Ako ste nedavno primili čudnu Skype poruku s vezom na Baidu ili LinkedIn, niste sami. U posljednjih nekoliko tjedana primio sam neželjenu poštu na Baidu od šest mojih Skype kontakata: jednog iz Microsoftove PR agencije i jednog od bivšeg Microsoftovog zaposlenika. Bili su iznenađeni što su im računi hakirani, a neki su bili uvjereni da su zaštićeni Microsoftovom dvofaktorskom autentifikacijom. Kako se pokazalo, pogriješili su.

Tema na Skype forumu tehničke podrške pokazuje da se ista situacija dogodila i sa stotinama drugih korisnika. Hakirani Skype računi koriste se za slanje tisuća neželjenih poruka prije nego što budu blokirani i vlasnici im mogu vratiti pristup. Skype je već bio žrtva sličnih napada prošle godine, u kojima su hakeri mogli lažirati poruke koristeći popis ukradenih korisničkih imena i lozinki kako bi dobili pristup računima.

Razgovarao sam sa zaposlenikom Microsofta čiji je račun nedavno hakiran. Imao je postavljenu dvofaktornu autentifikaciju, ali su se hakeri uspjeli prijaviti koristeći njegovo staro korisničko ime i lozinku. Čak sam to testirao na svom računu i uspio sam se prijaviti na Skype sa starom lozinkom, iako sam povezao svoje Skype i Microsoft račune prije nekoliko mjeseci. Mislio sam da sam zaštićen 2FA, ali sam se prevario.

Postoji ispravak koji zatvara ovu ranjivost, ali ne rješava problem za one koji su već povezali svoje Microsoft i Skype račune. Ako ste jedan od njih, morate ažurirati svoj Skype račun kako biste bili sigurni da je u potpunosti spojen s vašim Microsoft računom.

• Slijedite vezu https://account.microsoft.com. Ako ste već prijavljeni, molimo odjavite se.
• Unesite svoje Skype korisničko ime ( ne e-mail vašeg Microsoft računa) i prijavite se koristeći svoju Skype lozinku.
• Ako ste već povezali svoj Microsoftov račun, od vas će se tražiti da se registrirate i kombinirate račune kako biste stvorili Skype alias.

Odmah zaštitite svoje Skype i Microsoft račune

Nakon što su vaši računi ispravno povezani, Microsoft će stvoriti pseudonim za Skype koji će vam omogućiti da se prijavite koristeći svoje Skype korisničko ime. Možete nastaviti koristiti ovu prijavu ili je onemogućiti

Nedavno su korisnici Skypea počeli primati poruke od svojih kontakata, koje sadrže samo poveznicu na Google s određenim parametrima. Neki korisnici primaju nekoliko takvih poruka dnevno. Neki su to dobili samo jednom ili dvaput. Na forumima Skypea o ovoj se temi raspravlja prilično aktivno.

Neki korisnici primijetili su da se takva slanja pošte obavlja s njegovog računa, iako on sam, naravno, nije izvodio takve radnje.

Dnevnik aktivnosti računa jasno pokazuje pokušaje pristupa računu iz drugih zemalja. Neki od napadača su u tome uspjeli, vidljivo je iz zapisnika događaja.

Zašto se ovo događa?

Prema podacima opisanim na Skype forumima, ovaj problem se javlja kod korisnika koji ne obraćaju dovoljno pažnje na sigurnost svog Skype/Microsoft računa. Bilteni dolaze čak i od ljudi koji nisu koristili uslugu nekoliko godina. Stvar je u tome što koriste slabu lozinku i ne koriste dvofaktornu autentifikaciju. Napadači, s druge strane, jednostavno nametnu lozinku. I čim se to dogodi, spam se počinje slati s vašeg računa svim kontaktima.

Kako se zaštititi?

Ako ne želite da vam se šalju neželjene poruke s vašeg računa ili ste već postali žrtva takve e-pošte, svakako morate slijediti ove jednostavne korake:

1. Vaše računalo za viruse s besplatnim antivirusnim skenerom.
2. verzija Skypea.
3. Promijenite staru lozinku u složeniju za svoj račun.
4. Aktivirajte dvofaktorsku autorizaciju putem SMS-a, e-pošte ili mobilnog autorizatora.

Nakon toga vjerojatnost slanja neželjene pošte bit će minimalna, jer će za pristup vašem računu cyber kriminalci također morati dobiti pristup vašem telefonu ili e-pošti.
Ako primijetite da netko od vaših kontakata šalje takve poruke, to znači da je njegov račun hakiran. Pošaljite mu vezu na ovaj članak kako biste zaštitili svoj račun i spriječili daljnju neželjenu poštu.

Skype je postao prilično gust dio mog života od 2010. godine. Čak ću vam reći i razlog zašto sam se prebacio na njega - postoje više od dva uređaja na kojima stoji glasnik, a važno mi je da je priča svugdje ista, a nije bilo situacije da nisam dobio poruka, jer je došla na radno računalo, na kojem se nisam odjavio (bila je to ICQ bolest). Zatim grupni kontakti, konferencijski pozivi. Skype je postao dio života svakog od nas. I u nekom trenutku te nazove jako dobar prijatelj i pita, zašto ti treba novac za WebMoney, ja ću ti ipak posuditi. I nisi ga pitao, ali to više nije važno. Vaš račun je hakiran, a zahtjev za iznos zajma poslan je svim kontaktima...

Nitko nije siguran od hakiranja računa, ali ponekad čak i ne trebate ništa hakirati, jer ako uzmete Top najpopularnijih lozinki, onda je vjerojatnost da ćete među milijun korisnika pronaći svojih 5% "klijente" vrlo vjerojatna. Ali čak i složena lozinka vas neće spasiti, možete je i podići.

Dvofaktorska autentifikacija će spasiti, odnosno znatno otežati život hakerima – jednostavnim riječima, to je vezanje vašeg računa na broj mobilnog telefona. A trenutno je to jedini način!

Skype nema ovu "uslugu" standardno, ali ima Microsoft, koji ju je kupio. Sve što trebate učiniti je povezati Skype sa svojim Microsoftovim računom i aktivirati dvofaktorsku provjeru autentičnosti na potonjem. Onda ću vam pokazati u slikama, tako da sigurno:

1. Registrirajte Microsoftov račun. U principu, jedna od točaka, zbog kojih ih poštujem, ne nameću stvaranje novog poštanskog sandučića - možete kreirati račun na svom omiljenom mailu. Ne propustite polje sa svojim telefonskim brojem i rezervnom email adresom, morate ih unijeti.

2. Idite na profil -> postavke računa.

3. Sigurnost i privatnost—> Napredno upravljanje sigurnošću.

4. Za nastavak - Odaberite slanje SMS-a na broj i unesite zadnje 4 znamenke svog telefona. Zatim unesite lozinku iz SMS-a.

5. Sljedeći korak, od vas će se tražiti da koristite Google Autentifikator, ali ako ne znate što je to - reći ću vam kasnije, samo preskočite ovaj korak. (Konfigurirajte kasnije)

6. U prozoru koji se otvori pronađite provjeru u dva faktora i kliknite "Konfiguriraj provjeru u dva koraka"

8. Ovdje nam se, zapravo, opet nudi da stavimo Google Autentifikator, očito je Microsoftu skupo slati SMS. Još uvijek smo uporni, kliknite Preskoči

9. Kako jedan telefon nije dovoljan, u sljedećem koraku od nas se traži da se osiguramo rezervnom email adresom. Upisujemo ga i potvrđujemo kodom iz pisma.)

10. Čestitamo, tvoj Microsoft račun je zaštićen, ali još nije gotovo.Ispišemo kod, stavimo ga tati gdje držiš dokumente. Svijet je surov, sada internet ima svoje "putovnice". Kliknite Dalje.

11. Zanemari prijedloge za rad s poštom, Dalje. u sljedećem koraku kliknite Završi.

12. pripremni radovi su gotovi. Sada se, zapravo, vratimo na Skype. Idite na stranicu https://login.skype.com/login i prijavite se svojim Microsoft računom koji ste kreirali iznad. Nudi nam se da povežemo Skype račun s njim - slažemo se.

13. Unesite korisničko ime i lozinku za Skype i u sljedećem prozoru kliknite za spajanje računa.

Ovih 13 jednostavnih koraka pomoći će vam da osigurate svoj Skype račun jednom zauvijek. Sada ga je puno teže “oteti”.

Inače, nauštrb ozbiljnosti ovog događaja, na pisanje članka potaknuo me jedan mali incident, tijekom kojeg su prevaranti posjetili mog prijatelja ne samo prijatelje, već i poslovne kontakte, dobro je da postoje “iskusni ” prijatelji i mi smo brzo reagirali, pa smo u nevolji.

Ne štedite na sigurnosti. I proširite ovaj članak, nadam se da će vam pomoći.

Anton Didenko.

Vlastiti Skype od nepozvanih gostiju, jer se u posljednje vrijeme učestalost hakova u poker krugovima samo povećala. Hakeri su uspjeli doći i do autora Pokeroffa, čak i ako je završio manje-više sigurno. Kako vam ne bih zapušio glavu nepotrebnim informacijama, odlučio sam napraviti kratki vodič, koji će u najmanju ruku zakomplicirati zadatak mladim ljubiteljima besplatnih sadržaja.

Prije nego što počnemo, želio bih napomenuti da je Skype bio i ostao sito, ali što je najvažnije, Microsoft ne pokušava popraviti situaciju, a često je čak i pogoršava. Sjetite se barem prošlogodišnje priče s tokenom lozinke, kada je gotovo svaki samouvjereni korisnik osobnog računala mogao "oteti" bilo koji račun drugog korisnika, posjedujući minimum javno dostupnih informacija.

Anonimna adresa e-pošte

Obično je adrese e-pošte korisnika lako pronaći u javnoj domeni, moramo eliminirati ovu neugodnu činjenicu, kako ne bismo iskušavali sudbinu. Dobijte novu adresu e-pošte na mail.google.com. Dovoljno je jednostavno, nisu potrebne upute.

Zamjena glavne adrese

Zatim idite na Skype.com, prijavite se i promijenite primarnu adresu e-pošte (Primary email) za Skype račun u novu, upravo stvorenu, i zaboravite na njeno postojanje do boljih vremena. Ne možete promijeniti glavnu e-poštu izravno iz Skype klijenta.

Ni u kojem slučaju ne koristite ovu adresu na stranicama trećih strana i nemojte je dijeliti ni s kim, koristite je isključivo za povezivanje sa Skypeom, inače magija neće raditi.

Provjera autentičnosti u 2 koraka

Najveći adut u našem vodiču je autentifikacija e-pošte u dva koraka. Ova je značajka iznimno korisna, pomaže u zaštiti našeg računa od neovlaštenog pristupa. Čak i ako je napadač uspio na neki način saznati lozinku, neće moći ući na račun bez potvrdnog koda koji se šalje samo na mobitel vlasnika računa. Kako bismo omogućili ovu značajku za vaš Google račun, radimo sljedeće jednostavne korake:

Tako različite lozinke

Preporučam da ne koristite istu lozinku na više resursa.Često, nakon što su dobili lozinku s jednog od računa na bilo kojoj stranici koju posjetite, prevaranti, znajući vašu prijavu, pokušavaju "isprobati" primljenu lozinku gdje god je to moguće. Ne treba govoriti o slučajevima kada je baza podataka portala poput NeverFolda prodana za sićušnih 10 dolara. Sumnjive stranice treba izbjegavati.

Antivirusni softver

Po prirodi svog posla moram se nositi s raznim antivirusima i, najblaže rečeno, frustriran sam ne samo njihovom izvedbom, već i učinkovitošću. Jedan od rijetkih programa koji funkcionira od riječi u djelima - Dr. Web Cure IT. Tada se zaista isplati potrošiti 15 minuta svog dragocjenog vremena da dovršite potpuno skeniranje. Softver je potpuno besplatan, ali u isto vrijeme dobiva redovita ažuriranja.

Alternativa

Nažalost, zbog njegove popularnosti prilično je teško pronaći zamjenu za Skype. Ali ako vam je sigurnost na prvom mjestu, preporučujem da obratite pozornost Google Hangouts. Tu su chat, video pozivi, sms i besplatne video konferencije. Da biste počeli koristiti Hangouts, potrebna vam je prijava i lozinka sa svog google računa, kao i jednog od popularnih preglednika. Nakon automatskog preuzimanja proširenja preglednika, aplikacija je spremna za rad.

Blokiranje računa

Neka vam bude poznato da se Skype račun može blokirati kada se primi 40 pritužbi iste vrste (za to je dovoljno poslati jednostavan kod na odgovarajuću korespondenciju i kliknuti na njega više puta, čak i ako s jednog računa ). Prilično je jednostavno zaštititi se od toga - morate imati stanje na računu od 2 dolara ili više i aktiviranu premium pretplatu.

Zaključak

Svi smo mi odrasli pa mislim da vas ne isplati podsjećati da ne smijete otvarati sumnjive linkove, kao ni prihvaćati datoteke od nepoznatih kontakata. Kako ne biste bili na mjestu jedne od žrtava hakera, nakon što ste dobili poruke s tekstom: "Posudi 100 $ WebMoney ili Yandex do sutra, dat ću 110 $." pokušajte nazvati kontakt i sve će doći na svoje mjesto. Također, ako sumnjate na hakiranje, vrijedi zamoliti svoje zajedničke poznanike da primaju poruke sličnog sadržaja.

Ovaj kratki vodič nije ultimativni vodič, već je naprotiv stvoren kako bi čitatelji Pokeroffa dobili još više sigurnosnih savjeta.

Jeste li se ikada prijavili s kodom iz SMS-a? Što je s upotrebom aplikacije koja generira kod? Danas ću govoriti o razlici između ovih metoda i zašto je važno zaštititi račune internetskih usluga i instant messengera autentifikacijom u dva ili dva koraka.

Da je koristio potvrdu u 2 koraka, ne bi bilo vijesti.

Danas u programu

Zašto vam je potrebna dodatna zaštita računa

Kada je riječ o sigurnosti Windowsa, teze o potrebi za kompetentnom zaštitom često nailaze na jednostavnu i nepretencioznu “baš me briga”, potkrijepljenu smrtonosnim argumentom “nemam ništa vrijedno”. Njegovo pojavljivanje u današnjim komentarima me neće iznenaditi :)

Međutim, osim ako ne živite u apsolutnom vakuumu, vaš račun e-pošte, društvenih medija ili messenger može biti od vrijednosti za napadače. Popis vaših kontakata, zajedno s poviješću dopisivanja, može postati zlatni rudnik društvenog inženjeringa za prevarante, dopuštajući im da prevare vaše najmilije i poznanike za novac (zdravo, Skype!).

Otmica računa e-pošte također može otvoriti vrata drugim mrežnim uslugama na koje ste registrirani (koristite istu poštu za različite usluge, zar ne?)

Primjer hakiranja Telegrama zanimljiv je po tome što je odmah izazvao sarkastične komentare na mreži u stilu "ha-ha, evo ti hvaljene sigurnosti!" Međutim, važno je razumjeti da morate osigurati preporučenu razinu zaštite i ne ležati na štednjaku oslanjajući se na marketinške tvrdnje.

Ovaj članak je za one koji ne čekaju grmljavinu, već se pridržavaju pravila higijene mreže i odgovorno pristupaju zaštiti svojih povjerljivih podataka. Ići!

Terminologija i kratice

Namjerno pojednostavljujem definicije, jer ćemo dalje te koncepte detaljno razmotriti u praksi.

• Ovjera... Provjera jedinstvenih informacija poznatih ili dostupnih osobi koja pokušava pristupiti podacima. Najjednostavniji primjer je unos lozinke za račun.
• Provjera autentičnosti u 2 koraka(Potvrda u dva koraka, 2SV). Prijava se provodi u dvije faze - na primjer, prvo unesete lozinku za svoj račun, a zatim kôd iz SMS-a.
• (Provjera autentičnosti s dva faktora, 2FA). Ulaz se također može izvesti u dvije faze, ali se moraju razlikovati u faktorima (analizirat ćemo ih u nastavku). Na primjer, prvo se unosi lozinka, a zatim jednokratna lozinka koju generira hardverski token.
• Jednokratna lozinka (Jednokratna lozinka, OTP). Brojčani ili abecedni kod od 6-8 znakova. To može biti kôd iz SMS-a ili aplikacija koja generira kodove (Google Authenticator).

Čimbenici provjere autentičnosti

Dvofaktorska provjera autentičnosti često se naziva dvofaktorska provjera autentičnosti, s malom razlikom između pojmova. Ja tome također nisam pridavao veliku važnost, iako sam koristio obje metode. No, jednog dana za oko je zapela vijest o Appleovom prijelazu s provjere autentičnosti u dva koraka na autentifikaciju s dva faktora, koju je tvitao stručnjak za informacijsku sigurnost Aleksej Komarov.

Zamolio sam stručnjaka da objasni razliku između 2SV i 2FA, a on je to dobio u jednom tweetu s vezom na njegov članak.

U njemu su mi se jako svidjele analogije – jednostavne i jasne. Dopustite mi da ih citiram u cijelosti.

Ovaj put koristit ćemo slike iz špijunskih romana. Agent Smith se mora sastati s kontaktom i dati mu povjerljive podatke. Ne poznaju se i nikada se prije nisu sreli. Kako Smith može biti siguran da je on doista veza, a ne neprijateljski agent? Razlikovati sve četiri čimbenika autentifikacije... Razmotrimo ih sve.

"Imate li slavensku garderobu na prodaju?" Primjer je prvog čimbenika kada subjekt zna nešto... U praksi, to može biti lozinka, prijava, šifra - jednom riječju, svaka tajna poznata objema stranama.

Messenger može predstaviti, na primjer, polovicu poderane fotografije ili nešto drugo što samo on ima - ovo je primjer drugog faktora autentifikacije koji se temelji na činjenici da subjekt ima tamo je nešto... U suvremenim sustavima informacijske sigurnosti u te se svrhe koriste tokeni - osobni alati za provjeru autentičnosti hardvera.

Kako bi se osigurala sigurnost susreta, može se dogovoriti da se on održi na trećoj klupi desno od ulaza u Central Park. Treći faktor je subjekt nalazi se na određenom mjestu... Informacijski sustavi mogu odrediti, na primjer, IP adresu računala subjekta ili čitati podatke radio oznaka.

Konačno, Smithu bi se mogla pokazati fotografija kontakta kako bi ga mogao prepoznati. Četvrti faktor (subjekat ima određeno biološko obilježje) vrijedi samo u slučaju kada je subjekt autentifikacije osoba, a ne npr. poslužitelj ili proces koji nema otiske prstiju, DNK strukture ili šarenicu oka.

Koja je autentifikacija dvofaktorna

Kao što naziv govori, autentifikacija se izvodi pomoću dva faktora, a oni moraju biti različiti! Nastavit ću priču svojom analogijom - pogledajte izbliza ovaj sef.

Možete ga otvoriti samo ako znati tajnu kombinaciju i ti nalazi se ključ od brave... Imajte na umu da su ova dva faktora različita.

Napadač može ukrasti ključ, ali bez koda je beskoristan. Isto tako, špijunski kod neće pomoći bez ključa. Drugim riječima, da bi ušao u sef, kriminalac treba ukrasti dvije različite "stvari".

Pogledajmo kako to izgleda u kontekstu informacijske tehnologije.

Koja je razlika između potvrde u 2 koraka i provjere autentičnosti u 2 faktora

Dvofaktorska autentifikacija može biti provjera autentičnosti u dva koraka, ali obrnuto nije uvijek točno. Granica između ovih pojmova je vrlo tanka, pa se često ne razlikuju. Primjerice, Twitter na blogu svoju autentifikaciju u dva koraka naziva dvofaktorskom, a Google u pomoći izjednačava te metode (međutim, tvrtka nudi obje).

Doista, na mrežnim računima (Microsoft, Google, Yandex itd.), društvenim mrežama i glasnicima implementacija 2FA i 2SV vrlo je slična. Jedan korak uvijek uključuje unos lozinke ili PIN-a koji ste vi znaš... Razlika između metoda provjere autentičnosti leži u drugoj fazi - 2FA je moguć samo ako nešto imate tamo je.

Tipičan dodatak lozinki koju poznajete je jednokratni kod ili lozinka (OTP). Ovdje je pas zakopan!

Dvofaktorska autentifikacija znači stvaranje jednokratne lozinke izravno na uređaju koji posjedujete (hardverski token ili pametni telefon). Ako se OTP šalje putem SMS-a, autentifikacija se smatra u dva koraka.

Čini se da SMS dolazi na pametni telefon koji imate. Kao što ćete vidjeti u nastavku, ovo je lažna premisa.

Primjer dvofaktorske autentifikacije

Za daljinski pristup resursima svog poslodavca, moram proći dvofaktorsku autentifikaciju. Prvi faktor je lozinka računa koju ja Znam... Drugi faktor je hardverski token za generiranje OTP-a koji imam tamo je.

Da bi se prijavio u moje ime, napadač mora ukrasti ne samo lozinku, već i token koji mi je izdao, tj. fizički provaliti u moj stan.

Primjer potvrde u 2 koraka

Kada se prvi put prijavite na Telegram na novom uređaju, na svoj telefon dobivate potvrdni kod - ovo je prva faza autentifikacije. Za mnoge korisnike messengera on je jedini, ali u sigurnosnim postavkama aplikacije možete omogućiti drugu fazu - lozinku koja je poznata samo vama i koja se upisuje nakon koda iz SMS-a.

Imajte na umu da tvorci Telegrama svoju autentifikaciju ispravno nazivaju dvostepenom.

Problem jednokratnih lozinki u SMS-u

Vratimo se na slučaj dobivanja neovlaštenog pristupa Telegram računu, s kojim sam započeo današnju priču.

U procesu hakiranja oporbi je privremeno onemogućen SMS servis. U tome vide ruku tehničkog odjela MTS-a, ali bez njegovog sudjelovanja napadači su mogli ponovno izdati SIM karticu ili izvršiti MITM napad. Ništa ih drugo nije spriječilo da se prijave na Telegram na drugom uređaju!

Kada bi račun imao lozinku koju zna samo vlasnik, bilo bi ga puno teže hakirati.

Međutim, takva provjera autentičnosti ostaje u dva koraka, a hakiranje računa jasno pokazuje da u ciljanom napadu posjed pametni telefon ne igra nikakvu ulogu. Samo ti znaš vaša lozinka i jednokratni kod koji dolazi u SMS-u, a to su isti čimbenici.

Smanjuje li registracija putem telefonskog broja sigurnost?

U komentarima na prethodni post nekoliko je čitatelja izrazilo mišljenje da pogodnost registracije telefonskim brojem, što je tipično za brojne instant messengere, slabi zaštitu računa u usporedbi s tradicionalnom lozinkom. Ja ne mislim tako.

U nedostatku 2FA ili 2SV, autentifikacija je u jednom koraku i u jednom faktoru. Stoga, uglavnom, nema razlike da li se prijavljujete pomoću lozinke koju znate ili prethodno nepoznatog koda poslanog putem SMS-a.

Da, napadači mogu dobiti vaš SMS kod, ali mogu presresti i vašu lozinku, ali na neki drugi način (keylogger, kontrola javne Wi-Fi mreže).

Ako želite bolje zaštititi svoj račun, oslonite se na 2FA ili 2SV, a ne na lažni osjećaj da je lozinka bolja od telefonskog broja.

Implementacija 2FA i 2SV u Googleu, Microsoftu i Yandexu

Pogledajmo kakvu zaštitu računa nude neki od velikih igrača s milijunima korisnika.

Google

Tvrtka nudi možda najširi raspon dostupnih dodatnih zaštita računa. Uz tradicionalne 2SV metode (slanje koda SMS-om ili pozivom), Google je implementirao 2FA. Ovo je aplikacija za generiranje kodova i, rijetko, podršku za hardverske tokene standarda FIDO UTF.

Nakon provjere lozinke, od vas se traži da unesete kod, čiji način dobivanja ovisi o postavkama provjere autentičnosti vašeg računa.

Imajte na umu da se prema zadanim postavkama računalo smatra pouzdanim, tj. za sljedeće ulaze na ovom uređaju, drugi faktor nije potreban. Popis takvih uređaja može se obrisati u 2SV parametrima.

Imam aplikaciju konfiguriranu za generiranje kodova. Google Authenticator implementira podršku za RFC 6238, koja vam omogućuje stvaranje OTP-a za bilo koju uslugu koristeći ovu specifikaciju.

Inače, u aplikaciji sam nekako stao na grablje - kodovi se više nisu prihvaćali. Twitter me brzo pozvao da sinkroniziram ispravak vremena za kodove u postavkama aplikacije, ali već sam se prebacio na Yandex.Key.

Također, Google ima mogućnost ispisivanja jednokratnih kodova, što može biti korisno na putovanju osobama koje nemaju pametni telefon i koriste SIM karticu lokalnog operatera.

Microsoft

Microsoft je vrlo sličan Googleu (pogledajte postavke računa), pa ću se usredotočiti na neobične razlike. Tvrtka ne podržava hardverske tokene, ali je moguće osigurati 2FA generiranjem OTP-ova pomoću vlasničke aplikacije Authenticator.

Aplikacije za autentifikaciju

Na mobilnim sustavima Windows i iOS, Microsoftove aplikacije rade na isti način - samo generiraju kodove. Na Androidu je situacija zanimljivija, jer aplikacija Microsoft Account ima dva načina rada – dvostupanjski i dvofaktorski.

Nakon inicijalnog postavljanja aplikacije, uključuje se način rada koji je savršeno implementiran u smislu upotrebljivosti. Kada uđete na stranicu, od vas se traži da potvrdite zahtjev u aplikaciji. Istovremeno stiže obavijest koja se odobrava jednim klikom, t.j. nije potrebno ručno unositi kod.

Strogo govoreći, ovo je 2SV, jer se push obavijest šalje putem interneta, ali možete se prebaciti na 2FA. Klikom na "Neuspjelo", vidjet ćete zahtjev za unos koda. Na dnu mobilne aplikacije nalazi se odgovarajuća opcija koja otvara popis povezanih računa. Na isti način se možete vratiti u način obavijesti kada se sljedeći put prijavite.

Inače, za razliku od Googlea, Microsoft prema zadanim postavkama ne čini uređaj pouzdanim (vidi sliku iznad), i mislim da je to točno.

Skype i 2SV

Upd. 01. studenog 2016... Skype konačno ima 2SV potpuno integracijom Skype računa u Microsoftov račun. Stoga je ono što je napisano u ovom odjeljku relevantno samo za Skype račune koji nisu prošli proceduru ažuriranja.

Skype zaslužuje posebno spomenuti, i to u negativnom kontekstu. Vaš je Microsoft račun zaštićen potvrdom u 2 koraka i pomoću njega se možete prijaviti na Skype.

Međutim, ako imate Skype račun (registriran na web-mjestu), tada 2SV nije implementiran za njega, čak i ako je povezan s Microsoft računom.

U praksi to znači da svom Skype računu ne možete pružiti razinu zaštite koju Microsoft preporučuje. Stranica za podršku za Skype ima prekrasnu temu (vjerojatno ne jedinu) gdje vlasnici hakiranih računa dolaze i traže implementaciju 2FA.

Zaobilazno rješenje je prestati koristiti takav račun i stvoriti novi prijavom s Microsoftovim računom. Ali oni koji još nisu hakirani vjerojatno neće htjeti ostaviti račun s puno kontakata.

Yandex.

Yandex ima sve, uključujući vlastitu implementaciju 2FA. Tvrtka u blogu na Habréu, zašto je odlučila ponovno izumiti bicikl, pa ću se ograničiti samo na praksu korištenja ovog rješenja.

Omogućavanje 2FA poništava korištenje lozinke za račun, na koji će se zatim prijaviti pomoću pametnog telefona ili tableta. Koliko sam razumio, aplikacija Yandex.Key dostupna je samo za iOS i Android, tako da vlasnici Windows pametnih telefona neće moći zaštititi svoj Yandex račun dvofaktorskom autentifikacijom.

Mobilna aplikacija podržava različite račune, ali samo je Yandex račun zaštićen obveznim PIN-om - to je prvi faktor. Drugi je prikazan na gornjoj slici - ovo je jednokratna lozinka od osam slova ili skeniranje QR koda s web stranice na koju se prijavljujete.

OTP će isteći za 30 sekundi. Nakon što sam pogriješio, nisam imao vremena ponovno unijeti isti kod i morao sam čekati novi (brojeve je još lakše unijeti bez grešaka). Stoga je preporučeni i praktičniji način skeniranje QR koda. Za slučajeve autorizacije na istom uređaju postoji gumb koji kopira OTP u međuspremnik.

Pitanja i odgovori

Komentari su istaknuli nekoliko pitanja, odgovore na koja sam odlučio dodati u članak.

Hura, sada imam 2SV / 2FA posvuda! Treba li još nešto učiniti?

Zamislite da ste otišli na odmor, gdje vam je već prvi dan ukraden pametni telefon. Sada ne ulazite ni u jedan račun dok ne vratite SIM karticu. Kako biste izbjegli takav scenarij, idite na postavke ključnih računa, tamo pronađite jednokratne ili rezervne kodove za pristup računu i spremite ih na drugi uređaj i/ili zapišite na papir.

Imam aplikaciju koja je prestala raditi nakon omogućavanja 2SV / 2FA. Što uraditi?

Neke aplikacije nisu kompatibilne s potvrdom u 2 koraka, u smislu da usluga čeka na drugi korak, ali ga nema gdje ući. Primjer je "desktop" e-mail klijent.

U tom slučaju možete kreirati zaporke aplikacije u postavkama 2SV vašeg računa. Morate kreirati lozinku i unijeti je u problematičnu aplikaciju umjesto lozinke računa. Uz Yandex (na primjer, u pregledniku Yandex), samo trebate unijeti jednokratnu lozinku koju generira aplikacija Yandex.Key.

Po kojim parametrima usluga utvrđuje da je uređaj pouzdan?

Svaki dobavljač ima svoju implementaciju. To može biti kombinacija SSL kolačića, IP adrese, preglednika ili bilo čega drugog. Postoji prag za promjenu parametara nakon kojeg se morate ponovno prijaviti.

Koje su najbolje mobilne OTP generacije za korištenje?

Ako ne koristite 2FA u Yandexu, onda će to učiniti bilo koja aplikacija (Google, Microsoft, Yandex.Key). Ako imate omogućen 2FA u Yandexu, ima smisla objediniti sve usluge u Yandex.Key. Razlog je taj što se Yandexova 2FA implementacija razlikuje od ostalih usluga, ali Yandex.Key podržava RFC 6238, koji omogućuje stvaranje OTP-a za druge usluge koje su implementirale ovu specifikaciju.

Zašto ne mogu postaviti 2FA za VKontakte u aplikaciji za generiranje kodova?

U postavkama pametnog telefona morate postaviti automatsko otkrivanje datuma i vremenske zone. U suprotnom, nemojte registrirati aplikaciju - kod koji je generirala aplikacija neće biti prihvaćen s greškom "Nevažeći potvrdni kod". Istodobno, OTP dostava putem SMS-a funkcionira i ni na koji način nije povezana s problemom.

Rasprava i anketa

U početku je dvofaktorska i dvofaktorna autentifikacija bila domena organizacija, no postupno se počela pojavljivati ​​u uslugama orijentiranim na potrošače. Google je bio jedna od prvih velikih tvrtki koja je ponudila takvu zaštitu svojim korisnicima 2011. godine, a kasnije su i drugi igrači, uključujući Yandex i mail.ru, popularni na Runetu, uveli ove mjere početkom 2015. godine.

Dok 2FA / 2SV nije dostupan za sve uobičajene usluge. Primjerice, u vrijeme objave članka nema ga u glasnicima s višemilijunskom publikom Viber i WhatsApp (pojavio se u veljači 2017.). Ali općenito, do sredine 2016. tehnologija je postala vrlo raširena.

I sam sam počeo s Googleom, pa povezivao društvene mreže, kasnije Microsoftov račun (bilo je frke s nizom aplikacija koje nisu podržavale 2SV, a morao sam kreirati jednokratne lozinke). Sada imam svugdje omogućenu 2FA / 2SV, pa čak i na ovom blogu (samo za administratore).

Možete označiti zanimljive isječke teksta koji će biti dostupni putem jedinstvene veze u vašem pregledniku.

o autoru

Nikolaj

Nedavno sam zeznuo autentifikaciju, nakon što je na mail stigla obavijest o pokušaju hakiranja.

Pavlovski Roman

Odabrao sam predmet: Ne, ali sada ću ga početi koristiti.
Uključio sam ga na Goole računu, ali nakon toga nisam mogao slati poštu s klijenta e-pošte i nisam se mogao povezati s hangout chatovima iz aplikacije. Možda ste s računala morali ići na Google račun kako bi računalo postalo pouzdano i onda bi sve funkcioniralo. Ali nisam se trudio i isključio sam Potvrdu u 2 koraka.
Ako se samo trebate prijaviti na željeno računalo kako bi postalo pouzdano, onda je to normalno, a ako to ne pomogne, onda će problem biti u slanju pošte i korištenju chata.
Na drugom mail računu uopće nema dvofaktorne autentifikacije, a osim toga, tamo bih je omogućio.

Aleksandar [Mazdaischik]

Odabrao sam "Moja opcija nije ovdje", iako bi, možda, vrijedilo odabrati "Ne, a sada ću je početi koristiti."

Koristim poštu samo preko Outlooka, ali čini mi se da ne podržava dvofaktornu autentifikaciju (iako je nisam guglao - možda su smislili dodatke). Ne koristim Microsoftov račun. Nema pametnog telefona. Nije registriran na društvenim mrežama (osim na GitHubu). Mislim da nije svrsishodno štititi registraciju na bilo kakvim forumima i stranicama poput ovog.

Postoji Skype račun koji koristim samo u uredu (sjedim u općem chatu tvrtke). Sada ću razmisliti o tome da ga spojim sa svojim Microsoft računom (čini se da postoji takva funkcionalnost) i da koristim dvofaktornu autentifikaciju.

Nikolaj

Evgenij Kazakin

Hvala, jako zanimljivo!
“Napominjemo da se računalo prema zadanim postavkama prenosi u kategoriju pouzdanih, tj. za sljedeće ulaze na ovom uređaju, drugi faktor nije potreban. Popis takvih uređaja može se obrisati u 2SV parametrima."

I po kojim čimbenicima prepoznaje ovaj pouzdani uređaj? Je li ovo certifikat, ili neka vrsta SID-a na bazi željeza?

Evgenij

Dvofaktorska autentifikacija omogućena je samo u vrlo važnim uslugama, na primjer, na bankovnim računima, u platnim sustavima. Ali na nekima od njih možete se prijaviti na račun samo jednom lozinkom, ali se sve operacije mogu obaviti putem dvofaktorske. Ne postoji na poštanskim uslugama i društvenim mrežama, budući da su same usluge prilično dobre u praćenju "sumnjivih radnji" (promjena IP-a, pokušaj pogađanja lozinke, promjena uređaja koji se koristi itd.) i dosta brzo obavještavanje o tome, a mnogi čak i automatski blokirati račun odmah.

Nikita Panov

Evgenij Kazakin: Hvala, jako zanimljivo!
“Napominjemo da se računalo prema zadanim postavkama prenosi u kategoriju pouzdanih, tj. za sljedeće ulaze na ovom uređaju, drugi faktor nije potreban. Popis takvih uređaja može se obrisati u 2SV parametrima. ”I po kojim čimbenicima prepoznaje ovaj pouzdani uređaj? Je li ovo certifikat, ili neka vrsta SID-a na bazi željeza?

Najvjerojatnije ovisi o implementaciji. Čak i Steam klijent ima vlastitu 2F autentifikaciju.

Andrej Bayatakov

Uključeno gdje god je to moguće. Činilo se da nije bilo provala. :) Ali outlook.com prikazuje Sigurnosne zahtjeve s mjesta gdje definitivno nisam mogao pronaći ... i s OS-om koji nikad nisam koristio. Što se tiče onemogućavanja SMS-a – prošle godine sam nekoliko puta naišao na SMS s kodom od QIWI-ja koji nije stigao na pametni telefon, ali je u isto vrijeme primljen bez problema na običan telefon. Bilo je dovoljno preurediti SIM karticu.

Matvey Solodovnikov

Vadim, odličan članak! Hvala na detaljnoj prezentaciji.
Uključen je u Google (nakon što su mi pokušali provaliti lozinku negdje iz Turske), u Microsoftovo računovodstvo (bio sam previše lijen za to, ali nakon ovog članka odlučio sam ga uključiti) i u Dropbox (bio je uključen već dvije godine). Koristim Microsoft Authenticator na Lumia 640.
P. S. Da. i u telegram također mora biti uključeno :) nikad se ne zna.

• Matvey, hvala na odgovoru. Da, Telegram je u tom pogledu bolje zaštićen od WhatsAppa ili Vibera, pa ima smisla omogućiti 2SV.

D K

Moj Yandex račun zaštićen je na W10M s dvofaktorskom autentifikacijom. Uzimam lozinku s Yandex ključa instaliranog na iPadu. Općenito, takvu zaštitu uključujem gdje god je to moguće. Moja pošta na Mail.ru bila je prije hakirana, morao sam često mijenjati lozinku. Sada, nakon omogućavanja autorizacije u dva koraka, nije bilo hakova. Nakon poznatih događaja, uključio sam ga na Telegramu.

D K

Zaboravio sam dodati da je moja Sberbank kartica pokvarena i s omogućenom autorizacijom u dva koraka.

Andrej

Hvala na članku, nisam znao za aplikaciju pametnog telefona na Microsoftov račun, povezao sam se.

Vitalij

Sjajan članak, dobro razvrstan po 2FA i 2SV.
Općenito, nedavno sam razmišljao o sigurnosti i prešao na KeePass. Pouzdanije, sigurnije i što je najvažnije, nisam smislio ništa neovisno o poslužiteljima trećih strana. Postavio sam automatsko blokiranje, lozinka je kompliciranija i to je sve.
2FA je samo za štednu karticu, postoji korisničko ime (samo u mojoj glavi), lozinka (u KeePass-u) i SMS.

Yaroslav Nepomnyashchikh

Koristim Microsoft Authenticator relativno dugo, zapravo, od trenutka registracije Microsoft računa.
Počeo sam brčkati po postavkama i našao takvu stvar, stavio na Windows phone.
Nakon što sam pročitao članak, instalirao sam Google račun, također kroz Microsoft Authenticator.
Postavlja se pitanje - Što učiniti u slučaju krađe / gubitka mobilnog uređaja?

Yaroslav Nepomnyashchikh

Čudno je zašto banke ne koriste dvofaktorsku autentifikaciju..
Pa ja to barem nisam našao u Sberbanku i Telebanku

Nikolaj

Vadim Sterkin: U Sberbank 2SV. Na stranici prvo unesite lozinku, a zatim kod iz SMS-a.

i svaki put kada dođe nova šifra. Vjerojatno vas to smiruje od mogućnosti hakiranja)
(osim ako se vremenski interval neće spremiti)

Lecron

Ne slažem se s prijenosom SMS autentifikacije s 2FA na 2SV.

Isto tako, ključevi sefa mogu se kopirati prilikom prodaje. Isto tako, proizvođač sefa ima šifru ključa, koju može dati uz predočenje dokumenata za posjedovanje sefa, ako se izgube.

• Lecron: Ne slažem se s prijenosom SMS autentifikacije s 2FA na 2SV.
  U ovom slučaju, SIM kartica je potpuni analog ključa za sef koji posjedujete. MitM ranjivosti i nesigurni postupci ponovnog objavljivanja ne nadjačavaju _vlasništvo_.

  Vaše pravo. No, upravo zbog MITM-a, mnogi stručnjaci za informacijsku sigurnost ne smatraju SMS čimbenikom... Neki čak i ne smatraju OTP generiran na pametnom telefonu kao takav, ali po mom mišljenju ovo je pretjerano :)

  • Sergej Sysoev

    I slažem se s Lecronom. Činjenica da postoje ranjivosti u korištenju SMS-a ne negira činjenicu da je to još uvijek drugi faktor, iako vrlo slab. Inače, kao što ste ispravno primijetili, OTP se ne može smatrati takvim, budući da virus može letjeti na pametnom telefonu (osobito Androidu, zar ne?). A preko ramena, druga osoba može špijunirati hardverski OTP. Ili, na primjer, banka koja je izdala hardverski OTP može napraviti duplikat.

Damear Dadabajev

Koristim Google Afentikator za Mail.ru, Facebook, VK (na koji rijetko idem) i Microsoftov račun (potonji je super prijatelj s Googleovim programom, ali ne vidim smisla stavljati dvije aplikacije za istu funkciju). Pokušao sam i povezati Yandex, ali nije išlo. U idealnom slučaju, želio bih vidjeti i autorizaciju u bankama na temelju ove aplikacije.

Usput, pitanje Vadimu na temu lozinki aplikacija - Google im nudi lozinku samo od malih latiničnih slova. Koliko je pouzdan?

Yaroslav Nepomnyashchikh

Pitao sam podršku.
Doista, u Windows trgovini postoji aplikacija VTB24 Token

Andrej Varypaev

Nedavno sam organizirao i događaj u dvije faze na mail.ru. Pošto mi je 20-znamenkasta lozinka oduzeta preko https veze preko proxyja i uspjela sam ući 2 puta na mail, jednom preko Ukrajine, drugi put s nekih otoka. Srećom, moj račun mail.ru je blokiran zbog sumnje na hakiranje. Nakon toga sam napravio autentifikaciju u dva koraka.

Nikolaj

Vadim Sterkin: Andrey, dobar primjer činjenice da je složena lozinka + drugi faktor bolji od obične složene lozinke.

A kako se može oduzeti lozinka od 20 znamenki? Keylogger ne uzimamo u obzir.
Vadim, možete li nam reći više o ovim hardverskim tokenima? Što je to, koja je svrha u njima? Generiraju li se kodovi prema unaprijed određenom algoritmu? Ako je tako, je li stvarno sigurno i da li se algoritam ne može izračunati?
I još nešto u isto vrijeme. :) Koliko je sigurno koristiti gumb "Prijava s" za pristup resursima. Kao, na primjer, na vašem blogu.

Nikolaj

Vadim Sterkin:
2. I proguglati? TOTP, HOTP
3. Ovo je zanimljivo pitanje. Mislim da bi to trebalo posebno pokriti. Ali možete sami istraživati ​​i ovdje ubaciti nešto hrane za razmišljanje.

Pa nije fer! I žvakati? :)

vitaly chernyshov

Koristim 2FA gdje god postoji takva prilika - github, live račun, dropbox, Yandex, google. Pošta je sada najvažnija stvar koju treba zaštititi, sve ostalo je vezano uz nju.

Ovdje sam zabrinut zbog pitanja lozinki aplikacija, za one programe koji ne podržavaju 2FA, na primjer, isti klijent e-pošte. Je li to slabljenje sigurnosti? Uostalom, ova se lozinka može presresti na isti način; radi jednostavnosti izostavit ćemo trenutak šifriranja prometa. I unesite ovu lozinku u drugu aplikaciju. Outlock nema kolačiće ili sličan mehanizam pomoću kojeg usluga razlikuje jednu aplikaciju od druge. Ili postoji? Što vas sprječava da presretnete ovu lozinku aplikacije na isti način kao i običnu lozinku? I upotrijebite ga u drugoj aplikaciji. Ako samo šifriranje prometa, onda se ispostavlja da su lozinke aplikacija ogromna rupa. Potpuno ista razina sigurnosti je i s običnom lozinkom.

Emma

Nedavno sam dobio vijest: https://geektimes.ru/post/276238/, koja me neugodno iznenadila, već se svim srcem navikla na Telegram. Autor članka brka pojmove, provjeru autentičnosti u 2 koraka naziva 2-faktorom, ali nije u tome stvar. Što se događa - napadač, koji ima pristup SMS-u žrtve, i dalje će moći ući na račun, a u ovom slučaj 2SV Telegram autentifikacija neće pomoći? I koji je onda smisao u tome?

Dmitrij Sergejevič

Ako sam sve dobro shvatio, onda je dvofaktorska autentifikacija dostupna samo uz odgovarajuću aplikaciju instaliranu na pametnom telefonu. Ali nemam pametni telefon. Mogu ga steći, ali mi jednostavno ne treba. Koristim oklopni nepotopivi telefon prapovijesne funkcionalnosti, koji mi treba samo za pozive i SMS (koji, zapravo, ne mogu ništa drugo) i koji se naplaćuje tjedan i pol do dva. Kupujete pametni telefon samo da biste mogli koristiti dvofaktorsku autentifikaciju?

• Koristite metodu u dva koraka - vaš oklopni pametni telefon može primati sms.

artem

Za pristup resursima klijenta koristim i 2FA, ali u ovom slučaju ulogu hardverskog tokena ima pametni telefon s aplikacijom RSA SecureID.

s ove točke gledišta – generiranje koda aplikacija na telefonu nije drugi faktor. Telefon se može hakirati. A neki korisnici to rade sami kako bi instalirali neslužbeni softver (jailbreak). Nakon toga, bilo koja aplikacija (virus ili netko tko se maskira kao korisna aplikacija) može, na primjer, ući u memorijsko područje koje koristi vaša aplikacija za generiranje jednokratnih lozinki. Ili to možete učiniti još lakše i jednostavno ukrasti sadržaj zaslona putem API-ja koji stvara snimke zaslona. (Da, obično bi ovaj API trebao biti nedostupan za skrivenu upotrebu od strane programa trećih strana, ali nakon jailbreaka sve je moguće).

čak i ako bijeg iz zatvora niste napravili vlastitim rukama - telefon se u teoriji može hakirati na daljinu, kao i svaki prilično složen uređaj spojen na mrežu. malo vjerojatno? Sigurno. No, to je otprilike jednako vjerojatno i teško implementirati kao hakiranje mobilnog operatera, podmićivanje tehničara, pravljenje duplikata SIM kartice ili na drugi način presretanje koda iz SMS-a.

čak i ako imate zaseban uređaj za generiranje OTP-ova ili letak s ispisanim jednokratnim lozinkama - možete ih "špijunirati" pomoću jake optike ili hakiranja obližnje nadzorne kamere :) Ili podmititi bankovnog službenika koji vam je dao ove lozinke. Ovo je otprilike isto malo vjerojatno, ali sasvim moguće u praksi. Tako se vaš "drugi faktor" pretvara... pretvara... pretvara se u prvi.

zasto sam ja? Osim toga, granica između 2FA i 2SV toliko je tanka da je zanimljiva samo s gledišta teorijskog razmišljanja o idealnom svijetu. U praksi takve linije nema. Stoga je, na primjer, implementacija usvojena u "Telegramu" jednako ispravno nazvati je i dvofaktornom i dvostupanjskim.

p.s. Ovo je nebitno, ali mogućnost izvođenja MITM napada na telefon, slično kao što je opisano u članku na Habréu, kritiziraju praktičari kojima vjerujem. Tvrde da je takav napad moguć samo u posebnim laboratorijskim uvjetima. U praksi, svi mobilni operateri koji posluju u Rusiji naučili su se braniti od toga. koristiti posebno podešenu opremu.

• Artem, dugo se nismo vidjeli :)

  Doista, gdje je granica? :)

  

  Moj argument se temelji na čimbenicima (posebno - vlasništvu), a vi ste počeli zbog zdravlja, a onda skliznuli na "sve se može ukrasti i hakirati". Čak sam mislio da će se na kraju pojaviti teza "2fa nije potrebna, jer lemilica!"

  Pa, pošto ste ušli u holivar, želio bih čuti vaše mišljenje o svom pitanju, izrečenom u raspravi:

  Ujedno, možda imate kompetentno objašnjenje za činjenicu da Google, Microsoft i Telegram svoju autentifikaciju ne nazivaju dvofaktorskom, a Apple prelazi s 2SV putem SMS-a / Find My Phone na 2FA? Bez izgovora poput "nisam odgovoran za njih", ali razumno.

  • artem

    počeo si za zdravlje i onda se kotrljao

    a gdje je u mojim komentarima granica između "zdravlja" i "skliznula"?

    Pa, otkad si ušao u holivar,

    nije da sam baš želio ući, a ovdje uopće ne vidim nikakvu svetost. Ali imao sam razgovor s određenom osobom (da, u Telegramu) - donio je vaš blog kao argument.

    Želio bih čuti vaše mišljenje o svom pitanju

    pa ovo mi je čudno pitanje, jer jednostavno ne odvajam 2FA i 2SV. U svakom slučaju, kada je SMS u pitanju. Tamo, gore, samo u temi na koju se povezujete, osoba kaže sve točno. SIM kartica je ipak “ono što posjedujete”. Da, može se ukrasti, lažirati ili presresti u hodu - ali to ne poništava akciju načelo... (Osim toga, kao što sam rekao, MITM ne funkcionira u praksi, tako da ovaj argument očito nije dovoljan za prekvalifikaciju SMS-a iz 2FA u 2SV).

    Evo još jednog primjera u kasici-prasici terminoloških neslaganja. (Vi sami ih gore citirate u izobilju, uključujući isti Google, koji ne dijeli 2FA i 2SV). GitHub koristi pojam "2FA" (https://github.com/settings/security), a govorimo o istom RFC 6238, t.j. generiranje kodova putem aplikacije na telefonu. U isto vrijeme, imaju podršku za FIDO U2F i zamjenu za SMS. Sve ih to ne sprječava da svoju autentifikaciju smatraju dvofaktornom.

    • » ti meni: ali postoji niz drugih tvrtki koje ne dijele. Što mislite o ovome?
      kažem ti: s moje točke gledišta nisu u pravu ili hvataju buhe.

      Svatko ima pravo koristiti izraz koji mu je bliži. Neslaganje nastaje samo ako pisac istovremeno koristi oba pojma, dok ih jasno odvaja (umjesto da ih koristi naizmjenično, kao što, na primjer, Google čini). Ovo je vrlo rijetko. Uglavnom - ili u akademskim materijalima (poput priče o agentu Smithu), ili na vašem blogu :)

      Smatraju da je njihova autentikacija u dva koraka (na stranici s postavkama stoji Potvrda u 2 koraka).

      Gdje? Evo citata s glavne stranice postavki (https://github.com/settings/security):

      Dvofaktorska autentifikacija je naslov odjeljka.

      Nadalje, ako kliknete na gumb Uredi, dolazimo do stranice https://github.com/settings/two_factor_authentication/configure. (Pažnja na URL). Tamo čitamo:

      Pružanje zamjenskog SMS broja omogućit će GitHubu da pošalje vaše dvofaktorne kodove za autentifikaciju na alternativni uređaj ako izgubite primarni uređaj.

      Pa, općenito, izraz 2FA pojavljuje se na ovoj stranici sedam puta. Izraz 2SV se nikada ne pojavljuje.

      Svatko ima pravo koristiti izraz koji mu je bliži.

      Uh-huh, a najavljene tvrtke ne koriste termin 2FA, iako je “faktor” jedan od osnovnih pojmova u informacijskoj sigurnosti.

      Uglavnom - ili u akademskim materijalima (poput priče o agentu Smithu), ili na vašem blogu :)

      Sve ovisi o pedantnosti komentatora. Ako zatvorite komentare na blogu, možete pisati što god želite. Podijelio sam 2FA/2SV, a oni koji se ne slažu odmah su naletjeli na komentare - čak i minus :) Da nisam podijelio, vjerojatno bi ih bilo manje. Ali to im ne bi škodilo da upiru prstom u kontekst “SMS nije 2FA”.

      artem

      Mislio sam da si o Googleu, pogledao sam nepažljivo. Pitao sam za Google / MSFT / Apple / Telegram, a ti si mi ubacio GitHub, gdje sve odgovara tvojim tezama. I da, sviđa mi se način na koji ste dovukli Google ovdje tako što ste uhvatili frazu u pomoći.

      JA SAM poskliznuo GitHub iz dva razloga. Prvo, netko je ovdje u komentarima već pitao o tome, ali ja sam bio previše lijen da točno odgovorim, da - da, i GitHub zapravo podržava 2FA. Pa, i drugo, jer ste već prošli kroz sve druge velike tvrtke, studiozno analizirajući njihov pristup terminologiji. Nemojte se ponavljati. Tako da sam morao pronaći nekog novog.

      Da ih nisam podijelio, vjerojatno bi ih bilo manje. Ali to im ne bi škodilo da upiru prstom u kontekst “SMS nije 2FA”.

      To je cijela poanta. Ne smeta mi podijeliti 2FA i 2SV - ako bi se to moglo učiniti jednoznačno. Oni. klasificirati: da, ovaj kanal je drugi faktor, a ovaj je samo varijacija prvog. Sasvim dobro znaš da volim kopati po pojmovima ništa manje od tebe, ako ne i više :)

      Problem je što se u slučaju SMS-a ova crta ne može povući. Oni. nije pitanje pedantnost, ali posve bespredmetan terminološki spor.

      Prema nekim pokazateljima, SIM-kartica je “predmet posjeda”, tj. drugi faktor. Legitimni korisnik ne može primiti poruku bez SIM kartice. A za većinu napadača to je ozbiljna prepreka, iako ne nepremostiva. (Usporedivo s provaljivanjem u stan da bi se ukrao OTP generator).

      Prema nekim drugim znakovima, da, GSM tehnologija se može prevariti i presresti poruka. I tako se ovaj čimbenik pretvara u informacijski, poput prvog. Ali s ove točke gledišta, generiranje OTP-a na telefonu također je informativni faktor. (Vidi gornju raspravu o bjekstvu iz zatvora).

      Pa ja Prvo Ne vidim nikakvu praktičnu razliku između 2FA i 2SV. I Drugo, Ne vidim smisla voditi ovaj spor. Jer u praksi se čini da 2FA nije ništa sigurnije od 2SV. U svakom slučaju, dok je najčešći „drugi kanal" SMS ostaje.

      Moguće je i potrebno tvrditi da je upravo SMS manje siguran kanal, nego zasebni OTP generator. Takav razgovor doista ima smisla - za razliku od pokušaja klasificiranja različitih kanala kao 2FA ili 2SV i raspravljanja o tome koja je od ovih sfernih opcija pouzdanija u vakuumu.

      Sam slučaj kada se pokušava pojednostaviti kroz klasifikaciju samo komplicira raspravu i čini je manje smislenom i ranjivijom na terminološka neslaganja.

    • NIST proglašava starost 2-faktorske provjere autentičnosti temeljene na SMS-u iznad | TechCrunch.

      Ako se provjera izvan opsega treba izvršiti putem SMS poruke na javnoj mobilnoj telefonskoj mreži, verifikator TREBA potvrditi da je unaprijed registrirani telefonski broj koji se koristi zapravo povezan s mobilnom mrežom, a ne s VoIP-om (ili drugim softverom -based) usluga. Zatim šalje SMS poruku na unaprijed registrirani telefonski broj. Promjena unaprijed prijavljenog telefonskog broja NEĆE biti moguća bez dvofaktorske autentifikacije u trenutku promjene. OOB korištenje SMS-a je zastarjelo i više neće biti dopušteno u budućim izdanjima ovih smjernica.

  George

  Vadime, dobrodošao!

  Danas sam sebi kupio hardverski token: http://www.aladdin-rd.ru/catalog/jacarta_u2f/ - koristim ga na svom Gmail računu i Dropbox računu. Budući da je snaga lanca određena njegovom najslabijom karikom, tada sam uklonio telefon iz dropboxa i Google kao faktor oporavka i sada mogu u Google ući samo po tokenu, ili ako ga nema, onda preko OTP Google-a Autentifikator, a ako ga nema, onda 8-znamenkasti rezervni kod: https://i.gyazo.com/d6589d7523d4259e423d500de1c2354b.png

  U skladu s tim, sada idem na gmail.com, unosim uobičajenu lozinku i google počinje tražiti token: https://i.gyazo.com/0503e8347c80ce865dd2f5ed69eab95c.png. Ubacim token, on ga definira, pritisnem hard tipku na tokenu, kažu da sam prava osoba i autentifikujem se na račun. Može li se ova metoda provjere autentičnosti smatrati dvofaktornom? Osim toga, pročitao sam sve komentare i nisam baš razumio zašto SMS nije faktor. Jer postoji lozinka (znam) i imam telefon s pridruženim brojem (imam). Nisam holywara radi toga, ali sam više zbunjen nego što sam razumio zašto se to ne može nazvati dvofaktorskom metodom provjere autentičnosti.

  • George, čestitam na kupnji - dobra ideja! I koliko to košta? Trgovac ima cijenu na zahtjev iz nekog razloga. Međutim, Yandex.Market nagovještava cijenu od oko 1500 rubalja.

    Da, to je 2FA. Faktor vlasništva određujem prema tome ima li korisnik hardverski uređaj za autentifikaciju (vaš token) ili generiranje OTP-a izravno na uređaju (pametni telefon ili token za generiranje OTP-a). U slučaju SMS-a, kod se negdje generira i prenosi vama, tako da to ne smatram faktorom.

    Protivnici se ne slažu, ali kao što sam napomenuo u komentarima i istaknuo Artem, ovisno o stupnju paranoje, faktorom se može smatrati i pametni telefon s aplikacijom, jer se može hakirati.

  Kao korisnik Windowsa, ne mogu ništa reći – ja sam čajnik. Ali s gledišta pouzdanosti i učinkovitosti, mogu dati savjet posebno za lutke. Sve bilo koje razine težine može se hakirati. I stoga, da biste zaštitili stvarno vrijedne podatke - bankovne račune, birajte velike pouzdane banke i prepustite njihovim vrhunskim profesionalcima da se pobrinu za vašu sigurnost. A ako propadnu, banci će vam biti lakše nadoknaditi štetu, osim ako niste naravno Miller ili Deripaska, nego da vas tuži. A što se tiče socijalnog. mreže…. a što se tu ima braniti? Ako ste aktivni korisnik društvenih mreža, najvjerojatnije nemate što uzeti od vas – tamo nikad nije bilo vrijednih informacija.