Март 28

Поговорим о 2FA

Это удивительно, но даже сейчас в 2018 году, я встречаю людей, которые вроде бы, достаточно технически подкованы, но не используют 2FA. Ладно, не буду ругаться не понятными словами и давайте сперва уточним, что такое есть этот самый 2FA. Этим термином называют двухфакторную аутентификацию, или по простому, когда вас проверяют, не одним способом, например логином и паролем, а разными, что усложняет потенциальному взломщику жизнь. Давайте поговорим о типах 2FA, для чего они нужны и подробнее остановимся на Google Authenticator

Зачем это нужно?

Обычно доступ к тому или иному сервису, будь то почта или даже игровой сайт, вы получаете по паре логин/пароль. Казалось бы, если вы не даете никому эти данные, вам не о чем беспокоиться. Но это не так. Давайте рассмотрим лишь несколько способов, как злоумышленник может получить ваши данные для входа на сайт/сервис

+ Кейлогер. ПО, которое скрыто устанавливается на десктоп (причем достаточно много случаев в последнее время заражения систем не только на базе Windows) или же мобильный телефон. После чего данное ПО успешно сливает все ваши сохраненные пароли, и например, раз в час будет сливать по расписанию, все, что вы вводили с клавиатуры

+ Брутфорс. Создание правильных паролей, не тема данной статьи. Но пароли, до 8-9 символов без использования в них спецсимволов, могут быть разгаданы менее чем за ЧАС. Посему, если вы используете пароль менее 12 символов, есть большая вероятность быть подверженым данной атаке. Есть еще словари с популярными паролями. Например qwerty123 и другие пароли, которые люди используют чаще всего попадают в специальные базы, которые злоумышленники используют для взлома вашего аккаунта

+ Компрометация пароля. Если вам стало известно, что один из сервисов на котором вы зарегистрированны, взломали, то сразу поменяйте пароли, т.к есть шанс того, что база могла быть слита… Считайте вообщем, что пароль, который, вы использовали на данном сервисе, с большей долей вероятности скомпрометирован. И если вы используете его на других сервисах, надо его поменять

И это, кстати, далеко не полный список того, как злоумышленник может получить ваши данные, а вы в свою очередь потерять доступ к почте, личной переписке, важным файлам

Так вот 2FA частично решает эту проблему. Кроме стандартного ввода логина и пароля, если они будут верны, система потребует от вас еще один этап верификации. Самый распространенный способ, с которым, пожалуй сталкивались все, это СМС. Это когда, вас просят подтвердить ваш номер телефона, и на него приходит смс. Ну а в дальнейшем, при каждом входе с незнакомого устройства, вас будут просить ввести этот код. Это безусловно хороший способ, хотя для очень критичных данных не есть совсем надежным, т.к данные сотовых операторов могут быть перехвачены, может быть выпущен дубликат сим-карты, и.т.д. Но в целом, если данная опция доступна, лучше включите ее. Так вы очень усложните жизнь злоумышленникам и облегчите себе

Многие современные сервисы/сайты поддерживают 2FA. Это и популярные почтовые сервисы и соцсети и игровые, финансовые и многие другие сайты. Кто-то использует для дополнительной верификации почту (когда приходит код или ссылка подтверждения при каждом входе, что есть менее надежный способ) или смс, о котором мы говорили выше. Но есть еще различного рода софт и аппаратные решения. Про аппаратные решения говорит мы не будем, частично речь пойдет об этом в другой статье, посвященной аппаратным кошелькам Trezor&Ledger. Здесь же мы остановимся на программных решениях, среди которых, наиболее популярен Google Autenticator и о нем ниже )

Скачать вы можете его для разных платформ, наиболее популярен он конечно для Android и IOS

Как он работает? Если не вдаваться в технические подробности, то вам при сетапе данного решения в каком-то из сервисов, будет выдан ключ. Обычно в виде QR кода и дополнительно в виде текстового ключа. В QR коде и в тексте один и тот же текстовый ключ, по которому будут генерироваться ваши пароли. Ключ лучше записать (на бумажке!), т.к данный ключ, вы можете ввести на любом устройстве где установлен Google Autenticator и сможете получать свои пароли. Но если, вы например, потеряете девайс, а ключ у вас будет не записан, то вас возможно ждут долгие муки общения с саппортом того сервиса, для которого вы потеряли 2FA)

Интерфейс Authenticator весьма спартанский. Плюсик для сканирования кода в виде QR или ручного его ввода. Кнопка редактирования, что позволяет удалить или отредактировать имя записи (но не ключ!). Ну и собственно числа-пароли

Google Autenticator использует time based алгорит для генерации чисел. А это значит, что в данном конкретном случае, каждые 30 секунд у вас будет новое число. Справа от числа. вы кстати, можете наблюдать кружочек, который отсчитывает 30 секунд, после чего цифры станут другими

Здесь важно!

С учетом того факта, что для генерации вашего одноразового пароля, используется не только ранее выданный вам код, но и количество 30 секундных интервалов, которые прошли с определенной даты (с начала эры UNIX), то становиться  очень важным тот факт, чтобы устройство на котором генерируются эти коды, было синхронизировано по времени

Т.к в ином случае, вы рискуете тем, что ваше приложение будет давать вам неверные коды, а сайт будет отказываться их принимать

Но а в целом, подводя итоги, пересмотрите те сайты или сервисы, на которых вы зарегистрированны. Включите двухэтапную аутентификацию, по email, sms или с помощью других решения. И вероятность получения доступа к вашим данным упадет в десятки, если не сотни раз


Добавить комментарий