Nëse kohët e fundit keni marrë një mesazh të çuditshëm në Skype me një lidhje me Baidu ose LinkedIn, duhet të dini se nuk jeni vetëm. Në javët e fundit, kam marrë lidhje të padëshiruara për Baidu nga gjashtë kontaktet e mia në Skype: një nga një agjenci PR Microsoft dhe një nga një ish-punonjës i Microsoft. Ata ishin të befasuar që llogaritë e tyre ishin hakuar dhe disa ishin të bindur se ato mbroheshin nga vërtetimi me dy faktorë të Microsoft. Siç doli, ata e kishin gabim.
Një temë në forumin e mbështetjes së Skype tregon se e njëjta situatë ka ndodhur me qindra përdorues të tjerë. Llogaritë e hakuara të Skype përdoren për të dërguar mijëra mesazhe spam përpara se të bllokohen dhe pronarët të kenë mundësinë të rifitojnë aksesin në to. Skype ishte tashmë viktimë e sulmeve të ngjashme vitin e kaluar, kur hakerët ishin në gjendje të mashtronin mesazhet duke përdorur një listë të emrave të përdoruesve dhe fjalëkalimeve të vjedhura për të fituar akses në llogari.
Po flisja me një punonjës të Microsoft-it, llogaria e të cilit ishte hakuar jo shumë kohë më parë. Ai kishte konfiguruar vërtetimin me dy faktorë, por hakerët ishin në gjendje të identifikoheshin duke përdorur emrin e përdoruesit dhe fjalëkalimin e tij të vjetër. Unë madje e testova atë në llogarinë time dhe arrita të hyja në Skype me fjalëkalimin tim të vjetër, pavarësisht se i lidha llogaritë e mia Skype dhe Microsoft disa muaj më parë. Mendova se mbrohej nga vërtetimi me dy faktorë, por gabova.
Ekziston një rregullim që mbyll këtë dobësi, por nuk e rregullon problemin për ata që kanë lidhur tashmë llogaritë e tyre të Microsoft dhe Skype. Nëse jeni një prej tyre, atëherë duhet të përditësoni llogarinë tuaj Skype për t'u siguruar që ajo është bashkuar plotësisht me llogarinë tuaj të Microsoft.
- Shkoni te https://account.microsoft.com. Nëse jeni identifikuar tashmë, dilni.
- Futni emrin tuaj të përdoruesit në Skype ( jo email-i i llogarisë tuaj Microsoft) dhe identifikohuni duke përdorur fjalëkalimin tuaj të Skype.
- Nëse e keni lidhur tashmë llogarinë tuaj të Microsoft, do t'ju kërkohet të regjistroheni dhe të bashkoni llogaritë tuaja për të krijuar një pseudonim Skype.
Mbroni menjëherë llogaritë tuaja Skype dhe Microsoft
Pasi llogaritë tuaja të jenë bashkuar siç duhet, Microsoft do të krijojë një pseudonim Skype për t'ju lejuar të identifikoheni duke përdorur hyrjen tuaj në Skype. Ju mund të vazhdoni të përdorni këtë hyrje ose ta çaktivizoni atë në
Kohët e fundit, përdoruesit e Skype filluan të marrin mesazhe nga kontaktet e tyre, të cilat përmbajnë vetëm një lidhje me Google me disa parametra. Disa përdorues marrin disa nga këto mesazhe në ditë. Disa e kanë marrë vetëm një ose dy herë. Në forumet e Skype, kjo temë diskutohet mjaft aktivisht.
Disa përdorues vunë re se një postim i tillë ishte kryer nga llogaria e tij, megjithëse ai, natyrisht, nuk i kreu vetë veprime të tilla.
Regjistri i aktivitetit të llogarisë tregon qartë përpjekjet për të hyrë në llogari nga vende të tjera. Disa nga sulmuesit patën sukses, kjo ishte e dukshme në regjistrin e ngjarjeve.
Pse po ndodh kjo?
Sipas të dhënave që përshkruhen në forumet e Skype, ky problem shfaqet tek përdoruesit të cilët nuk i kushtojnë vëmendje të mjaftueshme sigurisë së llogarisë së tyre Skype/Microsoft. Listat e postimeve ndodhin edhe nga njerëz që nuk e kanë përdorur shërbimin për disa vite. Puna është se ata përdorin një fjalëkalim të dobët dhe nuk përdorin vërtetim me dy faktorë. Sulmuesit thjesht marrin fjalëkalimin. Dhe sapo të ndodhë kjo, llogaria juaj fillon të dërgojë mesazhe të padëshiruara për të gjitha kontaktet.
Si të mbroheni?
Nëse nuk dëshironi që mesazhet e padëshiruara të dërgohen nga llogaria juaj ose jeni bërë tashmë viktimë e një postimi të tillë, atëherë duhet të ndiqni këto hapa të thjeshtë:
- kompjuterin tuaj për viruse me një skaner antivirus falas.
- Versioni i Skype.
- Ndryshoni fjalëkalimin e vjetër në një më kompleks për llogarinë tuaj.
- Aktivizoni autorizimin me dy faktorë përmes SMS, e-mail ose autorizim celular.
Pas kësaj, gjasat e spamit do të jenë minimale, sepse për të hyrë në llogarinë tuaj, sulmuesit do të duhet gjithashtu të kenë akses në telefonin ose emailin tuaj.
Nëse vëreni se një nga kontaktet tuaja po dërgon mesazhe të tilla, atëherë kjo do të thotë se llogaria e tij është hakuar. Dërgojini atij një lidhje për këtë artikull në mënyrë që ai të mund të mbrojë llogarinë e tij dhe të parandalojë mesazhet e mëtejshme të padëshiruara.
Skype është bërë pjesë e jetës sime që nga viti 2010. Unë madje do t'ju tregoj arsyen pse kalova në të - ka më shumë se dy pajisje ku është instaluar mesazheri, dhe është e rëndësishme për mua që historia të jetë e njëjtë kudo, dhe nuk ka pasur situatë kur nuk kam marrë një mesazh, sepse erdhi në një PC që punonte, ku nuk dola nga llogaria (ishte një sëmundje ICQ). Më pas kontaktet në grup, telefonatat në konferencë. Skype ka hyrë fort në jetën e secilit prej nesh. Dhe në një moment, një mik shumë i mirë të telefonon dhe të pyet pse të duhen para për webmoney, unë do të të jap hua gjithsesi. Dhe nuk e pyete, por nuk ka më rëndësi. Llogaria juaj është hakuar dhe një kërkesë për huazim parash u është dërguar të gjithë kontakteve...
Askush nuk është i sigurt nga hakimi i llogarisë, por ndonjëherë nuk keni nevojë as të hakoni asgjë, sepse nëse merrni fjalëkalimet kryesore më të njohura, atëherë probabiliteti për të gjetur 5% të "klientëve" tuaj midis një milion përdoruesve është shumë i mundshëm. Por edhe një fjalëkalim kompleks nuk do t'ju shpëtojë, ju gjithashtu mund ta zgjidhni atë.
Do të kursejë, ose më mirë do ta bëjë jetën shumë më të vështirë për hakerat, vërtetimin me dy faktorë - me fjalë të thjeshta, kjo është lidhja e llogarisë tuaj me një numër telefoni celular. Dhe tani për tani, kjo është mënyra e vetme!
Skype nuk ka një "shërbim" të tillë si parazgjedhje, por Microsoft, i cili e bleu atë, e ka. E tëra çfarë ju duhet të bëni është të lidhni Skype me një llogari të Microsoft dhe të aktivizoni vërtetimin me dy faktorë në këtë të fundit. Unë do t'ju tregoj në fotot në vijim, vetëm për t'u siguruar:
1. Regjistroni një llogari të Microsoft. Në parim, një nga pikat për të cilat unë i respektoj është se ata nuk imponojnë krijimin e një kutie të re postare - ju mund të krijoni një llogari për postën tuaj të preferuar. Mos e kaloni fushën me një numër telefoni dhe email rezervë, futini ato pa dështuar.
2. Shkoni te profili -> cilësimet e llogarisë.
3. Siguria dhe privatësia --> menaxhim i avancuar i sigurisë.
4. Për të vazhduar - Zgjidhni dërgoni SMS te numri dhe futni 4 shifrat e fundit të telefonit tuaj. Tjetra - futni fjalëkalimin nga SMS.
5. Hapi tjetër, do t'ju kërkohet të përdorni Google Autentificator, por nëse nuk e dini se çfarë është - do t'ju them më vonë, thjesht kaloni këtë hap. (Konfiguro më vonë)
6. Në dritaren që hapet, gjeni Verifikimin me dy hapa dhe klikoni "Cilësimet e verifikimit me dy hapa"
8. Këtu, në fakt, përsëri na ofrohet të instalojmë Google Autentificator, me sa duket është e shtrenjtë për Microsoft të dërgojë SMS. Ne jemi ende këmbëngulës, klikoni Skip
9. Meqenëse një telefon nuk mjafton, në hapin tjetër na kërkohet ta luajmë të sigurt me një adresë emaili rezervë. Fusni atë dhe konfirmoni me kodin nga letra.)
10. Urime, llogaria e Microsoft është e mbrojtur, por ende nuk ka mbaruar, shtypim kodin, e vendosim në dosjen ku ruani dokumentet. Bota është e ashpër, tani interneti ka "pasaportat" e veta. Klikoni Next.
11. Ne shpërfillim sugjerimet për të punuar me postën, Next. Në hapin tjetër, klikoni Finish.
12. puna përgatitore e përfunduar. Tani le të kthehemi në të vërtetë në Skype. Shkojmë në faqen https://login.skype.com/login dhe identifikohemi me llogarinë tonë të Microsoft, të cilën e krijuam më lart. Na ofrohet të lidhim një llogari Skype me të - ne jemi dakord.
13. Futni emrin e përdoruesit dhe fjalëkalimin tuaj të Skype dhe në dritaren tjetër klikoni për të bashkuar llogaritë.
Këta 13 hapa të thjeshtë do t'ju ndihmojnë të siguroni llogarinë tuaj Skype një herë e përgjithmonë. Tani është shumë më e vështirë ta "vjedhësh" atë..
Nga rruga, në kurriz të seriozitetit të kësaj ngjarje - artikulli më shtyu të shkruaj një incident të vogël, gjatë të cilit mashtruesit e mikut tim kaluan jo vetëm miq, por edhe kontakte biznesi, është mirë që ka miq "me përvojë" dhe ne reaguam shpejt, dhe kështu bëhuni telash.
Mos kurseni për sigurinë. Dhe ndajeni këtë artikull, shpresoj t'ju ndihmojë.
Anton Didenko.
Skype-i juaj nga mysafirë të paftuar, sepse kohët e fundit frekuenca e hakimeve në qarqet e pokerit është rritur vetëm. Hakerët gjithashtu arritën të arrinin te autorët e Pokeroff, edhe nëse ai përfundoi pak a shumë në mënyrë të sigurt. Për të mos mbushur kokën tuaj me informacione të panevojshme, vendosa të bëj një udhëzues të shkurtër që, të paktën, do të komplikojë detyrën për të rinjtë e dashuruar falas.
Para se të fillojmë, dua të vërej se Skype ishte dhe mbetet një sitë, por më e rëndësishmja, Microsoft nuk përpiqet ta rregullojë situatën në asnjë mënyrë, madje shpesh edhe e përkeqëson atë. Kujtoni të paktën historinë e vitit të kaluar me kodin e fjalëkalimit, kur pothuajse çdo përdorues i sigurt i kompjuterit mund të "rrëmbejë" çdo llogari të një përdoruesi tjetër, duke pasur një minimum informacioni të disponueshëm publikisht.
Adresa e emailit anonime
Zakonisht adresat e emailit të përdoruesve gjenden lehtësisht në domenin publik, ne duhet ta eliminojmë këtë fakt të bezdisshëm për të mos tunduar fatin. Merrni një adresë të re emaili në mail.google.com Kjo është mjaft e lehtë për t'u bërë, këtu nuk nevojiten këshilla.
Zëvendësimi i adresës kryesore
Më pas, shkojmë në Skype.com, identifikohemi dhe ndryshojmë adresën kryesore të emailit (Primary email) për llogarinë Skype në një të re, të sapo krijuar dhe harrojmë ekzistencën e saj deri në momente më të mira. Ju nuk mund ta ndryshoni e-mailin kryesor direkt nga klienti i Skype.
Në asnjë rast mos e përdorni këtë adresë në faqet e palëve të treta dhe mos e ndani me askënd, përdorni atë vetëm për t'u lidhur me Skype, përndryshe magjia nuk do të funksionojë.
Verifikimi me 2 hapa
Karta kryesore në udhëzuesin tonë është vërtetimi i emailit me dy hapa. Funksioni është jashtëzakonisht i dobishëm, ndihmon për të mbrojtur llogarinë tonë nga aksesi i paautorizuar. Edhe nëse sulmuesi arriti disi të zbulojë fjalëkalimin, ai nuk do të jetë në gjendje të hyjë në llogari pa një kod konfirmimi, i cili dërgohet vetëm në telefonin celular të pronarit të llogarisë. Për të aktivizuar këtë veçori për llogarinë tuaj google, bëni hapat e mëposhtëm të thjeshtë:
Fjalëkalime kaq të ndryshme
Unë rekomandoj fuqimisht të mos përdorni të njëjtin fjalëkalim në disa burime. Shpesh, pasi keni marrë një fjalëkalim nga një prej llogarive në çdo faqe që vizitoni, mashtruesit, duke ditur hyrjen tuaj, përpiqen të "provojnë" fjalëkalimin e marrë kudo që të jetë e mundur. Rastet kur baza e portaleve si NeverFold u shit për 10 dollarë të ulëta nuk ia vlen të flitet fare. Vendet e dyshimta duhet të shmangen.
Softuer antivirus
Për nga natyra e punës sime, më duhet të merrem me antiviruse të ndryshëm dhe, për ta thënë butë, jam i mërzitur jo vetëm nga shpejtësia e tyre, por edhe nga efikasiteti i tyre. Një nga programet e pakta që nuk funksionon me fjalë - Dr. Web Cure IT. Rasti kur ia vlen vërtet të shpenzoni 15 minuta nga koha juaj e çmuar për të bërë një skanim të plotë. Softueri është absolutisht falas, por në të njëjtën kohë merr përditësime të rregullta.
Alternativa
Fatkeqësisht, për shkak të popullaritetit të tij, është mjaft e vështirë të gjesh një zëvendësues për Skype. Por nëse siguria është prioriteti juaj numër një, ju rekomandoj t'i kushtoni vëmendje Google Hangouts. Ka chat, video thirrje, sms dhe video konferenca falas. Për të filluar përdorimin e Hangouts, ju duhet një emër përdoruesi dhe fjalëkalim nga llogaria juaj e Google, si dhe një nga shfletuesit e njohur. Pas shkarkimit automatik të shtesës së shfletuesit, aplikacioni është gati për t'u përdorur.
Bllokimi i llogarisë
Le të dihet se një llogari Skype mund të bllokohet pas marrjes së 40 ankesave të të njëjtit lloj (për këtë, mjafton të dërgoni një kod të thjeshtë në korrespondencën përkatëse dhe të klikoni mbi të shumë herë, edhe nëse nga një llogari ). Të mbrohesh nga kjo është mjaft e thjeshtë - duhet të kesh një gjendje llogarie prej të paktën 2 dollarë dhe një abonim premium të aktivizuar.
konkluzioni
Ne jemi të gjithë të rritur, prandaj, mendoj se nuk ia vlen t'ju kujtoj se nuk mund të hapni lidhje të dyshimta, ashtu siç nuk mund të pranoni skedarë nga kontakte të panjohura. Për të mos qenë në vendin e njërës prej viktimave të hakerit, pasi keni marrë mesazhe me tekst si: "Huazo 100 dollarë WebMoney ose Yandex deri nesër, unë do të jap 110 dollarë". përpiquni të telefononi kontaktin dhe gjithçka do të bjerë në vend. Gjithashtu, nëse dyshohet për hakerim, ia vlen të merrni në pyetje të njohurit tuaj të ndërsjellë për të marrë mesazhe të ngjashme në përmbajtje.
Ky udhëzues i shkurtër nuk është e vërteta përfundimtare, por përkundrazi, ai u krijua për të marrë edhe më shumë këshilla sigurie nga lexuesit e Pokeroff.
A keni hyrë ndonjëherë me një kod nga SMS? Po në lidhje me një aplikacion që gjeneron kode? Sot do të flas për ndryshimin midis këtyre metodave dhe pse është e rëndësishme të mbrohen llogaritë e shërbimeve të Internetit dhe mesazherëve të çastit me vërtetim me dy faktorë ose me dy hapa.
Nëse ai do të kishte përdorur vërtetimin me dy faktorë, nuk do të kishte asnjë lajm.
Sot në program
Pse keni nevojë për mbrojtje shtesë të llogarisë
Kur bëhet fjalë për sigurinë e Windows, teza për nevojën për mbrojtje kompetente shpesh bazohet në një "nuk s'kam mallkim" të thjeshtë dhe jo modest, të mbështetur nga një argument vdekjeprurës "Nuk kam asgjë me vlerë". Paraqitja e tij në komentet e sotme nuk do të jetë surprizë për mua :)
Megjithatë, nëse nuk jetoni në një vakum absolut, llogaria juaj e emailit, rrjetit social ose mesazherit mund të jetë e vlefshme për sulmuesit. Lista e kontakteve tuaja, së bashku me historinë e korrespondencës, mund të bëhet një pasuri e inxhinierisë sociale për mashtruesit, duke i lejuar ata të mashtrojnë të dashurit dhe miqtë tuaj (përshëndetje Skype!).
Marrja e një llogarie emaili gjithashtu mund të hapë dyert për shërbime të tjera në internet në të cilat jeni regjistruar me të (ju jeni duke përdorur të njëjtin email për shërbime të ndryshme, apo jo?)
Shembulli i hakimit të Telegramit është interesant në atë që krijoi menjëherë komente kaustike në rrjet në stilin e "ha ha, ja ku është siguria juaj e lavdëruar!" Sidoqoftë, është e rëndësishme të kuptoni se duhet të siguroni nivelin e rekomanduar të mbrojtjes, dhe jo të shtriheni në sobë, duke u mbështetur në pretendimet e marketingut.
Ky artikull është për ata që nuk presin derisa të godasë bubullima, por ndjekin rregullat e higjienës së rrjetit dhe i afrohen me përgjegjësi mbrojtjes së informacionit të tyre konfidencial. Shkoni!
Terminologjia dhe shkurtesat
Unë thjeshtoj qëllimisht përkufizimet, sepse më tej do t'i shqyrtojmë këto koncepte në detaje në praktikë.
- Autentifikimi. Vërtetimi i informacionit unik të njohur ose të disponueshëm për personin që po përpiqet të aksesojë të dhënat. Shembulli më i thjeshtë është futja e një fjalëkalimi për një llogari.
- Verifikimi me 2 hapa(Verifikimi me dy hapa, 2SV). Hyrja kryhet në dy faza - për shembull, së pari futni fjalëkalimin për llogarinë, dhe më pas kodin nga SMS.
- (Autentifikimi me dy faktorë, 2FA). Hyrja mund të kryhet edhe në dy faza, por ato duhet të ndryshojnë në faktorë (do t'i analizojmë më poshtë). Për shembull, së pari futet fjalëkalimi dhe më pas fjalëkalimi një herë i gjeneruar nga tokeni i harduerit.
- Fjalëkalim një herë (Fjalëkalimi një herë, OTP). Kodi numerik ose alfabetik prej 6-8 karakteresh. Ky mund të jetë një kod nga një SMS ose një aplikacion që gjeneron kode (Google Authenticator).
Faktorët e vërtetimit
Autentifikimi me dy faktorë shpesh quhet me dy faktorë, pa bërë shumë dallime midis koncepteve. Unë gjithashtu nuk i kushtova shumë rëndësi, megjithëse përdora të dyja metodat. Por një ditë, syri ra në lajmet për kalimin e Apple nga vërtetimi me dy hapa në dy faktorë, i cili u postua në Twitter nga specialisti i sigurisë së informacionit Alexei Komarov.
I kërkova një eksperti të shpjegonte ndryshimin midis 2SV dhe 2FA, dhe ai e bëri atë në një postim në Twitter me një lidhje për artikullin e tij.
Më pëlqyen shumë analogjitë në të - të thjeshta dhe të kuptueshme. Më lejoni t'i citoj ato të plota.
Këtë herë do të përdorim imazhe nga romanet e spiunazhit. Agjenti Smith duhet të takohet me një kontakt dhe t'i japë atij informacion të klasifikuar. Ata nuk e njohin njëri-tjetrin dhe nuk janë takuar kurrë më parë. Si mund të jetë i sigurt Smith se ai është në të vërtetë në kontakt dhe jo një agjent armik? Dalloni gjithçka vërtetimi me katër faktorë. Le t'i konsiderojmë të gjitha.
"A shesni një gardërobë sllave?" është shembull i faktorit të parë, kur subjekti di diçka. Në praktikë, kjo mund të jetë një fjalëkalim, hyrje, frazë kalimi - me një fjalë, çdo sekret i njohur për të dyja palët.
Lajmëtari mund të paraqesë, për shembull, një fotografi gjysmë të grisur ose diçka tjetër që ka vetëm ai - ky është një shembull i faktorit të dytë të vërtetimit, bazuar në faktin se subjekti ka ka dicka. Në sistemet moderne të sigurisë së informacionit, shenjat përdoren për këto qëllime - hardueri personal i vërtetimit.
Për të garantuar sigurinë e takimit, mund të bihet dakord që ai të zhvillohet në stolin e tretë në të djathtë të hyrjes në Central Park. Faktori i tretë është tema është në një vend të caktuar. Sistemet e informacionit mund të përcaktojnë, për shembull, adresën IP të kompjuterit të subjektit ose të lexojnë të dhënat e etiketave radiofonike.
Dhe së fundi, Smithit mund t'i tregohej një foto e një kontakti në mënyrë që ai ta njihte atë. Faktori i katërt (subjekti ka disa veti biologjike) zbatohet vetëm kur subjekti i vërtetimit është një person, dhe jo, për shembull, një server ose proces që nuk ka gjurmë gishtash, struktura të ADN-së ose iris.
Çfarë vërtetimi është me dy faktorë
Në bazë të emrit, vërtetimi kryhet duke përdorur dy faktorë, dhe ata duhet të jenë të ndryshëm! Unë do të vazhdoj historinë me analogjinë time - shikoni me kujdes këtë kasafortë.
Mund ta hapni vetëm nëse njohin kombinimin e fshehtë, dhe ti ka një çelës për bllokimin. Vini re se këta dy faktorë janë të ndryshëm.
Një sulmues mund të vjedhë çelësin, por pa kod është i padobishëm. Si dhe kodi i përgjuar nuk do të ndihmojë pa një çelës. Me fjalë të tjera, për të hyrë në kasafortë, krimineli duhet të vjedhë dy "gjëra" të ndryshme.
Le të shohim se si duket në kontekstin e teknologjisë së informacionit.
Cili është ndryshimi midis vërtetimit me dy hapa dhe dy faktorë
Autentifikimi me dy faktorë mund të jetë me dy hapa, por e kundërta nuk është gjithmonë e vërtetë. Kufiri midis këtyre koncepteve është shumë i hollë, kështu që ato shpesh nuk dallohen. Për shembull, Twitter e quan vërtetimin e tij me dy faktorë me dy faktorë në një postim në blog dhe Google i barazon këto metoda në ndihmë (megjithatë, kompania i ofron të dyja).
Në të vërtetë, në llogaritë në internet (Microsoft, Google, Yandex, etj.), Rrjetet sociale dhe lajmëtarët e çastit, zbatimi i 2FA dhe 2SV është shumë i ngjashëm. Një hap gjithmonë përfshin futjen e një fjalëkalimi ose PIN-i që ju ju e dini. Dallimi midis metodave të vërtetimit qëndron në fazën e dytë - 2FA është e mundur vetëm nëse keni diçka hani.
Një shtesë tipike për një fjalëkalim që dini është një kod ose fjalëkalim një herë (OTP). Këtu është varrosur qeni!
Autentifikimi me dy faktorë përfshin krijimin e një fjalëkalimi një herë direkt në pajisjen që zotëroni (shenjën e harduerit ose smartphone). Nëse OTP dërgohet me SMS, vërtetimi konsiderohet me dy hapa.
Duket se SMS vjen në smartphone që keni. Siç do ta shihni më poshtë, ky është një premisë e rreme.
Shembull i vërtetimit me dy faktorë
Qasja në distancë në burimet e punëdhënësit tim kërkon vërtetim me dy faktorë. Faktori i parë është fjalëkalimi i llogarisë, të cilin unë e di. Faktori i dytë është një shenjë harduerike për gjenerimin e OTP, të cilën e kam hani.
Për të hyrë në emrin tim, sulmuesi duhet të vjedhë jo vetëm fjalëkalimin, por edhe tokenin e lëshuar për mua, d.m.th. hyni fizikisht në banesën time.
Shembull i verifikimit me 2 hapa
Kur hyni për herë të parë në Telegram në një pajisje të re, merrni një kod konfirmimi në telefonin tuaj - kjo është faza e parë e vërtetimit. Për shumë përdorues të mesazheve, ai është i vetmi, por në cilësimet e sigurisë së aplikacionit, mund të aktivizoni fazën e dytë - një fjalëkalim që e dini vetëm ju dhe futet pas kodit nga SMS.
Vini re se krijuesit e Telegram i referohen saktë vërtetimit të tyre me 2 hapa.
Problemi i fjalëkalimeve një herë në SMS
Le të kthehemi te rasti i fitimit të aksesit të paautorizuar në llogarinë Telegram, me të cilin fillova historinë e sotme.
Në procesin e hakerimit, opozita çaktivizoi përkohësisht shërbimin SMS. Ata shohin dorën e departamentit teknik të MTS në këtë, por edhe pa pjesëmarrjen e tij, sulmuesit mund të kishin rilëshuar kartën SIM ose të kishin kryer një sulm MITM. Asgjë tjetër nuk i pengoi ata të hynin në Telegram në një pajisje tjetër!
Nëse do të kishte një fjalëkalim në llogari të njohur vetëm për pronarin, do të ishte shumë më e vështirë të hakohej.
Sidoqoftë, një vërtetim i tillë mbetet me dy hapa dhe hakimi i llogarisë tregon mirë se në një sulm të synuar posedim smartphone nuk luan asnjë rol. Ju jeni vetëm ju e dini fjalëkalimin tuaj dhe kodin një herë që vjen në SMS, dhe këta janë të njëjtët faktorë.
A e ul sigurinë regjistrimi me numrin e telefonit?
Në komentet e hyrjes së mëparshme, disa lexues shprehën mendimin se komoditeti i regjistrimit me numrin e telefonit, tipik për një numër të dërguarish të çastit, dobëson mbrojtjen e llogarisë në krahasim me një fjalëkalim tradicional. Unë nuk mendoj kështu.
Në mungesë të 2FA ose 2SV, vërtetimi është me një hap dhe një faktor. Prandaj, në përgjithësi, nuk ka asnjë ndryshim nëse identifikoheni duke përdorur një fjalëkalim që ju e dini ose një kod që nuk dihet paraprakisht dhe dërgohet me SMS.
Po, sulmuesit mund të marrin kodin tuaj SMS, por gjithashtu mund të përgjojnë fjalëkalimin tuaj, megjithëse në ndonjë mënyrë tjetër (keylogger, kontrolli i një rrjeti publik Wi-Fi).
Nëse doni të mbroni më mirë llogarinë tuaj, mbështetuni në 2FA ose 2SV në vend të kuptimit të rremë se një fjalëkalim është më i lartë se një numër telefoni.
Implementimi i 2FA dhe 2SV nga Google, Microsoft dhe Yandex
Le të shohim se çfarë lloj mbrojtjeje të llogarisë ofrojnë disa lojtarë të mëdhenj me miliona përdorues.
Kompania ofron, ndoshta, gamën më të gjerë të mjeteve shtesë të mbrojtjes së llogarisë. Së bashku me metodat tradicionale 2SV (dërgimi i një kodi me SMS ose telefonatë), Google ka implementuar 2FA. Ky është një aplikacion për gjenerimin e kodit dhe, gjë që është e rrallë, mbështet argumentet standarde të harduerit FIDO UTF.
Pas verifikimit të fjalëkalimit, do t'ju kërkohet të vendosni një kod, mënyra e të cilit do të merrni varet nga cilësimet e vërtetimit për llogarinë tuaj.
Ju lutemi vini re se si parazgjedhje kompjuteri transferohet në kategorinë e besuar, d.m.th. hyrjet e mëposhtme në këtë pajisje nuk kërkojnë faktorin e dytë. Lista e pajisjeve të tilla mund të pastrohet në parametrat 2SV.
Unë kam gjenerimin e kodit të konfiguruar nga aplikacioni. Google Authenticator zbaton mbështetje për RFC 6238, i cili ju lejon të krijoni OTP për çdo shërbim që përdor këtë specifikim.
Nga rruga, unë disi shkela në një grabujë në aplikacion - kodet nuk u pranuan më. Në Twitter, më kërkoi shpejt të sinkronizoja korrigjimin e kohës për kodet në cilësimet e aplikacionit, por tashmë kisha kaluar në Yandex.Key.
Gjithashtu, Google ka mundësinë të printojë kode një herë, gjë që mund të jetë e dobishme për njerëzit që nuk kanë një smartphone dhe përdorin një kartë SIM nga një operator lokal kur udhëtojnë.
Microsoft
Microsoft është shumë i ngjashëm me Google (shih cilësimet e llogarisë) kështu që unë do të fokusohem në dallimet interesante. Kompania nuk mbështet argumentet harduerike, por është e mundur të sigurohet 2FA duke gjeneruar OTP me një aplikacion të pronarit Authenticator.
Aplikimet për vërtetim
Në Windows dhe iOS celular, aplikacionet e Microsoft funksionojnë në të njëjtën mënyrë - ato thjesht gjenerojnë kode. Në Android, situata është më interesante, sepse aplikacioni i llogarisë Microsoft ka dy mënyra funksionimi - me dy hapa dhe me dy faktorë.
Pas konfigurimit fillestar të aplikacionit, ndizet modaliteti, i cili zbatohet në mënyrë perfekte për sa i përket përdorshmërisë. Kur hyni në sajt, ju kërkohet të konfirmoni kërkesën në aplikacion. Në të njëjtën kohë, vjen një njoftim, i cili miratohet me një klikim, d.m.th. nuk ka nevojë të futni kodin me dorë.
Në mënyrë të rreptë, ky është 2SV, sepse njoftimi i shtytjes transmetohet përmes Internetit, por mund të kaloni në 2FA. Duke klikuar "Nuk mund të funksionojë", do të shihni kërkesën për të futur kodin. Në fund të aplikacionit celular ka një opsion përkatës që hap një listë të llogarive të lidhura. Mund të ktheheni në modalitetin e njoftimit në të njëjtën mënyrë herën tjetër kur të identifikoheni.
Nga rruga, ndryshe nga Google, Microsoft nuk e bën pajisjen të besueshme si parazgjedhje (shiko foton më lart), dhe unë mendoj se kjo është e saktë.
Skype dhe 2SV
Përditëso. 01-Nëntor-2016. Skype më në fund ka 2SV duke integruar plotësisht një llogari Skype në një llogari të Microsoft. Prandaj, ajo që shkruhet në këtë seksion është e rëndësishme vetëm për llogaritë e Skype që nuk e kanë kaluar procedurën e përditësimit.
Skype meriton përmendje të veçantë, dhe në një kontekst negativ. Llogaria juaj e Microsoft mbrohet nga verifikimi me 2 hapa dhe ju mund të identifikoheni në Skype me të.
Sidoqoftë, nëse keni një llogari Skype (duke u regjistruar në sit), atëherë 2SV nuk zbatohet për të, edhe nëse është i lidhur me një llogari të Microsoft.
Në praktikë, kjo do të thotë që nuk mund t'i siguroni llogarisë tuaj Skype nivelin e mbrojtjes që rekomandon Microsoft. Faqja e mbështetjes Skype ka një temë të mrekullueshme (ndoshta jo e vetmja) ku pronarët e llogarive të hakuara vijnë dhe kërkojnë të zbatojnë 2FA.
Zgjidhja është të ndaloni përdorimin e asaj llogarie dhe të krijoni një të re duke u identifikuar me një llogari të Microsoft. Por ata që nuk janë hakuar ende nuk kanë gjasa të duan të braktisin një llogari me shumë kontakte.
Yandex
Yandex ka gjithçka, përfshirë zbatimin e tij 2FA. Blogu i kompanisë në Habré pse ata vendosën të rishpiknin timonin, kështu që unë do të kufizohem në praktikën e përdorimit të kësaj zgjidhjeje.
Aktivizimi i 2FA anulon përdorimin e një fjalëkalimi për një llogari që më pas do të identifikohet duke përdorur një smartphone ose tablet. Siç e kuptoj, aplikacioni Yandex.Key është i disponueshëm vetëm për iOS dhe Android, kështu që pronarët e telefonave inteligjentë Windows nuk do të jenë në gjendje të mbrojnë llogarinë e tyre Yandex me vërtetim me dy faktorë.
Aplikacioni celular mbështet llogari të ndryshme, por vetëm llogaria Yandex mbrohet nga një PIN i detyrueshëm - ky është faktori i parë. E dyta është paraqitur në foton e mësipërme - ky është një fjalëkalim një herë prej tetë letra ose skanimi i një kodi QR nga faqja e internetit ku po identifikoheni.
OTP skadon për 30 sekonda. Pasi bëra një gabim shtypi, nuk pata kohë të rifusja të njëjtin kod dhe më duhej të prisja për një të ri (numrat janë akoma më të lehtë për t'u futur pa gabime). Prandaj, mënyra e rekomanduar dhe më e përshtatshme është të skanoni kodin QR. Për rastet e autorizimit në të njëjtën pajisje, sigurohet një buton që kopjon OTP në clipboard.
Pyetje dhe pergjigje
Komentet theksuan disa pyetje, përgjigjet për të cilat vendosa t'i shtoja artikullit.
Hooray, tani kam 2SV/2FA kudo! A ka ndonjë gjë tjetër që duhet bërë?
Imagjinoni që keni shkuar me pushime, ku ju është vjedhur smartfoni ditën e parë. Tani nuk hyni në asnjë llogari derisa të rivendosni kartën SIM. Për të shmangur një skenar të tillë, shkoni te cilësimet e llogarive kryesore, gjeni kode një herë ose rezervë për të hyrë në llogarinë tuaj atje dhe ruani ato në një pajisje tjetër dhe / ose shkruani në letër.
Unë kam një aplikacion që pushoi së punuari pasi aktivizoi 2SV/2FA. Çfarë duhet bërë?
Disa aplikacione janë të papajtueshme me verifikimin me dy hapa në kuptimin që shërbimi pret kodin në hapin e dytë dhe nuk ka ku ta futë atë. Një shembull është një klient i postës "desktop".
Në këtë rast, cilësimet 2SV të llogarisë suaj ofrojnë mundësinë e krijimit të fjalëkalimeve të aplikacionit (fjalëkalimet e aplikacionit). Duhet të krijoni një fjalëkalim dhe ta futni atë në aplikacionin e problemit në vend të fjalëkalimit të llogarisë tuaj. Për Yandex (për shembull, në Yandex.Browser), mjafton thjesht të futni një fjalëkalim një herë të krijuar nga aplikacioni Yandex.Key.
Me cilat parametra shërbimi përcakton se pajisja është e besueshme?
Çdo shitës ka zbatimin e vet. Ky mund të jetë një kombinim i një cookie SSL, adresë IP, shfletues, çfarëdo. Ekziston një prag për ndryshimin e parametrave, pas arritjes së të cilit duhet të identifikoheni përsëri.
Cilat janë aplikacionet më të mira të gjenerimit OTP celular për t'u përdorur?
Nëse nuk përdorni 2FA në Yandex, atëherë çdo aplikacion do ta bëjë (Google, Microsoft, Yandex.Key). Nëse keni të aktivizuar 2FA në Yandex, ka kuptim të konsolidoni të gjitha shërbimet në Yandex.Key. Arsyeja është se zbatimi i Yandex i 2FA ndryshon nga shërbimet e tjera, por Yandex.Key mbështet RFC 6238, i cili ju lejon të krijoni OTP për shërbime të tjera që kanë zbatuar këtë specifikim.
Pse nuk mund të konfiguroj 2FA për VKontakte në aplikacionin e gjenerimit të kodit?
Në cilësimet e smartphone, duhet të vendosni zbulimin automatik të zonës së datës dhe orës. Përndryshe, aplikacioni nuk mund të regjistrohet - kodi i gjeneruar nga aplikacioni nuk pranohet me gabimin "Kodi i pavlefshëm konfirmimi". Dorëzimi i OTP me SMS funksionon dhe nuk lidhet në asnjë mënyrë me problemin.
Diskutim dhe Sondazh
Fillimisht, autentifikimi me dy faktorë dhe me dy hapa ishte pjesa më e madhe e organizatave, por gradualisht filloi të shfaqej në shërbimet e orientuara nga konsumatori. Google ishte një nga kompanitë e para të mëdha që ofroi një mbrojtje të tillë për përdoruesit e tij në vitin 2011, dhe lojtarët e tjerë u rritën më vonë, duke përfshirë Yandex dhe mail.ru, të njohura në Runet, i prezantuan këto masa në fillim të 2015.
Deri më tani, 2FA / 2SV nuk është i disponueshëm për të gjitha shërbimet e zakonshme. Për shembull, në kohën e publikimit të artikullit, ai nuk është në mesazhet me një audiencë shumëmilionëshe të Viber dhe WhatsApp (u shfaq në shkurt 2017). Por në përgjithësi, nga mesi i vitit 2016, teknologjia ishte shumë e përhapur.
Unë vetë fillova me Google, më pas lidha rrjetet sociale, më vonë një llogari Microsoft (u bë një bujë me një numër aplikacionesh që nuk mbështesin 2SV dhe më duhej të krijoja fjalëkalime një herë). Tani kam 2FA / 2SV të aktivizuar kudo, madje edhe në këtë blog (vetëm për administratorët).
Ju mund të shënoni fragmente teksti që janë interesante për ju, të cilat do të jenë të disponueshme nëpërmjet një lidhjeje unike në shiritin e adresave të shfletuesit.
Rreth Autorit
Nikolla
Kohët e fundit, e prisha vërtetimin pasi mora një njoftim për një përpjekje hakerimi në postë.
Pavlovsky Roman
Zgjodha artikullin: Jo, por tani do të filloj ta përdor.
E aktivizova në llogarinë time Goole, por pas kësaj nuk mund të dërgoja postë nga klienti i postës dhe nuk mund të lidhesha me bisedat e Hangouts nga aplikacioni. Ndoshta ishte e nevojshme të identifikohesh nga kompjuteri në llogarinë e Google në mënyrë që PC të bëhej i besueshëm dhe më pas gjithçka të funksiononte. Por unë nuk u mërzita dhe çaktivizova autorizimin me dy hapa.
Nëse thjesht duhet të identifikoheni në kompjuterin e dëshiruar në mënyrë që të bëhet i besueshëm, atëherë kjo është normale, por nëse kjo nuk ju ndihmon, atëherë problemi do të jetë me dërgimin e postës dhe përdorimin e bisedës.
Llogaria tjetër e postës nuk ka fare vërtetim me dy faktorë, dhe përveç kësaj, do ta kisha ndezur atje.
Alexander [Mazdaischik]
Zgjodha "Opsioni im nuk është këtu", megjithëse, ndoshta, do të ia vlente të zgjidhja "Jo, dhe tani do të filloj ta përdor".
Unë përdor postën vetëm përmes Outlook, dhe ai, me sa duket, nuk e mbështet autorizimin me dy faktorë (megjithëse nuk e kam kërkuar në google - mbase ata dolën me shtojca). Unë nuk përdor një llogari të Microsoft. Nuk ka smartphone. Nuk është i regjistruar në rrjetet sociale (me përjashtim të GitHub). Regjistrimi në të gjitha llojet e forumeve dhe faqeve, si kjo, mendoj se është e papërshtatshme për t'u mbrojtur.
Unë kam një llogari Skype, të cilën e përdor vetëm në zyrë (ulem në bisedën e përgjithshme të kompanisë). Tani do të mendoj për bashkimin e tij me një llogari të Microsoft (duket sikur ka një funksionalitet të tillë) dhe përdorimin e autorizimit me dy faktorë.
Nikolla
Faleminderit, shumë interesante!
“Ju lutemi, vini re se si parazgjedhje kompjuteri transferohet në kategorinë e të besuarve, d.m.th. hyrjet e mëposhtme në këtë pajisje nuk kërkojnë faktorin e dytë. Lista e pajisjeve të tilla mund të pastrohet në parametrat 2SV.
Dhe nga cilët faktorë e njeh këtë pajisje të besuar? A është një certifikatë, apo ndonjë SID me bazë hekuri?
Eugjeni
Autentifikimi me dy faktorë aktivizohet vetëm në shërbime veçanërisht të rëndësishme, për shembull, në llogaritë bankare, në sistemet e pagesave. Por në disa prej tyre, ju mund të futni llogarinë me vetëm një fjalëkalim, por çdo operacion mund të bëhet përmes një me dy faktorë. Ai mungon në shërbimet e postës dhe rrjetet sociale, pasi vetë shërbimet ndjekin mjaft mirë "veprimet e dyshimta" (ndryshoni IP-në, përpiquni të merrni me mend një fjalëkalim, ndryshoni pajisjen e përdorur, etj.) dhe njoftoni për të mjaft shpejt, dhe shumë madje menjëherë bllokoni automatikisht llogarinë.
Evgeniy Kazakin: Faleminderit, shumë interesante!
“Ju lutemi, vini re se si parazgjedhje kompjuteri transferohet në kategorinë e të besuarve, d.m.th. hyrjet e mëposhtme në këtë pajisje nuk kërkojnë faktorin e dytë. Lista e pajisjeve të tilla mund të pastrohet në parametrat 2SV. ”Dhe nga cilët faktorë e njeh këtë pajisje të besuar? A është një certifikatë, apo ndonjë SID me bazë hekuri?
Me shumë mundësi varet nga zbatimi. Edhe klienti Steam ka vërtetimin e tij 2F.
Andrey Bayatakov
Përfshihet kudo që është e mundur. Nuk dukej se kishte ndonjë thyerje. :) Por në outlook.com mund të shihni Kërkesat për Mbrojtje nga vende që definitivisht nuk mund t'i gjeja... dhe me OS që nuk i kam përdorur kurrë. Sa i përket çaktivizimit të SMS, vitin e kaluar kam hasur disa herë kur SMS me një kod nga QIWI nuk ka ardhur në një smartphone, por në të njëjtën kohë është marrë pa probleme në një telefon të rregullt. Mjaftoi të riorganizoje kartën SIM.
Matvey Solodovnikov
Vadim, artikull i shkëlqyer! Faleminderit për prezantimin e detajuar.
Aktivizuar në Google (pasi u përpoqën të thyejnë fjalëkalimin tim nga diku në Turqi), në llogarinë e Microsoft (u bë shumë dembel për ta bërë këtë, por pas këtij artikulli vendosa ta aktivizoj gjithsesi) dhe në Dropbox (është aktivizuar për dy vite tashmë). Unë përdor Microsoft Authenticator në Lumia 640.
P.S. Po. dhe në telegram duhet gjithashtu ta ndizni :) nuk e dini kurrë.
-
Matthew, faleminderit për përgjigjen tuaj. Po, Telegram mbrohet më mirë se WhatsApp ose Viber në këtë drejtim, kështu që ka kuptim të aktivizoni 2SV.
D K
Llogaria ime Yandex mbrohet në W10M me vërtetim me dy faktorë. Unë marr fjalëkalimin nga çelësi Yandex i instaluar në iPad. Dhe në përgjithësi unë përfshij një mbrojtje të tillë, ku është e mundur vetëm. Posta ime në Mail.ru ishte hakuar më parë, më duhej ta ndryshoja shpesh fjalëkalimin. Tani, pas aktivizimit të autorizimit me dy hapa atje, nuk pati hakerime. Pas ngjarjeve të njohura, e ndeza në Telegram.
D K
Kam harruar të shtoj se edhe karta ime Sberbank është mashtruar me autorizimin me dy hapa të aktivizuar.
Andrey
Faleminderit për artikullin, nuk dija për aplikacionin për një smartphone në një llogari Microsoft, e lidha atë.
Vitali
Artikull i shkëlqyer, i vendosur mirë në raftet 2FA dhe 2SV.
Në përgjithësi, kohët e fundit kam menduar për sigurinë dhe kalova në KeePass. Më e besueshme, më e sigurt dhe më e rëndësishmja e pavarur nga serverët e palëve të treta, nuk dola asgjë. Vendosa bllokimin automatik, fjalëkalimi është më i ndërlikuar dhe kaq.
2FA është vetëm për një kartë Sberbank, ka një emër përdoruesi (vetëm në kokën time), fjalëkalim (në KeePass) dhe SMS.
Yaroslav Nepomniachtchi
Unë kam përdorur Microsoft Authenticator për një kohë relativisht të gjatë, në fakt që nga regjistrimi i një llogarie Microsoft.
Fillova të hutoj nëpër cilësimet dhe gjeta një gjë të tillë, e vendosa në Windows Phone.
Pasi lexova artikullin, instalova një llogari Google, gjithashtu përmes Microsoft Authenticator.
Pyetja është - Çfarë duhet të bëni në rast të vjedhjes / humbjes së një pajisjeje celulare?
Yaroslav Nepomniachtchi
Është e çuditshme pse bankat nuk përdorin vërtetimin me dy faktorë..
Epo, të paktën nuk e gjeta në Sberbank dhe telebank
Nikolla
Vadim Sterkin: Në Sberbank 2SV. Në sit, së pari vendosni fjalëkalimin, pastaj kodin nga SMS.
dhe çdo herë vjen një kod i ri. Ndoshta qetësohet nga mundësia e hakimit)
(nëse nuk kursen intervali kohor)
Lecron
Unë nuk jam dakord me transferimin e vërtetimit të SMS nga 2FA në 2SV.
Në mënyrë të ngjashme, çelësat e kasafortës mund të kopjohen gjatë shitjes. Dhe në të njëjtën mënyrë, prodhuesi i kasafortës ka një kod kyç, të cilin mund ta prodhojë me paraqitjen e dokumenteve për posedimin e kasafortës, në rast se ato humbasin.
-
Lecron: Nuk jam dakord me transferimin e vërtetimit të SMS nga 2FA në 2SV.
Në këtë rast, karta SIM është një analog i plotë i çelësit për kasafortën që zotëroni. Dobësitë e MitM dhe procedura e pasigurt e ri-lëshimit nuk e ndryshojnë faktin e _pronësisë_.E drejta juaj. Por vetëm për shkak të MITM, shumë ekspertë të infobez nuk e konsiderojnë SMS një faktor ... Disa madje nuk e konsiderojnë OTP të gjeneruar në një smartphone si të tillë, por për mendimin tim kjo tashmë është shumë :)
Sergej Sysoev
Dhe jam dakord me Lecron. Fakti që ka dobësi në përdorimin e SMS-ve nuk e mohon faktin që ky është ende faktori i dytë, ndonëse shumë i dobët. Përndryshe, siç e keni vënë re me të drejtë, OTP nuk mund të konsiderohet si e tillë, pasi një virus mund të arrijë në një smartphone (sidomos Android, apo jo?). Dhe nga pas shpatullës, një person tjetër mund të shikojë nga OTP e harduerit. Ose, për shembull, banka që ka lëshuar OTP-në e harduerit mund të bëjë një dublikatë.
Unë përdor Google Afenticator për Mail.ru, Facebook, VK (në të cilën shkoj rrallë) dhe llogarinë Microsoft (ky i fundit është mik i shkëlqyeshëm me programin Google, por nuk e shoh kuptimin e instalimit të dy aplikacioneve për të njëjtin funksion) . Unë gjithashtu u përpoqa të lidh Yandex, por nuk funksionoi. Idealisht, do të doja të shihja autorizim në banka gjithashtu bazuar në këtë aplikacion.
Nga rruga, një pyetje për Vadim në lidhje me fjalëkalimet e aplikacioneve - Google ofron një fjalëkalim për ta vetëm me shkronja të vogla latine. Sa i besueshëm është?
Yaroslav Nepomniachtchi
Kërkova mbështetje.
Në të vërtetë, në dyqanin e Windows ekziston një aplikacion VTB24 Token
Andrey Varypaev
Kohët e fundit, ai organizoi gjithashtu një fushatë me dy faza në mail.ru. Meqenëse fjalëkalimi im 20-shifror m'u hoq përmes një lidhjeje https përmes një proxy dhe arriti të hynte në postë 2 herë një herë përmes Ukrainës, herën e dytë nga disa ishuj. Për fat të mirë, llogaria ime mail.ru u bllokua me dyshimin për hakerim. Pastaj bëra vërtetimin me dy hapa.
Nikolla
Vadim Sterkin: Andrew, një shembull i mirë që një fjalëkalim kompleks + faktori i dytë është më i mirë se një fjalëkalim i thjeshtë kompleks.
Dhe si mund të vjedhin një fjalëkalim 20-shifror? Keylogger nuk merret parasysh.
Vadim, a mund të më thuash më shumë për këto argumente harduerike. Çfarë është ajo, cili është kuptimi i tyre? A krijohen kodet sipas një algoritmi të paracaktuar? Nëse po, a është vërtet i sigurt dhe algoritmi nuk mund të llogaritet?
Dhe një gjë tjetër në të njëjtën kohë. :) Sa i sigurt është përdorimi i butonave "Identifikohu me" për të futur burimet. Si, për shembull, në blogun tuaj.
Nikolla
Vadim Sterkin:
2. Dhe e kërkoni në google? TOTP, HOTP
3. Kjo është një pyetje interesante. Mendoj se duhet theksuar veçmas. Por ju mund të eksploroni vetë dhe të hidhni pak ushqim për mendim këtu.
Epo, kjo nuk është e drejtë! Dhe përtypni? :)
Vitaly Chernyshov
Unë përdor 2FA kudo që ka një mundësi të tillë - github, llogari live, dropbox, Yandex, Google. Posta tani është gjëja më e rëndësishme për t'u mbrojtur, gjithçka tjetër është e lidhur me të.
Këtu jam i shqetësuar për çështjen e fjalëkalimeve të aplikacioneve, për ato programe që nuk mbështesin 2FA, për shembull, të njëjtin klient poste. A nuk është kjo një shkelje e sigurisë? Në fund të fundit, ky fjalëkalim mund të përgjohet në të njëjtën mënyrë; për thjeshtësi, ne do të heqim momentin e kriptimit të trafikut. Dhe futni këtë fjalëkalim në një aplikacion tjetër. Outlook nuk ka cookie ose një mekanizëm të ngjashëm për shërbimin për të dalluar një aplikacion nga një tjetër. Apo ka? Çfarë e pengon përgjimin e këtij fjalëkalimi të aplikacionit në të njëjtën mënyrë si një fjalëkalim i zakonshëm? Dhe përdorni atë në një aplikacion tjetër. Nëse vetëm kriptimi i trafikut, atëherë rezulton se fjalëkalimet e aplikacionit janë një vrimë e madhe. Pikërisht i njëjti nivel sigurie si një fjalëkalim i zakonshëm.
Ema
Kohët e fundit më erdhi lajmi: https://geektimes.ru/post/276238/, i cili më befasoi në mënyrë të pakëndshme, tashmë arrita të mësohesha me Telegram me gjithë zemër. Autori i artikullit ngatërron konceptet, e quan vërtetimin me 2 hapa 2-faktor, por kjo nuk është çështja. Çfarë ndodh - një sulmues, duke pasur akses në SMS-në e viktimës, do të jetë ende në gjendje të hyjë në llogari, dhe në këtë rast , Autentifikimi i Telegramit 2SV nuk do të ndihmojë? Çfarë kuptimi ka atëherë?
Dmitriy Sergeevich
Nëse kam kuptuar gjithçka saktë, atëherë vërtetimi me dy faktorë është i disponueshëm vetëm me aplikacionin përkatës të instaluar në smartphone. Por unë nuk kam një smartphone. Mund ta blej, por thjesht nuk më duhet. Unë përdor një telefon të funksionalitetit prehistorik me butona të pambytur që shpon forca të blinduara, i cili më nevojitet vetëm për thirrje dhe SMS (që në fakt nuk mund të bëjë asgjë tjetër) dhe që mban një tarifë për një javë e gjysmë deri në dy javë. Bleni një smartphone vetëm për të qenë në gjendje të përdorni vërtetimin me dy faktorë?
-
Përdorni një me dy faza - smartphone juaj që shpon forca të blinduara mund të marrë mesazhe me tekst.
artem
Për të hyrë në burimet e klientit, unë përdor gjithashtu 2FA, por në këtë rast, rolin e një tokeni harduer e luan një smartphone me aplikacionin RSA SecureID.
nga ky këndvështrim - gjenerimi i kodit aplikim në telefon nuk është faktori i dytë. Telefoni mund të hakohet. Dhe disa përdorues e bëjnë vetë për të instaluar softuer jozyrtar (jailbreak). Pas kësaj, çdo aplikacion (një virus ose dikush që maskohet si një aplikacion i dobishëm) mund, për shembull, të futet në zonën e kujtesës të përdorur nga aplikacioni juaj i gjeneratorit të fjalëkalimeve një herë. Dhe mund të bëni edhe më lehtë, dhe thjesht të vidhni përmbajtjen e ekranit përmes një API që krijon pamje nga ekrani. (Po, normalisht kjo API nuk duhet të jetë e disponueshme për përdorim të fshehur nga programet e palëve të treta, por pas një jailbreak gjithçka është e mundur).
edhe nëse nuk e keni bërë jailbreak me duart tuaja - telefoni, teorikisht, mund të hakohet nga distanca, si çdo pajisje mjaft komplekse e lidhur me rrjetin. Nuk ka gjasa? Sigurisht. Por kjo është po aq e pamundur dhe e vështirë për t'u zbatuar sa hakerimi i një operatori celular, dhënia e ryshfeteve të një tekniku, krijimi i një karte SIM dublikatë ose përgjimi i një kodi nga një SMS.
edhe nëse keni një pajisje të veçantë për gjenerimin e OTP ose një fletë me fjalëkalime të printuara një herë - mund t'i "spiunoni" duke përdorur optikë të fortë ose duke hakuar një kamerë vëzhgimi në lagje :) Ose të jepni ryshfet një nëpunësi në një bankë që ju dha këto fjalëkalimet. Kjo është pothuajse e pamundur, por mjaft e mundshme në praktikë. Kështu "faktori juaj i dytë" bëhet...bëhet...bëhet i pari.
pse jam une Për faktin se linja midis 2FA dhe 2SV është aq e hollë sa është me interes vetëm nga pikëpamja e arsyetimit teorik për një botë ideale. Në praktikë, nuk ka një kufi të tillë. Prandaj, për shembull, zbatimi i miratuar në Telegram është po aq i saktë për të quajtur si me dy faktorë ashtu edhe me dy faza.
P.S. Kjo nuk është e rëndësishme për rastin, por mundësia e kryerjes së një sulmi MITM në një telefon, i ngjashëm me atë të përshkruar në artikullin në Habré, kritikohet nga praktikuesit të cilëve u besoj. Ata argumentojnë se një sulm i tillë është i mundur vetëm në kushte të veçanta laboratorike. Në praktikë, të gjithë operatorët celularë që operojnë në Rusi kanë mësuar të mbrohen kundër tij, sepse duke përdorur pajisje të konfiguruara posaçërisht.
-
Artem, ka kohë që nuk e shoh :)
Në të vërtetë, ku është kufiri? :)
Argumenti im bazohet në faktorë (në veçanti, pronësia), dhe ju filluat për shëndetin, dhe më pas u futët në "gjithçka mund të vidhet dhe hakohet". Madje mendova se në fund teza "2fa nuk është e nevojshme, sepse saldimi!" :)
Epo, meqë u futët në holivar, do të doja të dëgjoja mendimin tuaj për pyetjen time, të shprehur nga diskutimi:
Në të njëjtën kohë, ndoshta keni një shpjegim të arsyeshëm për faktin që Google, Microsoft dhe Telegram nuk e quajnë vërtetimin e tyre me dy faktorë, dhe Apple po kalon nga 2SV përmes SMS/Find My Phone në 2FA? Pa justifikime të tipit "Unë nuk jam përgjegjës për ta", por me arsye.
artem
keni filluar për shëndetin, dhe pastaj u rrokulliset poshtë
dhe ku në komentin tim është kufiri midis "shëndetit" dhe "rrëshqitur poshtë"?
Epo, që kur u fute në holivar,
nuk është se doja shumë të hyja dhe nuk shoh fare shenjtëri këtu. Por unë pata një bisedë me një person të caktuar (po, në bisedën në Telegram) - ai solli blogun tuaj si argument.
Do të doja të dëgjoja mendimin tuaj për pyetjen time
Epo, kjo është një pyetje e çuditshme për mua, sepse thjesht nuk i ndaj 2FA dhe 2SV. Në çdo rast, kur bëhet fjalë për SMS. Aty, pikërisht sipër në degën të cilës i referoheni, personi thotë gjithçka saktë. Një kartë SIM është ende "ajo që zotëroni". Po, mund të vidhet, falsifikohet ose kapet në fluturim - por kjo nuk e anulon veprimin parim. (Përveç kësaj, siç thashë, MITM nuk funksionon në praktikë, kështu që vetëm ky argument nuk mjafton qartë për të rikualifikuar SMS nga 2FA në 2SV).
Ja një shembull tjetër për ju në thesarin e mosmarrëveshjeve terminologjike. (Ju vetë i sillni ato më lart me bollëk, duke përfshirë të njëjtin Google, i cili nuk i ndan 2FA dhe 2SV). GitHub përdor termin "2FA" (https://github.com/settings/security), ndërkohë që po flasim për të njëjtin RFC 6238, d.m.th. gjenerimi i kodit nga aplikacioni në telefon. Në të njëjtën kohë, ata kanë mbështetje për FIDO U2F dhe kthim në SMS. Kjo nuk i pengon ata të konsiderojnë vërtetimin e tyre si dy faktorësh.
» Ti për mua: por ka një sërë kompanish të tjera që nuk ndajnë. Çfarë mendimi keni për këtë?
Unë për ju: nga këndvështrimi im ata janë gabim ose kapin pleshtat.Gjithkush ka të drejtë të përdorë termin që është më afër tij. Mosmarrëveshja lind vetëm nëse shkrimtari njëkohësisht përdor të dy termat, dhe në të njëjtën kohë i ndan qartë (dhe nuk i përdor si sinonime, siç bën, për shembull, Google). Kjo është shumë e rrallë. Në thelb - ose në materialet akademike (si tregimi për Agjentin Smith), ose në blogun tuaj :)
Ata e konsiderojnë vërtetimin e tyre si me dy hapa (në faqen e cilësimeve thotë Verifikimi me 2 hapa).
Ku? Këtu është një citat nga faqja kryesore e cilësimeve (https://github.com/settings/security):
Autentifikimi me dy faktorëështë titulli i seksionit.
Tjetra, nëse klikoni në butonin Redakto, arrijmë në faqen https://github.com/settings/two_factor_authentication/configure. (Kujdes URL-së). Aty lexojmë:
Sigurimi i një numri SMS rezervë do të lejojë GitHub të dërgojë kodet tuaja të vërtetimit me dy faktorë në një pajisje alternative nëse humbni pajisjen tuaj kryesore.
Epo, në përgjithësi, termi 2FA shfaqet shtatë herë në këtë faqe. Termi 2SV nuk shfaqet kurrë.
Gjithkush ka të drejtë të përdorë termin që është më afër tij.
Po, dhe kompanitë e shprehura nuk përdorin termin 2FA, megjithëse "faktori" është një nga konceptet bazë në infobez.
Në thelb - ose në materialet akademike (si tregimi për Agjentin Smith), ose në blogun tuaj :)
Gjithçka varet nga përpikëria e komentuesve. Nëse mbyllni komentet në blog, mund të shkruani çfarë të doni. Unë ndava 2FA / 2SV, dhe ata që nuk pajtoheshin menjëherë u futën në komente - ata madje votuan kundër :) Nëse nuk do ta kisha ndarë, ndoshta do të kishte më pak prej tyre. Por kjo nuk do t'i pengonte ata të drejtonin gishtin në kontekstin e "SMS nuk është 2FA".
artem
Mendova se po flisnit për Google, pashë me pavëmendje. Unë pyeta për Google / MSFT / Apple / Telegram, dhe ju më rrëshqitni GitHub, ku gjithçka korrespondon me tezat tuaja. Dhe po, më pëlqen se si e tërhoqët Google këtu duke u lidhur me një frazë në ndihmë.
I rrëshqiti GitHub për dy arsye. Së pari, dikush këtu në komentet e pyeti tashmë për të, por unë isha shumë dembel për t'iu përgjigjur saktësisht se - po, GitHub gjithashtu mbështet në të vërtetë 2FA. Dhe së dyti, sepse ju keni kaluar tashmë nëpër të gjitha kompanitë e tjera të mëdha, në mënyrë të përpiktë duke analizuar qasjen e tyre ndaj terminologjisë. Mos përsërisni. Kështu që më duhej të gjeja dikë të ri.
Nëse nuk do të ishte ndarë, ndoshta do të kishte më pak. Por nuk do t'i bënte keq të drejtonin gishtin në kontekstin e "SMS nuk është 2FA".
Kjo është e gjithë çështja. Nuk e kam problem të ndaj 2FA dhe 2SV - nëse mund të bëhet pa mëdyshje. ato. kategorizo: po, ky kanalështë faktori i dytë, dhe ky është vetëm një variant i të parit. Ju e dini shumë mirë se mua më pëlqen të arrij në fund të termave po aq sa ju, nëse jo më shumë :)
Problemi është se në rastin e SMS, kjo linjë nuk mund të tërhiqet. ato. nuk eshte pyetje përpikëri, por një mosmarrëveshje terminologjike krejtësisht e kotë.
Sipas disa indikacioneve, një kartë SIM është një "posedim", d.m.th. faktori i dytë. Një përdorues legjitim nuk mund të marrë një mesazh pa një kartë SIM. Dhe për shumicën e sulmuesve, kjo është një pengesë serioze, edhe pse jo e pakapërcyeshme. (E krahasueshme me depërtimin në një apartament për të vjedhur një pajisje të gjenerimit OTP.)
Sipas disa shenjave të tjera - po, teknologjia GSM mund të mashtrohet dhe të përgjohet. Dhe kështu ky faktor bëhet informativ, si i pari. Por nga ky këndvështrim, gjenerimi i OTP në telefon është gjithashtu një faktor informues. (Shih arsyetimin e mësipërm për jailbreak).
Kështu unë Së pari Unë nuk shoh ndonjë ndryshim praktik midis 2FA dhe 2SV. DHE Së dyti, Nuk e shoh kuptimin të debatosh. Sepse në praktikë 2FA nuk rezulton të jetë diçka më e sigurt se 2SV. Në çdo rast, ndërsa më e zakonshme "e dyta kanal" SMS mbetet.
Është e mundur dhe e nevojshme të argumentohet se në mënyrë specifike SMS është më pak i sigurt. kanali, se një pajisje e veçantë gjeneruese OTP. Një bisedë e tillë ka vërtet kuptim - në krahasim me përpjekjen për të klasifikuar kanale të ndryshme si 2FA ose 2SV dhe debatin se cili prej këtyre opsioneve sferike është më i besueshëm në vakum.
Ky është rasti kur një përpjekje për të thjeshtuar përmes klasifikimit vetëm sa e ndërlikon diskutimin dhe e bën atë më pak kuptimplotë dhe më të prekshëm ndaj mosmarrëveshjeve terminologjike.
-
NIST shpall moshën e vërtetimit me 2 faktorë të bazuar në SMS mbi | TechCrunch.
Nëse verifikimi jashtë brezit do të bëhet duke përdorur një mesazh SMS në një rrjet publik telefonik celular, verifikuesi DUHET të verifikojë që numri i telefonit i pararegjistruar që përdoret është në të vërtetë i lidhur me një rrjet celular dhe jo me një VoIP (ose softuer tjetër -bazuar) shërbim. Më pas dërgon mesazhin SMS në numrin e telefonit të para-regjistruar. Ndryshimi i numrit të telefonit të pararegjistruar NUK DUHET të jetë i mundur pa vërtetimin me dy faktorë në momentin e ndryshimit. OOB duke përdorur SMS është vjetëruar dhe nuk do të lejohet më në publikimet e ardhshme të këtij udhëzimi.
-
Georgy, urime për blerjen tuaj - ide e shkëlqyer! Dhe sa kushton? Tregtari ka një çmim sipas kërkesës për disa arsye. Sidoqoftë, Yandex.Market lë të kuptohet për një çmim në rajonin prej 1500 rubla.
Po, është 2FA. Unë e përcaktoj faktorin e pronësisë nëse përdoruesi ka një pajisje harduerike për vërtetim (tokenin tuaj) ose gjenerimin e OTP direkt në pajisje (smartphone ose token gjenerimi OTP). Në rastin e SMS-ve, kodi gjenerohet diku dhe transmetohet tek ju, kështu që nuk e konsideroj një faktor.
Kundërshtarët nuk janë dakord, por siç e vura re në komente dhe theksova nga Artem, në varësi të shkallës së paranojës, as një smartphone me një aplikacion nuk mund të konsiderohet faktor, pasi mund të hakerohet.
Gjergji
Vadim, mirë se erdhe!
Sot bleva vetes një shenjë harduerike: http://www.aladdin-rd.ru/catalog/jacarta_u2f/ - Unë e përdor atë në llogarinë time Gmail dhe llogarinë Dropbox. Meqenëse forca e zinxhirit përcaktohet nga lidhja e tij më e dobët, unë hoqa telefonin nga dropbox dhe Google si një faktor rikuperimi dhe tani mund të hyj në Google vetëm me shenjën, ose nëse nuk është aty, atëherë përmes OTP Google Authentificator , dhe nëse nuk është aty, atëherë kodi rezervë 8-shifror: https://i.gyazo.com/d6589d7523d4259e423d500de1c2354b.png
Prandaj, tani shkoj te gmail.com, fut fjalëkalimin e zakonshëm dhe Google fillon të kërkojë një shenjë: https://i.gyazo.com/0503e8347c80ce865dd2f5ed69eab95c.png . Fut token-in, ai e përcakton atë, shtyp butonin e fortë në token, ata thonë se jam një person real dhe vërtetoj llogarinë. A mund të konsiderohet kjo metodë vërtetimi si vërtetim me dy faktorë? Plus lexova të gjitha komentet dhe nuk e kuptova vërtet pse SMS nuk është një faktor. Sepse ka një fjalëkalim (e di) dhe kam një telefon me një numër të bashkangjitur (e kam). Unë nuk jam një holivar për hir të tij, por jam më i hutuar se sa kuptova pse nuk mund të quhet një metodë e vërtetimit me dy faktorë.
Si përdorues i Windows, nuk mund të them asgjë - unë jam një çajnik. Por nga pikëpamja e besueshmërisë dhe efikasitetit, unë mund të jap këshilla për dummies. Ju mund të hakoni çdo gjë të çdo kompleksiteti. Prandaj, për të mbrojtur të dhënat vërtet të vlefshme - llogaritë bankare, zgjidhni banka të mëdha të besueshme dhe lërini profesionistët e tyre të klasit të lartë të shqetësohen për sigurinë tuaj. Dhe nëse ato dështojnë, banka do ta ketë më të lehtë t'ju kompensojë dëmin, përveç nëse sigurisht jeni Miller ose Deripaska, sesa t'ju padisë. Sa i përket sociales rrjetet…. çfarë ka për të mbrojtur? Nëse jeni përdorues aktiv i rrjeteve sociale, atëherë ka shumë të ngjarë që nuk keni asgjë për të marrë - nuk ka pasur kurrë ndonjë informacion të vlefshëm atje.
