- SMS - фактор чи ні
- Аутентифікація без SMS у популярних компаній
- Telegram
- Microsoft
- 2FA в якості захисту від фішингу
- Поради
- Дискусія і опитування
З моменту публікації першої статті про 2FA пройшло майже два роки, і за цей час я кілька разів поривався доповнити її. Однак в результаті змін набігло на окремий запис.
Цей матеріал має на увазі, що ви прочитали мою статтю А ви захищаєте свої акаунти двухфакторной або двоетапної аутентифікації? і вникли в її вміст.
SMS - фактор чи ні
Нагадаю, що я провів межу між двоетапної і двухфакторной аутентификацией щодо володіння пристроєм і не вважав за SMS фактором. Це породило протести в обговоренні, але всі залишилися при своїх.
Коли пристрасті вже відшуміли, прилетіла новина з національного інституту стандартів і технологій США (NIST), на чиї рекомендації орієнтується індустрія.
Експерти NIST вирішили не рекомендувати SMS в якості фактора і запланували прибрати цей спосіб аутентифікації з майбутніх видань керівництва по цифровій ідентифікації особистості.
Ця ремарка в чернетці документа теж породила протести в обговоренні :) Представники індустрії висловлювали невдоволення на GitHub, де публікуються попередні версії керівництва. У підсумку автори погодилися , Що розгортання альтернативних форм 2FA в глобальних масштабах займе тривалий час і відмовилися від радикальної формулювання в фінальної версії документа SP 800-63B , Що вийшла влітку 2017 року.
Коротше, фахівці розуміють небезпечність аутентифікації по SMS, але відмова від неї тягне дуже великі витрати для індустрії в цілому. Прямо як в моїй улюбленій зображенні :)
Далі я якраз буду розглядати варіанти аутентифікації без SMS, до чого прагнуть прогресивні компанії.
Аутентифікація без SMS у популярних компаній
Я пройдуся фактично за тими ж компаніям, що і в попередній статті. Але в цей раз зроблю акцент на аутентифікації не просто без SMS, але і без кодів і навіть паролів!
Telegram
При наявності активних сесій код відправляється на пристрої, де вже виконано вхід. Наприклад, у вас є Telegram на ПК, і ви встановлюєте додаток на смартфон. Код приходить на ПК.
Можливість отримання коду в SMS зберігається, звичайно.
Twitter я не згадував минулого разу, але за цей час у компанії стався позитивне зрушення. Раніше там можна було налаштувати 2FA з додатком для генерації кодів, але Twitter примусово [і тупо] дублював код в SMS. Тепер доставку коду в SMS можна відключити (на зображенні видно, що у мене вона не налаштована).
Численні журналісти подали це публіці як нову можливість аутентифікації з генератором кодів, з чого стало ясно, що собі вони 2FA там не налаштовувати :)
Раніше я розповідав про додаток Google Authenticator для генерації одноразових кодів. З тих пір у компанії з'явився ще один спосіб 2FA - Google Prompt, що значно спрощує процес.
В налаштуваннях 2FA Google ви реєструєте пристрій (смартфон), на якому буде виводитися повідомлення після введення пароля на сайті або в якому-небудь додатку. Вам залишається лише підтвердити запит.
Тут введений на сайті пароль є першим фактором, а смартфон - другим, оскільки ви нею володієте. І ніякої метушні з кодами!
Мушу визнати, що у мене ця функція погано працює, коли смартфон заблокований - повідомлення скидається відразу після розблокування, і доводиться відправляти його знову.
Microsoft
Компанія пішла ще далі і реалізувала 2FA без введення пароля в фірмовому додатку Microsoft Authenticator для iOS і Android!
Спочатку ви, як зазвичай, вводите логін - поштову адресу облікового запису Microsoft. При першому вході з даного пристрою вам показують цифру, а на смартфоні з'являється повідомлення, в якому треба її вибрати.
Надалі при вході на цьому ж пристрої просто буде повідомляти про спроби натиснувши на яке, ви схвалюєте вхід (як і у Google Prompt).
Після цього з'являється ще один екран, де потрібно ввести ПІН-код або прикласти палець до сканера відбитків (з Face ID теж має працювати).
Зауважте, що пароль ніде не вводиться. Якщо він все ж запитується після введення облікового запису, перейдіть на вхід з додатком (назад так само).
Як не дивно, це - двухфакторная аутентифікація!
Перший фактор - підтвердження повідомлення на смартфоні, яким ви володієте. Другий фактор - знання ПІН-коду або біологічна особливість (відбиток пальця, особа). Процес аутентифікації фактично зміщений з пристрою, на якому здійснюється вхід, на смартфон, де ви підтверджуєте володіння обліковим записом.
До речі, в інсайдерській збірці 17093 анонсували аутентифікацію цим способом під час установки системи і навіть приховали настройки пароля з параметрів. Поки тільки для Windows 10 S і, очевидно, тільки з обліковим записом Microsoft.
У мене довгий і складний пароль до облікового запису Microsoft, тому фішка дуже зручна. Шкода, що вона працює тільки при вході в сервіси Microsoft, та й то не скрізь. Наприклад, можна входити в Azure AD, але поки тільки з Surface Hub .
2FA в якості захисту від фішингу
Я недавно в ВК / Telegram порекомендував 2FA як простий захисту від масового фішингу. Як мінімум, 2FA дозволяє уникнути повної компрометації аккаунта.
Раптово в ВК розгорілася дискусія з читачем Антоном на тему того, що 2FA теж можна обійти. Так, добре підготовлений зловмисник може реалізувати збір не тільки пароля, а й одноразового коду з подальшим введенням в цільовому сервісі. Як на замовлення, через кілька днів компанія FireEye виклала на GitHub інструментарій ReelPhish, супроводивши це публікацією в блозі .
Однак я продовжую вважати, що такі рішення використовуються в першу чергу для цільових атак, і FireEye якраз згадує VPN-портали організацій. Масові сервіси (Google, Microsoft, Yandex) з одного боку швидко дізнаються про масштабні атаки, а з іншого - використовують непрозорі алгоритми для визначення автентичності сесії. Наприклад, якщо для аутентифікації в Google у вас є усталеним набір пристроїв, браузерів, провайдерів і геолокації, то раптовий запит на вхід, умовно кажучи, в Firefox на Ubuntu з Бразилії буде виглядати для сервісу дуже підозріло.
Поради
Google недавно опублікувала статистику, згідно з якою лише 10% її користувачів включили 2FA. Сподіваюся, ви входите в це число.
Використовуйте 2FA для всіх своїх значущих акаунтів. Я включаю всюди, де є така можливість.
Вимкніть доставку кодів в SMS по можливості. Так, ця рекомендація для параноїків, але тренд я вам показав. При цьому збережіть в надійному місці резервні коди, інакше можуть бути проблеми при втраті пристрою. Дивіться також розділ питань і відповідей в минулій статті.
Прищеплювати 2FA близьким людям. Наші родичі часто не надають значення безпеки, в результаті чого стають жертвами злому і шахрайства.
Смартфони є у багатьох, а процес аутентифікації з другим фактором поступово стає простіше.
Дискусія і опитування
Опитувань я вирішив зробити два. перший копіює опитування дворічної давності для порівняння. Другий - про ваших близьких. У коментарях розкажіть, як йдуть справи з 2FA у вас в родині, робили ви спроби прищепити 2FA близьким, чи успішно.
У вас включена 2FA / 2SV? (2018)
- Так, в ряді сервісів, і мені цього достатньо (35%, голосів: 144)
- Так, всюди де це можливо (34%, голосів: 139)
- Так, в ряді сервісів, але тепер включу всюди (10%, голосів: 40)
- Ні, але тепер почну користуватися (9%, голосів: 38)
- Ні, і мені це не потрібно (8%, голосів: 34)
- Мого варіанту тут немає (4%, голосів: 16)
Проголосувало: 411 [ архів опитувань ]
У ваших близьких включена 2FA / 2SV? (2018)
- Ні, їм це не потрібно (39%, голосів: 128)
- Ні, але тепер почну прищеплювати їм (27%, голосів: 90)
- Мого варіанту тут немає (12%, голосів: 38)
- Так, в ряді сервісів, але буду прищеплювати їм скрізь (11%, голосів: 36)
- Так, в ряді сервісів, їм достатньо (9%, голосів: 30)
- Так, всюди де це можливо (2%, голосів: 6)
Проголосувало: 328 [ архів опитувань ]