Содержание
В моей последней статье, Я говорил о необходимости использовать двухфакторную аутентификацию в качестве дополнительного шага безопасности для защиты ваших сетевых учетных записей. Поскольку я часто получаю вопросы от людей относительно того, что они считают «действительно технической темой», я решил написать руководство по этому вопросу. Как вы увидите, на самом деле его не так сложно настроить и использовать.
Двухфакторная аутентификация (2FA) также проходит под двумя другими именами — Двухэтапная аутентификация а также Многофакторная аутентификация. Но независимо от того, под каким именем он работает, все работает одинаково, и вы ДОЛЖНЫ использовать его, если его поддерживает веб-сайт. Это будет означать разницу между взломом и не взломом.
Что такое 2FA Как это работает?
Давайте начнем с того, что это такое и теории, стоящей за этим.
2FA — это второй уровень безопасности для ваших учетных записей в Интернете (если вы считаете свой обычный пароль первым уровнем). Это код, который необходимо ввести на соответствующем веб-сайте — после вашего пароля — чтобы доказать, что вы законный владелец аккаунта, а не какой-то прыщавый хакер-подросток в своей спальне, ищущий эротических селфи в вашей электронной почте.
Есть три способа получения кода 2FA в порядке прочности (самый сильный, на мой взгляд, первый).
1. Приложение для аутентификации
Приложение для проверки подлинности — это бесплатное приложение для вашего смартфона, которое автоматически генерирует новые коды 2FA каждые 30 секунд или около того. Необходимо предварительно настроить все между службой веб-сайта и приложением для проверки подлинности и ввести правильный номер, отображаемый на экране средства проверки подлинности. Некоторые веб-сайты блокируют вас на определенный период времени, если вы неправильно введете код 2FA, скажем, три раза подряд.
Самое большое и лучшее приложение для аутентификации Google Authenticator. Доступны для Android а также IOS, это просто установить и использовать. Его ближайший конкурент Authy, и еще один, который постоянно набирает восторженные отзывы FreeOTP, который любим за то, что он с открытым исходным кодом, и, следовательно, код открыт для проверки. Есть приложение под названием Ключ, но он закрывается 6 июня 2017 года, так что прекратите его использовать.
Ненавижу звучать скучно, но я начал с Google Authenticator, и он никогда меня не подводил. Так что они никогда не давали мне повода для перехода. Я склонен оставаться преданным продукту, если только у меня нет причин не быть верным. Поэтому я очень рекомендую вам Google Authenticator.
Загрузите его прямо сейчас (ссылки для скачивания выше), а позже я покажу вам, как настроить 2FA на некоторых крупных веб-сайтах.
2. СМС коды
Как я уже говорил в моей статье в прошлый раз, если хакер знает ваш номер мобильного телефона и компанию, с которой вы работаете, он может клонировать ваш телефон или социальный инженер компании, чтобы перенаправить на него все текстовые сообщения с кодами 2FA. Вот почему вы должны никогда опубликовать в Интернете номер вашего мобильного телефона, подключенного к вашим учетным записям 2FA, особенно в социальных сетях.
Но, несмотря на эти риски, SMS-коды будут хороши, если вы действительно не хотите использовать приложение для проверки подлинности (или если у вас не было смартфона для установки приложения для проверки подлинности). Метод не фантастический, но в крайнем случае, вы можете скрестить пальцы и надеяться на лучшее. И давайте посмотрим правде в глаза — лучше иметь 2FA SMS-коды, чем НЕ включать их.
Включение опции SMS-кодов — это то, что вам нужно сделать в настройках сайта. Позже я покажу вам, как настроить это на некоторых известных веб-сайтах.
3. Ключ безопасности Yubico U2F
Третий — и самый слабый (на мой взгляд) метод — это Ключ безопасности U2F. У меня есть один, для целей тестирования, но я отказываюсь брать его вне дома, из-за того, что я вижу в качестве его внутренней слабости.
Ключ безопасности совместим только с некоторыми сайтами 2FA, а тот, который используется Google и Facebook, называется ключом безопасности Yubico U2F. Они очень дешевые (вы можете забрать один на Амазоне за 18 долларов), и они работают, подключив его к USB-порту и нажав золотую кнопку в середине. По сути, это ваш код 2FA, и он дает вам мгновенный доступ к учетной записи.
В этом и заключается слабость. Все, что нужно сделать, это украсть ключ безопасности и нажать кнопку. Разумеется, сначала им потребуется ваш пароль, а затем одно нажатие кнопки ключа безопасности, и они уходят. Так что я не большой поклонник этого метода. Это похоже на строительство защитной стены вокруг вашего дома из туалетной бумаги. Скорее хрупкий и бесполезный.
Чтобы оно заработало, нужно зайти в настройки учетной записи и зарегистрировать ключ в настройках 2FA. Чрезвычайно легко.
Насколько это безопасно?
Учетная запись без 2FA будет просто паролем, и если кто-то узнает пароль, он попадает в вашу учетную запись, где он может нанести ущерб. Но учетная запись с поддержкой 2FA делает его чрезвычайно трудным, возможно, даже невозможным для взлома. Потому что, чтобы пройти уровень 2FA, человеку, пытающемуся взломать, потребуется доступ к вашему мобильному телефону. Всегда держите телефон при себе, наденьте на экран надежную блокировку PIN-кода и не позволяйте никому пользоваться им. Внезапно у вас появляется веб-аккаунт, который становится практически недоступным.
По словам Пинк Флойд, «в общем, это просто еще один кирпичик в стене».
Настройка 2FA на некоторых известных сайтах
Чтобы лучше понять всю концепцию, мы рассмотрим, как ее настроить на 3 разных сайтах — Gmail, Facebook и Twitter. Все они поддерживают приложение Authenticator, и, поскольку, на мой взгляд, это самый сильный метод 2FA, я покажу вам, как его настроить. Я также кратко упомяну другие методы, если они поддерживаются.
Прежде чем продолжить, убедитесь, что на вашем телефоне установлено приложение Authenticator. Здесь снова ссылки для скачивания — Android а также IOS.
Gmail
Двухфакторная аутентификация фактически установлена в вашей учетной записи Google. Затем он будет использоваться всякий раз, когда вы входите в систему, используя свои данные пользователя Google в таких местах, как Gmail, Drive, Feedburner, Календарь и другие.
Сначала перейдите на страницу настроек своего аккаунта Google и войдите в систему. Затем на следующей странице нажмите «Войти в систему». Безопасность ». Прокрутите вниз до «Вход в Google», а справа вы увидите опцию «Двухэтапная проверка». Нажмите на это сейчас.
На следующем экране нажмите «Начать» внизу. Затем вам будет предложено ввести пароль учетной записи, чтобы подтвердить, что это действительно вы.
На следующем экране вам будет предложено выбрать номер телефона, на котором установлено ваше приложение для аутентификации или куда вы хотите отправлять текстовые сообщения. Если вы еще не дали Google номер, вам будет предложено ввести его, и он будет подтвержден отправленным вам текстовым сообщением.
Даже если вы планируете использовать приложение для аутентификации, выберите «текстовые сообщения» внизу. Это может быть изменено позже.
Google отправит вам текстовое сообщение с подтверждением. Введите полученный код в соответствующее поле и перейдите к следующему экрану, нажав «Включить».
Google ввел альтернативный метод 2FA, где вы можете нажать кнопку на экране вашего смартфона (аналогично клавише Yubikey). Для этого вам понадобится приложение поиска Google, и когда оно установлено и зарегистрировано в учетной записи Google, вы можете настроить этот метод.
Вы также должны загрузить резервные коды, представленные на этой странице. Если вы потеряете доступ к своему телефону, вы можете войти в свою учетную запись, используя резервный код. Эти коды могут быть использованы только один раз, и, разумеется, вы должны охранять их как ястреб.
Если прокрутить страницу вниз, вы увидите опции для Google Authenticator и Yubikey.
Давайте начнем с ключа безопасности, поскольку он самый простой и быстрый в настройке. Нажмите «Добавить ключ безопасности». Возможно, вам придется войти снова. Затем введите ключ безопасности в ваш порт USB. Золотая кнопка в центре теперь должна начать мигать. Нажмите кнопку (на самом деле, вам просто нужно слегка нажать на нее).
Когда ваша учетная запись обнаружит ключ, он будет показан как зарегистрированный, и вам будет предложено дать ключу имя (чтобы вы могли отличить их в случае, если у вас есть более одного зарегистрированного).
Возвращаясь к основному экрану 2FA, теперь он покажет ключ безопасности как зарегистрированный и готовый к работе.
Теперь Google Authenticator. Прокрутите вниз до «Authenticator App» и нажмите «настроить». Вам будет задан вопрос о том, какой у вас телефон — Android или iOS — и вы попадете на следующий экран, где есть QR-код.
Откройте приложение Authenticator, выберите «Настройка учетной записи» и отсканируйте QR-код с приложением.
Код для этой учетной записи теперь появится в вашем приложении Authenticator.
Google теперь попросит вас ввести текущий код в вашу учетную запись Google, чтобы убедиться, что Authenticator настроен правильно. Вот и все.
Перейти к вашей Настройки безопасности Facebook, и второй вариант — «Двухфакторная аутентификация». Нажмите на ссылку «Изменить» справа от опции.
Это расширяет окно, чтобы показать все доступные варианты. Нажмите «Настроить», а затем нажмите синюю кнопку «Включить», чтобы включить 2FA.
В разделе «Текстовое сообщение (SMS)» вы можете ввести свой номер телефона, а после проверки вы можете отправлять текстовые сообщения с кодом 2FA.
В разделе «Коды восстановления» вы можете создавать резервные коды на случай, если вы потеряете доступ к своему телефону (ДЕЛАЙТЕ ЭТО! Делайте резервные коды, не теряйте телефон — очевидно).
С «Генератором кода» вам необходимо установить приложение Facebook на вашем телефоне. В настройках есть опция Генератор кода. Это версия Google Authenticator для Facebook, но только для учетных записей Facebook. Введите код на экране, и вы в.
В разделе «Ключи безопасности» вы можете зарегистрировать Yubikey. Нажмите «добавить ключ», вставьте Yubikey в USB-порт, нажмите мигающую кнопку и он будет зарегистрирован.
Вы также можете использовать Google Authenticator на Facebook. Обратите внимание на «Генератор кода», где написано «Настройте стороннее приложение для генерации кодов». Если вы нажмете эту ссылку, вы получите QR-код для сканирования в Authenticator. Введите текущий код аутентификатора в Facebook, и это тоже сделано. Легко.
щебет
Странная вещь в Twitter 2FA заключается в том, что они представили его, а потом никому не сказали. В конце концов люди видели это в своих настройках и задавались вопросом, как долго это было там.
Перейти к вашей Настройки аккаунта и прокрутите вниз до «безопасность».
Если вы добавите номер телефона в свою учетную запись Twitter в разделе «Мобильный», то вы можете включить «Проверка запросов на вход в систему». Это твиттер-версия SMS-кодов 2FA.
«Настройка приложения генератора кода» для Authenticator. Нажмите кнопку, чтобы получить QR-код, отсканируйте его и введите код 2FA, который в настоящее время находится в Authenticator для вашей учетной записи Twitter. Готово.
Заключение
Как я надеюсь, двухфакторная проверка подлинности совсем не сложна. Это просто требует немного поковыряться в настройках и немного настроек с вашим телефоном. В конечном счете, выгода будет огромной, поскольку вы будете тем, кого не взломают.
Дайте мне знать все ваши вопросы в комментариях, и я сделаю все возможное, чтобы помочь.
