Google authenticator как пользоваться – Как перенести 2FA коды Google Authenticator с одного смартфон на другой, резервная копия

Содержание

Почему вам больше никогда не стоит использовать Google Authenticator |

Не бывает достаточной безопасности. С другой стороны, использование глючной или слабой защиты может дать вам шаткую иллюзию безопасности, в то время, как вы остаётесь уязвимым к разного рода угрозам.

Использование только паролей, в общем – плохая идея, мы выяснили это с тех пор, как появился Интернет. Мы осуществляем прогресс, двигаясь к миру без паролей, но в то же время, многие веб-сайты предлагают дополнительную защиту пользовательских аккаунтов с помощью Двух-Факторной Аутентификации (2FA).

В общем и целом, существует 2 типа такой аутентификации: Временный одноразовый пароль (TOTP) а также Универсальный Двух-Фактор (U2F). Вы можете быть уже знакомы с первым типом, поскольку он используется наиболее часто: во время логина, предлагается ввести одноразовый пароль, генерируемый вашим приложением на смартфоне, отдельным аппаратным устройством, или же присылаемый в СМС. Метод прост, но есть несколько простых способов, делающих его опасным.

pic_one

Я видел предупреждения типа “мой телефон взломали” от трёх людей из Кремниевой Долины/Биткойн среды/венчурной тусни. Будьте на чеку, и включите 2FA.

Как работает TOTP?

Временный одноразовый пароль, в основном популяризованный приложением Google Authenticator, подтверждает вашу личность на основании общего секрета. Этот секрет дложен быть известен вам и вашему провайдеру.

Когда вы заходите на веб-cайт под своей учеткой, ваше устройство генерирует уникальный код, основываясь на общем секрете и текущем времени. Затем вам нужно вручную ввести этот код. Сервер генерирует точно такую-же штуку, основанную на том-же секрете, чтобы успешно сравнить и подтвердить запрос на авторизацию.

Обе стороны генерируют одинаковый хеш, из одинаковых исходных данных, делясь секретом в момент регистрации.

В чём неадекватность TOTP?

Метод весьма прост в использовании, однако, он не лишён нескольких уязвимостей и неудобств.

1. Вам необходимо вручную вводить код во время авторизации (логина)

2. Слишком громоздкий бэкап. Вам необходимо совершать много шагов, чтобы сделать бэкап секрета. Кроме того, хорошие сервисы обычно предоставляют резервные коды, вместо того, чтобы явным образом призывать сохранять секрет. Если вы потеряете ваш секрет, и логин вместе с резервным кодом, вам придётся выполнить весь процесс регистрации TOTP заново.

3. Коды бекапа высылаются через Интернет, что совершенно небезопасно.

4. У вас и провайдера один и тот же секрет. Если атакующий хакнет компанию и получит доступ и к базе паролей, и к базе секретов, он сможет проникать в любой аккаунт совершенно незаметно.

5. Секрет показывается простым текстом или QR-кодом. Он не может быть представлен в виде хеша. Это также означает, что скорее всего секрет хранится в виде текстового файла, на серверах провайдера.

6. Секрет может быть раскрыт во время регистрации, так как провайдеру необходимо выдать вам сгенерированный секрет. Используя TOTP, вам нужно верить в способность провайдеров защитить приватность секрета. Но можете ли вы верить?

Как работает FIDO/U2F?

Стандарт U2F, разработанный Альянсом FIDO, был создан технологическими корпорациями, вроде Google и Microsoft, под влиянием найденных уязвимостей в TOTP. U2F использует криптографию с публичными ключами для подтверждения вашей личности (Reddit – “Объясняйте, будто мне лет пять”). В противовес TOTP, в данном варианте вы являетесь единственным, кто знает секрет (приватный ключ).

Сервер отправляет вам запрос, который затем подписывается секретным (приватным) ключом. Результирующее сообщение отправляется назад на сервер, который может подтвердить личность благодаря наличию в его базе данных вашего публичного ключа.

Выгоды U2F:

1. Через Интернет никогда не пересылается секрет (приватный ключ)

Никакая конфиденциальная информация не будет опубликована, благодаря криптографии публичного ключа.

2. Легче использовать. Нет нужды применять одноразовые коды.

3. Приватность. С секретом не ассоциируется никакая персональная информация.

4. Бекап теоретически легче. Однако, не всегда возможен; например, вы не сможете бекапить Yubikey.

Так как, в случае использования U2F, нет разделяемого двумя сторонами секрета и нет конфиденциальных баз данных, хранимых провайдером, хакер не может просто украсть все базы и получить доступ. Вместо того, он должен охотиться на отдельных пользователей, а это намного более затратно по финансам и времени.

Более того, вы можете забекапить ваш секрет (приватный ключ). С одной стороны, это делает вас ответственным за вашу же безопасность, но с другой – вам больше не нужно доверять какой-то компании, чтобы защитить ваши секреты (приватные ключи).

TREZOR – U2F “по-нашенски”

TREZOR представляет собой маленькое отдельное аппаратное решение, разработанное для хранения приватных ключей и работы в качестве изолированного компьютерного окружения. Изначально разработанный, как безопасный “железный” кошелек для Биткойна, рамки его применения значительно расширились благодаря расширяемости асимметричной криптографии. Теперь, TREZOR может служить в качестве безопасного железного токена для U2F, вам также придётся дополнительно подтверждать логин нажатием кнопки на устройстве.

В отличии от некоторых других токенов, TREZOR всегда использует уникальную подпись для каждого зарегистрированного пользовательского аккаунта. Кроме прочего, устройство выводит U2F на совершенно новый уровень:

1. Легко бекапить и восстанавливать. TREZOR просит вас записать на листочке так называемое “зернышко” (recovery seed), в время первого запуска устройства. Это –, единственный одноразовый процесс из всех остальных на устройстве. Восстановительное зёрнышко представляет собой все секреты (приватные ключи), генерируемые устройством и могут быть использованы в любое время для “восстановления” вашего аппаратного (или “железного”) кошелька.

2. Неограниченное количество U2F личностей, все они сохраняются в рамках единого бэкапа.

3. Секрет безопасно хранится в TREZORе. Его никто никогда не узнает, так как он не может покинуть устройство. Их не смогут украсть ни вирусы, ни хакеры.

4. Защита от фишинга с подтверждением на экране. Кошелёк всегда отображает url веб-сайта, на котором вы логинитесь, а также то, что именно вы хотите авторизовать. Вы можете убедиться, что информация, отправленная в устройство, соответствует вашим ожиданиям.

5. Дополнительная информация по использовании U2F во время настройки, использования и восстановления TREZOR может быть найдена в нашем посте в блоге, или в Пользовательской Документации.

Безопасные характеристики асимметричной криптографии кореллируют с философией безопасности TREZOR. С поддержкой U2F в кошельке, мы вдохновляем пользователей использовать все доступные меры для защиты их аккаунтов и личных данных в онлайне.

Источник: blog.trezor.io

Поделиться ссылкой:

Related

Как установить Google Authenticator? | World of Tanks

Приложение Google Authenticator используется для создания кодов двухэтапной аутентификации в вашем телефоне.

Двухэтапная аутентификация обеспечивает более надёжную защиту вашей учётной записи: чтобы войти в аккаунт, потребуется не только пароль, но и код подтверждения.

Активировать приложение Google Authenticator можно только после включения двухэтапной аутентификации.

Приложение Google Authenticator работает на устройствах iPhone, iPod Touch и iPad с iOS 5.0 и более поздних версий. Настроить приложение с помощью QR-кода можно только на iPhone 3G или более новых моделях.

Приложение Google Authenticator работает на устройствах Android версии 2.1 и более поздних.

Установка приложения

  1. В App Store или Google Play введите в строке поиска Google Authenticator. Скачайте и установите приложение.
  2. Зайдите в приложение и нажмите Приступить к настройке.
  3. Привяжите мобильное устройство к аккаунту одним из способов:

    • Способ 1 — с помощью QR-кода:
      Нажмите «Сканировать штрихкод», а затем наведите камеру на QR-код, отображённый на экране компьютера.
    • Способ 2 — с помощью секретного ключа:
      В поле «Ввод вручную» укажите адрес электронной почты. В поле «Ключ» введите секретный ключ и нажмите на галочку вверху страницы.
  4. Сохраните свой секретный ключ в надёжном месте, чтобы в случае утери доступа ко второму фактору защиты вы могли самостоятельно его восстановить.
  5. Аккаунт успешно привязан.
  6. Подключив второй фактор защиты аккаунта, не удаляйте приложение. Если вам понадобится удалить приложение, перед этим обязательно отключите аутентификацию.
  7. Если вы всё-таки удалили приложение Google Authenticator, не отключив перед этим аутентификацию, воспользуйтесь инструкцией для восстановления доступа.

Google Authenticator, Azure Authenticator и Authy 2-Factor Authentication (страница 3)

Оценка в Google Play 4.4
Разработчик Authy
Количество загрузок в Google Play 500 000-1 000 000
Совместимость приложения с другими версиями ОС Android 3.0 или более поздняя
Размер дистрибутива 12 Мбайт
Версия приложения 22.3.1
Покупки в приложении

Основные функции:

  • Secure Cloud для резервного копирования учетных записей;
  • Мультисинхронизация;
  • Офлайн-режим;
  • Поддержка всех популярных сервисов;
  • Работа с биткойнами.

Разрешения:

История использования устройства и приложений:

  • Просмотр конфиденциальных данных в журнале.

Идентификационные данные:

  • Поиск аккаунтов на устройстве.

Контакты:

  • Поиск аккаунтов на устройстве.

Камера:

  • Фото- и видеосъемка.

Данные о Wi-Fi-подключении:

  • Просмотр подключений Wi-Fi.

Другое:

  • Получение данных из Интернета;
  • Просмотр сетевых подключений;
  • Отправка сообщений с их последующим сохранением;
  • Неограниченный доступ к Интернету;
  • Управление функцией вибросигнала;
  • Предотвращение переключения устройства в спящий режим.

Первое впечатление

Для того, чтобы войти в аккаунт Authy необходимо указать свой номер телефона и получить на него SMS-код. Помимо этого, вбивается и электронка, что уже настораживает. После всего этого у вас спросят, как верифицироваться – с помощью SMS или телефонного звонка. На Tele2 эсэмэска пришла мгновенно, думаю, что с другими операторами проблем возникнуть не должно. Авторегистрации не предусмотрено.

253x450  28 KB. Big one: 720x1280  57 KB 253x450  21 KB. Big one: 720x1280  43 KB

Интерфейс программы англоязычный. Что интересно, изначально предусмотрена защита от скриншотов, то есть безопасность приложения куда выше, чем у именитых собратьев. К сожалению, оную нельзя отключить даже через настройки. Если говорить о последних, то в них доступно изменить номер и e-mail, активировать бэкап аккаунтов, для чего необходимо придумать пароль и просмотреть все зарегистрированные девайсы. Также доступна информация о времени последнего входа на каждом из них. Кстати, программа доступна и для PC, для чего необходимо скачать соответствующий клиент. Кроссплатформенность без проблем отключается.

253x450  16 KB. Big one: 720x1280  36 KB 253x450  18 KB. Big one: 720x1280  38 KB
253x450  15 KB. Big one: 720x1280  36 KB 253x450  20 KB. Big one: 720x1280  45 KB

Аутентификация

К сожалению, по вышеописанным причинам я не могу продемонстрировать скриншоты работы программы, поэтому придется поверить на слово или убедиться самим, скачав программу.

Authy 2-Factor Authentication работает на ура с большинством популярных социальных сетей и не только. Например, я без проблем в два шага авторизовался в Evernote, Google и даже Coinbase. Для этого используется соответствующий код или QR. Причем все сканируется хорошо, сбоев работы не было. Надо отметить, что приложение без проблем отрабатывает даже для моей слабой оптики.

Еще раз напомню, а лучше посоветую, скачать PC-версию программы и включить аутентификация в настройках сервиса. Дело в том, что десктопная версия Authy настраивается куда удобней, а настроив все единожды можно входить на сервисы с мобильного устройства, что ну очень (в данном случае) удобно, а главное безопасно.

253x450  35 KB. Big one: 720x1280  238 KB

Нагрузка на систему

Теперь о нагрузке на систему. Максимальный расход оперативной памяти находится на уровне 60 Мбайт при 0,1% на процессоре. При этом аккумулятор проседает всего на 2,7% — абсолютный рекорд для этого обзора. Это и неудивительно, ведь скорость энергопотребления равна 9,1 мВт. Вот именно таким и должен быть аутентификатор.

253x450  36 KB. Big one: 720x1280  90 KB 253x450  31 KB. Big one: 720x1280  84 KB

253x450  64 KB. Big one: 720x1280  152 KB

Authy 2-Factor Authentication совместим с Android 3.0 или выше, распространяется абсолютно бесплатно, не содержит рекламы и скрытых разрешений. Весит в системе это чудо 30 Мбайт.

253x450  33 KB. Big one: 720x1280  82 KB

Выводы

Authy 2-Factor Authentication – если не идеальное, то близкое к этому решение для двухэтапной авторизации в сервисах. Приложение выгодно отличает от именитых конкурентов малая нагрузка на систему, безупречная работа и поддержка большинства сервисов, резервное копирование аккаунтов и кроссплатформенность. Англоязычный интерфейс? Да тут и с минимальными знаниями языка все понятно. К тому же предусмотрена защита от скриншотов.

Оценка: 5.0 по пятибалльной шкале.

Интерфейс Отлично (однооконный интерфейс)
Возможность самостоятельной настройки Да (все необходимое)
Общая эффективность Отлично
Удобство управления Отлично
Максимальная нагрузка на систему (CPU/RAM) 0.0%/ 40-60 Мбайт
Размер после установки 30 Мбайт
Расход трафика самой программой -
Максимальный расход аккумулятора 3%
Максимальная скорость энергопотребления 9 мВт
Необходимость в root Нет
Реклама Нет

Заключение

Печалит тот факт, что Google Authenticator и Azure Authenticator – сугубо фирменные сервисы, хотя последний работает и со сторонними (правда, их список ограничен, а расход ресурсов впечатляет).

Лично мне непонятно, почему столь именитые компании относятся к подобным защитным программам спустя рукава. Не могут же они держать в штате одних криворуких разработчиков, иначе Google не был бы Google, а Microsoft – Microsoft.

Сводное сравнение Google Authenticator, Azure Authenticator и Authy 2-Factor Authentication

Функциональность Google Authenticator Azure Authenticator Authy 2-Factor Authentication
Оценка автора 4.0 4.5 5.0
Интерфейс Средне (мелкий шрифт) Хорошо (однооконный интерфейс с сайдбаром слева) Отлично (однооконный интерфейс)
Возможность самостоятельной настройки Нет Да (необходимый минимум) Да (все необходимое)
Общая эффективность Средне Хорошо Отлично
Удобство управления Хорошо Отлично Отлично
Максимальная нагрузка на систему (CPU/RAM) 0.0-0.5% / 20-40 Мбайт 0.0-1.0% / 60-80 Мбайт 0.0% / 40-60 Мбайт
Размер после установки 14 Мбайт 27 Мбайт 30 Мбайт
Расход трафика самой программой -
Максимальный расход аккумулятора 7% 23% 3%
Максимальная скорость энергопотребления 9 мВт 73 мВт 9 мВт
Необходимость в root Нет Нет Нет
Реклама Нет Нет Нет

Authy 2-Factor Authentication доказывает, что специальный сервис для двухэтапной авторизации способен утереть нос разноплановым IT-гигантам, предлагая универсальное и эффективное решение для защиты от «нечаянного» взлома. В его случае предусмотрена продуманная защита самой программы, хотя светить свой номер и электронную почту теперь по понятным причинам не хочется.

В следующей статье мы поговорим еще о двух интересных аутентификаторах, а заодно подведем итоги рассмотрения данного сегмента приложений.

Владимир Осадчий

Подпишитесь на наш канал в Яндекс.Дзен или telegram-канал @overclockers_news — это удобные способы следить за новыми материалами на сайте. С картинками, расширенными описаниями и без рекламы.

Authy 2-Factor Authentication, заключение

Страница
3
из
3

Оценитe материал

рейтинг: 4.2 из 5
голосов: 5

Как подключить 2FA при помощи Google Authenticator

Если вы новичок в мире криптовалюты, то будьте готовы к тому, что вам придётся часто сталкиваться на биржах с тем, что без подключённой 2FA вам не дадут вывести средства. Давайте разберёмся “что это?”, “зачем?” и “как подключить?”.

Что такое 2FA

2FA — это метод определения подлинности пользователя, который требует прохождения двух степеней защиты (а не одной, как раньше) перед получением доступа к аккаунту. Вот эти степени защиты:

  1. пароль от аккаунта;
  2. уникальный цифровой код, который генерируется специальным приложением, установленным на мобильном устройстве.

Что такое Google Authenticator

Google Authenticator — приложение для 2FA с помощью которого происходит генерация уникального 6-значного кода каждые 30 секунд. Есть приложения для Android и iOS.

Как подключить Google Authenticator

Так как принцип работы на двух системах примерно одинаковый, буду показывать на том, что, как говорится, “под рукой”, на Android.

Итак, установили с PlayMarket приложение. Для начала давайте разберёмся, что в нём есть.

 

 

1. Таблица с трёхзначными кодами по центру;

2. Значок настроек справа вверху в котором:

  • переключение режима день/ночь;
  • настройки, в которых вы можете синхронизировать время (опишем этот случай в конце инструкции).

3. Красный круг с плюсиком по центру, нажав на который вам выдаст два способа “Сканировать штрих-код” либо “Ввести ключ”.

Давайте рассмотрим подключение 2FA на примере биржи Binance (принцип везде похож). Смоделируем ситуацию:

У вас уже есть профиль, но на нём не включена 2FA.

Заходим в аккаунт (https://www.binance.com/ru/usercenter/dashboard/overview).

Переходим на вкладку Безопасность и напротив Google аутентификации нажимаем Включить:

 

Нас просят установить приложение. Делаем это и нажимаем Далее:

Далее мы видим QR-код и ключ. Открываем приложение на телефоне и нажимаем на плюсик.

Удобней будет сканировать QR-код, поэтому нажимаем “Сканировать штрих-код”.

Если же возникнут проблемы с этим, то нажимайте “Ввести ключ” и вводите ключ, который справа от QR-кода.

После этого в приложении Google Authenticator должен появиться шестизначный код, который обновляется каждые 30 секунд.

Переходим к следующему шагу. Жмите Далее:

Дальше Binance попросит нас записать код для восстановления.

Обязательно это делаем!

Если вы потеряете устройство или оно попросту заглючит, то с помощью этого кода вы сможете легко восстановить свой 2FA на другом устройстве.

Как только сделаете это, нажимайте “Next Step”:

И на последнем шаге вводим:

  • пароль от вашего аккаунта;
  • и код с приложения Google Authenticator, который мы недавно добавили.

И нажимаем Отправить:

«Двухфакторка» включена!

Возможные проблемы

Иногда Вы можете сталкиваться с такой проблемой, когда Ваш код не будет срабатывать — и вроде бы Вы делаете все правильно, но в то же время при очередном входе в аккаунт видите надпись — “Неверный код”. Такое может случаться из-за того, что сбивается время. Чтобы исправить это, зайдите в приложение Google Authenticator и нажмите на кнопку «…» в правом верхнем углу, для вызова меню, в котором выберите «Настройки» (1), затем «Коррекция времени для кодов» (2), после чего нажмите кнопку «Синхронизировать» (3):

В большинстве случаев это помогает. Если же это не сработало, то единственный вариант, это писать в поддержку, чтобы они деактивировали 2FA для вашего аккаунта и вы смогли бы войти, используя только пароль. Но будьте готовы к тому, что взамен у Вас могут попросить разные сведения об аккаунте — какой баланс, какие монеты там есть, какие операции в последнее время проводили, что покупали, что продавали и т.д.

Следующая проблема, с которой может столкнуться каждый, это когда что-то случается с вашим мобильным устройством. Его могут украсть, он может сломаться, вы можете случайно удалить как само приложение Google Authenticator, так и какой-нибудь аккаунт в нем.

Разберемся для начала с последним пунктом. У вас может быть как один аккаунт в приложении, так и сотня разных. И чтобы по ошибке не удалить нужный, рекомендуем не оставлять названия по умолчанию, а переименовывать аккаунты под сервисы (как на скриншоте выще). Тогда будет понятно, что это за аккаунт.

В случае кражи или поломки устройства, чтобы не остаться у разбитого корыта, всегда сохраняйте QR-коды как картинку, а 16-значные ключи в текстовой форме или переписывайте на бумагу. Если код и ключ у вас сохранены в надежном месте, то вы всегда сможете получить доступ к аккаунту.

Как настроить и использовать Google Authenticator

Компания «Google», монополизировав рынок программного обеспечения различного спектра, успешно реализует множество своих проектов. Кроме все известных видов ПО в виде почтового клиента или поискового сервиса, существует ещё множество различных проектов и видов программного обеспечения, крайне полезных для рядового пользователя. Одним из таких полезных продуктов является приложение для мобильных устройств под названием «Google Authenticator», которое, правда, не получило достойного и заслуженного внимания среди потребителей, как, например, выше озвученный почтовый клиент. В настоящей статье речь как раз и пойдёт об этой незаслуженно обделённой вниманием разработке от гиганта и лидера среди компаний-разработчиков программного обеспечения «Google».

Как настроить и использовать Google Authenticator

Правила использования Google Authenticator.

Предназначение и порядок установки

«Google Authenticator» – это продукт из категории «Инструменты для обеспечения безопасности», реализующий защиту персональных данных с помощью внедрения в систему двухэтапной аутентификации. Суть этого приложения максимально проста. Пользователь для получения санкционированного допуска к какой-либо персональной информации, кроме авторизационных данных (логина и пароля), вводит подтверждающий полномочия код, который ранее сам пользователь придумал или сгенерировал. Подобная двухэтапная аутентификация позволяет пресечь получение несанкционированного доступа, в случае если основные авторизационные данные были умышленно или неумышленно скомпрометированы. Конечно же, сразу стоит отметить, что использование данного программного обеспечения предполагает несение определённой ответственности с самого пользователя.

К сожалению, если почитать отзывы о рассматриваемом продукте, то можно встретить достаточно много пользователей, которые жалуются на то, что после сброса настроек столкнулись с трудностями в восстановлении доступа к каким-либо необходимых для них сетевым ресурсам. Именно в этих моментах и возникает та самая ответственность, которая предполагает, что перед каким-либо вмешательством в штатную работу операционной системы мобильного устройства, необходимо позаботиться о сохранности ключей шифрования и восстановления доступа. «Бэкап спасёт Мир» – это утверждение всегда нужно держать в уме в данную информационную эру.

Google Authenticator

Установка и первичная настройка

Для начала установки потребуется скачать «Google Authenticator» в «Play Market» или «App Store», в зависимости от используемого устройства и операционной системы. Процедура установки автоматическая, как и для всех продуктов, имеющихся в каталогах упомянутых магазинах, поэтому пользователю остаётся только дождаться завершения скачивания, инсталляции и в завершение подтвердить прохождения проверки на безопасность скачанного приложения. Дальнейшая процедура настройки также не отличается высокой сложностью и выглядит следующим образом (на примере ОС Android):

  • на устройстве с операционной системой Android откройте «Настройки» и перейдите в раздел «Google» – «Аккаунт Goggle»;
  • далее перейдите в подраздел «Безопасность» и выберите «Вход в аккаунт Google»;
  • включите параметр «Двухэтапная аутентификация» и при запросе подтвердите вводом авторизационных данных вход в аккаунт Google;
  • сделать это можно, например, с помощью компьютера и веб-браузера, где достаточно авторизоваться в своё аккаунте и по аналогии включить дополнительное подтверждение входа.

Двухэтапная аутентификация

После подтверждения, что все осуществлённые манипуляции были успешными, следует перейти к настройке рассматриваемого доступа с помощью «Google Authenticator», а для этого потребуется сделать:

  • зайдите в настройки учётной записи и в предлагаемых вариантах второго этапа выберите «Приложение Authenticator»;
  • выберите тип используемого телефона – «Android» или «iPhone»;
  • в следующем шаге будет предложено сканером Qr-кода просканировать сгенерированный код, используя для этого само приложение на мобильном устройстве;
  • откройте приложение и выберите раздел «Добавление аккаунта», после чего выберите «Сканировать штрих-код» или «Введите ключ», в зависимости от того, что было активировано в шаге выше;
  • в завершении подтвердите проведённые манипуляции для завершения настроек.

Сканировать штрих-код

Дальнейшие действия зависят от того в каком именно ресурсе используется рассматриваемая двухфакторная аутентификация. Например, для авторизации в «gmail.com» потребуется ввести основной логин и пароль и подтвердить вход кодом, который будет сгенерирован в приложении на мобильном устройстве. На этом настройки можно считать завершёнными.

Восстановление

Следует ещё раз повторить об ответственности, что уже упоминалось раньше. Она возлагается на каждого пользователя относительно проведения мероприятий по обеспечению сохранности своих данных. Принимая это во внимание, необходимо учитывать, что специфика данного приложения не подразумевает сохранения кодов/паролей на каких-то серверах, так как всё это сохраняется только в памяти телефона или планшета, что в свою очередь ведёт к невозможности восстановления данных, если приложение будет удалено или настройки будут сброшены до заводских значений. Отсюда вывод, что никаких инструментов восстановления Google не реализует, и все последствия и возможности получения доступа к какому-либо сайту (где ранее использовалась двухфакторная аутентификации) возлагаются на плечи самого владельца аккаунта и администрации сетевого ресурса. Если рассматриваемый функционал использовался на сайтах, не предоставляющих доступ к проведению финансовых операций, то велика вероятность, что администрация пойдёт на встречу и при получении определённых доказательств (скрины, фото, РПД) предоставит доступ к аккаунту. Интернет-магазины или платёжные сервисы очень неохотно идут в данном случае на встречу, что обязательно необходимо учитывать.

ВАЖНО. Поэтому, учитывая всё вышеописанное, стоит обдуманно обозначить список сетевых ресурсов, где планируется использовать «Google Authenticator», и в оценочные суждения возможных рисков следует заложить возможность сбоев в работе устройства или случайного удаления программного обеспечения. 

Заключение

Итак, «Google Authenticator» – это безусловно перспективная разработка, несмотря на то, что запущена она была ещё в 2010 году. Но при этом это всё ещё достаточно сырой продукт, который требует обязательных доработок, в особенности по предоставлению доступа к восстановлению данных. Конечно же, подобный функционал снизит фактическую безопасность, о которой в этом продукте Google и обеспокоился, и в некоторой степени нивелирует пользу приложения, но это позволит увеличить количество активных пользователей. А вот желает ли в этом вопросе Google поступиться качеством защиты ради количества скачиваний, это уже вопрос во многом риторический, а ответ на него предоставит только время.

Как перенести 2FA коды Google Authenticator с одного смартфон на другой, резервная копия

При замене смартфона возникает необходимость переноса кодов 2FA Google Authenticator  с одного устройства на другое.

Однако политика безопасности Universal 2nd Factor Google такова, что штатными средствами сделать резервную копию или перенос кодов невозможно.

При использовании кодов Google Authenticator всегда ВАЖНО записать или распечатать QR-код всех сервисов для которых он применяется, т.к. при утере или перепрошивке смартфона Вы потеряете к ним доступ.

Простой, но долгий способ — это отключить 2FA код на каждом сервисе при помощи Google Authenticator на старом смартфоне и включить его на новом, сохранив при этом новый QR-код.

Второй способ, использовать приложение для смартфона Titanium Backup или Lucky Patcher, они позволяют сделать резервную копию данных любого приложения, а затем развернут их на новом устройстве. Однако для этого на телефоне должны быть Root права.

Третий способ, но я не пользовался — сохранить папку с настройками со старого смартфона и затем подменить её на новом в /data/data/. Либо вручную вводить токены в приложения из базы /data/data/com.google.android.apps.authenticator2/databases/databases .

Вместо Google Authenticator можно использовать Authy  — это сервис для всех существующих платформ, который позволяет заменить двухфакторную аутентификацию на более безопасный и быстрый способ логина, но об этом в другой раз.

Оцените на сколько полезна публикация?

Нажмите на звездочку для оценки

Оценить

Средняя оценка
/ 5. Количество голосов:

We are sorry that this post was not useful for you!

Let us improve this post!

Tell us how we can improve this post?

Submit Feedback

Thanks for your feedback!

Что выбрать для двухфакторной аутентификации вместо кодов в SMS

За последние пару лет идея двухфакторной аутентификации, о которой так долго говорили гики, сильно продвинулась в массы. Однако до сих пор в большинстве случаев речь идет о двухфакторной аутентификации при помощи одноразовых паролей, приходящих в SMS. А это, к сожалению, не очень-то надежный вариант. Вот что может пойти не так:

  • Пароль в SMS можно подсмотреть, если у вас включен показ уведомлений на экране блокировки.
  • Даже если показ уведомлений отключен, можно извлечь SIM-карту из смартфона, установить в другой смартфон и принять SMS с паролем.
  • SMS с паролем может перехватить пробравшийся в смартфон троян.
  • Также с помощью различных махинаций (убеждение, подкуп, сговор и так далее) можно заполучить новую SIM-карту с номером жертвы в салоне сотовой связи. Тогда SMS будут приходить на эту карту, а телефон жертвы просто не будет связываться с сетью.
  • Наконец, SMS с паролем может быть перехвачена через фундаментальную уязвимость в протоколе SS7, по которому эти SMS передаются.

Надо заметить, что даже самый трудоемкий и высокотехнологичный из перечисленных методов перехвата пароля в SMS — с помощью взлома протокола SS7 — уже был использован на практике. Так что речь не о теоретической возможности возникновения неприятностей, а о вполне практической угрозе.

В общем, пароли в SMS — это не очень-то безопасно, а иногда даже и очень небезопасно. Поэтому есть смысл озаботиться поиском альтернативных вариантов двухэтапной аутентификации, о чем мы сегодня и поговорим.

Одноразовые коды в файле или на бумажке

Наиболее простая замена одноразовым паролям, присылаемым в SMS, — это те же самые одноразовые пароли, но заготовленные заранее. Это не самый плохой вариант, особенно для тех сервисов, в которых вам надо авторизовываться сравнительно редко. Собственно, даже для того же «Фейсбука» этот метод вполне может подойти, особенно в качестве резервного способа входа.

Работает это очень просто: по запросу сервис генерирует и показывает на экране десяток одноразовых кодов, которые в дальнейшем могут быть использованы для подтверждения входа в него. Дальше вы просто распечатываете или переписываете эти коды на бумагу и кладете в сейф. Или, что еще проще, сохраняете в зашифрованных записях в менеджере паролей.

В общем, не так важно, будете ли вы хранить эти коды на теплой ламповой бумаге или в бездушном цифровом виде — важно сохранить их так, чтобы они а) не потерялись и б) не могли быть украдены.

Приложения для двухфакторной аутентификации

У единожды сгенерированного набора одноразовых кодов есть один недостаток: рано или поздно он закончится, и вполне может так получиться, что вы останетесь без кода в самый неподходящий момент. Поэтому есть способ лучше: можно генерировать одноразовые коды на лету с помощью небольшого и, как правило, очень простого приложения — аутентификатора.

Как работают приложения-аутентификаторы

Работают приложения для двухфакторной аутентификации очень просто. Вот что придется сделать:

  • устанавливаете на смартфон приложение для двухфакторной аутентификации;
  • заходите в настройки безопасности сервиса, который среди опций для двухфакторной аутентификации предлагает использовать такие приложения;
  • выбираете двухфакторную аутентификацию с помощью приложения;
  • сервис покажет вам QR-код, который можно отсканировать прямо в 2FA-приложении;
  • сканируете код приложением — и оно начинает каждые 30 секунд создавать новый одноразовый код.

Коды создаются на основе ключа, который известен только вам и серверу, а также текущего времени, округленного до 30 секунд. Поскольку обе составляющие одинаковы и у вас, и у сервиса, коды генерируются синхронно. Этот алгоритм называется OATH TOTP (Time-based One-time Password), и в подавляющем большинстве случаев используется именно он.

Также существует альтернатива — алгоритм OATH HOTP (HMAC-based One-time Password). В нем вместо текущего времени используется счетчик, увеличивающийся на 1 при каждом новом созданном коде. Но этот алгоритм редко встречается в реальности, поскольку при его использовании гораздо сложнее обеспечить синхронное создание кодов на стороне сервиса и приложения. Проще говоря, есть немалый риск, что в один не очень прекрасный момент счетчик собьется и ваш одноразовый пароль не сработает.

Так что можно считать OATH TOTP де-факто индустриальным стандартом (хотя формально это даже не стандарт, на чем создатели этого алгоритма очень настаивают в его описании).

Совместимость приложений для двухфакторной аутентификации и сервисов

Подавляющее большинство приложений для двухфакторной аутентификации работает по одному и тому же алгоритму, так что для всех сервисов, которые поддерживают аутентификаторы, можно использовать любое из них — какое вам больше нравится.

Как и в любом добротном правиле, в этом тоже есть определенное количество исключений. Некоторые сервисы по каким-то причинам, ведомым только им одним, предпочитают делать свои собственные приложения для двухфакторной аутентификации, которые работают только с ними. Более того, сами сервисы не работают ни с какими другими приложениями, кроме своих собственных.

Особенно это распространено среди крупных издателей компьютерных игр — например, существуют несовместимые со сторонними сервисами приложения Blizzard Authenticator, Steam Mobile с встроенным аутентификатором Steam Guard, Wargaming Auth и так далее. Для этих сервисов придется ставить именно эти приложения.

Также по этому странному пути пошла Adobe, разработавшая Adobe Authenticator, который работает только с аккаунтами AdobeID. Но при этом вы можете использовать для защиты AdobeID и другие аутентификаторы, так что вообще непонятно, ради чего было городить огород.

Так или иначе, большинство нормальных ИТ-компаний не ограничивает пользователей в выборе 2FA-приложения. И даже если по каким-то соображениям им хочется контролировать этот процесс и создать свое приложение, то чаще всего они позволяют защищать с его помощью не только «свои» аккаунты, но и учетные записи сторонних сервисов.

Поэтому просто выбирайте приложение-аутентификатор, которое вам больше нравится по набору дополнительных функций — оно будет работать с большинством сервисов, которые вообще поддерживают 2FA-приложения.

Лучшие приложения для двухфакторной аутентификации

Выбор 2FA-приложений на удивление велик: поиск по запросу «authenticator» в Google Play или Apple App Store выдает не один десяток результатов. Мы не советуем устанавливать первое попавшееся приложение — это может быть небезопасно, ведь, по сути, вы собираетесь доверить ему ключи от своих аккаунтов (оно не будет знать ваши пароли, конечно, но ведь 2FA вы добавляете именно потому, что пароли имеют свойство утекать). В общем, стоит выбирать из приложений, созданных крупными и уважаемыми разработчиками.

Несмотря на то что базовая функция у всех этих приложений одна и та же — создание одноразовых кодов по одному и тому же алгоритму, некоторые аутентификаторы обладают дополнительными функциями или особенностями интерфейса, которые могут показаться вам удобными. Перечислим несколько самых интересных вариантов.

1. Google Authenticator

Поддерживаемые платформы: Android, iOS

Как отмечают буквально все публикации, Google Authenticator — это самое простое в использовании из всех существующих приложений для двухфакторной аутентификации. У него даже настроек нет. Все, что можно сделать, — это добавить новый токен (так называется генератор кодов для отдельного аккаунта) или удалить один из имеющихся. А чтобы скопировать код в буфер обмена, достаточно коснуться его пальцем на сенсорном экране смартфона или планшета. Все!

Однако у такой простоты есть и недостаток: если вам что-то не нравится в интерфейсе или хочется от аутентификатора чего-то большего — придется устанавливать другое приложение.
 
+ Очень просто использовать.
 

2. Duo Mobile

Поддерживаемые платформы: Android, iOS

Duo Mobile также крайне прост в использовании, минималистичен и лишен дополнительных настроек. По сравнению с Google Authenticator у него есть одно преимущество: по умолчанию Duo Mobile скрывает коды — чтобы увидеть код, надо нажать на конкретный токен. Если вы, как и я, испытываете дискомфорт каждый раз, когда открываете аутентификатор и показываете всем окружающим кучу кодов от всех своих аккаунтов сразу, то вам эта особенность Duo Mobile наверняка понравится.
 
+ По умолчанию скрывает коды.
 

3. Microsoft Authenticator

Поддерживаемые платформы: Android, iOS

В Microsoft тоже не стали усложнять и сделали свой аутентификатор на вид очень минималистичным. Но при этом Microsoft Authenticator заметно функциональнее, чем Google Authenticator. Во-первых, хоть по умолчанию все коды показываются, но каждый из токенов можно отдельно настроить так, чтобы при запуске приложения код был скрыт.

Во-вторых, Microsoft Authenticator упрощает вход в аккаунты Microsoft. В этом случае после ввода пароля достаточно будет нажать в приложении кнопку подтверждения входа — и все, можно даже не вводить одноразовый код.
 
+ Можно настроить, чтобы коды скрывались.
+ Дополнительные возможности для входа в аккаунты Microsoft.
 

4. FreeOTP

Поддерживаемые платформы: Android, iOS

Есть четыре причины, по которым вам может понравиться этот аутентификатор, разработанный Red Hat. Во-первых, это ваш выбор, если вы любите программное обеспечение с открытым кодом. Во-вторых, это самое маленькое приложение из всех рассматриваемых — версия для iOS занимает всего 750 Кбайт. Для сравнения: минималистичный Google Authenticator занимает почти 14 Мбайт, а приложение Authy, о котором мы поговорим ниже, — аж 44 Мбайта.

В-третьих, по умолчанию приложение скрывает коды и показывает их только после касания. Наконец, в-четвертых, FreeOTP позволяет максимально гибко конфигурировать токены вручную, если вам это зачем-нибудь нужно. Разумеется, обычный способ создания токена с помощью сканирования QR-кода тоже поддерживается.
 
+ По умолчанию скрывает коды.
+ Приложение занимает всего 700 Кбайт.
+ Открытый код.
+ Максимум настроек при создании токена вручную.
 

5. Authy

Поддерживаемые платформы: Android, iOS, Windows, macOS, Chrome

Самое навороченное из приложений для двухфакторной аутентификации, основным достоинством которого является то, что все токены хранятся в облаке. Это позволяет получить доступ к токенам с любого из ваших устройств. Заодно это упрощает переезд на новые устройства — не придется заново активировать 2FA в каждом сервисе, можно продолжить пользоваться существующими токенами.

В облаке токены зашифрованы ключом, который создается на основе заданного пользователем пароля, — то есть данные хранятся безопасно, и украсть их будет нелегко. Также можно установить ПИН-код на вход в приложение — или защитить его отпечатком пальца, если ваш смартфон оснащен соответствующим сканером.

Основной недостаток Authy состоит в том, что приложение с ходу требует завести аккаунт, привязанный к вашему телефонному номеру, — без этого просто не получится начать с ним работать.
 
+ Токены хранятся в облаке, что позволяет использовать их на всех своих устройствах.
+ По той же причине очень удобно переезжать на новое устройство.
+ Вход в приложение защищен PIN-кодом или отпечатком пальца.
+ На экране показывается код только для последнего использованного токена.
+ В отличие от остальных приложений, поддерживает не только Android и iOS, но и Windows, macOS и Chrome.

− Требуется зарегистрироваться в Authy, используя номер телефона, — без этого приложение не работает.
 

6. «Яндекс.Ключ»

Поддерживаемые платформы: Android, iOS

На мой взгляд, по концепции «Яндекс.Ключ» — это самое удачное из существующих приложений для двухфакторной аутентификации. С одной стороны, оно не требует с ходу регистрироваться — можно начать им пользоваться с той же легкостью, как и Google Authenticator. С другой стороны, в нем есть несколько дополнительных возможностей, которые открываются тем, кто не поленится зайти в настройки.

Во-первых, «Яндекс.Ключ» можно «запереть» на PIN-код или отпечаток пальца. Во-вторых, можно создать в облаке «Яндекса» резервную копию токенов, защищенную паролем (а вот на этом этапе уже придется указать номер телефона), и восстановить ее на любом из используемых вами устройств. Точно так же можно будет перенести токены на новое устройство, когда понадобится переезжать.

Получается, что «Яндекс.Ключ» сочетает в себе простоту Google Authenticator и расширенную функциональность Authy — в зависимости от того, что вы предпочитаете. Единственный недостаток приложения — не вполне удобный для использования с большим количеством токенов интерфейс.
 
+ Минимализм на старте, расширенная функциональность доступна через настройки.
+ Создание резервных копий токенов в облаке для использования на нескольких устройствах и переезда на новые.
+ Вход в приложение защищен PIN-кодом или отпечатком пальца.
+ На экране показывается код только для последнего использованного токена.
+ Заменяет постоянный пароль к аккаунту «Яндекса».

− При большом количестве токенов не очень удобно искать нужный.
 

«Железные» аутентификаторы FIDO U2F: YubiKey и все-все-все

Если приложение, генерирующее одноразовые коды, кажется вам слишком эфемерным способом защитить свои аккаунты, и хочется чего-то более постоянного, надежного и материального — буквально запереть аккаунт на ключ и положить его в карман, — то у меня есть для вас хорошая новость: такой вариант также существует. Это аппаратные токены стандарта U2F (Universal 2nd Factor), созданного FIDO Alliance.

Как работают токены FIDO U2F

Аппаратные U2F-токены очень полюбились специалистам по безопасности — в первую очередь потому, что с точки зрения пользователя они работают очень просто. Для начала работы достаточно подключить U2F-токен к вашему устройству и зарегистрировать его в совместимом сервисе, причем делается это буквально в пару кликов.

Впоследствии при необходимости подтвердить вход в этот сервис нужно будет подключить U2F-токен к тому устройству, с которого вы входите, и нажать на токене кнопку (в некоторых устройствах — ввести PIN или приложить палец к сканеру). Все — никаких сложных настроек, ввода длинных последовательностей случайных символов и прочих танцев с бубном, которые обычно все себе представляют при упоминании слова «криптография».

Вставьте ключ и нажмите кнопку — и это действительно все

При этом «под капотом» все устроено очень умно и криптографически надежно: при регистрации токена на сервисе создается пара криптографических ключей — приватный и публичный. Публичный сохраняется на сервере, а приватный хранится в защищенном хранилище Secure Element, которое является сердцем U2F-токена, — и этот ключ никогда не покидает устройство.

Приватный ключ используется для того, чтобы зашифровать подтверждение входа, которое передается на сервер и может быть расшифровано с помощью публичного ключа. Если кто-то от вашего имени попытается передать подтверждение входа, зашифрованное неправильным приватным ключом, то при расшифровке с помощью известного сервису публичного ключа вместо подтверждения получится бессмыслица, и сервис не пустит его в аккаунт.

Какими бывают U2F-устройства

Наиболее известный и распространенный пример U2F — это «ключи» YubiKey, которые производит компания Yubico. Собственно, она и стояла у истоков этого стандарта, но предпочла сделать его открытым, для чего и был создан FIDO Alliance. А поскольку стандарт открытый, вы не ограничены в выборе: U2F-совместимые устройства производят и продают разные компании — в онлайн-магазинах можно найти множество разнообразных моделей.

YubiKey — вероятно, самые популярные U2F-токены

Например, Google недавно представила свой комплект аппаратных аутентификаторов Google Titan Security Keys. На самом деле это ключи производства Feitian Technologies (второй по популярности производитель U2F-токенов после Yubico), для которых в Google написали собственную прошивку.

Разумеется, все аппаратные аутентификаторы, совместимые со стандартом U2F, будут с одинаковым успехом работать со всеми сервисами, которые также с этим стандартом совместимы. Однако у разных моделей есть несколько важных различий, и самое важное из них — это интерфейсы, которыми оборудован «ключ». От этого напрямую зависит, с какими устройствами он сможет работать:

USB — для подключения к компьютерам (Windows, Mac или Linux — неважно, «ключи» работают без установки каких-либо драйверов). Помимо обычного USB-A бывают «ключи» с USB-C.

NFC — необходим для использования со смартфонами и планшетами на Android.

Bluetooth — понадобится на тех мобильных устройствах, в которых нет NFC. К примеру, аутентификатор с Bluetooth все еще нужен владельцам iPhone: несмотря на то, что в iOS уже разрешили приложениям использовать NFC (до 2018 года это было позволено только Apple Pay), разработчики большинства совместимых с U2F приложений еще не воспользовались этой возможностью. У Bluetooth-аутентификаторов есть пара минусов: во-первых, их нужно заряжать, а во-вторых, их подключение занимает гораздо больше времени.

В базовых моделях U2F-токенов обычно есть только поддержка собственно U2F — такой ключ обойдется в $10–20. Есть устройства подороже ($20–50), которые заодно умеют работать в качестве смарт-карты, генерировать одноразовые пароли (в том числе OATH TOTP и HOTP), генерировать и хранить ключи PGP-шифрования, могут использоваться для входа в Windows, macOS и Linux и так далее.

Что же выбрать: SMS, приложение или YubiKey?

Универсального ответа на этот вопрос не существует — для разных сервисов можно использовать разные варианты двухфакторной аутентификации в различных сочетаниях. Например, наиболее важные аккаунты (скажем, вашу основную почту, к которой привязаны остальные учетные записи) стоит защитить по максимуму — запереть на «железный» U2F-токен и запретить любые другие опции 2FA. Так можно быть уверенным, что никто и никогда не получит доступ к аккаунту без этого токена.

Хороший вариант — привязать к аккаунту два «ключа», как это делается с ключами от автомобиля: один всегда с собой, а другой лежит в надежном месте — на случай, если первый потеряется. При этом «ключи» могут быть разного типа: скажем, приложение-аутентификатор на смартфоне в качестве основного и U2F-токен или листочек с одноразовыми паролями, лежащий в сейфе, в качестве резервного средства.

Так или иначе, главный совет — по возможности избегать использования одноразовых паролей в SMS. Правда, получится это не всегда: например, финансовые сервисы в силу своей консервативности продолжают использовать SMS и крайне редко позволяют пользоваться чем-либо еще.

Оставьте комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *