Kako postaviti Apple ID autentifikaciju u dva faktora na iPhoneu, iPadu i Macu. Prijavite se s dvofaktorskom autentifikacijom

26.08.2019 U kontaktu s

Možda toga niste svjesni, ali redovito koristite dvofaktorsku provjeru autentičnosti. Kada putem interneta prenosite novac sa svoje debitne kartice, od vas se traži da unesete lozinku ili kod za provjeru putem SMS-a? Ovo je također oblik dvofaktorske provjere autentičnosti.

Dvofaktorska provjera autentičnosti zahtijeva dva načina za provjeru vašeg identiteta, a može se koristiti i za zaštitu različitih online identiteta. Ovo nije savršena sigurnost i zahtijeva dodatni korak prilikom prijave na vaše račune, ali čini vaše podatke sigurnijima na mreži.

Kako funkcionira dvofaktorska autentifikacija na internetu?

Dvofaktorska provjera autentičnosti (2FA), poznata i kao dvofaktorska provjera autentičnosti ili višefaktorska provjera autentičnosti, naširoko se koristi za dodavanje još jednog sloja sigurnosti vašim mrežnim računima. Najčešći oblik dvofaktorske autentifikacije prilikom prijave na račun je postupak unosa lozinke i zatim primanja koda putem SMS-a na vaš telefon, koji potom unosite na web mjesto ili aplikaciju. Druga razina dvofaktorske autentifikacije znači da bi haker ili druga opaka osoba morala ukrasti vašu lozinku zajedno s vašim telefonom kako bi dobila pristup vašem računu.

Postoje tri vrste autentifikacije:

Nešto što znate: lozinka, PIN, poštanski broj ili odgovor na pitanje (djevojačko prezime majke, ime kućnog ljubimca itd.)
Nešto što imate: telefon, kreditna kartica itd.
Nešto biometrijsko: otisak prsta, mrežnica, lice ili glas.

Kako djeluje drugi faktor?

Nakon unosa lozinke (prvi faktor autentifikacije), obično putem SMS-a stiže drugi faktor. Odnosno, primit ćete SMS s numeričkim kodom koji ćete morati unijeti da biste se prijavili na svoj račun. Za razliku od PIN-a debitne kartice, 2FA kod se koristi samo jednom. Svaki put kada se prijavite na ovaj račun, bit će vam poslan novi kod.

Alternativno, možete koristiti namjensku aplikaciju za autentifikaciju za primanje kodova umjesto da ih šaljete putem SMS-a. Popularne aplikacije za autentifikaciju su Google Authenticator, Authy i DuoMobile.

Što je bolje koristiti SMS ili aplikaciju?

Mnoga mjesta i usluge, uključujući Amazon, Dropbox, Google i Microsoft, daju vam mogućnost korištenja SMS-a ili aplikacije za autentifikaciju. Twitter je najistaknutiji primjer stranice koja vas prisiljava na korištenje SMS-a. Ako imate izbora, upotrijebite aplikaciju za autentifikaciju.

Primanje kodova putem SMS-a manje je sigurno od upotrebe aplikacije za autentifikaciju. Haker bi mogao presresti tekstualnu poruku ili oteti vaš telefonski broj i uvjeriti vašeg operatera da ga prenese na drugi uređaj. Ili, ako sinkronizirate tekstualne poruke sa svojim računalom, haker bi mogao dobiti pristup SMS kodovima krađom vašeg računala.

Aplikacija za autentifikaciju ima prednost jer se ne mora oslanjati na svog operatera. Kodovi se šalju na vaš telefon na temelju tajnog algoritma šifriranja i trenutnog vremena. Kodovi brzo istječu, obično nakon 30 ili 60 sekundi.
Budući da aplikacija za autentifikaciju ne treba vašeg mobilnog operatera za prijenos kodova, oni će ostati u aplikaciji čak i ako haker uspije prenijeti vaš broj na novi telefon. Aplikacija za provjeru autentičnosti radi i kada nemate mobilnu mrežu - to je dodatni bonus.

Korištenje aplikacije za autentifikaciju zahtijeva malo dodatnog podešavanja, ali pruža bolju sigurnost od SMS-a. Da biste postavili aplikaciju za autentifikaciju, trebate instalirati aplikaciju na svoj telefon, a zatim postaviti zajednički tajni token (dugi niz koda) između aplikacije i vaših računa. To se obično radi skeniranjem QR koda kamerom vašeg telefona. Međutim, jednom kada je postavljena, aplikacija za autentifikaciju eliminira potrebu za unosom koda; jednostavno dodirnete obavijest aplikacije da biste se prijavili na jedan od svojih računa.

Što ako nemam telefon?

Mnoge online usluge, poput Dropboxa, Facebooka, Googlea i Instagrama, omogućuju vam stvaranje rezervnih kodova koje možete ispisati ili napraviti snimku zaslona. Na ovaj način, ako izgubite telefon ili ne vidite signal mobitela, možete upotrijebiti pričuvni kod kao drugi faktor provjere autentičnosti za prijavu. Samo pazite da ispis pričuvnih kodova čuvate na sigurnom mjestu.

Hoće li 2FA učiniti moje račune sigurnijima?

Nijedan sigurnosni proizvod ne može tvrditi da ima savršenu, besprijekornu zaštitu, ali kombiniranjem dvije od tri gore navedene vrste provjere autentičnosti, 2FA otežava svakome pristup vašem računu. Ne samo da otežavate napade na vaše račune, već i činite svoje račune manje privlačnima hakerima.

Shvatite to kao zaštitu svog doma. Ako imate sustav zaštite doma, smanjujete vjerojatnost provale. Ako imate glasnog, velikog psa, također smanjujete vjerojatnost provale. Kombinirate li sigurnosni sustav s velikim psom, tada je u vaš dom još teže provaliti i bit ćete manje atraktivna meta. Većina će provalnika jednostavno pronaći lakšu opciju, bez alarma i mogućnosti ugriza psa.

Isto tako, dvofaktorska autentifikacija sprječava većinu hakera da ciljaju vaš račun. Mnogi će jednostavno krenuti dalje i pronaći lakše račune za hakiranje. A ako vas ciljaju, trebat će im više od vaše lozinke. Osim vaše lozinke, haker će također trebati vaš telefon ili pristupiti tokenima instaliranim na vašem telefonu putem mehanizma za autentifikaciju, korištenjem phishing napada, zlonamjernog softvera ili aktiviranjem oporavka računa, gdje se vaša lozinka poništava, a 2FA se zatim onemogućuje. Ovo je dodatni i težak posao.

Koliko je više gnjavaža korištenje 2FA?

Ne znam bih li to nazvao gnjavažom ili ne, ali 2FA zahtijeva dodatni korak prilikom prijave na vaše račune. Morat ćete unijeti svoju lozinku, pričekati da kod stigne putem SMS-a, a zatim unijeti kod. Ili, ako koristite aplikaciju za autentifikaciju, morat ćete pričekati obavijest koju možete dodirnuti kako biste potvrdili da ste vi.

Koristim 2FA autentifikaciju na mnogim svojim mrežnim računima i smatram da je to manje problema od upotrebe jake lozinke ili zaporke koja kombinira velika i mala slova, brojeve i simbole. I dok već govorim o jakim lozinkama, dopustite mi da kažem da je korištenje 2FA kao izgovora za korištenje slabijih lozinki koje je lakše upisati loša ideja. Nemojte oslabiti svoj prvi zaštitni faktor samo zato što ste dodali drugi.

Kako omogućiti 2FA?

Mnoga mjesta i usluge nude 2FA, ali ga nazivaju različitim imenima. U nastavku su brzi načini za omogućavanje dvofaktorske provjere autentičnosti na nekim od najpopularnijih internetskih usluga.

Dropbox.
Kliknite svoje ime u gornjem desnom kutu vašeg Dropbox računa i idite na Postavke > Sigurnost i vidjet ćete status naveden na vrhu stranice za potvrdu u dva koraka. Pokraj statusa "Onemogućeno" kliknite vezu (kliknite da biste omogućili), a zatim kliknite gumb "Odakle početi". Zatim možete postaviti primanje kontrolnih kodova putem SMS-a na svoj telefon ili u aplikaciji kao što je Google Authenticator. Za više informacija pogledajte upute za Dropbox.

Facebook.
Kliknite gumb trokuta u gornjem desnom kutu, odaberite Postavke > Sigurnost i kliknite Uredi desno od Potvrde prijave. Zatim kliknite "Omogući" pored mjesta gdje piše "Dvofaktorska provjera autentičnosti trenutno je onemogućena." Za više informacija pogledajte

Pokazat ću vam kako zaštititi svoj Mail račun omogućavanjem dvofaktorske provjere autentičnosti na Mailu. Nakon što unesete lozinku za svoj Mail račun, na telefon ćete dobiti SMS kod koji ćete morati unijeti za prijavu na svoj Mail račun.

1. Omogućite dvofaktorsku provjeru autentičnosti.

Idite na mail.ru, a zatim se prijavite na svoj račun unosom korisničkog imena i lozinke. Zatim, nakon prijave na svoj račun u gornjem desnom kutu, kliknite na postavke.

U postavkama unesite lozinku i sigurnost. A s desne strane nalazi se stavka koja se zove Sigurna prijava s SMS potvrdom. Pritisnite omogućiti.

Želite li doista omogućiti Yandex dvofaktorsku autentifikaciju?

Dvofaktorska autentifikacija pruža dodatni sloj sigurnosti za vaš račun. Nakon što je provjera autentičnosti omogućena, kada se pokušate prijaviti u svoj poštanski sandučić, morat ćete unijeti kod poslan kao SMS na povezani telefonski broj.

Unesite lozinku za svoj račun, navedite svoj telefonski broj i kliknite Nastavi.

Omogućena je dvofaktorska autentifikacija.

Dodajte lozinke za svaku aplikaciju.

Imajte na umu da su sve vanjske aplikacije u kojima ste koristili ovaj poštanski sandučić prestale raditi. Da biste ih ponovno počeli koristiti, idite na postavke i stvorite zaporke za svaku.

Kliknite na postavljanje dvofaktorske provjere autentičnosti.

To je sve. Dvofaktorska autentifikacija već radi. Sada, nakon unosa lozinke za vaš mail.ru račun, dobit ćete SMS kod na svoj telefon, koji ćete morati unijeti da biste se prijavili na svoj račun. Dakle, ako netko sazna lozinku vašeg računa, i dalje se neće moći prijaviti na njega, jer će morati unijeti SMS kod, a SMS kod će biti poslan na vaš telefon.

2. Stvorite lozinku za vanjske aplikacije.

Možete nastaviti s postavljanjem i prilagodbom The Bat! i Microsoft Outlook, ako ih koristite i tamo imate dodan svoj mail.ru poštanski sandučić. Pritisnite dodaj aplikaciju.

Izrada nove aplikacije. Za rad pošte u aplikacijama trećih strana potrebna je lozinka aplikacije.

Smislite naziv za ovu aplikaciju i kliknite na Create.

Unesite trenutnu lozinku za svoj mail.ru račun i kliknite Prihvati.

Aplikacija je uspješno izrađena. Vidjet ćete automatski generiranu lozinku za vaš The Bat! ili Microsoft Outlook, ako ih uopće koristite.

3. Izradite jednokratne kodove.

Također možete generirati jednokratnu lozinku. Ovo je u slučaju da je vaš telefon nedostupan ili vam je ukraden i ne možete koristiti svoj broj.

Jednokratni kod se može koristiti kada nema pristupa povezanom mobilnom telefonu. Svaki od njih nakon upotrebe postaje neaktivan. Nakon ponovnog generiranja kodova, svi stari kodovi postaju nevažeći. Imajte na umu da će vam se prikazati samo jednom. Preporuča se ispisati generirane kodove i čuvati ih na sigurnom mjestu.

Kliknite generiraj.

Jeste li sigurni da želite generirati novu tablicu kodova? Imajte na umu da vaši stari kodovi više neće biti valjani.

Pritisnite Nastavi.

Unesite trenutnu lozinku za svoj mail.ru račun i SMS kod koji će biti poslan na vaš broj.

Pritisnite Prihvati.

Jednokratni kodovi (koji se obično generiraju i šalju vam putem SMS-a) bit će generirani za vas. Spremite ih negdje (samo ne u svoj telefon, jer su za slučaj da nemate telefon sa sobom). Pa, nemoj ih nikome pokazivati. A ako uvijek držite svoj telefon sa sobom i sigurni ste da neće biti ukraden i da uvijek možete vratiti svoj broj, onda uopće ne možete koristiti jednokratne kodove i izbrisati ih.

Sada kada se pokušate prijaviti u svoju poštu na pametnom telefonu ili tabletu ili negdje drugdje, unesite svoje korisničko ime i lozinku i kliknite na prijavu.

Također ćete morati unijeti SMS kod koji će biti poslan na vaš broj ili generirani jednokratni kod. Ako više ne želite unositi SMS kod svaki put kada provjeravate e-poštu na svom pametnom telefonu, na primjer, označite kućicu Ne pitaj za ovaj uređaj.

A ako ne primite SMS kod, onda pritisnite problemi s prijavom?

Ako ne primite poruku u roku od nekoliko sekundi ili minuta, možete zatražiti ponovno slanje. Pritisnite Zahtjev.

A kada SMS kod stigne na vaš telefon, unesite ga i pritisnite enter.

Prije svega, zahvaljujući ovoj metodi zaštite, možete biti sigurni da ćete samo vi imati pristup svom računu, čak i ako lozinka padne u ruke trećih strana.

U kontaktu s

Kako funkcionira dvofaktorska provjera autentičnosti

Ova metoda zaštite omogućuje vam prijavu na svoj Apple ID račun samo s pouzdanih uređaja. Ovo posljednje uključuje korisnikov iPhone, iPad ili Mac koji je sustav verificirao. Naime: kada prvi put pristupite svom računu, usluga će od vas tražiti da unesete lozinku i šesteroznamenkasti kod, koji će se prikazati na zaslonu pouzdanog gadgeta. Na primjer, ako korisnik ima iPhone i želi se prijaviti na svoj račun s tek kupljenog iPada (ili Maca), sustav će od njega tražiti da unese lozinku i kod - potonji će biti poslani na pametni telefon.

Što to daje korisniku? Budući da ćete za prijavu na svoj račun trebati više od obične lozinke, to će značajno zaštititi i vaš Apple ID i podatke pohranjene na Apple poslužiteljima. Nakon što dobijete pristup, više nećete morati unositi kontrolni kod. Osim u slučajevima kada se izvrši potpuni izlaz, brišu se svi podaci iz gadgeta ili se mijenja lozinka. Također možete navesti određeni preglednik kao pouzdan ako se korisnik prijavi na račun s njega (pod uvjetom da će to učiniti s pouzdanog uređaja) - to će eliminirati potrebu za potvrđivanjem pristupa svaki put.

Pouzdani (provjereni) uređaji

Pouzdani uređaji uključuju iPhone, iPad, iPod touch ili Mac s operativnim sustavom iOS 9 ili OS X El Capitan (ili njihovim najnovijim ažuriranjima). Ovi gadgeti moraju biti prijavljeni na vaš Apple ID pomoću dvofaktorske provjere autentičnosti. Drugim riječima, verificirani uređaji uključuju one za koje sustav sa sigurnošću može znati da pripadaju određenom vlasniku, a to se može provjeriti slanjem kontrolnog koda na njegov gadget.

Provjereni telefonski brojevi

Pouzdani telefonski broj je broj na koji korisnik očekuje da primi digitalni kod koji šalje sustav u obliku tekstualnih poruka i poziva. Naravno, da biste koristili značajku dvofaktorske provjere autentičnosti, morate imati barem jedan verificirani telefonski broj.

U slučaju da iznenada nemate pouzdani uređaj pri ruci, ima smisla uključiti svoj kućni broj, broj rođaka ili bliskog prijatelja među provjerene brojeve. To će vam omogućiti da se prijavite na svoj Apple ID račun ako iz nekog razloga nemate svoj gadget u blizini.

Što je kontrolni kod

Ovo je šifra koju sustav šalje pouzdanom uređaju ili pouzdanom telefonskom broju korisnika kako bi se potvrdio njegov identitet kada se prvi put prijavljuje na svoj račun. Također možete zatražiti takav kod na svom pouzdanom gadgetu u " postavke" Treba imati na umu da lozinka i šifra nisu isto. Korisnik sam kreira lozinku, a sustav mu šalje šifru.

Kako postaviti dvofaktorsku autentifikaciju za Apple ID na iPhoneu, iPadu ili iPod touchu

Kako biste pristupili opciji dvofaktorske provjere autentičnosti, morate biti korisnik iClouda i imati ugrađen gadget s iOS 9 ili OS X El Capitan (ili njihovim ažuriranjima).

Ako vaš gadget ima instaliran operativni sustav iOS 10.3 ili noviji, trebate poduzeti sljedeće korake:

1. Otvoren " postavke", idite na odjeljak sa svojim imenom i otvorite stavku " lozinku i sigurnost»;

2. U prozoru koji se otvori kliknite na gumb " Upaliti"ispod stavke" Dvofaktorska autentifikacija»;

3. kliknite " Nastaviti».

Ako vaš uređaj koristi iOS 10.2 ili stariji, morate učiniti sljedeće:

1. Otvori u " postavke"poglavlje" iCloud»;

2. Odaberite svoj Apple ID i idite na " lozinku i sigurnost»;

3. U prozoru koji se otvori aktivirajte “ Dvofaktorska autentifikacija»;

4. kliknite " Nastaviti».

Provjera pouzdanog telefonskog broja

Nakon što izvršite gore navedene korake, pojavit će se prozor u kojem ćete morati navesti telefonski broj - na taj broj će naknadno biti poslan kontrolni kod. Također treba napomenuti u kojem obliku će se tražiti potvrda: u obliku tekstualne poruke ili telefonskog poziva.

Kako postaviti dvofaktorsku autentifikaciju za Apple ID na Macu

Da biste postavili dvofaktorsku autentifikaciju, morate biti iCloud korisnik i imati OS X El Capitan (i noviji) na brodu.

1 . Otvorite izbornik Apple i idite na " Postavke sustava" a zatim u " iCloud"I" Račun».

2 . Odaberite " Sigurnost».

3 . kliknite " Omogući dvofaktorsku autentifikaciju».

4 . Trebali biste znati da ako je provjera u dva koraka već omogućena, trebali biste je onemogućiti prije aktiviranja provjere autentičnosti u dva koraka. Također, neki Apple ID-ovi stvoreni u iOS-u 10.3 ili macOS-u 10.12.4 (ili novijim verzijama ovih operativnih sustava) mogu automatski omogućiti zaštitu dvofaktorske provjere autentičnosti.

6 . Prije svega, preporučljivo je zapamtiti lozinku za svoj račun. U protivnom se može dogoditi da ti podaci, snimljeni ili pohranjeni u neku datoteku, završe kod trećih strana.

8 . Treće, ne zaboravite odmah ažurirati popis pouzdanih telefonskih brojeva.

9 . Također je važno osigurati da uređaj ne padne u ruke stranaca.

Sve ove sigurnosne mjere mogu pružiti maksimalni stupanj zaštite za gadget i informacije pohranjene na njemu.

Upravljajte svojim Apple ID računom

Na svom računu možete uređivati podatke o pouzdanim uređajima i telefonima.

Ažurirajte potvrđene telefonske brojeve

Kako bi se koristila dvostruka provjera autentičnosti, baza podataka usluge mora imati barem jedan pouzdani telefonski broj. Ako ovaj broj treba promijeniti, slijedite ove korake:

Prijavite se na svoj Apple ID račun;
Otvori karticu " Sigurnost" i kliknite na stavku " Uredi».

Ako trebate navesti potvrđeni telefonski broj, trebate kliknuti " Dodajte potvrđeni telefonski broj" i unesite ovaj broj. To možete potvrditi navođenjem jednog od načina: slanjem koda u SMS poruci ili pozivom. Kako biste izbrisali broj koji više nije aktualan kliknite na ikonu koja se nalazi pored tog broja.

Pregled i upravljanje pouzdanim gadgetima

Informacije o gadgetima koji su dobili potvrđen status možete vidjeti u " Uređaji» na vašem Apple ID računu. Tamo također možete pronaći informacije o ovim gadgetima.

Ako je potrebno, verificirani uređaj može se ukloniti s popisa. Nakon toga neće biti moguće pristupiti iCloudu i drugim Appleovim uslugama sve dok se ponovno ne autorizira korištenjem dvofaktorske provjere autentičnosti.

Ova tvrdnja ima smisla i odnosi se prije svega na tvrtke u financijskom sektoru, kao i niz tvrtki koje se bave istraživanjem, razvojem i tehnološkim radom (R&D) u visokotehnološkim sektorima tržišta.

Koristeći ovu vrstu 2FA, korisnik upisuje osobnu lozinku na prvoj razini autentifikacije. U sljedećem koraku mora unijeti OTP token, koji se obično šalje SMS-om na njegov mobilni uređaj. Ideja metode je jasna. OTP će biti dostupan samo onima koji su, kako se u teoriji pretpostavlja, unijeli lozinku koja je drugima nedostupna.

Međutim, nažalost, slanje OTP-a putem SMS-a općenito nije sigurno jer se poruke često šalju u čistom tekstu. Čak i hakeri početnici mogu čitati takve SMS poruke, jer sve što im zapravo treba je ciljani telefonski broj.

Osim toga, višefaktorska provjera autentičnosti ne može spriječiti MitM napade, koji se često koriste u prijevarama s krađom identiteta putem e-pošte. Ako je napad uspješan, korisnik će kliknuti na lažnu poveznicu i biti odveden na stranicu sličnu internetskom bankovnom portalu. Tamo će korisnik unijeti podatke za prijavu i druge povjerljive podatke, koje će napadač koristiti za pristup pravoj stranici.

Iako će ovaj napad biti moguć samo u ograničenom vremenskom razdoblju, još uvijek je moguć.

Zahtjevi Savezne službe za tehničku i izvoznu kontrolu za provjeru autentičnosti s više faktora

Početkom 2014. Savezna služba za tehničku i izvoznu kontrolu (FSTEC) odobrila je metodološki dokument o mjerama zaštite podataka u državnim informacijskim sustavima. Dokument je razjasnio mnoge aspekte koji se tiču organizacijskih i tehničkih mjera zaštite informacija koje se poduzimaju u državnim informacijskim sustavima, u skladu s odobrenom naredbom FSTEC-a Rusije od 11. veljače 2013. br. 17.

FSTEC snažno preporučuje potpuno napuštanje uobičajene provjere autentičnosti temeljene na statičkim lozinkama za sve korisnike bez iznimke i prelazak na pouzdaniju autentifikaciju s više faktora. Obavezni zahtjevi za višestruku provjeru autentičnosti su korištenje hardverskih autentifikatora i mehanizma jednokratne lozinke za udaljeni i lokalni pristup.

Primjeri dvofaktorske i višefaktorske autentifikacije

Metoda SMS autentifikacije temelji se na korištenju jednokratne lozinke: prednost ovog pristupa u usporedbi s trajnom lozinkom je u tome što se ta lozinka ne može ponovno koristiti. Čak i ako pretpostavimo da je napadač uspio presresti podatke tijekom razmjene informacija, neće moći učinkovito iskoristiti ukradenu lozinku za pristup sustavu.

Ovdje je primjer implementiran pomoću biometrijskih uređaja i metoda provjere autentičnosti: pomoću skenera otiska prsta, koji je dostupan u brojnim modelima prijenosnih računala. Prilikom prijave, korisnik mora skenirati svoj prst, a zatim potvrditi svoje vjerodajnice lozinkom. Uspješno provedena autentifikacija dat će mu pravo korištenja lokalnih podataka određenog računala. Međutim, propisi o radu IS-a mogu predvidjeti zasebnu proceduru provjere autentičnosti za pristup mrežnim resursima tvrtke, koja, osim unosa druge lozinke, može uključivati niz zahtjeva za prezentaciju autentifikatora subjekta. Ali čak i takvom implementacijom, sigurnost sustava se nedvojbeno povećava.

Drugi biometrijski autentifikatori mogu se koristiti na sličan način:

otisci prstiju;
geometrija ruke;
obrise i dimenzije lica;
karakteristike glasa;
uzorak šarenice i mrežnice;
uzorak vene prsta.

U tom se slučaju, naravno, koristi odgovarajuća oprema i softver, a troškovi nabave i podrške mogu značajno varirati.

Međutim, vrijedi razumjeti da biometrijski autentifikatori nisu potpuno točni podaci. Otisci prstiju jednog prsta mogu se razlikovati pod utjecajem vanjskog okruženja, fiziološkog stanja ljudskog tijela itd. Za uspješnu potvrdu ovog autentifikatora dovoljno je nepotpuno podudaranje otiska prsta sa standardom. Metode biometrijske provjere autentičnosti uključuju određivanje stupnja vjerojatnosti podudaranja trenutnog autentifikatora sa standardom. Što se tiče biometrijske autentifikacije i daljinskog pristupa informacijskim sustavima, moderne tehnologije još nemaju mogućnost prijenosa pouzdanih podataka nezaštićenim kanalima – otiska prsta ili rezultata skeniranja mrežnice.

Te su tehnologije prikladnije za korištenje u korporativnim mrežama.

Najpopularnija tehnologija u ovom smjeru u bliskoj budućnosti mogla bi biti glasovna autentifikacija, a znakovi toga su očiti. Značajan broj razvoja u ovom području je već danas dostupan, projekti za uvođenje sličnih mehanizama upravljanja/kontrole našli su mjesto u nizu velikih banaka u Ruskoj Federaciji. Kao primjer praktične primjene sustava glasovne biometrijske autentifikacije možemo navesti autentifikaciju ključnom frazom koja se koristi u brojnim pozivnim centrima, zvučne lozinke za pristup sustavima internetskog bankarstva itd., potvrdu radnji osoblja prilikom obavljanja važnih operacija pristupa informacijama , kontrola fizičkog pristupa i prisutnosti u prostorijama.

Osim tehnologija povezanih s korištenjem biometrijskih autentifikatora, tu su i softverska i hardverska rješenja, kao što su samostalni ključevi za generiranje jednokratnih zaporki, čitači RFID oznaka, kripto kalkulatori, softverski i hardverski tokeni (tokeni), elektronički ključevi. raznih vrsta - Touch Memory i ključ/pametna kartica, kao i biometrijske identifikacijske kartice. Svi sustavi i metode multifaktorske autentifikacije navedeni u članku, a osim njih i sustavi kontrole i upravljanja pristupom (ACS), mogu se integrirati, kombinirati i razrađivati jedan po jedan iu kompleksu. Iz ovoga možemo zaključiti: na ruskom tržištu postoji dovoljan broj ponuda za poboljšanje zaštite informacijskih sustava, od unutarnjih i vanjskih upada. Tvrtke imaju izbor ograničen samo veličinom svog proračuna.

Zaštitnim metodama koje se temelje na tehnikama višefaktorske autentifikacije sada vjeruje veliki broj stranih tvrtki, uključujući visokotehnološke organizacije, sektore financijskih i osiguravajućih tržišta, velike bankarske institucije i poduzeća javnog sektora, neovisne stručne organizacije i istraživačke tvrtke.

Istodobno, privatne tvrtke i organizacije diljem svijeta, općenito, nisu previše voljne razgovarati o uvođenju tehnoloških inovacija u području sigurnosti i zaštite informacija, iz očiglednih razloga. O projektima u javnom sektoru zna se puno više - od 2006. godine javno su poznata uspješno implementirana tehnološka rješenja u državnim agencijama Kanade, Saudijske Arabije, Španjolske, Danske i niza drugih zemalja.

2019: Tužba protiv Applea zbog "nezakonitog" uključivanja dvofaktorske autentifikacije

Dana 11. veljače 2019. postalo je poznato da je stanovnik Kalifornije Jay Brodsky tužio Apple za "nezakonito" omogućavanje dvofaktorske autentifikacije. Brodsky se žali da dvofaktorska provjera autentičnosti znatno otežava život korisnicima jer od njih zahtijeva ne samo da zapamte lozinku, već i da imaju pristup pouzdanom telefonu ili telefonskom broju. Čitaj više.

2017: Google napušta SMS s dvofaktorskom autentifikacijom

Dokument izričito navodi da korištenje SMS poruka za dvofaktorsku autentifikaciju može biti "neprikladno" i "nesigurno" (odjeljak dokumenta 5.1.3.2).

Ovaj stavak u cijelosti glasi kako slijedi: „Ako se provjera vanjskog kanala provodi putem SMS poruke na javnoj mobilnoj telefonskoj mreži, verifikator mora osigurati da je korišteni predregistrirani telefonski broj stvarno povezan s mobilnom mrežom, a ne s VoIP-om ili druge softverske usluge. Nakon toga možete poslati SMS poruku na unaprijed registrirani broj telefona. Promjena unaprijed registriranog telefonskog broja ne bi trebala biti moguća bez dvofaktorske autentifikacije kao dijela promjene. Korištenje SMS poruka u vanjskoj provjeri autentičnosti nije dopušteno i neće biti dopušteno u budućim verzijama ovog vodiča."

Glavna zabrinutost stručnjaka iz Nacionalnog instituta za standarde i tehnologiju je da bi telefonski broj mogao biti vezan uz VoIP uslugu, osim toga, napadači bi mogli pokušati uvjeriti davatelja usluge da se telefonski broj promijenio, a takve trikove treba izvoditi nemoguće.

Dok dokument preporuča da proizvođači koriste tokene i kriptografske identifikatore u svojim aplikacijama, autori izmjena također napominju da pametni telefon ili drugi mobilni uređaj uvijek može biti ukraden ili može biti privremeno u rukama druge osobe”, stoji u dokumentu NIST-a. .

Postoji dosta mehanizama za kompromitiranje SMS lozinki i oni su već više puta korišteni, uglavnom za krađu sredstava od klijenata ruskih banaka. Dovoljno je navesti samo nekoliko metoda za hakiranje SMS lozinki:

Zamjena SIM kartice pomoću lažnih dokumenata
Iskorištavanje ranjivosti u OSS-7 protokolu
Preusmjeravanje poziva vašeg mobilnog operatera
Lažne bazne stanice
Specijalizirani trojanski programi za pametne telefone koji presreću SMS lozinke

Činjenica da mehanizam SMS lozinke koriste sve banke otvara široke mogućnosti hakerima. Očito, nakon što ste jednom napisali trojanca za pametni telefon, on se može koristiti za napad na sve ruske banke, uz minimalnu prilagodbu (trojanca).

Istodobno, može se predvidjeti da će velike banke biti prve žrtve distribucije - velika baza klijenata potonjih omogućuje prevarantima da računaju na značajne rezultate čak i uz mala stanja na računima klijenata.

Jednokratne lozinke putem SMS-a

kašnjenja isporuke
mogućnost presretanja na razini komunikacijskog kanala ili ulaska u sustav
mogućnost presretanja na razini mobilnog operatera
mogućnost preregistracije SIM kartice klijenta na prevaranta pomoću lažne punomoći (i presretanje SMS-a)
mogućnost slanja SMS poruka klijentu sa zamjenskog broja
povećanje operativnih troškova proporcionalno bazi klijenata

Jednokratne lozinke putem PUSH-a

nezajamčena isporuka
izravna zabrana Appleu/Googleu/Microsoftu korištenja povjerljivih informacija za prijenos
svrha - samo informacija

Istraživači pokazuju jednostavan napad za zaobilaženje dvofaktorske autentifikacije

Znanstvenici Vrije Universiteit Amsterdam Radhesh Krishnan Konoth, Victor van der Veen i Herbert Bos demonstrirali su praktičan napad na dvofaktorsku autentifikaciju pomoću mobilnog uređaja. Istraživači su demonstrirali Man-in-the-Browser napad na Android i iOS pametne telefone.

Problem s dvofaktorskom autentifikacijom nastao je zbog sve veće popularnosti pametnih telefona i želje vlasnika da sinkroniziraju podatke između različitih uređaja. Dvofaktorska autentifikacija oslanja se na načelo fizičkog odvajanja uređaja radi zaštite od zlonamjernog softvera. Međutim, sinkronizacija podataka čini takvu segmentaciju potpuno beskorisnom.

Istraživači su demonstrirali napad korištenjem instalacije ranjive aplikacije putem Google Playa. Uspješno su zaobišli Google Bouncer verifikaciju i aktivirali aplikaciju za presretanje jednokratnih lozinki.

Kako bi napali iOS, istraživači su koristili novu značajku OS X pod nazivom Continuity, koja vam omogućuje sinkronizaciju SMS poruka između iPhonea i Maca. Ako je ova funkcionalnost aktivirana, napadač samo treba imati pristup računalu kako bi pročitao sve SMS poruke.

Prema istraživačima, aplikacija za jednokratnu krađu lozinki dodana je na Google Play 8. srpnja 2015. i bila je dostupna korisnicima dva mjeseca prije nego što je objavljen video koji demonstrira napad.

Dva faktora autorizacije u sustavu Yandex su sljedeća: informacije o uređaju koji pripadaju određenom korisniku, a koje su pohranjene na poslužiteljima Yandexa, i korisnikovo znanje o njegovom četveroznamenkastim PIN-u (ili njegovom otisku prsta), objasnila je tvrtka.

Svaki put kada unesete PIN kod (ili kada se aktivira Touch ID), aplikacija generira jedinstveni jednokratni kod koji vrijedi 30 sekundi. U ovom slučaju, dio koda se generira iz pin koda koji znaju samo korisnik i Yandex, a dio se generira iz podataka aplikacije. Obje "tajne" su šifrirane u jednokratnom kodu. “Na ovaj način isključena je mogućnost da je jedan od faktora kompromitiran, a napadač odabire podatke drugog faktora”, dodao je Yandex.

Ako čitanje QR koda ne uspije, na primjer, kamera pametnog telefona ne radi ili nema pristupa internetu, aplikacija Yandex.Key će stvoriti jednokratnu lozinku od simbola. Također će trajati samo 30 sekundi.

Nakon prelaska na dvofaktorsku autentifikaciju, korisnička postojeća lozinka više neće raditi na svim instaliranim programima koji koriste Yandex prijavu i lozinku, uključujući Yandex.Disk, programe za e-poštu konfigurirane za prikupljanje pošte od Yandex.Mail, sinkronizaciju u Yandex.Browseru " , upozorila je tvrtka. Svaka aplikacija će trebati svoju novu lozinku - ona će biti kreirana u Yandex.Passportu, u postavci "Lozinke aplikacije". Morat će se unijeti jednom u svaku aplikaciju.

Autentifikacijski poslužitelj će integrirati procese provjere

Svrha autentifikacije je da se nekom drugom što više oteža korištenje (ukradenih, ukradenih) vjerodajnica. Ovaj bi postupak trebao biti jednostavan za legalnog korisnika, a smišljanje i pamćenje jakih zaporki s duljinom od najmanje nn znakova i uključivanjem posebnih znakova i brojeva vjerojatno će iritirati korisnike.

Tvrtka može imati nekoliko različitih informacijskih sustava i izvora resursa koji zahtijevaju autentifikaciju:

korporativni portal,
e-pošta,
CRM sustav,
udaljeni VPN pristup,

A budući da je pred korisnikom zadatak ispuniti zahtjeve sigurnosne politike u pogledu složenosti i jedinstvenosti lozinki, njeno rješavanje korisniku predstavlja određene poteškoće u ispunjavanju, au tehnološkom smislu radi se o različitim autentifikacijskim sustavima, međusobno nepovezanim, nije fleksibilan, zahtijeva veliku količinu resursa za podršku. Sve skupa dovodi do dodatnih troškova i “tromosti” tvrtke pri izmjenama metoda autentifikacije.

Poslužitelj za provjeru autentičnosti - jedan administrativni centar za sve procese provjere autentičnosti za sve aplikacije/usluge/resurse odjednom—može riješiti probleme i pomoći u rješavanju problema. Industrijski poslužitelji ove vrste podržavaju cijeli niz metoda provjere autentičnosti. U pravilu su to OATH HOTP, TOTP, OCRA, PKI certifikati, RADIUS, LDAP, obična lozinka, SMS, CAP/DPA i drugi. Svaki resurs koji koristi poslužitelj za provjeru autentičnosti može koristiti metodu koju posebno zahtijeva.

Korištenjem autentifikacijskih poslužitelja IT administratori dobivaju unificirano sučelje za upravljanje korisničkim vjerodajnicama i fleksibilne opcije za promjenu metoda autentifikacije. Poduzeća dobivaju pouzdanu zaštitu pristupa uslugama i resursima u obliku dvofaktorske autentifikacije, čime se povećava lojalnost korisnika, kako internih tako i eksternih.

Dodavanje drugog faktora za autentifikaciju, s postojećim autentifikacijskim poslužiteljem, neće zahtijevati od tvrtke izradu novog softvera i hardvera ili kupnju novih tokena.

Kao primjer: Banka A potvrdila je autentičnost vlasnika debitne ili kreditne kartice u banci klijenta korištenjem certifikata na USB tokenima. Njezine platne kartice bile su isključivo s magnetskom trakom, no u nekom trenutku banka je počela izdavati kartice s EMV čipom, što je u biti mikroračunalo. Kartica s EMV čipom može se koristiti za autentifikaciju pomoću algoritma Master Card Chip Authentication Program (CAP). Odnosno, sada Banka A može odbiti korištenje skupih PKI tokena za svakog korisnika i promijeniti ovu metodu autentifikacije u CAP, što zahtijeva samo jeftin kripto kalkulator. Banka A nakon nekog vremena počinje izdavati platne kartice s displejom i implementiranim OATH TOTP algoritmom te, kako bi korisnik poštedio korištenja dodatnog kripto kalkulatora, postavlja TOTP autentifikaciju za banku klijenta. Treba imati na umu da osim usluga daljinskog bankarstva Banka A ima i mnoge druge usluge, kako interne tako i one namijenjene klijentima ili partnerima koje zahtijevaju autentifikaciju. Za svaku aplikaciju služba informacijske sigurnosti može postaviti vlastite zahtjeve za potrebne metode autentifikacije korisnika. Sva provjera autentičnosti banke A može se obaviti na autentifikacijskom poslužitelju. Nema potrebe razvijati za svaku aplikaciju zasebno.

Ova fleksibilnost i jednostavnost dodavanja novih metoda provjere autentičnosti nije moguće postići bez poslužitelja za provjeru autentičnosti. Smanjenje vremena za ove zadatke toliko je značajno da nam omogućuje govoriti o brzini puštanja proizvoda u rad kao konkurentskoj prednosti.

Dostupnost snažne provjere autentičnosti u obliku specijaliziranog softvera omogućuje vam dodavanje multifaktora aplikacijama koje prije nisu imale takvu funkcionalnost, bez složenih izmjena. Gotovo svi informacijski sustavi, servisi i aplikacije koji ne podržavaju jaku autentifikaciju odmah po postavci mogu koristiti mogućnosti autentifikacijskog poslužitelja za korisnički pristup.

Windows, OS X, Linux i Chrome OS. Za rad s USB ključem morate koristiti preglednik Google Chrome 38 ili noviju verziju.

USB ključevi su potpuno besplatni za korištenje, ali ih korisnici moraju kupiti o vlastitom trošku. Tipke se razlikuju po dizajnu. Najskuplji model od 60 dolara opremljen je tehnologijom Java Card.

Google je 2011. pokrenuo dvofaktornu autentifikaciju slanjem SMS poruke s kontrolnim kodom. U siječnju 2013. korporacija je najavila da planira razviti i ponuditi fizička sredstva provjere identiteta. Konkretno, tada se počelo govoriti o pristupu Google servisima putem USB ključeva.

2013: Dvofaktorska autentifikacija mobilnih transakcija

Samo 34% ispitanika uvjereno je da zaposlenici mogu učiniti sve što je potrebno kako bi zaštitili tvrtku od računalnih prijetnji.

Kada razmišljate o tome kako zaštititi svoje račune na web stranicama i servisima na Internetu, prva stvar koja vam padne na pamet je autentifikacija u dva faktora (2FA). S jedne strane smanjuje vjerojatnost da će naši računi biti hakirani, s druge nas iritira jer nam otežava prijavu na njih.

U nastavku ćemo pogledati različite dostupne opcije za dvofaktorsku autentifikaciju i razbiti neke mitove u vezi s tim.

Najčešće 2FA alternative

Potvrda putem SMS-a

Među aplikacijama i uslugama uobičajeno je ponuditi dodavanje dvofaktorske autentifikacije barem putem SMS poruka, na primjer, prilikom prijave na račun. Možete koristiti 2FA svaki put kada se prijavite na svoj račun ili samo s novog uređaja. Drugi stupanj autentifikacije je pametni telefon ili mobitel.

SMS poruka se sastoji od jednokratnog koda koji je potrebno unijeti u servis ili web stranicu. Haker koji želi hakirati račun morat će pristupiti telefonu vlasnika kako bi dobio ovaj kod. Problem može biti mobilna komunikacija. Što ako se nađete na mjestu bez pokrivenosti ili putujete bez pristupa svom operateru? Tada se sami nećete moći prijaviti na svoj račun bez primanja pristupnog koda.

U većini slučajeva ova je metoda prikladna jer gotovo svi imaju telefon i uvijek su u blizini. Neke usluge imaju automatske sustave koji izgovaraju kod naglas, što vam omogućuje da ga primite čak i putem žičanog telefona.

Google autentifikator/kodovi generirani u aplikaciji

Potencijalno bolja alternativa SMS-u jer se ne oslanja na operatera. Vjerojatno ste već koristili barem jednu aplikaciju za generiranje koda. Google Authenticator za Android i iPhone najpopularnija je ponuda u ovoj kategoriji softvera.

Nakon postavljanja određene usluge za korištenje Autentifikatora, pojavit će se prozor u kojem se od vas traži da unesete autorizacijski kod zajedno s prijavom i zaporkom. Aplikacija Google Authenticator na vašem pametnom telefonu izdat će ovaj kod. Vijek trajanja koda izračunava se u minutama, stoga ga morate unijeti na vrijeme ili ćete morati nabaviti drugi. Iako je Google u nazivu, ovdje možete dodati brojne usluge osim Gmaila, uključujući Dropbox, LastPass, Amazon Web Services, Evernote i druge.

Ako ne vjerujete Googleu, postoji niz alternativa, a Authy je najbolja. Authy nudi šifrirane sigurnosne kopije generiranih kodova, podršku za više platformi i izvanmrežnu funkcionalnost. LastPass je također nedavno pokrenuo vlastiti autentifikator.

Ove aplikacije generiraju godine sa i bez pristupa internetu. Jedina mana je kompliciran proces instaliranja aplikacija.

Fizička sredstva autentifikacije

Ako korištenje kodova, aplikacija i tekstualnih poruka zvuči previše komplicirano, postoji još jedna opcija: fizički autentifikacijski ključevi. Ovo je mali USB uređaj koji se može nositi zajedno s ključevima (kao što je sigurnosni ključ FIDO U2F prikazan na slici.) Kada se prijavljujete na svoj račun na novom računalu, umetnite USB ključ i pritisnite gumb.

Brojne tvrtke rade na stvaranju standarda pod nazivom U2F. Google, Dropbox i GitHub računi već su kompatibilni s U2F oznakama. U budućnosti će fizički ključevi za autentifikaciju raditi s NFC i Bluetooth bežičnim standardima za komunikaciju s uređajima bez USB priključaka.

Autentifikacija temeljena na aplikaciji i e-pošti

Neke mobilne aplikacije ne koriste gore navedene opcije i vrše potvrdu unutar same aplikacije. Na primjer, aktiviranje "Potvrde prijave" na Twitteru prilikom prijave s novog uređaja prisilit će vas da potvrdite ovu prijavu sa svog pametnog telefona. To će pokazati da je vlasnik računa prijavljen, osim ako njegov pametni telefon nije ukraden. Slično, Apple koristi mobilni sustav iOS za provjeru prijave na nove uređaje. Jednokratni kôd šalje se na vaš postojeći uređaj.

Sustavi temeljeni na e-pošti koriste vašu adresu e-pošte kao drugi korak u prijavi na vaš račun. Jednokratni kôd šalje se e-poštom.

Pitanja i odgovori o dvofaktorskoj autentifikaciji

** Ovdje je dvofaktorska provjera autentičnosti posebno važna, budući da te usluge obično služe kao pristupnik svim drugim mrežnim aktivnostima korisnika.

Kako biste saznali podržava li određena stranica ili usluga 2FA, posjetite twofactorauth.org.

Ako je vaša usluga ugrožena, omogućite dvofaktornu autentifikaciju što je prije moguće.

Problem je što se 2FA ne može aktivirati jednim prekidačem. Pokretanje 2FA znači izdavanje oznaka ili kriptografskih ključeva ugrađenih u druge uređaje. Budući da se 2FA oslanja na sudjelovanje korisnika, brzina u ovom slučaju neće biti velika.

Trebam li omogućiti dvofaktorsku autentifikaciju ili ne?

Da, posebno na važnim uslugama s osobnim i financijskim podacima.

Je li autentifikacija s dva faktora neranjiva?

Ne. 2FA ovisi o tehnologiji i ljudima, a problema može biti na obje strane. 2FA sa SMS-om oslanja se na pouzdanost telekom operatera. Zlonamjerni programi na pametnom telefonu mogu presresti i poslati SMS napadačima. Korisnik također može bez gledanja odobriti zahtjev za autorizaciju koji je došao zbog pokušaja napadača da dobije pristup računu.

Jesu li sva dvofaktorska rješenja suštinski ista?

Ovo je možda nekoć bila istina, ali 2FA u zadnje vrijeme ima dosta inovacija. Postoje rješenja korištenjem SMS-a i e-pošte. Postoje rješenja s mobilnim aplikacijama s kriptografskim tajnama ili pohranjivanjem informacija u pregledniku korisnika.

Otežava li dvofaktorska provjera autentičnosti pristup vašim računima i ne pruža li nikakvu korist?

Ovakav stav pomaže hakerima da postignu svoje ciljeve. Za neke organizacije i usluge, korištenje 2FA je obavezan zahtjev. Ovo može biti neugodno rješenje za korisnika, ali ako ga tvrtka koristi, može smanjiti vjerojatnost prijevare.

Je li blizu kraj modernih 2FA metoda?

Može biti. Sve gore napisano odnosi se na dvofaktorsku autentifikaciju danas, a ne sutra. S vremenom može postati praktičniji i pouzdaniji.