Svaki manje-više iskusan korisnik interneta naišao je na 2FA. No malo tko razumije kako funkcionira dvofaktorska autentifikacija. Kako biste izvukli maksimum iz ovog moćnog alata za zaštitu podataka, vrijedi naučiti više o njemu.
Prvi faktor je trajna lozinka
Dvofaktorska provjera autentičnosti počinje jednostavnom, poznatom lozinkom od registracije na bilo kojoj stranici. Obično ga bira sam korisnik prilikom kreiranja svog računa. Sama po sebi lozinka za višekratnu upotrebu nije jako jaka i može pružiti samo elementarnu osnovnu razinu zaštite računa. U dvofaktorskoj autentifikaciji služi kao prvi faktor, prvi "ključ" koji otključava račun.
Međutim, lozinka za višekratnu upotrebu, osobito ako je odabrana mudro, važan je dio procesa provjere autentičnosti s dva faktora, jer je faktor znanja. PIN-kodovi se također mogu pripisati kategoriji čimbenika znanja.
Što slijedi nakon unosa lozinke? Ovdje mogu postojati različite opcije.
Tri čimbenika provjere autentičnosti: ono što znamo; što imamo; što imamo.
Faktor broj dva - moguće sorte
Dvije vrste metoda provjere autentičnosti mogu se koristiti kao drugi faktor dvofaktorske provjere autentičnosti:
- Ono što imamo.
Hardverski identifikatori u obliku pametnih kartica, digitalno potpisanih certifikata, tokena koji generiraju jednokratne lozinke. Ovi alati za provjeru autentičnosti korisnika zahtijevaju fizičku vezu i obično poznavanje PIN-a. A na računalu s kojeg se prijavljujete morate instalirati poseban softver za interakciju s takvim identifikatorom. Nekim se korisnicima ova metoda čini ne baš zgodnom, jer autentifikatore ove vrste treba stalno nositi sa sobom i nadzirati njihovu sigurnost. Ako je pametna kartica ili OTP token ukraden ili izgubljen, autentifikacija klijenta postaje nemoguća.
- Ono što imamo.
Ova skupina uključuje integralne biometrijske karakteristike osobe. To mogu biti otisci prstiju, uzorak mrežnice, konture lica, zvuk glasa. Identifikatori ovog tipa ne koriste kriptografske metode i sredstva. Najčešće se autentifikacija temeljena na biometriji koristi za kontrolu pristupa prostorijama ili opremi - na primjer, na ulazima poduzeća i organizacija.
Za korištenje u uvjetima udaljenosti provjerenih i provjeravajućih (kao što se to događa na Internetu), jednokratne lozinke dodatno zaštićene PIN kodom su najprikladnije i najpouzdanije. Privremena lozinka je dobra upravo zato što je relevantna samo za jednu sesiju. Čak i ako OTP lozinku presretnu napadači, ona će biti beskorisna kada je pokušate ponovno upotrijebiti.
Načini generiranja jednokratnih lozinki
Kako bi se razumjelo kako funkcionira dvofaktorska autentifikacija, važno je razumjeti odakle dolaze privremene lozinke i kako postaju poznate legitimnom korisniku koji ulazi u sustav.
Postoji nekoliko načina za dostavu lozinke primatelju:
- poslati e-mailom;
- poslati SMS na telefon;
- izdati popis lozinki unaprijed za jednokratnu upotrebu svake od njih;
- generirati na licu mjesta pomoću softverskih ili hardverskih tokena.
Stabilnost jednokratne lozinke prvenstveno se postiže korištenjem složenih algoritama za njezino generiranje, koji se stalno poboljšavaju. U rješenjima koje nudi tvrtka tri su glavna.
- HOTP - po događaju. Broj postupaka provjere autentičnosti koje je prošao određeni korisnik i tajni ključ poznat objema stranama uzimaju se kao osnova za kreiranje OTP-a. Iste vrijednosti se uzimaju u obzir prilikom autentifikacije na poslužitelju.
- TOTP - po vremenu. Ovaj algoritam provjere autentičnosti generira lozinku zadanu vremenskom parametru. Obično se ne koristi određeni broj, već trenutni interval s unaprijed definiranim granicama.
- OCRA je sustav zahtjev-odgovor. Ovaj algoritam generira jednokratne lozinke koristeći nasumične vrijednosti primljene od poslužitelja kao ulaz. Također se može nadopuniti funkcijom potpisivanja podataka, što pomaže u jačanju sigurnosti postupka provjere autentičnosti. Ova vam funkcija omogućuje uključivanje određenih parametara trenutne transakcije u izračune prilikom izrade i provjere lozinke, uključujući ne samo vrijeme, već i primatelja, valutu, iznos prijenosa. Zbog svoje visoke pouzdanosti, OCRA algoritam je najprikladniji za korištenje u najkritičnijim područjima sustava za prijenos i pohranu podataka.
Kako se generiraju jednokratne lozinke
HOTP i TOTP algoritmi se koriste za jednosmjernu provjeru autentičnosti – to jest, poslužitelj provjerava autentičnost klijenta. Kod korištenja OCRA-e može se provoditi međusobna dvosmjerna autentifikacija korisnika i stranice kojoj pristupa. Ova je točka vrlo važna za otklanjanje prijetnje lažiranja podataka i automatskog popunjavanja, koji su posebno opasni u bankarskim operacijama.
Prednosti dvofaktorske autentifikacije
Glavna prednost dvofaktorske provjere autentičnosti je međusobna podrška jednog od njezinih čimbenika drugim. U slučaju da napadači uspiju doći do prijave i trajne lozinke, nemogućnost unosa privremene lozinke može spriječiti neovlašteni pristup računu. Ako OTP token završi u rukama prevaranta, autentifikacija se neće dogoditi bez poznavanja glavne lozinke. Ova vrsta provjere autentičnosti je jaka upravo u tome što se nedostaci jednog čimbenika mogu nadoknaditi prednostima drugog. I to je ono što dvofaktorsku autentifikaciju čini tako funkcionalnom i pouzdanom.
Pažnja. Aplikacije razvijene u Yandexu zahtijevaju jednokratnu lozinku - čak ni ispravno kreirane lozinke aplikacije neće raditi.
- Prijavite se s QR kodom
- Prijenos Yandex.Key
- Glavna lozinka
Prijavite se na uslugu ili aplikaciju Yandex
Jednokratnu lozinku možete unijeti u bilo koji obrazac za autorizaciju Yandexa ili aplikacije koje je razvio Yandex.
Bilješka.
Jednokratnu lozinku morate unijeti na vrijeme dok je prikazana u aplikaciji. Ako je ostalo premalo vremena do ažuriranja, samo pričekajte novu lozinku.
Da biste dobili jednokratnu lozinku, pokrenite Yandex.Key i unesite pin kod koji ste postavili prilikom postavljanja dvofaktorske provjere autentičnosti. Aplikacija će početi generirati lozinke svakih 30 sekundi.
Yandex.Key ne provjerava PIN koji ste unijeli i generira jednokratne lozinke, čak i ako ste upisali netočan PIN. U tom slučaju, stvorene lozinke također se pokazuju netočnima i nećete se moći s njima prijaviti. Da biste unijeli ispravan pin kod, samo izađite iz aplikacije i pokrenite je ponovno.
Značajke jednokratnih lozinki:
Prijavite se s QR kodom
Neke usluge (na primjer, početna stranica Yandexa, putovnica i pošta) omogućuju vam da se prijavite na Yandex jednostavnim usmjeravanjem kamere na QR kod. Istodobno, vaš mobilni uređaj mora biti povezan s internetom kako bi Yandex.Key mogao kontaktirati poslužitelj za autorizaciju.
Kliknite na ikonu QR koda u pregledniku.
Ako u obrascu za prijavu nema takve ikone, tada se na ovu uslugu možete prijaviti samo lozinkom. U tom se slučaju možete prijaviti pomoću QR koda u putovnici, a zatim otići na željenu uslugu.
Unesite PIN kod u Yandex.Key i kliknite Prijava pomoću QR koda.
Usmjerite kameru svog uređaja prema QR kodu prikazanom u pregledniku.
Yandex.Key prepoznaje QR kod i šalje vašu prijavu i jednokratnu lozinku u Yandex.Passport. Ako prođu test, automatski ćete se prijaviti u svoj preglednik. Ako se ispostavi da je poslana lozinka netočna (na primjer, zato što ste pogrešno unijeli PIN u Yandex.Key), preglednik će prikazati standardnu poruku o netočnoj lozinki.
Prijava s Yandex računom na aplikaciju ili web-mjesto treće strane
Aplikacije ili web-mjesta kojima je potreban pristup vašim Yandex podacima ponekad zahtijevaju da unesete lozinku za prijavu na svoj račun. U takvim slučajevima jednokratne lozinke neće raditi - za svaku takvu aplikaciju mora se izraditi zasebna lozinka aplikacije.
Pažnja. U aplikacijama i uslugama Yandexa rade samo jednokratne lozinke. Čak i ako izradite lozinku aplikacije, na primjer, za Yandex.Disk, nećete se moći prijaviti s njom.
Prijenos Yandex.Key
Možete prenijeti generiranje jednokratnih zaporki na drugi uređaj ili postaviti Yandex.Key na nekoliko uređaja istovremeno. Da biste to učinili, otvorite stranicu Kontrola pristupa i kliknite gumb Zamjena uređaja.
Nekoliko računa u Yandex.Key
Isti Yandex.Key može se koristiti za više računa s jednokratnim lozinkama. Za dodavanje drugog računa u aplikaciju, prilikom postavljanja jednokratnih zaporki u koraku 3, dodirnite ikonu u aplikaciji. Osim toga, možete dodati generiranje lozinke u Yandex.Key za druge usluge koje podržavaju takvu dvofaktorsku provjeru autentičnosti. Upute za najpopularnije usluge nalaze se na stranici o stvaranju verifikacijskih kodova koji nisu Yandex.
Da biste prekinuli vezu računa s Yandex.Keyom, dodirnite i držite odgovarajući portret u aplikaciji dok se desno od njega ne pojavi križ. Kada kliknete na križić, veza vašeg računa s Yandex.Key će biti uklonjena.
Pažnja. Ako izbrišete račun koji ima omogućenu jednokratnu zaporku, nećete moći dobiti jednokratnu lozinku za prijavu na Yandex. U tom slučaju bit će potrebno vratiti pristup.
Otisak prsta umjesto PIN-a
Otisak prsta umjesto PIN koda može se koristiti na sljedećim uređajima:
pametni telefoni koji koriste Android 6.0 i skener otiska prsta;
iPhone počevši od modela 5s;
iPad počevši od Air 2.
Bilješka.
Na iOS pametnim telefonima i tabletima, otisak prsta može se zaobići unosom šifre uređaja. Da biste se zaštitili od toga, uključite glavnu lozinku ili promijenite lozinku u složeniju: otvorite aplikaciju Postavke i odaberite Touch ID i lozinka .
Za korištenje omogućavanja provjere otiskom prsta:
Glavna lozinka
Kako biste dodatno zaštitili svoje jednokratne lozinke, stvorite glavnu lozinku: → Glavna lozinka .
Uz glavnu lozinku možete:
pobrinite se da umjesto otiska prsta možete unijeti samo glavnu lozinku za Yandex.Key, a ne kod za zaključavanje uređaja;
Sigurnosna kopija podataka Yandex.Key
Možete sigurnosno kopirati podatke ključa na Yandex poslužitelju kako biste ih mogli vratiti ako izgubite telefon ili tablet s aplikacijom. Podaci svih računa dodanih ključu u vrijeme izrade kopije kopiraju se na poslužitelj. Ne može se stvoriti više od jedne sigurnosne kopije, svaka sljedeća kopija podataka za određeni telefonski broj zamjenjuje prethodnu.
Da biste dobili podatke iz sigurnosne kopije, trebate:
imati pristup telefonskom broju koji ste naveli prilikom izrade;
zapamtite lozinku koju ste postavili za šifriranje sigurnosne kopije.
Pažnja. Sigurnosna kopija sadrži samo prijave i tajne potrebne za generiranje jednokratnih lozinki. PIN kod koji ste postavili kada ste omogućili jednokratne lozinke na Yandexu mora se zapamtiti.
Još nije moguće izbrisati sigurnosnu kopiju s poslužitelja Yandex. Automatski će se izbrisati ako ga ne iskoristite u roku od godinu dana nakon izrade.
Napravite sigurnosnu kopiju
Odaberite stavku Napravite sigurnosnu kopiju u postavkama aplikacije.
Unesite telefonski broj na koji će sigurnosna kopija biti povezana (na primjer, "380123456789") i kliknite Dalje.
Yandex će poslati kod za potvrdu na uneseni telefonski broj. Nakon što primite kod, unesite ga u aplikaciju.
Napravite lozinku za šifriranje sigurnosne kopije vaših podataka. Ovu lozinku nije moguće povratiti, stoga pazite da je ne zaboravite ili izgubite.
Unesite svoju lozinku dvaput i kliknite gumb Gotovo. Yandex.Key će šifrirati sigurnosnu kopiju, poslati je na Yandex poslužitelj i obavijestiti vas o tome.
Vraćanje iz sigurnosne kopije
Odaberite stavku Vrati iz sigurnosne kopije u postavkama aplikacije.
Unesite telefonski broj koji ste koristili prilikom izrade sigurnosne kopije (na primjer, "380123456789") i kliknite gumb Dalje.
Ako se za navedeni broj pronađe sigurnosna kopija podataka ključa, Yandex će na ovaj telefonski broj poslati kod za potvrdu. Nakon što primite kod, unesite ga u aplikaciju.
Provjerite odgovaraju li datum i vrijeme izrade sigurnosne kopije, kao i naziv uređaja sa sigurnosnom kopijom koju želite koristiti. Zatim kliknite gumb Vrati.
Unesite lozinku koju ste postavili prilikom izrade sigurnosne kopije. Ako ga se ne sjećate, nažalost, bit će nemoguće dešifrirati sigurnosnu kopiju.
Yandex.Key će dešifrirati podatke sigurnosne kopije i obavijestiti vas da su podaci vraćeni.
Kako jednokratne lozinke ovise o točnom vremenu
Prilikom generiranja jednokratnih lozinki, Yandex.Key uzima u obzir trenutno vrijeme i vremensku zonu postavljenu na uređaju. Kada je internetska veza dostupna, ključ također traži točno vrijeme od poslužitelja: ako vrijeme na uređaju nije točno, aplikacija će ga ispraviti. Ali u nekim situacijama, čak i nakon izmjene i s ispravnim pin kodom, jednokratna lozinka bit će netočna.
Ako ste sigurni da unosite ispravno PIN kod i lozinku, ali ne možete se prijaviti:
Provjerite je li vaš uređaj postavljen na točno vrijeme i vremensku zonu. Zatim se pokušajte prijaviti s novom jednokratnom lozinkom.
Povežite svoj uređaj s internetom kako bi Yandex.Key mogao sam dobiti točno vrijeme. Zatim ponovno pokrenite aplikaciju i pokušajte unijeti novu jednokratnu lozinku.
Ako se problem nastavi, kontaktirajte podršku putem obrasca u nastavku.
Ostavite povratne informacije o dvofaktorskoj autentifikaciji
Da shvatim što je dvofaktorska autentifikacija i kako se obično provodi, trebali biste saznati što je općenito autentifikacija. Ako ne komplicirate, onda je autentifikacija proces kada korisnik dokaže da je upravo onakav kakvim se predstavio.
Na primjer, kada se prijavite, unesete svoje korisničko ime i lozinku i time dokažete da znate tajni ključ, što znači da potvrđujete da ste vi, a ne autsajder. U ovom slučaju, poznavanje lozinke je takozvani "faktor autentifikacije".
Ali lozinka može biti vrlo jednostavna, a napadač je lako može pokupiti ili jednostavno biti na komadu papira ispod tipkovnice (što je, naravno, pogrešno). Unos lozinke omogućit će napadaču da dokaže sustavu da zna lozinku, te stoga ima pravo koristiti ovaj sustav.
Stoga je, kako bi se sustav zaštitio od takvih situacija, uobičajeno koristiti dva čimbenika provjere autentičnosti istovremeno: na primjer, lozinku i pametnu karticu. U ovom slučaju, drugi čimbenik provjere autentičnosti bit će činjenica posjedovanja pametne kartice. Sustav će provjeriti lozinku i pametnu karticu i ako je sve ispravno pustit će vas u sustav.
Dvofaktorska autentifikacija i elektronički digitalni potpis
Vrlo često se za elektronički potpis koristi dvofaktorska autentifikacija. Digitalni potpis ispod dokumenta obično je sličan rukom pisanom potpisu na papirnatom dokumentu, stoga je vrlo važno da vaš elektronički potpis ne mogu staviti uljezi umjesto vas.
Najčešće se radi osiguranja vašeg elektroničkog potpisa on snima (točnije, certifikat elektroničkog potpisa) na tokenu. Znak- Riječ je o posebnom uređaju koji se često koristi za pohranu certifikata elektroničkog potpisa. Vaš elektronički potpis na tokenu zaštićen je lozinkom, pa ga napadači niti u slučaju krađe neće moći koristiti. U ovom slučaju, prvi faktor provjere autentičnosti bit će činjenica posjedovanja tokena, a drugi će biti poznavanje lozinke za pristup elektroničkom potpisu na tokenu.
Za pohranu certifikata elektroničkog potpisa preporučujemo sljedeće modele tokena:
Dvofaktorska autentifikacija za prijavu
Organizacije često pohranjuju vrlo osjetljive podatke na svoja računala, što može biti poslovna tajna, koju, naravno, mogu loviti konkurenti i drugi uljezi. A korištenje običnih lozinki nije dovoljno da jamči sigurnost informacija.
Kako bi zaštitili podatke na računalima svojih zaposlenika, koriste se dva pristupa autentifikaciji:
- osigurati proces prijave
U sklopu ovog pristupa na računalo se instalira softverski proizvod koji počinje zahtijevati token prilikom prijave, a također osigurava da se token stalno ubacuje. Ako izvadite token, računalo će se odmah zaključati.
Ova metoda je dobra za korištenje tamo gdje su prostori zaštićeni i nitko ne može fizički ukrasti računalo ili njegov tvrdi disk.
- zaštitite sve podatke na računalu
Postoji i način za šifriranje svih podataka na računalu i zahtijevanje od korisnika da unese lozinku i umetne token u trenutku kada se računalo pokrene. Ako je lozinka netočna ili je token netočan, tada se podaci jednostavno neće dešifrirati, a čak ni u slučaju krađe napadač neće moći koristiti informacije s računala.
Korisnik. I ne govorimo samo o računu, spremljenim kontaktima i porukama, već i o osobnim dokumentima i datotekama. Najvišu razinu zaštite podataka jamči Appleova dvofaktorska autentifikacija, kada se za pristup osobnim podacima moraju unijeti dva posebna brojčana koda u nizu.
Kako radi
Glavna značajka Appleovog novog sigurnosnog sustava je jamstvo da samo vi možete ući u uređaj, čak i ako je lozinka poznata drugima. Uz potvrdu u dva koraka, možete se prijaviti na svoj račun samo s pouzdanih iPhone, iPad ili Mac uređaja. Istodobno, za provjeru autentičnosti s dva faktora potrebno je da uzastopno unesete dvije vrste lozinke: običnu i šesteroznamenkasti verifikacijski kod, koji će se automatski prikazati na provjerenom gadgetu.
Na primjer, imate Mac prijenosno računalo i želite se prijaviti na svoj račun na nedavno kupljenom iPadu. Da biste to učinili, prvo unesite svoje korisničko ime i lozinku, a zatim kontrolni kod koji se automatski pojavljuje na ekranu vašeg prijenosnog računala.
Nakon toga će Appleova dvofaktorska autentifikacija "zapamtiti" vaš uređaj i otvoriti pristup osobnim podacima bez dodatne provjere. Također možete učiniti preglednik bilo kojeg računala pouzdanim postavljanjem ove opcije kada se prvi put prijavite na svoj račun.
Pouzdani uređaji
Možete napraviti gadget kojem vjeruje samo Apple. Štoviše, operativni sustav instaliran na njemu mora biti najmanje iOS 9 za mobilne uređaje i najmanje OS X El Capitan za prijenosna i osobna računala. “Provjera autentičnosti s dva faktora” to objašnjava činjenicom da samo u tom slučaju Apple može jamčiti da laptop koji koristite pripada vama.
Šestoznamenkasti kodovi za provjeru mogu se slati ne samo na pouzdane uređaje, već i na brojeve mobilnih uređaja. Istodobno, način potvrđivanja broja i gadgeta se ne razlikuje. Također je vrijedno zapamtiti da će u svakom slučaju, bez obzira na način na koji koristite kontrolni kod, dvofaktorska autentifikacija zahtijevati da znate svoj vlastiti Apple ID. Naučite ga napamet, inače riskirate da nećete dobiti pristup svom računu.
Novi stupanj zaštite
Svaki put kada se prijavite na svoj korisnički račun, podaci o vašoj lokaciji šalju se na pouzdane uređaje. U slučajevima kada odgovara vašoj stvarnoj lokaciji, možete dopustiti unos pritiskom na gumb koji se pojavi.
Ako vam dvofaktorska autentifikacija nudi mogućnost prijave na drugom uređaju, iako lokacija uređaja trenutačno ne odgovara vašoj, trebali biste onemogućiti ovu radnju. To ukazuje na neovlašteni pristup vašem gadgetu, a može poslužiti i kao signal o lokaciji uljeza koji vam je ukrao telefon.
Onemogućavanje zaštite od dva faktora
Izričito se preporuča ne provoditi nikakve manipulacije s uređajem koje mogu onemogućiti Appleovu dvofaktornu autentifikaciju, jer će to smanjiti stupanj sigurnosti vašeg gadgeta. Međutim, u nekim slučajevima to jednostavno nije potrebno. Na primjer, stalno koristite i prijenosno računalo i pametni telefon. U ovom slučaju nema potrebe za potvrđivanjem identiteta i, štoviše, postupak je vrlo naporan.
Postoje dva načina za onemogućavanje Appleove dvofaktorske provjere autentičnosti. U prvom slučaju, morate se prijaviti na svoj račun, odabrati izbornik "Uredi" i odabrati odgovarajuću opciju u stavci izbornika "Sigurnost". Potvrdom datuma rođenja i odgovorom na sigurnosna pitanja isključit ćete zaštitu od dva faktora.
Onemogućavanje provjere autentičnosti e-pošte
Ako ustanovite da je sigurnosni sustav u dva koraka aktiviran na vašem uređaju bez vašeg znanja, možete ga onemogućiti daljinski koristeći adresu e-pošte koja je navedena u trenutku registracije ili rezervnu adresu. Kako onemogućiti dvofaktorsku autentifikaciju putem e-pošte?
Da biste to učinili, morate otvoriti pismo koje će doći u vaš poštanski sandučić odmah nakon aktivacije zaštitnog sustava. Na dnu poruke vidjet ćete željenu stavku "Isključi ...". Kliknite na nju jednom, i prijašnje postavke za zaštitu vaših osobnih podataka bit će vraćene.
Vezu morate pratiti u roku od dva tjedna od primitka poruke, inače će postati nevažeća. Sada se nećete pitati kako onemogućiti autentifikaciju u dva faktora, a znate još nekoliko Appleovih tajni.
Samo lijeni ljudi ne razbijaju lozinke. Nedavno masovno propuštanje računa s Yahooa samo potvrđuje činjenicu da sama lozinka - bez obzira koliko duga ili složena bila - više nije dovoljna za pouzdanu zaštitu. Dvofaktorska autentifikacija je ono što obećava takvu zaštitu, dodajući dodatni sloj sigurnosti.
U teoriji sve izgleda dobro, a u praksi, općenito, funkcionira. Dvofaktorska autentifikacija doista otežava hakiranje računa. Sada nije dovoljno da napadač namami, ukrade ili provali glavnu lozinku. Da biste ušli u svoj račun, morate unijeti i jednokratni kod, koji ... Ali kako se točno dobiva ovaj jednokratni kod je najzanimljivije.
Mnogo ste puta naišli na autentifikaciju s dva faktora, čak i ako nikada niste čuli za nju. Jeste li ikada unijeli jednokratni kod koji vam je poslan putem SMS-a? To je to, poseban slučaj provjere autentičnosti s dva faktora. Pomaže? Da budem iskren, ne baš dobro: napadači su već naučili kako zaobići ovu vrstu zaštite.
Danas ćemo pogledati sve vrste dvofaktorske provjere autentičnosti koje se koriste za zaštitu Google računa, Apple ID-a i Microsoft računa na Android, iOS i Windows 10 Mobile platformama.
Jabuka
Dvofaktorska autentifikacija prvi put se pojavila na Apple uređajima 2013. godine. U to vrijeme nije bilo lako uvjeriti korisnike u potrebu dodatne zaštite. Apple nije ni pokušao: dvofaktorska provjera autentičnosti (nazvana potvrda u dva koraka ili potvrda u dva koraka) korištena je samo za zaštitu od izravne financijske štete. Na primjer, jednokratni kod bio je potreban prilikom kupnje s novog uređaja, promjene lozinke i komunikacije s podrškom o temama vezanim uz Apple ID račun.
Nije dobro završilo. U kolovozu 2014. došlo je do masovnog curenja fotografija slavnih. Hakeri su uspjeli pristupiti računima žrtava i preuzeti fotografije s iClouda. Izbio je skandal, uslijed kojeg je Apple na brzinu proširio podršku za provjeru u dva koraka za pristup sigurnosnim kopijama i fotografijama u iCloudu. Istodobno, tvrtka je nastavila raditi na novoj generaciji dvofaktorske autentifikacije.
Provjera u dva koraka
Za isporuku kodova, potvrda u 2 koraka koristi mehanizam Find My Phone, koji je izvorno dizajniran za isporuku push obavijesti i naredbi za zaključavanje u slučaju gubitka ili krađe telefona. Kôd se prikazuje na vrhu zaključanog zaslona, tako da ako napadač dobije pouzdani uređaj, moći će dobiti jednokratni kod i koristiti ga bez da zna zaporku uređaja. Takav mehanizam isporuke je, iskreno, slaba karika.
Također, kod se može primiti u obliku SMS-a ili glasovnog poziva na registrirani telefonski broj. Ovaj način nije sigurniji. SIM kartica se može izvaditi iz dobro zaštićenog iPhonea i umetnuti u bilo koji drugi uređaj, a zatim na nju primiti kod. Konačno, SIM kartica se može klonirati ili uzeti od mobilnog operatera pomoću lažne punomoći - ova vrsta prijevare sada je postala jednostavno epidemija.
Ako nemate pristup pouzdanom iPhoneu ili pouzdanom telefonskom broju, tada za pristup svom računu morate koristiti poseban ključ od 14 znamenki (koji je, usput rečeno, preporučljivo ispisati i čuvati na sigurnom mjestu, i držite ga sa sobom na putovanju). Ako ga i vi izgubite, to se neće činiti dovoljnim: pristup vašem računu može se zauvijek zatvoriti.
Koliko je sigurno?
Da budem iskren, ne baš puno. Provjera u dva koraka slabo je implementirana i zasluženo je stekla reputaciju najgoreg dvofaktorskog sustava provjere autentičnosti od svih Big Three igrača. Ako nema drugog izbora, onda je provjera u dva koraka ipak bolja nego ništa. Ali postoji izbor: s izdavanjem iOS-a 9, Apple je predstavio potpuno novi sigurnosni sustav, koji je dobio jednostavan naziv "dvofaktorska autentifikacija".
Koja je točno slabost ovog sustava? Prvo, jednokratni kodovi koji se isporučuju putem mehanizma Find My Phone prikazuju se izravno na zaključanom zaslonu. Drugo, autentifikacija na temelju telefonskih brojeva nije sigurna: SMS se može presresti i na razini davatelja usluge i zamjenom ili kloniranjem SIM kartice. Ako postoji fizički pristup SIM kartici, onda je jednostavno možete instalirati u drugi uređaj i dobiti kod na potpuno legalnim osnovama.
Također imajte na umu da su kriminalci naučili kako nabaviti SIM kartice koje će zamijeniti one "izgubljene" lažnim punomoćjima. Ako je vaša lozinka ukradena, saznanje vašeg telefonskog broja je beznačajna stvar. Punomoć je krivotvorena, dobiva se nova SIM kartica - zapravo ništa drugo nije potrebno za pristup vašem računu.
Kako hakirati Apple autentifikaciju
Hakiranje ove varijante dvofaktorske autentifikacije prilično je jednostavno. Postoji nekoliko opcija:
- pročitajte jednokratni kod s pouzdanog uređaja - nije potrebno otključati;
- premjestite SIM karticu na drugi uređaj, primite SMS;
- klonirajte SIM karticu, dobijete kod za nju;
- koristiti binarni token za autentifikaciju kopiran s računala korisnika.
Kako se zaštititi
Zaštita s provjerom u dva koraka nije ozbiljna. Nemojte ga uopće koristiti. Umjesto toga uključite pravu dvofaktorsku provjeru autentičnosti.
Dvofaktorska autentifikacija
Appleov drugi pokušaj službeno se zove "dvofaktorska autentikacija". Umjesto zamjene prethodne sheme provjere u dva koraka, dva sustava postoje paralelno (međutim, samo jedna od dvije sheme može se koristiti unutar istog računa).
Dvofaktorska autentifikacija pojavila se kao sastavni dio iOS-a 9 i verzije macOS-a koja je objavljena istodobno s njim. Nova metoda uključuje dodatnu provjeru svaki put kada se pokušate prijaviti na svoj Apple ID račun s novog uređaja: svi pouzdani uređaji (iPhone, iPad, iPod Touch i računala s najnovijim verzijama macOS-a) odmah primaju interaktivnu obavijest. Za pristup obavijesti potrebno je otključati uređaj (lozinkom ili senzorom otiska prsta), a za primanje jednokratnog koda potrebno je kliknuti na gumb za potvrdu u dijaloškom okviru.
Kao iu prethodnoj metodi, u novoj shemi moguće je primiti jednokratnu lozinku u obliku SMS-a ili glasovnog poziva na pouzdani telefonski broj. No, za razliku od potvrde u dva koraka, push obavijesti će u svakom slučaju biti dostavljene korisniku, a korisnik može blokirati neovlašteni pokušaj prijave na račun s bilo kojeg svog uređaja.
Podržane su i lozinke aplikacije. Ali Apple je odbio kod za oporavak pristupa: ako izgubite svoj jedini iPhone zajedno s pouzdanom SIM karticom (koju iz nekog razloga ne možete oporaviti), da biste vratili pristup svom računu, morat ćete proći kroz pravu potragu s provjerom identiteta (i ne, skeniranje putovnice nije takva potvrda ... a original, kako kažu, "ne radi").
Ali u novom sustavu zaštite bilo je mjesta za prikladnu i poznatu offline shemu za generiranje jednokratnih kodova. Koristi potpuno standardni TOTP (time-based jednokratna lozinka) mehanizam, koji generira šesteroznamenkasti jednokratni kod svakih trideset sekundi. Ovi kodovi su vezani za točno vrijeme, a sam pouzdani uređaj djeluje kao generator (autentifikator). Kodovi se kopaju iz dubine postavki sustava iPhone ili iPad putem Apple ID-a -> Lozinka i sigurnost.
Nećemo detaljno objašnjavati što je TOTP i s čime se jede, ali ipak moramo govoriti o glavnim razlikama između implementacije ove metode u iOS-u i slične sheme u Androidu i Windowsu.
Za razliku od svojih glavnih konkurenata, Apple dopušta samo korištenje vlastitih uređaja kao autentifikatora. Mogu biti pouzdani iPhonei, iPadi ili iPod Touches koji imaju iOS 9 ili 10. Osim toga, svaki uređaj je inicijaliziran jedinstvenom tajnom, što olakšava i bezbolno opoziva status pouzdanog uređaja (i samo s njega) ako je izgubljeno. Ako je Googleov autentifikator ugrožen, tada ćete morati opozvati (i ponovno inicijalizirati) status svih inicijaliziranih autentifikatora, budući da je Google odlučio koristiti jednu tajnu za inicijalizaciju.
Koliko je sigurno
U usporedbi s prethodnom implementacijom, nova shema je još sigurnija. Zahvaljujući podršci operativnog sustava, nova shema je dosljednija, logičnija i lakša za korištenje, što je važno u smislu angažmana korisnika. Sustav za dostavu jednokratnih lozinki također je značajno redizajniran; jedina preostala slaba karika je dostava na pouzdani telefonski broj, koji korisnik još uvijek mora bez greške provjeriti.
Sada, kada se pokušava prijaviti na račun, korisnik odmah prima push obavijesti na sve pouzdane uređaje i ima priliku odbiti pokušaj. Međutim, uz dovoljno brze radnje, napadač može imati vremena za pristup računu.
Kako hakirati dvofaktorsku autentifikaciju
Kao iu prethodnoj shemi, dvofaktorska autentifikacija se može hakirati pomoću tokena za provjeru autentičnosti kopiranog s računala korisnika. Napad na SIM karticu će također funkcionirati, ali pokušaj primanja koda putem SMS-a i dalje će pokrenuti obavijesti na svim pouzdanim uređajima korisnika, a on može imati vremena odbiti unos. Ali više neće biti moguće vidjeti kod na zaslonu zaključanog uređaja: morat ćete otključati uređaj i dati potvrdu u dijaloškom okviru.
Kako se zaštititi
U novom sustavu nije ostalo puno ranjivosti. Ako bi Apple odustao od obveznog dodavanja pouzdanog telefonskog broja (a barem jedan telefonski broj bi morao biti verificiran da bi se aktivirala dvofaktorska autentikacija), to bi se moglo nazvati idealnim. Nažalost, potreba za provjerom telefonskog broja dodaje ozbiljnu ranjivost. Možete se pokušati zaštititi na isti način kao što štitite broj koji prima jednokratne lozinke od banke.
I dalje dostupno samo pretplatnicima
Opcija 1. Pretplatite se na "Hacker" da biste pročitali sve materijale na stranici
Pretplata će vam omogućiti čitanje SVE plaćene materijale stranice tijekom navedenog razdoblja. Prihvaćamo plaćanje bankovnim karticama, elektroničkim novcem i transfere s računa mobilnih operatera.
