1. [+] Сьогодні в програмі
2. Термінологія і абревіатури
3. фактори аутентифікації
4. Яка аутентифікація є двухфакторной
5. У чому різниця між двоетапної і двухфакторной аутентификацией
6. Приклад двофакторної аутентифікації
7. Приклад двоетапної аутентифікації
8. Проблема одноразових паролів в SMS
9. Знижує чи безпеку реєстрація за номером телефону
10. Реалізація 2FA і 2SV у Google, Microsoft і Яндекс
11. Google
12. Microsoft
13. Додатки для аутентифікації
14. Skype і 2SV
15. Яндекс
16. Питання та відповіді
17. Ура, тепер у мене всюди 2SV / 2FA! Щось ще потрібно зробити?
18. У мене є додаток, яке перестало працювати після включення 2SV / 2FA. Що робити?
19. За якими параметрами сервіс визначає, що пристрій довірена?
20. Які мобільні додатки для генерації OTP найкраще використовувати?
21. Чому в додатку для генерації кодів не виходить налаштувати 2FA для ВКонтакте?
22. Дискусія і опитування

Ви коли-небудь виконували вхід за кодом з SMS? А за допомогою програми, що генерує код? Сьогодні я розповім про те, в чому різниця між цими способами, і чому важливо захищати акаунти Інтернет-сервісів і месенджерів двухфакторной або двоетапної аутентифікації.

В день публікації статті про Telegram прилетіла цікава новина - у кількох опозиціонерів зламали акаунти цього месенджера, відключивши їм вночі сервіс SMS на кілька годин. За цей час хтось зайшов з іншого пристрою, про що Telegram надіслав повідомлення.

У кого вночі зламали телеграм, той я. Цікаво, як це можливо? СМС за допомогою МТС перехопили? pic.twitter.com/K17uMQhIe6

- Георгій Албурі (@alburov) April 29, 2016

Якби він використовував двоетапну перевірку, новини б не було.

[+] Сьогодні в програмі

Навіщо потрібен додатковий захист аккаунта

Коли мова заходить про безпеку Windows, тези про необхідність грамотної захисту нерідко впираються в просте і нехитре « а мені наплювати », Підкріплене убивчим аргументом« у мене немає нічого цінного ». Його поява в сьогоднішніх коментарів не стане для мене несподіванкою :)

Проте, якщо тільки ви не живете в абсолютному вакуумі, ваш аккаунт електронної пошти, соціальної мережі або месенджера може представляти цінність для зловмисників. Список ваших контактів укупі з історією листування може стати золотим дном соціальної інженерії для шахраїв, дозволяючи їм розвести на гроші ваших близьких і знайомих ( привіт, Skype! ).

збільшити малюнок

Захоплення поштової облікового запису також може відкрити двері до інших мережевих сервісів, в яких ви зареєстровані з нею (ви адже використовуєте одну пошту для різних сервісів, чи не так?)

Приклад зі зломом Telegram цікавий тим, що моментально породив в мережі уїдливі коментарі в стилі «ха-ха, ось вам і хвалена безпеку!» Однак важливо розуміти, що потрібно забезпечувати рекомендований рівень захисту , А не лежати на печі, покладаючись на маркетингові заяви.

Ця стаття для тих, хто не чекає, поки вдарить грім, а дотримується правил мережевої гігієни і відповідально підходить до захисту своєї конфіденційної інформації. Поїхали!

Термінологія і абревіатури

Я свідомо спрощую визначення, тому що далі ми будемо детально розглядати ці поняття на практиці.

• Аутентифікація. Перевірка унікальної інформації, відомої або прийнятній для людського сприйняття, який намагається отримати доступ до даних. Найпростіший приклад - введення пароля до облікового запису.
• Двоетапна аутентифікація (Two-Step Verification, 2SV). Вхід виконується в два етапи - наприклад, спочатку ви вводите пароль до облікового запису, а потім код з SMS.
• Двухфакторная аутентифікація (Two Factor Authentication, 2FA). Вхід теж може виконуватися в два етапи, але вони повинні відрізнятися факторами (нижче їх розберемо). Наприклад, спочатку вводиться пароль, а потім одноразовий пароль, згенерований апаратним токеном.
• Одноразовий пароль (One-Time Password, OTP). Цифровий або літерний код з 6-8 символів. Це може бути код з SMS або програми, що генерує коди (Google Authenticator).

фактори аутентифікації

Двоетапну перевірку часто називають двухфакторной, не роблячи особливої ​​різниці між поняттями. Я теж не надавав їй особливого значення, хоча і користувався обома способами. Але одного разу очей зачепився за новина про перехід Apple з двоетапної на двухфакторную аутентифікацію, яку твітнул фахівець з інформаційної безпеки Олексій Комаров.

Я попросив експерта пояснити різницю між 2SV і 2FA, і він вклався в один твіт з посиланням на свою статтю.

@vsterkin чинники: 1 - те, що ти знаєш, 2 - те, що маєш, 3 - ким є і 4 - де перебуваєш http://t.co/T7xNuqDrMW

- Олексій Комаров (@zlonov) July 14, 2015

У ній мені дуже сподобалися аналогії - прості і зрозумілі. Дозволю собі процитувати їх цілком.

На цей раз скористаємося образами з шпигунських романів. Агенту Сміту необхідно зустрітися зі зв'язковим і передати йому секретну інформацію. Один одного вони не знають і ніколи раніше не зустрічалися. Як Сміт зможе упевнитися, що перед ним дійсно зв'язковою, а не ворожий агент? Розрізняють всього чотири фактори аутентифікації. Розглянемо їх все.

«У Вас продається слов'янська шафа?» - це приклад першого фактора, коли суб'єкт щось знає. На практиці це може бути пароль, логін, кодова фраза - словом, будь-який секрет, відомий обом сторонам.

Зв'язковий може пред'явити, наприклад, половину розірваної фотографії або щось ще, що є тільки у нього - це приклад другого фактора аутентифікації, заснованого на тому, що у суб'єкта щось є. У сучасних системах інформаційної безпеки для цих цілей використовуються маркери - персональні апаратні засоби аутентифікації.

Для забезпечення безпеки зустрічі можна домовитися, що вона повинна відбутися на третій лавці справа від входу в Центральний парк. Третій фактор - суб'єкт перебуває в певному місці. В інформаційних системах можуть визначатися, наприклад, IP-адреса комп'ютера суб'єкта або зчитуватися дані радіо-мітки.

Ну і нарешті, Сміту могли показати фотографію зв'язкового, щоб він зміг його впізнати. Четвертий фактор (суб'єкт має певної біологічної особливістю) застосовується тільки в разі, коли суб'єкт аутентифікації - людина, а не, наприклад, сервер або процес, що не мають відбитків пальців, структур ДНК або райдужної оболонки ока.

Яка аутентифікація є двухфакторной

Виходячи з назви, аутентифікація виконується за допомогою двох факторів, причому вони обов'язково повинні бути різними! Продовжу розповідь своєї аналогією - подивіться уважно на цей сейф.

Відкрити його ви зможете, тільки якщо знаєте секретну комбінацію, і у вас є ключ від замка. Зауважте, що ці два фактори відрізняються.

Зловмисник може викрасти ключ, але без коду він марний. Так само як підглянутий код не допоможе без ключа. Іншими словами, щоб пробратися в сейф, злочинцеві потрібно вкрасти дві різні «речі».

Давайте подивимося, як це виглядає в контексті інформаційних технологій.

У чому різниця між двоетапної і двухфакторной аутентификацией

Двухфакторная аутентифікація може бути двоетапної, але зворотне вірно не завжди. Кордон між цими поняттями дуже тонка, тому їх часто і не розрізняють. Наприклад, Twitter в блозі нарікає свою двоетапну аутентифікацію двухфакторной, а Google в довідці зрівнює ці способи (втім, компанія пропонує обидва).

Дійсно, в мережевих облікових записах (Microsoft, Google, Яндекс і т.п.), соцмережах і месенджерах реалізація 2FA і 2SV дуже схожа. Один етап завжди має на увазі введення пароля або ПІН-коду, який ви знаєте. Різниця між способами аутентифікації криється в другому етапі - 2FA можлива тільки в тому випадку, якщо у вас щось є.

Типовим доповненням до відомого вам паролю служить одноразовий код або пароль (OTP). Тут-то і заритий собака!

Двухфакторная аутентифікація має на увазі створення одноразового пароля безпосередньо на пристрої, яким ви володієте (апаратний токен або смартфон). Якщо OTP відправлений в SMS, аутентифікація вважається двоетапної.

Здавалося б, SMS приходить на смартфон, який у вас є. Як ви побачите нижче, це - помилкова передумова.

Приклад двофакторної аутентифікації

Для віддаленого доступу до ресурсів мого роботодавця необхідно пройти двухфакторную аутентифікацію. Перший фактор - пароль облікового запису, який я знаю. Другий фактор - апаратний токен для генерації OTP, який у мене є.

Щоб виконати вхід в систему від мого імені, зловмисник повинен вкрасти не тільки пароль, але і виданий мені токен, тобто фізично проникнути в мою квартиру.

Для доступу до ресурсів клієнта я теж використовую 2FA, але в цьому випадку роль апаратного токена виконує смартфон з додатком RSA SecureID.

Приклад двоетапної аутентифікації

Коли ви вперше входите на новому пристрої в Telegram, вам приходить на телефон код підтвердження - це перший етап аутентифікації. У багатьох користувачів месенджера він єдиний, але в налаштуваннях безпеки додатки можна включити другий етап - пароль, який відомий тільки вам і вводиться після коду з SMS.

Зауважте, що творці Telegram коректно називають свою аутентифікацію двоетапної.

Проблема одноразових паролів в SMS

Давайте повернемося до випадку з отриманням неправомірного доступу до аккаунту Telegram, з якого я почав сьогоднішня розповідь.

У процесі злому опозиціонерам тимчасово відключили сервіс SMS. Вони бачать в цьому руку технічного відділу МТС, а й без його участі зловмисники цілком могли перевипустити SIM-карту або провести атаку MITM . Більше їм ніщо не заважало увійти в Telegram на іншому пристрої!

Будь на акаунті пароль, відомий тільки власнику, здійснити злом було б на порядок складніше.

Однак така аутентифікація залишається двоетапної, і злом аккаунта добре демонструє, що при цільової атаці володіння смартфоном не має ніякого значення. Ви лише знаєте свій пароль і одноразовий код, який приходить в SMS, а це однакові фактори.

Знижує чи безпеку реєстрація за номером телефону

У коментарях до попереднього запису кілька читачів висловили думку, що типове для ряду месенджерів зручність реєстрації за номером телефону послаблює захист аккаунта в порівнянні з традиційним паролем. Я так не вважаю.

За відсутності 2FA або 2SV аутентифікація виходить одноетапною і однофакторной. Тому за великим рахунком немає різниці, виконуєте ви вхід за допомогою відомого вам пароля або невідомого заздалегідь коду, присилається в SMS.

Так, зловмисники можуть отримати ваш SMS-код, але вони можуть перехопити і ваш пароль, нехай і якимось іншим способом (клавіатурний шпигун, контроль публічної мережі Wi-Fi).

Якщо ви хочете краще захистити свій обліковий запис, спирайтеся на 2FA або 2SV, а не на помилкове відчуття переваги пароля над номером телефону.

Реалізація 2FA і 2SV у Google, Microsoft і Яндекс

Давайте подивимося, яку захист облікового запису пропонують деякі великі гравці з мільйонами користувачів.

Google

Компанія пропонує, мабуть, самий широкий спектр засобів додаткового захисту облікового запису. Поряд з традиційними способами 2SV (відправленням коду в SMS або дзвінком) у Google реалізована 2FA. Ця програма для генерації кодів і, що рідкість, підтримка апаратних токенів стандарту FIDO UTF.

Після перевірки пароля вам пропонується ввести код, спосіб отримання якого залежить від налаштувань аутентифікації для вашого профілю.

Зверніть увагу, що за замовчуванням комп'ютер переводиться в розряд довірених, тобто при наступних входах на цьому пристрої другий фактор не потрібно. Список таких пристроїв можна очистити в параметрах 2SV.

У мене налаштована генерація кодів додатком. В Google Authenticator реалізована підтримка RFC 6238, що дозволяє створювати OTP для будь-яких сервісів, що використовують цю специфікацію.

До речі, в додатку я якось настав на граблі - коди перестали прийматися. У Twitter мені швидко підказали синхронізувати корекцію часу для кодів в налаштуваннях програми, але я вже перейшов в Яндекс.Ключ.

Також, у Google є можливість роздрукувати одноразові коди, що може бути корисно в подорожах людям, які не мають смартфона і користуються SIM-картою місцевого оператора.

Microsoft

У Microsoft все дуже схоже на Google (див. настройки аккаунта ) Тому я сфокусується на цікавих відмінностях. Компанія не підтримує апаратні токени, але можна забезпечити 2FA, генеруючи OTP фірмовим додатком Authenticator.

Додатки для аутентифікації

На мобільного Windows і iOS додатки Microsoft працюють однаково - просто генерують коди. На Android ситуація цікавіше, тому що у додатки Microsoft Account два режими роботи - двоетапний і двохфакторну.

Після початкового налаштування програми включається режим, який відмінно реалізований з точки зору зручності використання. Коли ви входите на сайт, вам пропонується підтвердити запит в додатку. Одночасно приходить повідомлення, яке схвалюється одним натисканням, тобто не треба вводити код вручну.

Строго кажучи, це - 2SV, тому що пуш-повідомлення передається через інтернет, але можна переключитися на 2FA. Натиснувши «Не виходить», ви побачите вимога ввести код. Внизу мобільного додатка є відповідна можливість, що відкриває список підключених акаунтів. Повернутися до режиму повідомлень можна аналогічним шляхом при наступному вході.

До речі, на відміну від Google, Microsoft за замовчуванням не дає змогу встановити в розряд довірених (див. Картинку вище), і я вважаю це правильним.

Skype і 2SV

Upd. 01-Nov-2016. У Skype нарешті з'явилася 2SV за рахунок повної інтеграції аккаунта Skype в обліковий запис Microsoft. Тому написане в цьому розділі актуально лише для акаунтів Skype, які не пройшли процедуру поновлення .

Skype заслуговує окремої згадки, причому в негативному контексті. Двоетапної аутентифікації захищена обліковий запис Microsoft , І ви можете входити з нею в Skype.

Однак, якщо у вас є акаунт Skype (реєструється на сайті), то для нього 2SV не реалізована, навіть якщо він пов'язаний з обліковим записом Microsoft.

На практиці це означає, що ви не можете забезпечити свого облікового запису Skype рівень захисту, який рекомендує Microsoft. На сайті підтримки Skype є чудова тема (Напевно, не єдина), куди приходять власники зламаних акаунтів і просять реалізувати 2FA.

Обхідний шлях - відмова від використання такого аккаунта і створення нового шляхом входу з обліковим записом Microsoft. Але ті, кого ще не зламали, навряд чи захочуть кидати обліковий запис з масою контактів.

Яндекс

У Яндекса знайдеться все, в тому числі і своя реалізація 2FA . компанія детально пояснила в блозі на Хабре, чому вирішила винайти велосипед, тому я обмежуся лише практикою використання цього рішення.

Включення 2FA скасовує використання пароля для облікового запису, вхід до якої далі буде виконуватися за допомогою смартфона або планшета. Як я зрозумів, додаток Яндекс.Ключ доступно тільки для iOS і Android, тому власники смартфонів на Windows не зможуть захистити свою обліковий запис Яндекс двухфакторной аутентификацией.

Мобільний додаток підтримує різні облікові записи, але тільки аккаунт Яндекс захищений обов'язковим ПІН-кодом - це перший фактор. Другий показаний на зображенні вище - це одноразовий пароль з восьми букв або сканування QR-коду з веб-сторінки, на якій ви здійснюєте вхід.

OTP закінчується через 30 секунд. Зробивши помилку, я не встигав повторно ввести той самий код, і доводилося чекати нового (цифри все-таки простіше вводити без помилок). Тому рекомендований і більш зручний спосіб - це сканування QR-коду. Для випадків авторизації на тому ж пристрої передбачена кнопка, яка копіює OTP в буфер обміну.

Питання та відповіді

Коментарі висвітили кілька питань, відповіді на які я вирішив додати до статті.

Ура, тепер у мене всюди 2SV / 2FA! Щось ще потрібно зробити?

Уявіть, що ви поїхали на відпочинок, де у вас в перший же день вкрали смартфон. Тепер ви не потрапляєте ні в один акаунт, поки не відновите SIM-карту. Щоб уникнути такого сценарію, зайдіть в настройки ключових акаунтів, знайдіть там одноразові або резервні коди для доступу до облікового запису і збережіть їх на іншому пристрої та / або запишіть на папері.

У мене є додаток, яке перестало працювати після включення 2SV / 2FA. Що робити?

Деякі додатки несумісні з двоетапної аутентифікації в тому сенсі, що сервіс чекає коду на другому етапі, а вводити його нікуди. Прикладом може служити будь-небудь «десктопний» поштовий клієнт.

На цей випадок у налаштуваннях 2SV вашого облікового запису передбачена можливість створювати паролі додатків (app passwords). Потрібно створити пароль і ввести його в проблемному додатку замість вашого пароля облікового запису. У Яндекс (наприклад, в яндекс.браузер) досить просто ввести одноразовий пароль, згенерований додатком Яндекс.Ключ.

За якими параметрами сервіс визначає, що пристрій довірена?

У кожного вендора своя реалізація. Це може бути комбінацією SSL cookie, IP-адреси, браузера, ще чого-небудь. Є поріг зміни параметрів, після досягнення якого не авторизовані.

Які мобільні додатки для генерації OTP найкраще використовувати?

Якщо ви не користуєтеся 2FA в Яндекс, то підійде будь-який додаток (Google, Microsoft, Яндекс.Ключ). Якщо у вас включена 2FA в Яндекс, має сенс консолідувати всі сервіси в Яндекс.Ключ. Причина в тому, що реалізація 2FA у Яндекс відрізняється від інших сервісів, але Яндекс.Ключ підтримує RFC 6238, що дозволяє створювати OTP для інших сервісів, що впровадили цю специфікацію.

Чому в додатку для генерації кодів не виходить налаштувати 2FA для ВКонтакте?

В налаштуваннях смартфона потрібно встановити автоматичне визначення дати та часового поясу. Інакше програма не зареєструвати - із програми код не приймається з помилкою «Невірний код підтвердження». Доставка OTP по SMS при цьому працює і ніяк не пов'язана з проблемою.

Дискусія і опитування

Спочатку двухфакторная і двоетапна аутентифікація була долею організацій, але поступово вона стала з'являтися і в сервісах, орієнтованих на споживачів. Google була однією з перших великих компаній, що запропонували своїм користувачам такий захист в 2011 році, а пізніше підтягнулися і інші гравці, в тому числі популярні в Рунеті Яндекс і mail.ru ввели ці заходи на початку 2015 року.

Поки 2FA / 2SV доступна далеко не для всіх Поширення сервісів. Например, на момент Публікації статті ее немає в месенджер з багатомільйонною аудіторією Viber и WhatsApp (з'явилася в лютому 2017 року). Але в цілому до середини 2016 року технологія отримала дуже широке поширення .

Сам я починав з Google, потім підключив соцмережі, пізніше обліковий запис Microsoft (там була метушня з низкою програм, які не підтримують 2SV, і доводилося створювати одноразові паролі). Зараз 2FA / 2SV у мене включена всюди, і навіть в цьому блозі (тільки для адміністраторів).

У коментарях розкажіть, як ви проголосували і які сервіси ви захищаєте за допомогою 2FA / 2SV. Якщо ніякі або не всі, поясніть, що вас утримує від цього.

У вас включена 2FA / 2SV? (2016)

• Так, в ряді сервісів, і мені цього достатньо (37%, голосів: 185)
• Так, всюди де це можливо (24%, голосів: 119)
• Ні, але тепер почну користуватися (15%, голосів: 73)
• Так, в ряді сервісів, але тепер включу всюди (14%, голосів: 68)
• Ні, і мені це не потрібно (10%, голосів: 50)
• Мого варіанту тут немає (поясніть в коментарях) (1%, голосів: 7)

Проголосувало: 502 [ архів опитувань ]

Обговорення завершено.