului QR din browser.

Dacă nu există o astfel de pictogramă în formularul de autentificare, atunci vă puteți conecta la acest serviciu numai folosind o parolă. În acest caz, vă puteți autentifica folosind codul QR din Pașaport, apoi mergeți la serviciul dorit.

Introduceți codul PIN în Yandex.Key și faceți clic pe Conectare folosind codul QR.

Îndreptați camera dispozitivului către codul QR afișat în browser.

Yandex.Key va recunoaște codul QR și va trimite datele de conectare și parola unică către Yandex.Passport. Dacă trec verificarea, ești automat conectat la browser. Dacă parola transmisă este incorectă (de exemplu, deoarece ați introdus incorect codul PIN în Yandex.Key), browserul va afișa un mesaj standard despre parola incorectă.

Conectarea cu un cont Yandex la o aplicație sau un site web terță parte

Aplicațiile sau site-urile care au nevoie de acces la datele dvs. de pe Yandex necesită uneori să introduceți o parolă pentru a vă conecta la contul dvs. În astfel de cazuri, parolele unice nu vor funcționa - trebuie să creați o parolă de aplicație separată pentru fiecare astfel de aplicație.

Atenţie. Doar parolele unice funcționează în aplicațiile și serviciile Yandex. Chiar dacă creați o parolă pentru aplicație, de exemplu, pentru Yandex.Disk, nu vă veți putea conecta cu ea.

Se transferă Yandex.Key

Puteți transfera generarea de parole unice pe alt dispozitiv sau puteți configura Yandex.Key pe mai multe dispozitive în același timp. Pentru a face acest lucru, deschideți pagina Control acces și faceți clic pe butonul Înlocuirea dispozitivului.

Mai multe conturi în Yandex.Key

Același Yandex.Key poate fi folosit pentru mai multe conturi cu parole unice. Pentru a adăuga un alt cont la aplicație, atunci când configurați parole unice la pasul 3, faceți clic pe pictograma din aplicație. În plus, puteți adăuga generarea de parole la Yandex.Key pentru alte servicii care acceptă o astfel de autentificare cu doi factori. Instrucțiunile pentru cele mai populare servicii sunt furnizate pe pagina despre crearea codurilor de verificare care nu sunt pentru Yandex.

Pentru a elimina un link de cont către Yandex.Key, apăsați și mențineți apăsat portretul corespunzător din aplicație până când apare o cruce în dreapta acestuia. Când faceți clic pe cruce, conectarea contului dvs. la Yandex.Key va fi ștearsă.

Atenţie. Dacă ștergeți un cont pentru care sunt activate parole unice, nu veți putea obține o parolă unică pentru a vă conecta la Yandex. În acest caz, va fi necesar să restabiliți accesul.

Amprentă în loc de codul PIN

Puteți utiliza amprenta digitală în loc de codul PIN pe următoarele dispozitive:

smartphone-uri care rulează Android 6.0 și un scaner de amprente;

iPhone incepand de la modelul 5s;

iPad care începe cu Air 2.

Nota.

Pe smartphone-urile și tabletele iOS, amprenta digitală poate fi ocolită prin introducerea parolei dispozitivului. Pentru a vă proteja împotriva acestui lucru, activați o parolă principală sau schimbați parola cu una mai complexă: deschideți aplicația Setări și selectați Touch ID & Passcode.

Pentru a utiliza activarea verificării amprentei:

Parola principală

Pentru a vă proteja în continuare parolele unice, creați o parolă principală: → Parolă principală.

Cu o parolă principală puteți:

faceți astfel încât, în loc de amprentă, să puteți introduce doar parola principală Yandex.Key și nu codul de blocare a dispozitivului;

Copie de rezervă a datelor Yandex.Key

Puteți crea o copie de rezervă a datelor cheii pe serverul Yandex, astfel încât să o puteți restaura dacă vă pierdeți telefonul sau tableta cu aplicația. Datele tuturor conturilor adăugate la Cheie la momentul creării copiei sunt copiate pe server. Nu puteți crea mai mult de o copie de rezervă fiecare copie ulterioară a datelor pentru un anumit număr de telefon o înlocuiește pe cea anterioară.

Pentru a prelua date dintr-o copie de rezervă, trebuie să:

aveți acces la numărul de telefon pe care l-ați specificat la crearea acestuia;

amintiți-vă parola pe care ați setat-o pentru a cripta backup-ul.

Atenţie. Copia de rezervă conține doar datele de conectare și secretele necesare pentru a genera parole unice. Trebuie să vă amintiți codul PIN pe care l-ați setat când ați activat parolele unice pe Yandex.

Nu este încă posibil să ștergeți o copie de rezervă de pe serverul Yandex. Acesta va fi șters automat dacă nu îl utilizați în decurs de un an de la creare.

Crearea unei copii de rezervă

Selectați un articol Creați o copie de rezervăîn setările aplicației.

Introduceți numărul de telefon la care va fi legată copia de rezervă (de exemplu, „380123456789”) și faceți clic pe Următorul.

Yandex va trimite un cod de confirmare la numărul de telefon introdus. Odată ce ați primit codul, introduceți-l în aplicație.

Creați o parolă care va cripta copia de rezervă a datelor dvs. Această parolă nu poate fi recuperată, așa că asigurați-vă că nu o uitați sau nu o pierdeți.

Introduceți parola pe care ați creat-o de două ori și faceți clic pe Terminare. Yandex.Key va cripta copia de rezervă, o va trimite serverului Yandex și o va raporta.

Restaurare dintr-o copie de rezervă

Selectați un articol Restaurați din backupîn setările aplicației.

Introduceți numărul de telefon pe care l-ați folosit la crearea copiei de rezervă (de exemplu, „380123456789”) și faceți clic pe Următorul.

Dacă se găsește o copie de rezervă a datelor cheii pentru numărul specificat, Yandex va trimite un cod de confirmare la acest număr de telefon. Odată ce ați primit codul, introduceți-l în aplicație.

Asigurați-vă că data și ora la care a fost creată copierea de rezervă, precum și numele dispozitivului, se potrivesc cu copia de rezervă pe care doriți să o utilizați. Apoi faceți clic pe butonul Restaurare.

Introduceți parola pe care ați setat-o la crearea copiei de rezervă. Dacă nu vă amintiți, din păcate, va fi imposibil să decriptați backup-ul.

Yandex.Key va decripta datele de rezervă și vă va anunța că datele au fost restaurate.

Modul în care parolele unice depind de timpul precis

Atunci când generează parole unice, Yandex.Key ia în considerare ora și fusul orar actual setate pe dispozitiv. Când este disponibilă o conexiune la Internet, Cheia solicită și ora exactă de la server: dacă ora de pe dispozitiv este setată incorect, aplicația va face o ajustare pentru aceasta. Dar în unele situații, chiar și după corectare și cu codul PIN corect, parola unică va fi incorectă.

Dacă sunteți sigur că introduceți corect codul PIN și parola, dar nu vă puteți autentifica:

Asigurați-vă că dispozitivul este setat la ora și fusul orar corect. După aceea, încercați să vă conectați cu o nouă parolă unică.

Conectați-vă dispozitivul la internet, astfel încât Yandex.Key să poată obține singur ora exactă. Apoi reporniți aplicația și încercați să introduceți o nouă parolă unică.

Dacă problema nu este rezolvată, vă rugăm să contactați asistența folosind formularul de mai jos.

Lăsați feedback despre autentificarea cu doi factori

Bună ziua!. Ultima dată când v-am spus în detaliu cum vă puteți proteja unitatea flash de viruși și programe malware, astăzi vom vorbi din nou despre protejarea datelor și a serviciilor dvs. Este vorba despre, oh autentificare cu doi factori, sau așa cum se mai numește și protecție cu doi factori. Pe care îl puteți găsi pe absolut orice serviciu sau site obișnuit. Sunt sigur că aceste informații vor fi relevante pentru mulți, deoarece 80 la sută dintre utilizatori pur și simplu uită de acest lucru, pentru care apoi plătesc.

Ce este autentificarea cu doi factori (2FA)

Să ne imaginăm o situație clasică, folosind Rusia ca exemplu. Există o rețea socială populară VKontakte, care este folosită de un număr mare de oameni. Pentru a-l accesa, majoritatea oamenilor folosesc o autentificare și o parolă și, din moment ce o persoană este o creatură leneșă și naivă, nu este deosebit de preocupată de securitatea contului său, ceea ce în cele din urmă implică piratarea acestuia, pierzându-și astfel contul și accesul și nu. un fapt, că l-ar fi restaurat mai târziu, deoarece s-ar putea să nu fi legat nici măcar numărul de telefon de el. Dar dacă a avut anterior protecție configurată cu doi factori, atunci chiar dacă parola ar fi compromisă, nu i-ar păsa, deoarece ar fi nevoie de un pas suplimentar de verificare, care este legat de telefon.

Autentificare cu doi factori este un proces suplimentar de securitate robust, l-aș numi autentificare avansată, care este cerut de utilizatorul care accesează dispozitivul sau serviciul. O altă cheie de securitate, care poate fi un cod de securitate din SMS, un cod temporar generat cu ajutorul unei aplicații speciale. care le actualizează la fiecare 25 de secunde.

Rolul unui bastion de protecție cu doi factori este telefonul tău mobil, al cărui număr este legat de un cont sau dispozitiv, pentru care va fi un mijloc suplimentar de confirmare a identității adevăratului proprietar.

Cum funcționează protecția cu doi factori

Permiteți-mi să vă descriu algoritmul pentru cum funcționează protecția cu doi factori Înțelegând principiul, vă va fi ușor să îl configurați oriunde, pe orice serviciu. Și așa avem o utilizator minunată Tanya, îmi place acest nume. Tanya a decis să-și creeze un cont pe Gmail.com. Ea parcurge procedura de înregistrare, unde indică ce login și parolă va avea la introducerea e-mailului. Gmail îi confirmă înregistrarea și îi activează numele de utilizator și parola cu care se va autentifica.

Tanya se conectează la e-mailul ei, indicând numele de utilizator și parola. Gmail îi oferă să configureze autentificarea în doi factori, prin conectarea la un număr de telefon unde va primi coduri SMS, sau prin instalarea aplicației Authenticator, care va genera coduri de securitate la fiecare 25 de secunde dacă nu l-ați introdus încă, a va fi generat un nou cod din 6 cifre. Tanya le instalează și permite protecție cu doi factori.

Acum, data viitoare când Tanya se va autentifica, va trebui să introducă, pe lângă măsurile clasice de securitate (Login și Parolă), un cod din SMS sau din utilitarul Authenticator, instalat tot pe smartphone-ul ei. Odată ce face acest lucru, ea obține acces la serviciu.

Avantaje și dezavantaje ale autentificării cu doi factori

Voi începe cu avantajele acestei tehnologii:

Un grad foarte mare de protecție, i-aș da 99%, deoarece totul este legat de un număr de telefon, care va fi foarte greu de compromis
Întotdeauna la îndemână
Codurile de acces se schimbă frecvent

Dintre minusuri putem evidenția următoarele:

Întrucât totul este legat de numărul de telefon, dacă acesta este pierdut, accesul la serviciile dumneavoastră va fi dificil, deși majoritatea au o procedură de recuperare, dar este foarte laborioasă.
Probabilitatea instalării sau introducerii unui virus într-un dispozitiv care vă va transfera datele către atacatori
Dispozitivul se poate descărca la momentul potrivit
Telefonul mobil trebuie să vadă întotdeauna rețeaua operatorului, altfel nu va fi posibil să primiți SMS-uri sau coduri.
Există servicii care folosesc un cod suplimentar trimis pe e-mail ca protecție multifactorială, așa că pentru a nu fi compromis, asigurați-vă că activați autentificarea cu doi factori pe e-mail în sine, altfel va fi piratat și va fi distracție.
De exemplu, notificările prin SMS pot ajunge cu întârziere, am întâlnit asta cu Sberbank sau VTB24.

Tipuri de autentificare cu doi factori

Să ne uităm la principalele tipuri de implementări de protecție cu doi factori pe care le puteți întâlni cu ușurință în acest moment, acestea pot fi actualizate și extinse în timp, dar deocamdată sunt acestea:

Ce metodă de autentificare cu doi factori 2FA este mai bună?

Nu voi intra în detalii aici, voi evidenția două și ambele vor fi conectate la telefonul tău mobil. Acest SMS și Push-notificări și mai fiabile folosind programe Autentificator. Avantajele sunt că totul este gratuit, toată lumea are un telefon mobil și, cel mai important, este fiabil.

Ce software Authenticator 2FA să alegeți?

Permiteți-mi să vă descriu ce autentificator v-aș sfătui să alegeți

Google Authenticator este cel mai popular autentificator din lume folosit pentru protecție cu doi factori, datorită popularității companiei Google și, bineînțeles, numărului de servicii pe care le oferă.
Fido este al doilea cel mai popular fundaș (https://www.yubico.com/solutions/fido-u2f/)

Cum să piratați autentificarea cu doi factori 2FA

Pentru a ocoli autentificarea cu doi factori, hackerii folosesc următoarele metode:

Cum să restabiliți autentificarea cu doi factori

Dacă v-ați pierdut telefonul și doriți să vă restabiliți accesul, atunci algoritmul este următorul:

Dacă este posibil, restaurați mai repede cartela SIM și telefonul
Înainte de a activa software-ul Authenticator, serviciile vă oferă coduri secrete de recuperare sau un cod QR, trebuie să aveți lumini
Dacă nu există coduri, atunci va trebui să scrieți suportului tehnic și să dovediți că sunteți dvs., asigurați-vă că vă pregătiți toate datele și documentele, dar acest lucru va funcționa dacă ați avut totul corect și complet completat, și nu doar proprietarul contului megapixar123 :))

Cum se dezactivează protecția cu doi factori?

În general, nu vă sfătuiesc să dezactivați codul cu doi factori, având în vedere reducerea securității datelor dvs., dar dacă totuși vă decideți, atunci fiecare serviciu are propria sa procedură, care în 99% din cazuri se rezumă. pentru a seta un comutator de comutare în setări care dezactivează verificarea în doi pași, astfel încât să o dezactiveze. De asemenea, va trebui să indicați un cod de verificare sau răspunsul la o întrebare secretă. Am fost alături de tine, Ivan Semin, autor și creatorul site-ului de blog IT,

Pentru a vă proteja datele personale în lumea actuală, poate fi necesar să luați în considerare creșterea nivelului de securitate pentru spațiul dvs. digital folosind autentificarea cu doi factori.

Diverse tehnologii online sunt din ce în ce mai integrate în viața unei persoane moderne. Majoritatea dintre noi nu ne mai putem imagina fără rețelele de socializare, smartphone-uri și internetul în general. Lăsăm o grămadă de urme digitale și date personale pe World Wide Web în fiecare zi. În același timp, majoritatea utilizatorilor nici nu se gândesc la ce se va întâmpla dacă într-o zi vor pierde accesul la „lumea lor digitală”, care ajunge în mâinile atacatorilor...

Unii ar spune că personajul lor modest este puțin probabil să-i intereseze pe hackerii. Cu toate acestea, chiar și conturile de pe rețelele de socializare cele mai proaste sunt vândute pe „piața neagră”. Ce putem spune despre, să zicem, contul tău Google, care conține toată corespondența ta de e-mail, date de pe telefon și, eventual, link-uri către carduri bancare?

Cel mai trist lucru este că mulți oameni se bazează pe „poate” și folosesc parole destul de simple pentru a accesa orice conturi serioase. Și, apropo, există dicționare speciale întregi care conțin mii de parole populare, cum ar fi „1234qwerty” și altele asemenea, care vă permit să le piratați în câteva minute! Prin urmare, protecția convențională prin parolă nu mai este de încredere. Este timpul să folosiți autentificarea cu doi factori!

Ce este autentificarea cu doi factori?

În diferite filme științifico-fantastice de la Hollywood, putem vedea cum personajul principal (sau răufăcător) introduce mai întâi o grămadă de parole pentru a accesa date secrete, apoi aplică o carte de identificare specială pe dispozitivul de citire și, în plus, el, de asemenea, privește prin vizor, unde laserul îi citește modelul ochilor retinei. Dar asta nu mai este science fiction, ci așa-zisa autentificare multifactor.

Modelul tradițional de autentificare multifactorială implică trei factori principali (fiecare dintre care poate fi duplicat pentru a crește nivelul de protecție):

Factorul de cunoaștere. Implică faptul că sistemul de control al accesului primește anumite date pe care doar un anumit utilizator ar trebui să le cunoască. De exemplu, aceasta ar putea fi o pereche tradițională „login-parolă”, un cod PIN, numele de fată a mamei sau alte informații pe care, în mod ideal, doar noi le putem ști. Din păcate, mulți utilizatori nu își amintesc parolele, dar le stochează pe bucăți de hârtie chiar la locul lor de muncă. Prin urmare, nu ar fi greu pentru un atacator ipotetic să le fure...
Factorul de proprietate. Oferă ca utilizatorul să aibă un anumit lucru pe care alții nu îl au. Astfel de lucruri pot include un număr unic de telefon, un card de plastic cu un cod de bare sau un cip de date unic, un token USB sau alt dispozitiv criptografic. Teoretic, se poate și fura, dar este mult mai dificil. Și, având în vedere că factorul de proprietate este de obicei susținut de factorul cunoaștere (trebuie să introduceți mai întâi o parolă), șansele de a utiliza cu succes un dispozitiv furat sunt semnificativ reduse.
Factorul de proprietate. Folosește anumite calități personale pentru a identifica utilizatorul. Unele dintre cele mai unice includ amprentele digitale, fața în general, modelul irisului sau chiar o probă de ADN! Având în vedere gradul adecvat de sensibilitate al echipamentului de testare, este pur și simplu imposibil să ocoliți o astfel de protecție. Cu toate acestea, verificarea biometrică este încă departe de o asemenea perfecțiune, așa că în stadiul actual este de obicei completată cu factori suplimentari de control al accesului.

De fapt, autentificarea cu mai mulți factori este de fapt cu trei factori. În consecință, verificarea utilizatorului în doi pași implică eliminarea unuia dintre factori. De obicei, acesta este un factor de proprietate care necesită echipament biometric special pentru confirmare. Autentificarea cu doi factori nu necesită investiții speciale, dar poate crește semnificativ nivelul de securitate!

Astăzi, cel mai comun tip de autentificare cu doi factori pe internet este conectarea unui cont la telefonul utilizatorului. În general, introducem în mod tradițional un login cu o parolă, după care primim un cod PIN special unic pe telefon prin SMS sau mesaj PUSH, pe care îl introducem într-un formular special pentru a accesa site-ul de care avem nevoie. Alternativ, în loc de mesaj, puteți primi un apel de la un robot care vă va cere să apăsați un anumit număr de pe tastatura telefonului.

Autorizarea folosind jetoane USB este mai puțin obișnuită (de exemplu, în serviciile de contabilitate moderne). Un astfel de token conține o cheie criptată corespunzătoare unei parole care este cunoscută de utilizator. Când autorizați, trebuie să conectați jetonul la portul USB al computerului dvs. și apoi să introduceți parola într-un câmp special. Dacă se potrivește cu cel criptat pe token, va avea loc autorizarea.

Cu toate acestea, jetoanele costă bani și necesită reînnoirea periodică a cheilor, care, de asemenea, nu este întotdeauna gratuită. Prin urmare, cea mai frecvent utilizată metodă de verificare cu doi factori este încă verificarea telefonică. Și aici vom vorbi despre asta mai detaliat.

Autentificare cu doi factori în Windows

Windows 10 este un sistem de operare modern, prin urmare, prin definiție, trebuie să conțină funcții de securitate moderne. Unul dintre acestea este mecanismul de verificare cu doi factori a utilizatorului. Această funcție a apărut și a dispărut din nou în unele versiuni ale sistemului, trecând printr-o serie de îmbunătățiri, așa că dacă doriți să o utilizați, asigurați-vă că aveți toate actualizările (în special patch-ul KB3216755, care a reparat autentificarea în Actualizarea aniversară).

De asemenea, pentru ca verificarea în doi pași să funcționeze, va trebui să aveți un cont înregistrat la Microsoft. Adică, cu un „cont” local, din păcate, nimic nu va merge...

Acum trebuie să vă pregătiți telefonul pentru procedură. Trebuie să instalați o aplicație specială pe ea care va primi semnale de verificare a contului Windows și le va confirma. Pentru smartphone-urile cu Android, puteți alege programul oficial Microsoft Authenticator, iar pentru dispozitivele iOS, soluția unificată Google Authenticator (și pentru Android) este potrivită.

După toate setările preliminare, trebuie să vă conectați la contul Microsoft și să îl configurați pentru conectarea în doi factori. Cea mai simplă modalitate de a face acest lucru este apelând la snap-in „Opțiuni” capitol „Conturi”. În prima filă „E-mail și conturi”, faceți clic pe link „Gestionează-ți contul Microsoft”, după care ar trebui să fiți redirecționat către pagina de conectare a contului Microsoft.

Se va deschide o pagină cu setări, printre care trebuie să găsiți grupul „Verificare în doi pași”și faceți clic pe link „Configurarea verificării în doi pași”:

Veți vedea un expert pas cu pas pentru configurarea autentificării în doi factori, urmând instrucțiunile cărora puteți activa verificarea utilizatorului în doi pași atunci când vă conectați la Windows:

Autentificare în doi factori cu Google

După Windows, Android este pe locul doi în popularitate în rândul utilizatorilor moderni. Și majoritatea dispozitivelor Android, după cum știm, sunt „legate” la un cont Google. De asemenea, nu ar strica să-l protejezi în continuare. Mai mult, funcția de autentificare cu doi factori pentru conturile sale funcționează cu succes de destul de mult timp.

Pentru a accesa setările de verificare în doi pași, trebuie să vă conectați la contul dvs. Google, să accesați pagina specială și să faceți clic pe butonul "ÎNCEPE":

Vi se poate cere să reintroduceți parola contului pentru a confirma accesul la setările dvs. După aceasta, se va deschide un expert pas cu pas care vă va ajuta să setați parametrii necesari pentru verificarea contului în doi pași:

Tot ce trebuie să faceți este să introduceți numărul dvs. de telefon (cel mai probabil este deja „conectat” la contul dvs.), să primiți un SMS cu un cod de verificare unic, apoi să introduceți codul într-un câmp special și să activați procedura pentru toate ulterioare autorizatii.

Cu toate acestea, autentificarea cu telefonul nu este singura metodă de autentificare cu doi factori pe care o oferă Google. Dacă aveți un token FIDO Universal 2nd Factor (U2F), puteți, de asemenea, să configurați o conectare la contul dvs. folosindu-l. Citiți mai multe despre cum să faceți acest lucru. Ei bine, desigur, puteți primi coduri de verificare nu doar sub formă de SMS, ci și mesaje PUSH în aplicația Google Authenticator pe care am menționat-o deja mai sus.

Autentificare cu doi factori pe rețelele sociale

Urmând tendințele generale, dezvoltatorii unor rețele sociale mari s-au ocupat și de autentificarea în doi factori.

DFA pe Facebook

Facebook, fiind una dintre cele mai populare rețele sociale din Occident, precum Google, oferă de mult utilizatorilor săi o funcție de verificare a contului în doi pași. Mai mult, codurile de acces pot fi primite atât prin SMS, cât și în aplicațiile de autorizare universală. Dintre acestea, Google Authenticator și Duo Mobile sunt acceptate.

Puteți activa autentificarea cu doi factori pe Facebook, accesând secțiunea de setări

Doar leneșii nu sparg parolele. Recenta scurgere masivă de conturi de la Yahoo confirmă doar faptul că o singură parolă - indiferent cât de lungă sau complexă ar fi - nu mai este suficientă pentru o protecție fiabilă. Autentificarea cu doi factori este ceea ce promite să ofere această protecție, adăugând un nivel suplimentar de securitate.

În teorie, totul arată bine, iar în practică, în general, funcționează. Autentificarea cu doi factori îngreunează piratarea contului dvs. Acum nu este suficient ca un atacator să atragă, să fure sau să spargă parola principală. Pentru a vă conecta în contul dvs., trebuie să introduceți și un cod unic, care... Dar exact modul în care se obține acest cod unic este cel mai interesant lucru.

Ați întâlnit de multe ori autentificarea cu doi factori, chiar dacă nu ați auzit niciodată de ea. Ați introdus vreodată un cod unic care v-a fost trimis prin SMS? Acesta este, un caz special de autentificare cu doi factori. Ajută? Sincer să fiu, nu chiar: atacatorii au învățat deja să ocolească acest tip de protecție.

Astăzi vom analiza toate tipurile de autentificare cu doi factori utilizate pentru a proteja Contul Google, ID-ul Apple și Contul Microsoft pe platformele Android, iOS și Windows 10 Mobile.

Măr

Autentificarea cu doi factori a apărut pentru prima dată pe dispozitivele Apple în 2013. În acele zile, a convinge utilizatorii de necesitatea unei protecții suplimentare nu era ușor. Apple nici măcar nu a încercat: autentificarea în doi factori (numită verificare în doi pași sau verificare în doi pași) a fost folosită doar pentru a proteja împotriva daunelor financiare directe. De exemplu, era necesar un cod unic atunci când efectuați o achiziție de pe un dispozitiv nou, schimbați o parolă și comunicați cu asistență despre subiecte legate de un cont Apple ID.

Nu s-a terminat bine. În august 2014, a existat o scurgere masivă de fotografii cu celebrități. Hackerii au reușit să obțină acces la conturile victimelor și au descărcat fotografii de pe iCloud. Un scandal a izbucnit, determinând Apple să extindă rapid suportul pentru verificarea în doi pași pentru a accesa copiile de rezervă și fotografiile iCloud. În același timp, compania a continuat să lucreze la o nouă generație de metode de autentificare cu doi factori.

Verificare în doi pași

Pentru a furniza coduri, verificarea în doi pași folosește mecanismul Găsește-mi telefonul, care a fost conceput inițial pentru a furniza notificări push și comenzi de blocare în cazul unui telefon pierdut sau furat. Codul este afișat în partea de sus a ecranului de blocare, așa că, dacă un atacator obține un dispozitiv de încredere, va putea obține un cod unic și îl va folosi fără să știe măcar parola dispozitivului. Acest mecanism de livrare este, sincer, o verigă slabă.

De asemenea, puteți primi codul prin SMS sau apel vocal la numărul de telefon înregistrat. Această metodă nu este mai sigură. Cartela SIM poate fi scoasă de pe un iPhone bine protejat și introdusă în orice alt dispozitiv, după care poate fi primit un cod pe acesta. În cele din urmă, o cartelă SIM poate fi clonată sau preluată de la un operator de telefonie mobilă folosind o procură falsă - acest tip de fraudă a devenit acum pur și simplu o epidemie.

Dacă nu aveți acces nici la un iPhone de încredere, nici la un număr de telefon de încredere, atunci pentru a vă accesa contul trebuie să utilizați o cheie specială din 14 cifre (pe care, apropo, este recomandat să o imprimați și să o păstrați într-un loc sigur , și ține cu tine când călătorești). Dacă îl pierdeți și dvs., nu este mare lucru: accesul la contul dvs. poate fi închis pentru totdeauna.

Cât de sigur este?

Sincer să fiu, nu chiar. Verificarea în doi pași este incredibil de prost implementată și și-a câștigat, pe bună dreptate, reputația de cel mai prost sistem de autentificare în doi factori dintre toți cei trei jucători mari. Dacă nu există altă opțiune, atunci verificarea în doi pași este totuși mai bună decât nimic. Dar există o alegere: odată cu lansarea iOS 9, Apple a introdus un sistem de securitate complet nou, căruia i s-a dat numele simplu „autentificare în doi factori”.

Care este mai exact slăbiciunea acestui sistem? În primul rând, codurile unice furnizate prin mecanismul Găsește-mi telefonul apar direct pe ecranul de blocare. În al doilea rând, autentificarea pe baza numerelor de telefon este nesigură: SMS-urile pot fi interceptate atât la nivel de furnizor, cât și prin înlocuirea sau clonarea cartelei SIM. Dacă aveți acces fizic la cartela SIM, atunci puteți să o instalați pur și simplu pe alt dispozitiv și să primiți codul pe temeiuri complet legale.

De asemenea, rețineți că infractorii au învățat să obțină carduri SIM pentru a le înlocui pe cele „pierdute”, folosind procuri false. Dacă parola îți este furată, atunci a-ți afla numărul de telefon este o simplă. Este falsificată împuternicirea, se obține o nouă cartelă SIM - de fapt, nu este nevoie de nimic altceva pentru a vă accesa contul.

Cum să piratați autentificarea Apple

Această versiune de autentificare cu doi factori este destul de ușor de piratat. Există mai multe opțiuni:

citiți un cod unic de pe un dispozitiv de încredere - deblocarea nu este necesară;
mutați cartela SIM pe alt dispozitiv, primiți SMS-uri;
clonează o cartelă SIM, obține un cod pentru aceasta;
utilizați un token de autentificare binar copiat de pe computerul utilizatorului.

Cum să te protejezi

Protecția prin verificare în doi pași nu este gravă. Nu-l folosi deloc. În schimb, activați autentificarea adevărată cu doi factori.

Autentificare cu doi factori

A doua încercare a Apple se numește oficial „autentificare cu doi factori”. În loc să înlocuiască schema anterioară de verificare în doi pași, cele două sisteme există în paralel (cu toate acestea, doar una dintre cele două scheme poate fi utilizată în cadrul aceluiași cont).

Autentificarea cu doi factori a apărut ca parte a iOS 9 și versiunea de macOS a fost lansată simultan cu acesta. Noua metodă include verificare suplimentară ori de câte ori încercați să vă conectați la contul Apple ID de pe un dispozitiv nou: toate dispozitivele de încredere (iPhone, iPad, iPod Touch și computerele care rulează cele mai recente versiuni de macOS) primesc instantaneu o notificare interactivă. Pentru a accesa notificarea, trebuie să deblocați dispozitivul (cu o parolă sau senzor de amprentă), iar pentru a primi un cod unic, trebuie să faceți clic pe butonul de confirmare din caseta de dialog.

Ca și în metoda anterioară, în noua schemă este posibil să primiți o parolă unică sub formă de SMS sau apel vocal către un număr de telefon de încredere. Cu toate acestea, spre deosebire de verificarea în doi pași, notificările push vor fi livrate utilizatorului în orice caz, iar utilizatorul poate bloca o încercare neautorizată de a se conecta la cont de pe oricare dintre dispozitivele sale.

Parolele aplicației sunt, de asemenea, acceptate. Dar Apple a abandonat codul de recuperare a accesului: dacă vă pierdeți singurul iPhone împreună cu o cartelă SIM de încredere (pe care din anumite motive nu o puteți restaura), pentru a restabili accesul la contul dvs. va trebui să treceți printr-o căutare reală cu confirmare de identitate (și nu, scanarea unui pașaport nu este o astfel de confirmare... iar originalul, după cum se spune, „nu funcționează”).

Dar în noul sistem de securitate a existat un loc pentru o schemă offline convenabilă și familiară pentru generarea de coduri unice. Utilizează un mecanism complet standard TOTP (parolă unică bazată pe timp), care generează coduri unice din șase cifre la fiecare treizeci de secunde. Aceste coduri sunt legate de ora exactă, iar dispozitivul de încredere însuși acționează ca un generator (autentificator). Codurile sunt obținute din adâncimea setărilor de sistem ale iPhone sau iPad prin Apple ID -> Parolă și securitate.

Nu vom explica în detaliu ce este TOTP și pentru ce este folosit, dar va trebui totuși să vorbim despre principalele diferențe dintre implementarea acestei metode în iOS și o schemă similară în Android și Windows.

Spre deosebire de principalii săi concurenți, Apple permite ca doar dispozitivele proprii să fie folosite ca autentificatori. Rolul lor poate fi jucat de un iPhone, iPad sau iPod Touch de încredere care rulează iOS 9 sau 10. Mai mult, fiecare dispozitiv este inițializat cu un secret unic, care vă permite să revocați cu ușurință și fără durere statutul de încredere de la acesta (și numai de la acesta) dacă se pierde. Dacă autentificatorul de la Google este compromis, atunci starea tuturor autentificatorilor inițializați va trebui să fie revocată (și reinițializată), deoarece Google a decis să folosească un singur secret pentru inițializare.

Cât de sigur este

În comparație cu implementarea anterioară, noua schemă este încă mai sigură. Datorită suportului din partea sistemului de operare, noua schemă este mai consistentă, logică și mai ușor de utilizat, ceea ce este important din punctul de vedere al atragerii utilizatorilor. Sistemul de livrare a parolelor unice a fost, de asemenea, reproiectat semnificativ; singura verigă slabă rămasă este livrarea către un număr de telefon de încredere, pe care utilizatorul trebuie să îl verifice.

Acum, atunci când încearcă să se conecteze la un cont, utilizatorul primește instantaneu notificări push către toate dispozitivele de încredere și are opțiunea de a respinge încercarea. Cu toate acestea, dacă atacatorul acționează suficient de repede, el poate avea acces la cont.

Cum să piratați autentificarea cu doi factori

La fel ca în schema anterioară, autentificarea cu doi factori poate fi piratată folosind un simbol de autentificare copiat de pe computerul utilizatorului. Un atac asupra cartelei SIM va funcționa și el, dar o încercare de a primi codul prin SMS va declanșa în continuare notificări pe toate dispozitivele de încredere ale utilizatorului, iar acesta poate avea timp să respingă autentificarea. Dar nu veți putea să spionați codul pe ecranul unui dispozitiv blocat: va trebui să deblocați dispozitivul și să dați confirmare în caseta de dialog.

Cum să te protejezi

Nu au mai rămas multe vulnerabilități în noul sistem. Dacă Apple a abandonat adăugarea obligatorie a unui număr de telefon de încredere (și pentru a activa autentificarea cu doi factori ar trebui verificat cel puțin un număr de telefon), ar putea fi numit ideal. Din păcate, necesitatea verificării unui număr de telefon adaugă o vulnerabilitate serioasă. Puteți încerca să vă protejați în același mod în care protejați numărul la care sunt trimise parolele unice de la bancă.

Continuarea este disponibilă numai pentru abonați

Opțiunea 1. Abonați-vă la Hacker pentru a citi toate materialele de pe site

Abonamentul vă va permite să citiți TOATE materialele plătite de pe site în perioada specificată.

Acceptăm plăți cu carduri bancare, monedă electronică și transferuri din conturile operatorului de telefonie mobilă.

Vă voi arăta cum să vă protejați contul de e-mail activând autentificarea cu doi factori pe Mail. După ce ați introdus parola pentru contul dvs. de e-mail, veți primi un cod SMS pe telefon, pe care va trebui să-l introduceți pentru a vă conecta la contul de e-mail.

1. Activați autentificarea cu doi factori.

Accesați mail.ru apoi conectați-vă la contul dvs. introducând numele de utilizator și parola. Apoi, după ce v-ați conectat la contul dvs. din dreapta sus, faceți clic pe setări.

În Setări, introduceți Parolă și securitate. Și în dreapta există un articol numit Secure Login cu confirmare prin SMS. Faceți clic pe activare.

Chiar doriți să activați autentificarea cu doi factori Yandex?

Autentificarea cu doi factori oferă un nivel suplimentar de protecție pentru contul dvs. Odată ce autentificarea este activată, când încercați să vă conectați la căsuța poștală, vi se va solicita să introduceți un cod trimis ca SMS la numărul dvs. de telefon conectat.

Introduceți parola contului, indicați numărul de telefon și faceți clic pe Continuare.

Autentificarea cu doi factori este activată.

Adăugați parole pentru fiecare aplicație.

Vă rugăm să rețineți că toate aplicațiile externe în care ați folosit această cutie poștală au încetat să funcționeze. Pentru a începe să le utilizați din nou, accesați setări și creați parole pentru fiecare.

Faceți clic pe Configurați autentificarea cu doi factori.

Asta e tot. Autentificarea cu doi factori funcționează deja. Acum, după ce ați introdus parola pentru contul dvs. mail.ru, veți primi pe telefon un cod SMS, pe care va trebui să îl introduceți pentru a vă conecta la contul dvs. Astfel, dacă cineva află parola contului tău, tot nu se va putea conecta la ea, deoarece va trebui să introducă un cod SMS, iar codul SMS va fi trimis pe telefonul tău.

2. Creați o parolă pentru aplicațiile externe.

Puteți continua să configurați și să personalizați The Bat! și Microsoft Outlook, dacă le utilizați și aveți cutia poștală mail.ru adăugată acolo. Faceți clic pe adăugați aplicație.

Crearea unei noi aplicații. Este necesară o parolă pentru aplicație pentru ca e-mailul să funcționeze în aplicații terță parte.

Creați un nume pentru această aplicație și faceți clic pe creați.

Introduceți parola curentă pentru contul dvs. mail.ru și faceți clic pe accept.

3. Creați coduri unice.

De asemenea, puteți genera o parolă unică. Acest lucru se întâmplă în cazul în care telefonul dvs. este indisponibil sau vă este furat și nu vă puteți folosi numărul.

Un cod unic poate fi utilizat atunci când nu există acces la un telefon mobil conectat. Fiecare dintre ele devine inactiv după utilizare. După regenerarea codurilor, toate codurile vechi devin invalide. Vă rugăm să rețineți că acestea vă vor fi afișate o singură dată. Se recomandă să tipăriți codurile generate și să le păstrați într-un loc sigur.

Faceți clic pe generare.

Sigur doriți să generați un nou tabel de coduri? Vă rugăm să rețineți că vechile coduri nu vor mai fi valabile.

Faceți clic pe Continuare.

Introdu parola curentă pentru contul tău mail.ru și codul SMS care va fi trimis la numărul tău.

Faceți clic pe accept.

Pentru dvs. vor fi generate coduri unice (care sunt de obicei generate și trimise prin SMS). Salvați-le undeva (doar nu în telefon, așa cum sunt doar în cazul în care nu aveți telefonul cu dvs.). Ei bine, nu le arăta nimănui. Și dacă îți ții mereu telefonul cu tine și ești sigur că nu va fi furat și poți oricând să-ți restaurezi numărul, atunci nu poți folosi deloc coduri unice și să le ștergi.

Acum, când încercați să vă conectați la e-mail de pe un smartphone sau tabletă sau în altă parte, introduceți numele de utilizator și parola și faceți clic pe conectare.

De asemenea, va trebui să introduceți un cod SMS care va fi trimis la numărul dvs. sau un cod unic generat. Dacă nu mai doriți să introduceți un cod SMS de fiecare dată când verificați e-mailul pe smartphone-ul dvs., de exemplu, atunci bifați caseta nu întrebați pentru acest dispozitiv.

Și dacă nu primiți codul SMS, apăsați probleme de conectare?