Пароли не взламывает только ленивый. Недавняя массовая утечка учетных записей из Yahoo только подтверждает тот факт, что одного лишь пароля - и совершенно неважно, какой он будет длины и сложности, - уже недостаточно для надежной защиты. Двухфакторная аутентификация - это то, что обещает дать такую защиту, добавляя дополнительный уровень безопасности.

В теории все выглядит неплохо, да и на практике, в общем-то, работает. Двухфакторная аутентификация действительно усложняет взлом учетной записи. Теперь злоумышленнику недостаточно выманить, украсть или взломать основной пароль. Для входа в учетную запись необходимо ввести еще и одноразовый код, который... А вот каким именно образом получается этот одноразовый код - и есть самое интересное.

Ты неоднократно сталкивался с двухфакторной аутентификацией, даже если никогда не слышал о ней. Когда-нибудь вводил одноразовый код, который тебе присылали через СМС? Это оно, частный случай двухфакторной аутентификации. Помогает? Честно говоря, не очень: злоумышленники уже научились обходить и этот вид защиты.

Сегодня мы рассмотрим все виды двухфакторной аутентификации, применяемой для защиты учетных записей Google Account, Apple ID и Microsoft Account на платформах Android, iOS и Windows 10 Mobile.

Apple

Впервые двухфакторная аутентификация появилась в устройствах Apple в 2013 году. В те времена убедить пользователей в необходимости дополнительной защиты было непросто. В Apple не стали и стараться: двухфакторная аутентификация (получившая название двухэтапной проверки, или Two-Step Verification) использовалась только для защиты от прямого финансового ущерба. Например, одноразовый код требовался при совершении покупки с нового устройства, смене пароля и для общения со службой поддержки на темы, связанные с учетной записью Apple ID.

Добром это все не кончилось. В августе 2014 года произошла массовая утечка фотографий знаменитостей . Хакеры сумели получить доступ к учетным записям жертв и скачали фото из iCloud. Разразился скандал, в результате которого Apple в спешном порядке расширила поддержку двухэтапной проверки на доступ к резервным копиям и фотографиям в iCloud. В это же время в компании продолжались работы над методом двухфакторной аутентификации нового поколения.

Двухэтапная проверка

Для доставки кодов двухэтапная проверка использует механизм Find My Phone, изначально предназначенный для доставки push-уведомлений и команд блокировки в случае потери или кражи телефона. Код выводится поверх экрана блокировки, соответственно, если злоумышленник добудет доверенное устройство, он сможет получить одноразовый код и воспользоваться им, даже не зная пароля устройства. Такой механизм доставки - откровенно слабое звено.

Также код можно получить в виде СМС или голосового звонка на зарегистрированный телефонный номер. Такой способ ничуть не более безопасен. SIM-карту можно извлечь из неплохо защищенного iPhone и вставить в любое другое устройство, после чего принять на нее код. Наконец, SIM-карту можно клонировать или взять у сотового оператора по поддельной доверенности - этот вид мошенничества сейчас приобрел просто эпидемический характер.

Если же у тебя нет доступа ни к доверенному iPhone, ни к доверенному телефонному номеру, то для доступа к учетной записи нужно использовать специальный 14-значный ключ (который, кстати, рекомендуется распечатать и хранить в безопасном месте, а в поездках - держать при себе). Если же ты потеряешь и его, то мало не покажется: доступ в учетную запись может быть закрыт навсегда.

Насколько это безопасно?

Если честно, не очень. Двухэтапная проверка реализована из рук вон плохо и заслуженно получила репутацию худшей системы двухфакторной аутентификации из всех игроков «большой тройки». Если нет другого выбора, то двухэтапная проверка - это все же лучше, чем ничего. Но выбор есть: с выходом iOS 9 Apple представила совершенно новую систему защиты, которой дали бесхитростное название «двухфакторная аутентификация».

В чем именно слабость этой системы? Во-первых, одноразовые коды, доставленные через механизм Find My Phone, отображаются прямо на экране блокировки. Во-вторых, аутентификация на основе телефонных номеров небезопасна: СМС могут быть перехвачены как на уровне провайдера, так и заменой или клонированием SIM-карты. Если же есть физический доступ к SIM-карте, то ее можно просто установить в другое устройство и получить код на совершенно законных основаниях.

Также имей в виду, что преступники научились получать SIM-карты взамен «утерянных» по поддельным доверенностям. Если твой пароль украли, то уж узнать твой номер телефона - плевое дело. Подделывается доверенность, получается новая SIM-карта - собственно, для доступа к твоей учетной записи больше ничего и не требуется.

Как взломать аутентификацию Apple

Взломать этот вариант двухфакторной аутентификации достаточно несложно. Есть несколько вариантов:

• считать одноразовый код с доверенного устройства - разблокировать не обязательно;
• переставить SIM-карту в другой аппарат, получить СМС;
• клонировать SIM-карту, получить код на нее;
• воспользоваться двоичным маркером аутентификации, скопированным с компьютера пользователя.

Как защититься

Защита с помощью двухэтапной проверки несерьезна. Не используй ее вообще. Вместо нее включи настоящую двухфакторную аутентификацию.

Двухфакторная аутентификация

Вторая попытка Apple носит официальное название «двухфакторная аутентификация». Вместо того чтобы сменить предыдущую схему двухэтапной проверки, две системы существуют параллельно (впрочем, в рамках одной учетной записи может использоваться лишь одна из двух схем).

Двухфакторная аутентификация появилась как составная часть iOS 9 и вышедшей одновременно с ней версии macOS. Новый метод включает дополнительную проверку при любой попытке зайти в учетную запись Apple ID с нового устройства: на все доверенные устройства (iPhone, iPad, iPod Touch и компьютеры под управлением свежих версий macOS) моментально приходит интерактивное уведомление. Чтобы получить доступ к уведомлению, нужно разблокировать устройство (паролем или датчиком отпечатка пальцев), а для получения одноразового кода потребуется нажать на кнопку подтверждения в диалоговом окне.

Как и в предыдущем методе, в новой схеме возможно получение одноразового пароля в виде СМС или голосового звонка на доверенный телефонный номер. Однако, в отличие от двухэтапной проверки, пользователю в любом случае будут доставлены push-уведомления, и неавторизованную попытку зайти в учетную запись пользователь может заблокировать с любого из своих устройств.

Поддерживаются и пароли приложений. А вот от кода восстановления доступа в Apple отказались: если ты потеряешь свой единственный iPhone вместе с доверенной SIM-картой (которую по каким-то причинам не сможешь восстановить), для восстановления доступа к учетной записи тебе придется пройти настоящий квест с подтверждением личности (и нет, скан паспорта таким подтверждением не является... да и оригинал, что называется, «не канает»).

Зато в новой системе защиты нашлось место для удобной и привычной офлайновой схемы генерации одноразовых кодов. Для нее используется совершенно стандартный механизм TOTP (time-based one-time password), который каждые тридцать секунд генерирует одноразовые коды, состоящие из шести цифр. Эти коды привязаны к точному времени, а в роли генератора (аутентификатора) выступает само доверенное устройство. Коды добываются из недр системных настроек iPhone или iPad через Apple ID -> Password and Security.

Мы не станем подробно объяснять, что такое TOTP и с чем его едят, но об основных отличиях реализации этого метода в iOS от аналогичной схемы в Android и Windows рассказать все-таки придется.

В отличие от основных конкурентов, Apple позволяет использовать в качестве аутентификаторов исключительно устройства собственного производства. В их роли могут выступать доверенные iPhone, iPad или iPod Touch под управлением iOS 9 или 10. При этом каждое устройство инициализируется уникальным секретом, что позволяет в случае его утраты легко и безболезненно отозвать с него (и только с него) доверенный статус. Если же скомпрометирован окажется аутентификатор от Google, то отзывать (и заново инициализировать) придется статус всех инициализированных аутентификаторов, так как в Google решили использовать для инициализации единственный секрет.

Насколько это безопасно

В сравнении с предыдущей реализацией новая схема все же более безопасна. Благодаря поддержке со стороны операционной системы новая схема более последовательна, логична и удобна в использовании, что немаловажно с точки зрения привлечения пользователей. Система доставки одноразовых паролей также существенно переработана; единственное оставшееся слабое звено - доставка на доверенный телефонный номер, который пользователь по-прежнему должен верифицировать в обязательном порядке.

Теперь при попытке входа в учетную запись пользователь мгновенно получает push-уведомления на все доверенные устройства и имеет возможность отклонить попытку. Тем не менее при достаточно быстрых действиях злоумышленник может успеть получить доступ к учетной записи.

Как взломать двухфакторную аутентификацию

Так же как и в предыдущей схеме, двухфакторную аутентификацию можно взломать с помощью маркера аутентификации, скопированного с компьютера пользователя. Атака на SIM-карту тоже сработает, но попытка получить код через СМС все же вызовет уведомления на всех доверенных устройствах пользователя, и он может успеть отклонить вход. А вот подсмотреть код на экране заблокированного устройства уже не удастся: придется разблокировать девайс и дать подтверждение в диалоговом окне.

Как защититься

Уязвимостей в новой системе осталось не так много. Если бы Apple отказалась от обязательного добавления доверенного телефонного номера (а для активации двухфакторной аутентификации хотя бы один телефонный номер верифицировать придется в обязательном порядке), ее можно было бы назвать идеальной. Увы, необходимость верифицировать телефонный номер добавляет серьезную уязвимость. Попытаться защититься можно точно так же, как ты защищаешь номер, на который приходят одноразовые пароли от банка.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «сайт», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», увеличит личную накопительную скидку и позволит накапливать профессиональный рейтинг Xakep Score!

Использование парольной аутентификации в ИС предприятий и организаций себя изживает. Продолжая применять эту традиционную методику доступа в отношении собственных информационных ресурсов, компании фактически ставят под угрозу рентабельность и, вероятно, само существование предприятия.

Это утверждение имеет смысл и относится, прежде всего, к компаниям финансового сектора, как впрочем, и ряду компаний выполняющих НИОКР в высокотехнологичных секторах рынка. Давайте рассмотрим основания для столь многозначительного вывода.

Согласно стандарту РФ о защите информации, три основных свойства определяют безопасное состояние обрабатываемой информации - её конфиденциальность, доступность и целостность. Вспомним, что парольная аутентификация , а именно она в деле защиты данных является одним из первых барьеров, появившихся в ИТ-системах одновременно с операционными системами, реализующими множественный доступ к информационным ресурсам, без малого 20 лет стоит на первом рубеже контроля. Очевидно, что среди основных достоинств этой методики защиты её привычность и простота. И вряд ли кто-то станет оспаривать достаточность применения во многих организациях парольной аутентификации и уровня безопасности использования информации, при соответствующем организационном подходе. Однако...

80% инцидентов в сфере информационной безопасности случаются вследствие использования слабых паролей - к такому выводу пришла компания Trustwave по результатам собственного исследования, охватившего ряд компаний в 18 регионах мира. Аналитики посвятили исследование уязвимости элементов в системах информационной безопасности , в процессе коего изучили более 300 инцидентов, имевших место в 2011 году. Главное заключение, сделанное в итоге: слабые пароли пользователей в ИС - наиболее уязвимое место, используемое злоумышленниками, как в крупных, так и в небольших компаниях.

Слабый пароль - это плохо, но обратная сторона применения сложных паролей - трудность удержания в памяти человека. Как следствие - небрежность их хранения в виде рабочих записей, а в этом случае уже не имеет значения, будет ли пара логин/пароль записана в личном блокноте сотрудника или закреплена на мониторе липким листком. Зная традицию обращения с такими данными работниками российских компаний, к примеру, для злоумышленника не составит особого труда получить эти сведения... Если еще учесть часто применяемую "синхронизацию" паролей для доступа к различным приложениям и корпоративным системам... И вот, минимум два из трёх столпов информационной безопасности предприятия повержены в цифровую пыль.

Некоторые зарубежные компании, действующие в сфере анализа инцидентов в системах безопасности, делают вывод: несанкционированный доступ к информации ограниченного использования о финансовой активности предприятия, договорах и графиках способен сказаться не то, что потерями - разорением. Ежегодные потери от утечек информации в США оцениваются в миллиардах долларов. Российский отраслевой портал "Информационная Безопасность Банков" в оценке финансового ущерба от возможных злоупотреблений сотрудников ссылается на исследования Ассоциации экспертов по борьбе с мошенничеством (ACFE, США), которая видит эту сумму в размере 6% прибыли банка за год. По наблюдениям ассоциации, потери при подобных инцидентах, в среднем, достигали $100 тыс., а в 14,6% превысили $1 млн.

Исследовательская компания Javelin Strategy в своем ежегодном исследовании, опубликованном в феврале 2012 года, оценила мировой объем мошенничества и утечек данных из компаний и организаций за 2011 год в $18 млрд. Не доверять экспертам нет оснований, а поправку на отставание России в области информатизации и не публичность российских банков и компаний каждый вправе сделать сам.

Невзирая на множество средств вычтехники и широкий спектр технологических решений, выбор методов аутентификации для компаний, планирующих своё будущее, невелик - многофакторная аутентификация (конечно, если в ближайшее время не случится технологический прорыв в управлении вычислительными системами при помощи мысли). Однофакторной или парольной аутентификации для безопасной работы с информационными системами в развитом бизнесе уже не достаточно.

Сильные и слабые стороны многофакторной аутентификации, в общем, известны. К преимуществам можно отнести её способность защитить информацию, как от внутренних угроз, так и от внешних вторжений. Определенной слабостью можно считать необходимость использования дополнительных программно-аппаратных комплексов, устройств хранения и считывания данных. В то же время, в настоящий момент статистика взломов систем, применяющих двухфакторную аутентификацию , отсутствует или ничтожна.

Многофакторная или расширенная аутентификация уже сегодня применяется рядом российских компаний в сфере финансов при создании сервисов интернет-банкинга , мобильного банкинга, файлообмена и т.п. решений для конечных пользователей. Она основана на совместном использовании нескольких факторов аутентификации (знаний, средств или объектов хранения одной из информационных составляющих легитимной процедуры аутентификации), что значительно повышает безопасность использования информации, по меньшей мере, со стороны пользователей, подключающихся к информационным системам по защищенным и незащищенным каналам коммуникаций.

В качестве примера может послужить процесс двухфакторной аутентификации пользователя, реализованный в настоящее время рядом российских банков: вход в личный кабинет пользователя посредством сети интернет возможен после ввода пароля на странице, после чего (в случае подтвержденной правомерности), следует передача одноразового пароля (в виде SMS) на мобильный телефон, ранее зарегистрированный пользователем.

Аналогичные схемы контроля и управления полномочиями пользователя, его дальнейших действий в корпоративных или других информационных системах, могут быть реализованы с применением самых различных средств и методов, выбор коих достаточно широк, как по технологичности, стоимости, исполнению, так и по возможным комбинациям перечисленных свойств.

Сессия работы пользователя может также контролироваться на предмет соответствия, как IP-адреса последней успешно завершенной сессии, так и MAC-адреса соответствующего сетевого оборудования. Далее могут идти действия подтверждения или отказа в доступе к информационным ресурсам, но доверия к этим двум параметрам контроля быть не может в силу их технологической слабости: IP-адрес можно подменить, а MAC-адрес просто переписать в ходе работы системы, и даже без перезагрузки. Тем не менее, в качестве неких контрольных значений эти сведения могут быть использованы.

Несколько примеров двухфакторной и многофакторной аутентификации

Методика аутентификации при помощи SMS основана на использовании одноразового пароля: преимущество такого подхода, по сравнению с постоянным паролем в том, что этот пароль нельзя использовать повторно. Даже если предположить, что злоумышленнику удалось перехватить данные в процессе информационного обмена, он не сможет результативно использовать украденный пароль для получения доступа к системе.

А вот пример, реализуемый с применением биометрических устройств и методов аутентификации: использование сканера отпечатка пальца , который имеется в ряде моделей ноутбуков. При входе в систему пользователь должен пройти процедуру сканирования пальца, а затем подтвердить свои полномочия паролем. Успешно завершенная аутентификация даст ему право на использование локальных данных конкретного ПК. Тем не менее, регламентом работы в ИС может быть предусмотрена отдельная процедура аутентификации для доступа к сетевым ресурсам компании, которая помимо ввода другого пароля может включать в себя целый ряд требований к представлению аутентификаторов субъекта. Но даже при такой реализации, защищенность системы, несомненно, усиливается.

Аналогичным образом могут быть использованы и другие биометрические аутентификаторы:

• геометрия кисти руки;
• очертания и размеры лица;
• характеристики голоса;
• узор радужной оболочки и сетчатки глаз;
• рисунок вен пальцев.

При этом конечно применяется соответствующее оборудование и программное обеспечение, а затраты на его приобретение и поддержку могут отличаться в разы.

Но! Стоит понимать - биометрические аутентификаторы не являются абсолютно точными данными. Отпечатки одного пальца могут иметь отличия под воздействием внешней среды, физиологического состояния организма человека и т.п. Для успешного подтверждения этого аутентификатора достаточно не полного соответствия отпечатка эталону. Методы биометрической аутентификации содержат определение степени вероятности соответствия действующего аутентификатора эталону. Что касается биометрической аутентификации и удаленного доступа к ИС, то пока у современных технологий нет возможности передать по незащищенным каналам достоверные данные - отпечаток пальца или результат сканирования сетчатки глаза.

Эти технологии в большей степени годятся для использования в корпоративных сетях.

Наиболее популярной технологией, в этом направлении, в недалеком будущем может стать голосовая аутентификация и признаки тому на лицо. Значительное количество разработок в этой сфере имеется уже сегодня, проекты внедрения подобных механизмов управления/контроля нашли место в ряде крупных банков РФ. В качестве примера практического применения систем голосовой биометрической аутентификации, можно указать аутентификацию по ключевой фразе, применяемую в ряде колл-центров, аудио-пароли для доступа к системам интернет-банкинга и т.п., подтверждение действий персонала при осуществлении важных операций доступа к информации, контроль физического доступа и присутствия в помещении.

Помимо технологий, связанных с использованием биометрических аутентификаторов, имеются также программно-аппаратные решения, такие как автономные ключи для генерации одноразовых паролей, считыватели RFID -меток, криптокалькуляторы, программные и аппаратные жетоны (токены), электронные ключи различных типов - Touch Memory и ключ/смарт-карта, а также биометрические идентификационные карты. Все перечисленные в рамках статьи системы и методы многофакторной аутентификации, а помимо них еще и системы контроля и управления доступом (СКУД) могут интегрироваться, комбинироваться, отрабатывать поочерёдно и в комплексе. Отсюда можно сделать вывод: на рынке России существует достаточное количество предложений для усиления защиты информационных систем, как от внутренних, так и внешних вторжений. У компаний имеется возможность выбора, ограничиваемая лишь размером бюджета.

Методам защиты, основанным на методиках многофакторной аутентификации , сегодня доверяет большое число зарубежных компаний, среди которых организации хай-тека, финансового и страхового секторов рынка, крупные банковские учреждения и предприятия госсектора, независимые экспертные организации, исследовательские фирмы.

При этом, частные компании и организации в мире, в целом, не очень охотно распространяются о внедрении у себя технологических новинок в сфере безопасности и защиты информации, по вполне понятным причинам. Гораздо больше известно о проектах в государственном секторе - с 2006 года публично известны успешно реализованные технологические решения в государственных учреждениях Канады, Саудовской Аравии, Испании, Дании и ряда других стран.

Материал подготовлен компанией "Индид"

Для защиты своих личных данных в современном мире Вам, возможно, придётся позаботиться о повышении уровня защиты своего цифрового пространства при помощи двухфакторной аутентификации.

В жизнь современного человека всё плотнее интегрируются различные онлайн-технологии. Большинство из нас уже не представляют себя без социальных сетей, смартфона и Интернета вообще. Мы ежедневно оставляем во Всемирной паутине целую кучу цифровых следов и личных данных. При этом большинство пользователей даже не задумывается над тем, что будет, если в один день они потеряют доступ к своему "цифровому миру", который окажется в руках злоумышленников...

Кто-то скажет, что их скромная персона вряд ли заинтересует хакеров. Однако, на "чёрном рынке" продаются даже аккаунты от самых захудалых соцсетей. Что уж говорить, скажем, о Вашей учётной записи Google, которая содержит всю почтовую переписку, данные с телефона и, возможно, привязку к банковским картам?

Самое печальное то, что многие полагаются на "авось" и используют довольно простые пароли доступа к любым серьёзным аккаунтам. А, между прочим, существуют целые специальные словари, содержащие тысячи популярных паролей, вроде "1234qwerty" и им подобных, которые позволяют взломать Вас в считанные минуты! Поэтому обычная парольная защита уже не является надёжной. Настало время для использования двухфакторной аутентификации!

Что такое двухфакторная аутентификация?

В различных фантастических фильмах Голливуда мы можем видеть как главный герой (или злодей) для доступа к секретным данным сначала вводит кучу паролей, потом прикладывает специальную идентификационную карту к считывающему устройству, а в довершение всего ещё и смотрит в глазок, где лазер считывает рисунок сетчатки его глаза. Но это уже давно не фантастика, а так называемая многофакторная аутентификация .

Традиционная модель многофакторной аутентификации подразумевает наличие трёх основных факторов (при этом каждый из них может дублироваться для повышения уровня защиты):

1. Фактор знания . Подразумевает получение системой контроля доступа определённых данных, которые должен знать только конкретный пользователь. Например, это может быть традиционная пара "логин-пароль", пин-код, девичья фамилия матери или иная информация, которую, в идеале, можем знать только мы. Увы, многие пользователи не запоминают свои пароли, а хранят их на клочках бумажек прямо на рабочем месте. Поэтому гипотетическому злоумышленнику их не составит труда украсть...
2. Фактор владения . Предусматривает наличие у пользователя определённой вещи, которой нет у других. К таким вещам можно отнести уникальный номер телефона, пластиковую карту с уникальным штрих-кодом или чипом с данными, USB-токен либо иное криптографическое устройство. Теоретически, украсть его тоже можно, но уже гораздо сложнее. А, учитывая, что фактор владения обычно подкреплён фактором знания (нужно предварительно ввести пароль), то шансы на успешное применение украденного девайса существенно снижаются.
3. Фактор свойства . Использует для идентификации пользователя его определённые личные качества. К наиболее уникальным из них относятся отпечатки пальцев, лицо в общем, рисунок радужки глаза или даже проба ДНК! При должной степени чувствительности проверяющей аппаратуры обойти такую защиту просто невозможно. Однако, до подобного совершенства биометрической проверке ещё далеко, поэтому на современном этапе она обычно дополняется дополнительными факторами контроля доступа.

Фактически многофакторная аутентификация на самом деле является трёхфакторной. Соответственно, двухэтапная верификация пользователя подразумевает отбрасывание одного из факторов. Как правило, это фактор свойства, для подтверждения которого требуется специальное биометрическое оборудование. Двухфакторная же аутентификация не требует особых вложений, но позволяет существенно повысить уровень безопасности!

На сегодняшний день в Интернете наиболее распространённым видом двухфакторной аутентификации является привязка аккаунта к телефону пользователя. В общем случае мы традиционно вводим логин с паролем, после чего нам на телефон при помощи SMS или PUSH-сообщения приходит специальный одноразовый пин-код, который мы вводим в специальной форме для доступа к нужному нам сайту. Как вариант, вместо сообщения Вам может поступить звонок от робота, который попросит нажать ту или иную цифру на клавиатуре телефона.

Реже встречается авторизация с использованием USB-токенов (например, в современных бухгалтерских сервисах). Такой токен содержит в себе зашифрованный ключ, соответствующий паролю, который известен пользователю. При авторизации нужно подключить токен к USB-порту компьютера, а затем ввести в специальном поле пароль. Если он совпадёт с тем, который зашифрован на токене, произойдёт авторизация.

Однако, токены стоят денег и требуют периодического обновления ключей, которое тоже не всегда бесплатно. Поэтому наиболее общедоступным способом двухфакторной верификации всё же остаётся проверка по телефону. И вот о ней мы поговорим более подробно.

Двухфакторная аутентификация в Windows

Windows 10 является современной операционной системой, соответственно, она по определению должна содержать в себе и современные средства защиты. Одним из таковых является как раз механизм двухфакторной верификации пользователя. Данная функция в некоторых версиях системы то появлялась, то вновь исчезала, проходя ряд доработок, поэтому, если Вы хотите воспользоваться ею, обязательно убедитесь в том, что у Вас стоят все обновления (особенно патч KB3216755 , который исправил работу аутентификации в Anniversary Update).

Также для работы двухэтапной верификации Вам потребуется иметь учётную запись зарегистрированную в Microsoft. То есть, с локальной "учёткой", увы, ничего не получится...

Теперь нужно подготовить к процедуре свой телефон. На него нужно установить специальное приложение, которое будет принимать сигналы верификации входа в учётную запись Windows и подтверждать их. Для смартфонов на базе Android можно выбрать официальную программу Microsoft Authenticator , а для девайсов на iOS подойдёт унифицированное решение Google Authenticator (оно же для Android).

После всех предварительных настроек нужно войти в свою учётную запись Microsoft и настроить её на двухфакторный вход. Проще всего это сделать, вызвав в оснастке "Параметры" раздел "Учётные записи" . На первой вкладке "Электронная почта и учётные записи" нажмите ссылку "Управление учётной записью Microsoft" , после чего Вас должно перенаправить на страницу входа в аккаунт Microsoft.

Откроется страница с настройками, среди которых нужно найти группу "Двухшаговая проверка" и в ней нажать на ссылку "Настройка двухшаговой проверки" :

Перед Вами появится пошаговый мастер настройки двухфакторной аутентификации, следуя подсказкам которого, Вы сможете активировать двухэтапную верификацию пользователя при входе в Windows:

Двухфакторная аутентификация в Google

После Windows на втором месте по популярности среди современных пользователей идёт Android. А большинство Андроид-устройств, как мы знаем, "привязаны" к аккаунту Google. Его тоже не помешает дополнительно защитить. Тем более, что функция двухфакторной аутентификации для его учётных записей работает уже довольно давно и успешно.

Чтобы получить доступ к настройкам двухэтапной верификации, Вам нужно войти в свой аккаунт Google, перейти на специальную страницу и нажать кнопку "Начать" :

Вас могут попросить повторно ввести пароль от Вашей учётной записи для подтверждения входа в настройки. После этого откроется пошаговый мастер, который поможет Вам задать нужные параметры для двухэтапной верификации входа в аккаунт:

Всё, что Вам потребуется сделать - ввести номер своего телефона (он, скорее всего, уже "привязан" к Вашему аккаунту), получить на него SMS с одноразовым кодом проверки, после чего ввести код в специальное поле и активировать процедуру для всех последующих авторизаций.

Однако, вход с помощью телефона - не единственный метод двухфакторной аутентификации, который предлагает Google. Если у Вас есть токен стандарта FIDO Universal 2nd Factor (U2F), Вы также можете настроить вход в свой аккаунт с его помощью. Подробнее о том как это сделать написано . Ну и, естественно, получать коды верификации Вы можете не только в виде SMS, но и PUSH-сообщений в уже упомянутом нами выше приложении Google Authenticator.

Двухфакторная аутентификация в соцсетях

Следуя всеобщим тенденциям, о двухфактороной аутентификации позаботились и разработчики некоторых крупных социальных сетей.

ДФА в Facebook

Facebook, будучи одной из самых популярных соцсетей на Западе, как и Google, уже давно предлагает своим пользователям функцию двухэтапной верификации входа в аккаунт. Причём коды доступа можно получать как через SMS, так и в универсальных приложениях авторизации. Из них поддерживается Google Authenticator и Duo Mobile .

Включить двухфакторную аутентификацию в Facebook можно, пройдя в раздел настроек

Стандартная процедура идентификации пользователя в интернете или в какой-либо системе требует лишь наличие имени пользователя и пароля. И хотя использование паролей лучше, чем отсутствие защиты, как таковой - они не достаточно надежды для безопасности.

Если мошенник, например, путем сможет получить данные от учетной записи - для него не составляет никакого труда похитить ценную и важную информацию для человека. Для того чтобы предотвратить несанкционированный доступ к системе и данным применяют двухфакторную аутентификацию (Two-factor authentication (2FA)).

Двухфакторная аутентификация что это?

Двухфакторная аутентификация (в некоторых источник можно встретить - двухэтапная проверка или двухэтапная верификация) представляет собой дополнительный уровень защиты для проверки подлинности пользователя. Когда пользователь вводит данные от своей учетной записи для того чтобы доступ к сайту, помимо логина и пароля потребуется предоставить еще один фактор для аутентификации .

Фактор аутентификации - некоторая информация, параметр или характеристика, которой обладает только владелец учетной записи или доверенное ему лицо и может представлять собой:

• фактор знания - то, что знает пользователь (ПИН-код, пароль, кодовое слово, ответ на секретный вопрос и т.д.);
• фактор владения - то, чем владеет пользователь (ключ, паспорт, смарт-карта, токен безопасности, USB-флешка, диск, смартфон и другое мобильное устройство);
• - то, что является частью пользователя (отпечатки пальцев, радужная оболочка и сетчатка глаза, голос, геометрия лица). Так же сюда входит поведенческая биометрия, такая как динамика нажатия клавиш, походка или речевые шаблоны;
• фактор местоположения - (например по IP-адресу или через спутниковую навигационную систему);
• фактор времени - фиксируется определенный временной промежуток, в течении которого можно выполнить входи в систему.

Сейчас, в связи с тем, что пароль и не обеспечивает необходимый уровень безопасности, двухфакторную защиту (2FA) применяют повсеместно. Данная технология встречается в социальных сетях, форумах, блогах, мессенджерах, играх, онлайн-банке и т.д. Двухэтапную проверку применяют Apple, Facebook, Twitter, Вконтакте, Gmail, Yandex, Google, Microsoft и многие другие лидеры рынка. Где-то этот метод защиты встречается, как дополнительный фактор безопасности, а где-то, как один из обязательных.

Так, как знания пароля уже становится недостаточно для прохождения проверки подлинности, двухфакторная аутентификация, в значительной степени усложняет задачу для потенциального злоумышленника и выступает в роли сдерживающего фактора, а в некоторых случаях - стоп-фактором.

Какие существуют виды двухфакторной аутентификации?

Скорее всего Вы уже ни один раз сталкивались с двухэтапной проверкой, например, когда пытались зайти на страницу в социальной сети с другого компьютера или телефона и в этот момент, сервис подозревая о сомнительной активности, запрашивал у Вас проверочный код, который был отправлен на телефон. Это лишь одна из форм представления 2FA, а в целом они более многогранны и могут быть реализованы, как :

• имя пользователя и пароль + наличие специального ПИН-кода из SMS-сообщения, электронной почты или мобильного приложения - данный вариант самый простой по реализации и самый популярный среди других;
• имя пользователя и пароль + фотография - это означает, что при попытке входа делается фотография с помощью веб-камеры и отправляется на доверенное устройство (мобильный телефон, планшет, ноутбук). Все, что остается - на втором устройстве подтвердить подлинность сделанной фотографии или отклонить, тем самым заблокировав доступ для злоумышленника;
• имя пользователя и пароль + визуальная метка - в случае, если отсутствует веб-камера на компьютере или нет желания себя фотографировать, можно пройти двухфакторную аутентификацию другим способом. Визуальная метка - формирует уникальный визуальный код, который вычисляется по определенному алгоритму и отображается у пользователя на двух устройствах одновременно, позволяя пройти аутентификацию путем проверки подлинности кодов;
• имя пользователя и пароль + биометрика (отпечаток пальца, геометрия руки, сетчатка или радужная оболочка глаза, лицо, голос) - при получении доступа к системе, отправляется уведомление на соответствующее устройство, где от пользователя потребуется предоставить необходимый биометрический параметр;
• имя пользователя и пароль + аппаратное устройство (USB-накопитель, смарт-карта, токен, ключ) - для прохождения двухфакторной аутентификации потребуется вставить в персональный компьютер ключ доступа, или приложить карту к специальному считывателю, или же синхронизировать токен, например, через Bluetooth;
• имя пользователя и пароль + метаданные - аутентификация пользователя осуществляет только при соответствии всех необходимых параметров. В частности учитывается, местоположение посредством GPS. Пользователь, имеющий аппаратуру GPS, многократно посылает координаты заданных спутников, находящихся в зоне прямой видимости. Подсистема аутентификации, зная орбиты спутников, может с точностью до метра . Также может учитываться время, например, выполнить вход в систему можно в период с 8:00 до 9:00, в иное время - доступ заблокирован. Как альтернатива - полная привязка к операционной системе и компонентам устройства, т. е. фиксируется IP-адрес и устройство (операционная система, программы и т. д.).

Нарушение и хакерские атаки чаще всего происходят через Интернет, поэтому двухэтапная верификация делает подобные атаки менее опасными. Даже если злоумышленник получит данные от учетной записи, маловероятно, что он сможет получить второй фактор аутентификации.

Настройка двухэтапной аутентификации

Вот несколько примеров тех сайтов и ресурсов, где второй фактор - это не просто атрибут в настройках, а некоторый ключевой элемент, который может в существенной степени повлиять на безопасность учетной записи.

Так выглядит настройка двухфакторной аутентификации в социальной сети ВКонтакте :

Позволяет обеспечить надежную защиту от взлома аккаунта: для входа на страницу потребуется ввести одноразовый код, полученный по SMS или иным доступным для подключения способом.

Повышает безопасность аккаунта и при каждом входе с нового устройства будет запрашивать код-идентификатор.

Google , как одна из мировых компаний просто на просто не может обойтись без данной функции и позволяет в настройках подключить второй фактор для аутентификации:

Каждый раз при входе в аккаунт Google нужно будет вводить пароль и одноразовый код подтверждения.

Конкурент предыдущего - в своем арсенале так же имеет данный функционал:

В данном случае, при входе в учетную запись Yandex не потребуется вводить пароль - необходимо будет указать проверочный код из СМС-сообщения.

Для пользователей «яблочных устройств » так же существует двухфакторная аутентификация apple, которую можно подключить, как на телефоне, так и на компьютере:

При использовании 2FA получить доступ к своей учетной записи в Apple ID возможно будет только при вводе специальной проверочной комбинации из СМС-сообщения или через доверенное устройство.

Сейчас у каждой уважаемой себя компании или организации, которая осуществляется деятельность в сети Интернет и, где есть возможность регистрировать аккаунт - должна быть функция двухфакторной аутентификации. Здесь даже дело не в уважении, а в требовании к безопасности в современном мире. Пароль и ПИН-код при наличии времени и ресурсов подбирается за крайне малый промежуток времени, в то время, как добыть второй фактор не всегда представляется возможным для злоумышленника. Именно, поэтому наличие данной функции можно наблюдать практически на каждом сервисе или сайте (где есть учетные записи пользователей).

Где можно подключить двухфакторную аутентификацию?

Здесь вопрос, вероятнее всего нужно ставить несколько иначе - а нужно ли подключать? Потому что подключить можно практически везде, но целесообразно ли это? Здесь необходимо учитывать тот факт, насколько важен для Вас ресурс и какую информацию он содержит. Если это какой-то форум, где Вы были всего один раз и никаких данных не указывали - не стоит беспокоиться. Если же это, например, социальная сеть, электронная почта или личный кабинет в онлайн-банке - однозначно нужно и в данном случае не должно быть никаких сомнений. Основные ресурсы, где можно подключить двухэтапную аутентификацию:

Как отключить двухфакторную аутентификацию (2FA)?

Выбирая для сайта тот или иной способ аутентификации, необходимо, прежде всего, отталкиваться от требуемой степени защищенности и удобства пользования. Т.к. жизнь постоянно стремится к упрощению во всех аспектах ее проявления, двухфакторная аутентификация часто воспринимается, как некий лишний барьер, который не дает получить необходимую информацию быстро и без лишних действий. Однако, это не значит, что стоит пренебрегать безопасностью учетной записи.

Как и в предыдущем разделе - обратите внимание на аккаунт и ценность информации, которая содержится в нем. Если кража данной учетной записи не приведет к непоправимым последствиям и, если второй фактор создает дополнительные трудности - отключите его. В ином случае - не делайте этого, а лучше позаботьтесь о том, как еще можно повысить степень защиты и безопасности.

Как обойти двухэтапную верификацию?

Стоит понимать, что два фактора - это хорошая мера защиты, однако не панацея и существует целый ряд методов позволяющих все обойти:

• путем хищения мобильного устройства или другого фактора для доступа;
• посредством дублирования SIM-карты;
• с помощью вредоносных программных средств, которые будут перехватывать запросы и СМС-сообщения пользователя.

Преимущество двухфакторной аутентификации

• следуя пословице «Одна голова хорошо, а две лучше» можно сделать вывод, что один пароль или ПИН-код - это хорошо, но если их будет два, при этом разного характера - безопасность учетной записи, устройства или системы будет в разы надежнее;
• в случае кражи, утечки или хищения логина и - Вы узнаете об этом через приложение или СМС-сообщение, что позволит среагировать и восстановить скомпрометированный пароль от учетной записи;
• генерация новых уникальных кодовых комбинаций при каждом входе в систему, в то время, как пароль остается постоянным (до тех пор, пока не смените его самостоятельно).

Недостатки двухфакторной аутентификации

• если будет настроен фактор аутентификации через мобильное устройство путем СМС-сообщения, то при потере сигнала сети не получиться войти в аккаунт;
• если кому-то очень нужно будет - есть вероятность клонирования SIM-карты и перехвата сообщений на уровне провайдера услуг мобильной связи;
• мобильное устройство в самый неподходящий момент может разрядиться.

Заключение

Сегодня двухфакторной аутентификации доверяет масса крупных компаний, среди которых можно найти организации в ИТ-сфере, финансовом секторе рыка, исследовательских и государственных учреждениях. Со временем 2FA будет считаться обязательным элементом защиты, т. к. с развитием технологий развиваются и хакерские уловки для кражи информации и данных. Если сейчас есть возможность воспользоваться двумя факторами безопасности - сделайте это.

Добрый день!. В прошлый раз я вам подробно рассказал, каким образом вы можете защитить свою флешку от вирусов и вредоносных программ , сегодня еще раз поговорим, о защите ваших данных и сервисов. Речь пойдет, о двухфакторной аутентификации, или как ее еще называют двухфакторная защита . Которую вы можете встретить, абсолютно на любом нормальном сервисе или сайте. Уверен, что многим эта информация будет актуальной, так как процентов 80 пользователей на это просто забивают, за что потом и платятся.

Что такое двухфакторная аутентификация (2FA)

Представим классическую ситуацию, на примере России. Есть популярная социальная сеть Вконтакте, которой пользуются огромное количество людей. Для доступа к ней, большинство людей использует логин и пароль, а так как человек существо ленивое и наивное, то он не особо напрягается безопасностью своего аккаунта, что в итоге влечет за собой его взлом, тем самым потерю аккаунта и доступа, и не факт, что он его потом восстановит, так как мог даже не привязывать номер телефона к нему. А вот если бы он заранее настроил двухфакторную защиту , то даже при компрометации пароля ему было бы по барабану, так как еще нужен был бы дополнительные этап проверки, который привязывается к телефону.

Двухфакторная аутентификация (Two-Factor Authentication) - это дополнительный, надежный процесс обеспечения безопасности, я бы назвал его расширенная аутентификация, которая требует от пользователя, получающего доступ к устройству или сервису. еще один из ключей безопасности, в качестве которого можете быть код безопасности из SMS, временный код сгенерированный с помощью специального приложения. которое обновляет их каждые 25 секунд.

В роли бастиона двухфакторной защиты, выступает ваш мобильный телефон, к номеру которого привязывается аккаунт или устройство, для которой он будет дополнительным средством подтверждения личности истинного хозяина.

Как работает двухфакторная защита

Давайте я вам опишу алгоритм работы двухфакторной защиты, понимая принцип, вам будет легко его настроить, где угодно, на любом сервисе. И так у нас есть замечательный пользователь Таня, люблю я это имя. Таня решила завести себе аккаунт в Gmail.com. Она проходит процедуру регистрации, где указывает какой логин и пароль у нее будет при входе на почту. Gmail подтверждает ее регистрацию и активирует ее логин и пароль по которому она будет авторизовываться.

Таня логиниться на почте, указывая логин и пароль. Gmail предлагает ей настроить двухфакторную аутентификацию, через привязку к номеру телефона, где будет получать SMS коды или через установку приложения Authenticator, которое будет генерировать каждые 25 секунд коды безопасности, если его не успели ввести, то будет новый 6-ти значный код. Таня их устанавливает и включает двухфакторную защиту.

Теперь при следующей авторизации, Тане нужно будет ввести по мимо классических средств защиты (Логина и пароля), код из SMS или из утилиты Authenticator, так же установленной на ее смартфоне. Как только она это делает, то получает доступ к сервису.

Плюсы и минусы двухфакторной аутентификации

Начну с плюсов, этой технологии:

• Очень высокая степень защиты, я бы ей дал 99%, так как все привязано к номеру телефона, который будет очень сложно скомпрометировать
• Всегда под рукой
• Коды доступа часто меняются

Из минусов можно выделить вот что:

• Так как все привязано к номеру телефона, то при его утере, будет затруднены доступы к вашим сервисам, хотя на большинстве из них и есть процедура восстановления, но она очень трудоемкая
• Вероятность установить или занести вирус в устройство, которое будет передавать ваши данные злоумышленникам
• Может разрядиться устройство в нужный момент
• Мобильный телефон всегда должен видеть сеть оператора, иначе не будет возможности получать SMS или коды.
• Бывают сервисы, которые в качестве многофакторной защиты используют, дополнительный код отправленный на электронную почту, поэтому, чтобы вас не скомпрометировали, обязательно включите двухфакторную аутентификацию на самой почте, а то ее взломают и будет веселье.
• Например, SMS оповещения, могут приходить с задержкой, такое встречал у Сбербанка или ВТБ24 .

Виды двухфакторной аутентификации

Давайте рассмотрим основные виды реализации двухфакторной защиты, которые вы легко можете повстречать на текущий момент, они со временем могут обновляться и расширяться, но пока есть такие:

Какой метод двухфакторной аутентификации 2FA лучше

Тут я долго расписывать не буду, выделю два, и оба они будут привязаны к вашему мобильному телефону. Это SMS и Push -уведомления и более надежный с использованием программ Authenticator . Плюсы, что все это бесплатно, телефон мобильный есть у всех, и главное, это надежно.

Какой выбрать программный Authenticator 2FA

Давайте я вам опишу, какой аутентификатор я бы посоветовал выбрать

• Google Authenticator - самый популярный в мире аутентификатор,используемый при двухфакторной защите, в виду популярности Google как компании и конечно же количеству сервисов, которая она предоставляет.
• Fido - второй по популярности защитник (https://www.yubico.com/solutions/fido-u2f/)

Как взломать двухфакторную аутентификацию 2FA

Для того, чтобы обойти двухфакторную аутентификацию, хакеры используют вот такие методы:

Как восстановить двухфакторную аутентификацию

Если вы потеряли свой телефон и хотите восстановить свой доступ, то алгоритм такой:

1. Если есть возможность быстрее восстановите симкарту и телефон
2. Перед активацией программного Authenticator, сервисы вам выдают секретные коды восстановления или QR-код, у вас огни должны быть
3. Если кодов нет, то придется писать в техническую поддержку, и доказывать, что вы это вы, подготовьте обязательно все ваши данные и документы, но это прокатит, если у вас все было корректно и полностью заполнено, а не просто хозяин учетной записи megapixar123:))

Как отключить двухфакторную защиту?

Вообще я вам не советую отключить двухфакторный код, в виду уменьшения безопасности ваших данных, но если вы все же решились, то тут у каждого сервиса своя процедура, которая в 99% случаев, сводится к выставлению тумблера в настройках, отключающего двух этапную проверку, чтобы ее отключить. нужно так же будет указать проверочный код или же ответ на секретный вопрос. С вами был, Иван Семин, автор и создатель IT блога сайт,