Объясняем, как работает двухфакторная аутентификация с помощью одноразовых кодов, в чем ее плюсы и минусы и что еще вы можете сделать, чтобы надежнее защитить свои аккаунты.
Специалисты в сфере информационной безопасности уже давно сошлись на том, что самый надежный способ двухфакторной аутентификации при помощи одноразовых кодов — это приложения-аутентификаторы. Большинство сервисов предлагает этот способ в качестве второго уровня защиты учетной записи. А в некоторых случаях двухфакторная аутентификация с помощью кода из приложения — и вовсе единственный доступный вариант.
Но о том, почему одноразовые коды считаются такими безопасными, говорят не так часто, поэтому могут возникнуть вопросы: а хороший ли это вариант, насколько он вообще надежен, о каких опасностях стоит подумать и о чем нужно помнить, когда пользуешься таким способом двухфакторной аутентификации. Рассказываем обо всем этом в нашем посте.
Если коды совпадают, то все отлично, вас можно пустить в аккаунт (а если нет — то нельзя). Кроме того, при подключении приложения-аутентификатора через QR-код передается масса информации помимо секретного ключа. В том числе период времени, через который истекает «срок годности» одноразового кода — как правило, 30 секунд.
Самая важная информация — секретный ключ — передается всего один раз, в момент подключения аутентификатора, в дальнейшем же обе стороны его помнят. То есть при каждом новом входе в аккаунт никакой информации от сервиса к вашему аутентификатору вообще не передается, так что и перехватывать тут нечего. Собственно, приложениям-аутентификаторам для выполнения их основной функции даже не нужен доступ в Интернет. Так что все, что может в теории заполучить злоумышленник — это конечный продукт работы этой системы: собственно одноразовый код, который вы вводите. И даже этот код будет действителен буквально несколько десятков секунд.
Подробнее о том, как работают приложения-аутентификаторы, я уже рассказывала в — почитайте, если интересно узнать о стандартах аутентификации, информации, содержащейся в QR-кодах для подключения приложений, и о сервисах, несовместимых с наиболее распространенными аутентификаторами.
Это значит, что если произошла утечка и, следовательно, злоумышленникам известны и пароль от аккаунта, и почта, к которой эта учетная запись привязана, то они могут попытаться воспользоваться таким альтернативным способом входа в учетную запись. И если ваша почта плохо защищена — а особенно если вы используете для нее тот же самый пароль и не включили двухфакторную аутентификацию, — то весьма вероятно, что у злоумышленников получится обойти ввод одноразового кода из приложения.
Что по этому поводу стоит делать?
Ситуация поопаснее: если кому-то удастся наложить руки на разблокированный смартфон с аутентификатором, то этот кто-то вполне может войти в ваши аккаунты уже без особой спешки и проблем.
Как минимизировать такие риски?
Однако на более аккуратно и правдоподобно сделанных фишинговых сайтах, в частности тех, что рассчитаны на целевые атаки, фишеры могут имитировать и механизм проверки двухфакторной аутентификации. В этом случае они перехватят не только логин с паролем, но и одноразовый код. После этого злоумышленники быстренько залогинятся в аккаунт жертвы на настоящем сайте, а на фишинговой подделке выдадут, скажем, сообщение об ошибке и предложение попробовать войти еще раз.
К сожалению, несмотря на видимую простоту, фишинг остается крайне эффективным трюком преступников, и защититься от особо качественно сделанных образчиков может быть нелегко.
Общие советы тут такие:
Специалисты в сфере информационной безопасности уже давно сошлись на том, что самый надежный способ двухфакторной аутентификации при помощи одноразовых кодов — это приложения-аутентификаторы. Большинство сервисов предлагает этот способ в качестве второго уровня защиты учетной записи. А в некоторых случаях двухфакторная аутентификация с помощью кода из приложения — и вовсе единственный доступный вариант.
Но о том, почему одноразовые коды считаются такими безопасными, говорят не так часто, поэтому могут возникнуть вопросы: а хороший ли это вариант, насколько он вообще надежен, о каких опасностях стоит подумать и о чем нужно помнить, когда пользуешься таким способом двухфакторной аутентификации. Рассказываем обо всем этом в нашем посте.
Как работают приложения-аутентификаторы
В самом общем виде принцип работы таких приложений выглядит следующим образом: сервис, в котором вы аутентифицируетесь, и ваш аутентификатор запоминают некое число — секретный ключ (он содержится в в QR-коде, с помощью которого вы подключаете аутентификацию для данного сервиса в приложении). В дальнейшем на основе этого числа, а также текущего времени, по одинаковому алгоритму генерируются одноразовые коды — одновременно и на стороне аутентификатора, и на стороне сервиса.Если коды совпадают, то все отлично, вас можно пустить в аккаунт (а если нет — то нельзя). Кроме того, при подключении приложения-аутентификатора через QR-код передается масса информации помимо секретного ключа. В том числе период времени, через который истекает «срок годности» одноразового кода — как правило, 30 секунд.
Самая важная информация — секретный ключ — передается всего один раз, в момент подключения аутентификатора, в дальнейшем же обе стороны его помнят. То есть при каждом новом входе в аккаунт никакой информации от сервиса к вашему аутентификатору вообще не передается, так что и перехватывать тут нечего. Собственно, приложениям-аутентификаторам для выполнения их основной функции даже не нужен доступ в Интернет. Так что все, что может в теории заполучить злоумышленник — это конечный продукт работы этой системы: собственно одноразовый код, который вы вводите. И даже этот код будет действителен буквально несколько десятков секунд.
Подробнее о том, как работают приложения-аутентификаторы, я уже рассказывала в — почитайте, если интересно узнать о стандартах аутентификации, информации, содержащейся в QR-кодах для подключения приложений, и о сервисах, несовместимых с наиболее распространенными аутентификаторами.
Насколько безопасна аутентификация кодом из приложения
Подытожим главные преимущества аутентификации с помощью одноразового кода из приложения.- Хорошо защищает от утечек: одного только пароля недостаточно для входа в аккаунт, нужен еще и одноразовый код.
- Неплохо защищает при перехвате этого самого одноразового кода. Поскольку код действует только 30 секунд, у злоумышленника остается не так-то много времени, чтобы им воспользоваться.
- Не позволяет восстановить секретный ключ из одноразового кода, так что даже если код перехватят, клонировать аутентификатор не получится.
- Не требует подключения к Интернету на устройстве, генерирующем одноразовые коды, — его можно держать полностью изолированным от Сети.
Утечки, взлом почты и обходные пути
Выше я сказала, что аутентификация с помощью одноразовых кодов из приложения отлично защищает от утечек паролей. И в идеальном мире это действительно так. К сожалению, живем мы не в нем, так что есть один важный нюанс. Связан он с тем, что сервисы, как правило, очень не хотят терять своих пользователей из-за такой досадной мелочи, как утрата аутентификатора (что может случиться с каждым). Поэтому на такой случай у них обычно предусмотрен альтернативный способ входа: очень часто это отправка одноразового кода или ссылки-подтверждения на электронную почту, к которой привязан аккаунт.Это значит, что если произошла утечка и, следовательно, злоумышленникам известны и пароль от аккаунта, и почта, к которой эта учетная запись привязана, то они могут попытаться воспользоваться таким альтернативным способом входа в учетную запись. И если ваша почта плохо защищена — а особенно если вы используете для нее тот же самый пароль и не включили двухфакторную аутентификацию, — то весьма вероятно, что у злоумышленников получится обойти ввод одноразового кода из приложения.
Что по этому поводу стоит делать?
- Следите за утечками и вовремя меняйте пароли в тех сервисах, которые протекли.
- Не используйте один и тот же пароль в разных сервисах. Особенно это важно для почты, к которой привязаны другие аккаунты.
- Некоторые сервисы позволяют отключить альтернативные способы входа. Для особенно ценных аккаунтов, возможно, стоит это сделать, но в таком случае не забудьте — впрочем, подробнее об этом поговорим ниже.
Физический доступ и подглядывание через плечо
Более очевидная неприятность: кто-нибудь может подсмотреть одноразовый код у вас через плечо, когда вы пользуетесь приложением-аутентификатором. Причем даже не один код, а несколько — ведь аутентификаторы часто отображают коды подряд. И, соответственно, войти в любой из тех аккаунтов, код от которых удастся подсмотреть. Конечно, у злоумышленника будет не так уж много времени, чтобы воспользоваться увиденным. Но все же лучше не рисковать, расторопному взломщику этих 30 секунд может и хватить…Ситуация поопаснее: если кому-то удастся наложить руки на разблокированный смартфон с аутентификатором, то этот кто-то вполне может войти в ваши аккаунты уже без особой спешки и проблем.
Как минимизировать такие риски?
- Используйте приложение-аутентификатор, которое по умолчанию скрывает коды на экране (таких ).
- Обязательно установите надежный пароль на разблокировку смартфона, в котором установлено приложение-аутентификатор, и автоматическую блокировку экрана после небольшого времени бездействия.
- Используйте приложение, в котором можно дополнительно установить пароль на вход (такие тоже бывают).
Фишинговые сайты
Большинство фишинговых сайтов — та их часть, которая рассчитана на массовые атаки, — устроены достаточно примитивно. Их создатели обычно довольствуются воровством логинов и паролей — с последующей их оптовой продажей где-нибудь в даркнете по принципу «два рубля пучок». От таких халтурщиков двухфакторная аутентификация, конечно же, прекрасно защищает: даже если кто-то заполучит ваши логин и пароль, без одноразового кода из приложения они будут совершенно бесполезны.Однако на более аккуратно и правдоподобно сделанных фишинговых сайтах, в частности тех, что рассчитаны на целевые атаки, фишеры могут имитировать и механизм проверки двухфакторной аутентификации. В этом случае они перехватят не только логин с паролем, но и одноразовый код. После этого злоумышленники быстренько залогинятся в аккаунт жертвы на настоящем сайте, а на фишинговой подделке выдадут, скажем, сообщение об ошибке и предложение попробовать войти еще раз.
К сожалению, несмотря на видимую простоту, фишинг остается крайне эффективным трюком преступников, и защититься от особо качественно сделанных образчиков может быть нелегко.
Общие советы тут такие:
- Не переходите по ссылкам из писем, особенно полученных с незнакомых и подозрительных адресов.
- Внимательно проверяйте адреса страниц, на которых вы собираетесь вводить данные своих учетных записей.
- Используйте надежное решение с автоматической защитой от фишинга.
