اگر اخیراً یک پیام اسکایپ عجیب با پیوند به Baidu یا LinkedIn دریافت کرده اید، تنها نیستید. در چند هفته گذشته، من از شش مخاطب Skype خود پیوندهای هرزنامه به Baidu دریافت کرده ام: یکی از یک آژانس روابط عمومی مایکروسافت، و دیگری از یکی از کارمندان سابق مایکروسافت. آن‌ها از هک شدن حساب‌هایشان شگفت‌زده شدند و برخی مطمئن بودند که توسط احراز هویت دو مرحله‌ای مایکروسافت محافظت می‌شوند. همانطور که معلوم شد، آنها اشتباه کردند.

موضوعی در انجمن پشتیبانی فنی اسکایپ نشان می دهد که همین وضعیت برای صدها کاربر دیگر نیز اتفاق افتاده است. حساب‌های هک‌شده اسکایپ برای ارسال هزاران پیام هرزنامه قبل از مسدود شدن و دسترسی مجدد صاحبان به آنها استفاده می‌شود. اسکایپ قبلاً قربانی حملات مشابهی در سال گذشته شده بود که در آن هکرها توانستند با استفاده از لیستی از نام های کاربری و رمزهای عبور سرقت شده، پیام ها را جعل کنند تا به حساب ها دسترسی پیدا کنند.

من با یکی از کارمندان مایکروسافت صحبت کردم که چندی پیش حسابش هک شد. او احراز هویت دو مرحله ای را تنظیم کرده بود، اما هکرها توانستند با استفاده از نام کاربری و رمز عبور قدیمی او وارد سیستم شوند. من حتی این را روی حساب شخصی خودم تست کردم و توانستم با رمز قدیمی وارد اسکایپ شوم، حتی اگر چند ماه پیش حساب های Skype و مایکروسافت خود را لینک کردم. فکر می کردم توسط 2FA محافظت می شوم، اما اشتباه می کردم.

راه‌حلی وجود دارد که این آسیب‌پذیری را می‌بندد، اما این مشکل را برای کسانی که قبلاً حساب‌های مایکروسافت و اسکایپ خود را پیوند داده‌اند برطرف نمی‌کند. اگر شما یکی از آنها هستید، پس باید حساب Skype خود را به روز کنید تا مطمئن شوید که به طور کامل با حساب مایکروسافت شما ادغام شده است.

• پیوند https://account.microsoft.com را دنبال کنید. اگر قبلاً وارد شده اید، لطفاً از سیستم خارج شوید.
• نام کاربری اسکایپ خود را وارد کنید ( نهایمیل حساب مایکروسافت خود) و با استفاده از رمز عبور Skype خود وارد شوید.
• اگر قبلاً حساب مایکروسافت خود را پیوند داده اید، از شما خواسته می شود که ثبت نام کرده و حساب ها را برای ایجاد نام مستعار Skype ترکیب کنید.

بلافاصله از حساب های Skype و Microsoft خود محافظت کنید

پس از اینکه حساب‌های شما به درستی پیوند داده شد، مایکروسافت یک نام مستعار Skype ایجاد می‌کند تا به شما امکان می‌دهد با استفاده از نام کاربری Skype خود وارد شوید. می توانید به استفاده از این ورود یا غیرفعال کردن آن ادامه دهید

اخیراً، کاربران اسکایپ شروع به دریافت پیام هایی از مخاطبین خود کردند که فقط حاوی یک پیوند به Google با پارامترهای خاص است. برخی از کاربران روزانه چندین پیام از این دست دریافت می کنند. برخی فقط یک یا دو بار آن را دریافت کردند. در انجمن های اسکایپ، این موضوع کاملاً فعالانه مورد بحث قرار می گیرد.

برخی از کاربران متوجه شدند که چنین پستی از حساب وی انجام شده است، اگرچه خود او البته چنین اقداماتی را انجام نداده است.

گزارش فعالیت حساب به وضوح تلاش برای دسترسی به حساب از کشورهای دیگر را نشان می دهد. برخی از مهاجمان موفق شدند، از گزارش رویداد مشهود بود.

چرا این اتفاق می افتد؟

با توجه به داده های توضیح داده شده در انجمن های اسکایپ، این مشکل در کاربرانی رخ می دهد که به امنیت حساب کاربری اسکایپ / مایکروسافت خود توجه کافی ندارند. خبرنامه حتی از افرادی می آید که چندین سال است از این سرویس استفاده نکرده اند. مسئله این است که آنها از رمز عبور ضعیف استفاده می کنند و از احراز هویت دو مرحله ای استفاده نمی کنند. از سوی دیگر، مهاجمان به سادگی رمز عبور را به زور اعمال می کنند. و به محض اینکه این اتفاق افتاد، هرزنامه شروع به ارسال از حساب شما به تمام مخاطبین می کند.

چگونه از خود محافظت کنیم؟

اگر نمی‌خواهید از حسابتان پیام‌های هرزنامه ارسال شود یا قبلاً قربانی چنین ایمیل‌هایی شده‌اید، حتماً باید این مراحل ساده را دنبال کنید:

1. کامپیوتر شما برای ویروس ها با یک اسکنر آنتی ویروس رایگان.
2. نسخه اسکایپ
3. رمز عبور قدیمی را به یک رمز عبور پیچیده تر برای حساب خود تغییر دهید.
4. مجوز دو مرحله ای را از طریق پیامک، ایمیل یا مجوز تلفن همراه فعال کنید.

پس از آن، احتمال ارسال هرزنامه به حداقل می رسد، زیرا برای دسترسی به حساب شما، مجرمان سایبری باید به تلفن یا ایمیل شما نیز دسترسی داشته باشند.
اگر متوجه شدید یکی از مخاطبین شما چنین پیام هایی را ارسال می کند، به این معنی است که حساب کاربری او هک شده است. پیوند این مقاله را برای او بفرستید تا از حسابش محافظت کرده و از هرزنامه های بیشتر جلوگیری کنید.

اسکایپ از سال 2010 به بخش نسبتاً متراکمی از زندگی من تبدیل شده است. من حتی دلیل تغییر آن را به شما می گویم - بیش از دو دستگاه وجود دارد که در آن پیام رسان ایستاده است و برای من مهم است که داستان همه جا یکسان باشد و هیچ موقعیتی وجود نداشت که من پیامی دریافت نکرده باشم. پیام، زیرا آن را به یک کامپیوتر در حال کار آمد، که در آن من از سیستم خارج نشده ام (این بیماری ICQ بود). سپس مخاطبین گروه، تماس های کنفرانسی. اسکایپ بخشی از زندگی هر یک از ما شده است. و در یک نقطه، یک دوست بسیار خوب با شما تماس می گیرد و می پرسد، چرا برای وب مانی به پول نیاز دارید، به هر حال به شما قرض می دهم. و از او نپرسیدی، اما دیگر مهم نیست. اکانت شما هک شده است و درخواست مبلغ وام برای تمامی مخاطبین ارسال شده است...

هیچ کس از هک کردن یک حساب در امان نیست، اما گاهی اوقات شما حتی نیازی به هک کردن چیزی ندارید، زیرا اگر محبوب ترین رمزهای عبور را انتخاب کنید، احتمال پیدا کردن 5 درصد از مشتریان خود در بین یک میلیون کاربر بسیار محتمل است. . اما حتی یک رمز عبور پیچیده هم شما را نجات نخواهد داد، می توانید آن را نیز انتخاب کنید.

احراز هویت دو مرحله ای باعث صرفه جویی یا بهتر بگوییم زندگی هکرها می شود - به عبارت ساده، حساب شما را به شماره تلفن همراه متصل می کند. و در حال حاضر این تنها راه است!

اسکایپ به طور پیش فرض این "سرویس" را ندارد، اما مایکروسافت که آن را خریده است، این سرویس را دارد. تنها کاری که باید انجام دهید این است که Skype را به حساب مایکروسافت خود پیوند دهید و احراز هویت دو مرحله ای را در مورد دوم فعال کنید. سپس من به شما در تصاویر نشان خواهم داد، به طوری که مطمئنا:

1. یک حساب مایکروسافت ثبت کنید. در اصل، یکی از نکاتی که من به آنها احترام می گذارم، ایجاد یک صندوق پستی جدید را تحمیل نمی کنند - می توانید یک حساب کاربری در نامه مورد علاقه خود ایجاد کنید. فیلد شماره تلفن و آدرس ایمیل اضافی خود را از دست ندهید، باید آنها را وارد کنید.

2. به نمایه -> تنظیمات حساب بروید.

3. امنیت و حریم خصوصی—> مدیریت امنیت پیشرفته.

4. برای ادامه - ارسال پیامک به شماره را انتخاب کنید و 4 رقم آخر گوشی خود را وارد کنید. سپس رمز عبور را از طریق پیامک وارد کنید.

5. در مرحله بعد، از شما خواسته می شود از Google Autentificator استفاده کنید، اما اگر نمی دانید چیست - بعداً به شما خواهم گفت، فقط از این مرحله رد شوید. (بعداً پیکربندی کنید)

6. در پنجره باز شده، تایید دو مرحله ای را پیدا کنید و روی "پیکربندی تایید دو مرحله ای" کلیک کنید.

8. در اینجا، در واقع، دوباره به ما پیشنهاد شده است که Google Autentificator را قرار دهیم، ظاهرا مایکروسافت برای ارسال اس ام اس گران است. ما همچنان پافشاری می کنیم، روی Skip کلیک کنید

9. از آنجایی که یک تلفن کافی نیست، در مرحله بعد از ما خواسته می شود که خود را با یک آدرس ایمیل یدکی ایمن کنیم. ما آن را وارد می کنیم و با کد نامه تأیید می کنیم.)

10. تبریک میگم، اکانت مایکروسافت شما محافظت شده است، اما هنوز تمام نشده است، ما کد را چاپ می کنیم، آن را در بابا قرار می دهیم که اسناد را در آنجا نگه می دارید. جهان خشن است، اکنون اینترنت "گذرنامه" خود را دارد. روی Next کلیک کنید.

11. پیشنهادات برای کار با ایمیل، Next را نادیده بگیرید. در مرحله بعد روی Finish کلیک کنید.

12. کار مقدماتی به پایان رسیده است. اکنون، در واقع، بیایید به اسکایپ برگردیم. به سایت https://login.skype.com/login بروید و با حساب مایکروسافت خود که در بالا ایجاد کردید وارد شوید. به ما پیشنهاد می شود یک حساب Skype را به آن پیوند دهیم - ما موافقیم.

13. نام کاربری و رمز عبور اسکایپ را وارد کرده و در پنجره بعدی برای ادغام حساب ها کلیک کنید.

این 13 مرحله آسان به شما کمک می کند تا حساب اسکایپ خود را یک بار برای همیشه ایمن کنید. اکنون "ربایش" آن بسیار دشوارتر است.

به هر حال، به دلیل جدی بودن این رویداد، با یک اتفاق کوچک، من را وادار به نوشتن مقاله ای کرد، که طی آن کلاهبرداران نه تنها دوستانم، بلکه از مخاطبین تجاری نیز بازدید کردند، خوب است که "تجربه" وجود دارد. دوستان و ما سریع عکس العمل نشان دادیم، پس در مشکل باشید.

در امنیت کوتاهی نکنید و این مقاله را منتشر کنید، امیدوارم به شما کمک کند.

آنتون دیدنکو.

اسکایپ را از مهمانان ناخوانده داشته باشید، زیرا اخیراً تعداد هک ها در محافل پوکر افزایش یافته است. هکرها همچنین موفق شدند به نویسندگان پوکروف دسترسی پیدا کنند، حتی اگر کم و بیش ایمن به پایان برسد. برای اینکه سر شما را با اطلاعات غیر ضروری مسدود نکنم، تصمیم گرفتم راهنمای کوتاهی تهیه کنم که حداقل کار را برای دوستداران جوان رایگان پیچیده می کند.

قبل از شروع، می خواهم یادآوری کنم که اسکایپ یک غربال بود و باقی می ماند، اما مهمتر از همه، مایکروسافت سعی نمی کند وضعیت را اصلاح کند و اغلب حتی آن را تشدید می کند. حداقل داستان سال گذشته با رمز عبور را به خاطر بسپارید، زمانی که تقریباً هر کاربر رایانه ای مطمئن می توانست هر حساب کاربری دیگری را با داشتن حداقل اطلاعات در دسترس عموم "ربایش" کند.

آدرس ایمیل ناشناس

معمولاً آدرس ایمیل کاربران در حوزه عمومی به راحتی پیدا می شود، ما باید این واقعیت آزاردهنده را از بین ببریم تا سرنوشت را وسوسه نکنیم. یک آدرس ایمیل جدید در mail.google.com دریافت کنید این به اندازه کافی آسان است، نیازی به درخواست نیست.

تعویض آدرس اصلی

در مرحله بعد، به Skype.com بروید، وارد شوید و آدرس ایمیل اصلی (Primary email) حساب اسکایپ را به یک آدرس جدید که به تازگی ایجاد شده است تغییر دهید و وجود آن را تا زمان های بهتر فراموش کنید. شما نمی توانید ایمیل اصلی را مستقیماً از مشتری Skype تغییر دهید.

تحت هیچ شرایطی از این آدرس در سایت های شخص ثالث استفاده نکنید و آن را با کسی به اشتراک نگذارید، از آن منحصراً برای اتصال به اسکایپ استفاده کنید، در غیر این صورت جادو کار نخواهد کرد.

احراز هویت 2 مرحله ای

بزرگترین برگ برنده در راهنمای ما، احراز هویت ایمیل دو مرحله ای است. این ویژگی بسیار مفید است، به محافظت از حساب ما در برابر دسترسی غیرمجاز کمک می کند. حتی اگر مهاجم به نحوی توانسته رمز عبور را پیدا کند، نمی تواند بدون کد تایید وارد حساب کاربری شود که فقط به تلفن همراه صاحب حساب ارسال می شود. برای فعال کردن این ویژگی برای حساب گوگل خود، مراحل ساده زیر را انجام می دهیم:

چنین رمزهای عبور متفاوتی

من قویاً توصیه می کنم از رمز عبور یکسان در چندین منبع استفاده نکنید.اغلب، با دریافت رمز عبور از یکی از حساب‌ها در هر سایتی که بازدید می‌کنید، کلاهبرداران، با اطلاع از ورود شما، سعی می‌کنند تا حد امکان رمز دریافتی را "آزمایش" کنند. نیازی به صحبت در مورد مواردی نیست که پایگاه داده ای از پورتال هایی مانند NeverFold به قیمت 10 دلار فروخته شده است. از سایت های مشکوک باید اجتناب کرد.

نرم افزار آنتی ویروس

با توجه به ماهیت کارم، باید با آنتی ویروس های مختلف سر و کار داشته باشم، و به عبارت ساده، نه تنها از عملکرد آنها، بلکه از اثربخشی آنها نیز ناامید هستم. یکی از معدود برنامه هایی که بدون کلام در عمل کار می کند - Dr. Web Cure IT. این زمانی است که واقعا ارزش صرف 15 دقیقه از زمان با ارزش خود را برای تکمیل یک اسکن کامل دارد. این نرم افزار کاملا رایگان است، اما در عین حال به روز رسانی های منظم را دریافت می کند.

جایگزین

متأسفانه به دلیل محبوبیت آن، یافتن جایگزینی برای Skype بسیار دشوار است. اما اگر ایمنی برای شما حرف اول را می زند، توصیه می کنم به آن توجه کنید Google Hangouts.چت، تماس های ویدیویی، اس ام اس و کنفرانس های ویدیویی رایگان وجود دارد. برای شروع استفاده از Hangouts، به یک لاگین و رمز عبور از حساب Google خود و همچنین یکی از مرورگرهای محبوب نیاز دارید. پس از دانلود خودکار افزونه مرورگر، برنامه آماده کار است.

مسدود شدن حساب

به شما اطلاع دهید که با دریافت 40 شکایت از همان نوع می توان یک حساب اسکایپ را مسدود کرد (برای این کار کافی است یک کد ساده را به مکاتبات مربوطه ارسال کنید و بارها روی آن کلیک کنید، حتی اگر از یک حساب کاربری باشد. ). محافظت از خود در برابر این امر بسیار ساده است - باید موجودی حساب 2 دلاری یا بیشتر و اشتراک حق بیمه فعال داشته باشید.

نتیجه

ما همه بزرگسال هستیم، بنابراین فکر می کنم ارزش این را ندارد که به شما یادآوری کنیم که نباید پیوندهای مشکوک را باز کنید و همچنین فایل های مخاطبین ناآشنا را بپذیرید. برای اینکه به جای یکی از قربانیان هکر قرار نگیرید، با دریافت پیام هایی مانند: "100 دلار WebMoney یا Yandex تا فردا قرض بگیرید، 110 دلار می دهم." سعی کنید با یک مخاطب تماس بگیرید و همه چیز سر جای خود قرار می گیرد. همچنین، اگر مشکوک به هک هستید، ارزش دارد که از آشنایان خود بخواهید پیام هایی مشابه در محتوا دریافت کنند.

این راهنمای کوتاه راهنمای نهایی نیست، بلکه برعکس به منظور دریافت توصیه های ایمنی بیشتر از خوانندگان پوکروف ایجاد شده است.

آیا تا به حال با یک کد از طریق پیامک وارد سیستم شده اید؟ در مورد استفاده از برنامه‌ای که کد تولید می‌کند چطور؟ امروز در مورد تفاوت بین این روش ها و اینکه چرا محافظت از حساب های سرویس های اینترنتی و پیام رسان های فوری با احراز هویت دو مرحله ای یا دو مرحله ای مهم است صحبت خواهم کرد.

اگر از تأیید صحت 2 مرحله ای استفاده می کرد، خبری نبود.

امروز در برنامه

چرا به محافظت اضافی حساب نیاز دارید؟

وقتی صحبت از امنیت ویندوز می شود، تزهایی در مورد نیاز به حفاظت شایسته اغلب با یک جمله ساده و بی تکلف مواجه می شوند که با استدلال مرگبار «من هیچ چیز با ارزشی ندارم» پشتوانه می شود. ظاهر او در نظرات امروز برای من تعجب آور نخواهد بود :)

با این حال، مگر اینکه در خلاء مطلق زندگی کنید، ایمیل، رسانه های اجتماعی یا حساب پیام رسان شما می تواند برای مهاجمان ارزشمند باشد. لیست مخاطبین شما، همراه با تاریخچه مکاتبات، می تواند به معدن طلای مهندسی اجتماعی برای کلاهبرداران تبدیل شود و به آنها امکان کلاهبرداری از عزیزان و آشنایان شما را برای پول بدهد (سلام، اسکایپ!).

ربودن یک حساب ایمیل همچنین می‌تواند درها را به روی سایر سرویس‌های شبکه‌ای که با آن‌ها ثبت‌نام کرده‌اید باز کند (درست است که از همان ایمیل برای سرویس‌های مختلف استفاده می‌کنید؟)

مثال هک تلگرام از این جهت جالب است که فوراً نظرات طعنه آمیزی به سبک "ها-ها، این امنیت شماست!" با این حال، درک این نکته مهم است که باید سطح محافظتی توصیه شده را ارائه دهید و با تکیه بر ادعاهای بازاریابی روی اجاق گاز نخوابید.

این مقاله برای کسانی است که منتظر رعد و برق نیستند، بلکه قوانین بهداشت شبکه را رعایت می کنند و برای محافظت از اطلاعات محرمانه خود رویکردی مسئولانه دارند. برو

اصطلاحات و اختصارات

من عمداً تعاریف را ساده می کنم، زیرا در ادامه این مفاهیم را به طور مفصل در عمل بررسی خواهیم کرد.

• احراز هویت... تأیید اطلاعات منحصر به فرد شناخته شده یا در دسترس شخصی که سعی در دسترسی به داده ها دارد. ساده ترین مثال وارد کردن رمز عبور برای یک حساب کاربری است.
• احراز هویت 2 مرحله ای(تأیید دو مرحله ای، 2SV). ورود به سیستم در دو مرحله انجام می شود - به عنوان مثال، ابتدا رمز عبور حساب خود و سپس کد را از پیامک وارد می کنید.
• (تأیید هویت دو عاملی، 2FA). ورودی نیز می تواند در دو مرحله انجام شود، اما آنها باید در عوامل متفاوت باشند (در ادامه آنها را تجزیه و تحلیل خواهیم کرد). به عنوان مثال، ابتدا رمز عبور وارد می شود و پس از آن رمز عبور یک بار مصرف ایجاد شده توسط رمز سخت افزاری وارد می شود.
• رمز یکبار مصرف (رمز عبور یکبار مصرف، OTP). کد عددی یا الفبای 6-8 کاراکتری. این می تواند کدی از پیامک یا برنامه ای باشد که کدها را تولید می کند (Google Authenticator).

فاکتورهای احراز هویت

احراز هویت دو مرحله ای اغلب به عنوان احراز هویت دو مرحله ای شناخته می شود، با تفاوت کمی بین مفاهیم. من هم خیلی به آن اهمیت ندادم، اگرچه از هر دو روش استفاده کردم. اما یک روز چشم ها خبر انتقال اپل از احراز هویت دو مرحله ای به دو مرحله ای را جلب کرد که توسط متخصص امنیت اطلاعات الکسی کوماروف توییت شد.

من از یک متخصص خواستم تفاوت بین 2SV و 2FA را توضیح دهد و او آن را در یک توییت با لینک مقاله خود دریافت کرد.

در آن، من واقعاً از تشبیهات - ساده و واضح - خوشم آمد. بگذارید آنها را به طور کامل نقل کنم.

این بار از تصاویر رمان های جاسوسی استفاده خواهیم کرد. مامور اسمیت باید با یک مخاطب ملاقات کند و اطلاعات طبقه بندی شده را به او بدهد. آنها همدیگر را نمی شناسند و قبلاً همدیگر را ملاقات نکرده اند. اسمیت چگونه می تواند مطمئن باشد که او واقعاً یک رابط است و نه یک عامل دشمن؟ بین همه تمایز قائل شوید چهار عامل احراز هویت... بیایید همه آنها را در نظر بگیریم.

"آیا کمد لباس اسلاوی برای فروش دارید؟" نمونه ای از اولین عامل زمانی است که موضوع چیزی می داند... در عمل، این می تواند یک رمز عبور، ورود به سیستم، عبارت عبور باشد - در یک کلمه، هر رازی که برای هر دو طرف شناخته شده است.

یک پیام رسان می تواند به عنوان مثال، نیمی از یک عکس پاره شده یا چیز دیگری را که فقط او دارد ارائه دهد - این نمونه ای از عامل دوم احراز هویت است که بر اساس این واقعیت است که سوژه دارای یک چیزی هست... در سیستم های مدرن امنیت اطلاعات، برای این اهداف، از نشانه ها استفاده می شود - ابزارهای احراز هویت سخت افزار شخصی.

برای اطمینان از ایمنی جلسه می توان توافق کرد که روی نیمکت سوم سمت راست ورودی پارک مرکزی برگزار شود. عامل سوم موضوع است در یک مکان خاص است... سیستم های اطلاعاتی می توانند برای مثال آدرس IP کامپیوتر سوژه را تعیین کنند یا داده های برچسب رادیویی را بخوانند.

در نهایت می توان عکسی از مخاطب به اسمیت نشان داد تا بتواند او را بشناسد. عامل چهارم (موضوع ویژگی بیولوژیکی خاصی دارد) فقط در مواردی اعمال می شود که موضوع احراز هویت یک شخص باشد و نه برای مثال سرور یا فرآیندی که اثر انگشت، ساختار DNA یا عنبیه چشم ندارد.

چه احراز هویت دو مرحله ای است

همانطور که از نام آن پیداست، احراز هویت با استفاده از دو عامل انجام می شود و آنها باید متفاوت باشند! من داستان را با قیاس خودم ادامه می دهم - نگاهی دقیق به این گاوصندوق بیندازید.

فقط در صورتی می توانید آن را باز کنید ترکیب راز را بدانیدو شما یک کلید برای قفل وجود دارد... توجه داشته باشید که این دو عامل متفاوت هستند.

مهاجم می تواند کلید را بدزدد، اما بدون کد، بی فایده است. به همین ترتیب، کد جاسوسی بدون کلید کمکی نخواهد کرد. به عبارت دیگر، برای ورود به گاوصندوق، مجرم نیاز به سرقت دو «چیز» متفاوت دارد.

بیایید ببینیم در زمینه فناوری اطلاعات چگونه به نظر می رسد.

تفاوت بین تایید 2 مرحله ای و احراز هویت 2 مرحله ای چیست؟

احراز هویت دو مرحله‌ای می‌تواند احراز هویت دو مرحله‌ای باشد، اما همیشه برعکس آن صادق نیست. مرز بین این مفاهیم بسیار نازک است، بنابراین آنها اغلب از هم متمایز نمی شوند. به عنوان مثال، توییتر در یک وبلاگ، احراز هویت دو مرحله‌ای خود را دو عاملی می‌نامد و گوگل در کمک این روش‌ها را برابر می‌کند (با این حال، شرکت هر دو را ارائه می‌کند).

در واقع، در حساب های آنلاین (مایکروسافت، گوگل، یاندکس و غیره)، شبکه های اجتماعی و پیام رسان ها، اجرای 2FA و 2SV بسیار مشابه است. یک مرحله همیشه شامل وارد کردن رمز عبور یا پین است میدونی... تفاوت بین روش های احراز هویت در مرحله دوم نهفته است - 2FA فقط در صورت داشتن چیزی امکان پذیر است وجود دارد.

یک کد معمولی اضافه شده به رمز عبوری که می دانید، یک کد یا رمز یک بار مصرف (OTP) است. اینجا محل دفن سگ است!

احراز هویت دو مرحله ای به معنای ایجاد رمز عبور یک بار مصرف به طور مستقیم بر روی دستگاهی که دارید (توکن سخت افزاری یا گوشی هوشمند) است. اگر OTP از طریق پیامک ارسال شود، احراز هویت دو مرحله ای در نظر گرفته می شود.

به نظر می رسد پیامک به تلفن هوشمندی که دارید می آید. همانطور که در زیر خواهید دید، این یک فرض نادرست است.

نمونه ای از احراز هویت دو مرحله ای

برای دسترسی از راه دور به منابع کارفرمای خود، باید احراز هویت دو مرحله ای را انجام دهم. اولین عامل رمز عبور حساب است که من میدانم... عامل دوم توکن سخت افزاری برای تولید OTP است که من دارم وجود دارد.

برای ورود از طرف من، یک مهاجم باید نه تنها رمز عبور، بلکه رمز صادر شده برای من را نیز بدزدد. نفوذ فیزیکی به آپارتمان من

مثال تایید 2 مرحله ای

هنگامی که برای اولین بار با یک دستگاه جدید وارد تلگرام می شوید، یک کد تأیید را روی تلفن خود دریافت می کنید - این اولین مرحله احراز هویت است. برای بسیاری از کاربران پیام رسان، این تنها یکی است، اما در تنظیمات امنیتی برنامه، می توانید مرحله دوم را فعال کنید - رمز عبوری که فقط برای شما شناخته شده است و پس از کد از پیامک وارد می شود.

توجه داشته باشید که سازندگان تلگرام به درستی احراز هویت آنها را دو مرحله ای می دانند.

مشکل رمز یکبار مصرف در پیامک

برگردیم به پرونده دسترسی غیرمجاز به اکانت تلگرام که داستان امروز را با آن شروع کردم.

در فرآیند هک، سرویس پیامک برای مخالفان موقتاً غیرفعال شد. آنها دست بخش فنی MTS را در این امر می بینند، اما بدون مشارکت او، مهاجمان به خوبی می توانستند سیم کارت را دوباره صادر کنند یا حمله MITM را انجام دهند. هیچ چیز دیگری مانع از ورود آنها به تلگرام در دستگاه دیگری نبود!

اگر حساب کاربری رمز عبوری داشت که فقط مالک آن می‌دانست، هک کردن آن بسیار دشوارتر می‌شد.

با این حال، چنین احراز هویتی دو مرحله ای باقی می ماند و هک حساب به وضوح نشان می دهد که در یک حمله هدفمند مالکیتگوشی هوشمند هیچ نقشی ندارد. فقط تو میدونیرمز عبور و کد یکبار مصرف شما که در پیامک می آید و اینها همان عوامل هستند.

آیا ثبت نام با شماره تلفن امنیت را کاهش می دهد؟

در نظرات پست قبلی، تعدادی از خوانندگان عقیده داشتند که راحتی ثبت نام با شماره تلفن، که برای تعدادی از پیام رسان های فوری معمول است، محافظت از حساب را در مقایسه با رمز عبور سنتی ضعیف می کند. من اینطور فکر نمی کنم.

در صورت عدم وجود 2FA یا 2SV، احراز هویت یک مرحله ای و یک عاملی است. بنابراین، به طور کلی، فرقی نمی‌کند که با استفاده از رمز عبوری که می‌شناسید وارد شوید یا کدی که قبلاً ناشناخته ارسال شده از طریق پیامک ارسال شده است.

بله، مهاجمان می توانند کد SMS شما را دریافت کنند، اما می توانند رمز عبور شما را نیز رهگیری کنند، البته به روشی دیگر (کی لاگر، کنترل شبکه Wi-Fi عمومی).

اگر می‌خواهید بهتر از حساب خود محافظت کنید، به جای این که این حس غلط که رمز عبور از شماره تلفن برتر است، به 2FA یا 2SV اعتماد کنید.

پیاده سازی 2FA و 2SV در گوگل، مایکروسافت و یاندکس

بیایید نگاهی به محافظت از حساب برخی از بازیکنان بزرگ با میلیون‌ها کاربر بیندازیم.

گوگل

این شرکت شاید وسیع‌ترین طیف حفاظت‌های اضافی حساب را ارائه دهد. گوگل در کنار روش های سنتی 2SV (ارسال کد از طریق پیامک یا تماس) 2FA را پیاده سازی کرده است. این برنامه ای برای تولید کدها و به ندرت پشتیبانی از توکن های سخت افزاری استاندارد FIDO UTF است.

پس از بررسی رمز عبور، از شما خواسته می شود که کدی را وارد کنید که روش دریافت آن به تنظیمات احراز هویت حساب شما بستگی دارد.

لطفاً توجه داشته باشید که به طور پیش فرض رایانه مورد اعتماد در نظر گرفته می شود. برای ورودی های بعدی این دستگاه فاکتور دوم مورد نیاز نیست. لیست چنین دستگاه هایی را می توان در پارامترهای 2SV پاک کرد.

من برنامه را برای تولید کد پیکربندی کرده ام. Google Authenticator پشتیبانی RFC 6238 را پیاده‌سازی می‌کند که به شما امکان می‌دهد OTP را برای هر سرویسی با استفاده از این مشخصات ایجاد کنید.

به هر حال ، در برنامه من به نوعی روی یک چنگک زدم - کدها دیگر پذیرفته نشدند. توییتر به سرعت از من خواست تا تصحیح زمان برای کدها را در تنظیمات برنامه همگام کنم، اما من قبلاً به Yandex.Key تغییر مکان داده بودم.

همچنین گوگل قابلیت چاپ کدهای یکبار مصرف را دارد که می تواند در سفر برای افرادی که گوشی هوشمند ندارند و از سیم کارت اپراتور محلی استفاده می کنند مفید باشد.

مایکروسافت

مایکروسافت بسیار شبیه به گوگل است (به تنظیمات حساب مراجعه کنید)، بنابراین من بر روی تفاوت های عجیب تمرکز خواهم کرد. این شرکت از توکن‌های سخت‌افزاری پشتیبانی نمی‌کند، اما می‌توان 2FA را با تولید OTP با یک برنامه اختصاصی Authenticator ارائه کرد.

برنامه های احراز هویت

در ویندوز تلفن همراه و iOS، برنامه های مایکروسافت به همین ترتیب کار می کنند - آنها فقط کد تولید می کنند. در اندروید، وضعیت جالب تر است، زیرا برنامه حساب مایکروسافت دارای دو حالت کار است - دو مرحله ای و دو مرحله ای.

پس از راه اندازی اولیه اپلیکیشن، حالتی روشن می شود که از نظر کاربری کاملاً پیاده سازی شده است. وقتی وارد سایت می شوید، از شما خواسته می شود تا درخواست را در برنامه تایید کنید. در همان زمان یک اعلان می رسد که با یک کلیک تایید می شود یعنی. نیازی به وارد کردن کد به صورت دستی نیست

به طور دقیق، این 2SV است، زیرا اعلان فشار از طریق اینترنت ارسال می شود، اما می توانید به 2FA تغییر دهید. با کلیک بر روی "ناموفق"، درخواستی برای وارد کردن کد مشاهده خواهید کرد. در پایین برنامه تلفن همراه یک گزینه مربوطه وجود دارد که لیستی از حساب های متصل را باز می کند. دفعه بعد که وارد سیستم شدید می توانید به همین روش به حالت اعلان برگردید.

ضمنا مایکروسافت بر خلاف گوگل به طور پیش فرض دستگاه را قابل اعتماد نمی کند (تصویر بالا را ببینید) و به نظر من این درست است.

اسکایپ و 2SV

به روز رسانی 01-نوامبر-2016... اسکایپ در نهایت با ادغام کامل حساب اسکایپ در حساب مایکروسافت دارای 2SV است. بنابراین، آنچه در این بخش نوشته شده است فقط برای حساب های Skype که مراحل به روز رسانی را طی نکرده اند، مرتبط است.

اسکایپ شایسته ذکر ویژه است، و در یک زمینه منفی. حساب مایکروسافت شما با تأیید صحت 2 مرحله ای محافظت می شود و می توانید با آن وارد اسکایپ شوید.

با این حال، اگر یک حساب اسکایپ دارید (در سایت ثبت شده است)، 2SV برای آن پیاده سازی نشده است، حتی اگر با یک حساب مایکروسافت مرتبط باشد.

در عمل، این بدان معنی است که نمی توانید سطح حفاظتی را که مایکروسافت توصیه می کند، به حساب اسکایپ خود ارائه دهید. سایت پشتیبانی اسکایپ یک موضوع فوق العاده دارد (احتمالا نه تنها) که در آن صاحبان اکانت های هک شده می آیند و درخواست اجرای 2FA می کنند.

راه حل این است که استفاده از چنین حسابی را متوقف کنید و با ورود به حساب مایکروسافت، حساب جدیدی ایجاد کنید. اما کسانی که هنوز هک نشده اند بعید است که بخواهند یک حساب کاربری با مخاطبین زیاد ترک کنند.

یاندکس.

Yandex همه چیز دارد، از جمله اجرای خود 2FA. این شرکت در وبلاگ Habré، چرا تصمیم به اختراع مجدد دوچرخه گرفت، بنابراین من خودم را فقط به تمرین استفاده از این راه حل محدود می کنم.

فعال کردن 2FA استفاده از رمز عبور برای یک حساب را لغو می کند، که سپس با استفاده از تلفن هوشمند یا رایانه لوحی به سیستم وارد می شود. همانطور که متوجه شدم، برنامه Yandex.Key فقط برای iOS و Android در دسترس است، بنابراین دارندگان تلفن های هوشمند ویندوزی نمی توانند از حساب Yandex خود با احراز هویت دو مرحله ای محافظت کنند.

برنامه تلفن همراه از حساب های مختلف پشتیبانی می کند، اما فقط حساب Yandex توسط یک پین اجباری محافظت می شود - این اولین عامل است. دومی در تصویر بالا نشان داده شده است - این رمز عبور یکبار مصرف هشت است نامه هایا اسکن یک کد QR از صفحه وب که در حال ورود به آن هستید.

OTP در 30 ثانیه منقضی می شود. با انجام یک اشتباه تایپی، فرصتی برای وارد کردن مجدد همان کد نداشتم و باید منتظر یک کد جدید بودم (اعداد هنوز بدون خطا وارد کردن آسان تر است). بنابراین، روش توصیه شده و راحت تر، اسکن کد QR است. برای موارد مجوز در همان دستگاه، دکمه ای وجود دارد که OTP را در کلیپ بورد کپی می کند.

پرسش و پاسخ

نظرات چندین سوال را برجسته می کند که تصمیم گرفتم پاسخ آنها را به مقاله اضافه کنم.

هورا، الان همه جا 2SV / 2FA دارم! آیا کار دیگری وجود دارد که باید انجام دهید؟

تصور کنید که به تعطیلات رفته اید، جایی که گوشی هوشمند شما در همان روز اول دزدیده شده است. حالا تا زمانی که سیم کارت را بازیابی نکنید، وارد هیچ حساب کاربری نمی شوید. برای جلوگیری از چنین سناریویی، به تنظیمات حساب های کلیدی بروید، کدهای یکبار مصرف یا پشتیبان برای دسترسی به حساب را در آنجا پیدا کنید و آنها را در دستگاه دیگری ذخیره کنید و / یا آنها را روی کاغذ یادداشت کنید.

من برنامه ای دارم که پس از فعال کردن 2SV / 2FA کار نمی کند. چه باید کرد؟

برخی از برنامه ها با تأیید صحت 2 مرحله ای ناسازگار هستند، به این معنا که سرویس منتظر مرحله دوم است، اما جایی برای ورود به آن وجود ندارد. به عنوان مثال یک سرویس گیرنده ایمیل "رومیزی" است.

در این صورت می توانید پسورد اپلیکیشن را در تنظیمات 2SV اکانت خود ایجاد کنید. شما باید یک رمز عبور ایجاد کنید و به جای رمز عبور حساب خود، آن را در اپلیکیشن مشکل دار وارد کنید. با Yandex (به عنوان مثال، در مرورگر Yandex)، فقط باید رمز عبور یک بار مصرف ایجاد شده توسط برنامه Yandex.Key را وارد کنید.

سرویس با چه پارامترهایی مشخص می کند که دستگاه مورد اعتماد است؟

هر فروشنده پیاده سازی خاص خود را دارد. این می تواند ترکیبی از کوکی SSL، آدرس IP، مرورگر یا هر چیز دیگری باشد. آستانه ای برای تغییر پارامترها وجود دارد که پس از رسیدن به آن باید دوباره وارد شوید.

بهترین برنامه های تولید OTP تلفن همراه برای استفاده کدامند؟

اگر از 2FA در Yandex استفاده نمی کنید، هر برنامه ای (Google، Microsoft، Yandex.Key) این کار را انجام می دهد. اگر 2FA را در Yandex فعال کرده اید، منطقی است که همه خدمات را در Yandex.Key ادغام کنید. دلیل آن این است که اجرای 2FA Yandex با سایر سرویس‌ها متفاوت است، اما Yandex.Key از RFC 6238 پشتیبانی می‌کند که امکان ایجاد OTP را برای سایر سرویس‌هایی که این مشخصات را پیاده‌سازی کرده‌اند، فراهم می‌کند.

چرا نمی توانم 2FA را برای VKontakte در برنامه تولید کدها تنظیم کنم؟

در تنظیمات گوشی هوشمند، باید تشخیص خودکار تاریخ و منطقه زمانی را تنظیم کنید. در غیر این صورت، برنامه را ثبت نکنید - کد تولید شده توسط برنامه با خطای "کد تایید نامعتبر" پذیرفته نمی شود. در عین حال تحویل OTP از طریق پیامک کار می کند و به هیچ وجه به مشکل مربوط نمی شود.

بحث و بررسی

در ابتدا احراز هویت دو مرحله‌ای و دو عاملی در حوزه سازمان‌ها بود، اما به تدریج در خدمات مصرف‌کننده ظاهر شد. گوگل یکی از اولین شرکت های بزرگی بود که در سال 2011 چنین حفاظتی را برای کاربران خود ارائه کرد و بعداً سایر بازیکنان از جمله Yandex و mail.ru که در Runet محبوب بودند، این اقدامات را در اوایل سال 2015 ارائه کردند.

در حالی که 2FA / 2SV برای همه خدمات رایج در دسترس نیست. به عنوان مثال، در زمان انتشار مقاله، در پیام رسان های با مخاطبان چند میلیونی وایبر و واتس اپ (در فوریه 2017 ظاهر شد) وجود ندارد. اما به طور کلی، تا اواسط سال 2016، این فناوری بسیار گسترده شده بود.

من خودم با گوگل شروع کردم، سپس شبکه های اجتماعی را وصل کردم، بعداً یک حساب مایکروسافت (سر و صدا با تعدادی از برنامه ها که از 2SV پشتیبانی نمی کردند، ایجاد شد و مجبور شدم رمزهای عبور یک بار مصرف ایجاد کنم). اکنون من 2FA / 2SV را در همه جا و حتی در این وبلاگ (فقط برای مدیران) فعال کرده ام.

می‌توانید تکه‌های متن جالبی را که از طریق یک پیوند منحصربه‌فرد در مرورگر شما در دسترس خواهد بود، علامت‌گذاری کنید.

درباره نویسنده

نیکولای

اخیراً، پس از اینکه یک اعلان در مورد تلاش هک به ایمیل آمد، احراز هویت را خراب کردم.

پاولوفسکی رومی

من مورد را انتخاب کردم: نه، اما اکنون شروع به استفاده از آن خواهم کرد.
من آن را در حساب Goole روشن کردم، اما پس از آن نتوانستم از سرویس گیرنده ایمیل نامه ارسال کنم و نتوانستم از برنامه به چت های hangouts متصل شوم. شاید مجبور بودید از رایانه خود به حساب Google بروید تا رایانه مورد اعتماد شود و سپس همه چیز کار کند. اما من مزاحم نشدم و تأیید صحت 2 مرحله ای را خاموش کردم.
اگر فقط باید وارد رایانه شخصی مورد نظر شوید تا قابل اعتماد شود، این طبیعی است و اگر کمکی نکرد، مشکل از ارسال نامه و استفاده از چت خواهد بود.
در حساب ایمیل دیگری اصلاً احراز هویت دو مرحله ای وجود ندارد و علاوه بر این، من آن را در آنجا فعال می کردم.

الکساندر [مزدایشیک]

من "گزینه من اینجا نیست" را انتخاب کردم، اگرچه، شاید ارزش آن را داشته باشد که "نه، و اکنون شروع به استفاده از آن خواهم کرد."

من از ایمیل فقط از طریق Outlook استفاده می کنم، اما به نظر می رسد که از احراز هویت دو مرحله ای پشتیبانی نمی کند (اگرچه من آن را در گوگل جستجو نکردم - شاید آنها پلاگین هایی پیدا کردند). من از حساب مایکروسافت استفاده نمی کنم. گوشی هوشمند وجود ندارد. در رسانه های اجتماعی (به جز در GitHub) ثبت نشده است. من فکر می کنم محافظت از ثبت نام در هر انجمن و سایتی مانند این نامناسب است.

یک اکانت اسکایپ هست که من فقط در آفیس از آن استفاده می کنم (در چت عمومی شرکت می نشینم). اکنون به ادغام آن با حساب مایکروسافت خود فکر می کنم (به نظر می رسد چنین عملکردی وجود دارد) و از احراز هویت دو مرحله ای استفاده کنم.

نیکولای

اوگنی کازاکین

ممنون، خیلی جالبه!
لطفاً توجه داشته باشید که به طور پیش‌فرض رایانه به دسته قابل اعتماد منتقل می‌شود. برای ورودی های بعدی این دستگاه فاکتور دوم مورد نیاز نیست. لیست چنین دستگاه هایی را می توان در پارامترهای 2SV پاک کرد.

و با چه عواملی این دستگاه مورد اعتماد را تشخیص می دهد؟ آیا این یک گواهی است یا نوعی SID مبتنی بر آهن؟

اوگنی

احراز هویت دو مرحله ای فقط در خدمات بسیار مهم، به عنوان مثال، در حساب های بانکی، در سیستم های پرداخت فعال است. اما در برخی از آنها فقط با یک رمز عبور می توانید وارد حساب کاربری خود شوید، اما هر عملیاتی را می توان از طریق یک رمز عبور دو مرحله ای انجام داد. در خدمات پستی و شبکه های اجتماعی وجود ندارد، زیرا خود سرویس ها در ردیابی "اقدامات مشکوک" (تغییر IP، تلاش برای حدس زدن رمز عبور، تغییر دستگاه استفاده شده و غیره) و اطلاع رسانی سریع در مورد آن بسیار خوب هستند، و بسیاری از آنها. حتی به طور خودکار بلافاصله حساب را مسدود کنید.

نیکیتا پانوف

اوگنی کازاکین: ممنون، خیلی جالبه!
لطفاً توجه داشته باشید که به طور پیش‌فرض رایانه به دسته قابل اعتماد منتقل می‌شود. برای ورودی های بعدی این دستگاه فاکتور دوم مورد نیاز نیست. لیست چنین دستگاه هایی را می توان در پارامترهای 2SV پاک کرد. "و با چه عواملی این دستگاه قابل اعتماد را تشخیص می دهد؟ آیا این یک گواهی است یا نوعی SID مبتنی بر آهن؟

به احتمال زیاد پیاده سازی وابسته است. حتی کلاینت Steam نیز احراز هویت 2F خود را دارد.

آندری بایاتاکوف

تا جایی که ممکن است گنجانده شود. به نظر می رسید هیچ دخل و تصرفی در کار نبود. :) اما outlook.com درخواست‌های امنیتی را از مکان‌هایی که قطعاً نمی‌توانم پیدا کنم نشان می‌دهد و با سیستم‌عاملی که هرگز استفاده نکرده‌ام. در مورد غیرفعال کردن پیامک - سال گذشته چندین بار با پیامک با کد QIWI به تلفن هوشمند برخورد کردم، اما در همان زمان بدون مشکل در یک تلفن معمولی دریافت شد. برای تنظیم مجدد سیم کارت کافی بود.

ماتوی سولودونیکوف

وادیم، مقاله عالی! با تشکر از ارائه دقیق
در گوگل (بعد از اینکه آنها سعی کردند رمز عبور من را از جایی در ترکیه بشکنند)، در حسابداری مایکروسافت (من خیلی تنبل بودم که این کار را انجام دهم، اما بعد از این مقاله تصمیم گرفتم آن را روشن کنم) و در Dropbox (روشن شده است) گنجانده شده است. برای دو سال پیش). من از Microsoft Authenticator در Lumia 640 استفاده می کنم.
P. S. بله. و در تلگرام نیز باید قرار داده شود :) هرگز نمی دانید.

• متوی، از پاسخ شما متشکرم. بله، تلگرام از این نظر بهتر از واتس اپ یا وایبر محافظت می شود، بنابراین فعال کردن 2SV منطقی است.

D K

حساب Yandex من در W10M با احراز هویت دو مرحله ای محافظت می شود. من رمز عبور را از کلید Yandex نصب شده در iPad می گیرم. به طور کلی، من چنین محافظتی را تا جایی که ممکن است شامل می‌کنم. ایمیل من در Mail.ru قبلا هک شده بود، مجبور بودم رمز عبور خود را اغلب تغییر دهم. اکنون، پس از فعال کردن مجوز دو مرحله ای، هیچ هک وجود ندارد. بعد از اتفاقات معروف، آن را در تلگرام روشن کردم.

D K

فراموش کردم اضافه کنم که کارت Sberbank من خراب شده و مجوز دو مرحله ای فعال شده است.

آندری

با تشکر از مقاله، در مورد برنامه تلفن هوشمند به حساب مایکروسافت نمی دانستم، من وصل شدم.

ویتالی

مقاله عالی، به خوبی توسط 2FA و 2SV مرتب شده است.
به طور کلی، اخیراً به امنیت فکر کردم و به KeePass تغییر مکان دادم. قابل اطمینان تر، ایمن تر، و مهمتر از همه، من چیزی مستقل از سرورهای شخص ثالث ارائه نکرده ام. من انسداد خودکار را تنظیم کردم، رمز عبور پیچیده تر است و تمام.
2FA فقط برای یک کارت پس انداز است، یک نام کاربری (فقط در ذهن من)، یک رمز عبور (در KeePass) و پیامک وجود دارد.

یاروسلاو نپومنیاشچیخ

من برای مدت نسبتا طولانی از Microsoft Authenticator استفاده می کنم، در واقع از لحظه ثبت حساب مایکروسافت.
من شروع کردم به گشتن در تنظیمات و چنین چیزی پیدا کردم، آن را روی ویندوز تلفن قرار دادم.
پس از خواندن مقاله، یک حساب کاربری گوگل را نیز از طریق Microsoft Authenticator نصب کردم.
سوال این است - در صورت سرقت / گم شدن یک دستگاه تلفن همراه چه باید کرد؟

یاروسلاو نپومنیاشچیخ

عجیب است که چرا بانک ها از احراز هویت دو مرحله ای استفاده نمی کنند.
خوب، حداقل من آن را در Sberbank و Telebank پیدا نکردم

نیکولای

وادیم استرکین: در Sberbank 2SV. در سایت ابتدا رمز و سپس کد را از پیامک وارد کنید.

و هر بار یک کد جدید وارد می شود. شاید این امر احتمال هک شدن را کاهش می دهد)
(مگر اینکه بازه زمانی ذخیره شود)

لکرون

من با انتقال احراز هویت پیامکی از 2FA به 2SV مخالفم.

به همین ترتیب، کلیدهای گاوصندوق را می توان پس از فروش کپی کرد. و به همین ترتیب سازنده گاوصندوق یک کد کلید دارد که در صورت مفقود شدن آنها می تواند با ارائه مدارک در اختیار داشتن گاوصندوق آن را تهیه کند.

• لکرون: من با انتقال احراز هویت پیامکی از 2FA به 2SV مخالفم.
  در این حالت سیم کارت یک آنالوگ کامل از کلید گاوصندوقی است که متعلق به شماست. آسیب‌پذیری‌های MitM و رویه‌های ناامن انتشار مجدد، مالکیت را لغو نمی‌کنند.

  حق شماست اما دقیقاً به دلیل MITM ، بسیاری از کارشناسان امنیت اطلاعات پیامک را عاملی نمی دانند ... برخی حتی OTP تولید شده در تلفن هوشمند را چنین نمی دانند ، اما به نظر من این قبلاً بیش از حد است :)

  • سرگئی سیسوف

    و من با لکرون موافقم. وجود آسیب‌پذیری‌هایی در استفاده از پیامک، این واقعیت را نفی نمی‌کند که این همچنان دومین عامل، هرچند بسیار ضعیف است. در غیر این صورت، همانطور که به درستی اشاره کردید، OTP را نمی توان چنین در نظر گرفت، زیرا یک ویروس می تواند روی یک تلفن هوشمند (به خصوص اندروید، درست است؟) پرواز کند. و در بالای شانه، شخص دیگری می تواند از OTP سخت افزاری جاسوسی کند. یا مثلاً بانکی که OTP سخت افزاری را صادر کرده می تواند یک نسخه کپی کند.

دامار دادابایف

من از Google Afentikator برای Mail.ru، Facebook، VK (که به ندرت به آن سر می زنم) و حساب مایکروسافت (این دومی دوستان خوبی با برنامه گوگل است، اما هیچ فایده ای در قرار دادن دو برنامه برای یک عملکرد نمی بینم) استفاده می کنم. من همچنین سعی کردم Yandex را وصل کنم، اما کار نکرد. در حالت ایده‌آل، من می‌خواهم مجوز در بانک‌ها را بر اساس این برنامه نیز ببینم.

به هر حال ، یک سوال از وادیم در مورد رمزهای عبور برنامه - گوگل رمز عبور فقط با حروف کوچک لاتین را به آنها ارائه می دهد. چقدر قابل اعتماد است؟

یاروسلاو نپومنیاشچیخ

من درخواست پشتیبانی کردم
در واقع، یک برنامه VTB24 Token در فروشگاه ویندوز وجود دارد

آندری وریپاف

اخیراً من همچنین یک رویداد دو مرحله ای را در mail.ru ترتیب دادم. از آنجایی که رمز عبور 20 رقمی من از طریق یک اتصال https از طریق یک پروکسی برداشته شد و موفق شدم 2 بار ایمیل را وارد کنم، یک بار از طریق اوکراین، بار دوم از برخی جزایر. خوشبختانه حساب کاربری mail.ru من به ظن هک مسدود شد. بعد از آن احراز هویت دو مرحله ای انجام دادم.

نیکولای

وادیم استرکین: آندری، مثال خوبی برای این واقعیت است که رمز عبور پیچیده + فاکتور دوم بهتر از رمز عبور پیچیده است.

و چگونه می توان رمز 20 رقمی را حذف کرد؟ ما کی لاگر را در نظر نمی گیریم.
وادیم، می توانید در مورد این توکن های سخت افزاری بیشتر توضیح دهید؟ این چیست، چه چیزی در آنها وجود دارد؟ آیا کدها بر اساس یک الگوریتم از پیش تعیین شده تولید می شوند؟ اگر چنین است، آیا واقعاً ایمن است و الگوریتم قابل محاسبه نیست؟
و یک چیز دیگر در همان زمان. :) استفاده از دکمه "ورود با" برای دسترسی به منابع چقدر ایمن است. به عنوان مثال، در وبلاگ شما.

نیکولای

وادیم استرکین:
2. و آن را در گوگل جستجو کنید؟ TOTP، HOTP
3. این یک سوال جالب است. به نظر من باید جداگانه پوشش داده شود. اما شما می توانید به تنهایی کاوش کنید و کمی برای فکر کردن در اینجا بگذارید.

خب منصفانه نیست! و جویدن؟ :)

حیاتی چرنیشوف

من از 2FA هر جا که چنین فرصتی وجود دارد استفاده می کنم - github، حساب زنده، dropbox، Yandex، google. ایمیل اکنون مهمترین چیز برای محافظت است، همه چیز دیگر به آن گره خورده است.

در اینجا من نگران موضوع رمزهای عبور برنامه هستم، برای آن دسته از برنامه هایی که از 2FA پشتیبانی نمی کنند، به عنوان مثال، همان سرویس گیرنده ایمیل. آیا این تضعیف امنیت است؟ به هر حال، این رمز عبور را می توان به همین روش رهگیری کرد؛ برای سادگی، لحظه رمزگذاری ترافیک را حذف می کنیم. و این رمز را در اپلیکیشن دیگری وارد کنید. Outlock کوکی یا مکانیزم مشابهی برای این سرویس ندارد که یک برنامه را از برنامه دیگر متمایز کند. یا وجود دارد؟ چه چیزی شما را از رهگیری رمز عبور این برنامه مانند یک رمز عبور معمولی باز می دارد؟ و در برنامه دیگری از آن استفاده کنید. اگر فقط رمزگذاری ترافیک باشد، معلوم می شود که رمزهای عبور برنامه ها حفره بزرگی هستند. دقیقاً همان سطح امنیتی با رمز عبور معمولی است.

اما

اخیراً خبری دریافت کردم: https://geektimes.ru/post/276238/ که به طرز ناخوشایندی مرا شگفت زده کرد، قبلاً با تمام وجود به تلگرام عادت کرده است. نویسنده مقاله مفاهیم را اشتباه می گیرد، احراز هویت 2 مرحله ای را 2 عاملی می نامد، اما این موضوع نیست. چه اتفاقی می افتد - یک مهاجم با دسترسی به پیامک قربانی، همچنان می تواند وارد حساب کاربری شود، و در این مورد احراز هویت تلگرام case 2SV کمکی نمی کند؟ و آن وقت چه فایده ای دارد؟

دیمیتری سرگیویچ

اگر همه چیز را به درستی فهمیدم، احراز هویت دو مرحله ای فقط با برنامه مربوطه نصب شده در تلفن هوشمند در دسترس است. اما من گوشی هوشمند ندارم. من می توانم آن را به دست بیاورم، اما به سادگی به آن نیازی ندارم. من از یک تلفن دکمه ای غیرقابل نفوذ زرهی با عملکرد ماقبل تاریخ استفاده می کنم که فقط برای تماس و پیامک به آن نیاز دارم (که در واقع کار دیگری نمی تواند انجام دهد) و یک و نیم تا دو هفته شارژ نگه می دارد. خرید گوشی هوشمند فقط به خاطر اینکه بتوانید از احراز هویت دو مرحله ای استفاده کنید؟

• از روش دو مرحله ای استفاده کنید - تلفن هوشمند زره پوش شما می تواند پیامک دریافت کند.

آرتم

برای دسترسی به منابع کلاینت از 2FA نیز استفاده می کنم اما در این حالت نقش رمز سخت افزاری را یک گوشی هوشمند با اپلیکیشن RSA SecureID ایفا می کند.

از این دیدگاه - تولید کد برنامه روی گوشیعامل دوم نیست گوشی را می توان هک کرد. و برخی از کاربران به منظور نصب نرم افزار غیر رسمی (جیل بریک) این کار را خودشان انجام می دهند. پس از آن، هر برنامه ای (ویروس یا شخصی که خود را به عنوان یک برنامه کاربردی مخفی می کند) می تواند، برای مثال، وارد ناحیه حافظه مورد استفاده توسط برنامه تولید کننده رمز یک بار مصرف شما شود. یا می توانید این کار را حتی ساده تر انجام دهید و فقط محتوای صفحه را از طریق API که اسکرین شات ایجاد می کند، بدزدید. (بله، معمولاً این API باید برای استفاده پنهان توسط برنامه های شخص ثالث غیر قابل دسترس باشد، اما پس از جیلبریک همه چیز امکان پذیر است).

حتی اگر جیلبریک را با دستان خود انجام نداده باشید - از نظر تئوری، تلفن را می توان از راه دور هک کرد، مانند هر دستگاه نسبتاً پیچیده ای که به شبکه متصل است. بعید؟ قطعا. اما اجرای این امر تقریباً به اندازه هک کردن اپراتور تلفن همراه، رشوه دادن به یک تکنسین، ساخت سیم کارت تکراری یا رهگیری یک کد از یک پیام کوتاه بعید و دشوار است.

حتی اگر یک دستگاه جداگانه برای تولید OTP یا یک بروشور با رمزهای عبور چاپ شده یک بار مصرف دارید - می توانید با استفاده از اپتیک قوی یا هک کردن دوربین نظارت نزدیک آنها را "جاسوسی" کنید :) یا به کارمند بانکی که این رمزهای عبور را به شما داده است رشوه بدهید. این تقریباً بعید است، اما در عمل کاملاً ممکن است. بنابراین، "عامل دوم" شما تبدیل به ... تبدیل می شود ... به عامل اول تبدیل می شود.

چرا من علاوه بر این، خط بین 2FA و 2SV آنقدر نازک است که فقط از نقطه نظر استدلال نظری در مورد جهان ایده آل مورد توجه است. در عمل چنین خطی وجود ندارد. بنابراین، برای مثال، پیاده سازی اتخاذ شده در «تلگرام» به همان اندازه درست است که آن را هم دو عاملی و هم دو مرحله ای بنامیم.

P.S. این موضوع نامربوط است، اما امکان انجام یک حمله MITM بر روی تلفن، مشابه آنچه در مقاله Habré توضیح داده شده است، توسط متخصصانی که به آنها اعتماد دارم مورد انتقاد قرار می گیرد. آنها استدلال می کنند که چنین حمله ای تنها در شرایط آزمایشگاهی خاص امکان پذیر است. در عمل، تمام اپراتورهای تلفن همراه فعال در روسیه یاد گرفته اند که از خود در برابر آن دفاع کنند. از تجهیزات تنظیم شده مخصوص استفاده کنید

• آرتم خیلی وقته ندیدم :)

  راستی مرز کجاست؟ :)

  

  استدلال من بر اساس عواملی است (به ویژه - مالکیت)، و شما برای سلامتی شروع کردید، و سپس به "همه چیز را می توان دزدید و هک کرد." من حتی فکر می کردم که پایان نامه "2fa مورد نیاز نیست، زیرا یک آهن لحیم کاری!" در پایان ظاهر می شود :)

  خوب، از آنجایی که شما وارد هولیوار شدید، می خواهم نظر شما را در مورد سوالم که توسط بحث بیان شده است، بشنوم:

  در عین حال، شاید توضیح مناسبی برای این واقعیت داشته باشید که گوگل، مایکروسافت و تلگرام احراز هویت خود را دو مرحله ای نمی نامند و اپل از 2SV از طریق SMS / Find My Phone به 2FA تغییر می کند؟ بدون بهانه هایی مانند "من مسئول آنها نیستم"، اما معقولانه.

  • آرتم

    برای سلامتی شروع کردی و بعد پایین آمدی

    و در نظرات من مرز بین "سلامت" و "لغزش" کجاست؟

    خوب، از زمانی که وارد هولیوار شدید،

    اینطور نیست که من واقعاً می خواستم وارد شوم، و اصلاً هیچ قداستی در اینجا نمی بینم. اما من با شخص خاصی صحبت کردم (بله در تلگرام) - او وبلاگ شما را به عنوان استدلال آورده است.

    دوست دارم نظر شما را در مورد سوالم بدانم

    خوب این برای من یک سوال عجیب است، زیرا من فقط 2FA و 2SV را جدا نمی کنم. به هر حال وقتی صحبت از پیامک می شود. آنجا، در بالا، درست در تاپیکی که به آن لینک می دهید، شخص همه چیز را درست می گوید. سیم کارت همان چیزی است که شما مالک آن هستید. بله، می توان آن را دزدید، جعل کرد یا در حین پرواز رهگیری کرد - اما این عمل را لغو نمی کند اصل... (علاوه بر این، همانطور که گفتم، MITM در عمل کار نمی کند، بنابراین این استدلال به تنهایی به وضوح برای واجد شرایط کردن SMS از 2FA به 2SV کافی نیست).

    در اینجا مثال دیگری در قلک از اختلافات اصطلاحی است. (شما خودتان آنها را به وفور در بالا ذکر می کنید، از جمله همان گوگل که 2FA و 2SV را به اشتراک نمی گذارد). GitHub از اصطلاح "2FA" (https://github.com/settings/security) استفاده می کند و ما در مورد همان RFC 6238 صحبت می کنیم. تولید کدها توسط برنامه روی گوشی در عین حال، آنها از FIDO U2F و Backback در SMS پشتیبانی می کنند. همه اینها مانع از آن نمی شود که احراز هویت خود را دو عاملی در نظر بگیرند.

    • » تو به من:اما تعدادی از شرکت های دیگر نیز وجود دارند که اشتراک ندارند. نظر شما در این مورد چیست؟
      من به شما می گویم:از نظر من آنها اشتباه می کنند یا کک می گیرند.

      هر کس حق دارد از اصطلاحی که به او نزدیکتر است استفاده کند. اختلاف فقط در صورتی به وجود می آید که نویسنده همزماناز هر دو اصطلاح استفاده می کند، در حالی که به وضوح آنها را از هم جدا می کند (به جای استفاده از آنها به جای یکدیگر، به عنوان مثال، گوگل). این بسیار نادر است. بیشتر - یا در مطالب آکادمیک (مانند داستان در مورد مامور اسمیت)، یا در وبلاگ شما :)

      آنها احراز هویت خود را دو مرحله ای می دانند (صفحه تنظیمات می گوید 2-Step Verification).

      جایی که؟ در اینجا نقل قولی از صفحه تنظیمات اصلی (https://github.com/settings/security) آمده است:

      احراز هویت دو مرحله ایعنوان بخش است.

      علاوه بر این، اگر روی دکمه کلیک کنید ویرایش کنید، به صفحه https://github.com/settings/two_factor_authentication/configure می رسیم. (به آدرس اینترنتی توجه کنید). آنجا می خوانیم:

      ارائه یک شماره پیامک بازگشتی به GitHub این امکان را می دهد تا در صورت گم شدن دستگاه اصلی خود، کدهای احراز هویت دو مرحله ای شما را به دستگاه دیگری ارسال کند.

      خوب، به طور کلی، عبارت 2FA در این صفحه هفت بار ظاهر می شود. اصطلاح 2SV هرگز رخ نمی دهد.

      هر کس حق دارد از اصطلاحی که به او نزدیکتر است استفاده کند.

      اوه، و شرکت های اعلام شده از اصطلاح 2FA استفاده نمی کنند، اگرچه "عامل" یکی از مفاهیم اساسی در امنیت اطلاعات است.

      بیشتر - یا در مطالب آکادمیک (مانند داستان در مورد مامور اسمیت)، یا در وبلاگ شما :)

      همه چیز به دقت نظر مفسران بستگی دارد. اگر نظرات وبلاگ را ببندید، می توانید هر چه می خواهید بنویسید. من 2FA / 2SV را تقسیم کردم، و کسانی که مخالف بودند بلافاصله وارد نظرات شدند - آنها حتی منهای :) اگر آن را تقسیم نکرده بودم، احتمالا تعداد آنها کمتر بود. اما این به آنها آسیبی نمی رساند که در زمینه "SMS is not 2FA" انگشت خود را نشان دهند.

      آرتم

      من فکر کردم شما در مورد گوگل هستید، من بی توجه نگاه کردم. من در مورد Google / MSFT / Apple / Telegram پرسیدم، و شما GitHub را به من زدید، جایی که همه چیز با پایان نامه های شما مطابقت دارد. و بله، من عاشق روشی هستم که شما با توجه به عبارت موجود در راهنما گوگل را به اینجا کشاندید.

      من هستم لیز خورد GitHub به دو دلیل. اولاً، شخصی در اینجا در نظرات قبلاً در مورد آن سؤال کرده است، اما من خیلی تنبل بودم که دقیقاً در آنجا پاسخ دهم - بله، GitHub در واقع از 2FA نیز پشتیبانی می کند. خوب، و ثانیاً، زیرا شما قبلاً تمام شرکت های بزرگ دیگر را گذرانده اید، با دقتتحلیل رویکرد آنها به اصطلاحات. خودت را تکرار نکن. بنابراین باید یک نفر جدید پیدا می کردم.

      اگر آنها را تقسیم نکرده بودم، احتمالاً تعداد آنها کمتر بود. اما این به آنها آسیبی نمی رساند که در زمینه "SMS is not 2FA" انگشت خود را نشان دهند.

      این تمام نکته است. من از تقسیم 2FA و 2SV بدم نمی‌آید - اگر می‌توانست بدون ابهام انجام شود. آن ها طبقه بندی: بله، این یکی کانالعامل دوم است و این تنها یک تغییر از عامل اول است. شما خوب می دانید که من عاشق کاوش در اصطلاحات هستم که نه کمتر از شما، اگر نه بیشتر :)

      مشکل اینجاست که در مورد پیامک این خط قابل کشیدن نیست. آن ها این یک سوال نیست دقت،اما یک اختلاف اصطلاحی کاملاً بیهوده.

      بر اساس برخی نشانه ها، سیم کارت یک "اموال تملک" است، یعنی. عامل دوم کاربر قانونی بدون سیم کارت نمی تواند پیامی را دریافت کند. و برای اکثر مهاجمان، این یک مانع جدی است، اگرچه غیرقابل عبور نیست. (مقایسه با نیاز به نفوذ به یک آپارتمان برای سرقت ژنراتور OTP).

      با توجه به برخی نشانه های دیگر، بله، فناوری GSM را می توان فریب داد و می توان پیامی را رهگیری کرد. و به این ترتیب، این عامل مانند مورد اول به اطلاعاتی تبدیل می شود. اما از این منظر، تولید OTP روی گوشی نیز یک عامل اطلاعاتی است. (به بحث بالا در مورد جیلبریک مراجعه کنید).

      پس من اولامن هیچ تفاوت عملی بین 2FA و 2SV نمی بینم. و ثانیاًمن هیچ فایده ای در ایجاد این اختلاف نمی بینم. زیرا در عمل، به نظر نمی رسد 2FA چیزی امن تر از 2SV باشد. در هر صورت، در حالی که رایج ترین «دوم کانال "اس ام اس باقی می ماند.

      می توان و ضروری استدلال کرد که دقیقاً پیامک امنیت کمتری دارد کانال،از یک ژنراتور OTP جداگانه. چنین مکالمه ای واقعاً منطقی است - برخلاف تلاش برای طبقه بندی کانال های مختلف به عنوان 2FA یا 2SV و بحث در مورد اینکه کدام یک از این گزینه های کروی در خلاء قابل اعتمادتر است.

      همان موردی که سعی می‌شود از طریق طبقه‌بندی ساده‌سازی شود، بحث را پیچیده می‌کند و آن را کمتر معنا می‌کند و در برابر تناقضات اصطلاحی آسیب‌پذیرتر می‌کند.

    • NIST سن احراز هویت 2 عاملی مبتنی بر پیامک را بیش از | اعلام می کند TechCrunch.

      اگر قرار است تأیید خارج از باند با استفاده از یک پیام کوتاه در یک شبکه تلفن همراه عمومی انجام شود، تأییدکننده باید تأیید کند که شماره تلفن از پیش ثبت‌شده مورد استفاده واقعاً با یک شبکه تلفن همراه مرتبط است و نه با VoIP (یا نرم‌افزارهای دیگر). خدمات مبتنی بر) سپس پیامک را به شماره تلفن از قبل ثبت شده ارسال می کند. تغییر شماره تلفن از قبل ثبت شده بدون احراز هویت دو مرحله ای در زمان تغییر امکان پذیر نیست. OOB استفاده از پیامک منسوخ شده است و دیگر در نسخه های بعدی این راهنما مجاز نخواهد بود.

  جورج

  وادیم، خوش آمدی!

  امروز برای خودم یک توکن سخت افزاری خریدم: http://www.aladdin-rd.ru/catalog/jacarta_u2f/ - من از آن در حساب جیمیل خود و در حساب Dropbox استفاده می کنم. از آنجایی که قدرت زنجیره با ضعیف ترین حلقه آن مشخص می شود، پس گوشی را از دراپ باکس و گوگل به عنوان فاکتور بازیابی حذف کردم و اکنون فقط با توکن می توانم وارد گوگل شوم یا اگر وجود ندارد از طریق OTP Google وارد گوگل شوم. Authentificator، و اگر آنجا نیست، پس کد پشتیبان 8 رقمی: https://i.gyazo.com/d6589d7523d4259e423d500de1c2354b.png

  بر این اساس، اکنون به gmail.com می روم، رمز عبور معمولی را وارد می کنم و گوگل شروع به درخواست توکن می کند: https://i.gyazo.com/0503e8347c80ce865dd2f5ed69eab95c.png. توکن را وارد می کنم، آن را تعریف می کند، دکمه هارد توکن را فشار می دهم، می گویند من یک شخص واقعی هستم و به حساب کاربری احراز هویت می کنم. آیا می توان این روش احراز هویت را دو عاملی در نظر گرفت؟ به علاوه من تمام نظرات را خواندم و واقعاً متوجه نشدم که چرا پیامک عاملی نیست. چون رمز داره (میدونم) و من یه گوشی دارم با شماره مرتبط (دارم). من به خاطر آن holywara نیستم، اما بیشتر از آن چیزی که فهمیدم گیج شده‌ام چرا نمی‌توان آن را روش احراز هویت دو مرحله‌ای نامید.

  • جورج، بابت خرید شما تبریک می گویم - ایده خوبی است! و چقدر هزینه دارد؟ فروشنده بنا به دلایلی در صورت درخواست قیمت دارد. با این حال، Yandex.Market به قیمتی در حدود 1500 روبل اشاره می کند.

    بله، 2FA است. من ضریب مالکیت را بر اساس اینکه کاربر یک دستگاه سخت افزاری برای احراز هویت (توکن شما) یا تولید OTP مستقیماً روی دستگاه (تلفن هوشمند یا رمز برای تولید OTP) دارد تعیین می کنم. در مورد پیامک، کد در جایی تولید شده و به شما منتقل می شود، بنابراین من آن را عاملی نمی دانم.

    مخالفان مخالف هستند، اما همانطور که در نظرات اشاره کردم و توسط Artem به آن اشاره کردم، بسته به درجه پارانویا، گوشی هوشمند دارای برنامه نیز می تواند یک عامل در نظر گرفته شود، زیرا قابل هک است.

  به عنوان یک کاربر ویندوز، نمی توانم چیزی بگویم - من یک قوری هستم. اما از نظر قابلیت اطمینان و کارایی، من می توانم به طور خاص برای آدمک ها توصیه کنم. هر چیزی با هر سطح دشواری قابل هک است. و بنابراین، برای محافظت از داده‌های واقعاً ارزشمند - حساب‌های بانکی، بانک‌های قابل اعتماد بزرگ را انتخاب کنید و اجازه دهید متخصصان باکلاس آنها از ایمنی شما مراقبت کنند. و اگر آنها شکست بخورند، برای بانک راحت تر خواهد بود که خسارت شما را جبران کند، مگر اینکه شما البته میلر یا دریپاسکا باشید تا اینکه از شما شکایت کند. و در مورد مسائل اجتماعی شبکه های…. و چه چیزی برای دفاع وجود دارد؟ اگر کاربر فعال شبکه های اجتماعی هستید، به احتمال زیاد چیزی برای گرفتن از خود ندارید - هرگز اطلاعات ارزشمندی در آنجا وجود نداشت.