Двойное подтверждение. Изучаем двухфакторную аутентификацию Android, iOS и Windows 10 Mobile — Хакер

Что же выбрать: sms, приложение или yubikey?

Единого решения этой проблемы не существует; для различных сервисов можно использовать разные методы двухфакторной аутентификации. Наиболее важные учетные записи должны быть максимально защищены, например, ваша основная учетная запись электронной почты и любые другие учетные записи, которые связаны с вашей основной электронной почтой или другой личной информацией. Вы можете быть уверены, что никто и никогда не получит доступ к учетной записи без этого маркера, если вы сделаете это таким образом.

Практично прикреплять к учетной записи два ключа, как и в случае с ключами от автомобиля: один хранить в надежном месте, а другой всегда иметь при себе. Возможны различные “ключи”, например, токен U2F в качестве резервного и приложение-аутентификатор на смартфоне в качестве основного.

В любом случае, один из советов – держаться подальше от одноразовых паролей SMS. Однако финансовые службы имеют репутацию тех, кто не любит SMS и очень редко разрешают использовать что-либо другое.

Двухфакторная аутентификация на основе push-сообщений

Некоторые службы посылают вам короткое сообщение, в первую очередь это службы Apple и Google (в основном Facebook или Twitter). Обычно вас информируют о характере устройства и его местонахождении. Вы просто нажимаете кнопку, если это вы, и все работает. Использование push-сообщений для аутентификации.

Двухфакторная аутентификация на основе SMS, а не push, является более предпочтительной. Учитывая, что она использует обычную систему уведомлений смартфона, она даже немного практичнее, чем они. На сегодняшний день она продемонстрировала высокий уровень защиты от хакерских атак и даже устойчива к фишингу. однако пока.

Двухфакторную и двухэтапную аутентификации путают, потому что на практике грань очень тонкая

При принятии решения о типе аутентификации есть место разногласиям. Существует мнение, что владение телефонным номером, на который отправляется сообщение, является фактором подтверждения личности, обеспечиваемым кодом в SMS. И хотя оба эти способа невероятно слабы, технология аутентификации включает в себя два компонента.

Истоки этого аргумента, скорее всего, восходят к тому времени, когда отправка кода через SMS считалась второй формой верификации. Однако сегодня эта практика больше не используется. Из-за высокого риска взлома в США запрещено использовать SMS для двухфакторной аутентификации. Альтернативой являются аппаратные токены и приложения для генерации кодов.

S MS часто называют вторым фактором в сервисах. GitHub, например, предоставляет два способа аутентификации: путем создания ключа внутри приложения и путем отправки кода сообщения. Хотя аппаратный токен и генерация кода внутри приложения – это два дополнительных метода аутентификации, Google называет все их двухэтапной защитой.

Однако в этих разногласиях нет ничего неожиданного. Разработчикам следует помнить, что SMS-подтверждение личности – хрупкая защита, поскольку они возникают только у людей, интересующихся информационной безопасностью. Пользователям из широкой публики не нужно понимать разницу между двухэтапной и двухфакторной аутентификацией.

***

Читать статью?Проверь себя!

Что такое двухэтапная аутентификация?

Использование двухэтапной аутентификации не обязательно. Рассмотрим ввод пароля и получение кода подтверждения по SMS. Хотя здесь есть два этапа, знание является одним из факторов.

Как работает двухэтапная аутентификация в Telegram При авторизации на новом устройстве вы получите либо SMS, либо сообщение в чате с кодом подтверждения (если у вас есть доступ к аккаунту другого устройства). Начальный этап начался. Вам нужно будет ввести пароль, который вы создали сами после включения двухэтапной аутентификации. В настоящее время существует два этапа, но знание – это один из них.

Что такое двухфакторная аутентификация?

Ключевым словом здесь является фактор. Всего их четыре.

«железные» аутентификаторы fido u2f: yubikey и все-все-все

Если вам нужно что-то более долговечное, надежное или осязаемое для защиты ваших счетов, а не приложение, генерирующее одноразовые коды, которые кажутся слишком эфемерными. Тогда у меня для вас хорошие новости: такой выбор тоже есть! Эти токены основаны на аппаратном стандарте U2F (Universal 2nd Factor) от FIDO Alliance.

Google Authenticator

Совместимые с пластинами: Android, iOS

Наиболее удобным инструментом двухфакторной аутентификации является Google Authenticator. Даже настройки здесь отсутствуют. Просто добавьте новый токен – так называется генератор кода для конкретной учетной записи – или удалите уже существующий. Просто коснитесь кода пальцем на сенсорном экране смартфона или планшета, чтобы добавить его в буфер обмена. Теперь все готово!

Установка другой программы необходима, если вы не хотите ничего получать от аутентификатора. Использовать его очень просто.

Аппаратная двухфакторная аутентификация

Лучший способ предотвратить доступ хакеров к вашей учетной записи в Интернете – использовать уникальное устройство проверки личности. На аппаратном уровне двухфакторная аутентификация обеспечивается специальными ключами для флэш-накопителей. Самый необычный и неудобный с точки зрения практического использования.

Вы настраиваете свое устройство так, чтобы использовать его каждый раз при входе в учетную запись с нового устройства или только один раз через некоторое время. Основная схема проста: каждый компьютер и устройство посылают на сервер свой код вызова-ответа.

Duo Mobile

Совместимые с пластинами: Android, iOS

Duo Mobile также очень прост в использовании, не требует особой настройки и не имеет дополнительных параметров. Одним из преимуществ Google Authenticator является то, что он не скрывает коды. Чтобы увидеть их, необходимо нажать на определенный маркер браузера.

Похожее:  Авторизация в PhoneGap приложении через Facebook, Vkontakte и Habrahabr / Хабр

Если открытие аутентификатора вызывает у вас беспокойство, покажите всем сразу по одному коду от каждого из ваших аккаунтов. По умолчанию коды скрыты.

Microsoft Authenticator

Совместимые с пластинами: Android, iOS

Microsoft приняла решение сохранить аутентификатор простым. По сравнению с Google Apps, Microsoft Authenticator гораздо практичнее. Во-вторых, каждый из токенов может быть спрятан а

Во-вторых, вход в учетные записи Windows с помощью Microsoft Authenticator очень прост. Остается только нажать кнопку подтверждения входа, если были введены пароли. Вы можете настроить его так, чтобы коды были видны. Добавлены параметры для входа в учетную запись Microsoft.

FreeOTP

Совместимые с пластинами: Android, iOS

Этот аутентификатор Red Hat можно использовать по четырем различным причинам. Во-вторых, предпочитаете ли вы программное обеспечение с открытым исходным кодом или нет – решать вам. Во-вторых, имея размер всего 750 КБ, это приложение является самым маленьким из всех рассмотренных.

Во-вторых, приложение раскрывает коды только после нажатия на них. Кроме того, FreeOTP предлагает максимальную гибкость при ручной настройке токенов. Для создания токена путем сканирования R-кода нельзя использовать стандартную технологию. По умолчанию коды скрыты. Программа занимает всего 700 КБ места. программное обеспечение с открытым исходным кодом. минимальные настройки при ручном создании токена.

Двухфакторная аутентификация с помощью SMS

Для подтверждения входа в учетную запись используются текстовые сообщения.

Идея проста: когда вы подписываетесь на услугу, вы сообщаете свой номер телефона. При каждом входе в сервис после подтверждения номера вы будете получать SMS-сообщение, подтверждающее вашу личность. Большинство компаний предоставляют такой способ защиты данных пользователей.

Система проста и удобна в использовании, но она не очень надежна в других отношениях. Сервис никак не может изменить тот факт, что пересылка SMS не была разработана как система безопасности и что она стандартизирована.

S MS – это короткие текстовые сообщения, которые хранятся на серверах и передаются открытым текстом. Кроме того, можно отправить SMS на неправильный номер. Служба не знает, было ли сообщение прочитано или получено, даже если оно доставлено нужному абоненту.

Можно обманом заставить операторов одобрить новую SIM-карту, используя телефон другого человека. Все, что им нужно сделать, – убедить представителя вашего оператора, если они хотят получить доступ к вашему банковскому счету и использовать вашу кредитную карту для совершения покупок в Интернете.

Аутентификация по электронной почте – еще один популярный метод. Электронная почта часто является единственным методом, используемым для восстановления доступа к счету. Когда вы регистрируетесь с нового устройства, банк может использовать систему электронной почты.

«Яндекс.Ключ»

Поддерживаемые платформы: Android, iOS

Яндекс, на мой взгляд. Самое популярное в мире приложение для двухфакторной аутентификации называется Key. С другой стороны, вы можете начать пользоваться им так же просто, без необходимости регистрации.

Далее – “Яндекс. Во-вторых, вы можете создать резервную копию токенов в облаке “Яндекса”, защищенную паролем (на этом этапе вам уже придется указать свой номер телефона). “Ключ” можно “привязать” к PIN-коду или отпечатку пальца. Когда вам понадобится переехать, вы сможете перенести токены на новое устройство.

Яндекс – еще один пример. Что вам нравится больше? Ключ, он поддерживает как простоту использования Google Authenticator, так и сложную функциональность Althy. Единственный недостаток приложения в том, что оно требует много токенов и не очень удобно в использовании. Начиная с простоты, доступ к расширенной функциональности можно получить через настройки. Токены сохраняются в облаке, поэтому их можно перемещать и использовать на различных устройствах. Для входа в приложение можно использовать отпечаток пальца или PIN-код. На экране отображается только код последнего использованного токена. Временный пароль вашей учетной записи Яндекс меняется на постоянный.

Найти подходящий токен может быть очень сложно при наличии множества доступных.

Apple

В 2022 году Apple внедрит двухфакторную аутентификацию. В те времена было сложно убедить пользователей в необходимости дополнительной защиты. Двухфакторная аутентификация, также известная как Two-Step Verification, была предназначена только для защиты от прямых финансовых потерь, поэтому Apple решила не рисковать.

Это не закончилось. Фотографии знаменитостей начали всплывать в сети в августе 2022 года. Хакеры получали доступ к аккаунтам жертв и скачивали их фотографии из iCloud. Apple срочно расширила возможности двухэтапной верификации для резервного копирования iCloud и доступа к фотографиям. Одновременно компания продолжила разработку новой техники аутентификации.

Google

Google уже давно использует двухфакторную аутентификацию для защиты учетных записей пользователей. Теперь пользователи могут получать одноразовые пароли и использовать другие методы для подтверждения легитимности запроса на вход.

Google security key

Только Google использует этот вид аутентификации. Однако область его применения очень ограничена. Универсальный ключ под названием FIDO Universal 2nd (U2F) может использоваться только в браузере Google Chrome для проверки подлинности.

Настройка двухфакторной аутентификации с помощью Google Security Key
Настройка двухфакторной аутентификации с помощью Google Security Key

Аутентификация с помощью телефона — google prompt

Google Prompt – это интерактивное уведомление, которое отправляется абонентам для проверки (компания не смогла перевести название на русский язык). В отличие от push-уведомлений Apple, не требуется принимать или отклонять попытку входа в аккаунт.

Похожее:  Личный кабинет Ланта: регистрация, официальный сайт

Для обычного пользователя это, вероятно, самый удобный метод. Ответ на запрос обычно намного проще, чем создание и сканирование кода. Естественно, этот метод работает только в том случае, если Google доверяет устройству.

Диалоговое окно Google Prompt
Диалоговое окно Google Prompt

Push-уведомления и Google Prompt отличаются способом доставки. На втором этапе аутентификации требуется ввести шестизначный код, который присылает Apple. Google отправляет прямой запрос “да” или “нет”, который можно проверить с помощью обычных процедур на надежном устройстве или смартфоне.

. Именно так Apple и Android отличаются в плане вариантов доставки уведомлений: если для iPhone доступно множество механизмов обмена сообщениями, то для системы Android – множество итераций. Google Prompt может остаться невостребованным в ближайшие два-три года, если учесть, как быстро выпускают обновления Android большинство производителей.

Компания Google применила уникальный подход. Приложение Apple не получает интерактивные уведомления, которые отправляются через GCM и принимаются в Google Play Services (на Android). Важно подчеркнуть этот момент.

Microsoft полностью контролирует службы Google Play Services. Начиная с версии Android 2.3, все службы автоматически поддерживаются в актуальном состоянии на всех устройствах. В результате все пользователи получили немедленный доступ к новым системам аутентификации.

Аутентификация через смс

Одноразовые коды можно набрать с проверенного номера или отправить в текстовом сообщении. Во всех отношениях Google работает как Apple.

Двухфакторная аутентификация

Google и Apple приняли решение объединить два своих протокола аутентификации. Эти две системы работают бок о бок, не изменяя двухэтапный процесс проверки; однако для одной учетной записи можно использовать только один из этих процессов.

Включение двухфакторной аутентификации
Включение двухфакторной аутентификации

В обеих одновременно выпущенных версиях macOS и iOS 9 введена двухфакторная аутентификация. С помощью новой проверки можно проверить все доверенные мобильные устройства (iPhone, iOS) и настольные компьютеры под управлением последних версий macOS.

Новая техника звонит или отправляет СМС на доверенный телефон и сообщает одноразовый пароль. Push-уведомления также обеспечиваются альтернативной верификацией, и любое устройство пользователя может быть использовано для блокировки несанкционированных попыток входа в аккаунт.

Уведомление о попытке войти в учетную запись
Уведомление о попытке войти в учетную запись

Поддерживаются пароли для приложений. Но Apple отклонила код восстановления доступа, поэтому если вы потеряете свой единственный iPhone и доверенную SIM-карту (которую по какой-то причине нельзя восстановить), вам придется пройти настоящий “квест”, отсканировав паспорт с гарантией, что оригинал документа все еще будет на месте.

Благодаря новой системе безопасности создавать одноразовые коды стало проще. В ней используется стандартный механизм одноразового пароля на основе времени (TOTP), который создает одноразовые коды из шести цифр каждые 30 секунд.

Получаем одноразовый код
Получаем одноразовый код

Мы не будем вдаваться в подробности о том, что такое TOTP и как оно функционирует. Однако мы должны предупредить вас о некоторых особенностях реализации в iOS или Windows:

Компания Apple разрешает использовать в качестве аутентификаторов только собственные устройства. Apple Touch, iPad и iPhone могут считаться доверенными устройствами. Каждое устройство в этом сценарии инициализируется специальным секретом, что позволяет быстро отозвать у него (или только у него) статус доверенного в случае потери.

Двухэтапная проверка

Механизм Find My Phone, который изначально был создан для отправки push-уведомлений и команд блокировки в случае потери или кражи телефона, используется для доставки кодов двухэтапной верификации. Вор может получить одноразовый код и использовать его без пароля устройства, если злоумышленник предоставит ему доверенное устройство. Система доставки такого продукта является основным слабым местом.

Код также можно получить с помощью голосового звонка или SMS на зарегистрированный телефон. Однако этот подход представляет не меньший риск, чем первый. Вы можете вынуть SIM-карту, вставить ее во все устройства, а затем принять код на ней.

Вам нужен уникальный 14-значный ключ для входа в систему, если у вас нет доверенного iPhone, утерянного телефона или доступа к нему (который вы должны распечатать и надежно хранить). Вы обязательно получите его, если потеряете.

Как взломать аутентификацию apple

Теоретически, взломать его довольно просто. Существует множество вариантов.

  • Считывание одноразового кода с доверенного устройства – нет необходимости его разблокировать;
  • Перемещение SIM-карты на другое устройство, получение SMS;
  • Клонирование SIM-карты, получение кода на ней;
  • Использование двоичного маркера аутентификации, скопированного с компьютера пользователя.

Как взломать аутентификацию google

Вышеупомянутые характеристики могут быть использованы против него при атаке в зависимости от того, как они присутствуют у пользователя.

  • Если установлен аутентификатор приложений: извлеките данные приложения с помощью root или пользовательского восстановления (например, TWRP) или используя сервисный режим телефона (для Qualcomm – режим 9006 или 9008, для MTK – SP Flash Tool, для всех телефонов LG – режим прямого доступа к памяти по протоколу LGUP). Последние два метода не сработают, если память телефона зашифрована.
  • Если используется доставка кода SIM-карты: выньте SIM-карту, вставьте ее в другое устройство, преимущества. Или используйте любой другой механизм атаки для перехвата SMS.

Как взломать двухфакторную аутентификацию

В предыдущей схеме мы использовали двухфакторную аутентификацию для взлома. При попытке получить код через SMS атака на SIM-карту также будет успешной, но это все равно приведет к отправке уведомлений на все доверенные устройства пользователя.

Извлечь маркер аутентификации с компьютера можно с помощью Elcomsoft Phone Breaker
Извлечь маркер аутентификации с компьютера можно с помощью Elcomsoft Phone Breaker

Как защититься

Не поленитесь и зашифруйте раздел данных, если вы получаете одноразовые коды с помощью приложения-аутентификатора. Это обязательно пригодится! Постоянно используйте надежную блокировку экрана (PIN-код). Не используйте Smart Lock.

Похожее:  Единое окно доступа

Избегайте отправки одноразовых кодов с помощью SMS.

В частности, если вы будете придерживаться этих простых рекомендаций, ваша учетная запись может быть надежно защищена. Все остальные меры безопасности будут лишь успокаивать ваши нервы, если вы не используете надежную блокировку экрана или шифрование разделов данных.

Лучшие приложения для двухфакторной аутентификации

Магазины Apple App Store и Google Play предлагают десятки результатов. Мы не советуем устанавливать первое попавшееся приложение, поскольку вы предоставите ему доступ к своим учетным записям и даже узнаете свои пароли, что может быть опасно. Как правило, следует выбирать приложения известных и авторитетных разработчиков.

Создание одноразовых кодов по одному и тому же алгоритму одинаково для всех основных функций этих приложений, но некоторые аутентификаторы имеют дополнительные функции или особенности интерфейса. В нашей подборке мы собрали для вас самые интригующие варианты.

Насколько безопасна аутентификация totp?

Отраслевым стандартом является T OTP. Этот алгоритм используется многочисленными приложениями. Потенциальные дыры в безопасности, отсутствующие на других платформах, становятся доступными благодаря TOTP для Android.

  • Если устройство имеет root, потребуется несколько минут для извлечения секрета из приложения Authenticator
  • Если загрузчик устройства разблокирован (в частности, почти все устройства на базе чипсетов MediaTek поставляются с разблокированными загрузчиками), потребуется несколько минут для извлечения данных из устройства (если не включено шифрование).

Насколько это безопасно

По сравнению с предыдущим планом, новый по-прежнему более безопасен. Новая система проще, практичнее и легче в использовании.

При попытке входа в аккаунт у пользователя теперь есть возможность отклонить попытку и получить push-уведомления на все доверенные устройства. Однако хакеру нужно всего несколько секунд, чтобы получить доступ к учетной записи пользователя.

Насколько это безопасно?

Честно говоря, я был не в восторге от этого. Двухэтапная проверка оказалась худшей из “большой тройки” систем. Двухэтапная проверка – лучший вариант, если у вас нет другого выхода.

В чем именно заключается недостаток системы? Во-вторых, коды одноразового ввода на экране блокировки видны прямо перед камерой. Во-вторых, аутентификация на основе номера телефона подвергает провайдера риску, поскольку SMS-сообщения могут быть перехвачены через SIM-карту, замененную карту или карту, которая была скопирована или заменена.

Также помните, что поддельные доверенности могут использоваться преступниками для получения SIM-карт взамен “потерянных”. Номер телефона легко узнать, если пароль украден. Используется поддельная доверенность, и выпускается новая SIM-карта.

Недостатки

  • Если злоумышленники получат доступ к главному паролю вашего устройства или взломают сервер, они смогут сгенерировать будущие пароли.
  • Если вы используете аутентификатор на том же устройстве, с которого входите в систему, двухфакторная аутентификация теряется.

Одноразовые коды в файле или на бумажке

Одноразовые пароли, доставляемые по SMS, – самое простое решение. Неплохой выбор, если вам нужно входить в систему только время от времени. Эта техника может работать в качестве запасного способа входа в любую социальную сеть.

Для доступа к этой услуге пользователю нужно ввести только один одноразовый код. После этого просто распечатайте их или запишите на бумаге, а затем храните в сейфе. или храните пароли к своим учетным записям в зашифрованных файлах.

В общем, не так уж важно, храните ли вы эти коды на теплой ламповой бумаге или в бездушной цифровой форме, потому что самое главное – убедиться, что они а) сохранены и б) больше ничего от вас не требуется.

Пароли приложений

Для приложений, не поддерживающих двухфакторную аутентификацию, Google использует уникальные пароли. IMAP и другие программы аналогичного характера построены на различных предыдущих итерациях Microsoft Outlook. Пароли могут быть индивидуально отозваны и генерируются автоматически по запросу. Количество активных паролей неограниченно.

С помощью пароля приложения вы можете получить ограниченный доступ только к определенным типам данных. Поэтому использование такого пароля не позволит вам получить доступ к данным из вашего аккаунта Google Takeout. Вы не сможете получить доступ к своему аккаунту через браузер для входа в систему; вместо этого система запросит пароль вашего аккаунта перед тем, как запросить одноразовый код.

Преимущества

  • Аутентификатор не требует сигнала мобильной сети, а только подключения к Интернету при первоначальной настройке.
  • Поддержка нескольких учетных записей в одном устройстве аутентификации.

Распечатка одноразовых кодов

Одноразовые коды впервые были использованы в двухфакторной аутентификации и выписывались на бумаге. Пользователи Google могут выбрать этот вариант. Разрешается распечатать 12 шестизначных кодов. Неиспользованные коды могут быть отменены в любое время.

Так какой лучше?

Все, ни один.

Любая стратегия двухфакторной аутентификации безопаснее, чем ее отсутствие. Если бы отправлялись только пароли, безопасность была бы гораздо ниже, чем при использовании SMS. Будущая программа расширенной защиты Google, вероятно, значительно повысит безопасность жизни и устранит существующие проблемы безопасности.

Отказ от двухфакторной аутентификации на основе SMS может оказаться правильным решением.

Цифровые учетные записи все чаще используются в качестве надежных идентификационных документов. Поэтому стоит позаботиться об их безопасности и немного подумать о тех простых мерах защиты, которые предоставляют сервисы. Или, по крайней мере, понять, чем различные подходы отличаются друг от друга.

1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд (1 оценок, среднее: 5,00 из 5)
Загрузка...

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector