Meniul
AcasăBrowsere

Autentificare cu mai mulți factori (cu doi factori). Cum funcționează autentificarea cu doi factori

Poate că nu vă dați seama, dar utilizați în mod regulat autentificarea cu doi factori. Când transferați bani online de pe cardul de debit, vi se cere să introduceți o parolă sau un cod de verificare prin SMS? Aceasta este, de asemenea, o formă de autentificare cu doi factori.

Autentificarea cu doi factori necesită două moduri de a vă verifica identitatea și poate fi folosită și pentru a proteja diverse identități online. Aceasta nu este o securitate perfectă și necesită un pas suplimentar atunci când vă conectați la conturile dvs., dar vă face datele mai sigure online.

Cum funcționează autentificarea cu doi factori pe Internet?

Autentificarea cu doi factori (2FA), cunoscută și sub numele de autentificare cu doi factori sau autentificare cu mai mulți factori, este utilizată pe scară largă pentru a adăuga un alt nivel de securitate conturilor dvs. online. Cea mai comună formă de autentificare în doi factori atunci când vă conectați la un cont este procesul de introducere a unei parole și apoi de primire a unui cod prin SMS pe telefon, pe care îl introduceți apoi într-un site web sau într-o aplicație. Al doilea nivel de autentificare cu doi factori înseamnă că un hacker sau o altă persoană nefastă ar trebui să vă fure parola împreună cu telefonul pentru a obține acces la contul dvs.

Există trei tipuri de autentificare:

  • Ceea ce știți: parolă, PIN, cod poștal sau răspuns la o întrebare (numele de fată al mamei, numele animalului de companie etc.)
  • Ceva ce ai: telefon, card de credit etc.
  • Ceva biometric: amprentă, retină, față sau voce.

Cum funcționează al doilea factor?

După introducerea parolei (primul factor de autentificare), al doilea factor ajunge de obicei prin SMS. Adică veți primi un text cu un cod numeric pe care va trebui să îl introduceți pentru a vă conecta la contul dvs. Spre deosebire de codul PIN al cardului de debit, un cod 2FA este folosit o singură dată. De fiecare dată când vă conectați la acest cont, vi se va trimite un nou cod.

Alternativ, puteți utiliza o aplicație de autentificare dedicată pentru a primi coduri în loc să le trimiteți prin text. Aplicațiile de autentificare populare sunt Google Authenticator, Authy și DuoMobile.

Care este mai bine să folosești SMS sau aplicație?

Multe site-uri și servicii, inclusiv Amazon, Dropbox, Google și Microsoft, vă oferă opțiunea de a utiliza SMS-uri sau o aplicație pentru autentificare. Twitter este cel mai proeminent exemplu de site care te obligă să folosești SMS-uri. Dacă aveți de ales, utilizați o aplicație de autentificare.

Primirea codurilor prin SMS este mai puțin sigură decât utilizarea unei aplicații de autentificare. Un hacker ar putea intercepta un mesaj text sau vă poate deturna numărul de telefon și vă poate convinge operatorul să îl transfere pe un alt dispozitiv. Sau, dacă sincronizați mesajele text cu computerul dvs., un hacker ar putea obține acces la codurile SMS furându-vă computerul.

O aplicație de autentificare are avantajul că nu trebuie să se bazeze pe operatorul tău. Codurile sunt trimise către telefon pe baza unui algoritm de criptare secret și a orei curente. Codurile expiră rapid, de obicei după 30 sau 60 de secunde.
Deoarece aplicația de autentificare nu are nevoie de operatorul dvs. de telefonie mobilă pentru a transmite codurile, acestea vor rămâne în aplicație chiar dacă un hacker reușește să vă transfere numărul pe un telefon nou. Aplicația de autentificare funcționează și atunci când nu aveți rețea celulară - acesta este un bonus suplimentar.

Utilizarea unei aplicații de autentificare necesită puțină configurare suplimentară, dar oferă o securitate mai bună decât SMS-urile. Pentru a configura o aplicație de autentificare, trebuie să instalați aplicația pe telefon și apoi să configurați un token secret partajat (un șir lung de cod) între aplicație și conturile dvs. Acest lucru se face de obicei prin scanarea unui cod QR cu camera telefonului. Cu toate acestea, odată configurată, aplicația de autentificare elimină nevoia de a introduce un cod; pur și simplu atingeți notificarea aplicației pentru a vă conecta la unul dintre conturile dvs.

Dacă nu am telefon?

Multe servicii online, cum ar fi Dropbox, Facebook, Google și Instagram, vă permit să creați coduri de rezervă pe care să le imprimați sau să le faceți o captură de ecran. În acest fel, dacă vă pierdeți telefonul sau nu vedeți un semnal celular, puteți utiliza un cod de rezervă ca al doilea factor de autentificare pentru a vă conecta. Doar asigurați-vă că păstrați o imprimare a codurilor de rezervă într-un loc sigur.

2FA va face conturile mele mai sigure?

Niciun produs de securitate nu poate pretinde protecție perfectă, fără greșeală, dar combinând două dintre cele trei tipuri de autentificare menționate mai sus, 2FA îngreunează accesul oricui în contul dvs. Nu numai că îngreunați atacurile asupra conturilor dvs., dar vă faceți și conturile mai puțin atractive pentru hackeri.

Gândește-te la asta ca la protejarea casei tale. Dacă aveți un sistem de securitate la domiciliu, reduceți probabilitatea de spargere. Dacă aveți un câine zgomotos și mare, reduceți și probabilitatea de spargere. Dacă combini un sistem de securitate cu un câine mare, atunci casa ta devine și mai greu de spart și va fi o țintă mai puțin atractivă. Majoritatea hoților vor găsi pur și simplu o opțiune mai ușoară, fără alarma și posibilitatea mușcăturii de câine.

De asemenea, autentificarea cu doi factori împiedică majoritatea hackerilor să vă vizeze contul. Mulți vor trece pur și simplu mai departe și vor găsi conturi mai ușor de piratat. Și dacă vă vizează, vor avea nevoie de mai mult decât parola dvs. Pe lângă parola dvs., hackerul va avea nevoie și de telefonul dvs. sau de jetoane de acces instalate pe telefon printr-un mecanism de autentificare, utilizând un atac de tip phishing, programe malware sau activând recuperarea contului, în care parola dvs. este resetată și 2FA este apoi dezactivat. Aceasta este o muncă suplimentară și dificilă.

Cât de mult mai multă bătaie de cap este să folosești 2FA?

Nu știu dacă l-aș numi o bătaie de cap sau nu, dar 2FA necesită un pas suplimentar atunci când vă conectați la conturile dvs. Va trebui să introduceți parola, să așteptați să sosească codul prin SMS și apoi să introduceți codul. Sau, dacă utilizați o aplicație de autentificare, va trebui să așteptați o notificare pe care o puteți atinge pentru a confirma că sunteți dvs.

Folosesc autentificarea 2FA pe multe dintre conturile mele online și mi se pare mai puțin complicată decât utilizarea unei parole puternice sau a unei expresii de acces care combină litere mari și mici, numere și simboluri. Și în timp ce vorbesc despre parole puternice, permiteți-mi să afirm că folosirea 2FA ca scuză pentru a folosi parole mai slabe și mai ușor de tastat este o idee proastă. Nu slăbiți primul factor de protecție doar pentru că ați adăugat al doilea.

Cum se activează 2FA?

Multe site-uri și servicii oferă 2FA, dar îl numesc cu nume diferite. Mai jos sunt modalități rapide de a activa autentificarea cu doi factori pentru unele dintre cele mai populare servicii online.


Dropbox.
Faceți clic pe numele dvs. în colțul din dreapta sus al contului dvs. Dropbox și accesați Setări > Securitate și veți vedea starea afișată în partea de sus a paginii pentru verificarea în doi pași. Lângă starea „Dezactivat”, faceți clic pe link (faceți clic pentru a activa), apoi faceți clic pe butonul „De unde să începeți”. Apoi, puteți configura să primiți coduri de verificare prin SMS pe telefon sau într-o aplicație precum Google Authenticator. Pentru mai multe informații, consultați instrucțiunile Dropbox.


Facebook.
Faceți clic pe butonul triunghi din colțul din dreapta sus, selectați Setări > Securitate și faceți clic pe Editare în dreapta Confirmării autentificarii. Apoi faceți clic pe „Activați” lângă unde scrie „Autentificarea cu doi factori este în prezent dezactivată”. Pentru mai multe informații vezi

Atenţie. Aplicațiile dezvoltate în Yandex necesită o parolă unică - chiar și parolele aplicației create corect nu vor funcționa.

  1. Conectați-vă folosind codul QR
  2. Transferul Yandex.Key
  3. Parola principala

Conectați-vă la un serviciu sau aplicație Yandex

Puteți introduce o parolă unică sub orice formă de autorizare pe Yandex sau în aplicațiile dezvoltate de Yandex.

Notă.

Trebuie să introduceți parola unică în timp ce aceasta este afișată în aplicație. Dacă a mai rămas prea puțin timp înainte de actualizare, așteptați noua parolă.

Pentru a obține o parolă unică, lansați Yandex.Key și introduceți codul PIN pe care l-ați specificat la configurarea autentificării cu doi factori. Aplicația va începe să genereze parole la fiecare 30 de secunde.

Yandex.Key nu verifică codul PIN introdus și generează parole unice, chiar dacă ați introdus incorect codul PIN. În acest caz, parolele create se dovedesc a fi incorecte și nu vă veți putea conecta cu ele. Pentru a introduce PIN-ul corect, ieșiți din aplicație și lansați-o din nou.

Caracteristici ale parolelor unice:

Conectați-vă folosind codul QR

Unele servicii (de exemplu, pagina de pornire Yandex, Pașaport și e-mail) vă permit să vă conectați la Yandex prin simpla îndreptare a camerei către codul QR. În acest caz, dispozitivul dvs. mobil trebuie să fie conectat la Internet, astfel încât Yandex.Key să poată contacta serverul de autorizare.

    Faceți clic pe pictograma codului QR din browser.

    Dacă nu există o astfel de pictogramă în formularul de autentificare, atunci vă puteți conecta la acest serviciu numai folosind o parolă. În acest caz, vă puteți autentifica folosind codul QR din pașaport, apoi mergeți la serviciul dorit.

    Introduceți codul PIN în Yandex.Key și faceți clic pe Conectare folosind codul QR.

    Îndreptați camera dispozitivului către codul QR afișat în browser.

Yandex.Key va recunoaște codul QR și va trimite datele de conectare și parola unică către Yandex.Passport. Dacă trec verificarea, ești automat conectat la browser. Dacă parola transmisă este incorectă (de exemplu, deoarece ați introdus incorect codul PIN în Yandex.Key), browserul va afișa un mesaj standard despre parola incorectă.

Conectarea cu un cont Yandex la o aplicație sau un site web terță parte

Aplicațiile sau site-urile care au nevoie de acces la datele dvs. de pe Yandex necesită uneori să introduceți o parolă pentru a vă conecta la contul dvs. În astfel de cazuri, parolele unice nu vor funcționa - trebuie să creați o parolă separată pentru fiecare aplicație.

Atenţie. Doar parolele unice funcționează în aplicațiile și serviciile Yandex. Chiar dacă creați o parolă pentru aplicație, de exemplu, pentru Yandex.Disk, nu vă veți putea conecta cu ea.

Transferul Yandex.Key

Puteți transfera generarea de parole unice pe alt dispozitiv sau puteți configura Yandex.Key pe mai multe dispozitive în același timp. Pentru a face acest lucru, deschideți pagina Control acces și faceți clic pe butonul Înlocuirea dispozitivului.

Mai multe conturi în Yandex.Key

Același Yandex.Key poate fi folosit pentru mai multe conturi cu parole unice. Pentru a adăuga un alt cont la aplicație, atunci când configurați parole unice la pasul 3, faceți clic pe pictograma din aplicație. În plus, puteți adăuga generarea de parole la Yandex.Key pentru alte servicii care acceptă o astfel de autentificare cu doi factori. Instrucțiunile pentru cele mai populare servicii sunt furnizate pe pagina despre crearea codurilor de verificare care nu sunt pentru Yandex.

Pentru a elimina un link de cont către Yandex.Key, apăsați și mențineți apăsat portretul corespunzător din aplicație până când apare o cruce în dreapta acestuia. Când faceți clic pe cruce, contul care se leagă la Yandex.Key va fi șters.

Atenţie. Dacă ștergeți un cont pentru care sunt activate parole unice, nu veți putea obține o parolă unică pentru a vă conecta la Yandex. În acest caz, va fi necesar să restabiliți accesul.

Amprenta digitală în loc de codul PIN

Puteți utiliza amprenta digitală în loc de codul PIN pe următoarele dispozitive:

    smartphone-uri care rulează Android 6.0 și un scaner de amprente;

    iPhone incepand de la modelul 5s;

    iPad care începe cu Air 2.

Notă.

Pe smartphone-urile și tabletele iOS, amprenta digitală poate fi ocolită prin introducerea parolei dispozitivului. Pentru a vă proteja împotriva acestui lucru, activați o parolă principală sau schimbați parola cu una mai complexă: deschideți aplicația Setări și selectați Touch ID & Passcode.

Pentru a utiliza activarea verificării amprentei:

Parola principala

Pentru a vă proteja în continuare parolele unice, creați o parolă principală: → Parolă principală.

Cu o parolă principală puteți:

    faceți astfel încât, în loc de amprentă, să puteți introduce doar parola principală Yandex.Key și nu codul de blocare a dispozitivului;

Copie de rezervă a datelor Yandex.Key

Puteți crea o copie de rezervă a datelor cheii pe serverul Yandex, astfel încât să o puteți restaura dacă vă pierdeți telefonul sau tableta cu aplicația. Datele tuturor conturilor adăugate la Cheie la momentul creării copiei sunt copiate pe server. Nu puteți crea mai mult de o copie de rezervă; fiecare copie ulterioară a datelor pentru un anumit număr de telefon o înlocuiește pe cea anterioară.

Pentru a prelua date dintr-o copie de rezervă, trebuie să:

    aveți acces la numărul de telefon pe care l-ați specificat la crearea acestuia;

    amintiți-vă parola pe care ați setat-o ​​pentru a cripta backup-ul.

Atenţie. Copia de rezervă conține doar datele de conectare și secretele necesare pentru a genera parole unice. Trebuie să vă amintiți codul PIN pe care l-ați setat când ați activat parolele unice pe Yandex.

Nu este încă posibil să ștergeți o copie de rezervă de pe serverul Yandex. Acesta va fi șters automat dacă nu îl utilizați în decurs de un an de la creare.

Crearea unei copii de rezervă

    Selectați un articol Creați o copie de rezervăîn setările aplicației.

    Introduceți numărul de telefon la care va fi legată copia de rezervă (de exemplu, „380123456789”) și faceți clic pe Următorul.

    Yandex va trimite un cod de confirmare la numărul de telefon introdus. Odată ce ați primit codul, introduceți-l în aplicație.

    Creați o parolă care va cripta copia de rezervă a datelor dvs. Această parolă nu poate fi recuperată, așa că asigurați-vă că nu o uitați sau nu o pierdeți.

    Introduceți parola pe care ați creat-o de două ori și faceți clic pe Terminare. Yandex.Key va cripta copia de rezervă, o va trimite serverului Yandex și o va raporta.

Restaurare dintr-o copie de rezervă

    Selectați un articol A restabili din fisierul de backupîn setările aplicației.

    Introduceți numărul de telefon pe care l-ați folosit la crearea copiei de rezervă (de exemplu, „380123456789”) și faceți clic pe Următorul.

    Dacă se găsește o copie de rezervă a datelor cheii pentru numărul specificat, Yandex va trimite un cod de confirmare la acest număr de telefon. Odată ce ați primit codul, introduceți-l în aplicație.

    Asigurați-vă că data și ora la care a fost creată copierea de rezervă, precum și numele dispozitivului, se potrivesc cu copia de rezervă pe care doriți să o utilizați. Apoi faceți clic pe butonul Restaurare.

    Introduceți parola pe care ați setat-o ​​la crearea copiei de rezervă. Dacă nu vă amintiți, din păcate, va fi imposibil să decriptați backup-ul.

    Yandex.Key va decripta datele de rezervă și vă va anunța că datele au fost restaurate.

Modul în care parolele unice depind de timpul precis

Atunci când generează parole unice, Yandex.Key ia în considerare ora și fusul orar actual setate pe dispozitiv. Când este disponibilă o conexiune la Internet, Cheia solicită și ora exactă de la server: dacă ora de pe dispozitiv este setată incorect, aplicația va face o ajustare pentru aceasta. Dar în unele situații, chiar și după corectare și cu codul PIN corect, parola unică va fi incorectă.

Dacă sunteți sigur că introduceți corect codul PIN și parola, dar nu vă puteți autentifica:

    Asigurați-vă că dispozitivul este setat la ora și fusul orar corect. După aceea, încercați să vă conectați cu o nouă parolă unică.

    Conectați-vă dispozitivul la internet, astfel încât Yandex.Key să poată obține singur ora exactă. Apoi reporniți aplicația și încercați să introduceți o nouă parolă unică.

Dacă problema nu este rezolvată, vă rugăm să contactați asistența folosind formularul de mai jos.

Lăsați feedback despre autentificarea cu doi factori

Pentru a vă proteja datele personale în lumea actuală, poate fi necesar să luați în considerare creșterea nivelului de securitate pentru spațiul dvs. digital folosind autentificarea cu doi factori.

Diverse tehnologii online sunt din ce în ce mai integrate în viața unei persoane moderne. Majoritatea dintre noi nu ne mai putem imagina fără rețelele de socializare, smartphone-uri și internetul în general. Lăsăm o grămadă de urme digitale și date personale pe World Wide Web în fiecare zi. În același timp, majoritatea utilizatorilor nici nu se gândesc la ce se va întâmpla dacă într-o zi vor pierde accesul la „lumea lor digitală”, care ajunge în mâinile atacatorilor...

Unii ar spune că personajul lor modest este puțin probabil să-i intereseze pe hackerii. Cu toate acestea, chiar și conturile de pe rețelele de socializare cele mai proaste sunt vândute pe „piața neagră”. Ce putem spune despre, să zicem, contul tău Google, care conține toată corespondența ta de e-mail, date de pe telefon și, eventual, link-uri către carduri bancare?

Cel mai trist lucru este că mulți oameni se bazează pe „poate” și folosesc parole destul de simple pentru a accesa orice conturi serioase. Și, apropo, există dicționare speciale întregi care conțin mii de parole populare, precum „1234qwerty” și altele asemenea, care vă permit să fiți piratat în câteva minute! Prin urmare, protecția convențională prin parolă nu mai este de încredere. Este timpul să folosiți autentificarea cu doi factori!

Ce este autentificarea cu doi factori?

În diferite filme științifico-fantastice de la Hollywood, putem vedea cum personajul principal (sau răufăcător) introduce mai întâi o grămadă de parole pentru a accesa date secrete, apoi aplică o carte de identificare specială pe dispozitivul de citire și, în plus, el, de asemenea, privește prin vizor, unde laserul îi citește modelul ochilor retinei. Dar asta nu mai este science fiction, ci așa-zisa autentificare multifactor.

Modelul tradițional de autentificare multifactorială implică trei factori principali (fiecare dintre care poate fi duplicat pentru a crește nivelul de protecție):

  1. Factorul de cunoaștere. Implică faptul că sistemul de control al accesului primește anumite date pe care doar un anumit utilizator ar trebui să le cunoască. De exemplu, aceasta ar putea fi o pereche tradițională de conectare-parolă, un cod PIN, numele de fată al mamei sau alte informații pe care, în mod ideal, doar noi le putem ști. Din păcate, mulți utilizatori nu își amintesc parolele, dar le stochează pe bucăți de hârtie chiar la locul lor de muncă. Prin urmare, nu ar fi greu pentru un atacator ipotetic să le fure...
  2. Factorul de proprietate. Oferă ca utilizatorul să aibă un anumit lucru pe care alții nu îl au. Astfel de lucruri pot include un număr unic de telefon, un card de plastic cu un cod de bare sau un cip de date unic, un token USB sau alt dispozitiv criptografic. Teoretic, se poate și fura, dar este mult mai dificil. Și, având în vedere că factorul de proprietate este de obicei susținut de factorul cunoaștere (trebuie să introduceți mai întâi o parolă), șansele de a utiliza cu succes un dispozitiv furat sunt semnificativ reduse.
  3. Factorul de proprietate. Folosește anumite calități personale pentru a identifica utilizatorul. Unele dintre cele mai unice includ amprentele digitale, fața în general, modelul irisului sau chiar o probă de ADN! Având în vedere gradul adecvat de sensibilitate al echipamentului de testare, este pur și simplu imposibil să ocoliți o astfel de protecție. Cu toate acestea, verificarea biometrică este încă departe de o asemenea perfecțiune, așa că în stadiul actual este de obicei completată cu factori suplimentari de control al accesului.

De fapt, autentificarea cu mai mulți factori este de fapt cu trei factori. În consecință, verificarea utilizatorului în doi pași implică eliminarea unuia dintre factori. De obicei, acesta este un factor de proprietate care necesită echipament biometric special pentru confirmare. Autentificarea cu doi factori nu necesită investiții speciale, dar poate crește semnificativ nivelul de securitate!

Astăzi, cel mai comun tip de autentificare cu doi factori pe internet este conectarea unui cont la telefonul utilizatorului. În general, introducem în mod tradițional un login cu o parolă, după care primim un cod PIN special unic pe telefon prin SMS sau mesaj PUSH, pe care îl introducem într-un formular special pentru a accesa site-ul de care avem nevoie. Alternativ, în loc de mesaj, puteți primi un apel de la un robot care vă va cere să apăsați un anumit număr de pe tastatura telefonului.

Autorizarea folosind jetoane USB este mai puțin obișnuită (de exemplu, în serviciile de contabilitate moderne). Un astfel de token conține o cheie criptată corespunzătoare unei parole care este cunoscută de utilizator. Când autorizați, trebuie să conectați jetonul la portul USB al computerului dvs. și apoi să introduceți parola într-un câmp special. Dacă se potrivește cu cel criptat pe token, va avea loc autorizarea.

Cu toate acestea, jetoanele costă bani și necesită reînnoirea periodică a cheilor, care, de asemenea, nu este întotdeauna gratuită. Prin urmare, cea mai frecvent utilizată metodă de verificare cu doi factori este încă verificarea telefonică. Și aici vom vorbi despre asta mai detaliat.

Autentificare cu doi factori în Windows

Windows 10 este un sistem de operare modern, prin urmare, prin definiție, trebuie să conțină funcții de securitate moderne. Unul dintre acestea este mecanismul de verificare a utilizatorului cu doi factori. Această funcție a apărut și a dispărut din nou în unele versiuni ale sistemului, trecând printr-o serie de îmbunătățiri, așa că dacă doriți să o utilizați, asigurați-vă că aveți toate actualizările (în special patch-ul KB3216755, care a reparat autentificarea în Actualizarea aniversară).

De asemenea, pentru ca verificarea în doi pași să funcționeze, va trebui să aveți un cont înregistrat la Microsoft. Adică, cu un „cont” local, din păcate, nimic nu va merge...

Acum trebuie să vă pregătiți telefonul pentru procedură. Trebuie să instalați o aplicație specială pe ea care va primi semnale de verificare a contului Windows și le va confirma. Pentru smartphone-urile cu Android, puteți alege programul oficial Microsoft Authenticator, iar pentru dispozitivele iOS, soluția unificată Google Authenticator (și pentru Android) este potrivită.

După toate setările preliminare, trebuie să vă conectați la contul Microsoft și să îl configurați pentru conectarea în doi factori. Cea mai ușoară modalitate de a face acest lucru este apelând la snap-in "Opțiuni" capitol "Conturi". În prima filă „E-mail și conturi”, faceți clic pe link „Gestionează-ți contul Microsoft”, după care ar trebui să fiți redirecționat către pagina de conectare a contului Microsoft.

Se va deschide o pagină cu setări, printre care trebuie să găsiți grupul „Verificare în doi pași”și faceți clic pe link „Configurarea verificării în doi pași”:

Veți vedea un expert pas cu pas pentru configurarea autentificării în doi factori, urmând instrucțiunile cărora puteți activa verificarea utilizatorului în doi pași atunci când vă conectați la Windows:

Autentificare în doi factori cu Google

După Windows, Android este pe locul doi în popularitate în rândul utilizatorilor moderni. Și majoritatea dispozitivelor Android, după cum știm, sunt „legate” la un cont Google. De asemenea, nu ar strica să-l protejezi în continuare. Mai mult, funcția de autentificare cu doi factori pentru conturile sale funcționează cu succes de destul de mult timp.

Pentru a accesa setările de verificare în doi pași, trebuie să vă conectați la contul dvs. Google, să accesați pagina specială și să faceți clic pe butonul "ÎNCEPE":

Vi se poate cere să reintroduceți parola contului pentru a confirma accesul la setările dvs. După aceasta, se va deschide un expert pas cu pas care vă va ajuta să setați parametrii necesari pentru verificarea contului în doi pași:

Tot ce trebuie să faceți este să introduceți numărul dvs. de telefon (cel mai probabil este deja „conectat” la contul dvs.), să primiți un SMS cu un cod de verificare unic, apoi să introduceți codul într-un câmp special și să activați procedura pentru toate ulterioare autorizatii.

Cu toate acestea, autentificarea cu telefonul nu este singura metodă de autentificare cu doi factori pe care o oferă Google. Dacă aveți un token FIDO Universal 2nd Factor (U2F), puteți, de asemenea, să configurați o conectare la contul dvs. folosindu-l. Citiți mai multe despre cum să faceți acest lucru. Ei bine, desigur, puteți primi coduri de verificare nu doar sub formă de SMS, ci și mesaje PUSH în aplicația Google Authenticator pe care am menționat-o deja mai sus.

Autentificare cu doi factori pe rețelele sociale

Urmând tendințele generale, dezvoltatorii unor rețele sociale mari s-au ocupat și de autentificarea în doi factori.

DFA pe Facebook

Facebook, fiind una dintre cele mai populare rețele sociale din Occident, precum Google, oferă de mult utilizatorilor săi o funcție de verificare a contului în doi pași. Mai mult, codurile de acces pot fi primite atât prin SMS, cât și în aplicațiile de autorizare universală. Dintre acestea, Google Authenticator și Duo Mobile sunt acceptate.

Puteți activa autentificarea cu doi factori pe Facebook, accesând secțiunea de setări

Utilizator. Mai mult, vorbim nu numai despre cont, contacte și mesaje salvate, ci și despre documente și fișiere personale. Cel mai înalt nivel de protecție a datelor este garantat de autentificarea cu doi factori de la Apple, când pentru a accesa datele personale trebuie să introduceți două coduri numerice speciale la rând.

Cum functioneaza

Caracteristica principală a noului sistem de securitate Apple este să se asigure că numai tu te poți conecta la dispozitiv, chiar dacă parola este cunoscută de alții. Cu verificarea în doi pași, vă puteți conecta la contul dvs. numai de pe dispozitive iPhone, iPad sau Mac de încredere. În acest caz, autentificarea cu doi factori va cere să introduceți secvenţial două tipuri de parole: una obișnuită și un cod de verificare din șase cifre, care va fi afișat automat pe gadgetul verificat.

De exemplu, să presupunem că aveți un laptop Mac și doriți să vă conectați la contul dvs. de pe iPad-ul achiziționat recent. Pentru a face acest lucru, introduceți mai întâi numele de utilizator și parola, apoi un cod de verificare care apare automat pe ecranul laptopului.

După aceasta, autentificarea cu doi factori a Apple vă va „aminti” dispozitivul și va permite accesul la datele personale fără o verificare suplimentară. De asemenea, puteți face browserul oricărui PC de încredere setând această opțiune atunci când vă conectați pentru prima dată la contul dvs.

Dispozitive de încredere

Puteți crea doar un gadget de încredere de către Apple. Mai mult, sistemul de operare instalat pe acesta nu trebuie să fie mai mic decât iOS 9 pentru dispozitivele mobile și nici mai mic decât OS X El Capitan pentru laptopuri și computere personale. „Autentificarea în doi factori” explică acest lucru spunând că numai în acest caz Apple poate garanta că laptopul pe care îl utilizați vă aparține.

Codurile de verificare din șase cifre pot fi trimise nu numai către dispozitivele de încredere, ci și către numerele de dispozitive mobile. În același timp, metoda de confirmare a numărului și a gadgetului nu este diferită. De asemenea, merită să ne amintim că, în orice caz, indiferent de metoda pe care o utilizați pentru a obține un cod de verificare, autentificarea cu doi factori va necesita să vă cunoașteți propriul ID Apple. Învață-l pe de rost, altfel riști să nu poți accesa contul tău.

Nou nivel de protecție

De fiecare dată când vă conectați la contul dvs. de utilizator, locația dvs. este trimisă către dispozitive de încredere. În cazurile în care coincide cu locația dvs. reală, puteți permite intrarea apăsând butonul evidențiat.

Dacă autentificarea cu doi factori oferă să permită autentificarea pe alt dispozitiv, deși locația actuală a dispozitivului nu coincide cu a dvs., atunci ar trebui să interziceți această acțiune. Acest lucru indică acces neautorizat la gadgetul dvs. și poate servi și ca un semnal despre locația atacatorului care v-a furat telefonul.

Dezactivarea protecției cu doi factori

Se recomandă insistent să nu efectuați manipulări cu dispozitivul care ar putea dezactiva autentificarea cu doi factori a Apple; acest lucru va reduce nivelul de securitate al gadgetului dvs. Cu toate acestea, în unele cazuri pur și simplu nu este necesar. De exemplu, folosești în mod constant atât un laptop, cât și un smartphone. Nu este nevoie să vă confirmați identitatea și, în plus, procedura este foarte obositoare.

Există două moduri de a dezactiva autentificarea cu doi factori a Apple. În primul caz, trebuie să vă conectați la contul dvs., să selectați meniul „Editați” și să selectați opțiunea corespunzătoare în elementul de meniu „Securitate”. Confirmând data nașterii și răspunzând la întrebările de securitate, veți dezactiva protecția cu doi factori.

Dezactivați autentificarea e-mailului

Dacă descoperiți că protecția în doi pași este activată pe dispozitiv fără știrea dvs., o puteți dezactiva de la distanță folosind e-mailul pe care l-ați furnizat la momentul înregistrării sau o adresă de rezervă. Cum să dezactivezi autentificarea cu doi factori folosind e-mail?

Pentru a face acest lucru, trebuie să deschideți scrisoarea care va ajunge în cutia poștală imediat după activarea sistemului de protecție. În partea de jos a mesajului, veți vedea articolul „Opriți...”. Faceți clic pe el o dată, iar setările anterioare pentru protejarea datelor dvs. personale vor fi restaurate.

Trebuie să urmați linkul în termen de două săptămâni de la primirea mesajului, altfel acesta va deveni invalid. Acum nu va trebui să vă întrebați cum să dezactivați autentificarea cu doi factori și mai cunoașteți câteva secrete Apple.

Numai leneșii nu sparg parolele. Recenta scurgere masivă de conturi de la Yahoo confirmă doar faptul că o singură parolă - indiferent cât de lungă sau complexă ar fi - nu mai este suficientă pentru o protecție fiabilă. Autentificarea cu doi factori este ceea ce promite să ofere această protecție, adăugând un nivel suplimentar de securitate.

În teorie, totul arată bine, iar în practică, în general, funcționează. Autentificarea cu doi factori îngreunează piratarea unui cont. Acum nu este suficient ca un atacator să atragă, să fure sau să spargă parola principală. Pentru a vă conecta în contul dvs., trebuie să introduceți și un cod unic, care... Dar exact modul în care se obține acest cod unic este cel mai interesant lucru.

Ați întâlnit de multe ori autentificarea cu doi factori, chiar dacă nu ați auzit niciodată de ea. Ați introdus vreodată un cod unic care v-a fost trimis prin SMS? Acesta este, un caz special de autentificare cu doi factori. Ajută? Sincer să fiu, nu chiar: atacatorii au învățat deja cum să ocolească acest tip de protecție.

Astăzi vom analiza toate tipurile de autentificare cu doi factori utilizate pentru a proteja Contul Google, ID-ul Apple și Contul Microsoft pe platformele Android, iOS și Windows 10 Mobile.

Măr

Autentificarea cu doi factori a apărut pentru prima dată pe dispozitivele Apple în 2013. În acele zile, a convinge utilizatorii de necesitatea unei protecții suplimentare nu era ușor. Apple nici măcar nu a încercat: autentificarea în doi factori (numită verificare în doi pași sau verificare în doi pași) a fost folosită doar pentru a proteja împotriva daunelor financiare directe. De exemplu, a fost necesar un cod unic atunci când efectuați o achiziție de pe un dispozitiv nou, schimbați o parolă și comunicați cu asistență despre subiecte legate de un cont Apple ID.

Nu s-a terminat bine. În august 2014, a existat o scurgere masivă de fotografii cu celebrități. Hackerii au reușit să obțină acces la conturile victimelor și au descărcat fotografii de pe iCloud. Un scandal a izbucnit, determinând Apple să extindă rapid suportul pentru verificarea în doi pași pentru a accesa backup-urile și fotografiile iCloud. În același timp, compania a continuat să lucreze la o nouă generație de metodă de autentificare cu doi factori.

Verificare în doi pași

Pentru a furniza coduri, verificarea în doi pași folosește mecanismul Găsește-mi telefonul, care a fost conceput inițial pentru a furniza notificări push și comenzi de blocare în cazul unui telefon pierdut sau furat. Codul este afișat în partea de sus a ecranului de blocare, așa că, dacă un atacator obține un dispozitiv de încredere, va putea obține un cod unic și îl va folosi fără să știe măcar parola dispozitivului. Acest mecanism de livrare este, sincer, o verigă slabă.

De asemenea, puteți primi codul prin SMS sau apel vocal la numărul de telefon înregistrat. Această metodă nu este mai sigură. Cartela SIM poate fi scoasă de pe un iPhone bine protejat și introdusă în orice alt dispozitiv, după care poate fi primit un cod pe acesta. În cele din urmă, o cartelă SIM poate fi clonată sau preluată de la un operator de telefonie mobilă folosind o procură falsă - acest tip de fraudă a devenit acum pur și simplu o epidemie.

Dacă nu aveți acces nici la un iPhone de încredere, nici la un număr de telefon de încredere, atunci pentru a vă accesa contul trebuie să utilizați o cheie specială din 14 cifre (pe care, apropo, este recomandat să o imprimați și să o păstrați într-un loc sigur , și ține cu tine când călătorești). Dacă îl pierdeți și dvs., nu va părea rău: accesul la contul dvs. poate fi închis pentru totdeauna.

Cât de sigur este?

Sincer să fiu, nu chiar. Verificarea în doi pași este incredibil de prost implementată și și-a câștigat, pe bună dreptate, reputația de cel mai prost sistem de autentificare în doi factori dintre toți cei trei jucători mari. Dacă nu există altă opțiune, atunci verificarea în doi pași este totuși mai bună decât nimic. Dar există o alegere: odată cu lansarea iOS 9, Apple a introdus un sistem de securitate complet nou, căruia i s-a dat numele simplu „autentificare în doi factori”.

Care este mai exact slăbiciunea acestui sistem? În primul rând, codurile unice furnizate prin mecanismul Găsește-mi telefonul apar direct pe ecranul de blocare. În al doilea rând, autentificarea pe baza numerelor de telefon este nesigură: SMS-urile pot fi interceptate atât la nivel de furnizor, cât și prin înlocuirea sau clonarea cartelei SIM. Dacă aveți acces fizic la cartela SIM, atunci puteți să o instalați pur și simplu pe alt dispozitiv și să primiți codul pe temeiuri complet legale.

De asemenea, rețineți că infractorii au învățat să obțină carduri SIM pentru a le înlocui pe cele „pierdute”, folosind procuri false. Dacă ți-a fost furată parola, atunci a-ți afla numărul de telefon este o simplă simplă. Este falsificată împuternicirea, se obține o nouă cartelă SIM - de fapt, nu este nevoie de nimic altceva pentru a vă accesa contul.

Cum să piratați autentificarea Apple

Această versiune de autentificare cu doi factori este destul de ușor de piratat. Există mai multe opțiuni:

  • citiți un cod unic de pe un dispozitiv de încredere - deblocarea nu este necesară;
  • mutați cartela SIM pe alt dispozitiv, primiți SMS-uri;
  • clonează o cartelă SIM, obține un cod pentru aceasta;
  • utilizați un token de autentificare binar copiat de pe computerul utilizatorului.

Cum să te protejezi

Protecția prin verificare în doi pași nu este gravă. Nu-l folosi deloc. În schimb, activați autentificarea adevărată cu doi factori.

Autentificare cu doi factori

A doua încercare a Apple se numește oficial „autentificare cu doi factori”. În loc să înlocuiască schema anterioară de verificare în doi pași, cele două sisteme există în paralel (cu toate acestea, doar una dintre cele două scheme poate fi utilizată în cadrul aceluiași cont).

Autentificarea cu doi factori a apărut ca parte a iOS 9 și versiunea de macOS a fost lansată simultan cu acesta. Noua metodă include verificare suplimentară ori de câte ori încercați să vă conectați la contul Apple ID de pe un dispozitiv nou: toate dispozitivele de încredere (iPhone, iPad, iPod Touch și computerele care rulează cele mai recente versiuni de macOS) primesc instantaneu o notificare interactivă. Pentru a accesa notificarea, trebuie să deblocați dispozitivul (cu o parolă sau senzor de amprentă), iar pentru a primi un cod unic, trebuie să faceți clic pe butonul de confirmare din caseta de dialog.

Ca și în metoda anterioară, în noua schemă este posibil să primiți o parolă unică sub formă de SMS sau apel vocal către un număr de telefon de încredere. Cu toate acestea, spre deosebire de verificarea în doi pași, notificările push vor fi livrate utilizatorului în orice caz, iar utilizatorul poate bloca o încercare neautorizată de a se conecta la cont de pe oricare dintre dispozitivele sale.


Parolele aplicației sunt, de asemenea, acceptate. Dar Apple a abandonat codul de recuperare a accesului: dacă vă pierdeți singurul iPhone împreună cu o cartelă SIM de încredere (pe care din anumite motive nu o puteți restaura), pentru a restabili accesul la contul dvs. va trebui să treceți printr-o căutare reală cu confirmare de identitate (și nu, scanarea unui pașaport nu este o astfel de confirmare... iar originalul, după cum se spune, „nu funcționează”).

Dar în noul sistem de securitate a existat un loc pentru o schemă offline convenabilă și familiară pentru generarea de coduri unice. Utilizează un mecanism complet standard TOTP (parolă unică bazată pe timp), care generează coduri unice din șase cifre la fiecare treizeci de secunde. Aceste coduri sunt legate de ora exactă, iar dispozitivul de încredere însuși acționează ca un generator (autentificator). Codurile sunt obținute din adâncimea setărilor de sistem ale iPhone sau iPad prin Apple ID -> Parolă și securitate.


Nu vom explica în detaliu ce este TOTP și cu ce este folosit, dar va trebui totuși să vorbim despre principalele diferențe dintre implementarea acestei metode în iOS și o schemă similară în Android și Windows.

Spre deosebire de principalii săi concurenți, Apple permite ca doar dispozitivele proprii să fie folosite ca autentificatori. Rolul lor poate fi jucat de un iPhone, iPad sau iPod Touch de încredere care rulează iOS 9 sau 10. Mai mult, fiecare dispozitiv este inițializat cu un secret unic, care vă permite să revocați ușor și fără durere statutul de încredere de la acesta (și numai de la acesta) dacă se pierde. Dacă autentificatorul de la Google este compromis, atunci starea tuturor autentificatorilor inițializați va trebui să fie revocată (și reinițializate), deoarece Google a decis să folosească un singur secret pentru inițializare.

Cât de sigur este?

În comparație cu implementarea anterioară, noua schemă este încă mai sigură. Datorită suportului din partea sistemului de operare, noua schemă este mai consistentă, logică și mai ușor de utilizat, ceea ce este important din punctul de vedere al atragerii utilizatorilor. Sistemul de livrare a parolelor unice a fost, de asemenea, reproiectat semnificativ; singura verigă slabă rămasă este livrarea către un număr de telefon de încredere, pe care utilizatorul trebuie să îl verifice fără greșeală.

Acum, atunci când încearcă să se conecteze la un cont, utilizatorul primește instantaneu notificări push către toate dispozitivele de încredere și are opțiunea de a respinge încercarea. Cu toate acestea, dacă atacatorul acționează suficient de repede, el poate avea acces la cont.

Cum să piratați autentificarea cu doi factori

La fel ca în schema anterioară, autentificarea cu doi factori poate fi piratată folosind un token de autentificare copiat de pe computerul utilizatorului. Un atac asupra cartelei SIM va funcționa și el, dar o încercare de a primi codul prin SMS va declanșa în continuare notificări pe toate dispozitivele de încredere ale utilizatorului, iar acesta poate avea timp să respingă autentificarea. Dar nu veți putea să spionați codul pe ecranul unui dispozitiv blocat: va trebui să deblocați dispozitivul și să dați confirmare în caseta de dialog.


Cum să te protejezi

Nu există multe vulnerabilități rămase în noul sistem. Dacă Apple a abandonat adăugarea obligatorie a unui număr de telefon de încredere (și pentru a activa autentificarea cu doi factori ar trebui verificat cel puțin un număr de telefon), ar putea fi numit ideal. Din păcate, necesitatea verificării unui număr de telefon adaugă o vulnerabilitate serioasă. Puteți încerca să vă protejați în același mod în care protejați numărul la care sunt trimise parolele unice de la bancă.

Continuarea este disponibilă numai pentru abonați

Opțiunea 1. Abonați-vă la Hacker pentru a citi toate materialele de pe site

Abonamentul vă va permite să citiți TOATE materialele plătite de pe site în perioada specificată. Acceptăm plăți cu carduri bancare, monedă electronică și transferuri din conturile operatorului de telefonie mobilă.