Cum să vă protejați contul Skype de hacking? Terminologie și abrevieri. De ce se întâmplă asta

04.11.2019 Windows Phone

Dacă ai primit recent un mesaj Skype ciudat cu un link către Baidu sau LinkedIn, nu ești singur. În ultimele câteva săptămâni, am primit linkuri spam către Baidu de la șase dintre contactele mele Skype: unul de la o agenție de PR Microsoft și unul de la un fost angajat Microsoft. Au fost surprinși că le-au fost sparte conturile, iar unii au fost încrezători că sunt protejați de autentificarea cu doi factori a Microsoft. După cum sa dovedit, s-au înșelat.

Un subiect de pe forumul de asistență tehnică Skype arată că aceeași situație s-a întâmplat cu sute de alți utilizatori. Conturile Skype piratate sunt folosite pentru a trimite mii de mesaje spam înainte ca acestea să fie blocate, iar proprietarii să poată recupera accesul la ele. Skype a fost deja victima unor atacuri similare anul trecut, în care hackerii au putut să falsifice mesajele folosind o listă de nume de utilizator și parole furate pentru a avea acces la conturi.

Am vorbit cu un angajat Microsoft al cărui cont a fost spart nu cu mult timp în urmă. Avea configurată autentificarea cu doi factori, dar hackerii s-au putut conecta folosind vechiul nume de utilizator și parolă. Am testat chiar și acest lucru pe cont propriu și am putut să mă conectez la Skype cu vechea parolă, chiar dacă mi-am conectat conturile Skype și Microsoft acum câteva luni. Credeam că sunt protejat de 2FA, dar m-am înșelat.

Există o remediere care închide această vulnerabilitate, dar nu rezolvă problema pentru cei care și-au conectat deja conturile Microsoft și Skype. Dacă sunteți unul dintre ei, atunci trebuie să vă actualizați contul Skype pentru a vă asigura că este complet îmbinat cu contul Microsoft.

Urmați linkul https://account.microsoft.com. Dacă sunteți deja autentificat, vă rugăm să vă deconectați.
Introduceți numele dvs. de utilizator Skype ( nu e-mailul contului Microsoft) și conectați-vă folosind parola Skype.
Dacă v-ați conectat deja contul Microsoft, vi se va solicita să vă înregistrați și să combinați conturile pentru a crea un alias Skype.

Protejați-vă imediat conturile Skype și Microsoft

După ce conturile dvs. sunt conectate corect, Microsoft va crea un alias Skype pentru a vă permite să vă conectați folosind numele de utilizator Skype. Puteți continua să utilizați această autentificare sau să o dezactivați

Recent, utilizatorii Skype au început să primească mesaje de la contactele lor, care conțin doar un link către Google cu anumiți parametri. Unii utilizatori primesc mai multe astfel de mesaje pe zi. Unii l-au primit doar o dată sau de două ori. Pe forumurile Skype, acest subiect este discutat destul de activ.

Unii utilizatori au observat că o astfel de trimitere a fost efectuată din contul său, deși el însuși, desigur, nu a efectuat astfel de acțiuni.

Jurnalul de activitate a contului arată clar încercările de a accesa contul din alte țări. Unii dintre atacatori au reușit, era evident din jurnalul de evenimente.

De ce se întâmplă asta?

Conform datelor descrise în forumurile Skype, această problemă apare la utilizatorii care nu acordă suficientă atenție securității contului lor Skype/Microsoft. Buletinele informative vin chiar de la persoane care nu au folosit serviciul de câțiva ani. Chestia este că folosesc o parolă slabă și nu folosesc autentificarea cu doi factori. Atacatorii, pe de altă parte, forțează pur și simplu parola. Și de îndată ce s-a întâmplat acest lucru, spam-ul începe să fie trimis din contul tău către toate persoanele de contact.

Cum să te protejezi?

Dacă nu doriți să vi se trimită mesaje spam din contul dvs. sau ați devenit deja victima unei astfel de e-mailuri, atunci trebuie neapărat să urmați acești pași simpli:

computerul dvs. pentru viruși cu un scaner antivirus gratuit.
versiunea de Skype.
Schimbați vechea parolă cu una mai complexă pentru contul dvs.
Activați autorizarea cu doi factori prin SMS, e-mail sau autorizare mobil.

După aceea, probabilitatea de a trimite spam va fi minimă, deoarece pentru a vă accesa contul, infractorii cibernetici vor trebui să obțină și accesul la telefon sau e-mail.
Dacă observați că una dintre persoanele dvs. de contact trimite astfel de mesaje, atunci aceasta înseamnă că contul lui a fost spart. Trimite-i linkul către acest articol pentru a-i proteja contul și pentru a preveni spam-ul ulterioară.

Skype a devenit o parte destul de densă a vieții mele din 2010. Îți voi spune chiar și motivul pentru care am trecut la el - există mai mult de două dispozitive în care stă messengerul și este important pentru mine ca povestea să fie aceeași peste tot și nu a existat nicio situație când nu am primit un mesaj, pentru că a venit la un PC funcțional, unde nu m-am deconectat (era boala ICQ). Apoi grupați contacte, apeluri conferință. Skype a devenit o parte din viața fiecăruia dintre noi. Și la un moment dat, un prieten foarte bun te sună și te întreabă, de ce ai nevoie de bani pentru WebMoney, oricum te împrumut. Și nu l-ai întrebat, dar nu mai contează. Contul dvs. a fost piratat și o solicitare pentru o sumă de împrumut a fost trimisă tuturor persoanelor de contact...

Nimeni nu este ferit de piratarea unui cont, dar uneori nici nu trebuie să piratați nimic, pentru că dacă luați Top Cele mai populare parole, atunci probabilitatea de a vă găsi 5% „clienți” printre un milion de utilizatori este foarte probabilă. Dar chiar și o parolă complexă nu te va salva, o poți ridica și tu.

Autentificarea cu doi factori va salva, sau mai degrabă va face viața mult mai dificilă hackerilor - în cuvinte simple, vă leagă contul de un număr de telefon mobil. Și în acest moment aceasta este singura cale!

Skype nu are implicit acest „serviciu”, dar Microsoft, care l-a cumpărat, are. Tot ce trebuie să faceți este să conectați Skype la contul dvs. Microsoft și să activați autentificarea cu doi factori pe acesta din urmă. Apoi vă voi arăta în imagini, astfel încât cu siguranță:

1. Înregistrați un cont Microsoft. În principiu, unul dintre punctele, pentru care le respect, nu impun crearea unei noi căsuțe poștale - vă puteți crea un cont pe mail-ul preferat. Nu ratați câmpul cu numărul de telefon și adresa de e-mail de rezervă, trebuie să le introduceți.

2. Accesați profil -> setările contului.

3. Securitate și confidențialitate—> Advanced Security Management.

4. Pentru a continua - Alegeți să trimiteți SMS la numărul și introduceți ultimele 4 cifre ale telefonului. Apoi, introduceți parola din SMS.

5. Următorul pas, vi se va solicita să utilizați Google Autentificator, dar dacă nu știți ce este - vă voi spune mai târziu, sări peste acest pas.(Configurați mai târziu)

6. În fereastra care se deschide, găsiți Verificare în doi factori și faceți clic pe „Configurați verificarea în doi pași”

8. Aici, de fapt, ni se oferă din nou să punem Google Autentificator, se pare că Microsoft este scump să trimită SMS. Suntem încă persistenti, faceți clic pe Skip

9. Deoarece un singur telefon nu este suficient, la pasul următor ni se cere să ne securizăm cu o adresă de e-mail de rezervă. Îl introducem și confirmăm cu codul din scrisoare.)

10. Felicitări, contul tău Microsoft este protejat, dar încă nu s-a terminat.Tipărim codul, îl punem în tati unde ții actele. Lumea este dură, acum internetul are propriile „pașapoarte”. Faceți clic pe Următorul.

11. Ignorați sugestiile pentru lucrul cu e-mailul, Următorul. la pasul următor, faceți clic pe Terminare.

12. munca pregătitoare s-a încheiat. Acum, de fapt, să revenim la Skype. Accesați site-ul https://login.skype.com/login și conectați-vă cu contul Microsoft, pe care l-ați creat mai sus. Ni se oferă să conectăm un cont Skype la acesta - suntem de acord.

13. Introduceți numele de utilizator și parola Skype și, în fereastra următoare, faceți clic pentru a fuziona conturile.

Acești 13 pași simpli vă vor ajuta să vă asigurați contul Skype odată pentru totdeauna. Acum este mult mai dificil să-l „deturpiți”.

Apropo, în detrimentul gravității acestui eveniment, am fost îndemnat să scriu un articol de un mic incident, în timpul căruia escrocii l-au vizitat pe prietenul meu nu numai prieteni, ci și contacte din afaceri, este bine că există „experimentați ” prietenii și noi am reacționat rapid, așa că aveți probleme.

Nu vă zgâriți cu securitatea. Și distribuiți acest articol, sper să vă fie de ajutor.

Anton Didenko.

Deține Skype de la oaspeții neinvitați, pentru că recent frecvența hackurilor în cercurile de poker a crescut. Hackerii au reușit să ajungă și la autorii Pokeroff, chiar dacă s-a încheiat mai mult sau mai puțin în siguranță. Pentru a nu vă înfunda capul cu informații inutile, am decis să fac un scurt ghid, care, cel puțin, va complica sarcina tinerilor iubitori de freebie.

Înainte de a începe, aș dori să observ că Skype a fost și rămâne o sită, dar cel mai important, Microsoft nu încearcă să remedieze situația și, adesea, chiar o exacerbează. Amintiți-vă cel puțin povestea de anul trecut cu simbolul de parolă, când aproape orice utilizator de PC încrezător putea „deturna” orice cont al altui utilizator, având un minim de informații disponibile public.

Adresă de e-mail anonimă

De obicei, adresele de e-mail ale utilizatorilor sunt ușor de găsit în domeniul public, trebuie să eliminăm acest fapt enervant, pentru a nu tenta soarta. Obțineți o nouă adresă de e-mail la mail.google.com Este destul de ușor, nu sunt necesare solicitări.

Înlocuirea adresei principale

Apoi, accesați Skype.com, conectați-vă și schimbați adresa de e-mail principală (E-mail principal) pentru contul Skype cu una nouă, tocmai creată, și uitați de existența ei până la vremuri mai bune. Nu puteți schimba e-mailul principal direct de la clientul Skype.

În niciun caz nu utilizați această adresă pe site-uri terțe și nu o partajați cu nimeni, folosiți-o exclusiv pentru legarea la Skype, altfel magia nu va funcționa.

Autentificare în 2 pași

Cel mai mare atu din ghidul nostru este autentificarea prin e-mail în doi pași. Această caracteristică este extrem de utilă, ajută la protejarea contului nostru de accesul neautorizat. Chiar dacă un atacator a reușit să afle parola într-un fel, el nu va putea intra în cont fără un cod de confirmare, care este trimis doar pe telefonul mobil al proprietarului contului. Pentru a activa această funcție pentru contul dvs. Google, facem următorii pași simpli:

Parole atât de diferite

Recomand insistent să nu folosiți aceeași parolă pe mai multe resurse. Adesea, după ce au primit o parolă de la unul dintre conturile de pe orice site pe care îl vizitați, escrocii, cunoscându-vă datele de conectare, încearcă să „încerce” parola primită oriunde este posibil. Nu este nevoie să vorbim despre cazuri în care o bază de date de portaluri precum NeverFold a fost vândută cu 10 USD. Site-urile îndoielnice ar trebui evitate.

Program antivirus

Prin natura muncii mele, trebuie să mă confrunt cu diverse antivirusuri și, pentru a spune ușor, sunt frustrat nu numai de performanța lor, ci și de eficacitatea lor. Unul dintre puținele programe care funcționează din cuvinte în fapte - Dr. Web Cure IT. Acesta este momentul în care merită cu adevărat să petreci 15 minute din timpul tău prețios pentru a finaliza o scanare completă. Software-ul este absolut gratuit, dar în același timp primește actualizări regulate.

Alternativă

Din păcate, datorită popularității sale, este destul de dificil să găsești un înlocuitor pentru Skype. Dar dacă siguranța este pe primul loc pentru tine, recomand să fii atent Google Hangouts. Există chat, apeluri video, sms și conferințe video gratuite. Pentru a începe să utilizați Hangouts, aveți nevoie de o autentificare și o parolă din contul dvs. Google, precum și de unul dintre browserele populare. După descărcarea automată a extensiei de browser, aplicația este gata să funcționeze.

Blocarea contului

Să știți că un cont Skype poate fi blocat atunci când se primesc 40 de reclamații de același tip (pentru aceasta, este suficient să trimiteți un cod simplu la corespondența corespunzătoare și să faceți clic pe el de mai multe ori, chiar dacă dintr-un singur cont ). Este destul de simplu să te protejezi de acest lucru - trebuie să ai un sold de cont de 2 USD sau mai mult și un abonament premium activat.

Concluzie

Cu toții suntem adulți, așa că cred că nu merită să vă reamintim că nu ar trebui să deschideți linkuri suspecte, precum și să acceptați fișiere de la contacte necunoscute. Pentru a nu fi în locul uneia dintre victimele hackerului, după ce a primit mesaje cu textul de genul: „Împrumutați 100 USD WebMoney sau Yandex până mâine, voi da 110 USD”. încercați să sunați la un contact și totul se va pune la loc. De asemenea, dacă bănuiți că hacking, merită să le cereți cunoștințelor comune să primească mesaje similare ca conținut.

Acest scurt ghid nu este ghidul suprem, ci, dimpotrivă, a fost creat pentru a obține și mai multe sfaturi de siguranță de la cititorii Pokeroff.

Te-ai autentificat vreodată cu un cod de la SMS? Dar folosirea unei aplicații care generează codul? Astăzi voi vorbi despre diferența dintre aceste metode și de ce este important să protejați conturile serviciilor de internet și mesagerie instant cu autentificare în doi factori sau în doi pași.

Dacă ar fi folosit verificarea în doi pași, nu ar exista nicio veste.

Astăzi în program

De ce aveți nevoie de protecție suplimentară a contului

Când vine vorba de securitatea Windows, tezele despre nevoia de protecție competentă se întâlnesc adesea cu un simplu și fără pretenții „Nu-mi pasă”, susținut de argumentul mortal „Nu am nimic de valoare”. Apariția lui în comentariile de astăzi nu va fi o surpriză pentru mine :)

Cu toate acestea, cu excepția cazului în care trăiți într-un vid absolut, e-mailul, rețelele sociale sau contul dvs. de mesagerie pot fi de valoare pentru atacatori. Lista de contacte, împreună cu istoria corespondenței, poate deveni o mină de aur de inginerie socială pentru fraudatori, permițându-le să-ți înșele pe cei dragi și cunoscuți pentru bani (bună ziua, Skype!).

Deturnarea unui cont de e-mail poate deschide, de asemenea, uși către alte servicii de rețea cu care sunteți înregistrat (utilizați aceeași e-mail pentru servicii diferite, nu?)

Exemplul de hacking Telegram este interesant prin faptul că a generat instantaneu comentarii sarcastice pe rețea în stilul „ha-ha, iată siguranța ta lăudată!” Cu toate acestea, este important să înțelegeți că trebuie să oferiți nivelul recomandat de protecție și să nu vă întindeți pe aragaz bazându-vă pe afirmațiile de marketing.

Acest articol este pentru cei care nu așteaptă să bată tunetul, ci respectă regulile de igienă a rețelei și adoptă o abordare responsabilă pentru a-și proteja informațiile confidențiale. Merge!

Terminologie și abrevieri

Am simplificat în mod deliberat definițiile, pentru că în continuare vom lua în considerare aceste concepte în detaliu în practică.

Autentificare... Verificarea informațiilor unice cunoscute sau disponibile unei persoane care încearcă să acceseze datele. Cel mai simplu exemplu este introducerea unei parole pentru un cont.
Autentificare în 2 pași(Verificare în doi pași, 2SV). Conectarea se realizează în două etape - de exemplu, mai întâi introduceți parola pentru contul dvs. și apoi codul din SMS.
(Autentificare cu doi factori, 2FA). Intrarea se poate realiza și în două etape, dar acestea trebuie să difere în factori (le vom analiza mai jos). De exemplu, parola este introdusă mai întâi, urmată de parola unică generată de tokenul hardware.
Parolă de unică folosință (Parolă unică, OTP). Cod numeric sau alfabetic de 6-8 caractere. Poate fi un cod dintr-un SMS sau o aplicație care generează coduri (Google Authenticator).

Factori de autentificare

Autentificarea cu doi factori este adesea denumită autentificare cu doi factori, cu o mică distincție între concepte. De asemenea, nu i-am acordat prea multă importanță, deși am folosit ambele metode. Dar într-o zi, ochiul a atras vestea despre trecerea Apple de la autentificarea în doi pași la autentificarea în doi factori, care a fost postată pe Twitter de specialistul în securitatea informațiilor Alexei Komarov.

Am rugat un expert să explice diferența dintre 2SV și 2FA și a primit-o într-un tweet cu un link către articolul său.

În ea, mi-au plăcut foarte mult analogiile - simple și clare. Permiteți-mi să le citez integral.

De data aceasta vom folosi imagini din romane de spionaj. Agentul Smith trebuie să se întâlnească cu un contact și să-i ofere informații clasificate. Nu se cunosc și nu s-au mai întâlnit până acum. Cum poate Smith să fie sigur că este într-adevăr o legătură și nu un agent inamic? Distinge între toate patru factori de autentificare... Să le luăm în considerare pe toate.

„Ai un dulap slav de vânzare?” Este un exemplu de prim factor atunci când subiectul stie ceva... În practică, aceasta poate fi o parolă, autentificare, expresie de acces - într-un cuvânt, orice secret cunoscut de ambele părți.

Un mesager poate prezenta, de exemplu, jumătate dintr-o fotografie ruptă sau altceva pe care doar el are - acesta este un exemplu de al doilea factor de autentificare bazat pe faptul că subiectul are este ceva... În sistemele moderne de securitate a informațiilor, în aceste scopuri, se folosesc token-uri - instrumente personale de autentificare hardware.

Pentru a asigura siguranța întâlnirii, se poate conveni ca aceasta să aibă loc pe a treia bancă din dreapta intrării în Parcul Central. Al treilea factor este subiectul este într-un anumit loc... Sistemele informaționale pot determina, de exemplu, adresa IP a computerului subiectului sau pot citi datele etichetelor radio.

În cele din urmă, lui Smith i s-a putut arăta o fotografie a contactului, astfel încât să-l poată recunoaște. Al patrulea factor (subiect are o anumită caracteristică biologică) se aplică numai în cazul în care subiectul autentificării este o persoană, și nu, de exemplu, un server sau un proces care nu are amprente digitale, structuri ADN sau irisul ochiului.

Ce autentificare este cu doi factori

După cum sugerează și numele, autentificarea se realizează folosind doi factori și trebuie să fie diferiți! Voi continua povestea cu analogia mea - aruncați o privire atentă la acest seif.

Il poti deschide doar daca cunoașteți combinația secretă si tu există o cheie pentru încuietoare... Rețineți că acești doi factori sunt diferiți.

Un atacator poate fura cheia, dar fără cod, este inutil. De asemenea, codul spion nu va ajuta fără o cheie. Cu alte cuvinte, pentru a intra în seif, criminalul trebuie să fure două „lucruri”.

Să vedem cum arată în contextul tehnologiei informației.

Care este diferența dintre verificarea în doi pași și autentificarea în doi factori

Autentificarea în doi factori poate fi autentificare în doi pași, dar inversul nu este întotdeauna adevărat. Granița dintre aceste concepte este foarte subțire, așa că adesea nu se disting. De exemplu, Twitter pe un blog numește autentificarea în doi pași cu doi factori, iar Google în ajutor egalizează aceste metode (cu toate acestea, compania oferă ambele).

Într-adevăr, în conturile online (Microsoft, Google, Yandex etc.), rețelele sociale și mesagerii, implementarea 2FA și 2SV este foarte asemănătoare. Un pas implică întotdeauna introducerea parolei sau a codului PIN pe care îl aveți tu stii... Diferența dintre metodele de autentificare constă în a doua etapă - 2FA este posibil doar dacă aveți ceva există.

O adăugare tipică la parola pe care o cunoașteți este un cod sau o parolă unică (OTP). Aici este îngropat câinele!

Autentificarea cu doi factori înseamnă crearea unei parole unice direct pe dispozitivul pe care îl dețineți (token hardware sau smartphone). Dacă OTP-ul este trimis prin SMS, autentificarea este considerată în doi pași.

S-ar părea că SMS-ul vine pe smartphone-ul pe care îl aveți. După cum veți vedea mai jos, aceasta este o premisă falsă.

Un exemplu de autentificare cu doi factori

Pentru a accesa de la distanță resursele angajatorului meu, trebuie să trec autentificarea cu doi factori. Primul factor este parola contului pe care eu stiu... Al doilea factor este tokenul hardware pentru generarea OTP pe care îl am există.

Pentru a se conecta în numele meu, un atacator trebuie să fure nu numai parola, ci și jetonul care mi-a fost eliberat, de exemplu. pătrunde fizic în apartamentul meu.

Exemplu de verificare în doi pași

Când vă conectați pentru prima dată la Telegram pe un dispozitiv nou, primiți un cod de confirmare pe telefon - aceasta este prima etapă de autentificare. Pentru mulți utilizatori ai messenger-ului, este singurul, dar în setările de securitate ale aplicației, puteți activa a doua etapă - o parolă care este cunoscută doar de dvs. și care este introdusă după codul din SMS.

Rețineți că creatorii Telegramului se referă corect la autentificarea lor ca în doi pași.

Problema parolelor unice în SMS

Să revenim la cazul obținerii accesului neautorizat la contul Telegram, cu care am început povestea de astăzi.

În procesul de hacking, serviciul SMS a fost temporar dezactivat pentru opoziție. Ei văd mâna departamentului tehnic al MTS în asta, dar fără participarea lui, atacatorii ar fi putut foarte bine să reelibereze cartela SIM sau să efectueze un atac MITM. Nu a existat nimic altceva care să-i împiedice să se conecteze la Telegram pe alt dispozitiv!

Dacă contul ar avea o parolă cunoscută doar de proprietar, ar fi mult mai dificil de spart.

Cu toate acestea, o astfel de autentificare rămâne una în doi pași, iar piratarea contului demonstrează în mod clar că într-un atac țintit deţinere smartphone-ul nu joacă niciun rol. Doar tu tu stii parola și codul unic care vine în SMS și aceștia sunt aceiași factori.

Înregistrarea prin număr de telefon reduce securitatea?

În comentariile postării anterioare, mai mulți cititori și-au exprimat părerea că comoditatea înregistrării cu un număr de telefon, care este tipică pentru un număr de mesagerie instant, slăbește protecția contului în comparație cu o parolă tradițională. Eu nu cred acest lucru.

În absența 2FA sau 2SV, autentificarea este într-un singur pas și cu un singur factor. Prin urmare, în general, nu există nicio diferență dacă vă conectați folosind o parolă pe care o cunoașteți sau un cod necunoscut anterior trimis prin SMS.

Da, atacatorii vă pot obține codul SMS, dar vă pot intercepta și parola, deși într-un alt mod (keylogger, controlul unei rețele Wi-Fi publice).

Dacă doriți să vă protejați mai bine contul, bazați-vă pe 2FA sau 2SV mai degrabă decât pe falsul sentiment că o parolă este superioară unui număr de telefon.

Implementarea 2FA și 2SV la Google, Microsoft și Yandex

Să aruncăm o privire la protecția contului oferită de unii dintre marii jucători cu milioane de utilizatori.

Google

Compania oferă probabil cea mai largă gamă de protecții suplimentare disponibile. Alături de metodele tradiționale 2SV (trimiterea unui cod prin SMS sau apel), Google a implementat 2FA. Aceasta este o aplicație pentru generarea de coduri și, rar, suport pentru jetoane hardware ale standardului FIDO UTF.

După verificarea parolei, vi se solicită să introduceți un cod, metoda de obținere care depinde de setările de autentificare pentru contul dvs.

Vă rugăm să rețineți că în mod implicit computerul este considerat de încredere, de exemplu. pentru următoarele intrări de pe acest dispozitiv, al doilea factor nu este necesar. Lista acestor dispozitive poate fi ștearsă în parametrii 2SV.

Am aplicația configurată să genereze coduri. Google Authenticator implementează suportul RFC 6238, care vă permite să creați OTP pentru orice serviciu care utilizează această specificație.

Apropo, în aplicație am călcat cumva pe o greblă - codurile nu mai erau acceptate. Twitter m-a solicitat rapid să sincronizez corecția de timp pentru coduri din setările aplicației, dar am trecut deja la Yandex.Key.

De asemenea, Google are capacitatea de a imprima coduri unice, care pot fi utile atunci când călătoresc pentru persoanele care nu au smartphone și folosesc cartela SIM a unui operator local.

Microsoft

Microsoft este foarte asemănător cu Google (vezi setările contului), așa că mă voi concentra pe diferențele curioase. Compania nu acceptă jetoane hardware, dar este posibil să furnizeze 2FA prin generarea de OTP-uri cu o aplicație proprietară Authenticator.

Aplicații de autentificare

Pe dispozitivele mobile Windows și iOS, aplicațiile Microsoft funcționează în același mod - doar generează coduri. Pe Android, situația este mai interesantă, deoarece aplicația Microsoft Account are două moduri de funcționare - în două etape și cu doi factori.

După configurarea inițială a aplicației, se activează un mod, care este perfect implementat din punct de vedere al utilizabilității. Când intrați pe site, vi se solicită să confirmați solicitarea în aplicație. În același timp, sosește o notificare, care se aprobă cu un singur clic, adică. nu este nevoie să introduceți codul manual.

Strict vorbind, acesta este 2SV, deoarece notificarea push este trimisă prin Internet, dar puteți trece la 2FA. Făcând clic pe „Eșuat”, veți vedea o solicitare de introducere a codului. În partea de jos a aplicației mobile există o opțiune corespunzătoare care deschide o listă de conturi conectate. Puteți reveni la modul de notificare în același mod data viitoare când vă conectați.

Apropo, spre deosebire de Google, Microsoft în mod implicit nu face dispozitivul de încredere (vezi imaginea de mai sus) și cred că acest lucru este corect.

Skype și 2SV

Actualizare. 01-Nov-2016... Skype are în sfârșit 2SV prin integrarea completă a contului Skype în contul Microsoft. Prin urmare, ceea ce este scris în această secțiune este relevant doar pentru conturile Skype care nu au trecut prin procedura de actualizare.

Skype merită o mențiune specială, și într-un context negativ. Contul dvs. Microsoft este protejat cu verificarea în doi pași și vă puteți conecta la Skype cu aceasta.

Totuși, dacă aveți un cont Skype (înregistrat pe site), atunci 2SV nu este implementat pentru acesta, chiar dacă este asociat unui cont Microsoft.

În practică, asta înseamnă că nu poți oferi contului tău Skype nivelul de protecție recomandat de Microsoft. Site-ul de asistență Skype are un subiect minunat (probabil nu singurul) unde proprietarii de conturi piratate vin și cer să implementeze 2FA.

O soluție este să nu mai utilizați un astfel de cont și să creați unul nou, conectându-vă cu un cont Microsoft. Dar cei care nu au fost încă piratați este puțin probabil să vrea să lase un cont cu o mulțime de contacte.

Yandex.

Yandex are de toate, inclusiv propria sa implementare a 2FA. Compania din blogul de pe Habré, de ce a decis să reinventeze bicicleta, așa că mă voi limita doar la practica utilizării acestei soluții.

Activarea 2FA anulează utilizarea unei parole pentru un cont, care va fi apoi conectat folosind un smartphone sau o tabletă. După cum am înțeles, aplicația Yandex.Key este disponibilă numai pentru iOS și Android, așa că proprietarii de smartphone-uri Windows nu își vor putea proteja contul Yandex cu autentificare cu doi factori.

Aplicația mobilă acceptă diferite conturi, dar numai contul Yandex este protejat de un PIN obligatoriu - acesta este primul factor. Al doilea este afișat în imaginea de mai sus - aceasta este o parolă unică de opt scrisori sau scanarea unui cod QR de pe pagina web la care vă conectați.

OTP va expira în 30 de secunde. După ce am greșit, nu am avut timp să reintroduc același cod și a trebuit să aștept unul nou (numerele sunt încă mai ușor de introdus fără erori). Prin urmare, modalitatea recomandată și mai convenabilă este scanarea codului QR. Pentru cazurile de autorizare pe același dispozitiv, există un buton care copiază OTP în clipboard.

Intrebari si raspunsuri

Comentariile au scos în evidență mai multe întrebări, răspunsurile la care am decis să le adaug în articol.

Ura, acum am 2SV / 2FA peste tot! Mai este ceva ce trebuie să faci?

Imaginează-ți că ai plecat în vacanță, unde smartphone-ul tău a fost furat chiar în prima zi. Acum nu intri în niciun cont până nu restabiliți cartela SIM. Pentru a evita un astfel de scenariu, accesați setările conturilor cheie, găsiți acolo coduri unice sau de rezervă pentru accesarea contului și salvați-le pe alt dispozitiv și/sau notați-le pe hârtie.

Am o aplicație care a încetat să funcționeze după ce am activat 2SV / 2FA. Ce să fac?

Unele aplicații sunt incompatibile cu Verificarea în 2 Pași, în sensul că serviciul așteaptă un al doilea pas, dar nu există unde să-l intri. Un exemplu este un client de e-mail „desktop”.

În acest caz, puteți crea parole pentru aplicații în setările 2SV ale contului dvs. Trebuie să creați o parolă și să o introduceți în aplicația problematică în loc de parola contului dvs. Cu Yandex (de exemplu, în browserul Yandex), trebuie doar să introduceți parola unică generată de aplicația Yandex.Key.

Prin ce parametri determină serviciul că dispozitivul este de încredere?

Fiecare furnizor are propria sa implementare. Poate fi o combinație de cookie SSL, adresă IP, browser sau orice altceva. Există un prag pentru modificarea parametrilor, la atingerea căruia trebuie să vă autentificați din nou.

Care sunt cele mai bune aplicații mobile de generare OTP de folosit?

Dacă nu utilizați 2FA în Yandex, atunci orice aplicație (Google, Microsoft, Yandex.Key) va funcționa. Dacă aveți 2FA activat în Yandex, este logic să consolidați toate serviciile în Yandex.Key. Motivul este că implementarea Yandex 2FA diferă de alte servicii, dar Yandex.Key acceptă RFC 6238, care permite crearea OTP pentru alte servicii care au implementat această specificație.

De ce nu pot configura 2FA pentru VKontakte în aplicația de generare a codurilor?

În setările smartphone-ului, trebuie să setați detectarea automată a datei și fusului orar. În caz contrar, nu înregistrați aplicația - codul generat de aplicație nu este acceptat cu eroarea „Cod de confirmare invalid”. În același timp, livrarea OTP prin SMS funcționează și nu are nicio legătură cu problema.

Discuție și sondaj

Inițial, autentificarea cu doi și doi factori a fost domeniul organizațiilor, dar treptat a început să apară în serviciile orientate spre consumator. Google a fost una dintre primele companii mari care a oferit o astfel de protecție utilizatorilor săi în 2011, iar mai târziu alți jucători, inclusiv Yandex și mail.ru, populari pe Runet, au introdus aceste măsuri la începutul anului 2015.

În timp ce 2FA / 2SV nu este disponibil pentru toate serviciile comune. De exemplu, la momentul publicării articolului, acesta nu se află în mesagerii cu o audiență multimilionară Viber și WhatsApp (apărut în februarie 2017). Dar, în general, până la jumătatea anului 2016, tehnologia devenise foarte răspândită.

Eu însumi am început cu Google, apoi am conectat rețelele de socializare, mai târziu un cont Microsoft (a fost tam-tam cu o serie de aplicații care nu suportau 2SV și a trebuit să creez parole unice). Acum am 2FA / 2SV activat peste tot, și chiar și pe acest blog (doar pentru administratori).

Vă puteți marca fragmente interesante de text care vor fi disponibile printr-un link unic în browser.

Despre autor

Nikolay

Recent, am greșit autentificarea, după ce o notificare despre o tentativă de hacking a venit pe mail.

Pavlovski Roman

Am ales articolul: Nu, dar acum voi începe să-l folosesc.
L-am activat pe contul Goole, dar după aceea nu am putut trimite e-mail de la clientul de e-mail și nu m-am putut conecta la chat-urile Hangouts din aplicație. Poate că a trebuit să accesați contul Google de pe computer, astfel încât computerul să devină de încredere și apoi totul să funcționeze. Dar nu m-am deranjat și am dezactivat verificarea în doi pași.
Dacă trebuie doar să vă conectați la computerul dorit, astfel încât să devină de încredere, atunci acest lucru este normal, iar dacă acest lucru nu ajută, atunci problema va fi cu trimiterea e-mailului și utilizarea chat-ului.
Nu există deloc autentificare cu doi factori pe alt cont de e-mail și, în plus, aș fi activat-o acolo.

Alexandru [Mazdaischik]

Am ales „Opțiunea mea nu este aici”, deși, poate, ar merita să aleg „Nu, iar acum voi începe să o folosesc”.

Folosesc mail doar prin Outlook, dar se pare că nu acceptă autentificarea cu doi factori (deși nu l-am căutat pe google - poate au venit cu pluginuri). Nu folosesc un cont Microsoft. Fara smartphone. Nu este înregistrat pe rețelele sociale (cu excepția GitHub). Cred că este inoportun să protejezi înregistrarea pe orice forum și site-uri ca acesta.

Există un cont Skype pe care îl folosesc doar la birou (stau în chat-ul general al companiei). Acum mă voi gândi să-l îmbin cu contul meu Microsoft (se pare că există o astfel de funcționalitate) și să folosesc autentificarea cu doi factori.

Nikolay

Evgenii Kazakin

Multumesc, foarte interesant!
„Vă rugăm să rețineți că, implicit, computerul este transferat în categoria de încredere, adică. pentru următoarele intrări de pe acest dispozitiv, al doilea factor nu este necesar. Lista acestor dispozitive poate fi ștearsă în parametrii 2SV."

Și prin ce factori recunoaște acest dispozitiv de încredere? Este acesta un certificat sau un fel de SID pe bază de fier?

Evgeniy

Autentificarea cu doi factori este activată numai în serviciile extrem de importante, de exemplu, pe conturile bancare, în sistemele de plată. Dar pe unele dintre ele, te poți autentifica în cont cu o singură parolă, dar orice operație se poate face printr-o parolă cu doi factori. Este absent pe serviciile poștale și rețelele sociale, deoarece serviciile în sine sunt destul de bune la urmărirea „acțiunilor suspecte” (schimbarea IP-ului, încercarea de a ghici o parolă, schimbarea dispozitivului utilizat etc.) și notificând despre aceasta destul de rapid, și multe chiar blochează automat contul imediat.

Nikita Panov

Evgenii Kazakin: Mulțumesc, foarte interesant!
„Vă rugăm să rețineți că, implicit, computerul este transferat în categoria de încredere, adică. pentru următoarele intrări de pe acest dispozitiv, al doilea factor nu este necesar. Lista acestor dispozitive poate fi ștearsă în parametrii 2SV.” Și prin ce factori recunoaște acest dispozitiv de încredere? Este acesta un certificat sau un fel de SID pe bază de fier?

Cel mai probabil, depinde de implementare. Chiar și clientul Steam are propria sa autentificare 2F.

Andrei Bayatakov

Inclus acolo unde este posibil. Părea să nu existe spargeri. :) Dar outlook.com arată Cereri de securitate din locuri unde cu siguranță nu le-am putut găsi... și cu OS pe care nu l-am folosit niciodată. Cât despre dezactivarea SMS-urilor - anul trecut am întâlnit de mai multe ori când SMS-urile cu un cod de la QIWI nu au venit pe un smartphone, dar în același timp a fost primit fără probleme pe un telefon obișnuit. A fost suficient să rearanjezi cartela SIM.

Matvei Solodovnikov

Vadim, excelent articol! Multumesc pentru prezentarea detaliata.
Este inclus în Google (după ce au încercat să-mi spargă parola de undeva în Turcia), în contabilitatea Microsoft (mi-a fost prea lene să o fac, dar după acest articol am decis să-l pornesc) și în Dropbox (a fost pornit). deja de doi ani). Folosesc Microsoft Authenticator pe Lumia 640.
P. S. Da. si in telegrama trebuie sa fie incluse :) nu se stie niciodata.

Matvey, mulțumesc pentru răspuns. Da, Telegram este mai bine protejat în acest sens decât WhatsApp sau Viber, așa că are sens să activați 2SV.

D K

Contul meu Yandex este protejat pe W10M cu autentificare cu doi factori. Iau parola de la cheia Yandex instalată pe iPad. În general, includ o astfel de protecție ori de câte ori este posibil. Poșta mea de pe Mail.ru a fost piratată înainte, a trebuit să-mi schimb des parola. Acum, după ce am activat autorizarea în doi pași, nu au existat hack-uri. După evenimentele cunoscute, l-am pornit pe Telegram.

D K

Am uitat să adaug că cardul meu Sberbank a fost spart și cu autorizarea în doi pași activată.

Andrei

Mulțumesc pentru articol, nu știam despre aplicația pentru smartphone la contul Microsoft, m-am conectat.

Vitalia

Excelent articol, bine sortat după 2FA și 2SV.
În general, recent m-am gândit la securitate și am trecut la KeePass. Mai fiabil, mai sigur și, cel mai important, nu am venit cu nimic independent de serverele terțe. Am setat autoblocarea, parola este mai complicată și atât.
2FA este doar pentru un card de economii, există un nume de utilizator (doar în capul meu), o parolă (în KeePass) și SMS.

Yaroslav Nepomnyashchikh

Folosesc Microsoft Authenticator de relativ mult timp, de fapt, din momentul înregistrării unui cont Microsoft.
Am început să mă uit prin setări și am găsit așa ceva, l-am pus pe Windows Phone.
După ce am citit articolul, am instalat un cont Google, tot prin Microsoft Authenticator.
Întrebarea este - Ce să faci în caz de furt/pierdere a unui dispozitiv mobil?

Yaroslav Nepomnyashchikh

Este ciudat de ce băncile nu folosesc autentificarea cu doi factori...
Ei bine, cel puțin nu l-am găsit în Sberbank și Telebank

Nikolay

Vadim Sterkin: În Sberbank 2SV. Pe site, introduceți mai întâi parola, apoi codul din SMS.

și de fiecare dată când apare un cod nou. Probabil că acest lucru te calmează de posibilitatea de hacking)
(cu excepția cazului în care intervalul de timp va salva)

Lecron

Nu sunt de acord cu transferul de autentificare prin SMS de la 2FA la 2SV.

La fel, cheile seifului pot fi copiate la vânzare. Și la fel, producătorul seifului are un cod de cheie, pe care îl poate produce la prezentarea documentelor de deținere a seifului, dacă acestea sunt pierdute.

Lecron: Nu sunt de acord cu transferul de autentificare prin SMS de la 2FA la 2SV.
În acest caz, cartela SIM este un analog complet al cheii pentru seiful pe care îl dețineți. Vulnerabilitățile MitM și procedurile nesigure de relansare nu anulează _proprietatea_.

Dreapta ta. Dar tocmai din cauza MITM, mulți experți în securitatea informațiilor nu consideră SMS-ul ca un factor... Unii nici măcar nu consideră OTP-ul generat pe un smartphone ca atare, dar după părerea mea este exagerat :)
- Serghei Sysoev
  
  Și sunt de acord cu Lecron. Faptul că există vulnerabilități în utilizarea SMS-urilor nu neagă faptul că acesta este încă al doilea factor, deși unul foarte slab. În caz contrar, după cum ați observat pe bună dreptate, OTP nu poate fi considerat ca atare, deoarece un virus poate zbura pe un smartphone (în special Android, nu?). Și peste umăr, o altă persoană poate spiona hardware-ul OTP. Sau, de exemplu, banca care a emis OTP-ul hardware poate face un duplicat.

Doamna Dadabayev

Folosesc Google Afentikator pentru Mail.ru, Facebook, VK (la care merg rar) și contul Microsoft (cel din urmă este foarte prieten cu programul Google, dar nu văd niciun rost să pun două aplicații pentru aceeași funcție). Am încercat și să conectez Yandex, dar nu a funcționat. În mod ideal, mi-ar plăcea să văd și autorizarea în bănci pe baza acestei aplicații.

Apropo, o întrebare către Vadim pe tema parolelor aplicațiilor - Google le oferă o parolă doar cu litere latine mici. Cât de fiabil este?

Yaroslav Nepomnyashchikh

Am cerut sprijin.
Într-adevăr, există o aplicație VTB24 Token în magazinul Windows

Andrei Varypaev

Recent, am organizat și un eveniment în două etape pe mail.ru. Deoarece parola de 20 de cifre mi-a fost luată printr-o conexiune https printr-un proxy și am reușit să introduc e-mailul de 2 ori, o dată prin Ucraina, a doua oară din unele insule. Din fericire, contul meu mail.ru a fost blocat cu suspiciunea de hacking. După aceea, am făcut autentificarea în doi pași.

Nikolay

Vadim Sterkin: Andrey, un bun exemplu al faptului că o parolă complexă + al doilea factor este mai bună decât o parolă complexă.

Și cum poate fi luată o parolă de 20 de cifre? Nu luăm în considerare keylogger-ul.
Vadim, poți să ne spui mai multe despre aceste jetoane hardware? Ce este, ce rost au ele? Sunt codurile generate conform unui algoritm predeterminat? Dacă da, este într-adevăr sigur și algoritmul nu poate fi calculat?
Și încă ceva în același timp. :) Cât de sigur este să folosești butonul „Autentificare cu” pentru a accesa resursele. Ca, de exemplu, în blogul tău.

Nikolay

Vadim Sterkin:
2. Și caută-l pe google? TOTP, HOTP
3. Aceasta este o întrebare interesantă. Cred că ar trebui acoperit separat. Dar puteți explora pe cont propriu și puteți lăsa ceva de gândit aici.

Ei bine, nu este corect! Și mestecă? :)

vital chernyshov

Folosesc 2FA oriunde există o astfel de oportunitate - github, cont live, dropbox, Yandex, google. Poșta este acum cel mai important lucru de protejat, totul este legat de ea.

Aici sunt îngrijorat de problema parolelor aplicației, pentru acele programe care nu acceptă 2FA, de exemplu, același client de e-mail. Este aceasta o slăbire a securității? La urma urmei, această parolă poate fi interceptată în același mod; pentru simplitate, vom omite momentul criptării traficului. Și introduceți această parolă într-o altă aplicație. Outlock nu are cookie-uri sau mecanism similar pentru ca serviciul să distingă o aplicație de alta. Sau există? Ce vă împiedică să interceptați această parolă de aplicație în același mod ca o parolă obișnuită? Și folosește-l într-o altă aplicație. Dacă doar criptarea traficului, atunci se dovedește că parolele aplicațiilor sunt o gaură imensă. Exact același nivel de securitate este cu o parolă obișnuită.

Emma

Recent am primit o veste: https://geektimes.ru/post/276238/, care m-a surprins neplăcut, deja s-a obișnuit cu Telegramul din tot sufletul. Autorul articolului confundă conceptele, numește autentificarea în 2 pași 2-factor, dar nu acesta este ideea. Ce se întâmplă - un atacator, având acces la SMS-ul victimei, va putea în continuare să intre în cont și în acest sens cazul 2SV Autentificarea Telegram nu va ajuta? Și ce rost are atunci?

Dmitri Sergheevici

Dacă am înțeles totul corect, atunci autentificarea cu doi factori este disponibilă numai cu aplicația corespunzătoare instalată pe smartphone. Dar nu am un smartphone. Pot să-l dobândesc, dar pur și simplu nu am nevoie de el. Folosesc un telefon cu buton nescufundabil care străpunge armura, cu funcționalitate preistorică, de care am nevoie doar pentru apeluri și SMS-uri (care, de fapt, nu pot face nimic altceva) și care ține o încărcare timp de una și jumătate până la două săptămâni. Cumpărați un smartphone doar de dragul de a putea folosi autentificarea cu doi factori?

Utilizați metoda în doi pași - smartphone-ul dvs. care străpunge armura poate primi sms.

artem

Pentru a accesa resursele clientului folosesc și 2FA, dar în acest caz rolul token-ului hardware îl joacă un smartphone cu aplicația RSA SecureID.

din acest punct de vedere – generarea codului aplicatie pe telefon nu este al doilea factor. Telefonul poate fi spart. Iar unii utilizatori o fac singuri pentru a instala software neoficial (jailbreak). După aceea, orice aplicație (un virus sau cineva care se preface ca o aplicație utilă) poate, de exemplu, să intre în zona de memorie folosită de aplicația generatoare de parole unice. Sau o puteți face și mai ușor și pur și simplu să furați conținutul ecranului prin API-ul care creează capturi de ecran. (Da, în mod normal, acest API ar trebui să fie inaccesibil pentru utilizare ascunsă de către programe terțe, dar după jailbreak totul este posibil).

chiar dacă nu ați făcut jailbreak-ul cu propriile mâini - telefonul, în teorie, poate fi spart de la distanță, ca orice dispozitiv destul de complex conectat la rețea. Improbabil? Cu siguranță. Dar acest lucru este la fel de puțin probabil și dificil de implementat precum piratarea unui operator de telefonie mobilă, mituirea unui tehnician, realizarea unei cartele SIM duplicate sau interceptarea unui cod dintr-un SMS.

chiar dacă aveți un dispozitiv separat pentru generarea de OTP-uri sau un pliant cu parole unice tipărite - le puteți „spiona” folosind optica puternică sau pirata o cameră de supraveghere din apropiere :) Sau mituiți un funcționar al băncii care ți-a dat aceste parole. Acest lucru este cam la fel, puțin probabil, dar destul de posibil în practică. Astfel, „al doilea factor” al tău se transformă... se transformă... se transformă în primul.

de ce sunt? În plus, linia dintre 2FA și 2SV este atât de subțire încât prezintă interes doar din punct de vedere al raționamentului teoretic despre lumea ideală. În practică, nu există o astfel de linie. Prin urmare, de exemplu, implementarea adoptată în „Telegramă” este la fel de corectă pentru a o numi atât cu doi factori, cât și cu două etape.

P.S. Acest lucru este irelevant, dar posibilitatea de a efectua un atac MITM asupra unui telefon, similar celui descris în articolul despre Habré, este criticată de specialiștii practicanți în care am încredere. Ei susțin că un astfel de atac este posibil doar în condiții speciale de laborator. În practică, toți operatorii de telefonie mobilă care operează în Rusia au învățat să se apere împotriva acesteia. utilizați echipamente special reglate.

Artem, mult timp, nu ne vedem :)

Într-adevăr, unde este granița? :)

Argumentul meu se bazează pe factori (în special - proprietate), iar tu ai început pentru sănătate, apoi ai alunecat la „totul poate fi furat și spart”. Chiar m-am gândit că teza „2fa nu este nevoie, pentru că un fier de lipit!” Va apărea la sfârșit :)

Ei bine, de când ai intrat în holivar, aș dori să aud părerea ta despre întrebarea mea, exprimată de discuție:

În același timp, poate aveți o explicație competentă pentru faptul că Google, Microsoft și Telegram nu numesc autentificarea lor cu doi factori, iar Apple trece de la 2SV prin SMS / Find My Phone la 2FA? Fără scuze de genul „Nu sunt responsabil pentru ele”, dar cu înțelepciune.
- artem
  
  ai început pentru sănătate și apoi te-ai rostogolit în jos
  
  și unde este în comentariile mele granița dintre „sănătate” și „alunecat”?
  
  Ei bine, de când ai intrat în holivar,
  
  nu este că aș fi vrut cu adevărat să intru și nu văd deloc sfințenie aici. Dar am avut o conversație cu o anumită persoană (da, în Telegramă) - ți-a adus blogul ca argument.
  
  Aș dori să aud părerea ta despre întrebarea mea
  
  Ei bine, aceasta este o întrebare ciudată pentru mine, pentru că pur și simplu nu separ 2FA și 2SV. Oricum, când vine vorba de SMS. Acolo, mai sus, tocmai în thread-ul la care faci legătura, persoana spune totul corect. O cartelă SIM este „ceea ce deții” până la urmă. Da, poate fi furat, falsificat sau interceptat din mers - dar acest lucru nu anulează acțiunea principiu... (În plus, așa cum am spus, MITM nu funcționează în practică, așa că acest argument singur nu este suficient pentru a recalifica SMS-ul de la 2FA la 2SV).
  
  Iată un alt exemplu în pușculița de dezacorduri terminologice. (Tu însuți le citezi mai sus din abundență, inclusiv același Google, care nu împărtășește 2FA și 2SV). GitHub folosește termenul „2FA” (https://github.com/settings/security), și vorbim despre același RFC 6238, adică. generarea de coduri de către aplicația de pe telefon. În același timp, au suport pentru FIDO U2F și alternative la SMS. Toate acestea nu îi împiedică să considere autentificarea lor ca fiind cu doi factori.
  - » Tu catre mine: dar există o serie de alte companii care nu împărtășesc. Ce părere aveți despre asta?
    Vă spun: din punctul meu de vedere gresesc sau prind purici.
    
    Fiecare are dreptul de a folosi termenul care este mai apropiat de el. Un dezacord apare numai dacă scriitorul simultan folosește ambii termeni, în timp ce îi separă în mod clar (în loc să îi folosească interschimbabil, cum face, de exemplu, Google). Acest lucru este foarte rar. În cea mai mare parte - fie în materiale academice (cum ar fi povestea despre Agent Smith), fie pe blogul dvs. :)
    
    Ei consideră că autentificarea lor este în doi pași (pagina de setări scrie Verificare în doi pași).
    
    Unde? Iată un citat din pagina principală de setări (https://github.com/settings/security):
    
    Autentificare cu doi factori este titlul secțiunii.
    
    Mai mult, dacă faceți clic pe butonul Editați | ×, ajungem la pagina https://github.com/settings/two_factor_authentication/configure. (Atenție la adresa URL). Citim acolo:
    
    Furnizarea unui număr SMS alternativ va permite GitHub să vă trimită codurile de autentificare cu doi factori către un dispozitiv alternativ dacă vă pierdeți dispozitivul principal.
    
    Ei bine, în general, termenul 2FA apare pe această pagină de șapte ori. Termenul 2SV nu apare niciodată.
    
    Fiecare are dreptul de a folosi termenul care este mai apropiat de el.
    
    Uh-huh, iar companiile anunțate nu folosesc termenul 2FA, deși „factor” este unul dintre conceptele de bază în securitatea informațiilor.
    
    În cea mai mare parte - fie în materiale academice (cum ar fi povestea despre Agent Smith), fie pe blogul dvs. :)
    
    Totul depinde de meticulozitatea comentatorilor. Dacă închideți comentariile de pe blog, puteți scrie ce doriți. Am împărțit 2FA / 2SV, iar cei care nu sunt de acord au venit imediat în fugă în comentarii - chiar și în minus :) Dacă nu l-aș fi împărțit, ar fi fost mai puțini, probabil. Dar asta nu i-ar strica să arate cu degetul în contextul „SMS nu este 2FA”.
    
    artem
    
    Credeam că ești despre Google, m-am uitat cu neatenție. Am întrebat despre Google / MSFT / Apple / Telegram și mi-ai strecurat GitHub, unde totul corespunde tezelor tale. Și da, îmi place felul în care ați atras Google aici, prinzând fraza din ajutor.
    
    EU SUNT alunecat GitHub din două motive. În primul rând, cineva de aici în comentarii a întrebat deja despre asta, dar mi-a fost prea lene să răspund exact acolo, că - da, GitHub acceptă și 2FA. Ei bine, și în al doilea rând, pentru că ați trecut deja prin toate celelalte companii mari, meticulos analizând abordarea lor asupra terminologiei. Nu te repeta. Așa că a trebuit să găsesc pe cineva nou.
    
    Dacă nu le-aș fi împărțit, probabil că ar fi fost mai puține. Dar asta nu i-ar strica să arate cu degetul în contextul „SMS nu este 2FA”.
    
    Asta e toată ideea. Nu mă deranjează împărțirea 2FA și 2SV - dacă s-ar putea face fără ambiguitate. Acestea. clasifica: da, acesta canal este al doilea factor, iar acesta este doar o variație a primului. Știi foarte bine că îmi place să sape în termeni nu mai puțin decât tine, dacă nu mai mult :)
    
    Problema este că în cazul SMS-urilor, această linie nu poate fi trasă. Acestea. nu este o intrebare meticulozitate, ci o dispută terminologică complet inutilă.
    
    Conform unor indicii, o cartelă SIM este un „articol de posesie”, adică. al doilea factor. Un utilizator legitim nu poate primi un mesaj fără o cartelă SIM. Și pentru majoritatea atacatorilor, acesta este un obstacol serios, deși nu de netrecut. (Comparabil cu nevoia de a sparge într-un apartament pentru a fura un generator OTP).
    
    Conform altor semne, da, tehnologia GSM poate fi înșelată și un mesaj poate fi interceptat. Și astfel, acest factor se transformă în informațional, ca și primul. Dar din acest punct de vedere, generarea OTP pe telefon este și un factor informațional. (Vezi discuția de mai sus despre jailbreak).
    
    Deci eu in primul rand Nu văd nicio diferență practică între 2FA și 2SV. ȘI În al doilea rând, Nu văd niciun rost să duc această dispută. Pentru că în practică, 2FA nu pare a fi ceva mai sigur decât 2SV. În orice caz, în timp ce cel mai obișnuit „al doilea canal " SMS rămâne.
    
    Este posibil și necesar să argumentăm că exact SMS-ul este mai puțin sigur canal, decât un generator OTP separat. O astfel de conversație chiar are sens - spre deosebire de încercarea de a clasifica diferite canale ca 2FA sau 2SV și de a discuta despre care dintre aceste opțiuni sferice este mai de încredere în vid.
    
    Însuși cazul când se încearcă simplificarea prin clasificare complică doar discuția și o face mai puțin semnificativă și mai vulnerabilă la dezacordurile terminologice.
  - NIST declară vârsta de autentificare cu doi factori bazată pe SMS peste | TechCrunch.
    Dacă verificarea în afara benzii urmează să fie efectuată folosind un mesaj SMS pe o rețea publică de telefonie mobilă, verificatorul TREBUIE să verifice dacă numărul de telefon preînregistrat utilizat este de fapt asociat cu o rețea mobilă și nu cu un VoIP (sau alt software). serviciu bazat pe). Apoi trimite mesajul SMS la numărul de telefon preînregistrat. Modificarea numărului de telefon preînregistrat NU VA fi posibilă fără autentificarea cu doi factori la momentul modificării. OOB folosind SMS este depreciat și nu va mai fi permis în versiunile viitoare ale acestui ghid.

Cum să vă protejați contul Skype de hacking? Terminologie și abrevieri. De ce se întâmplă asta

Protejați-vă imediat conturile Skype și Microsoft

De ce se întâmplă asta?

Cum să te protejezi?

Adresă de e-mail anonimă

Înlocuirea adresei principale

Autentificare în 2 pași

Parole atât de diferite

Program antivirus

Alternativă

Blocarea contului

Concluzie

Astăzi în program

De ce aveți nevoie de protecție suplimentară a contului

Terminologie și abrevieri

Factori de autentificare

Ce autentificare este cu doi factori

Care este diferența dintre verificarea în doi pași și autentificarea în doi factori

Un exemplu de autentificare cu doi factori

Exemplu de verificare în doi pași

Problema parolelor unice în SMS

Înregistrarea prin număr de telefon reduce securitatea?

Implementarea 2FA și 2SV la Google, Microsoft și Yandex

Google

Microsoft

Aplicații de autentificare

Skype și 2SV

Yandex.

Intrebari si raspunsuri

Ura, acum am 2SV / 2FA peste tot! Mai este ceva ce trebuie să faci?

Am o aplicație care a încetat să funcționeze după ce am activat 2SV / 2FA. Ce să fac?

Prin ce parametri determină serviciul că dispozitivul este de încredere?

Care sunt cele mai bune aplicații mobile de generare OTP de folosit?

De ce nu pot configura 2FA pentru VKontakte în aplicația de generare a codurilor?

Discuție și sondaj

Despre autor

Top articole similare