Orice utilizator de internet mai mult sau mai puțin experimentat a întâlnit 2FA. Dar puțini înțeleg cum funcționează autentificarea cu doi factori. Pentru a profita la maximum de acest instrument puternic de protecție a datelor, merită să aflați mai multe despre el.
Primul factor este o parolă permanentă
Autentificarea cu doi factori începe cu parola obișnuită familiară de la înregistrarea pe orice site. Este de obicei ales de utilizator însuși atunci când își creează contul. În sine, o parolă reutilizabilă nu este foarte fiabilă și poate oferi doar un nivel de bază elementar de protecție a contului. În autentificarea cu doi factori, servește ca prim factor, prima „cheie” care deblochează contul.
Cu toate acestea, o parolă reutilizabilă, mai ales dacă este aleasă cu înțelepciune, este o parte importantă a procesului de autentificare cu doi factori, deoarece este un factor de cunoaștere. Codurile PIN pot fi, de asemenea, clasificate ca factori de cunoaștere.
Ce urmează după introducerea parolei? Pot exista diferite opțiuni.
Trei factori de autentificare: ceea ce știm; ce avem; ceea ce este inerent în noi.
Factorul numărul doi - soiuri posibile
Două tipuri de metode de autentificare pot fi utilizate ca al doilea factor de autentificare cu doi factori:
- Ce avem.
Identificatori hardware sub formă de carduri inteligente, certificate semnate digital, jetoane care generează parole unice. Aceste instrumente de autentificare a utilizatorilor necesită o conexiune fizică și, de obicei, cunoașterea codului PIN. Și pe computerul de pe care vă conectați la sistem, trebuie să instalați un software special pentru a interacționa cu un astfel de identificator. Această metodă nu pare foarte convenabilă unor utilizatori, deoarece autentificatoarele de acest tip trebuie să fie purtate în mod constant cu dvs. și să le monitorizeze siguranța. Dacă cardul inteligent sau jetonul OTP este furat sau pierdut, atunci autentificarea clientului va deveni imposibilă.
- Ceea ce este inerent în noi.
Acest grup include caracteristicile biometrice inerente ale unei persoane. Acestea pot fi amprente, un desen al retinei ochiului, conturul unei fețe, sunetul unei voci. Identificatorii de acest tip nu folosesc metode și mijloace criptografice. Cel mai adesea, autentificarea bazată pe biometrie este utilizată pentru a controla accesul la spații sau echipamente - de exemplu, la porțile de acces ale întreprinderilor și organizațiilor.
Pentru utilizare în condiții de îndepărtare a verificatorului și a verificatorului (așa cum se întâmplă pe internet), parolele unice sunt protejate suplimentar cu un cod PIN, cel mai convenabil și de încredere. Lucrul bun despre o parolă temporară este că este valabilă doar pentru o singură sesiune. Chiar dacă parola OTP este interceptată de atacatori, va fi inutilă atunci când se încearcă reutilizarea ei.
Modalități de a genera parole unice
Pentru a înțelege cum funcționează autentificarea cu doi factori, este important să înțelegem de unde provin parolele temporare și cum devin cunoscute utilizatorului legitim care se conectează la sistem.
Există mai multe modalități de a livra parola destinatarului:
- Trimis prin posta electronica;
- trimite SMS pe telefonul tău;
- pre-emite o listă de parole pentru utilizarea unică a fiecăreia dintre ele;
- generați „la loc” folosind jetoane software sau hardware.
Stabilitatea unei parole unice se realizează în primul rând prin utilizarea unor algoritmi complecși pentru generarea acesteia, care sunt în mod constant îmbunătățiți. Trei dintre ele sunt principalele în soluțiile oferite de companie.
- HOTP - după eveniment. Baza pentru crearea OTP este numărul de proceduri de autentificare trecute de un anumit utilizator și cheia secretă cunoscută de ambele părți în prealabil. Aceste valori sunt luate în considerare și la autentificarea la server.
- TOTP - Cronometrat. Acest algoritm de autentificare generează o parolă având în vedere un parametru de timp. De obicei, nu se folosește un anumit număr, ci intervalul curent cu limite predefinite.
- OCRA este un sistem provocare-răspuns. Acest algoritm generează parole unice folosind o valoare aleatorie de la server ca intrare. Poate fi completată și cu o funcție de semnare a datelor care ajută la întărirea securității procedurii de autentificare. Această funcție permite, la crearea și verificarea unei parole, includerea în calcule a unor parametri specifici tranzacției curente, incluzând nu numai ora, ci și destinatarul, moneda și suma transferului. Datorită fiabilității sale ridicate, algoritmul OCRA este cel mai potrivit pentru utilizarea în cele mai critice zone ale sistemului de transmisie și stocare a datelor.
Cum sunt generate parolele unice
Algoritmii HOTP și TOTP sunt utilizați pentru autentificarea unidirecțională - adică serverul verifică identitatea clientului. Atunci când utilizați OCRA, poate fi efectuată autentificarea reciprocă în două sensuri a utilizatorului și a site-ului la care acesta accesează. Acest moment este foarte important pentru eliminarea amenințării de falsificare a datelor și de încărcare automată, care sunt deosebit de periculoase în operațiunile bancare.
Beneficiile autentificării cu doi factori
Principalul avantaj al autentificării cu doi factori este sprijinul reciproc al unui factor de către altul. Dacă atacatorii reușesc să obțină un nume de utilizator și o parolă permanentă, incapacitatea de a introduce o parolă temporară poate împiedica accesul neautorizat la cont. Dacă tokenul OTP ajunge în mâinile fraudatorilor, atunci autentificarea nu va avea loc fără a cunoaște parola principală. Acest tip de autentificare este puternic tocmai pentru că dezavantajele unui factor pot fi compensate de avantajele altuia. Și acesta este ceea ce face ca autentificarea cu doi factori să fie atât de funcțională și de fiabilă.
Atenţie. Aplicațiile dezvoltate în Yandex necesită o parolă unică - chiar și parolele aplicației create corect nu vor funcționa.
- Conectați-vă cu codul QR
- Se transferă Yandex.Key
- Parola principala
Conectați-vă la serviciul sau aplicația Yandex
Puteți introduce o parolă unică sub orice formă de autorizare pe Yandex sau în aplicațiile dezvoltate de Yandex.
Notă.
Parola unică trebuie introdusă la timp în timp ce este afișată în aplicație. Dacă a mai rămas prea puțin timp înainte de actualizare, așteptați o nouă parolă.
Pentru a obține o parolă unică, lansați Yandex.Key și introduceți codul PIN pe care l-ați setat când configurați autentificarea cu doi factori. Aplicația va începe să genereze parole la fiecare 30 de secunde.
Yandex.Key nu verifică codul PIN pe care l-ați introdus și generează parole unice, chiar dacă ați introdus incorect codul PIN. În acest caz, și parolele create se dovedesc a fi incorecte și nu vă veți putea autentifica cu ele. Pentru a introduce codul PIN corect, trebuie doar să părăsiți aplicația și să o porniți din nou.
Caracteristici ale parolelor unice:
Conectați-vă cu codul QR
Unele servicii (de exemplu, pagina de pornire Yandex, Pașaport și e-mail) vă permit să vă conectați la Yandex prin simpla îndreptare a camerei către codul QR. În acest caz, dispozitivul dvs. mobil trebuie să fie conectat la Internet, astfel încât Yandex.Key să poată contacta serverul de autorizare.
Faceți clic pe pictograma codului QR din browser.
Dacă nu există o astfel de pictogramă în formularul de conectare, atunci acest serviciu poate fi autorizat doar cu o parolă. În acest caz, vă puteți autentifica folosind codul QR din Passport, apoi mergeți la serviciul dorit.
Introduceți codul PIN în Yandex.Key și faceți clic pe Conectați-vă cu codul QR.
Îndreptați camera dispozitivului către codul QR afișat în browser.
Yandex.Key recunoaște codul QR și trimite numele de utilizator și parola unică către Yandex.Passport. Dacă trec testul, veți fi conectat automat în browser. Dacă parola transmisă se dovedește a fi incorectă (de exemplu, datorită faptului că ați introdus incorect codul PIN în Yandex.Key), browserul va afișa un mesaj standard despre o parolă incorectă.
Conectați-vă cu un cont Yandex la o aplicație sau un site web terță parte
Aplicațiile sau site-urile care au nevoie de acces la datele dvs. de pe Yandex necesită uneori să introduceți o parolă pentru a vă conecta la contul dvs. În astfel de cazuri, parolele unice nu vor funcționa - trebuie să creați o parolă de aplicație separată pentru fiecare astfel de aplicație.
Atenţie. Doar parolele unice funcționează în aplicațiile și serviciile Yandex. Chiar dacă creați o parolă pentru aplicație, de exemplu, pentru Yandex.Disk, nu vă veți putea conecta cu ea.
Se transferă Yandex.Key
Puteți transfera generarea de parole unice pe alt dispozitiv sau puteți configura Yandex.Key pe mai multe dispozitive în același timp. Pentru a face acest lucru, deschideți pagina Control acces și faceți clic Înlocuirea dispozitivului.
Mai multe conturi în Yandex.Key
Același Yandex.Key poate fi folosit pentru mai multe conturi cu parole unice. Pentru a adăuga un alt cont la aplicație, atunci când configurați parole unice la pasul 3, faceți clic pe pictograma din aplicație. În plus, puteți adăuga generarea de parole la Yandex.Key pentru alte servicii care acceptă o astfel de autentificare cu doi factori. Instrucțiunile pentru cele mai populare servicii sunt oferite pe pagina despre crearea codurilor de verificare nu pentru Yandex.
Pentru a elimina legarea unui cont la Yandex.Key, apăsați și mențineți apăsat portretul corespunzător din aplicație până când apare o cruce în dreapta acestuia. Când faceți clic pe cruce, conectarea contului dvs. la Yandex.Key va fi eliminată.
Atenţie. Dacă ștergeți un cont pentru care sunt activate parole unice, nu veți putea primi o parolă unică pentru a vă conecta la Yandex. În acest caz, va fi necesar să restabiliți accesul.
Amprentă în loc de codul PIN
Puteți utiliza amprenta digitală în loc de un cod PIN pe următoarele dispozitive:
smartphone-uri care rulează Android 6.0 și un scaner de amprente;
iPhone de la 5s;
iPad de la Air 2.
Notă.
Pe smartphone-uri și tablete cu iOS, amprenta digitală poate fi ocolită prin introducerea parolei dispozitivului. Pentru a vă proteja împotriva acestui lucru, activați parola principală sau schimbați parola cu una mai complexă: deschideți aplicația Setări și selectați Touch ID & Password.
Pentru a utiliza activarea verificării amprentei:
Parola principala
Pentru a vă proteja în continuare parolele unice, creați o parolă principală: → Parolă principală.
Cu o parolă principală, puteți:
face posibilă introducerea numai a parolei principale Yandex.Key în locul amprentei, și nu a codului de blocare a dispozitivului;
Backup de date Yandex.Key
Puteți crea o copie de rezervă a datelor cheie pe serverul Yandex pentru a o putea restaura dacă v-ați pierdut telefonul sau tableta cu aplicația. Datele tuturor conturilor adăugate la Cheie în momentul creării copiei sunt copiate pe server. Nu puteți crea mai mult de o copie de rezervă, fiecare copie ulterioară a datelor pentru un anumit număr de telefon o înlocuiește pe cea anterioară.
Pentru a obține date dintr-o copie de rezervă, aveți nevoie de:
aveți acces la numărul de telefon pe care l-ați specificat la crearea acestuia;
amintiți-vă parola pe care ați setat-o pentru a cripta backup-ul.
Atenţie. Backup-ul conține doar datele de conectare și secretele necesare pentru a genera parole unice. Trebuie să vă amintiți codul PIN pe care l-ați setat când ați activat parolele unice pe Yandex.
Nu este încă posibil să ștergeți o copie de rezervă de pe serverul Yandex. Acesta va fi eliminat automat dacă nu îl utilizați în decurs de un an de la crearea sa.
Făcând o copie de rezervă
Selectați elementul Creați o copie de rezervăîn setările aplicației.
Introduceți numărul de telefon la care va fi legată copia de rezervă (de exemplu, „380123456789”) și faceți clic pe Următorul.
Yandex va trimite un cod de confirmare la numărul de telefon introdus. După ce primiți codul, introduceți-l în aplicație.
Creați o parolă pentru a cripta backup-ul datelor dvs. Această parolă nu poate fi recuperată, așa că asigurați-vă că nu o uitați sau nu o pierdeți.
Introduceți parola de două ori și faceți clic pe Terminare. Yandex.Key va cripta copia de rezervă, o va trimite serverului Yandex și va notifica despre aceasta.
Restaurare dintr-o copie de rezervă
Selectați elementul A restabili din fisierul de backupîn setările aplicației.
Introduceți numărul de telefon pe care l-ați folosit la crearea copiei de rezervă (de exemplu, „380123456789”) și faceți clic pe Următorul.
Dacă se găsește o copie de rezervă a datelor cheii pentru numărul specificat, Yandex va trimite un cod de confirmare la acest număr de telefon. După ce primiți codul, introduceți-l în aplicație.
Asigurați-vă că data și ora copiei de rezervă, precum și numele dispozitivului, se potrivesc cu copia de rezervă pe care doriți să o utilizați. Apoi faceți clic pe butonul Restaurare.
Introduceți parola pe care ați setat-o la crearea copiei de rezervă. Dacă nu vă amintiți, din păcate, va fi imposibil să decriptați copia de rezervă.
Yandex.Key va decripta datele de rezervă și vă va informa că datele au fost restaurate.
Modul în care parolele unice depind de ora exactă
Atunci când generează parole unice, Yandex.Key ia în considerare ora și fusul orar actual setate pe dispozitiv. Când este disponibilă o conexiune la Internet, Cheia solicită și ora exactă de la server: dacă ora este setată incorect pe dispozitiv, aplicația o va corecta. Dar în unele situații, chiar și după modificare și cu codul PIN corect, parola unică va fi incorectă.
Dacă sunteți sigur că introduceți corect codul PIN și parola, dar nu vă puteți autentifica:
Asigurați-vă că dispozitivul este setat la ora și fusul orar corect. După aceea, încercați să vă conectați cu o nouă parolă unică.
Conectați dispozitivul la internet, astfel încât Yandex.Key să poată obține singur ora exactă. Apoi reporniți aplicația și încercați să introduceți o nouă parolă unică.
Dacă problema persistă, vă rugăm să contactați asistența folosind formularul de mai jos.
Oferiți feedback cu privire la autentificarea cu doi factori
Ca să-ți dai seama ce este autentificarea cu doi factoriși cum este implementat de obicei, ar trebui să aflați ce este autentificarea în general. Dacă nu pentru a complica lucrurile, atunci autentificarea este un proces în care un utilizator demonstrează că este cine a spus că este.
De exemplu, la intrarea în sistem, introduceți numele de utilizator și parola și, prin urmare, dovedesc că cunoașteți cheia secretă, ceea ce înseamnă că confirmați că sunteți dvs. și nu un străin. În acest caz, cunoașterea parolei este așa-numitul „factor de autentificare”.
Dar parola poate fi foarte simplă și poate fi luată cu ușurință de către un atacator sau poate fi pur și simplu pe o bucată de hârtie sub tastatură (ceea ce, desigur, este greșit). Introducerea unei parole va permite unui atacator să demonstreze sistemului că cunoaște parola și, prin urmare, are dreptul de a utiliza acest sistem.
Prin urmare, pentru a proteja sistemul de astfel de situații, se obișnuiește să se utilizeze doi factori de autentificare în același timp: de exemplu, o parolă și un smart card. În acest caz, faptul de a deține un smart card va fi al doilea factor de autentificare. Sistemul va verifica parola și cardul inteligent și, dacă totul este corect, vă va lăsa să intrați în sistem.
Autentificare cu doi factori și semnătură digitală
Destul de des, autentificarea cu doi factori este utilizată pentru semnăturile electronice. O semnătură digitală pe un document este de obicei similară cu o semnătură scrisă de mână pe un document pe hârtie, așa că este foarte important ca infractorii cibernetici să nu poată pune semnătura digitală în numele tău.
Cel mai adesea, pentru a vă securiza semnătura electronică, aceasta este înregistrată (mai precis, un certificat de semnătură electronică) pe un token. Jeton este un dispozitiv special care este adesea folosit pentru stocarea certificatelor de semnătură electronică. Semnătura ta electronică de pe token este protejată prin parolă, așa că, chiar dacă este furată, atacatorii nu o vor putea folosi. În acest caz, primul factor de autentificare va fi faptul deținerii jetonului, iar al doilea este cunoașterea parolei de accesare a semnăturii electronice de pe token.
Vă recomandăm următoarele modele de token pentru stocarea certificatelor de semnătură digitală:
Autentificare cu doi factori pentru autentificare
Adesea, în organizații, computerele stochează date foarte importante care pot constitui un secret comercial, care, desigur, pot fi vânate de concurenți și alți atacatori. Și folosirea parolelor obișnuite nu este suficientă pentru a garanta securitatea informațiilor.
Pentru a proteja datele de pe computerele angajaților lor, se folosesc două abordări de autentificare:
- protejați procesul de conectare
Ca parte a acestei abordări, pe computer este instalat un produs software, care începe să necesite un token la conectare și, de asemenea, se asigură că tokenul este introdus tot timpul. Dacă scoateți jetonul, computerul este imediat blocat.
Această metodă este bună de utilizat acolo unde spațiile sunt protejate și nimeni nu poate fura fizic computerul sau hard disk-ul acestuia.
- protejați toate datele de pe computer
Există, de asemenea, o modalitate de a cripta toate datele de pe computer și, în momentul pornirii computerului, să solicite utilizatorului să introducă o parolă și să introducă un token. Dacă parola este incorectă sau simbolul este incorect, atunci datele pur și simplu nu vor fi decriptate și chiar dacă sunt furate, atacatorul nu va putea folosi informațiile de pe computer.
Utilizator. Mai mult, vorbim nu doar despre cont, contactele salvate și mesajele, ci și despre documentele și fișierele personale. Cel mai înalt nivel de protecție a datelor este garantat de autentificarea cu doi factori de la Apple, atunci când două coduri numerice speciale trebuie introduse la rând pentru a accesa datele personale.
Cum functioneaza
Caracteristica principală a noului sistem de securitate Apple este garanția că doar tu poți introduce dispozitivul, chiar dacă parola este cunoscută de alții. Cu verificarea în doi pași, vă puteți conecta numai de pe un iPhone, iPad sau Mac de încredere. În acest caz, autentificarea cu doi factori va necesita introducerea secvenţială a două tipuri de parolă: un cod de verificare obişnuit şi unul din şase cifre, care va fi afişat automat pe gadgetul verificat.
De exemplu, aveți un laptop Mac și doriți să vă conectați la iPad-ul nou achiziționat. Pentru a face acest lucru, introduceți mai întâi numele de utilizator și parola, apoi un cod de verificare care apare automat pe ecranul laptopului.
După aceea, autentificarea cu doi factori a Apple vă va „aminti” dispozitivul și va deschide accesul la datele personale fără verificare suplimentară. De asemenea, puteți face browserul oricărui computer de încredere setând această opțiune atunci când vă conectați pentru prima dată la contul dvs.
Dispozitive de încredere
Numai gadgetul Apple poate fi de încredere. Mai mult, sistemul de operare instalat pe acesta trebuie să fie cel puțin iOS 9 pentru dispozitivele mobile și cel puțin OS X El Capitan pentru laptopuri și computere personale. „Autentificarea în doi factori” explică acest lucru prin faptul că doar în acest caz, Apple poate garanta că laptopul pe care îl utilizați vă aparține.
Codurile de verificare din șase cifre pot fi trimise nu numai către dispozitivele de încredere, ci și către numerele de dispozitive mobile. În același timp, metoda de confirmare a numărului și a gadgetului nu este diferită. De asemenea, merită să ne amintim că, indiferent de metoda pe care o utilizați pentru a obține un cod de verificare, autentificarea cu doi factori va necesita să vă cunoașteți propriul ID Apple. Memorează-l, altfel riști să nu obții acces la contul tău.
Nou grad de protecție
De fiecare dată când vă conectați la contul dvs. de utilizator, informațiile despre locație sunt trimise către dispozitive de încredere. În cazurile în care coincide cu locul efectiv al șederii dumneavoastră, puteți autoriza intrarea apăsând butonul evidențiat.
Dacă autentificarea cu doi factori oferă să permită intrarea pe alt dispozitiv, deși locația actuală a dispozitivului nu se potrivește cu a ta, atunci ar trebui să interziceți această acțiune. Acest lucru indică accesul neautorizat la gadgetul dvs. și poate servi și ca un semnal despre locația intrusului care v-a furat telefonul.
Dezactivați sistemul de protecție cu doi factori
Se recomandă insistent să nu efectuați manipulări cu dispozitivul care ar putea dezactiva autentificarea cu doi factori a Apple, acest lucru va reduce gradul de securitate al gadgetului dvs. Cu toate acestea, în unele cazuri pur și simplu nu este necesar. De exemplu, folosești laptopul și smartphone-ul tot timpul. În acest caz, nu este nevoie să confirmați identitatea și, în plus, procedura este foarte obositoare.
Există două moduri de a dezactiva autentificarea cu doi factori a Apple. În primul caz, trebuie să vă conectați la contul dvs., să selectați meniul „Editare” și să selectați opțiunea corespunzătoare în elementul de meniu „Securitate”. Confirmând data nașterii și răspunzând la întrebările de securitate, veți dezactiva protecția cu doi factori.
Dezactivează autentificarea e-mailului
Dacă descoperiți că sistemul de protecție în doi pași este activat pe dispozitivul dvs. fără știrea dvs., îl puteți dezactiva de la distanță folosind e-mailul furnizat la momentul înregistrării sau o adresă de rezervă. Cum dezactivez autentificarea cu doi factori folosind e-mail?
Pentru a face acest lucru, trebuie să deschideți o scrisoare care va ajunge în cutia poștală imediat după activarea sistemului de protecție. În partea de jos a mesajului, veți vedea articolul râvnit „Opriți...”. Faceți clic pe el o dată, iar setările anterioare pentru protejarea datelor dvs. personale vor fi restaurate.
Trebuie să urmați linkul în termen de două săptămâni de la data primirii mesajului, altfel acesta va deveni invalid. Acum nu vă veți întreba cum să dezactivați autentificarea cu doi factori și știți puțin mai multe secrete Apple.
Numai leneșii nu pot sparge parolele. Scurgerea masivă recentă a contului de la Yahoo confirmă doar faptul că o singură parolă - indiferent cât de lungă sau complexă este aceasta - nu mai este suficientă pentru a oferi o protecție fiabilă. Autentificarea cu doi factori este ceea ce promite să ofere acest tip de protecție, adăugând în același timp un strat suplimentar de securitate.
În teorie, totul arată bine, iar în practică, în general, funcționează. Autentificarea cu doi factori îngreunează cu adevărat piratarea contului. Acum nu este suficient ca un atacator să înșele, să fure sau să spargă parola principală. Pentru a vă intra în cont, trebuie să introduceți și un cod unic, care... Dar exact modul în care se obține acest cod unic este cel mai interesant lucru.
Ați întâlnit de multe ori autentificarea cu doi factori, chiar dacă nu ați auzit niciodată de ea. Ați introdus vreodată un cod unic care v-a fost trimis prin SMS? Acesta este, un caz special de autentificare cu doi factori. Ajută? Sincer să fiu, nu chiar: atacatorii au învățat deja să ocolească acest tip de protecție.
Astăzi vom arunca o privire asupra tuturor tipurilor de autentificare cu doi factori utilizate pentru a proteja Conturile Google, ID-urile Apple și Conturile Microsoft pe platformele Android, iOS și Windows 10 Mobile.
măr
Autentificarea cu doi factori a apărut pentru prima dată pe dispozitivele Apple în 2013. În acele zile, a convinge utilizatorii de necesitatea unei protecții suplimentare nu era ușor. Apple nici măcar nu a încercat: autentificarea în doi factori (numită verificare în doi pași sau Verificare în doi pași) a fost folosită doar pentru a proteja împotriva daunelor financiare directe. De exemplu, era necesar un cod unic atunci când efectuați o achiziție pe un dispozitiv nou, schimbați o parolă și comunicați cu asistența despre subiecte legate de ID-ul Apple.
Nu s-a terminat bine. În august 2014, a existat o scurgere masivă de fotografii cu celebrități. Hackerii au reușit să obțină acces la conturile victimelor și au descărcat fotografiile de pe iCloud. A izbucnit un scandal, în urma căruia Apple și-a extins în grabă suportul pentru verificarea în doi pași pentru accesul la copii de rezervă și fotografii în iCloud. În același timp, compania a continuat să lucreze la o nouă generație de metodă de autentificare cu doi factori.
Verificare în doi pași
Pentru a furniza coduri, verificarea în doi pași utilizează mecanismul Găsește-mi telefonul, care a fost conceput inițial pentru a furniza notificări push și comenzi de blocare în cazul unui telefon pierdut sau furat. Codul este afișat în partea de sus a ecranului de blocare, așa că dacă un atacator primește un dispozitiv de încredere, el poate obține un cod unic și îl poate folosi fără să știe măcar parola dispozitivului. Acest mecanism de livrare este în mod clar o verigă slabă.
De asemenea, codul poate fi primit sub forma unui SMS sau a unui apel vocal către un număr de telefon înregistrat. Această metodă nu mai este sigură. Cardul SIM poate fi scos de pe un iPhone bine protejat și introdus în orice alt dispozitiv, apoi acceptați codul pentru acesta. În cele din urmă, o cartelă SIM poate fi clonată sau preluată de la un operator de telefonie mobilă folosind o procură falsă - acest tip de fraudă a devenit acum pur și simplu o epidemie.
Dacă nu aveți acces nici la un iPhone de încredere, nici la un număr de telefon de încredere, atunci pentru a vă accesa contul trebuie să utilizați o cheie specială din 14 cifre (care, apropo, se recomandă să fie tipărită și păstrată într-un seif). loc, iar atunci când călătorești - să țină cu tine). Dacă și tu îl pierzi, atunci nu ți se va părea puțin: accesul la contul tău poate fi închis pentru totdeauna.
Cât de sigur este?
Sincer să fiu, nu chiar. Verificarea în doi pași este extrem de prost implementată și și-a câștigat o reputație binemeritată ca fiind cel mai prost sistem de autentificare în doi factori dintre toți cei trei jucători mari. Dacă nu există altă opțiune, atunci verificarea în doi pași este totuși mai bună decât nimic. Dar există o alegere: odată cu lansarea iOS 9, Apple a introdus un sistem de securitate complet nou, căruia i s-a dat numele ingenios de „autentificare în doi factori”.
Care este mai exact slăbiciunea acestui sistem? În primul rând, codurile unice livrate prin mecanismul Găsește-mi telefonul sunt afișate chiar pe ecranul de blocare. În al doilea rând, autentificarea bazată pe numere de telefon este nesigură: SMS-urile pot fi interceptate atât la nivel de furnizor, cât și prin înlocuirea sau clonarea unei cartele SIM. Dacă există acces fizic la cartela SIM, atunci puteți să o instalați pur și simplu pe alt dispozitiv și să obțineți codul pe o bază complet legală.
De asemenea, rețineți că infractorii au învățat cum să obțină carduri SIM în schimbul celor „pierdute”, folosind procuri false. Dacă parola v-a fost furată, atunci aflarea numărului dvs. de telefon este o chestiune banală. Se falsifică o împuternicire, se obține o nouă cartelă SIM - de fapt, nu este nevoie de nimic altceva pentru a vă accesa contul.
Cum să piratați autentificarea Apple
Hackerea acestei opțiuni de autentificare cu doi factori este destul de simplă. Există mai multe opțiuni:
- citiți un cod unic de pe un dispozitiv de încredere - deblocarea este opțională;
- rearanjați cartela SIM pe alt dispozitiv, primiți SMS-uri;
- clonează o cartelă SIM, obține un cod pentru aceasta;
- utilizați jetonul de autentificare binar copiat de pe computerul utilizatorului.
Cum să te protejezi
Protecția cu verificare în doi pași nu este gravă. Nu-l folosi deloc. Activați în schimb autentificarea adevărată cu doi factori.
Autentificare cu doi factori
A doua încercare a Apple se numește oficial autentificare cu doi factori. În loc să înlocuiască schema anterioară de verificare în doi pași, cele două sisteme există în paralel (cu toate acestea, doar una dintre cele două scheme poate fi utilizată în cadrul aceluiași cont).
Autentificarea cu doi factori a fost introdusă ca parte a iOS 9 și a versiunii simultane de macOS. Noua metodă include verificare suplimentară pentru orice încercare de conectare la un cont Apple ID de pe un dispozitiv nou: toate dispozitivele de încredere (iPhone, iPad, iPod Touch și computerele care rulează versiuni noi de macOS) primesc o notificare interactivă instantaneu. Pentru a accesa notificarea, trebuie să deblocați dispozitivul (cu o parolă sau senzor de amprentă), iar pentru a primi un cod unic, va trebui să faceți clic pe butonul de confirmare din caseta de dialog.
Ca și în metoda anterioară, în noua schemă este posibil să primiți o parolă unică sub forma unui SMS sau a unui apel vocal către un număr de telefon de încredere. Cu toate acestea, spre deosebire de verificarea în doi pași, notificările push vor fi livrate utilizatorului în orice caz, iar utilizatorul poate bloca o încercare neautorizată de a se conecta la cont de pe oricare dintre dispozitivele sale.
Parolele aplicației sunt, de asemenea, acceptate. Dar Apple a refuzat codul de recuperare a accesului: dacă îți pierzi singurul iPhone împreună cu o cartelă SIM de încredere (care din anumite motive nu poate fi restaurată), pentru a restabili accesul la contul tău va trebui să treci printr-o căutare reală cu verificarea identității (și nu, o scanare a unui pașaport nu este o astfel de confirmare... iar originalul, după cum se spune, „nu canalizează”).
Dar în noul sistem de securitate a existat un loc pentru o schemă offline convenabilă și familiară pentru generarea de coduri unice. Utilizează un mecanism complet standard TOTP (parolă unică bazată pe timp), care generează coduri unice din șase cifre la fiecare treizeci de secunde. Aceste coduri sunt legate de ora exactă, iar dispozitivul de încredere însuși acționează ca un generator (autentificator). Codurile sunt extrase din adâncimea setărilor sistemului iPhone sau iPad prin ID Apple -> Parolă și securitate.
Nu vă vom explica în detaliu ce este TOTP și cu ce se mănâncă, dar va trebui totuși să vă spunem despre principalele diferențe dintre implementarea acestei metode în iOS și o schemă similară în Android și Windows.
Spre deosebire de principalii săi concurenți, Apple permite utilizarea exclusivă a propriilor dispozitive ca autentificatori. Acestea pot fi de încredere iPhone, iPad sau iPod Touch care rulează iOS 9 sau 10. În același timp, fiecare dispozitiv este inițializat cu un secret unic, ceea ce face ușoară și nedureroasă revocarea statutului de încredere de la acesta (și numai de la acesta) dacă se pierde. Dacă autentificatorul de la Google este compromis, atunci starea tuturor autentificatorilor inițializați va trebui să fie revocată (și reinițializată), deoarece Google a decis să folosească un singur secret pentru inițializare.
Cât de sigur este
În comparație cu implementarea anterioară, noua schemă este încă mai sigură. Datorită suportului din partea sistemului de operare, noua schemă este mai consistentă, logică și mai ușor de utilizat, ceea ce este important din punctul de vedere al atragerii utilizatorilor. Sistemul de livrare a parolelor unice a fost, de asemenea, reproiectat semnificativ; singura verigă slabă rămasă este livrarea către un număr de telefon de încredere, pe care utilizatorul trebuie să îl verifice fără greșeală.
Acum, când încearcă să se conecteze la un cont, utilizatorul primește instantaneu notificări push către toate dispozitivele de încredere și are opțiunea de a respinge încercarea. Cu toate acestea, dacă se face suficient de repede, un atacator ar putea avea acces la cont.
Cum să piratați autentificarea cu doi factori
Ca și în schema anterioară, autentificarea cu doi factori poate fi spartă folosind un simbol de autentificare copiat de pe computerul utilizatorului. Un atac asupra cartelei SIM va funcționa și el, dar o încercare de a primi codul prin SMS va declanșa în continuare notificări pe toate dispozitivele de încredere ale utilizatorului, iar acesta poate avea timp să respingă intrarea. Dar nu va mai fi posibil să spionați codul de pe ecranul unui dispozitiv blocat: va trebui să deblocați dispozitivul și să dați confirmarea într-o casetă de dialog.
Cum să te protejezi
Nu au mai rămas multe vulnerabilități în noul sistem. Dacă Apple ar fi abandonat adăugarea obligatorie a unui număr de telefon de încredere (și pentru a activa autentificarea cu doi factori, cel puțin un număr de telefon ar trebui verificat fără greșeală), ar putea fi numit ideal. Din păcate, necesitatea verificării numărului de telefon adaugă o vulnerabilitate gravă. Puteți încerca să vă protejați în același mod în care protejați un număr căruia îi vin parolele unice de la bancă.
Continuarea este disponibilă numai pentru abonați
Opțiunea 1. Abonează-te la „Hacker” pentru a citi toate materialele de pe site
Abonamentul vă va permite să citiți TOATE materialele plătite de pe site în perioada specificată. Acceptăm plăți cu carduri bancare, monedă electronică și transferuri din conturile operatorilor de telefonie mobilă.
