Чтобы разобраться, что такое двухфакторная аутентификация и как она обычно реализуется, следует выяснить, что такое аутентификация вообще. Если не усложнять, то аутентификация - это процесс, когда пользователь доказывает, что он - это именно тот, кем он представился.
Например, при входе в систему вы вводите свое имя пользователя и свой пароль и тем самым доказываете, что вы знаете секретный ключ, а значит подтверждаете, что вы это именно вы, а не посторонний человек. В этом случае знание пароля - это так называемый “фактор аутентификации”.
Но пароль может быть очень простым, и его легко подберет злоумышленник, или же он может просто находится на бумажке под клавиатурой (что, конечно же, неправильно). Ввод пароля позволит злоумышленнику доказать системе, что он знает пароль, а значит имеет право на использование этой системы.
Поэтому для того чтобы обезопасить систему от таких ситуаций, принято использовать одновременно два фактора аутентификации: например пароль и смарт-карту. В таком случае вторым фактором аутентификации будет именно факт обладания смарт-картой. Система проверит пароль и смарт-карту, и если все правильно, пустит вас в систему.
Достаточно часто двухфакторная аутентификация применяется для электронной подписи. Цифровая подпись под документом обычно бывает аналогичной собственноручной подписи на бумажном документе, поэтому очень важно, чтобы вашу электронную подпись не могли поставить злоумышленники вместо вас.
Чаще всего, для того чтобы обезопасить свою электронную подпись, ее записывают (точнее, сертификат электронной подписи) на токен. Токен - это специальное устройство, которое часто используют для хранения сертификатов электронной подписи. Ваша электронная подпись на токене защищена паролем, поэтому даже в случае кражи злоумышленники не смогут ею воспользоваться. В этом случае первым фактором аутентификации будет являться факт обладания токеном, а вторым - знание пароля для доступа к электронной подписи на токене.
Для хранения сертификатов электронной подписи мы рекомендуем следующие модели токенов:
Часто в организациях на компьютерах хранятся очень важные данные, которые могут составлять коммерческую тайну, за которой, конечно же, могут охотиться конкуренты и другие злоумышленники. И использования обычных паролей недостаточно для того, чтобы гарантировать безопасность информации.
Для того чтобы защитить данные на компьютерах своих сотрудников, используется два подхода к аутентификации:
В рамках этого подхода, на компьютер устанавливают программный продукт, который начинает требовать при входе в систему токен, а также следит за тем, чтобы токен был вставлен все время работы. Если вытащить токен, то компьютер сразу же заблокируется.
Этот способ хорошо использовать там, где помещение защищено и никто не сможет физически украсть компьютер или его жесткий диск.
Существует также способ зашифровать все данные на компьютере и в момент загрузки компьютера требовать у пользователя ввести пароль и вставить токен. Если пароль неверный или токен неправильный, то данные просто не расшифруются, и даже в случае кражи злоумышленник не сможет воспользоваться информацией с компьютера.
В основе двухфакторной аутентификации лежит использование не только традиционной связки «логин-пароль», но и дополнительного уровня защиты - так называемого второго фактора, обладание которым нужно подтвердить для получения доступа к учётной записи или другим данным.
Простейший пример двухфакторной аутентификации, с которым постоянно сталкивается каждый из нас, - это снятие наличных через банкомат. Чтобы получить деньги, нужна карта, которая есть только у вас, и PIN-код, который знаете только вы. Заполучив вашу карту, злоумышленник не сможет снять наличность не зная PIN-кода и точно так же не сможет получить деньги зная его, но не имея карты.
По такому же принципу двухфакторной аутентификации осуществляется доступ к вашим аккаунтам в соцсетях, к почте и другим сервисам. Первым фактором является комбинация логина и пароля, а в роли второго могут выступать следующие 5 вещей.
Подтверждение с помощью SMS-кодов работает очень просто. Вы, как обычно, вводите свой логин и пароль, после чего на ваш номер телефона приходит SMS с кодом, который нужно ввести для входа в аккаунт. Это всё. При следующем входе отправляется уже другой SMS-код, действительный лишь для текущей сессии.
Преимущества
Недостатки
authy.comЭтот вариант во многом похож на предыдущий, с тем лишь отличием, что, вместо получения кодов по SMS, они генерируются на устройстве с помощью специального приложения (Google Authenticator , Authy). Во время настройки вы получаете первичный ключ (чаще всего - в виде QR-кода), на основе которого с помощью криптографических алгоритмов генерируются одноразовые пароли со сроком действия от 30 до 60 секунд. Даже если предположить, что злоумышленники смогут перехватить 10, 100 или даже 1 000 паролей, предугадать с их помощью, каким будет следующий пароль, просто невозможно.
Преимущества
Недостатки
Данный тип аутентификации можно назвать сборной солянкой из всех предыдущих. В этом случае, вместо запроса кодов или одноразовых паролей, вы должны подтвердить вход с вашего мобильного устройства с установленным приложением сервиса. На устройстве хранится приватный ключ, который проверяется при каждом входе. Это работает в Twitter, Snapchat и различных онлайн-играх. Например, при входе в ваш Twitter-аккаунт в веб-версии вы вводите логин и пароль, потом на смартфон приходит уведомление с запросом о входе, после подтверждения которого в браузере открывается ваша лента.
Преимущества
Недостатки
yubico.com
Физические (или аппаратные) токены являются самым надёжным способом двухфакторной аутентификации. Будучи отдельными устройствами, аппаратные токены, в отличие от всех перечисленных выше способов, ни при каком раскладе не утратят своей двухфакторной составляющей. Чаще всего они представлены в виде USB-брелоков с собственным процессором, генерирующим криптографические ключи, которые автоматически вводятся при подключении к компьютеру. Выбор ключа зависит от конкретного сервиса. Google, например, рекомендует использовать токены стандарта FIDO U2F, цены на которые начинаются от 6 долларов без учёта доставки.
Преимущества
Недостатки
По сути, это не отдельный способ, а запасной вариант на случай утери или кражи смартфона, на который приходят одноразовые пароли или коды подтверждения. При настройке двухфакторной аутентификации в каждом сервисе вам дают несколько резервных ключей для использования в экстренных ситуациях. С их помощью можно войти в ваш аккаунт, отвязать настроенные устройства и добавить новые. Эти ключи стоит хранить в надёжном месте, а не в виде скриншота на смартфоне или текстового файла на компьютере.
Как видите, в использовании двухфакторной аутентификации есть некоторые нюансы, но сложными они кажутся лишь на первый взгляд. Каким должно быть идеальное соотношение защиты и удобства, каждый решает для себя сам. Но в любом случае все заморочки оправдываются с лихвой, когда дело заходит о безопасности платёжных данных или личной информации, не предназначенной для чужих глаз.
Где можно и нужно включить двухфакторную аутентификацию, а также о том, какие сервисы её поддерживают, можно прочесть .
Для защиты своих личных данных в современном мире Вам, возможно, придётся позаботиться о повышении уровня защиты своего цифрового пространства при помощи двухфакторной аутентификации.
В жизнь современного человека всё плотнее интегрируются различные онлайн-технологии. Большинство из нас уже не представляют себя без социальных сетей, смартфона и Интернета вообще. Мы ежедневно оставляем во Всемирной паутине целую кучу цифровых следов и личных данных. При этом большинство пользователей даже не задумывается над тем, что будет, если в один день они потеряют доступ к своему "цифровому миру", который окажется в руках злоумышленников...
Кто-то скажет, что их скромная персона вряд ли заинтересует хакеров. Однако, на "чёрном рынке" продаются даже аккаунты от самых захудалых соцсетей. Что уж говорить, скажем, о Вашей учётной записи Google, которая содержит всю почтовую переписку, данные с телефона и, возможно, привязку к банковским картам?
Самое печальное то, что многие полагаются на "авось" и используют довольно простые пароли доступа к любым серьёзным аккаунтам. А, между прочим, существуют целые специальные словари, содержащие тысячи популярных паролей, вроде "1234qwerty" и им подобных, которые позволяют взломать Вас в считанные минуты! Поэтому обычная парольная защита уже не является надёжной. Настало время для использования двухфакторной аутентификации!
В различных фантастических фильмах Голливуда мы можем видеть как главный герой (или злодей) для доступа к секретным данным сначала вводит кучу паролей, потом прикладывает специальную идентификационную карту к считывающему устройству, а в довершение всего ещё и смотрит в глазок, где лазер считывает рисунок сетчатки его глаза. Но это уже давно не фантастика, а так называемая многофакторная аутентификация .
Традиционная модель многофакторной аутентификации подразумевает наличие трёх основных факторов (при этом каждый из них может дублироваться для повышения уровня защиты):
Фактически многофакторная аутентификация на самом деле является трёхфакторной. Соответственно, двухэтапная верификация пользователя подразумевает отбрасывание одного из факторов. Как правило, это фактор свойства, для подтверждения которого требуется специальное биометрическое оборудование. Двухфакторная же аутентификация не требует особых вложений, но позволяет существенно повысить уровень безопасности!
На сегодняшний день в Интернете наиболее распространённым видом двухфакторной аутентификации является привязка аккаунта к телефону пользователя. В общем случае мы традиционно вводим логин с паролем, после чего нам на телефон при помощи SMS или PUSH-сообщения приходит специальный одноразовый пин-код, который мы вводим в специальной форме для доступа к нужному нам сайту. Как вариант, вместо сообщения Вам может поступить звонок от робота, который попросит нажать ту или иную цифру на клавиатуре телефона.
Реже встречается авторизация с использованием USB-токенов (например, в современных бухгалтерских сервисах). Такой токен содержит в себе зашифрованный ключ, соответствующий паролю, который известен пользователю. При авторизации нужно подключить токен к USB-порту компьютера, а затем ввести в специальном поле пароль. Если он совпадёт с тем, который зашифрован на токене, произойдёт авторизация.
Однако, токены стоят денег и требуют периодического обновления ключей, которое тоже не всегда бесплатно. Поэтому наиболее общедоступным способом двухфакторной верификации всё же остаётся проверка по телефону. И вот о ней мы поговорим более подробно.
Windows 10 является современной операционной системой, соответственно, она по определению должна содержать в себе и современные средства защиты. Одним из таковых является как раз механизм двухфакторной верификации пользователя. Данная функция в некоторых версиях системы то появлялась, то вновь исчезала, проходя ряд доработок, поэтому, если Вы хотите воспользоваться ею, обязательно убедитесь в том, что у Вас стоят все обновления (особенно патч KB3216755 , который исправил работу аутентификации в Anniversary Update).
Также для работы двухэтапной верификации Вам потребуется иметь учётную запись зарегистрированную в Microsoft. То есть, с локальной "учёткой", увы, ничего не получится...
Теперь нужно подготовить к процедуре свой телефон. На него нужно установить специальное приложение, которое будет принимать сигналы верификации входа в учётную запись Windows и подтверждать их. Для смартфонов на базе Android можно выбрать официальную программу Microsoft Authenticator , а для девайсов на iOS подойдёт унифицированное решение Google Authenticator (оно же для Android).
После всех предварительных настроек нужно войти в свою учётную запись Microsoft и настроить её на двухфакторный вход. Проще всего это сделать, вызвав в оснастке "Параметры" раздел "Учётные записи" . На первой вкладке "Электронная почта и учётные записи" нажмите ссылку "Управление учётной записью Microsoft" , после чего Вас должно перенаправить на страницу входа в аккаунт Microsoft.
Откроется страница с настройками, среди которых нужно найти группу "Двухшаговая проверка" и в ней нажать на ссылку "Настройка двухшаговой проверки" :
Перед Вами появится пошаговый мастер настройки двухфакторной аутентификации, следуя подсказкам которого, Вы сможете активировать двухэтапную верификацию пользователя при входе в Windows:
После Windows на втором месте по популярности среди современных пользователей идёт Android. А большинство Андроид-устройств, как мы знаем, "привязаны" к аккаунту Google. Его тоже не помешает дополнительно защитить. Тем более, что функция двухфакторной аутентификации для его учётных записей работает уже довольно давно и успешно.
Чтобы получить доступ к настройкам двухэтапной верификации, Вам нужно войти в свой аккаунт Google, перейти на специальную страницу и нажать кнопку "Начать" :
Вас могут попросить повторно ввести пароль от Вашей учётной записи для подтверждения входа в настройки. После этого откроется пошаговый мастер, который поможет Вам задать нужные параметры для двухэтапной верификации входа в аккаунт:
Всё, что Вам потребуется сделать - ввести номер своего телефона (он, скорее всего, уже "привязан" к Вашему аккаунту), получить на него SMS с одноразовым кодом проверки, после чего ввести код в специальное поле и активировать процедуру для всех последующих авторизаций.
Однако, вход с помощью телефона - не единственный метод двухфакторной аутентификации, который предлагает Google. Если у Вас есть токен стандарта FIDO Universal 2nd Factor (U2F), Вы также можете настроить вход в свой аккаунт с его помощью. Подробнее о том как это сделать написано . Ну и, естественно, получать коды верификации Вы можете не только в виде SMS, но и PUSH-сообщений в уже упомянутом нами выше приложении Google Authenticator.
Следуя всеобщим тенденциям, о двухфактороной аутентификации позаботились и разработчики некоторых крупных социальных сетей.
Facebook, будучи одной из самых популярных соцсетей на Западе, как и Google, уже давно предлагает своим пользователям функцию двухэтапной верификации входа в аккаунт. Причём коды доступа можно получать как через SMS, так и в универсальных приложениях авторизации. Из них поддерживается Google Authenticator и Duo Mobile .
Включить двухфакторную аутентификацию в Facebook можно, пройдя в раздел настроек
Это утверждение имеет смысл и относится, прежде всего, к компаниям финансового сектора, как, впрочем, и ряду компаний, выполняющих научно-исследовательские, опытно-конструкторские и технологические работы (НИОКР) в высокотехнологичных секторах рынка.
Применяя данный тип 2FA пользователь вводит на первом уровне аутентификации персональный пароль. На следующем этапе он должен ввести маркер ОТР, обычно отправляемый с помощью SMS на его мобильное устройство. Идея способа понятна. ОТР будет доступен только тому, кто, как предполагается в теории, ввел недоступный постороннему пароль.
Однако, увы, отправлять OTP в SMS, вообще говоря, небезопасно, так как часто сообщения отправляются открытым текстом. Даже начинающие хакеры могут прочесть подобные текстовые сообщения, ведь фактически все, что им нужно - целевой номер телефона.
Кроме того, многофакторная аутентификация не в состоянии предотвратить атаки класса MitM, которые часто используются в ходе фишинговых компаний с помощью электронной почты. В случае успеха атаки пользователь перейдет по мошеннической ссылке и попадет на сайт, похожий на онлайн-портал банка. Там пользователь введет информацию о входе в систему и другие конфиденциальные данные, которые будут использоваться злоумышленником чтобы получить доступ к реальному сайту.
И хотя данная атака будет возможна для осуществления только ограниченный период времени, она все же возможна.
В начале 2014 года Федеральная служба по техническому и экспортному контролю (ФСТЭК) утвердила методический документ о мерах защиты информации в государственных информационных системах. Документ прояснил многие аспекты, касающихся организационных и технических мер защиты информации, принимаемых в государственных информационных системах, в соответствии с утверждённым приказом ФСТЭК России от 11 февраля 2013 г. No17.
ФСТЭК настоятельно рекомендует полностью отказаться от привычной аутентификации на основе статических паролей для всех пользователей без исключения и перейти к более надежной многофакторной аутентификации. Обязательными требованиями для многофакторной аутентификации является использование аппаратных аутентификаторов и механизма одноразовых паролей при удаленном и локальном доступе.
Методика аутентификации при помощи SMS основана на использовании одноразового пароля: преимущество такого подхода, по сравнению с постоянным паролем в том, что этот пароль нельзя использовать повторно. Даже если предположить, что злоумышленнику удалось перехватить данные в процессе информационного обмена, он не сможет результативно использовать украденный пароль для получения доступа к системе.
А вот пример, реализуемый с применением биометрических устройств и методов аутентификации: использование сканера отпечатка пальца, который имеется в ряде моделей ноутбуков. При входе в систему пользователь должен пройти процедуру сканирования пальца, а затем подтвердить свои полномочия паролем. Успешно завершенная аутентификация даст ему право на использование локальных данных конкретного ПК. Тем не менее, регламентом работы в ИС может быть предусмотрена отдельная процедура аутентификации для доступа к сетевым ресурсам компании, которая помимо ввода другого пароля может включать в себя целый ряд требований к представлению аутентификаторов субъекта. Но даже при такой реализации, защищенность системы, несомненно, усиливается.
Аналогичным образом могут быть использованы и другие биометрические аутентификаторы :
При этом конечно применяется соответствующее оборудование и программное обеспечение, а затраты на его приобретение и поддержку могут отличаться в разы.
Однако, стоит понимать – биометрические аутентификаторы не являются абсолютно точными данными. Отпечатки одного пальца могут иметь отличия под воздействием внешней среды, физиологического состояния организма человека и т.п. Для успешного подтверждения этого аутентификатора достаточно неполного соответствия отпечатка эталону. Методы биометрической аутентификации содержат определение степени вероятности соответствия действующего аутентификатора эталону. Что касается биометрической аутентификации и удаленного доступа к ИС, то пока у современных технологий нет возможности передать по незащищенным каналам достоверные данные - отпечаток пальца или результат сканирования сетчатки глаза.
Эти технологии в большей степени годятся для использования в корпоративных сетях.
Наиболее популярной технологией в этом направлении в недалеком будущем может стать голосовая аутентификация и признаки тому очевидны. Значительное количество разработок в этой сфере имеется уже сегодня, проекты внедрения подобных механизмов управления/контроля нашли место в ряде крупных банков РФ. В качестве примера практического применения систем голосовой биометрической аутентификации, можно указать аутентификацию по ключевой фразе, применяемую в ряде колл-центров, аудио-пароли для доступа к системам интернет-банкинга и т.п., подтверждение действий персонала при осуществлении важных операций доступа к информации, контроль физического доступа и присутствия в помещении.
Помимо технологий, связанных с использованием биометрических аутентификаторов, имеются также программно-аппаратные решения, такие как автономные ключи для генерации одноразовых паролей, считыватели RFID -меток, криптокалькуляторы, программные и аппаратные жетоны (токены), электронные ключи различных типов – Touch Memory и ключ/смарт-карта, а также биометрические идентификационные карты. Все перечисленные в рамках статьи системы и методы многофакторной аутентификации, а помимо них еще и системы контроля и управления доступом (СКУД) могут интегрироваться, комбинироваться, отрабатываться поочерёдно и в комплексе. Отсюда можно сделать вывод: на рынке России существует достаточное количество предложений для усиления защиты информационных систем, как от внутренних, так и внешних вторжений. У компаний имеется возможность выбора, ограничиваемая лишь размером бюджета.
Методам защиты, основанным на методиках многофакторной аутентификации, сегодня доверяет большое число зарубежных компаний, среди которых организации хай-тека, финансового и страхового секторов рынка, крупные банковские учреждения и предприятия госсектора, независимые экспертные организации, исследовательские фирмы.
При этом, частные компании и организации в мире, в целом, не очень охотно распространяются о внедрении у себя технологических новинок в сфере безопасности и защиты информации , по вполне понятным причинам. Гораздо больше известно о проектах в государственном секторе – с 2006 года публично известны успешно реализованные технологические решения в государственных учреждениях Канады, Саудовской Аравии, Испании , Дании и ряда других стран.
11 февраля 2019 года стало известно, что житель Калифорнии Джей Бродски (Jay Brodsky) подал в суд на компанию Apple за «незаконное» включение двухфакторной аутентификации . Бродски жалуется на то, что двухфакторная аутентификация существенно усложняет жизнь пользователям, поскольку от них требуется не только помнить пароль, но еще и иметь доступ к доверенному телефону или телефонному номеру. Подробнее .
В документе содержится прямое указание на то, что использование SMS -сообщений для двухфакторной аутентификации может являться «недопустимым» и «небезопасным» (секция документа 5.1.3.2).
Полностью данный параграф выглядит так: «Если верификация по внешнему каналу осуществляется посредством SMS-сообщения в публичной сети мобильной телефонной связи, верификатор должен убедиться, что используемый предварительно зарегистрированный телефонный номер действительно ассоциируется с мобильной сетью, а не с VoIP или иным программным сервисом. После возможна отправка SMS-сообщения на предварительно зарегистрированный телефонный номер. Изменение предварительно зарегистрированного телефонного номера не должно быть возможно без двухфакторной аутентификации в ходе изменения. Использование SMS-сообщений в аутентификации по внешнему каналу недопустимо, и не будет дозволяться в будущих версиях данного руководства».
Основные опасения экспертов Национального института стандартов и технологий сводятся к тому, что номер телефона может быть привязан к VoIP -сервису, кроме того, злоумышленники могут попробовать убедить поставщика услуг в том, что номер телефона изменился, и подобные уловки нужно сделать невозможными.
Хотя документ рекомендует производителям использовать в своих приложениях токены и криптографические идентификаторы, авторы поправок также отмечают, что смартфон или другое мобильное устройство всегда могут быть украдены, или могут временно находиться в руках другого человека" - говорится в документе NIST.
Механизмов компрометации SMS паролей существует достаточно много, и они уже были неоднократно использованы в основном для похищения денежных средств клиентов российских банков. Достаточно перечислить лишь несколько методов взлома SMS паролей:
То обстоятельство, что механизм SMS-паролей используется всеми банками, открывает для хакеров широкие перспективы. Очевидно, что написав один раз троян для смартфона , его можно использовать для атаки на все российские банки, при его (трояна) минимальной кастомизации.
При этом можно предсказать, что первыми "под раздачу" будут попадать крупные банки – большая клиентская база последних позволяет мошенникам рассчитывать на весомый результат даже при небольших остатках на счетах клиентов.
Одноразовые пароли через SMS
Одноразовые пароли через PUSH
Ученые из Амстердамского свободного университета Радхеш Кришнан Конот (Radhesh Krishnan Konoth), Виктор ван дер Вен (Victor van der Veen) и Герберт Бос (Herbert Bos) продемонстрировали практическую атаку на двухфакторную аутентификацию с использованием мобильного устройства. Исследователи продемонстрировали атаку «Человек в браузере» (Man-in-the-Browser) против смартфонов на базе Android и iOS .
Проблема с двухфакторной аутентификацией возникла из-за увеличения популярности смартфонов и желания владельцев синхронизировать данные между различными девайсами. Двухфакторная аутентификация полагается на принцип физического разделения устройств для защиты от вредоносного ПО. Однако синхронизация данных делает подобную сегментацию абсолютно бесполезной.
Исследователи продемонстрировали атаку с использованием установки уязвимого приложения через Google Play . Им удалось успешно обойти проверку Google Bouncer и активировать приложение для перехвата одноразовых паролей.
Для атаки на iOS исследователи использовали новую возможность OS X под названием Continuity, позволяющую синхронизировать SMS -сообщения между iPhone и Mac. Если этот функционал активирован, злоумышленнику достаточно иметь доступ к компьютеру, чтобы прочитать все SMS сообщения.
Согласно исследователям, приложение для хищения одноразовых паролей было добавлено в Google Play 8 июля 2015 года и оставалось доступно для пользователей в течение двух месяцев, до выхода видео с демонстрацией атаки.
Два фактора авторизации в системе «Яндекса» следующие: информация о принадлежности устройства конкретному пользователю, которая хранится на серверах «Яндекса», и знание пользователем своего четырехзначного пина (или его отпечаток пальца), пояснили в компании.
Каждый раз при вводе пин-кода (или при срабатывании Touch ID) в приложении генерируется уникальный одноразовый код, который действует 30 секунд. При этом часть кода генерируется из пин-кода, который знают только пользователь и «Яндекс», и часть - из данных приложения. В одноразовом коде зашифрованы оба «секрета». «Таким образом, исключается вариант, когда один из факторов был скомпрометирован и злоумышленник подбирает данные второго фактора», - добавили в «Яндексе».
Если считать QR-код не получается, например, не работает камера смартфона или нет доступа к интернету приложение «Яндекс.Ключ» создаст одноразовый пароль из символов. Он также будет действовать в течение только 30 секунд.
После перехода на двухфакторную аутентификацию существующий пароль пользователя перестанет работать на всех установленных программах, использующих логин и пароль «Яндекса», включая «Яндекс.Диск», почтовые программы, настроенные на сбор почты из «Яндекс.Почты», синхронизацию в «Яндекс.Браузере», предупредили в компании. Для каждого приложения будет необходим свой новый пароль - он будет создан в «Яндекс.Паспорте», в настройке «Пароли приложений». Его необходимо будет ввести один раз в каждом приложении.
Цель аутентификации - максимально затруднить использование чужих (украденных, подобранных) учетных данных. Этот процесс должен быть простым для легального пользователя, а придумывание и запоминание стойких паролей длиной не менее nn символов и включением в них спецсимволов, цифр с высокой вероятностью раздражает пользователей .
В компании может быть несколько различных информационных систем, источников ресурсов, требующих аутентификации:
И поскольку перед пользователем стоит задача - соответствовать требованиям политики безопасности по сложности и уникальности паролей, ее решение представляет определенные трудности для исполнения пользователем, а в технологическом плане - это разрозненные системы аутентификации, не связанные между собой, не гибкие, требующие большого объема ресурсов для поддержки. Все вкупе ведет к дополнительным расходам и «неповоротливости» компании при внесении изменений в способах аутентификации.
Разрешить вопросы и помочь в решении стоящих задач может сервер аутентификации - единый центр администрирования всех процессов проверки подлинности сразу для всех приложений/сервисов/ресурсов. Промышленные серверы такого типа поддерживают целый набор методов аутентификации. Как правило, это OATH HOTP, TOTP, OCRA, PKI-сертификаты, RADIUS, LDAP , обычный пароль, SMS , CAP/DPA и другие. Каждый ресурс, использующий сервер аутентификации, может использовать метод, который требуется именно ему.
С использованием серверов аутентификации ИТ-администраторы получают единый интерфейс управления учетными данными пользователей, гибкие возможности по смене методов проверки подлинности. Бизнес получает надежную защиту доступа к сервисам и ресурсам в виде двухфакторной аутентификации, что повышает лояльность пользователей, как внутренних, так и внешних.
Добавление второго фактора для проверки подлинности, при действующем сервере аутентификации, не потребует от компании создания новых программно-технических средств и закупки новых токенов.
В качестве примера: банк А проверял подлинность владельцев дебетовых или кредитных карт в клиент-банке по сертификатам на USB -токенах. Его платежные карты были исключительно с магнитной полосой, но в какой-то момент банк наладил выпуск карт с EMV-чипом, который, по сути, является микрокомпьютером. Карту с EMV-чипом можно использовать для аутентификации по алгоритму Master Card Chip Authentication Program (CAP). То есть теперь банк А может отказаться от применения для каждого пользователя дорогостоящих PKI-токенов и сменить этот метод аутентификации на CAP, для которого требуется только недорогой криптокалькулятор. Через некоторое время банк А начинает выпуск платежных карт с дисплеем и реализованным алгоритмом OATH TOTP и для того, чтобы избавить пользователя от использования дополнительного криптокалькулятора, настраивает аутентификацию TOTP для клиент-банка. Следует понимать, что помимо дистанционного банковского обслуживания в банке А есть множество других сервисов, как внутренних, так и предназначенных для клиентов или партнеров, требующих аутентификации. Для каждого приложения служба информационной безопасности может выдвинуть свои требования по необходимым методам проверки подлинности пользователей. Вся аутентификация банка А может производиться на сервере аутентификации. Нет никакой необходимости заниматься разработками для каждого приложения отдельно.
Такая гибкость и легкость добавления новых методов проверки подлинности недостижима без сервера аутентификации. Сокращение времени на эти задачи столь значительно, что позволяет говорить о быстроте ввода продукта в эксплуатацию как о конкурентном преимуществе.
Доступность строгой аутентификации в виде специализированного программного обеспечения позволяет добавлять многофакторность приложениям, прежде не обладающим таким функционалом, без комплексных доработок. Практически все информационные системы, сервисы, приложения, не поддерживающие строгую аутентификацию «из коробки», могут использовать возможности сервера аутентификации для доступа пользователей.
Windows , OS X, Linux и Chrome OS. Для работы с USB-ключом необходимо использовать браузер Google Chrome версии 38 и выше.
Использование USB-ключей полностью бесплатно, однако пользователи должны приобретать их за свой счет. Ключи отличаются дизайном. Самая дорогая модель за $60 оснащена технологией Java Card.
Двухфакторную аутентификацию с отсылкой SMS -сообщения с кодом подтверждения Google запустила в 2011 г. В январе 2013 г. корпорация сообщила, что планирует разработать и предложить физические средства подтверждения личности. В частности, именно тогда речь зашла о доступе к сервисам Google с помощью USB-ключей.
Лишь 34% опрошенных уверены, что сотрудники в состоянии сделать все необходимое для защиты компании от компьютерных угроз.
Внимание. Приложения, разработанные в Яндексе, требуют именно одноразового пароля - даже правильно созданные пароли приложений не подойдут.
Вы можете ввести одноразовый пароль в любой форме авторизации на Яндексе или в разработанных Яндексом приложениях.
Примечание.
Одноразовый пароль нужно успеть ввести, пока он отображается в приложении. Если до обновления осталось слишком мало времени, просто дождитесь нового пароля.
Чтобы получить одноразовый пароль, запустите Яндекс.Ключ и введите пин-код, который вы задали при настройке двухфакторной аутентификации. Приложение начнет генерировать пароли раз в 30 секунд.
Яндекс.Ключ не проверяет введенный вами пин-код и генерирует одноразовые пароли, даже если вы ввели свой пин-код неправильно. В этом случае созданные пароли также оказываются некорректными и авторизоваться с ними не получится. Чтобы ввести правильный пин-код, достаточно выйти из приложения и запустить его снова.
Особенности одноразовых паролей:
Некоторые сервисы (например, главная страница Яндекса, Паспорт и Почта) позволяют войти на Яндекс, просто наведя камеру на QR-код. При этом ваше мобильное устройство должно быть подключено к интернету, чтобы Яндекс.Ключ мог связаться с сервером авторизации.
Нажмите на иконку QR-кода в браузере.
Если такой иконки в форме входа нет, значит на данном сервисе можно авторизоваться только с помощью пароля. В этом случае вы можете авторизоваться с помощью QR-кода в Паспорте , а затем перейти к нужному сервису.
Введите пин-код в Яндекс.Ключе и нажмите Войти по QR-коду .
Наведите камеру вашего устройства на QR-код, отображенный в браузере.
Яндекс.Ключ распознает QR-код и передаст в Яндекс.Паспорт ваш логин и одноразовый пароль. Если они пройдут проверку, вы автоматически авторизуетесь в браузере. Если переданный пароль окажется неверным (например, из-за того, что вы неправильно ввели пин-код в Яндекс.Ключе), браузер покажет стандартное сообщение о неправильном пароле.
Приложения или сайты, которым нужен доступ к вашим данным на Яндексе, иногда требуют ввести пароль, чтобы войти в аккаунт. В таких случаях одноразовые пароли не сработают - для каждого такого приложения необходимо создать отдельный пароль приложения .
Внимание. В приложениях и сервисах Яндекса работают только одноразовые пароли. Даже если вы создадите пароль приложения, например, для Яндекс.Диска, авторизоваться с ним не получится.
Вы можете перенести генерацию одноразовых паролей на другое устройство, или настроить Яндекс.Ключ на нескольких устройствах одновременно. Для этого откройте страницу Управление доступом и нажмите кнопку Замена устройства .
Один и тот же Яндекс.Ключ можно использовать для нескольких аккаунтов с одноразовыми паролями. Чтобы добавить в приложение еще один аккаунт, при настройке одноразовых паролей на шаге 3 нажмите в приложении значок . Кроме того, вы можете добавить в Яндекс.Ключ генерацию паролей для других сервисов, поддерживающих такую двухфакторную аутентификацию. Инструкции для самых популярных сервисов приведены на странице о создании кодов проверки не для Яндекса .
Чтобы удалить привязку аккаунта к Яндекс.Ключу, нажмите и удерживайте соответствующий портрет в приложении, пока справа от него не появится крестик. Когда вы нажмете на крестик, привязка аккаунта к Яндекс.Ключу будет удалена.
Внимание. Если вы удалите аккаунт, для которого включены одноразовые пароли, вы не сможете получить одноразовый пароль для входа на Яндекс. В этом случае будет необходимо восстанавливать доступ .
Отпечаток пальца вместо пин-кода можно использовать на следующих устройствах:
смартфоны под управлением Android 6.0 и сканером отпечатков пальца;
iPhone, начиная с модели 5s;
iPad, начиная с модели Air 2.
Примечание.
На смартфонах и планшетах с iOS отпечаток пальца можно обойти, введя пароль устройства. Чтобы защититься от этого, включите мастер-пароль или измените пароль на более сложный: откройте приложение Настройки и выберите пункт Touch ID и пароль .
Чтобы воспользоваться включить проверку отпечатка:
Чтобы дополнительно защитить ваши одноразовые пароли, создайте мастер-пароль: → Мастер-пароль .
С помощью мастер-пароля вы можете:
сделать так, чтобы вместо отпечатка можно было ввести только мастер-пароль Яндекс.Ключа, а не код блокировки устройства;
Вы можете создать резервную копию данных Ключа на сервере Яндекса, чтобы иметь возможность восстановить их, если вы потеряли телефон или планшет с приложением. На сервер копируются данные всех аккаунтов, добавленных в Ключ на момент создания копии. Больше одной резервной копии создать нельзя, каждая следующая копия данных для определенного номера телефона замещает предыдущую.
Чтобы получить данные из резервной копии, нужно:
иметь доступ к номеру телефона, который вы указали при ее создании;
помнить пароль, который вы задали для шифрования резервной копии.
Внимание. Резервная копия содержит только логины и секреты, необходимые для генерации одноразовых паролей. Пин-код, который вы задали, когда включали одноразовые пароли на Яндексе, необходимо помнить.
Удалить резервную копию с сервера Яндекса пока невозможно. Она будет удалена автоматически, если вы ей не воспользуетесь в течение года после создания.
Выберите пункт Создать резервную копию в настройках приложения.
Введите номер телефона, к которому будет привязана резервная копия (например, «380123456789» ), и нажмите кнопку Далее .
Яндекс отправит код подтверждения на введенный номер телефона. Как только вы получите код, введите его в приложении.
Придумайте пароль, которым будет зашифрована резервная копия ваших данных. Этот пароль нельзя восстановить, поэтому убедитесь в том, что вы не забудете или не потеряете его.
Введите придуманный пароль два раза и нажмите кнопку Готово . Яндекс.Ключ зашифрует резервную копию, отправит ее на сервер Яндекса и сообщит об этом.
Выберите пункт Восстановить из резервной копии в настройках приложения.
Введите номер телефона, который вы использовали при создании резервной копии (например, «380123456789» ), и нажмите кнопку Далее .
Если для указанного номера найдена резервная копия данных Ключа, Яндекс отправит код подтверждения на этот номер телефона. Как только вы получите код, введите его в приложении.
Убедитесь, что дата и время создания резервной копии, а также имя устройства, соответствует той резервной копии, которую вы хотите использовать. Затем нажмите кнопку Восстановить .
Введите пароль, который вы задали при создании резервной копии. Если вы не помните его, к сожалению, расшифровать резервную копию будет невозможно.
Яндекс.Ключ расшифрует данные резервной копии и сообщит о том, что данные восстановлены.
При генерации одноразовых паролей Яндекс.Ключ учитывает текущее время и часовой пояс, установленные на устройстве. Когда доступно интернет-соединение, Ключ также запрашивает точное время с сервера: если на устройстве время выставлено неверно, приложение сделает поправку на это. Но в некоторых ситуациях даже после поправки и при корректном пин-коде одноразовый пароль будет неправильным.
Если вы уверены, что вводите пин-код и пароль верно, но авторизоваться не получается:
Убедитесь, что на вашем устройстве установлено корректное время и часовой пояс. После этого попробуйте войти с новым одноразовым паролем.
Подключите устройство к интернету, чтобы Яндекс.Ключ мог получить точное время самостоятельно. Затем перезапустите приложение и попробуйте ввести новый одноразовый пароль.
Если проблема не разрешилась, обратитесь в службу поддержки через форму ниже.
Оставить отзыв о двухфакторной аутентификации
