Двухфакторная аутентифікація без SMS, одноразових кодів і паролів - Вадим Стеркиной

1. SMS - фактор чи ні
2. Аутентифікація без SMS у популярних компаній
3. Telegram
4. Twitter
5. Google
6. Microsoft
7. 2FA в якості захисту від фішингу
8. Поради
9. Дискусія і опитування

З моменту публікації першої статті про 2FA пройшло майже два роки, і за цей час я кілька разів поривався доповнити її. Однак в результаті змін набігло на окремий запис.

Цей матеріал має на увазі, що ви прочитали мою статтю А ви захищаєте свої акаунти двухфакторной або двоетапної аутентифікації? і вникли в її вміст.

SMS - фактор чи ні

Нагадаю, що я провів межу між двоетапної і двухфакторной аутентификацией щодо володіння пристроєм і не вважав за SMS фактором. Це породило протести в обговоренні, але всі залишилися при своїх.

Коли пристрасті вже відшуміли, прилетіла новина з національного інституту стандартів і технологій США (NIST), на чиї рекомендації орієнтується індустрія.

Експерти NIST вирішили не рекомендувати SMS в якості фактора і запланували прибрати цей спосіб аутентифікації з майбутніх видань керівництва по цифровій ідентифікації особистості.

Ця ремарка в чернетці документа теж породила протести в обговоренні :) Представники індустрії висловлювали невдоволення на GitHub, де публікуються попередні версії керівництва. У підсумку автори погодилися , Що розгортання альтернативних форм 2FA в глобальних масштабах займе тривалий час і відмовилися від радикальної формулювання в фінальної версії документа SP 800-63B , Що вийшла влітку 2017 року.

Коротше, фахівці розуміють небезпечність аутентифікації по SMS, але відмова від неї тягне дуже великі витрати для індустрії в цілому. Прямо як в моїй улюбленій зображенні :)

Далі я якраз буду розглядати варіанти аутентифікації без SMS, до чого прагнуть прогресивні компанії.

Аутентифікація без SMS у популярних компаній

Я пройдуся фактично за тими ж компаніям, що і в попередній статті. Але в цей раз зроблю акцент на аутентифікації не просто без SMS, але і без кодів і навіть паролів!

Telegram

При наявності активних сесій код відправляється на пристрої, де вже виконано вхід. Наприклад, у вас є Telegram на ПК, і ви встановлюєте додаток на смартфон. Код приходить на ПК.

Можливість отримання коду в SMS зберігається, звичайно.

Twitter

Twitter я не згадував минулого разу, але за цей час у компанії стався позитивне зрушення. Раніше там можна було налаштувати 2FA з додатком для генерації кодів, але Twitter примусово [і тупо] дублював код в SMS. Тепер доставку коду в SMS можна відключити (на зображенні видно, що у мене вона не налаштована).

Численні журналісти подали це публіці як нову можливість аутентифікації з генератором кодів, з чого стало ясно, що собі вони 2FA там не налаштовувати :)

Google

Раніше я розповідав про додаток Google Authenticator для генерації одноразових кодів. З тих пір у компанії з'явився ще один спосіб 2FA - Google Prompt, що значно спрощує процес.

В налаштуваннях 2FA Google ви реєструєте пристрій (смартфон), на якому буде виводитися повідомлення після введення пароля на сайті або в якому-небудь додатку. Вам залишається лише підтвердити запит.

Тут введений на сайті пароль є першим фактором, а смартфон - другим, оскільки ви нею володієте. І ніякої метушні з кодами!

Мушу визнати, що у мене ця функція погано працює, коли смартфон заблокований - повідомлення скидається відразу після розблокування, і доводиться відправляти його знову.

Microsoft

Компанія пішла ще далі і реалізувала 2FA без введення пароля в фірмовому додатку Microsoft Authenticator для iOS і Android!

Спочатку ви, як зазвичай, вводите логін - поштову адресу облікового запису Microsoft. При першому вході з даного пристрою вам показують цифру, а на смартфоні з'являється повідомлення, в якому треба її вибрати.

Надалі при вході на цьому ж пристрої просто буде повідомляти про спроби натиснувши на яке, ви схвалюєте вхід (як і у Google Prompt).

Після цього з'являється ще один екран, де потрібно ввести ПІН-код або прикласти палець до сканера відбитків (з Face ID теж має працювати).

Зауважте, що пароль ніде не вводиться. Якщо він все ж запитується після введення облікового запису, перейдіть на вхід з додатком (назад так само).

Як не дивно, це - двухфакторная аутентифікація!

Перший фактор - підтвердження повідомлення на смартфоні, яким ви володієте. Другий фактор - знання ПІН-коду або біологічна особливість (відбиток пальця, особа). Процес аутентифікації фактично зміщений з пристрою, на якому здійснюється вхід, на смартфон, де ви підтверджуєте володіння обліковим записом.

До речі, в інсайдерській збірці 17093 анонсували аутентифікацію цим способом під час установки системи і навіть приховали настройки пароля з параметрів. Поки тільки для Windows 10 S і, очевидно, тільки з обліковим записом Microsoft.

У мене довгий і складний пароль до облікового запису Microsoft, тому фішка дуже зручна. Шкода, що вона працює тільки при вході в сервіси Microsoft, та й то не скрізь. Наприклад, можна входити в Azure AD, але поки тільки з Surface Hub .

2FA в якості захисту від фішингу

Я недавно в ВК / Telegram порекомендував 2FA як простий захисту від масового фішингу. Як мінімум, 2FA дозволяє уникнути повної компрометації аккаунта.

Раптово в ВК розгорілася дискусія з читачем Антоном на тему того, що 2FA теж можна обійти. Так, добре підготовлений зловмисник може реалізувати збір не тільки пароля, а й одноразового коду з подальшим введенням в цільовому сервісі. Як на замовлення, через кілька днів компанія FireEye виклала на GitHub інструментарій ReelPhish, супроводивши це публікацією в блозі .

Однак я продовжую вважати, що такі рішення використовуються в першу чергу для цільових атак, і FireEye якраз згадує VPN-портали організацій. Масові сервіси (Google, Microsoft, Yandex) з одного боку швидко дізнаються про масштабні атаки, а з іншого - використовують непрозорі алгоритми для визначення автентичності сесії. Наприклад, якщо для аутентифікації в Google у вас є усталеним набір пристроїв, браузерів, провайдерів і геолокації, то раптовий запит на вхід, умовно кажучи, в Firefox на Ubuntu з Бразилії буде виглядати для сервісу дуже підозріло.

Поради

Google недавно опублікувала статистику, згідно з якою лише 10% її користувачів включили 2FA. Сподіваюся, ви входите в це число.

Використовуйте 2FA для всіх своїх значущих акаунтів. Я включаю всюди, де є така можливість.

Вимкніть доставку кодів в SMS по можливості. Так, ця рекомендація для параноїків, але тренд я вам показав. При цьому збережіть в надійному місці резервні коди, інакше можуть бути проблеми при втраті пристрою. Дивіться також розділ питань і відповідей в минулій статті.

Прищеплювати 2FA близьким людям. Наші родичі часто не надають значення безпеки, в результаті чого стають жертвами злому і шахрайства.

Смартфони є у багатьох, а процес аутентифікації з другим фактором поступово стає простіше.

Дискусія і опитування

Опитувань я вирішив зробити два. перший копіює опитування дворічної давності для порівняння. Другий - про ваших близьких. У коментарях розкажіть, як йдуть справи з 2FA у вас в родині, робили ви спроби прищепити 2FA близьким, чи успішно.

У вас включена 2FA / 2SV? (2018)

• Так, в ряді сервісів, і мені цього достатньо (35%, голосів: 144)
• Так, всюди де це можливо (34%, голосів: 139)
• Так, в ряді сервісів, але тепер включу всюди (10%, голосів: 40)
• Ні, але тепер почну користуватися (9%, голосів: 38)
• Ні, і мені це не потрібно (8%, голосів: 34)
• Мого варіанту тут немає (4%, голосів: 16)

Проголосувало: 411 [ архів опитувань ]

У ваших близьких включена 2FA / 2SV? (2018)

• Ні, їм це не потрібно (39%, голосів: 128)
• Ні, але тепер почну прищеплювати їм (27%, голосів: 90)
• Мого варіанту тут немає (12%, голосів: 38)
• Так, в ряді сервісів, але буду прищеплювати їм скрізь (11%, голосів: 36)
• Так, в ряді сервісів, їм достатньо (9%, голосів: 30)
• Так, всюди де це можливо (2%, голосів: 6)

Проголосувало: 328 [ архів опитувань ]

Обговорення завершено.