Se di recente hai ricevuto uno strano messaggio su Skype con un link a Baidu o LinkedIn, dovresti sapere che non sei solo. Nelle ultime settimane ho ricevuto link di spam a Baidu da sei dei miei contatti Skype: uno da un'agenzia di pubbliche relazioni Microsoft e uno da un ex dipendente Microsoft. Erano sorpresi dal fatto che i loro account fossero stati violati e alcuni erano convinti che fossero protetti dall'autenticazione a due fattori di Microsoft. Come si è scoperto, si sbagliavano.

Un thread sul forum di supporto di Skype mostra che la stessa situazione è accaduta a centinaia di altri utenti. Gli account Skype compromessi vengono utilizzati per inviare migliaia di messaggi di spam prima che vengano bloccati e che i proprietari abbiano l'opportunità di riottenere l'accesso ad essi. Skype è stata già vittima di attacchi simili l'anno scorso, quando gli hacker sono stati in grado di falsificare i messaggi utilizzando un elenco di nomi utente e password rubati per accedere agli account.

Stavo parlando con un dipendente Microsoft il cui account è stato violato non molto tempo fa. Aveva impostato l'autenticazione a due fattori, ma gli hacker sono stati in grado di accedere utilizzando il suo vecchio nome utente e password. L'ho persino testato sul mio account e sono stato in grado di accedere a Skype con la mia vecchia password nonostante avessi collegato i miei account Skype e Microsoft alcuni mesi fa. Pensavo fosse protetto dall'autenticazione a due fattori, ma mi sbagliavo.

Esiste una correzione che chiude questa vulnerabilità, ma non risolve il problema per coloro che hanno già collegato i propri account Microsoft e Skype. Se sei uno di loro, devi aggiornare il tuo account Skype per assicurarti che sia completamente unito al tuo account Microsoft.

• Vai a https://account.microsoft.com . Se sei già loggato, esci.
• Inserisci il tuo nome utente Skype ( non l'e-mail del tuo account Microsoft) e accedi utilizzando la tua password Skype.
• Se hai già collegato il tuo account Microsoft, ti verrà chiesto di registrarti e unire i tuoi account per creare un alias Skype.

Proteggi immediatamente i tuoi account Skype e Microsoft

Una volta che i tuoi account sono stati uniti correttamente, Microsoft creerà un alias Skype per consentirti di accedere utilizzando il tuo login Skype. Puoi continuare a utilizzare questo login o disabilitarlo su

Di recente, gli utenti di Skype hanno iniziato a ricevere messaggi dai loro contatti, che contengono solo un collegamento a Google con alcuni parametri. Alcuni utenti ricevono molti di questi messaggi al giorno. Alcuni l'hanno ricevuto solo una o due volte. Nei forum di Skype, questo argomento viene discusso abbastanza attivamente.

Alcuni utenti hanno notato che tale invio è stato effettuato dal suo account, sebbene lui, ovviamente, non abbia eseguito tali azioni da solo.

Il registro delle attività dell'account mostra chiaramente i tentativi di accesso all'account da altri paesi. Alcuni degli aggressori hanno avuto successo, era visibile nel registro eventi.

Perché sta succedendo?

Secondo i dati descritti sui forum di Skype, questo problema si manifesta negli utenti che non prestano sufficiente attenzione alla sicurezza del proprio account Skype/Microsoft. Le mailing list si verificano anche da persone che non utilizzano il servizio da diversi anni. Il fatto è che usano una password debole e non usano l'autenticazione a due fattori. Gli aggressori raccolgono semplicemente una password. E non appena ciò accade, il tuo account inizia a inviare spam a tutti i contatti.

Come proteggersi?

Se non desideri che i messaggi di spam vengano inviati dal tuo account o sei già diventato una vittima di tale invio, devi seguire questi semplici passaggi:

1. il tuo computer per virus con uno scanner antivirus gratuito.
2. versione Skype.
3. Cambia la vecchia password con una più complessa per il tuo account.
4. Attiva l'autorizzazione a due fattori tramite SMS, e-mail o autorizzazione mobile.

Dopodiché, la probabilità di spamming sarà minima, perché per accedere al tuo account, gli aggressori dovranno anche accedere al tuo telefono o e-mail.
Se noti che uno dei tuoi contatti sta inviando tali messaggi, significa che il suo account è stato violato. Inviagli un link a questo articolo in modo che possa proteggere il suo account e prevenire ulteriore spam.

Skype è diventato una parte importante della mia vita dal 2010. Ti dirò anche il motivo per cui sono passato ad esso: ci sono più di due dispositivi su cui è installato Messenger, ed è importante per me che la cronologia sia la stessa ovunque e non si sia verificata alcuna situazione in cui non ho ricevuto un messaggio, perché è arrivato a un PC funzionante, da cui non mi sono disconnesso dall'account (era una malattia ICQ). Poi i contatti di gruppo, le chiamate in conferenza. Skype è entrato da vicino nella vita di ognuno di noi. E ad un certo punto, un ottimo amico ti chiama e ti chiede perché hai bisogno di soldi per il webmoney, te lo presterò comunque. E non gliel'hai chiesto, ma non importa più. Il tuo account è stato violato ed è stata inviata una richiesta di prestito a tutti i contatti...

Nessuno è al sicuro dall'hacking dell'account, ma a volte non hai nemmeno bisogno di hackerare nulla, perché se prendi le password Top più popolari, allora la probabilità di trovare il tuo 5% di "clienti" tra un milione di utenti è molto probabile. Ma anche una password complessa non ti salverà, puoi anche raccoglierla.

L'autenticazione a due fattori salverà, o meglio renderà la vita molto più difficile agli hacker: in parole semplici, si tratta di collegare il tuo account a un numero di cellulare. E per ora è l'unico modo!

Skype non ha un tale "servizio" per impostazione predefinita, ma Microsoft, che lo ha acquistato, lo fa. Tutto quello che devi fare è collegare Skype a un account Microsoft e attivare l'autenticazione a due fattori in quest'ultimo. Ve lo mostro nelle foto dopo, per sicurezza:

1. Registra un account Microsoft. In linea di principio, uno dei punti per cui li rispetto è che non impongono la creazione di una nuova casella di posta: puoi creare un account per la tua posta preferita. Non saltare il campo con un numero di telefono e un'e-mail di riserva, inseriscili a colpo sicuro.

2. Vai su profilo -> impostazioni account.

3. Sicurezza e privacy --> gestione avanzata della sicurezza.

4. Per continuare - Seleziona invia SMS al numero e inserisci le ultime 4 cifre del tuo telefono. Avanti: inserisci la password da SMS.

5. Il passaggio successivo, ti verrà chiesto di utilizzare Google Autentificator, ma se non sai di cosa si tratta, te lo dirò più tardi, salta questo passaggio (configurazione più tardi)

6. Nella finestra che si apre, trova Verifica in due passaggi e fai clic su "Impostazioni verifica in due passaggi"

8. Qui, infatti, ci viene nuovamente offerto di installare Google Autentificator, a quanto pare è costoso per Microsoft inviare SMS. Siamo ancora persistenti, fai clic su Salta

9. Poiché un telefono non è sufficiente, nel passaggio successivo ci viene chiesto di giocare sul sicuro con un indirizzo email di riserva. Inseriscilo e conferma con il codice della lettera.)

10. Congratulazioni, l'account Microsoft è protetto, ma non è ancora finita, stampiamo il codice, lo mettiamo nella cartella dove conservi i documenti. Il mondo è duro, ora Internet ha i suoi "passaporti". Fare clic su Avanti.

11. Ignoriamo i suggerimenti per lavorare con la posta, Avanti. Nel passaggio successivo, fai clic su Fine.

12. lavoro preparatorio completato. Ora torniamo effettivamente su Skype, andiamo sul sito https://login.skype.com/login e accediamo con il nostro account Microsoft, che abbiamo creato sopra. Ci viene offerto di collegare un account Skype ad esso - siamo d'accordo.

13. Inserisci il tuo nome utente e password Skype e nella finestra successiva fai clic per unire gli account.

Questi 13 semplici passaggi ti aiuteranno a proteggere il tuo account Skype una volta per tutte. Ora è molto più difficile "rubarlo" ..

A proposito, a scapito della gravità di questo evento - l'articolo mi ha spinto a scrivere un piccolo incidente, durante il quale i truffatori del mio amico hanno attraversato non solo amici, ma anche contatti di lavoro, è positivo che ci siano amici "esperti" e abbiamo reagito rapidamente, quindi guai.

Non lesinare sulla sicurezza. E condividi questo articolo, spero che ti aiuti.

Anton Didenko.

Il tuo Skype da ospiti non invitati, perché recentemente la frequenza degli hack nei circoli del poker è solo aumentata. Gli hacker sono riusciti anche ad arrivare agli autori di Pokeroff, anche se è finito più o meno in sicurezza. Per non riempirti la testa di informazioni inutili, ho deciso di fare una breve guida che, almeno, complicherà il compito per i giovani amanti degli omaggi.

Prima di iniziare, vorrei sottolineare che Skype era e rimane un setaccio, ma soprattutto, Microsoft non cerca di risolvere la situazione in alcun modo e spesso la aggrava. Ricorda almeno la storia dell'anno scorso con il token della password, quando quasi tutti gli utenti di PC sicuri potevano "dirottare" qualsiasi account di un altro utente, avendo un minimo di informazioni pubblicamente disponibili.

Indirizzo email anonimo

Di solito gli indirizzi email degli utenti sono facili da trovare nel pubblico dominio, dobbiamo eliminare questo fatto fastidioso per non tentare il destino. Ottieni un nuovo indirizzo email su mail.google.com Questo è abbastanza facile da fare, non sono necessari suggerimenti qui.

Sostituzione dell'indirizzo principale

Successivamente, andiamo su Skype.com, accediamo e cambiamo l'indirizzo e-mail principale (e-mail principale) per l'account Skype in uno nuovo, appena creato, e dimentichiamo la sua esistenza fino a tempi migliori. Non è possibile modificare l'e-mail principale direttamente dal client Skype.

In nessun caso non utilizzate questo indirizzo su siti di terze parti e non condividetelo con nessuno, usatelo esclusivamente per collegarvi a Skype, altrimenti la magia non funzionerà.

Verifica in 2 passaggi

La principale carta vincente nella nostra guida è l'autenticazione e-mail in due passaggi. La funzione è estremamente utile, aiuta a proteggere il nostro account da accessi non autorizzati. Anche se l'attaccante è riuscito in qualche modo a scoprire la password, non sarà in grado di accedere all'account senza un codice di conferma, che viene inviato solo al telefono cellulare del proprietario dell'account. Per abilitare questa funzione per il tuo account Google, procedi nel seguente modo:

Password così diverse

Consiglio vivamente di non utilizzare la stessa password su più risorse. Spesso, dopo aver ricevuto una password da uno degli account su qualsiasi sito che visiti, i truffatori, conoscendo il tuo login, provano a "provare" la password ricevuta ove possibile. Non vale la pena parlare di casi in cui la base di portali come NeverFold è stata venduta per un misero $ 10. I siti dubbi dovrebbero essere evitati.

Programma antivirus

Per la natura del mio lavoro, devo fare i conti con vari antivirus e, per usare un eufemismo, sono sconvolto non solo dalla loro velocità, ma anche dalla loro efficienza. Uno dei pochi programmi che non funziona a parole - Dr. Web Cura IT. Il caso in cui vale davvero la pena spendere 15 minuti del tuo tempo prezioso per ottenere una scansione completa. Il software è assolutamente gratuito, ma allo stesso tempo riceve aggiornamenti regolari.

Alternativa

Sfortunatamente, a causa della sua popolarità, è abbastanza difficile trovare un sostituto per Skype. Ma se la sicurezza è la tua priorità numero uno, ti consiglio di prestare attenzione Google Hangout. Dispone di chat, videochiamate, sms e videoconferenze gratuite. Per iniziare a utilizzare Hangouts, hai bisogno di un nome utente e di una password dal tuo account Google, oltre a uno dei browser più diffusi. Dopo aver scaricato automaticamente l'estensione del browser, l'applicazione è pronta per l'uso.

Blocco dell'account

Facci sapere che un account Skype può essere bloccato al ricevimento di 40 reclami dello stesso tipo (per questo è sufficiente inviare un semplice codice alla corrispondenza corrispondente e cliccarci sopra più volte, anche se da un account ). Proteggersi da questo è abbastanza semplice: è necessario disporre di un saldo del conto di almeno $ 2 e un abbonamento premium attivato.

Conclusione

Siamo tutti adulti, quindi, penso che non valga la pena ricordarti che non puoi aprire link sospetti, così come non puoi accettare file da contatti sconosciuti. Per non essere al posto di una delle vittime dell'hacker, dopo aver ricevuto messaggi con testo del tipo: "Presta $ 100 WebMoney o Yandex fino a domani, darò $ 110". prova a chiamare il contatto e tutto andrà a posto. Inoltre, se si sospetta l'hacking, vale la pena interrogare i tuoi conoscenti per ricevere messaggi simili nel contenuto.

Questa breve guida non è la verità ultima, ma al contrario, è stata creata per ottenere ancora più consigli sulla sicurezza dai lettori di Pokeroff.

Hai mai effettuato l'accesso con un codice da SMS? Che ne dici di un'applicazione che genera codice? Oggi parlerò della differenza tra questi metodi e del perché è importante proteggere gli account dei servizi Internet e della messaggistica istantanea con l'autenticazione a due fattori o in due passaggi.

Se avesse usato l'autenticazione a due fattori, non ci sarebbero novità.

Oggi in programma

Perché hai bisogno di una protezione aggiuntiva dell'account

Quando si parla di sicurezza di Windows, la tesi sulla necessità di una protezione competente si basa spesso su un semplice e senza pretese "non me ne frega niente", supportato da un micidiale argomento "non ho niente di valore". La sua apparizione nei commenti di oggi non sarà una sorpresa per me :)

Tuttavia, a meno che tu non viva in un vuoto assoluto, il tuo account di posta elettronica, social network o messenger può essere prezioso per gli aggressori. L'elenco dei tuoi contatti, insieme alla cronologia della corrispondenza, può diventare una manna d'oro di ingegneria sociale per i truffatori, consentendo loro di imbrogliare i tuoi cari e amici (ciao Skype!).

L'acquisizione di un account e-mail può anche aprire le porte ad altri servizi online a cui sei iscritto (stai utilizzando la stessa e-mail per servizi diversi, giusto?)

L'esempio dell'hacking di Telegram è interessante in quanto ha generato istantaneamente commenti caustici sulla rete nello stile di "ah ah, ecco la tua decantata sicurezza!" Tuttavia, è importante capire che è necessario fornire il livello di protezione raccomandato e non sdraiarsi sui fornelli, basandosi su affermazioni di marketing.

Questo articolo è per coloro che non aspettano il tuono, ma seguono le regole di igiene della rete e adottano un approccio responsabile per proteggere le proprie informazioni riservate. Andare!

Terminologia e abbreviazioni

Semplifico deliberatamente le definizioni, perché considereremo ulteriormente questi concetti in dettaglio nella pratica.

• Autenticazione. Convalida di informazioni univoche note o disponibili alla persona che sta tentando di accedere ai dati. L'esempio più semplice è inserire una password per un account.
• Verifica in 2 passaggi(Verifica in due fasi, 2SV). L'accesso viene eseguito in due fasi: ad esempio, prima inserisci la password per l'account e quindi il codice dall'SMS.
• (Autenticazione a due fattori, 2FA). L'ingresso può essere effettuato anche in due fasi, ma devono differire per fattori (li analizzeremo di seguito). Ad esempio, viene immessa prima la password, quindi la password monouso generata dal token hardware.
• Password una tantum (Password unica, OTP). Codice numerico o alfabetico di 6-8 caratteri. Può essere un codice di un SMS o un'applicazione che genera codici (Google Authenticator).

Fattori di autenticazione

L'autenticazione a due fattori viene spesso definita come a due fattori, senza fare molta differenza tra i concetti. Inoltre non gli attribuivo molta importanza, sebbene usassi entrambi i metodi. Ma un giorno, l'attenzione ha attirato l'attenzione sulla notizia della transizione di Apple dall'autenticazione in due passaggi all'autenticazione a due fattori, che è stata twittata dallo specialista della sicurezza delle informazioni Alexei Komarov.

Ho chiesto a un esperto di spiegare la differenza tra 2SV e 2FA, e lo ha fatto in un tweet con un link al suo articolo.

Mi sono piaciute molto le analogie in esso contenute: semplici e comprensibili. Mi permetto di citarli per intero.

Questa volta useremo le immagini dei romanzi di spionaggio. L'agente Smith deve incontrare un contatto e fornirgli informazioni riservate. Non si conoscono e non si sono mai incontrati prima. Come può Smith essere sicuro di essere effettivamente in contatto e non un agente nemico? Distingue tutto autenticazione a quattro fattori. Consideriamoli tutti.

"Vendi un guardaroba slavo?" è un esempio del primo fattore, quando il soggetto sa qualcosa. In pratica, può essere una password, un login, una passphrase, in una parola, qualsiasi segreto noto a entrambe le parti.

Il messaggero può presentare, ad esempio, una fotografia strappata a metà o qualcos'altro che solo lui possiede - questo è un esempio del secondo fattore di autenticazione, basato sul fatto che il soggetto ha c'è qualcosa. Nei moderni sistemi di sicurezza delle informazioni, i token vengono utilizzati per questi scopi: hardware di autenticazione personale.

Per garantire la sicurezza dell'incontro, si può concordare che si svolga sulla terza panchina a destra dell'ingresso di Central Park. Il terzo fattore è il soggetto è in un certo luogo. I sistemi informativi possono determinare, ad esempio, l'indirizzo IP del computer del soggetto o leggere i dati dei tag radio.

E infine, a Smith potrebbe essere mostrata una foto di un contatto in modo che potesse riconoscerlo. Il quarto fattore (soggetto ha qualche proprietà biologica) si applica solo quando il soggetto dell'autenticazione è una persona e non, ad esempio, un server o un processo privo di impronte digitali, strutture del DNA o iride.

Quale autenticazione è a due fattori

In base al nome, l'autenticazione viene eseguita utilizzando due fattori e devono essere diversi! Continuerò la storia con la mia analogia: guarda attentamente questa cassaforte.

Puoi aprirlo solo se conoscere la combinazione segreta, e tu c'è una chiave per la serratura. Si noti che questi due fattori sono diversi.

Un utente malintenzionato può rubare la chiave, ma senza il codice è inutile. Così come il codice sbirciato non aiuterà senza una chiave. In altre parole, per entrare nella cassaforte, il criminale ha bisogno di rubare due "cose" diverse.

Vediamo come appare nel contesto della tecnologia dell'informazione.

Qual è la differenza tra l'autenticazione in due passaggi e l'autenticazione a due fattori

L'autenticazione a due fattori può essere in due passaggi, ma non è sempre vero il contrario. Il confine tra questi concetti è molto sottile, quindi spesso non vengono distinti. Ad esempio, Twitter chiama la sua autenticazione a due fattori due fattori nel blog e Google nella guida identifica questi metodi (tuttavia, l'azienda offre entrambi).

Infatti, negli account online (Microsoft, Google, Yandex, ecc.), nei social network e nella messaggistica istantanea, l'implementazione di 2FA e 2SV è molto simile. Un passaggio comporta sempre l'inserimento di una password o PIN che tu sai. La differenza tra i metodi di autenticazione sta nella seconda fase: 2FA è possibile solo se si dispone di qualcosa c'è.

Un'aggiunta tipica a una password che conosci è un codice monouso o una password (OTP). Qui è dove è sepolto il cane!

L'autenticazione a due fattori comporta la creazione di una password monouso direttamente sul dispositivo di tua proprietà (token hardware o smartphone). Se l'OTP viene inviato tramite SMS, l'autenticazione è considerata in due passaggi.

Sembrerebbe che gli SMS arrivino allo smartphone che hai. Come vedrai di seguito, questa è una premessa falsa.

Esempio di autenticazione a due fattori

L'accesso remoto alle risorse del mio datore di lavoro richiede l'autenticazione a due fattori. Il primo fattore è la password dell'account, che I lo so. Il secondo fattore è un token hardware per la generazione di OTP, che ho c'è.

Per accedere per mio conto, l'attaccante deve rubare non solo la password, ma anche il token che mi è stato rilasciato, ovvero entrare fisicamente nel mio appartamento.

Esempio di verifica in 2 passaggi

Quando accedi per la prima volta a Telegram su un nuovo dispositivo, ricevi un codice di conferma sul tuo telefono: questa è la prima fase dell'autenticazione. Per molti utenti di messaggistica è l'unico, ma nelle impostazioni di sicurezza dell'applicazione è possibile abilitare la seconda fase: una password nota solo a te e inserita dopo il codice dall'SMS.

Nota che i creatori di Telegram fanno riferimento correttamente alla loro autenticazione in 2 passaggi.

Il problema delle password monouso negli SMS

Torniamo al caso di accesso non autorizzato all'account Telegram, con cui ho iniziato la storia di oggi.

Durante il processo di hacking, l'opposizione ha temporaneamente disabilitato il servizio SMS. In questo vedono la mano dell'ufficio tecnico MTS, ma anche senza la sua partecipazione gli aggressori avrebbero potuto benissimo riemettere la SIM card o effettuare un attacco MITM. Nient'altro ha impedito loro di accedere a Telegram su un altro dispositivo!

Se ci fosse una password sull'account nota solo al proprietario, sarebbe molto più difficile da hackerare.

Tuttavia, tale autenticazione rimane in due fasi e l'hacking dell'account lo dimostra bene in un attacco mirato possesso lo smartphone non ha alcun ruolo. Tu sei solo sai la tua password e il codice monouso che arriva nell'SMS, e questi sono gli stessi fattori.

La registrazione tramite numero di telefono riduce la sicurezza?

Nei commenti alla voce precedente, diversi lettori hanno espresso l'opinione che la comodità di registrarsi tramite numero di telefono, tipica di numerosi programmi di messaggistica istantanea, indebolisca la protezione dell'account rispetto a una password tradizionale. Non la penso così.

In assenza di 2FA o 2SV, l'autenticazione è un passaggio e un fattore. Pertanto, in linea di massima, non fa differenza se accedi utilizzando una password che conosci o un codice non noto in anticipo e inviato tramite SMS.

Sì, gli aggressori possono ottenere il tuo codice SMS, ma possono anche intercettare la tua password, seppur in altro modo (keylogger, controllo di una rete Wi-Fi pubblica).

Se vuoi proteggere meglio il tuo account, affidati a 2FA o 2SV piuttosto che alla falsa sensazione che una password sia superiore a un numero di telefono.

Implementazione di 2FA e 2SV da parte di Google, Microsoft e Yandex

Vediamo che tipo di protezione dell'account offrono alcuni grandi giocatori con milioni di utenti.

Google

L'azienda offre, forse, la più ampia gamma di strumenti aggiuntivi per la protezione dell'account. Insieme ai tradizionali metodi 2SV (invio di un codice tramite SMS o chiamata), Google ha implementato 2FA. Questa è un'applicazione di generazione di codice e, cosa rara, il supporto per i token hardware FIDO UTF standard.

Dopo aver verificato la password, ti viene richiesto di inserire un codice, il metodo che ricevi dipende dalle impostazioni di autenticazione per il tuo account.

Si noti che per impostazione predefinita il computer viene trasferito nella categoria attendibile, ad es. i seguenti ingressi su questo dispositivo non richiedono il secondo fattore. L'elenco di tali dispositivi può essere cancellato nei parametri 2SV.

Ho la generazione del codice configurata dall'applicazione. Google Authenticator implementa il supporto per RFC 6238, che consente di creare OTP per qualsiasi servizio che utilizza questa specifica.

A proposito, in qualche modo ho calpestato un rastrello nell'applicazione: i codici non erano più accettati. Su Twitter, mi è stato subito chiesto di sincronizzare la correzione dell'ora per i codici nelle impostazioni dell'applicazione, ma ero già passato a Yandex.Key.

Inoltre, Google ha la possibilità di stampare codici monouso, che possono essere utili per le persone che non dispongono di uno smartphone e utilizzano una scheda SIM di un operatore locale quando sono in viaggio.

Microsoft

Microsoft è molto simile a Google (vedi le impostazioni dell'account), quindi mi concentrerò sulle differenze interessanti. L'azienda non supporta i token hardware, ma è possibile fornire 2FA generando OTP con un'applicazione proprietaria Authenticator.

Richieste di autenticazione

Sui dispositivi mobili Windows e iOS, le app Microsoft funzionano allo stesso modo: generano semplicemente codici. Su Android, la situazione è più interessante, perché l'applicazione Account Microsoft ha due modalità di funzionamento: due passaggi e due fattori.

Dopo la configurazione iniziale dell'applicazione, viene attivata la modalità, perfettamente implementata in termini di usabilità. Quando si accede al sito, viene richiesto di confermare la richiesta nell'applicazione. Contemporaneamente arriva una notifica, che viene approvata con un clic, ad es. non è necessario inserire il codice manualmente.

A rigor di termini, questo è 2SV, perché la notifica push viene trasmessa su Internet, ma puoi passare a 2FA. Facendo clic su "Non può funzionare", vedrai il requisito per inserire il codice. Nella parte inferiore dell'applicazione mobile c'è un'opzione corrispondente che apre un elenco di account collegati. Puoi tornare alla modalità di notifica allo stesso modo al prossimo accesso.

A proposito, a differenza di Google, Microsoft non rende il dispositivo affidabile per impostazione predefinita (vedi l'immagine sopra) e penso che sia corretto.

Skype e 2SV

Agg. 01-novembre-2016. Skype ha finalmente 2SV integrando completamente un account Skype in un account Microsoft. Pertanto, quanto scritto in questa sezione è rilevante solo per gli account Skype che non hanno superato la procedura di aggiornamento.

Skype merita una menzione speciale e in un contesto negativo. Il tuo account Microsoft è protetto dalla verifica in 2 passaggi e puoi accedere a Skype con esso.

Tuttavia, se si dispone di un account Skype (registrandosi sul sito), la verifica in due passaggi non è implementata, anche se è associata a un account Microsoft.

In pratica, ciò significa che non puoi fornire al tuo account Skype il livello di protezione consigliato da Microsoft. Il sito di supporto di Skype ha un argomento meraviglioso (probabilmente non l'unico) in cui i proprietari di account compromessi vengono e chiedono di implementare 2FA.

La soluzione alternativa è interrompere l'utilizzo di tale account e crearne uno nuovo accedendo con un account Microsoft. Ma è improbabile che coloro che non sono stati ancora hackerati vogliano abbandonare un account con molti contatti.

Yandex

Yandex ha tutto, inclusa la propria implementazione 2FA. Il blog aziendale su Habré perché ha deciso di reinventare la ruota, quindi mi limiterò alla pratica di utilizzare questa soluzione.

L'abilitazione della 2FA annulla l'uso di una password per un account che verrà quindi registrato utilizzando uno smartphone o un tablet. A quanto ho capito, l'app Yandex.Key è disponibile solo per iOS e Android, quindi i proprietari di smartphone Windows non saranno in grado di proteggere il proprio account Yandex con l'autenticazione a due fattori.

L'applicazione mobile supporta diversi account, ma solo l'account Yandex è protetto da un PIN obbligatorio: questo è il primo fattore. Il secondo è mostrato nell'immagine sopra: questa è una password monouso di otto lettere o scansionando un codice QR dalla pagina web in cui stai effettuando l'accesso.

OTP scade tra 30 secondi. Dopo aver commesso un errore di battitura, non ho avuto il tempo di reinserire lo stesso codice, e ho dovuto attendere per uno nuovo (i numeri sono comunque più facili da inserire senza errori). Pertanto, il modo consigliato e più conveniente è scansionare il codice QR. Per i casi di autorizzazione sullo stesso dispositivo è previsto un pulsante che copia OTP negli appunti.

Domande e risposte

I commenti hanno evidenziato diverse domande, le cui risposte ho deciso di aggiungere all'articolo.

Evviva, ora ho 2SV/2FA ovunque! C'è qualcos'altro che deve essere fatto?

Immagina di essere andato in vacanza, dove il tuo smartphone è stato rubato il primo giorno. Ora non accedi a nessun account finché non ripristini la scheda SIM. Per evitare un tale scenario, vai alle impostazioni degli account chiave, trova lì codici monouso o di backup per accedere al tuo account e salvali su un altro dispositivo e / o annota su carta.

Ho un'applicazione che ha smesso di funzionare dopo aver abilitato 2SV/2FA. Cosa fare?

Alcune applicazioni sono incompatibili con la verifica in due passaggi, nel senso che il servizio è in attesa del codice nel secondo passaggio e non c'è nessun posto dove inserirlo. Un esempio è un client di posta "desktop".

In questo caso, le impostazioni della verifica in due passaggi del tuo account offrono la possibilità di creare password per le applicazioni (password per le app). Devi creare una password e inserirla nell'app problematica invece della password del tuo account. Per Yandex (ad esempio, in Yandex.Browser), è sufficiente inserire semplicemente una password monouso generata dall'applicazione Yandex.Key.

In base a quali parametri il servizio determina che il dispositivo è attendibile?

Ogni fornitore ha la propria implementazione. Potrebbe essere una combinazione di cookie SSL, indirizzo IP, browser, qualunque cosa. Esiste una soglia per la modifica dei parametri, al raggiungimento della quale è necessario effettuare nuovamente il login.

Quali sono le migliori app per la generazione di OTP mobili da utilizzare?

Se non utilizzi 2FA in Yandex, qualsiasi applicazione funzionerà (Google, Microsoft, Yandex.Key). Se hai abilitato 2FA in Yandex, ha senso consolidare tutti i servizi in Yandex.Key. Il motivo è che l'implementazione di Yandex di 2FA è diversa da altri servizi, ma Yandex.Key supporta RFC 6238, che consente di creare OTP per altri servizi che hanno implementato questa specifica.

Perché non posso impostare 2FA per VKontakte nell'applicazione di generazione del codice?

Nelle impostazioni dello smartphone è necessario impostare il rilevamento automatico della data e del fuso orario. In caso contrario, l'applicazione non può essere registrata - il codice generato dall'applicazione non viene accettato con l'errore "Codice di conferma non valido". La consegna di OTP tramite SMS funziona e non è in alcun modo correlata al problema.

Discussione e sondaggio

Inizialmente, l'autenticazione a due fattori e in due passaggi era prerogativa delle organizzazioni, ma gradualmente iniziò ad apparire nei servizi orientati al consumatore. Google è stata una delle prime grandi aziende a offrire tale protezione ai propri utenti nel 2011 e altri giocatori si sono successivamente fatti avanti, tra cui Yandex e mail.ru, popolare su Runet, hanno introdotto queste misure all'inizio del 2015.

Finora, 2FA / 2SV non è disponibile per tutti i servizi comuni. Ad esempio, al momento della pubblicazione dell'articolo, non è presente nei messenger con un pubblico multimilionario di Viber e WhatsApp (comparso a febbraio 2017). Ma in generale, a metà del 2016, la tecnologia era molto diffusa.

Io stesso ho iniziato con Google, poi ho collegato i social network, in seguito un account Microsoft (c'è stato un trambusto con un certo numero di applicazioni che non supportavano la verifica in due passaggi e ho dovuto creare password monouso). Ora ho 2FA / 2SV abilitati ovunque e anche in questo blog (solo per amministratori).

Puoi contrassegnare frammenti di testo che ti interessano, che saranno disponibili tramite un collegamento univoco nella barra degli indirizzi del browser.

Circa l'autore

Nicola

Di recente, ho sbagliato l'autenticazione dopo aver ricevuto una notifica di un tentativo di hacking nella posta.

Pavlovskij Romano

Ho scelto l'articolo: No, ma ora inizierò ad usarlo.
L'ho attivato sul mio account Goole, ma in seguito non sono stato in grado di inviare posta dal client di posta e non sono riuscito a connettermi alle chat di Hangouts dall'applicazione. Forse era necessario accedere dal computer all'account Google in modo che il PC diventasse affidabile e quindi tutto funzionasse. Ma non mi sono preoccupato e ho disattivato l'autorizzazione in due passaggi.
Se devi solo accedere al PC desiderato in modo che diventi attendibile, è normale, ma se ciò non aiuta, il problema sarà con l'invio di posta e l'utilizzo della chat.
L'altro account di posta non ha affatto l'autenticazione a due fattori e, inoltre, l'avrei attivato lì.

Alexander [Mazdaischik]

Ho scelto "La mia opzione non è qui", anche se, forse, varrebbe la pena scegliere "No, e ora inizierò a usarla".

Uso la posta solo tramite Outlook e, a quanto pare, non supporta l'autorizzazione a due fattori (anche se non l'ho cercato su Google - forse hanno inventato dei plug-in). Non utilizzo un account Microsoft. Non c'è lo smartphone. Non registrato nei social network (ad eccezione di GitHub). La registrazione su tutti i tipi di forum e siti, come questo, penso sia inappropriato da proteggere.

Ho un account Skype, che uso solo in ufficio (mi siedo nella chat generale dell'azienda). Ora penserò di unirlo con un account Microsoft (sembra che ci sia tale funzionalità) e di utilizzare l'autorizzazione a due fattori.

Nicola

Evgenij Kazakin

Grazie, molto interessante!
“Si prega di notare che per impostazione predefinita il computer viene trasferito nella categoria di attendibile, ad es. i seguenti ingressi su questo dispositivo non richiedono il secondo fattore. L'elenco di tali dispositivi può essere cancellato nei parametri 2SV.

E da quali fattori riconosce questo dispositivo affidabile? È un certificato o un SID a base di ferro?

Eugenio

L'autenticazione a due fattori è abilitata solo in servizi particolarmente importanti, ad esempio sui conti bancari, nei sistemi di pagamento. Ma su alcuni di essi, puoi accedere all'account con una sola password, ma qualsiasi operazione può essere eseguita tramite una a due fattori. È assente sui servizi di posta e sui social network, poiché i servizi stessi tracciano abbastanza bene le "azioni sospette" (cambiare IP, tentare di indovinare una password, cambiare il dispositivo utilizzato, ecc.) E ne informano rapidamente, e molti addirittura bloccano immediatamente automaticamente l'account.

Nikita Panov

Evgenij Kazakin: Grazie, molto interessante!
“Si prega di notare che per impostazione predefinita il computer viene trasferito nella categoria di attendibile, ad es. i seguenti ingressi su questo dispositivo non richiedono il secondo fattore. L'elenco di tali dispositivi può essere cancellato nei parametri 2SV. "E in base a quali fattori riconosce questo dispositivo affidabile? È un certificato o un SID a base di ferro?

Molto probabilmente dipende dall'implementazione. Anche il client Steam ha la propria autenticazione 2F.

Andrej Bayatakov

Incluso ove possibile. Non sembravano esserci effrazioni. :) Ma su outlook.com puoi vedere Richieste di protezione da posti che sicuramente non riuscivo a trovare... e con sistemi operativi che non ho mai usato. Per quanto riguarda la disabilitazione degli SMS, l'anno scorso mi sono imbattuto più volte in cui gli SMS con un codice di QIWI non sono arrivati ​​su uno smartphone, ma allo stesso tempo sono stati ricevuti senza problemi su un normale telefono. È bastato riordinare la scheda SIM.

Matvej Solodovnikov

Vadim, ottimo articolo! Grazie per la presentazione dettagliata.
Abilitato in Google (dopo che hanno provato a violare la mia password da qualche parte in Turchia), nell'account Microsoft (ero troppo pigro per farlo, ma dopo questo articolo ho deciso di abilitarlo comunque) e in Dropbox (è stato abilitato per due anni già). Uso Microsoft Authenticator su Lumia 640.
P.S. Sì. e nel telegramma devi anche accenderlo :) non si sa mai.

• Matteo, grazie per la tua risposta. Sì, Telegram è protetto meglio di WhatsApp o Viber in questo senso, quindi ha senso abilitare 2SV.

D.K

Il mio account Yandex è protetto su W10M dall'autenticazione a due fattori. Prendo la password dalla chiave Yandex installata sull'iPad. E in generale includo tale protezione, dove è solo possibile. La mia posta su Mail.ru è stata violata in precedenza, ho dovuto cambiare spesso la password. Ora, dopo aver abilitato l'autorizzazione in due passaggi, non ci sono stati hack. Dopo i noti eventi, l'ho acceso su Telegram.

D.K

Ho dimenticato di aggiungere che anche la mia carta Sberbank è stata truffata con l'autorizzazione in due passaggi abilitata.

Andrei

Grazie per l'articolo, non conoscevo l'applicazione per uno smartphone a un account Microsoft, l'ho collegato.

Vitale

Ottimo articolo, ben disposto sugli scaffali 2FA e 2SV.
In generale, di recente ho pensato alla sicurezza e sono passato a KeePass. Più affidabile, più sicuro e, soprattutto, indipendente da server di terze parti, non ho trovato nulla. Ho impostato il blocco automatico, la password è più complicata e basta.
2FA è solo per una carta Sberbank, c'è un nome utente (solo nella mia testa), una password (in KeePass) e un SMS.

Yaroslav Nepomniachtchi

Utilizzo Microsoft Authenticator da un tempo relativamente lungo, in realtà da quando ho registrato un account Microsoft.
Ho iniziato a curiosare nelle impostazioni e ho trovato una cosa del genere, l'ho messa su Windows Phone.
Dopo aver letto l'articolo, ho installato un account Google, anche tramite Microsoft Authenticator.
La domanda è: cosa fare in caso di furto/smarrimento di un dispositivo mobile?

Yaroslav Nepomniachtchi

È strano perché le banche non usano l'autenticazione a due fattori..
Bene, almeno non l'ho trovato in Sberbank e telebank

Nicola

Vadim Sterkin: A Sberbank 2SV. Sul sito, inserisci prima la password, poi il codice dall'SMS.

e ogni volta arriva un nuovo codice. Probabilmente si calma dalla possibilità di hacking)
(a meno che l'intervallo di tempo non salverà)

Lecron

Non sono d'accordo con il trasferimento dell'autenticazione SMS da 2FA a 2SV.

Allo stesso modo, le chiavi della cassaforte possono essere copiate durante la vendita. E allo stesso modo il fabbricante della cassaforte dispone di un codice chiave, che può produrre su presentazione dei documenti per il possesso della cassaforte, in caso di smarrimento.

• Lecron: Non sono d'accordo con il trasferimento dell'autenticazione SMS da 2FA a 2SV.
  In questo caso, la scheda SIM è un analogo completo della chiave della cassaforte che possiedi. Le vulnerabilità di MitM e la procedura di rilascio non sicura non cambiano il fatto della _proprietà_.

  Destra. Ma proprio per via del MITM, molti esperti di infobez non considerano gli SMS un fattore... Alcuni addirittura non considerano l'OTP generato su uno smartphone come tale, ma secondo me questo è già troppo :)

  • Sergey Sysoev

    E sono d'accordo con Lecron. Il fatto che ci siano delle vulnerabilità nell'uso degli SMS non toglie che questo sia ancora il secondo fattore, anche se molto debole. Altrimenti, come giustamente hai notato, OTP non può considerarsi tale, visto che un virus può arrivare su uno smartphone (soprattutto Android, vero?). E da dietro la spalla, un'altra persona può sbirciare dall'OTP hardware. Oppure, ad esempio, la banca che ha emesso l'OTP hardware può fare un duplicato.

Dama Dadabayev

Uso Google Afenticator per Mail.ru, Facebook, VK (a cui vado raramente) e account Microsoft (quest'ultimo è un grande amico del programma Google, ma non vedo il senso di installare due applicazioni per la stessa funzione) . Ho anche provato a connettere Yandex, ma non ha funzionato. Idealmente, vorrei vedere l'autorizzazione nelle banche anche sulla base di questa applicazione.

A proposito, una domanda a Vadim sulle password delle applicazioni: Google offre loro una password solo da lettere latine minuscole. Quanto è affidabile?

Yaroslav Nepomniachtchi

Ho chiesto supporto.
Infatti, nello store di Windows è presente un'applicazione Token VTB24

Andrey Varypaev

Di recente, ha anche organizzato una campagna in due fasi su mail.ru. Dal momento che la mia password di 20 cifre mi è stata portata via tramite una connessione https tramite un proxy e sono riuscita a inserire la posta 2 volte una volta attraverso l'Ucraina, la seconda volta da alcune isole. Fortunatamente, il mio account mail.ru è stato bloccato con il sospetto di pirateria informatica. Quindi ho eseguito l'autenticazione in due passaggi.

Nicola

Vadim Sterkin: Andrew, un buon esempio del fatto che una password complessa + secondo fattore è meglio di una semplice password complessa.

E come possono rubare una password di 20 cifre? Keylogger non viene preso in considerazione.
Vadim, puoi dirmi di più su questi token hardware. Che cos'è, qual è il loro significato? I codici vengono generati secondo un algoritmo predeterminato? In tal caso, è davvero sicuro e l'algoritmo non può essere calcolato?
E un'altra cosa allo stesso tempo. :) Quanto è sicuro usare i pulsanti "Accedi con" per inserire le risorse. Come, ad esempio, sul tuo blog.

Nicola

Vadim Sterkin:
2. E lo cerchi su Google? TOTP, HOTP
3. Questa è una domanda interessante. Penso che dovrebbe essere evidenziato separatamente. Ma puoi esplorare da solo e lanciare alcuni spunti di riflessione qui.

Beh, non è giusto! E masticare? :)

Vitaly Chernyshov

Uso 2FA ovunque ci sia tale opportunità: github, account live, dropbox, Yandex, Google. La posta è ormai la cosa più importante da proteggere, tutto il resto è legato ad essa.

Qui sono preoccupato per il problema delle password dell'applicazione, per quei programmi che non supportano 2FA, ad esempio lo stesso client di posta. Non è una violazione della sicurezza? Del resto questa password può essere intercettata allo stesso modo, per semplicità tralasceremo il momento della cifratura del traffico. E inserisci questa password in un'altra applicazione. Outlook non dispone di cookie o di un meccanismo simile per consentire al servizio di distinguere un'applicazione da un'altra. O c'è? Cosa impedisce di intercettare questa password dell'applicazione allo stesso modo di una normale password? E usalo in un'altra applicazione. Se solo la crittografia del traffico, si scopre che le password delle applicazioni sono un enorme buco. Esattamente lo stesso livello di sicurezza di una normale password.

Emma

Di recente mi è arrivata la notizia: https://geektimes.ru/post/276238/, cosa che mi ha spiacevolmente sorpreso, sono già riuscito ad abituarmi a Telegram con tutto il cuore. L'autore dell'articolo confonde i concetti, chiama l'autenticazione in 2 passaggi 2-factor, ma non è questo il punto Cosa succede: un utente malintenzionato, avendo accesso all'SMS della vittima, sarà comunque in grado di accedere all'account e in questo caso , L'autenticazione 2SV Telegram non aiuterà? Qual è il punto allora?

Dmitrij Sergeevich

Se ho capito tutto correttamente, l'autenticazione a due fattori è disponibile solo con l'applicazione corrispondente installata sullo smartphone. Ma non ho uno smartphone. Posso comprarlo, ma non mi serve. Uso un telefono a pulsanti inaffondabile perforante di funzionalità preistorica, che mi serve solo per chiamate e SMS (che, in effetti, non possono fare altro) e che ha una carica da una e mezza a due settimane. Acquistare uno smartphone solo per poter utilizzare l'autenticazione a due fattori?

• Usane uno a due stadi: il tuo smartphone perforante può ricevere messaggi di testo.

artem

Per accedere alle risorse del cliente utilizzo anche 2FA, ma in questo caso il ruolo di token hardware è svolto da uno smartphone con l'applicazione RSA SecureID.

da questo punto di vista - generazione del codice applicazione sul telefono non è il secondo fattore. Il telefono può essere hackerato. E alcuni utenti lo fanno da soli per installare software non ufficiale (jailbreak). Dopodiché, qualsiasi applicazione (un virus o qualcuno mascherato da applicazione utile) può, ad esempio, entrare nell'area di memoria utilizzata dall'applicazione generatore di password monouso. E puoi fare ancora più facilmente e semplicemente rubare il contenuto dello schermo tramite un'API che crea screenshot. (Sì, normalmente questa API non dovrebbe essere disponibile per l'uso nascosto da parte di programmi di terze parti, ma dopo un jailbreak tutto è possibile).

anche se non hai eseguito il jailbreak con le tue mani, il telefono, in teoria, può essere hackerato da remoto, come qualsiasi dispositivo abbastanza complesso connesso alla rete. Improbabile? Certamente. Ma questo è improbabile e difficile da implementare come hackerare un operatore di telefonia mobile, corrompere un tecnico, creare una scheda SIM duplicata o altrimenti intercettare un codice da un SMS.

anche se hai un dispositivo separato per generare OTP o un foglio con password monouso stampate, puoi "spiarle" usando ottiche potenti o hackerando una telecamera di sorveglianza nel quartiere :) O corrompere un impiegato in una banca che te le ha fornite Le password. Tutto ciò è altrettanto improbabile, ma del tutto possibile in pratica. Così il tuo "secondo fattore" diventa... diventa... diventa il primo.

perché io sono? Al fatto che la linea tra 2FA e 2SV sia così sottile che interessa solo dal punto di vista del ragionamento teorico su un mondo ideale. In pratica, non esiste tale limite. Pertanto, ad esempio, l'implementazione adottata in Telegram è ugualmente corretta per chiamare sia a due fattori che a due stadi.

PS Questo non è rilevante per il caso, ma la possibilità di condurre un attacco MITM su un telefono, simile a quello descritto nell'articolo su Habré, è criticata da praticanti di cui mi fido. Sostengono che un tale attacco è possibile solo in condizioni di laboratorio speciali. In pratica, tutti gli operatori mobili che operano in Russia hanno imparato a difendersi, perché utilizzando apparecchiature appositamente configurate.

• Artem, molto tempo, non ci vediamo :)

  Infatti, dov'è il confine? :)

  

  La mia argomentazione si basa su fattori (in particolare, la proprietà), e tu hai iniziato per la salute, e poi sei scivolato in "tutto può essere rubato e hackerato". Ho anche pensato che alla fine la tesi “2fa non serve, perché il saldatore!” :)

  Bene, da quando sei entrato nell'olivar, vorrei sentire la tua opinione sulla mia domanda, espressa dalla discussione:

  Allo stesso tempo, forse hai una spiegazione ragionevole per il fatto che Google, Microsoft e Telegram non chiamano la loro autenticazione a due fattori e che Apple sta passando da 2SV via SMS/Trova il mio telefono a 2FA? Senza scuse del tipo "Non sono responsabile per loro", ma in modo sensato.

  • artem

    hai iniziato per la salute e poi sei rotolato giù

    e dov'è nel mio commento il confine tra "salute" e "abbassato"?

    Bene, da quando sei entrato nell'olivar,

    non è che volessi davvero entrare, e non vedo affatto santità qui. Ma ho avuto una conversazione con una certa persona (sì, nella chat di Telegram) - ha portato il tuo blog come argomento.

    Mi piacerebbe sentire la tua opinione sulla mia domanda

    Bene, questa è una domanda strana per me, perché semplicemente non separo 2FA e 2SV. In ogni caso, quando si tratta di SMS. Lì, appena sopra nel ramo a cui ti riferisci, la persona dice tutto correttamente. Una carta SIM è ancora "ciò che possiedi". Sì, può essere rubato, contraffatto o intercettato al volo, ma ciò non annulla l'azione principio. (Inoltre, come ho detto, MITM non funziona nella pratica, quindi questo argomento da solo chiaramente non è sufficiente per riqualificare SMS da 2FA a 2SV).

    Ecco un altro esempio per te nel tesoro dei disaccordi terminologici. (Tu stesso li porti sopra in abbondanza, incluso lo stesso Google, che non separa 2FA e 2SV). GitHub utilizza il termine "2FA" (https://github.com/settings/security), mentre si parla della stessa RFC 6238, ovverosia. generazione del codice dall'applicazione sul telefono. Allo stesso tempo, hanno il supporto per FIDO U2F e fallback su SMS. Ciò non impedisce loro di considerare la loro autenticazione come due fattori.

    • » Tu a me: ma ci sono un certo numero di altre società che non condividono. Quali sono i tuoi pensieri su questo?
      Io a te: dal mio punto di vista si sbagliano o prendono le pulci.

      Ognuno ha il diritto di usare il termine che gli è più vicino. Il disaccordo sorge solo se lo scrittore contemporaneamente utilizza entrambi i termini e allo stesso tempo li separa chiaramente (e non li usa come sinonimi, come fa, ad esempio, Google). Questo è molto raro. Fondamentalmente - o in materiale accademico (come la storia dell'agente Smith) o sul tuo blog :)

      Considerano la loro autenticazione in due passaggi (nella pagina delle impostazioni c'è scritto Verifica in due passaggi).

      In cui si? Ecco una citazione dalla pagina delle impostazioni principali (https://github.com/settings/security):

      Autenticazione a due fattoriè il titolo della sezione.

      Successivamente, se fai clic sul pulsante Modificare, arriviamo alla pagina https://github.com/settings/two_factor_authentication/configure . (Attenzione all'URL). Lì leggiamo:

      Fornire un numero SMS di riserva consentirà a GitHub di inviare i codici di autenticazione a due fattori a un dispositivo alternativo in caso di smarrimento del dispositivo principale.

      Bene, in generale, il termine 2FA ricorre sette volte in questa pagina. Il termine 2SV non compare mai.

      Ognuno ha il diritto di usare il termine che gli è più vicino.

      Sì, e le società espresse non usano il termine 2FA, sebbene "fattore" sia uno dei concetti di base nell'infobez.

      Fondamentalmente - o in materiale accademico (come la storia dell'agente Smith) o sul tuo blog :)

      Tutto dipende dalla meticolosità dei commentatori. Se chiudi i commenti sul blog, puoi scrivere quello che vuoi. Ho diviso 2FA / 2SV e quelli che non sono d'accordo si sono imbattuti immediatamente nei commenti - hanno persino votato negativamente :) Se non l'avessi diviso, probabilmente ce ne sarebbero meno. Ma questo non impedirebbe loro di puntare il dito nel contesto di "SMS non è 2FA".

      artem

      Pensavo parlassi di Google, ho guardato con disattenzione. Ho chiesto informazioni su Google/MSFT/Apple/Telegram e mi hai infilato GitHub, dove tutto corrisponde alle tue tesi. E sì, mi piace come hai trascinato Google qui agganciando una frase nella guida.

      io scivolato GitHub per due motivi. In primo luogo, qualcuno qui nei commenti ha già chiesto a riguardo, ma ero troppo pigro per rispondere esattamente lì: sì, GitHub in realtà supporta anche 2FA. E in secondo luogo, perché hai già attraversato tutte le altre grandi aziende, meticolosamente analizzare il loro approccio alla terminologia. Non ripetere. Quindi ho dovuto trovare qualcuno di nuovo.

      Se non fosse stato diviso, probabilmente ce ne sarebbero meno. Ma non li farebbe male puntare il dito nel contesto di "SMS non è 2FA".

      Questo è il punto. Non mi dispiace dividere 2FA e 2SV - se potesse essere fatto in modo inequivocabile. Quelli. categorizzare: sì, questo canaleè il secondo fattore, e questo è solo una variazione del primo. Sai benissimo che amo arrivare fino in fondo quanto te, se non di più :)

      Il problema è che nel caso degli SMS questa linea non può essere tracciata. Quelli. non è una domanda meticolosità, ma una disputa terminologica del tutto inutile.

      Secondo alcune indicazioni, una SIM è un “possesso”, ovvero un “possesso”. secondo fattore. Un utente legittimo non può ricevere un messaggio senza una scheda SIM. E per la maggior parte degli attaccanti, questo è un ostacolo serio, anche se non insormontabile. (Paragonabile a dover entrare in un appartamento per rubare un dispositivo di generazione OTP.)

      Secondo alcuni altri segnali, sì, la tecnologia GSM può essere ingannata e intercettata. E così questo fattore diventa informativo, come il primo. Ma da questo punto di vista, anche la generazione di OTP sul telefono è un fattore informativo. (Vedi il ragionamento sopra sul jailbreak).

      Pertanto io Prima di tutto Non vedo alcuna differenza pratica tra 2FA e 2SV. E In secondo luogo, Non vedo il senso di litigare. Perché in pratica 2FA non risulta essere qualcosa di più sicuro di 2SV. In ogni caso, mentre il più comune "secondo canale" L'SMS rimane.

      È possibile e necessario sostenere che specificamente gli SMS siano meno sicuri. canale, rispetto a un dispositivo di generazione OTP separato. Una conversazione del genere ha davvero senso, invece di cercare di classificare canali diversi come 2FA o 2SV e discutere su quale di queste opzioni sferiche è più affidabile nel vuoto.

      Questo è il caso in cui un tentativo di semplificare attraverso la classificazione complica solo la discussione e la rende meno significativa e più vulnerabile ai disaccordi terminologici.

    • Il NIST dichiara l'età dell'autenticazione a 2 fattori basata su SMS su | TechCrunch.

      Qualora la verifica fuori banda debba essere effettuata tramite SMS su rete mobile pubblica, il verificatore DEVE verificare che il numero telefonico preregistrato utilizzato sia effettivamente associato ad una rete mobile e non ad un VoIP (o altro software -servizio basato). Invia quindi il messaggio SMS al numero di telefono preregistrato. La modifica del numero di telefono preregistrato NON DEVE essere possibile senza l'autenticazione a due fattori al momento della modifica. L'OOB tramite SMS è deprecato e non sarà più consentito nelle versioni future di questa guida.

  Giorgio

  Vadim, benvenuto!

  Oggi mi sono comprato un token hardware: http://www.aladdin-rd.ru/catalog/jacarta_u2f/ - Lo uso sul mio account Gmail e Dropbox. Poiché la forza della catena è determinata dal suo anello più debole, ho rimosso il telefono dalla casella personale e Google come fattore di ripristino e ora posso accedere a Google solo tramite il token, o se non c'è, quindi tramite l'autenticazione di Google OTP e, se non è presente, codice di backup a 8 cifre: https://i.gyazo.com/d6589d7523d4259e423d500de1c2354b.png

  Di conseguenza, ora vado su gmail.com, inserisco la solita password e google inizia a richiedere un token: https://i.gyazo.com/0503e8347c80ce865dd2f5ed69eab95c.png . Inserisco il token, lo definisce, premo il tasto hard sul token, dicono che sono una persona reale e mi autentico all'account. Questo metodo di autenticazione può essere considerato un'autenticazione a due fattori? Inoltre ho letto tutti i commenti e non ho davvero capito perché gli SMS non siano un fattore. Perché c'è una password (lo so) e ho un telefono con un numero allegato (ho). Non sono un holivar per il gusto di farlo, ma sono più confuso di quanto ho capito perché non può essere chiamato un metodo di autenticazione a due fattori.

  • Georgy, congratulazioni per l'acquisto: ottima idea! e quanto costa? Il rivenditore ha un prezzo su richiesta per qualche motivo. Tuttavia, Yandex.Market suggerisce un prezzo nella regione di 1.500 rubli.

    Sì, è 2FA. Definisco il fattore di proprietà in base al fatto che l'utente abbia un dispositivo hardware per l'autenticazione (il tuo token) o la generazione di OTP direttamente sul dispositivo (smartphone o token di generazione OTP). Nel caso degli SMS, il codice viene generato da qualche parte e ti viene trasmesso, quindi non lo considero un fattore.

    Gli oppositori non sono d'accordo, ma come ho notato nei commenti e fatto notare da Artem, a seconda del grado di paranoia, anche uno smartphone con un'applicazione non può essere considerato un fattore, poiché può essere hackerato.

  Come utente di Windows, non posso dire nulla: sono una teiera. Ma dal punto di vista dell'affidabilità e dell'efficienza, posso dare consigli per i manichini. Puoi hackerare qualsiasi cosa di qualsiasi complessità. E quindi, per proteggere dati davvero preziosi: conti bancari, scegli grandi banche affidabili e lascia che i loro professionisti di alta classe si prendano cura della tua sicurezza. E se falliscono, sarà più facile per la banca risarcirti del danno, a meno che ovviamente tu non sia Miller o Deripaska, che denunciarti. Quanto al sociale reti…. cosa c'è da proteggere? Se sei un utente attivo dei social network, molto probabilmente non hai nulla da prendere: non c'erano mai informazioni preziose lì.