Meniul
AcasăAvarii

Cum să activați autentificarea cu doi factori pe Google. Autentificare cu doi factori pentru securitatea criptomonedei

Autentificarea în doi factori se bazează pe utilizarea nu numai a combinației tradiționale de conectare-parolă, ci și a unui nivel suplimentar de protecție - așa-numitul al doilea factor, a cărui posesie trebuie confirmată pentru a obține acces la un cont sau alte date.

Cel mai simplu exemplu de autentificare cu doi factori pe care fiecare dintre noi îl întâlnim în mod constant este retragerea de numerar de la un bancomat. Pentru a primi bani, ai nevoie de un card pe care îl ai doar tu și de un cod PIN pe care doar tu îl cunoști. După ce ați obținut cardul, atacatorul nu va putea retrage numerar fără a cunoaște codul PIN și, în același mod, nu va putea primi bani dacă îl știe, dar nu deține cardul.

Același principiu de autentificare cu doi factori este folosit pentru a vă accesa conturile de pe rețelele sociale, e-mail și alte servicii. Primul factor este combinația de autentificare și parolă, iar al doilea factor poate fi următoarele 5 lucruri.

coduri SMS

Ken Banks/flickr.com

Verificarea folosind coduri SMS funcționează foarte simplu. Ca de obicei, introduceți numele de utilizator și parola, după care este trimis un SMS cu un cod la numărul dvs. de telefon, pe care trebuie să îl introduceți pentru a vă conecta în cont. Asta este tot. Data viitoare când vă conectați, este trimis un alt cod SMS, valabil doar pentru sesiunea curentă.

Avantaje

  • Generați coduri noi de fiecare dată când vă conectați. Dacă atacatorii vă interceptează numele de utilizator și parola, ei nu vor putea face nimic fără cod.
  • Link către un număr de telefon. Conectarea nu este posibilă fără numărul dvs. de telefon.

Defecte

  • Dacă nu există semnal celular, nu vă veți putea autentifica.
  • Există o posibilitate teoretică de înlocuire a numerelor prin serviciul operatorului sau al angajaților magazinelor de comunicații.
  • Dacă vă conectați și primiți coduri pe același dispozitiv (de exemplu, un smartphone), atunci protecția încetează să mai fie cu doi factori.

Aplicații de autentificare


authy.com

Această opțiune este în multe privințe similară cu cea anterioară, singura diferență fiind că, în loc să primească coduri prin SMS, acestea sunt generate pe dispozitiv folosind o aplicație specială (Google Authenticator, Authy). În timpul configurării, primiți o cheie primară (cel mai adesea sub forma unui cod QR), pe baza căreia parolele unice cu o perioadă de valabilitate de 30 până la 60 de secunde sunt generate folosind algoritmi criptografici. Chiar dacă presupunem că atacatorii pot intercepta 10, 100 sau chiar 1.000 de parole, este pur și simplu imposibil să prezicem cu ajutorul lor care va fi următoarea parolă.

Avantaje

  • Autentificatorul nu necesită un semnal de rețea celulară; o conexiune la Internet este suficientă în timpul configurării inițiale.
  • Acceptă mai multe conturi într-un singur autentificator.

Defecte

  • Dacă atacatorii obțin acces la cheia principală de pe dispozitivul dvs. sau piratand serverul, ei vor putea genera parole viitoare.
  • Dacă utilizați un autentificator pe același dispozitiv de pe care vă conectați, pierdeți funcționalitatea cu doi factori.

Verificare autentificare folosind aplicații mobile

Acest tip de autentificare poate fi numit un amestec al tuturor celor anterioare. În acest caz, în loc să solicitați coduri sau parole unice, trebuie să confirmați autentificarea de pe dispozitivul mobil cu aplicația de serviciu instalată. Pe dispozitiv este stocată o cheie privată, care este verificată de fiecare dată când vă conectați. Acest lucru funcționează pe Twitter, Snapchat și diverse jocuri online. De exemplu, atunci când vă conectați la contul dvs. de Twitter în versiunea web, introduceți numele de utilizator și parola, apoi sosește o notificare pe smartphone-ul dvs. care vă cere să vă conectați, după ce ați confirmat care feed se deschide în browser.

Avantaje

  • Nu trebuie să introduceți nimic când vă conectați.
  • Independență față de rețeaua celulară.
  • Acceptă mai multe conturi într-o singură aplicație.

Defecte

  • Dacă atacatorii vă interceptează cheia privată, vă pot uzurpa identitatea.
  • Punctul de autentificare cu doi factori se pierde atunci când utilizați același dispozitiv pentru a vă conecta.

Jetoane hardware


yubico.com

Tokenurile fizice (sau hardware) sunt cea mai sigură metodă de autentificare cu doi factori. Fiind dispozitive separate, jetoanele hardware, spre deosebire de toate metodele enumerate mai sus, nu își vor pierde în niciun caz componenta cu doi factori. Cel mai adesea ele sunt prezentate sub formă de brelocuri USB cu propriul procesor care generează chei criptografice care sunt introduse automat atunci când sunt conectate la un computer. Alegerea cheii depinde de serviciul specific. Google, de exemplu, recomandă utilizarea jetoanelor FIDO U2F, prețuri pentru care încep de la 6 USD, excluzând transportul.

Avantaje

  • Fără SMS sau aplicații.
  • Nu este necesar niciun dispozitiv mobil.
  • Este un dispozitiv complet independent.

Defecte

  • Trebuie să cumpărați separat.
  • Nu este acceptat în toate serviciile.
  • Când utilizați mai multe conturi, va trebui să aveți o mulțime de jetoane.

Chei de rezervă

De fapt, aceasta nu este o metodă separată, ci o opțiune de rezervă în cazul pierderii sau furtului unui smartphone, care primește parole unice sau coduri de confirmare. Când configurați autentificarea cu doi factori cu fiecare serviciu, vi se oferă mai multe chei de rezervă pentru a le utiliza în situații de urgență. Cu ajutorul lor, puteți să vă conectați la contul dvs., să deconectați dispozitivele configurate și să adăugați altele noi. Aceste chei ar trebui să fie stocate într-un loc sigur și nu ca o captură de ecran pe un smartphone sau un fișier text pe un computer.

După cum puteți vedea, există câteva nuanțe în utilizarea autentificării cu doi factori, dar par complicate doar la prima vedere. Care ar trebui să fie raportul ideal de protecție și comoditate, fiecare decide singur. Dar, în orice caz, toate necazurile sunt mai mult decât justificate când vine vorba de securitatea datelor de plată sau a informațiilor personale care nu sunt destinate privirilor indiscrete.

Puteți citi unde puteți și ar trebui să activați autentificarea cu doi factori, precum și ce servicii o acceptă.

Autentificarea în doi factori se bazează pe utilizarea nu numai a combinației tradiționale de conectare-parolă, ci și a unui nivel suplimentar de protecție - așa-numitul al doilea factor, a cărui posesie trebuie confirmată pentru a obține acces la un cont sau alte date.

Cel mai simplu exemplu de autentificare cu doi factori pe care fiecare dintre noi îl întâlnim în mod constant este retragerea de numerar de la un bancomat. Pentru a primi bani, ai nevoie de un card pe care îl ai doar tu și de un cod PIN pe care doar tu îl cunoști. După ce ați obținut cardul, atacatorul nu va putea retrage numerar fără a cunoaște codul PIN și, în același mod, nu va putea primi bani dacă îl știe, dar nu deține cardul.

Același principiu de autentificare cu doi factori este folosit pentru a vă accesa conturile de pe rețelele sociale, e-mail și alte servicii. Primul factor este combinația de autentificare și parolă, iar al doilea factor poate fi următoarele 5 lucruri.

coduri SMS

Ken Banks/flickr.com

Verificarea folosind coduri SMS funcționează foarte simplu. Ca de obicei, introduceți numele de utilizator și parola, după care este trimis un SMS cu un cod la numărul dvs. de telefon, pe care trebuie să îl introduceți pentru a vă conecta în cont. Asta este tot. Data viitoare când vă conectați, este trimis un alt cod SMS, valabil doar pentru sesiunea curentă.

Avantaje

  • Generați coduri noi de fiecare dată când vă conectați. Dacă atacatorii vă interceptează numele de utilizator și parola, ei nu vor putea face nimic fără cod.
  • Link către un număr de telefon. Conectarea nu este posibilă fără numărul dvs. de telefon.

Defecte

  • Dacă nu există semnal celular, nu vă veți putea autentifica.
  • Există o posibilitate teoretică de înlocuire a numerelor prin serviciul operatorului sau al angajaților magazinelor de comunicații.
  • Dacă vă conectați și primiți coduri pe același dispozitiv (de exemplu, un smartphone), atunci protecția încetează să mai fie cu doi factori.

Aplicații de autentificare


authy.com

Această opțiune este în multe privințe similară cu cea anterioară, singura diferență fiind că, în loc să primească coduri prin SMS, acestea sunt generate pe dispozitiv folosind o aplicație specială (Google Authenticator, Authy). În timpul configurării, primiți o cheie primară (cel mai adesea sub forma unui cod QR), pe baza căreia parolele unice cu o perioadă de valabilitate de 30 până la 60 de secunde sunt generate folosind algoritmi criptografici. Chiar dacă presupunem că atacatorii pot intercepta 10, 100 sau chiar 1.000 de parole, este pur și simplu imposibil să prezicem cu ajutorul lor care va fi următoarea parolă.

Avantaje

  • Autentificatorul nu necesită un semnal de rețea celulară; o conexiune la Internet este suficientă în timpul configurării inițiale.
  • Acceptă mai multe conturi într-un singur autentificator.

Defecte

  • Dacă atacatorii obțin acces la cheia principală de pe dispozitivul dvs. sau piratand serverul, ei vor putea genera parole viitoare.
  • Dacă utilizați un autentificator pe același dispozitiv de pe care vă conectați, pierdeți funcționalitatea cu doi factori.

Verificare autentificare folosind aplicații mobile

Acest tip de autentificare poate fi numit un amestec al tuturor celor anterioare. În acest caz, în loc să solicitați coduri sau parole unice, trebuie să confirmați autentificarea de pe dispozitivul mobil cu aplicația de serviciu instalată. Pe dispozitiv este stocată o cheie privată, care este verificată de fiecare dată când vă conectați. Acest lucru funcționează pe Twitter, Snapchat și diverse jocuri online. De exemplu, atunci când vă conectați la contul dvs. de Twitter în versiunea web, introduceți numele de utilizator și parola, apoi sosește o notificare pe smartphone-ul dvs. care vă cere să vă conectați, după ce ați confirmat care feed se deschide în browser.

Avantaje

  • Nu trebuie să introduceți nimic când vă conectați.
  • Independență față de rețeaua celulară.
  • Acceptă mai multe conturi într-o singură aplicație.

Defecte

  • Dacă atacatorii vă interceptează cheia privată, vă pot uzurpa identitatea.
  • Punctul de autentificare cu doi factori se pierde atunci când utilizați același dispozitiv pentru a vă conecta.

Jetoane hardware


yubico.com

Tokenurile fizice (sau hardware) sunt cea mai sigură metodă de autentificare cu doi factori. Fiind dispozitive separate, jetoanele hardware, spre deosebire de toate metodele enumerate mai sus, nu își vor pierde în niciun caz componenta cu doi factori. Cel mai adesea ele sunt prezentate sub formă de brelocuri USB cu propriul procesor care generează chei criptografice care sunt introduse automat atunci când sunt conectate la un computer. Alegerea cheii depinde de serviciul specific. Google, de exemplu, recomandă utilizarea jetoanelor FIDO U2F, prețuri pentru care încep de la 6 USD, excluzând transportul.

Avantaje

  • Fără SMS sau aplicații.
  • Nu este necesar niciun dispozitiv mobil.
  • Este un dispozitiv complet independent.

Defecte

  • Trebuie să cumpărați separat.
  • Nu este acceptat în toate serviciile.
  • Când utilizați mai multe conturi, va trebui să aveți o mulțime de jetoane.

Chei de rezervă

De fapt, aceasta nu este o metodă separată, ci o opțiune de rezervă în cazul pierderii sau furtului unui smartphone, care primește parole unice sau coduri de confirmare. Când configurați autentificarea cu doi factori cu fiecare serviciu, vi se oferă mai multe chei de rezervă pentru a le utiliza în situații de urgență. Cu ajutorul lor, puteți să vă conectați la contul dvs., să deconectați dispozitivele configurate și să adăugați altele noi. Aceste chei ar trebui să fie stocate într-un loc sigur și nu ca o captură de ecran pe un smartphone sau un fișier text pe un computer.

După cum puteți vedea, există câteva nuanțe în utilizarea autentificării cu doi factori, dar par complicate doar la prima vedere. Care ar trebui să fie raportul ideal de protecție și comoditate, fiecare decide singur. Dar, în orice caz, toate necazurile sunt mai mult decât justificate când vine vorba de securitatea datelor de plată sau a informațiilor personale care nu sunt destinate privirilor indiscrete.

Puteți citi unde puteți și ar trebui să activați autentificarea cu doi factori, precum și ce servicii o acceptă.

Verificare Google în doi pași

Contul dvs. Google are nevoie de protecție sporită, deoarece este utilizat pentru a accesa informațiile cardului dvs. de credit pentru a efectua achiziții în magazinul de aplicații Google Play, mesaje importante, documente și e-mailuri și chiar videoclipuri YouTube. Din fericire, gigantul tehnologic a implementat un sistem de autentificare cu doi factori încă din 2010.

Google numește acest sistem „Verificare în doi pași”. Această metodă vă permite să identificați un utilizator folosind un dispozitiv mobil. Când activați verificarea în doi pași pe Google, aveți mai multe opțiuni disponibile. Prima opțiune se numește Google Prompt - utilizatorul pur și simplu își adaugă smartphone-ul în contul său și verifică dacă aplicația de căutare Google este instalată pe dispozitiv. Apoi, când încercați să vă conectați la contul dvs., va trebui să confirmați de pe smartphone că faceți acest lucru personal.

Dacă acest lucru nu funcționează, va trebui să introduceți un cod suplimentar care va fi trimis către smartphone-ul dvs. prin mesaj text SMS, apel vocal sau folosind aplicația Google Authenticator. În contul personal, vă puteți înregistra computerul, astfel încât să nu fie nevoie să introduceți un cod de fiecare dată când vă conectați. Dacă aveți un cont de companie G Suite, puteți alege să primiți un cod la fiecare 30 de zile.

Google Authenticator poate genera un cod de autentificare chiar dacă smartphone-ul dvs. nu este conectat la Internet. Mai întâi trebuie să activați verificarea în doi pași. Aplicația va scana apoi codul QR de pe ecranul desktopului și apoi va genera parole unice pe baza valorii timpului sau a contorului, care vor trebui introduse în câmpul corespunzător. Această metodă înlocuiește mesajele text, apelurile vocale sau mesajele de e-mail. Google Authenticator funcționează cu alte servicii precum LastPass, Facebook, Evernote, Microsoft, Dropbox și Slack.

După ce ați configurat verificarea în doi pași de la Google, accesați din nou setările Contului dvs. Google. Apoi puteți configura un număr de telefon pentru a primi coduri de acces, puteți trece la utilizarea Google Authenticator și puteți avea acces la 10 coduri de rezervă pe care le puteți imprima în caz de urgență (de exemplu, bateria smartphone-ului dvs. este descărcată și nu puteți accesa aplicația de autentificare).

În această interfață, puteți crea parole pentru aplicații. Să presupunem că doriți să utilizați un cont Google într-un serviciu care nu acceptă autentificarea Google standard. Dacă aveți activată autentificarea cu doi factori, veți avea nevoie de parola aplicației pentru a vă folosi contul Google în serviciu.

Cum să activați autentificarea cu doi factori pe Google

  1. Faceți clic pe pagina de profil din colțul din dreapta sus al ecranului și faceți clic pe butonul „Contul meu”.
  2. Odată ce pagina contului se încarcă, selectați pagina „Securitate și autentificare”.
  3. În secțiunea „Parola și metoda de conectare la cont”, selectați „Verificare în doi pași”.
  4. În acest moment, dacă doriți să faceți modificări în procedura de autentificare, Google vă poate solicita să vă reintroduceți parola. Introduceți parola pentru a continua configurarea securității.
  5. Acum puteți configura verificarea în doi pași. Faceți clic pe butonul „Continuați”.
  6. Introdu numarul tau de telefon. Veți putea primi mesaje text sau apeluri telefonice la acest număr. Selectați opțiunea dorită și faceți clic pe „Următorul”.
  7. După aceasta, veți primi un mesaj SMS sau un apel telefonic cu un cod de acces. Introduceți numerele fără prefixul „-G” și faceți clic pe „Următorul”.
  8. După aceasta, următoarea pagină se va deschide cu mesajul „Success!” Doriți să activați verificarea în doi pași?” Faceți clic pe „Activați”.

Puteți accesa apoi pagina de configurare a verificării în doi pași, unde puteți configura un al doilea factor alternativ în cazul în care nu puteți primi mesaje text sau apeluri vocale. Vă rugăm să rețineți că opțiunea implicită este primirea codurilor prin SMS. Funcționalitatea acestei metode depinde de operatorul dvs. de telefonie mobilă. În plus, această metodă este mai puțin sigură decât alte metode disponibile. O altă opțiune foarte populară este utilizarea aplicației Google Authenticator sau Google Prompt. De asemenea, vor avea nevoie de un dispozitiv mobil.

Cum să adăugați Google Authenticator ca al doilea factor de autentificare

  1. Instalați aplicația Google Authenticator pe dispozitivul dvs. mobil
  2. Accesați pagina de configurare a autentificării în doi pași a contului Google și, în panoul „Aplicație de autentificare”, faceți clic pe butonul „Creați”
  3. Selectați sistemul de operare al smartphone-ului dvs. - Android sau iOS și faceți clic pe „Următorul”
  4. Deschideți aplicația Google Authenticator pe dispozitivul dvs. mobil și selectați opțiunea „Scanați codul de bare”.
  5. Scanați codul QR care apare pe ecranul computerului și faceți clic pe Următorul
  6. Pe ecranul telefonului mobil va apărea o notificare „cod secret salvat” și va fi afișat un cod digital. Introduceți acest cod pe computer și faceți clic pe „Confirmare”

Cum să adăugați Google Prompt ca al doilea factor de autentificare

  1. Accesați pagina de verificare în doi pași a contului Google și, în panoul „Google Prompt”, faceți clic pe butonul „Adăugați telefon”
  2. Pe ecranul următor, faceți clic pe „Începeți”
  3. Apoi selectați telefonul conectat la contul dvs. Google. Asigurați-vă că telefonul dvs. are instalată aplicația de căutare Google și că este conectat la internet. Faceți clic pe „Următorul”.
  4. În notificarea care apare pe telefonul dvs. mobil, faceți clic pe butonul „Da”.
  5. Apoi faceți clic pe butonul „Terminare” de pe computer. Configurarea Google Prompt este finalizată.

Cum se creează o parolă pentru aplicația Google

Parola unei aplicații este o parolă din 16 cifre care dă unei aplicații sau unui dispozitiv permisiunea de a vă accesa Contul Google. Dacă utilizați verificarea în doi pași și vedeți o eroare „parolă greșită” când încercați să vă conectați la contul dvs. Google, o parolă pentru aplicație poate rezolva problema. În cele mai multe cazuri, va trebui să introduceți parola aplicației o singură dată pentru fiecare aplicație sau dispozitiv, așa că nu vă faceți griji să vă amintiți.

  1. Faceți clic pe linkul „parole aplicației” din secțiunea „Parola și metoda de conectare” din pagina de setări de securitate a contului Google. Vi se poate cere să vă conectați la Contul dvs. Google.
  2. În partea de jos, selectați aplicația pe care o utilizați din lista derulantă.
  3. În următoarea listă derulantă, selectați dispozitivul pe care îl utilizați.
  4. Faceți clic pe butonul „Creați”.
  5. Urmați instrucțiunile pentru a introduce parola aplicației (codul din 16 cifre pe linia galbenă) pe dispozitiv.
  6. Faceți clic pe „Terminat”.

Această declarație are sens și se aplică, în primul rând, companiilor din sectorul financiar, precum și unui număr de companii care efectuează activități de cercetare, dezvoltare și tehnologie (R&D) în sectoarele de înaltă tehnologie ale pieței.

Folosind acest tip de 2FA, utilizatorul introduce o parolă personală la primul nivel de autentificare. În pasul următor, el trebuie să introducă jetonul OTP, trimis de obicei prin SMS pe dispozitivul său mobil. Ideea metodei este clară. OTP va fi accesibil numai celor care, după cum se presupune în teorie, au introdus o parolă care este inaccesibilă altora.

Cu toate acestea, din păcate, trimiterea OTP prin SMS este în general nesigură, deoarece mesajele sunt adesea trimise în text clar. Chiar și hackerii începători pot citi astfel de mesaje text, deoarece tot ce au nevoie este numărul de telefon țintă.

În plus, autentificarea multifactorială nu poate preveni atacurile MitM, care sunt adesea folosite în escrocherii prin phishing prin e-mail. Dacă atacul are succes, utilizatorul va face clic pe linkul fraudulos și va fi dus pe un site similar cu un portal de servicii bancare online. Acolo, utilizatorul va introduce informații de conectare și alte date confidențiale, care vor fi folosite de atacator pentru a obține acces la site-ul real.

Deși acest atac va fi posibil doar pentru o perioadă limitată de timp, este totuși posibil.

Cerințe ale Serviciului Federal de Control Tehnic și Export pentru autentificarea cu mai mulți factori

La începutul anului 2014, Serviciul Federal de Control Tehnic și Export (FSTEC) a aprobat un document metodologic privind măsurile de protecție a informațiilor din sistemele informaționale ale statului. Documentul a clarificat multe aspecte privind măsurile organizatorice și tehnice de protecție a informațiilor luate în sistemele informaționale de stat, în conformitate cu ordinul aprobat al FSTEC al Rusiei din 11 februarie 2013 nr. 17.

FSTEC recomandă insistent abandonarea completă a autentificării obișnuite bazată pe parole statice pentru toți utilizatorii fără excepție și trecerea la o autentificare multi-factor mai fiabilă. Cerințele obligatorii pentru autentificarea cu mai mulți factori sunt utilizarea de autentificatoare hardware și un mecanism de parolă unică pentru acces la distanță și local.

Exemple de autentificare cu doi și mai mulți factori

Metoda de autentificare prin SMS se bazează pe utilizarea unei parole unice: avantajul acestei abordări, în comparație cu o parolă permanentă, este că această parolă nu poate fi reutilizată. Chiar dacă presupunem că atacatorul a reușit să intercepteze date în timpul schimbului de informații, el nu va putea folosi efectiv parola furată pentru a obține acces la sistem.

Iată un exemplu implementat folosind dispozitive biometrice și metode de autentificare: folosind un scaner de amprente, care este disponibil într-un număr de modele de laptop. Când se conectează, utilizatorul trebuie să își scaneze degetul și apoi să își verifice acreditările cu o parolă. Autentificarea finalizată cu succes îi va da dreptul de a utiliza datele locale ale unui anumit computer. Totuși, regulamentele de funcționare a IS pot prevedea o procedură de autentificare separată pentru accesarea resurselor de rețea ale companiei, care, pe lângă introducerea unei alte parole, poate include o serie de cerințe pentru prezentarea autentificatorilor subiectului. Dar chiar și cu o astfel de implementare, securitatea sistemului crește fără îndoială.

Alți autentificatori biometrici pot fi utilizați în mod similar:

  • amprentele digitale;
  • geometria mâinii;
  • contururile și dimensiunile feței;
  • caracteristicile vocii;
  • modelul irisului și retinei;
  • modelul venelor degetelor.

În acest caz, desigur, se utilizează echipamentul și software-ul adecvat, iar costurile achiziției și suportului acestuia pot varia semnificativ.

Cu toate acestea, merită să înțelegeți că autentificatoarele biometrice nu sunt date complet exacte. Amprentele unui deget pot diferi sub influența mediului extern, a stării fiziologice a corpului uman etc. Pentru a confirma cu succes acest autentificator, este suficientă o potrivire incompletă a amprentei cu standardul. Metodele de autentificare biometrică implică determinarea gradului de probabilitate ca autentificatorul curent să se potrivească cu standardul. În ceea ce privește autentificarea biometrică și accesul de la distanță la sistemele informaționale, tehnologiile moderne nu au încă capacitatea de a transmite date fiabile prin canale nesecurizate - o amprentă sau rezultatul unei scanări retinei.

Aceste tehnologii sunt mai potrivite pentru utilizare în rețelele corporative.

Cea mai populară tehnologie în această direcție în viitorul apropiat poate fi autentificarea vocală, iar semnele acestui lucru sunt evidente. Un număr semnificativ de evoluții în acest domeniu sunt deja disponibile astăzi; proiecte pentru introducerea unor mecanisme similare de management/control și-au găsit loc într-un număr de bănci mari din Federația Rusă. Ca exemplu de aplicare practică a sistemelor de autentificare biometrică vocală, putem preciza autentificarea prin frază cheie utilizată într-un număr de centre de apel, parole audio pentru accesul la sistemele de internet banking etc., confirmarea acțiunilor personalului la efectuarea unor operațiuni importante de accesare a informațiilor. , controlul accesului fizic și al prezenței în incintă.

Pe lângă tehnologiile asociate cu utilizarea autentificatoarelor biometrice, există și soluții software și hardware, cum ar fi chei autonome pentru generarea de parole unice, cititoare de etichete RFID, calculatoare cripto, jetoane software și hardware (jetoane), chei electronice de diferite tipuri - Touch Memory și cheie/ smart card, precum și carduri de identificare biometrică. Toate sistemele și metodele de autentificare multifactorială enumerate în articol, precum și sistemele de control și management al accesului (ACS), pot fi integrate, combinate și elaborate unul câte unul și într-un complex. Din aceasta putem concluziona: există un număr suficient de oferte pe piața rusă pentru a spori protecția sistemelor informaționale, atât împotriva intruziunilor interne, cât și externe. Companiile au o alegere limitată doar de mărimea bugetului lor.

Metodele de protecție bazate pe tehnici de autentificare multifactorială sunt acum de încredere de către un număr mare de companii străine, inclusiv organizații de înaltă tehnologie, sectoare ale pieței financiare și de asigurări, instituții bancare mari și întreprinderi din sectorul public, organizații de experți independenți și firme de cercetare.

În același timp, companiile și organizațiile private din întreaga lume, în general, nu prea sunt dispuse să vorbească despre introducerea de inovații tehnologice în domeniul securității și protecției informațiilor, din motive evidente. Se cunosc mult mai multe despre proiectele din sectorul public - din 2006, soluțiile tehnologice implementate cu succes în agențiile guvernamentale din Canada, Arabia Saudită, Spania, Danemarca și o serie de alte țări au fost cunoscute public.

2019: Proces împotriva Apple pentru includerea „ilegală” a autentificării cu doi factori

Pe 11 februarie 2019, a devenit cunoscut faptul că Jay Brodsky, rezident din California, a dat în judecată Apple pentru că a permis „ilegal” autentificarea cu doi factori. Brodsky se plânge de faptul că autentificarea în doi factori le face viața mult mai dificilă utilizatorilor, cerându-le nu numai să-și amintească o parolă, ci și să aibă acces la un telefon sau un număr de telefon de încredere. Citeşte mai mult.

2017: Google abandonează SMS-urile cu autentificare cu doi factori

Documentul afirmă în mod explicit că utilizarea mesajelor SMS pentru autentificarea cu doi factori poate fi „nepotrivită” și „nesigură” (secțiunea 5.1.3.2 a documentului).

Acest paragraf este complet după cum urmează: „Dacă verificarea canalului extern se efectuează prin mesaj SMS pe o rețea publică de telefonie mobilă, verificatorul trebuie să se asigure că numărul de telefon preînregistrat utilizat este asociat efectiv cu rețeaua mobilă și nu cu VoIP sau alt serviciu software. Apoi puteți trimite un mesaj SMS la un număr de telefon preînregistrat. Modificarea unui număr de telefon preînregistrat nu ar trebui să fie posibilă fără autentificarea cu doi factori ca parte a modificării. Utilizarea mesajelor SMS în autentificarea externă nu este permisă și nu va fi permisă în versiunile viitoare ale acestui ghid.”

Principalele preocupări ale experților de la Institutul Național de Standarde și Tehnologie sunt că numărul de telefon poate fi legat de serviciul VoIP, în plus, atacatorii pot încerca să convingă furnizorul de servicii că numărul de telefon s-a schimbat și astfel de trucuri ar trebui făcute. imposibil.

În timp ce documentul recomandă producătorilor să folosească jetoane și identificatori criptografici în aplicațiile lor, autorii amendamentelor notează, de asemenea, că un smartphone sau un alt dispozitiv mobil poate fi întotdeauna furat sau poate fi temporar în mâinile unei alte persoane”, se arată în documentul NIST. .

Există destul de multe mecanisme de compromitere a parolelor SMS și acestea au fost deja folosite în mod repetat, în principal pentru a fura fonduri de la clienții băncilor rusești. Este suficient să enumerați doar câteva metode de piratare a parolelor SMS:

  • Înlocuirea unui card SIM folosind documente false
  • Exploatarea vulnerabilităților în protocolul OSS-7
  • Redirecționarea apelurilor de la operatorul dvs. de telefonie mobilă
  • Stații de bază false
  • Programe troiene specializate pentru smartphone-uri care interceptează parolele SMS

Faptul că mecanismul de parole SMS este folosit de toate băncile deschide oportunități largi pentru hackeri. Evident, după ce a scris un troian pentru un smartphone o dată, acesta poate fi folosit pentru a ataca toate băncile rusești, cu personalizare minimă a acestuia (troianul).

În același timp, se poate prevedea că băncile mari vor fi primele victime ale distribuției - baza mare de clienți a acesteia din urmă permite fraudătorilor să mizeze pe rezultate semnificative chiar și cu solduri mici în conturile clienților.

Parole unice prin SMS

  • întârzieri de livrare
  • posibilitatea de interceptare la nivelul canalului de comunicatie sau de intrare in sistem
  • posibilitatea de interceptare la nivelul operatorului de telefonie mobilă
  • capacitatea de a reînregistra cartela SIM a unui client la un fraudator folosind o procură falsă (și interceptarea SMS-urilor)
  • posibilitatea de a trimite mesaje SMS către client de la un număr înlocuitor
  • creșterea costurilor operaționale proporțional cu baza de clienți

Parole unice prin PUSH

  • livrare negarantată
  • interzicerea directă a Apple/Google/Microsoft de a utiliza informații confidențiale pentru transmitere
  • scop - doar informare

Cercetătorii demonstrează un atac simplu pentru a ocoli autentificarea cu doi factori

Oamenii de știință de la Vrije Universiteit Amsterdam Radhesh Krishnan Konoth, Victor van der Veen și Herbert Bos au demonstrat un atac practic la autentificarea cu doi factori folosind un dispozitiv mobil. Cercetătorii au demonstrat un atac Man-in-the-Browser împotriva smartphone-urilor Android și iOS.

Problema cu autentificarea cu doi factori a apărut din cauza popularității tot mai mari a smartphone-urilor și a dorinței proprietarilor de a sincroniza datele între diferite dispozitive. Autentificarea cu doi factori se bazează pe principiul separării fizice a dispozitivelor pentru a proteja împotriva programelor malware. Cu toate acestea, sincronizarea datelor face o astfel de segmentare complet inutilă.

Cercetătorii au demonstrat un atac folosind instalarea unei aplicații vulnerabile prin Google Play. Au reușit să ocolească cu succes verificarea Google Bouncer și să activeze aplicația pentru a intercepta parolele unice.

Pentru a ataca iOS, cercetătorii au folosit o nouă caracteristică OS X numită Continuity, care vă permite să sincronizați mesajele SMS între iPhone și Mac. Dacă această funcționalitate este activată, un atacator trebuie să aibă acces la computer doar pentru a citi toate mesajele SMS.

Potrivit cercetătorilor, aplicația de furt de parolă unică a fost adăugată pe Google Play pe 8 iulie 2015 și a rămas disponibilă pentru utilizatori timp de două luni înainte de lansarea videoclipului care demonstrează atacul.

Cei doi factori de autorizare din sistemul Yandex sunt următorii: informații despre dispozitivul aparținând unui anumit utilizator, care sunt stocate pe serverele Yandex și cunoștințele utilizatorului despre pinul său de patru cifre (sau amprenta sa), a explicat compania.

De fiecare dată când introduceți un cod PIN (sau când este declanșat Touch ID), aplicația generează un cod unic unic care este valabil timp de 30 de secunde. În acest caz, o parte a codului este generată dintr-un cod PIN pe care numai utilizatorul și Yandex îl cunosc, iar o parte este generată din datele aplicației. Ambele „secrete” sunt criptate în codul unic. „În acest fel, este exclusă posibilitatea ca unul dintre factori să fi fost compromis, iar atacatorul selectează datele celui de-al doilea factor”, a adăugat Yandex.

Dacă citirea codului QR eșuează, de exemplu, camera smartphone-ului nu funcționează sau nu există acces la internet, aplicația Yandex.Key va crea o parolă unică din simboluri. De asemenea, va dura doar 30 de secunde.

După trecerea la autentificarea cu doi factori, parola existentă a utilizatorului nu va mai funcționa pentru toate programele instalate care utilizează autentificarea și parola Yandex, inclusiv Yandex.Disk, programe de e-mail configurate pentru a colecta e-mail de la Yandex.Mail, sincronizare în Yandex.Browser " , a avertizat compania. Fiecare aplicație va avea nevoie de propria sa parolă nouă - va fi creată în Yandex.Passport, în setarea „Parole de aplicație”. Va trebui introdus o dată în fiecare aplicație.

Serverul de autentificare va integra procesele de verificare

Scopul autentificării este de a îngreuna pe cât posibil pentru altcineva utilizarea acreditărilor (furate, furate). Acest proces ar trebui să fie simplu pentru un utilizator legal, iar găsirea și amintirea parolelor puternice cu o lungime de cel puțin nn caractere și includerea de caractere și numere speciale este foarte probabil să irite utilizatorii.

O companie poate avea mai multe sisteme de informații și surse de resurse diferite care necesită autentificare:

  • portal corporativ,
  • E-mail,
  • sistem CRM,
  • acces VPN la distanță,

Și întrucât utilizatorul se confruntă cu sarcina de a îndeplini cerințele politicii de securitate privind complexitatea și unicitatea parolelor, soluția acesteia prezintă anumite dificultăți de îndeplinit utilizatorului, iar din punct de vedere tehnologic, acestea sunt sisteme de autentificare disparate, neinterconectate, nu este flexibil, necesitând o cantitate mare de resurse pentru a susține . Toate împreună duc la costuri suplimentare și „lentență” pentru companie atunci când face modificări la metodele de autentificare.

Un server de autentificare – un singur centru de administrare pentru toate procesele de autentificare pentru toate aplicațiile/serviciile/resursele simultan – poate rezolva problemele și poate ajuta la rezolvarea problemelor. Serverele industriale de acest tip acceptă o gamă întreagă de metode de autentificare. De regulă, acestea sunt certificate OATH HOTP, TOTP, OCRA, PKI, RADIUS, LDAP, parolă obișnuită, SMS, CAP/DPA și altele. Fiecare resursă care utilizează un server de autentificare poate folosi metoda pe care o necesită în mod specific.

Folosind servere de autentificare, administratorii IT primesc o interfață unificată pentru gestionarea acreditărilor utilizatorilor și opțiuni flexibile pentru schimbarea metodelor de autentificare. Afacerile beneficiază de o protecție fiabilă a accesului la servicii și resurse sub formă de autentificare cu doi factori, ceea ce crește loialitatea utilizatorilor, atât interni, cât și externi.

Adăugarea unui al doilea factor de autentificare, cu un server de autentificare existent, nu va necesita companiei să creeze noi software și hardware sau să achiziționeze noi token-uri.

Ca exemplu: Banca A a verificat autenticitatea deținătorilor de carduri de debit sau de credit din banca clientului folosind certificate pe token-uri USB. Cardurile sale de plată erau exclusiv cu bandă magnetică, dar la un moment dat banca a început să emită carduri cu un cip EMV, care este în esență un microcomputer. Un card cu un cip EMV poate fi utilizat pentru autentificare folosind algoritmul programului de autentificare cu cip Master Card (CAP). Adică, acum Banca A poate refuza să folosească jetoane PKI scumpe pentru fiecare utilizator și să schimbe această metodă de autentificare în CAP, care necesită doar un calculator criptografic ieftin. După ceva timp, Banca A începe să emită carduri de plată cu un afișaj și algoritmul OATH TOTP implementat și, pentru a salva utilizatorul de la utilizarea unui calculator criptografic suplimentar, setează autentificarea TOTP pentru banca client. Trebuie inteles ca pe langa serviciile bancare la distanta, Banca A dispune de multe alte servicii, atat interne, cat si destinate clientilor sau partenerilor care necesita autentificare. Pentru fiecare aplicație, serviciul de securitate a informațiilor își poate propune propriile cerințe pentru metodele necesare de autentificare a utilizatorilor. Toată autentificarea Băncii A se poate face pe serverul de autentificare. Nu este nevoie să se dezvolte pentru fiecare aplicație separat.

Această flexibilitate și ușurință în adăugarea de noi metode de autentificare nu este realizabilă fără un server de autentificare. Reducerea timpului pentru aceste sarcini este atât de semnificativă încât ne permite să vorbim despre viteza de punere în funcțiune a produsului ca pe un avantaj competitiv.

Disponibilitatea autentificării puternice sub formă de software specializat vă permite să adăugați multifactor aplicațiilor care anterior nu aveau astfel de funcționalități, fără modificări complexe. Aproape toate sistemele informatice, serviciile și aplicațiile care nu acceptă autentificarea puternică pot utiliza capacitățile serverului de autentificare pentru accesul utilizatorilor.

Windows, OS X, Linux și Chrome OS. Pentru a lucra cu o cheie USB, trebuie să utilizați browserul Google Chrome versiunea 38 sau o versiune ulterioară.

Cheile USB sunt complet gratuite, dar utilizatorii trebuie să le achiziționeze pe cheltuiala lor. Cheile diferă ca design. Cel mai scump model la 60 de dolari este echipat cu tehnologia Java Card.

Google a lansat autentificarea cu doi factori prin trimiterea unui mesaj SMS cu un cod de verificare în 2011. În ianuarie 2013, corporația a anunțat că intenționează să dezvolte și să ofere mijloace fizice de verificare a identității. În special, atunci am început să vorbim despre accesul la serviciile Google folosind chei USB.

2013: Autentificarea cu doi factori a tranzacțiilor mobile

Doar 34% dintre respondenți sunt încrezători că angajații sunt capabili să facă tot ce este necesar pentru a proteja compania de amenințările informatice.