Вы когда-нибудь выполняли вход по коду из SMS? А с помощью приложения, генерирующего код? Сегодня я расскажу о том, в чем разница между этими способами, и почему важно защищать аккаунты Интернет-сервисов и мессенджеров двухфакторной или двухэтапной аутентификацией.
В день публикации статьи о Telegram прилетела интересная новость – у нескольких оппозиционеров взломали аккаунты этого мессенджера, отключив им ночью сервис SMS на несколько часов. За это время кто-то зашел с другого устройства, о чем Telegram прислал уведомление.
У кого ночью взломали телеграм, тот я. Интересно, как это возможно? СМС с помощью МТС перехватили? pic.twitter.com/K17uMQhIe6
— Георгий Албуров (@alburov) April 29, 2016
Если бы он использовал двухэтапную аутентификацию, новости бы не было.
[+] Сегодня в программе
- Зачем нужна дополнительная защита аккаунта
- Терминология и аббревиатуры
- Факторы аутентификации
- Какая аутентификация является двухфакторной
- В чем разница между двухэтапной и двухфакторной аутентификацией
- Пример двухфакторной аутентификации
- Пример двухэтапной аутентификации
- Проблема одноразовых паролей в SMS
- Снижает ли безопасность регистрация по номеру телефона
- Реализация 2FA и 2SV у Google, Microsoft и Яндекс
- Вопросы и ответы
- Дискуссия и опрос
Зачем нужна дополнительная защита аккаунта
Когда речь заходит о безопасности Windows, тезисы о необходимости грамотной защиты нередко упираются в простое и незатейливое «а мне наплевать», подкрепленное убийственным аргументом «у меня нет ничего ценного». Его появление в сегодняшних комментариях не станет для меня неожиданностью :)
Тем не менее, если только вы не живете в абсолютном вакууме, ваш аккаунт электронной почты, социальной сети или мессенджера может представлять ценность для злоумышленников. Список ваших контактов вкупе с историей переписки может стать золотым дном социальной инженерии для мошенников, позволяя им развести на деньги ваших близких и знакомых (привет, Skype!).
Захват почтовой учетной записи также может открыть двери к другим сетевым сервисам, в которых вы зарегистрированы с ней (вы ведь используете одну почту для разных сервисов, не так ли?)
Пример со взломом Telegram интересен тем, что моментально породил в сети язвительные комментарии в стиле «ха-ха, вот вам и хваленая безопасность!» Однако важно понимать, что нужно обеспечивать рекомендуемый уровень защиты, а не лежать на печи, полагаясь на маркетинговые заявления.
Эта статья для тех, кто не ждет, пока грянет гром, а соблюдает правила сетевой гигиены и ответственно подходит к защите своей конфиденциальной информации. Поехали!
Терминология и аббревиатуры
Я сознательно упрощаю определения, потому что дальше мы будем подробно рассматривать эти понятия на практике.
- Аутентификация. Проверка уникальной информации, известной или доступной человеку, который пытается получить доступ к данным. Простейший пример – ввод пароля к учетной записи.
- Двухэтапная аутентификация (Two-Step Verification, 2SV). Вход выполняется в два этапа – например, сначала вы вводите пароль к учетной записи, а потом код из SMS.
- Двухфакторная аутентификация (Two Factor Authentication, 2FA). Вход тоже может выполняться в два этапа, но они должны отличаться факторами (ниже их разберем). Например, сначала вводится пароль, а потом одноразовый пароль, сгенерированный аппаратным токеном.
- Одноразовый пароль (One-Time Password, OTP). Цифровой или буквенный код из 6-8 символов. Это может быть код из SMS или приложения, генерирующего коды (Google Authenticator).
Факторы аутентификации
Двухэтапную аутентификацию часто называют двухфакторной, не делая особой разницы между понятиями. Я тоже не придавал ей особого значения, хотя и пользовался обоими способами. Но однажды глаз зацепился за новость о переходе Apple с двухэтапной на двухфакторную аутентификацию, которую твитнул специалист по информационной безопасности Алексей Комаров.
Я попросил эксперта объяснить разницу между 2SV и 2FA, и он уложился в один твит со ссылкой на свою статью.
@vsterkin факторы: 1 — то, что ты знаешь, 2 — то, что имеешь, 3 — кем являешься и 4 — где находишься http://t.co/T7xNuqDrMW
— Алексей Комаров (@zlonov) July 14, 2015
В ней мне очень понравились аналогии – простые и понятные. Позволю себе процитировать их целиком.
На этот раз воспользуемся образами из шпионских романов. Агенту Смиту необходимо встретиться со связным и передать ему секретную информацию. Друг друга они не знают и никогда раньше не встречались. Как Смит сможет удостовериться, что перед ним действительно связной, а не вражеский агент? Различают всего четыре фактора аутентификации. Рассмотрим их все.
«У Вас продается славянский шкаф?» — это пример первого фактора, когда субъект что-то знает. На практике это может быть пароль, логин, кодовая фраза – словом, любой секрет, известный обеим сторонам.
Связной может предъявить, например, половину разорванной фотографии или что- то еще, что есть только у него – это пример второго фактора аутентификации, основанного на том, что у субъекта что-то есть. В современных системах информационной безопасности для этих целей используются токены – персональные аппаратные средства аутентификации.
Для обеспечения безопасности встречи можно условиться, что она должна состояться на третьей скамейке справа от входа в Центральный парк. Третий фактор – субъект находится в определенном месте. В информационных системах могут определяться, например, IP-адрес компьютера субъекта или считываться данные радио-метки.
Ну и наконец, Смиту могли показать фотографию связного, чтобы он смог его узнать. Четвертый фактор (субъект обладает некой биологической особенностью) применяется только в случае, когда субъект аутентификации – человек, а не, например, сервер или процесс, не имеющие отпечатков пальцев, структур ДНК или радужной оболочки глаза.
Какая аутентификация является двухфакторной
Исходя из названия, аутентификация выполняется с помощью двух факторов, причем они обязательно должны быть разными! Продолжу рассказ своей аналогией – посмотрите внимательно на этот сейф.
Открыть его вы сможете, только если знаете секретную комбинацию, и у вас есть ключ от замка. Заметьте, что эти два фактора отличаются.
Злоумышленник может похитить ключ, но без кода он бесполезен. Равно как подсмотренный код не поможет без ключа. Другими словами, чтобы пробраться в сейф, преступнику нужно украсть две разные «вещи».
Давайте посмотрим, как это выглядит в контексте информационных технологий.
В чем разница между двухэтапной и двухфакторной аутентификацией
Двухфакторная аутентификация может быть двухэтапной, но обратное верно не всегда. Граница между этими понятиями очень тонкая, поэтому их часто и не различают. Например, Twitter в блоге нарекает свою двухэтапную аутентификацию двухфакторной, а Google в справке уравнивает эти способы (впрочем, компания предлагает оба).
Действительно, в сетевых учетных записях (Microsoft, Google, Яндекс и т.п.), соцсетях и мессенджерах реализация 2FA и 2SV очень похожа. Один этап всегда подразумевает ввод пароля или ПИН-кода, который вы знаете. Разница между способами аутентификации кроется во втором этапе – 2FA возможна только в том случае, если у вас что-то есть.
Типичным дополнением к известному вам паролю служит одноразовый код или пароль (OTP). Здесь-то и зарыта собака!
Двухфакторная аутентификация подразумевает создание одноразового пароля непосредственно на устройстве, которым вы обладаете (аппаратный токен или смартфон). Если OTP отправлен в SMS, аутентификация считается двухэтапной.
Казалось бы, SMS приходит на смартфон, который у вас есть. Как вы увидите ниже, это – ложная предпосылка.
Пример двухфакторной аутентификации
Для удаленного доступа к ресурсам моего работодателя необходимо пройти двухфакторную аутентификацию. Первый фактор – пароль учетной записи, который я знаю. Второй фактор – аппаратный токен для генерации OTP, который у меня есть.
Чтобы выполнить вход в систему от моего имени, злоумышленник должен украсть не только пароль, но и выданный мне токен, т.е. физически проникнуть в мою квартиру.
Для доступа к ресурсам клиента я тоже использую 2FA, но в этом случае роль аппаратного токена выполняет смартфон с приложением RSA SecureID.
Пример двухэтапной аутентификации
Когда вы впервые входите на новом устройстве в Telegram, вам приходит на телефон код подтверждения – это первый этап аутентификации. У многих пользователей мессенджера он единственный, но в настройках безопасности приложения можно включить второй этап — пароль, который известен только вам и вводится после кода из SMS.
Заметьте, что создатели Telegram корректно именуют свою аутентификацию двухэтапной.
Проблема одноразовых паролей в SMS
Давайте вернемся к случаю с получением неправомочного доступа к аккаунту Telegram, с которого я начал сегодняшний рассказ.
В процессе взлома оппозиционерам временно отключили сервис SMS. Они видят в этом руку технического отдела МТС, но и без его участия злоумышленники вполне могли перевыпустить SIM-карту или провести атаку MITM. Больше им ничто не мешало войти в Telegram на другом устройстве!
Будь на аккаунте пароль, известный только владельцу, осуществить взлом было бы на порядок сложнее.
Однако такая аутентификация остается двухэтапной, и взлом аккаунта хорошо демонстрирует, что при целевой атаке обладание смартфоном не играет никакой роли. Вы лишь знаете свой пароль и одноразовый код, который приходит в SMS, а это одинаковые факторы.
Снижает ли безопасность регистрация по номеру телефона
В комментариях к предыдущей записи несколько читателей выразили мнение, что типичное для ряда мессенджеров удобство регистрации по номеру телефона ослабляет защиту аккаунта по сравнению с традиционным паролем. Я так не считаю.
В отсутствие 2FA или 2SV аутентификация получается одноэтапной и однофакторной. Поэтому по большому счету нет разницы, выполняете вы вход с помощью известного вам пароля или неизвестного заранее кода, присылаемого в SMS.
Да, злоумышленники могут получить ваш SMS-код, но они могут перехватить и ваш пароль, пусть и каким-то другим способом (клавиатурный шпион, контроль публичной сети Wi-Fi).
Если вы хотите лучше защитить свою учетную запись, опирайтесь на 2FA или 2SV, а не на ложное ощущение превосходства пароля над номером телефона.
Реализация 2FA и 2SV у Google, Microsoft и Яндекс
Давайте посмотрим, какую защиту учетной записи предлагают некоторые крупные игроки с миллионами пользователей.
Компания предлагает, пожалуй, самый широкий спектр средств дополнительной защиты учетной записи. Наряду с традиционными способами 2SV (отправкой кода в SMS или звонком) у Google реализована 2FA. Это приложение для генерации кодов и, что редкость, поддержка аппаратных токенов стандарта FIDO UTF.
После проверки пароля вам предлагается ввести код, способ получения которого зависит от настроек аутентификации для вашей учетной записи.
Обратите внимание, что по умолчанию компьютер переводится в разряд доверенных, т.е. при следующих входах на этом устройстве второй фактор не требуется. Список таких устройств можно очистить в параметрах 2SV.
У меня настроена генерация кодов приложением. В Google Authenticator реализована поддержка RFC 6238, что позволяет создавать OTP для любых сервисов, использующих эту спецификацию.
Кстати, в приложении я как-то наступил на грабли – коды перестали приниматься. В Twitter мне быстро подсказали синхронизировать коррекцию времени для кодов в настройках приложения, но я уже перешел в Яндекс.Ключ.
Также, у Google есть возможность распечатать одноразовые коды, что может быть полезно в путешествиях людям, не имеющим смартфона и пользующихся SIM-картой местного оператора.
Microsoft
У Microsoft все очень похоже на Google (см. настройки аккаунта) поэтому я сфокусируюсь на любопытных различиях. Компания не поддерживает аппаратные токены, но можно обеспечить 2FA, генерируя OTP фирменным приложением Authenticator.
Приложения для аутентификации
На мобильной Windows и iOS приложения Microsoft работают одинаково – просто генерируют коды. На Android ситуация интереснее, потому что у приложения Microsoft Account два режима работы – двухэтапный и двухфакторный.
После первоначальной настройки приложения включается режим, который отлично реализован с точки зрения удобства использования. Когда вы входите на сайт, вам предлагается подтвердить запрос в приложении. Одновременно приходит уведомление, которое одобряется одним нажатием, т.е. не надо вводить код вручную.
Строго говоря, это – 2SV, потому что пуш-уведомление передается через интернет, но можно переключиться на 2FA. Нажав «Не получается», вы увидите требование ввести код. Внизу мобильного приложения есть соответствующая возможность, открывающая список подключенных аккаунтов. Вернуться к режиму уведомлений можно аналогичным путем при следующем входе.
Кстати, в отличие от Google, Microsoft по умолчанию не переводит устройство в разряд доверенных (см. картинку выше), и я считаю это правильным.
Skype и 2SV
Upd. 01-Nov-2016. В Skype наконец-то появилась 2SV за счет полной интеграции аккаунта Skype в учетную запись Microsoft. Поэтому написанное в этом разделе актуально лишь для аккаунтов Skype, не прошедших процедуру обновления.
Skype заслуживает отдельного упоминания, причем в негативном контексте. Двухэтапной аутентификацией защищена учетная запись Microsoft, и вы можете входить с ней в Skype.
Однако, если у вас есть аккаунт Skype (регистрируется на сайте), то для него 2SV не реализована, даже если он связан с учетной записью Microsoft.
На практике это означает, что вы не можете обеспечить своему аккаунту Skype уровень защиты, который рекомендует Microsoft. На сайте поддержки Skype есть замечательная тема (наверное, не единственная), куда приходят владельцы взломанных аккаунтов и просят реализовать 2FA.
Обходной путь – отказ от использования такого аккаунта и создание нового путем входа с учетной записью Microsoft. Но те, кого еще не взломали, вряд ли захотят бросать учетную запись с массой контактов.
Яндекс
У Яндекса найдется все, в том числе и своя реализация 2FA. Компания подробно объяснила в блоге на Хабре, почему решила изобрести велосипед, поэтому я ограничусь лишь практикой использования этого решения.
Включение 2FA отменяет использование пароля для учетной записи, вход в которую далее будет выполняться с помощью смартфона или планшета. Как я понял, приложение Яндекс.Ключ доступно только для iOS и Android, поэтому владельцы смартфонов на Windows не смогут защитить свою учетную запись Яндекс двухфакторной аутентификацией.
Мобильное приложение поддерживает разные учетные записи, но только аккаунт Яндекс защищен обязательным ПИН-кодом – это первый фактор. Второй показан на картинке выше – это одноразовый пароль из восьми букв или сканирование QR-кода с веб-страницы, на которой вы осуществляете вход.
OTP истекает через 30 секунд. Сделав опечатку, я не успевал повторно ввести тот же код, и приходилось ждать нового (цифры все-таки проще вводить без ошибок). Поэтому рекомендуемый и более удобный способ – это сканирование QR-кода. Для случаев авторизации на том же устройстве предусмотрена кнопка, копирующая OTP в буфер обмена.
Вопросы и ответы
Комментарии высветили несколько вопросов, ответы на которые я решил добавить в статью.
Ура, теперь у меня везде 2SV/2FA! Что-то еще нужно сделать?
Представьте, что вы поехали на отдых, где у вас в первый же день украли смартфон. Теперь вы не попадаете ни в один аккаунт, пока не восстановите SIM-карту. Чтобы избежать такого сценария, зайдите в настройки ключевых аккаунтов, найдите там одноразовые или резервные коды для доступа к учетной записи и сохраните их на другом устройстве и/или запишите на бумаге.
У меня есть приложение, которое перестало работать после включения 2SV/2FA. Что делать?
Некоторые приложения несовместимы с двухэтапной аутентификацией в том смысле, что сервис ждет кода на втором этапе, а вводить его некуда. Примером может служить какой-нибудь «десктопный» почтовый клиент.
На этот случай в настройках 2SV вашего аккаунта предусмотрена возможность создавать пароли приложений (app passwords). Нужно создать пароль и ввести его в проблемном приложении вместо вашего пароля учетной записи. У Яндекс (например, в Яндекс.Браузер) достаточно просто ввести одноразовый пароль, сгенерированный приложением Яндекс.Ключ.
По каким параметрам сервис определяет, что устройство доверенное?
У каждого вендора своя реализация. Это может быть комбинацией SSL cookie, IP-адреса, браузера, еще чего-нибудь. Есть порог изменения параметров, по достижении которого нужно авторизоваться снова.
Какие мобильные приложения для генерации OTP лучше всего использовать?
Если вы не пользуетесь 2FA в Яндекс, то подойдет любое приложение (например, Google Authenticator, Microsoft Authenticator, Authy). Все они обладают функцией резервного копирования. Ее наличие — важный фактор при выборе!
Ранее я писал, что если у вас включена 2FA в Яндекс, имеет смысл консолидировать все сервисы в Яндекс.Ключ. (Причина в том, что реализация 2FA у Яндекс отличается от других сервисов, но Яндекс.Ключ поддерживает RFC 6238, что позволяет создавать OTP для прочих сервисов, внедривших эту спецификацию.) Однако приложение Ключ перестало развиваться, а его интерфейс неудобен при большом количестве сервисов. Поэтому я давно перешел на Microsoft Authenticator, а в приложении Ключ остался только Яндекс.
Почему в приложении для генерации кодов не получается настроить 2FA для ВКонтакте?
В настройках смартфона нужно установить автоматическое определение даты и часового пояса. Иначе приложение не зарегистрировать — созданный приложением код не принимается с ошибкой «Неверный код подтверждения». Доставка OTP по SMS при этом работает и никак не связана с проблемой.
Дискуссия и опрос
Изначально двухфакторная и двухэтапная аутентификация была уделом организаций, но постепенно она стала появляться и в сервисах, ориентированных на потребителей. Google была одной из первых крупных компаний, предложивших своим пользователям такую защиту в 2011 году, а позже подтянулись и другие игроки, в том числе популярные в Рунете Яндекс и mail.ru ввели эти меры в начале 2015 года.
Пока 2FA/2SV доступна далеко не для всех распространенных сервисов. Например, на момент публикации статьи ее нет в мессенджерах с многомиллионной аудиторией Viber и WhatsApp (появилась в феврале 2017 года). Но в целом к середине 2016 года технология получила очень широкое распространение.
Сам я начинал с Google, потом подключил соцсети, позже учетную запись Microsoft (там была возня с рядом приложений, не поддерживающих 2SV, и приходилось создавать одноразовые пароли). Сейчас 2FA/2SV у меня включена везде, и даже в этом блоге (только для администраторов).
В комментариях расскажите, как вы проголосовали и какие сервисы вы защищаете с помощью 2FA/2SV. Если никакие или не все, поясните, что вас удерживает от этого.
У вас включена 2FA/2SV? (2016)
- Да, в ряде сервисов, и мне этого достаточно (37%, голосов: 185)
- Да, везде где это возможно (24%, голосов: 119)
- Нет, но теперь начну пользоваться (15%, голосов: 73)
- Да, в ряде сервисов, но теперь включу везде (14%, голосов: 68)
- Нет, и мне это не нужно (10%, голосов: 50)
- Моего варианта тут нет (объясните в комментариях) (1%, голосов: 7)
Проголосовало: 502 [архив опросов]
Загрузка ...
Забавно, я на эту же тему в декабре 2015 делал вебкаст.
https://www.youtube.com/watch?v=rehI1RzAQSw
С недавнего времени прикрутил аутентификацию, после того как пришло на почту уведомление о попытке взлома.
Николай, мудрое решение :)
Я выбрал пункт: Нет, но теперь начну пользоваться.
Включал на Goole учетке, но после этого я не мог отправить почту с почтового клиента и не мог подключиться к hangouts чатам из приложения. Возможно нужно было зайти с компьютера на Google учетку, чтобы ПК стал доверенный и тогда все бы заработало. Но я не стал заморачиваться и отключил двухэтапную авторизацию.
Если нужно просто авторизироваться на нужном ПК, чтобы он стал доверенным, то это нормально, а если это не поможет, тогда проблема будет с отправкой почты и использованием чата.
На другой почтовой учетной записи вообще нет двухфакторной авторизации, к тому же я бы ее там и включил.
Роман, можно использовать специальный пароль для приложений, не поддерживающих 2SV. У Google: https://security.google.com/settings/security/apppasswords
Не работает страница:
Эта опция недоступна для вашего аккаунта.
Показать все настройки аккаунта
Скрин: http://prnt.sc/b53d4u
Роман, надо сначала 2SV включить же https://myaccount.google.com/security?pli=1#signin
Выбрал «Моего варианта тут нет», хотя, возможно, стоило бы выбрать «Нет, и но теперь начну пользоваться».
Почтой пользуюсь только через Outlook, а он, вроде как, двухфакторную авторизацию не поддерживает (хотя не гуглил — может плагины придумали). Аккаунтом Microsoft не пользуюсь. Смартфона нет. В соцсетях не зарегистрирован (за исключением GitHub). Регистрации на всяких форумах и сайтах, вроде этого, защищать считаю нецелесообразно.
Есть аккаунт в Скайпе, которым я пользуюсь только в офисе (сижу в общем чате компании). Теперь подумаю о том, чтобы слить его с аккаунтом Microsoft (вроде как есть такая функциональность) и использовать двухфакторную авторизацию.
Александр, для Outlook должен сработать пароль приложения (я добавил примечание в последний абзац статьи).
Забыл написать голосование
«Да, везде где это возможно»
перечислять что именно, не буду.
Спасибо, очень интересно!
«Обратите внимание, что по умолчанию компьютер переводится в разряд доверенных, т.е. при следующих входах на этом устройстве второй фактор не требуется. Список таких устройств можно очистить в параметрах 2SV.»
А по каким факторам он распознаёт это доверенное устройство? Это сертификат, или какой-то сгенерированный на основе железа SID ?
У каждого вендора своя реализация. Это может быть комбинацией SSL cookie, IP, браузера, еще чего-нибудь. Есть порог изменения параметров, по достижении которого нужно авторизоваться снова.
Двухфакторная аутентификация включена только в особо важных сервисах, например, на банковских счетах, в платёжных системах. Но на некоторых из них войти в учётку можно просто одним паролем, а вот любые операции — уже через двухфакторную. На почтовых сервисах и соцсетях отсутствует, так как сами сервисы неплохо отслеживают «подозрительные действия» (смена IP, попытка подбора пароля, смена используемого устройства и т.д.) и довольно быстро уведомляют об этом, а многие даже сразу автоматом блокируют аккаунт.
Евгений, сервисы-то отслеживают, но они могут прислать уведомление уже после взлома.
Скорее всего зависит от реализации. Даже у Steam-клиента есть своя 2Ф-аутентификация.
Включено везде где это возможно. Взломов вроде бы не было. :) Но на outlook.com видны Запросы защиты из мест где я точно не мог нахотиться… и с ОС которыми я никогда не пользовался. Насчет отключения SMS — в прошлом году несколько раз сталкивался когда SMS с кодом из QIWI не приходили на смартфон, но при этом без проблем получались на обычный телефон. Достаточно было переставить симку.
Вадим, отменная статья! Спасибо за подробное изложение.
Включено в гугле (после того, как пытались поломать мой пароль откуда-то из Турции), в учетке Microsoft (ленился сделать. но после этой статьи все ж решил включить) и в Dropbox (уже года два как включено). Использую Microsoft Authenticator на Lumia 640.
P. S. Да. и в телеграме тоже надо включить :) мало ли.
Матвей, спасибо за отклик. Да, Telegram в этом плане лучше защищен, чем WhatsApp или Viber, поэтому имеет смысл включить 2SV.
В Telegram я установил cloud password — а ожидал аутентификацию через какое-нибудь приложение. Зато Вконтакте, к моей радости, поддерживает приложения. Так что сегодня я еще и ВК обезопасил.
Матвей, я объяснил в статье. Первый этап — код из SMS, второй — пароль (cloud password). Оба ты знаешь → двухэтапная аутентификация.
Да, разницу между двухфакторной и двухэтапной аутентификацией я понял. Я имел в виду, что ожидал именно двухфакторную проверку подлинности в Telegram (как в том же ВК).
Согласен, что у них немного нестандартно сделано. Обычно, первый этап — это известный пользователю пароль, а у Telegram он второй.
Моя учетка Яндекса защищена на W10M двухфакторной аутентификацией. Пароль беру с яндекс ключа, установленного на iPad. И вообще включаю такую защиту, где это только возможно. Мою почту на Mail.ru взламывали раньше, приходилось пароль часто менять. Теперь, после включения там двухэтапной авторизации взломов не было. После известных событий и на Telegram включил.
Забыл добавить, что мою карту Сбербанка ломанули и с включенной двухэтапной авторизацией.
Подробности взлома вам известны?
Нет. Оплатил товар в инете, код подтверждения не пришел, а деньги сняли, но я особо не обратил на это внимание — товар оплачен, товар получен. Но через какое-то время с моей карты пытались снять определенную сумму денег, хорошо средств на карте было недостаточно, операция не завершилась для взломщиков успехом из-за их жадности)) Сразу же позвонил в банк, чтобы карту заблокировали.
Если код подтверждения не пришел, а деньги сняты за покупку, сразу же звоните в банк и блокируйте карту и вообще для оплат в инете заведите отдельную карту.
Спасибо за статью, не знал о приложении для смартфона к аккаунту Майкрософт, подключил.
Отличная статья, хорошо разложили по полочкам 2FA и 2SV.
В общем подумал я недавно над безопасностью, и перешёл на KeePass. Надёжнее, безопаснее, а главное независемее от сторонних серверов ничего не придумал. Настроил автоблокировку, пароль посложнее и все дела.
2FA есть разве что для карты сбера, там имя пользователя (только у меня в голове), пароль (в KeePass), и СМС.
Виталий, я рад, что статья оправдала ваши ожидания :) Я тоже использую KeePass, но считаю наличие второго этапа/фактора хорошим дополнением к защите первого. Конечно, зависит от того, какие сервисы использует человек. Кстати, ваша почта предлагает 2FA/2SV ;)
Ага, без номера мобильного не хочет подключать, хотя они поддерживают приложение с кодами, которому на номер мобильного вроде как пофиг.
А через номер можно восстановить пароль, а, как вы указали в начале статьи, симки перевыпускаются на раз.
Так что боюсь это снизит безопасность, так как пароль надёжный и под защитой кейпаса.
Ну и светить номером, к которому привязана банковская карточка, сильно не хочется))
Использую относительно давно Microsoft Authenticator, собственно с момента регистрации учетной записи Microsoft.
Стал ковыряться в настройках и нашел такую штуку, поставил на windows phone.
После прочтения статьи, установил на Google аккаунт, также через Microsoft Authenticator.
Вопрос такой — Что делать в случае кражи/потери мобильного устройства?
Ярослав, как правило, альтернативным способом является SMS или звонок с кодом. Этап, на котором предлагается ввести OTP, содержит ссылку на альтернативные варианты под формой ввода. У Google ссылка называется «Попробовать другой способ входа» и открывает это:
Резервный код можно создать в настройках 2SV.
А, точно
Спасибо Вадим!
Ваши статьи весьма полезны и приятны для чтения
Странно, почему банки не используют двухфакторную аутентификацию..
Ну, по крайней мере, в сбербанке и телебанке не нашел
В Сбербанке 2SV. На сайте сначала вводите пароль, потом код из SMS.
По идее злоумышленник может перехватить пароль и SMS код
2FA была бы более устойчива к взлому
Ярослав, да, 2FA лучше в случае, если атакуют ваш ПК и сервис SMS. А так, даже с 2FA при логине, например, с ПК вы вводите пароль и код с одного устройства.
и каждый раз, код приходит новый. Наверное это успокаивает от возможности взлома)
(разве что интервал времени спасет)
Не согласен, с переводом SMS аутентификации из 2FA в 2SV.
В данном случае, SIM карта, полный аналог ключа для сейфа, которым вы владеете. MitM уязвимости и небезопасная процедура перевыпуска, не отменяет факта _владения_.
Точно также, ключи от сейфа могут скопировать при продаже. И точно также, у изготовителя сейфа есть код ключа, который он может изготовить по предъявлении документов на владение сейфом, в случае их утери.
Ваше право. Но как раз из-за MITM многие эксперты по инфобезу не считают SMS фактором… Некоторые даже сгенерированный на смартфоне OTP таковым не считают, но по-моему это уже перебор :)
А я соглашусь с Lecron. То, что в использовании SMS есть уязвимости, не отменяет того, что это всё равно второй фактор, хоть и очень слабый. А то, иначе, как вы правильно заметили, и OTP можно не считать таковым, так как на смартфоне (особенно Android, да?) может вирус прилететь. А из-за плеча другой человек может и с аппаратного OTP подсмотреть. Или, например, банк выдавший аппаратный OTP может сделать дубликат.
Я считаю, что дубликат, созданный владельцем сервиса, сюда вообще не надо примешивать. Он и так может получить доступ к вашим данным, если только нет end-to-end шифрования.
Вы можете считать SMS вторым фактором и не соглашаться со мной. Это нормально, ибо является холиварной темой в инфобезе :)
Но это не суть важно. Главное понимать, что SMS — более уязвимый способ, чем созданный на устройстве OTP. Твит в тему.
Игнорирование формальностей, очень плохое явление в безопасности. И не только в информационной. И не в последнюю очередь, порождением информационного шума в виде холиваров.
Формально – это второй фактор. Чтобы там не говорили специалисты (и какие они после этого специалисты?). Да, крайне неудачный, и об этом тоже надо говорить. Но именно как о «неудачном выборе второго фактора».
Гм… я же предложил вам разойтись миром и остаться при своих, толсто намекая на бесполезность холивара. Но нет…
Все кто не с нами, против нас, да еще и не специалисты :)
Это кто сказал? Вы в качестве истины в последней инстанции? :) Или у вас есть какие-то веские доказательства правильности своей точки зрения?
Заодно, возможно, у вас есть грамотное объяснение тому, что Google, Microsoft и Telegram не называют свою аутентификацию двухфакторной, a Apple переходит от 2SV по SMS/Find My Phone к 2FA? Без отговорок типа «я за них не отвечаю», а толково.
Пользуюсь Гугл Афентикатором для Майл.ру, Фейсбука, ВК (в который редко захожу) и Майкрософтовской учётки (последняя прекрасно дружит с гугловской прогой, а смысла ставить два приложения для одной и той же функции не вижу). Пытался подключить ещё и Яндекс, но не получилось. В идеале хотелось бы видеть авторизацию в банках тоже на основе этого приложения.
Кстати, вопрос Вадиму на тему паролей приложений – гугл предлагает для них пароль из одних только строчных латинских букв. Насколько это надёжно?
Это же по сути одноразовый пароль. У Яндекс то же самое.
то же, но видимо алгоритм другой. QR-код не сканируется (гугл афентикатор говорит «ошибка»), при ручном вводе ключа аккаунта (он, кстати, длиннее, чем у гугла) аккаунт в афентикаторе настраивается, но генерируемый пароль на сайте яндекса не принимается. и видимо он ждёт буквы, потому что при вводе первой же цифры сайт пишет «запрещённые символы в пароле».
Вы не можете использовать приложение Google Auth для 2FA в Яндекс. Но вы можете использовать Яндекс.Ключ для 2FA в Google. У Яндекса свой велосипед, о чем я и написал.
Все-таки есть у ВТБ24 2FA
http://www.vtb24.ru/personal/service/remote/internet/security/token/Pages/default.aspx
Спрашивал у поддержки.
Действительно в магазине Windows есть приложение ВТБ24 Токен
Подключил токен в ВТБ24
Сначала необходима регистрация в телебанке, при которой необходимо придумать логин для токена и пин-код. Далее к идентификатору в телебанке присваивается 10-ти значный номер токена.
Для регистрации в телебанке необходимо для начала ввести свой логин, потом в мобильном приложении ввести код с картинки, после чего токен сгенерирует пароль. Для заключительного подтверждения вводится пин-код токена
Добавил в конце статьи раздел «Вопросы и ответы» по мотивам вопросов в комментариях и ВК.
Недавно тоже на mail.ru организовал двух этапную. Так как у меня по https соединению через прокси увели 20-ти значный пароль и успели войти в почту 2 раза один раз через Украину, второй раз с с каких то островов. Благо мой аккаунт mail.ru заблокировало с подозрением на взлом. После этого сделал двух этапную аутентификацию.
Андрей, годный пример того, что сложный пароль + второй фактор лучше просто сложного пароля.
А каким образом могут увести 20-ти значный пароль? Кейлоггер в расчет не берем.
Вадим, а можно поподробнее про эти аппаратные токены. Что это такое, какой в них смысл? Генерируются коды по заранее заданному алгоритму? Если это так, то неужели это безопасно и алгоритм не может быть вычислен?
И еще одно заодно. :) Насколько безопасно использовать для входа на ресурсы кнопочки «Войти с помощью». Как, например, у Вас в блоге.
Николай,
1. Троян > фишинговый сайт. Контроль сети
2. А погуглить? TOTP, HOTP
3. Это интересный вопрос. Думаю, его стоит осветить отдельно. Но вы можете исследовать самостоятельно и подбросить сюда пищу для размышлений.
Ну так не честно! А разжевать? :)
Использую 2FA везде где есть такая возможность — гитхаб, учетка live, дропбокс, яндекс, гугл. Почта сейчас это самое важное что нужно защищать, на ней завязано все остальное.
Вот меня волнует вопрос паролей приложений, для тех программ которые не поддерживают 2FA, например тот же почтовый клиент. Не является ли это ослаблением безопасности? Ведь этот пароль точно так же можно перехватить, для простоты опустим момент шифрования трафика. И ввести этот пароль в другом приложении. У оутлока же нет cookies или подобного механизма, чтобы сервис отличил одно приложение от другого. Или есть? Что мешает перехватить этот пароль приложения точно так же как и обычный пароль? И использовать его в другом приложении. Если только шифрование трафика, то получается что пароли приложений это огромная дыра. Точно такой же уровень безопасности и у обычного пароля.
Виталий, такой пароль не получится использовать в другом приложении, попробуйте.
Проверил, действительно, один пароль приложения к другому приложению не подходит. Интересно как это реализовано? Как сервис отличает один почтовый клиент от другого? Что то вроде useragent проверяет?
Не знаю, но у каждого вендора может быть своя реализация. Возможно, по аналогии с доверенным компьютером (см. вопросы в конце статьи).
Заметьте, та же Google не показывает созданные пароли вторично и пишет при создании:
Наверное, внедряют какие-то костыли, чтобы защититься — например, не принимают их при логине в браузерах. Но де-факто — это слабое звено 2FA.
Недавно мне прилетела новость: https://geektimes.ru/post/276238/, которая меня неприятно удивила, уже успела привыкнуть всей душой к Телеграму. Автор статьи путает понятия, 2-этапную аутентификацию называет 2-факторной, но не в этом суть.Что же получается — злоумышленник, имея доступ к СМС жертвы, все равно сможет войти в аккаунт, и в данном случае 2SV аутентификация Телеграма не поможет? А какой в ней смысл тогда?
Эмма, я написал про это на канале и в ВК
Если я всё правильно понял, то двухфакторная аутентификация доступна только с установленным соответствующим приложением на смартфон. А вот у меня нет смартфона. Я в состоянии его приобрести, но мне он попросту не нужен. Пользуюсь бронебойным непотопляемым кнопочным телефоном доисторической функциональности, который нужен мне лишь для звонков и смс (который больше ничего по сути и не умеет) и который держит заряд полторы-две недели. Покупать смартфон только ради возможности использовать двухфакторную аутентификацию?
Пользуйтесь двухэтапной — смски же ваш бронебойный смартфон умеет принимать.
Принимает. Но, цитирую: «Однако, мы предупреждаем, что вы будете зависеть от мобильного оператора. На стороне мобильного оператора могут происходить сбои из-за которых код иногда может приходить с опозданием. Если вы хотите иметь код под рукой мы предлагаем вам воспользоваться получением кода через приложение».
А сбои бывали.
Вы ищете причин не использовать 2FA/2SV или наоборот? Я же писал про одноразовые/резервные коды — запаситесь ими на случай сбоя SMS.
Я хочу использовать 2FA. Но раз не имею технической возможности, то согласен на 2SV. На ящике на mail.ru так и сделал. И резервные коды тоже имею в распечатанном виде. Аж 10 штук.
Кроме mail.ru у меня есть почта и всё сопутствующее также на Яндексе. Но там предлагается только 2FA. Для чего требуется смартфон или планшет. Ни то, ни другое мне и даром не нужно. А усилить защиту своих Яндекс денег и Яндекс диска мне очень хотелось бы. Даже в большей степени, чем сервисы mail.ru. Но не могу, как видите.
Значит, недостаточно хотите усилить. Купите юзаный смартфон за 500 рублей и используйте его в качестве генератора кодов.
с этой точки зрения — генерация кода приложением на телефоне не является вторым фактором. Телефон можно взломать. А некоторые пользователи делают это сами для того, чтобы устанавливать неофициальное ПО (джейлбрейк). После этого любое приложение (вирус или кто-то, маскирующийся под полезное приложение) может, к примеру, залезть в область памяти, используемой твоим приложением-генератором одноразовых паролей. А можно поступить ещё проще, и просто украсть содержимое экрана через API, которое создаёт снимки экрана. (Да, в норме этот API должен быть недоступен для скрытого использования сторонними программами, но после джейлбрейка возможно всё).
даже если ты не делал джейблрейк своими руками — телефон, теоретически, можно взломать удалённо, как любое достаточно сложное устройство, подключённое к сети. Маловероятно? Конечно. Но это примерно так же маловероятно и сложно в реализации, как взломать сотового оператора, подкупить техника, сделать дубликат сим-карты или иным способом перехватить код из SMS.
даже если у тебя есть отдельное устройство для генерации OTP или листок с распечатанными одноразовыми паролями — их можно «подсмотреть», используя сильную оптику или взломав камеру наблюдения по соседству :) Или подкупить клерка в банке, который тебе эти пароли выдавал. Это всё примерно так же маловероятно, но вполне возможно на практике. Таким образом твой «второй фактор» превращается… превращается… превращается в первый.
к чему это я? К тому, что грань между 2FA и 2SV настолько тонка, что представляет интерес только с точки зрения теоретических рассуждений об идеальном мире. На практике этой грани нет. Поэтому, например, реализацию, принятую в «Телеграме», однинаково корректно называеть как двухфакторной, так и двухэтапной.
P.S. К делу это не относится, но возможность провести MITM-атаку на телефон, подобную описанной в статье на Хабре, критикуется практикующими специалистами, которым я доверяю. Они утверждают, что такая атака возможна только в специальных лабораторных условиях. На практике все действующие в России мобильные операторы научились от неё защищаться, т.к. используют специальным образом настроенное оборудование.
Артем, long time, no see:)
Действительно, где же проходит граница? :)
Моя аргументация отталкивается от факторов (в частности — владения), а ты начал за здравие, а потом скатился ко «все можно украсть и взломать». Я даже думал, что в конце появится тезис «2фа не нужна, ибо паяльник!» :)
Ну, раз уж ты влез в холивар, я бы хотел услышать твое мнение по моему вопросу, озвученному в этой ветке дискуссии:
а где в моём комментарии проходит граница между «здравием» и «скатился»?
не то чтобы я очень хотел влезать, и вообще не вижу здесь холиворности. Но у меня зашёл разговор с некоторым человеком (да, в чятике Телеграма) — он привёл твой блог в качестве аргумента.
ну это странный вопрос для меня, потому что я как раз не разделяю 2FA и 2SV. Во всяком случае, когда речь идёт про SMS. Там выше как раз в той ветке, на которую ты ссылаешься, всё правильно говорит человек. SIM-карта — это всё-таки «то, чем ты владеешь». Да, её можно украсть, подделать или перехватить сообщения на лету — но это не отменяет действия принципа. (К тому же, как я сказал, MITM на практике не работает, так что одного этого аргумента явно недостаточно для того, чтобы переквалифицировать SMS из 2FA в 2SV).
Вот тебе ещё пример в копилку терминологических разногласий. (Ты их выше сам приводишь в избытке, включая тот же Google, который не разделяет 2FA и 2SV). GitHub используется термин «2FA» (https://github.com/settings/security), при этом речь идёт про тот же самый RFC 6238, т.е. генарацию кодов приложением на телефоне. При этом у них есть поддержка FIDO U2F и fallback на SMS. Это всё не мешает им считать свою аутентификацию двухфакторной.
Здесь
====
Правильно говорит потому, что ты разделяешь его точку зрения. По той же причине я говорю неправильно :) Мощные аргументы.
Но мысли-то по поводу у тебя должны быть?
Они считают свою аутентификацию двухэтапной (на странице настроек написано 2-Step Verification).
Какие мысли? Мы с тобой по кругу ходим.
Я тебе говорю: 2FA и 2SV — это одно и то же. (С оговоркой: в реальном мире, не в идеальных условиях). Есть ряд компаний, которые разделяют такую точку зрения.
Ты мне: но есть ряд других компаний, которые не разделяют. Какие у тебя мысли по этому поводу?
Я тебе: с моей точки зрения они не правы или ловят блох.
Каждый имеет право использовать тот термин, который им ближе. Разногласие возникает только в том случае, если пишущий одновременно использует оба термина, и при этом явно их разделяет (а не использует как синонимы, как это делает, например, Google). Такое встречается очень редко. В основном — либо в академических материалах (как история про агента Смита), либо вот у тебя в блоге :)
Где? Вот цитата с главной страницы настроек (https://github.com/settings/security):
Two-factor authentication — это заголовок раздела.
Дальше, если кликнуть по кнопке Edit, попадаем на страницу https://github.com/settings/two_factor_authentication/configure. (Внимание на URL). Там читаем:
Ну и вообще термин 2FA встречается на этой странице семь раз. Термин 2SV не встречается ни разу.
Я думал ты про Google, невнимательно посмотрел. Я же спрашивал про Google/MSFT/Apple/Telegram, а ты мне подсунул GitHub, где все соответствует твоим тезисам. И да, мне нравится, как ты подтянул Google сюда же, зацепившись за фразу в справке.
Угу, и озвученные компании не используют термин 2FA, хотя «фактор» — одно из базовых понятий в инфобезе.
Все зависит от дотошности комментаторов. Если в блоге закрыть комменты, можно писать что угодно. Я разделил 2FA/2SV, и в комменты сразу прибежали несогласные — минусуют даже :) Если б не разделил, их было бы меньше, наверное. Но это им не мешало бы тыкать пальцем в контексте «SMS — не 2FA».
Я подсунул GitHub по двум причинам. Во-первых, кто-то тут в комментариях уже спрашивал про него, но мне было лень отвечать именно там, что — да, GitHub тоже вообще-то поддерживает 2FA. Ну и во-вторых потому, что по всем остальным крупным компаниям ты уже прошёлся, дотошно проанализировав их подход к терминологии. Не повторяться же. Поэтому пришлось найти кого-то нового.
Вот в этом всё и дело. Я не против делить 2FA и 2SV — если бы это можно было сделать однозначно. Т.е. классифицировать: да, вот этот канал является вторым фактором, а этот — всего лишь вариация первого. Ты прекрасно знаешь, что я не меньше тебя люблю докапываться к терминам, если не больше :)
Проблема в том, что в случае с SMS эту грань провести нельзя. Т.е. это не вопрос дотошности, а вполне беспредметный терминологический спор.
По некоторым признакам, SIM-карта — это «предмет обладания», т.е. второй фактор. Легитимный пользователь не может получить сообщение, не обладая SIM-картой. И для большинства злоумышленников это является серьёзным препятствием, хотя и не непреодолимым. (Сравнимо с необходимостью вломиться в квартиру, чтобы похитить устройство генерации OTP).
По некоторым другим признакам — да, технологию GSM можно обмануть и перехватить сообщение. И таким образом этот фактор превращается и информационный, как и первый. Но с этой точки зрения, и генерация OTP на телефоне — это тоже информационный фактор. (См. выше рассуждения про jailbreak).
Поэтому я во-первых не вижу практической разницы между 2FA и 2SV. И во-вторых, не вижу смысла вести этот спор. Потому что на праткике 2FA не оказывается чем-то более безопасным по сравнению с 2SV. Во всяком случае, пока самым распространённым «вторым каналом» остаётся SMS.
Можно и нужно рассуждать о том, что вот конкретно SMS является менее безопасным каналом, чем отдельное устройство генерации OTP. Такая беседа действительно имеет смысл — в отличие от попыток классифицировать разные каналы как 2FA или 2SV и вести спор о том, что из этих сферических вариантов надёжнее в вакууме.
Тот самый случай, когда попытка упростить через классификацию только усложняет обсуждение и делает его менее осмысленным и более уязвимым для терминологических разногласий.
А по некоторым — нет. И я провел тут черту.
И прекрасно, кто хочет — тыкает палочкой, а потом все остаются при своем мнении.
P.S. Добавил к записи метку «мнение» :)
Интересная новость в тему: NIST declares the age of SMS-based 2-factor authentication over | TechCrunch.
В общем, NIST больше не рекомендует SMS в качестве 2FA в своих гайдлайнах.
Вадим, приветствую!
Сегодня прикупил себе аппаратный токен: http://www.aladdin-rd.ru/catalog/jacarta_u2f/ — юзаю его на Gmail аккаунте и на Dropbox аккаунте. Т.к сила цепи определяется самым слабым её звеном, то я убрал телефон из дропбокса и гугла как фактор восстановления и теперь я могу войти в гугл только по токену либо если его нет, то через OTP Google Authentificator, а если и его нет, то 8-ми значный резервный код: https://i.gyazo.com/d6589d7523d4259e423d500de1c2354b.png
Соответственно сейчас я захожу на gmail.com, ввожу обычный пароль и google начинает требовать токен: https://i.gyazo.com/0503e8347c80ce865dd2f5ed69eab95c.png. Вставляю токен, он его определяет, я нажимаю на токене хардварную кнопку, мол я реальный человек и я аутентифицируюсь в аккаунт. Можно ли такой способ аутентификации считать двух факторной? Плюс я прочитал все комменты и не очень понял, почему SMS не является фактором. Т.к есть пароль (я знаю) и у меня есть телефон с привязанным номером (я имею). Я не холивара ради, но я больше запутался чем понял почему оно не может называется двухфакторным способом аутентификации.
Георгий, поздравляю с покупкой — хорошая идея! И сколько он стоит? У дилера цена по запросу зачем-то. Впрочем, Яндекс.Маркет намекает на цену в районе 1500 руб.
Да, это 2FA. Я определяю фактор владения по наличию у пользователя аппаратного устройства для аутентификации (ваш токен) или генерации OTP непосредственно на устройстве (смартфон или токен для генерации OTP). В случае с SMS код генерируется где-то и передается вам, поэтому я его фактором не считаю.
Оппоненты не согласны, но как я отмечал в комментариях и указывал Артем, в зависимости от степени паранойи, можно не считать фактором и смартфон с приложением, поскольку он может быть взломан.
Покупал в икс-коме, за 1400 с самовывозом. Токен в пластиковом пакетике, в который улики в фильмах складывают = ) Привязка к гуглу — 30 секунд. Касательно 2SA и 2FA — идеально описали, теперь всё встало на свои места, спасибо!
P.S. Завтра везу велосипед на ТО — в прошлый раз приехал, а его не было — воскресенье всё же, но зато телефон списал с павильона (я про Алексея с Сокольников). Кстати, не в курсе, дорого ли он берёт? Если не брать в расчёт детали, а именно работа — разобрать/подкрутить/собрать/смазать/подбить и т.д.
Алексей не занимается ремонтом, он запчасти продает, но может подсказать, к кому обратиться с ремонтом. Насчет цен не в курсе.
Я из статьи не понял как обрабатывается данные от аппаратного токена. Они учитываются локально или передаются на сервер? Если учитываются локально, то все равно на сервер передается некий признак, что все ok, а это тоже можно перехватить, как было приведено в статье по отношению к обычному паролю.
Погуглите TOTP, например
Как пользователь Винды ничего не могу сказать — я чайник. Но с точки зрения надежности и эффективности именно для чайников могу дать совет. Взломать можно что угодно любого уровня сложности. А посему для защиты реально ценных данных — банковские счета, выбирайте крупные надежные банки, и пусть их высококлассные профи парятся о вашей безопасности. А если не справятся — банку будет проще возместить вам ущерб, если вы конечно не Миллер и не Дерипаска, чем судиться с вами. А касательно соц. сетей…. а чо там защищать-то? Если вы активный пользователь соцсетей, скорее всего и брать то у вас нечего — ценной инфы там никогда не было.
Бла-бла-бла засчитано. В дальнейшем ожидаю толковых комментариев. Если нет идей, начинайте с ответов на вопросы в конце статьи.
Blizzard в своё время прошла полный путь развития. Сначала, как и у всех была только одноэтапная аутентификация. Затем (давненько уже, лет 10 как) они начали продавать физические токены с генератором паролей (вот такие — http://ecx.images-amazon.com/images/I/41-WhZIQN2L._SX425_.jpg). Кстати, можно было бы в пару абзацов расписать про то, как они работают. Может, кому-то интересно.
Году, эдак, в 2012ом выпустили приложение для iOS/Android с аналогичным функционалом. А буквально пару месяцев назад в приложении появился функционал как у MS — one-tap подтверждение на смартфоне, либо полноценный ввод сгенерированного пароля.
Чтобы перехватить SMS не обязательно «перевыпустить SIM-карту или провести атаку MITM». Сбербанковских клиентов уже давно обворовывают так (если включен автоплатёж): на андроид устройстве вирус отключает оповещения о приходе и отправке SMS, сам их посылает, принимает, обрабатывает и снова посылает, а затем все свои SMS-ки удаляет. Видел собственными глазами). Поэтому «По некоторым признакам, SIM-карта — это «предмет обладания», т.е. второй фактор. А по некоторым — нет. И я провел тут черту.» SIM карту злоумышленники переводят из разряда «то, что имеешь» в разряд «то, что знаешь»)))
Сбербанк на Android усилил защиту — не ставится при руте, еще что-то там проверяет. Вирусы нельзя сбрасывать со счетов, не спорю, но для меня они скорее из разряда ССЗБ.
Здравствуйте Вадим !
Один раз мне взломали мою страницу ( это было давно) — восстановил её, потом вдруг стал спам идти с моей страницы ( недавно) — поменял пароль на более большой по количеству знаков в нём. А потом задумался читая вашу статью про защиту и решился на неё. Неделю назад я включил Двухэтапная аутентификация на сайте Одноклассники. Сперва было необычно получать СМС-ки по сотовому, а сейчас привык к такому процессу входа. И сейчас в какой-то степени успокоился за свою страницу.
Спасибо вам за статью !
Вот такой пример. Обычно банк предлагал ввести номер мобильный вместо логина и пароль, а потом — код из SMS. А теперь, считает что я захожу со своего компа и уже не предлагает ввести код из SMS (хотя наверное можно вернуть старый вариант). Причем это работает даже тогда, когда с одного браузера заходят на 2 разных аккаунта банка.
Это рассматривается в статье применительно к Google, Microsoft.
Добрый день, как можно найти на своем смартфоне ключи для 2- факторной ( просто я их не записал, все сохранялось автоматически на самртфон) но что будет если он сломается, как тогда заходить на сайты с 2-х факторной защитой — Authenticator. — мне просто надо заходить на сайты где нужен паспорт и 2-х факт, есть ли возможность найти ключи и как это сделать
Александр, ключи на смартфоне не хранятся. У вас должно быть приложение для 2FA. Если смартфон сломается, используйте резервные коды или альтернативные способы аутентификации, которые вы предусмотрели (а точнее — не отключили). См. «Вопросы и ответы» в статье и комментарии.