161 подписчик

#37 Зачем нужна Двухфакторная аутентификация и Google authenticator

14 ноября 201814 ноя 2018

635

3 мин

Зачем мне приходится настраивать двухфакторную аутентификацию?! Мне надоел Google Authenticator, он тормозит, слетает, что это вообще такое? ! Друг, в сбербанке в очереди тебе стоять не надоело, а потратить дополнительную минуту, чтобы ввести 6 цифр надоело...? Ты зажрался. Если тебя не беспокоит судьба твоих денег, ты можешь отключить двухфакторную аутентификацию там, где это возможно. И надеяться, что никто не подберет твой пароль, или не украдет его у тебя с помощью вредоносного ПО. Мы уже касались этой темы, но давай разберемся еще раз от начала и до конца, чтобы больше к этому не возвращаться. Сегодня я расскажу тебе: Двухфакторная аутентификация(f2a) — это система доступа, основанная на двух «ключах»: одним владеешь ты (телефон, флешка, еще что-то), другой ты запоминаешь (обычные логин и пароль). Суть подхода очень проста: чтобы куда-то попасть, нужно дважды подтвердить тот факт, что ты — это ты. Это очень сильно повышает безопасность. Каким же образом телефон может выступи

Зачем мне приходится настраивать двухфакторную аутентификацию?! Мне надоел Google Authenticator, он тормозит, слетает, что это вообще такое? !

Друг, в сбербанке в очереди тебе стоять не надоело, а потратить дополнительную минуту, чтобы ввести 6 цифр надоело...?

Ты зажрался. Если тебя не беспокоит судьба твоих денег, ты можешь отключить двухфакторную аутентификацию там, где это возможно. И надеяться, что никто не подберет твой пароль, или не украдет его у тебя с помощью вредоносного ПО. Мы уже касались этой темы, но давай разберемся еще раз от начала и до конца, чтобы больше к этому не возвращаться.

Сегодня я расскажу тебе:

Что такое f2a;
Как это работает;
Как настроить;
Какие проблемы могут возникать;
Как решить эти проблемы;

Двухфакторная аутентификация(f2a) — это система доступа, основанная на двух «ключах»: одним владеешь ты (телефон, флешка, еще что-то), другой ты запоминаешь (обычные логин и пароль). Суть подхода очень проста: чтобы куда-то попасть, нужно дважды подтвердить тот факт, что ты — это ты. Это очень сильно повышает безопасность.

Каким же образом телефон может выступить ключом? Самый простой способ, это, как твой любимый сбербанк делает, через СМС-код. Тут, правда, скорее sim-карта выступает в роли ключа, но это не столь важно.

Недостатки этого способа:

Стоимость рассылки СМС - они далеко не бесплатны;
Ненадежность в рассылке СМС;
Низкий уровень безопасности, так как смс появляется на экране телефона. Если злоумышленник находится рядом с ним, ему не надо разблокировать телефон, чтобы получить код;

Плюсы этого способа:

Это очень просто для пользователя. Ты вообще ни о чем не думаешь и ничего не делаешь: СМС пришла, перепечатал и всё, счастлив.

Но, как ты заметил, таким способом пользуются только внутри страны, а в международных сервисах, особенно, связанных с криптой, везде используется Google authenticator.

Окей, убедил, оставлю f2a. А как это работает вообще?

Если коротко, то на сервере Google запущен алгоритм, который генерирует код на основе текущего времени, а также твоего публичного и секретного ключа. И у тебя в приложении Google authenticator на телефоне запущен такой же алгоритм.

Когда ты вводишь код на каком-то сайте, сайт обращается к Google и спрашивает: пользователь вот с таким публичным ключом пришел и говорит, что у него сгенерировался такой код - это правда? Google сравнивает сгенерированный код на сервере с тем кодом, который был сгенерирован на телефоне, и если они совпадают, он отвечает сайту - всё ок!

Тут ключевое было “на основе текущего времени”. Если время на телефоне будет установлено неверное, то оно не совпадает со временем на сервере, и сгенерированный код будет разным. Поэтому те, кто хотят пользоваться google authenticator, который основан на алгоритмах Time-based One-time Password Algorithm и HMAC-based One-time Password Algorithm, должны синхронизировать свои часы со вселенной.

К слову, самая распространенная проблема, из-за которой пользователи не могут настроить свою двухфакторную аутентификацию, это перевод времени на телефоне, рассинхронизация. Так что убедись, что не переводил часы на 5 минут назад, дабы всегда иметь время в запасе, как многие любят делать.

Еще раз расскажу, как настроить f2a. Бывает, что представлен не только google, но и другие сервисы для двухфакторной авторизации. Но мы говорим пока только про вариант от google.

Выбираем способ Google Authenticator, скачиваем приложение себе на устройство под управлением операционной системы iOS или Android. Если не видишь ссылок на них, найди приложение в AppStore или Google Play.

Запускаем приложение и нажимаем кнопку добавить “+”

Начальный экран приложения Google Authenticator. В дальнейшем тут будут появляться сгенерированные коды

Выбираем "сканировать штрих-код" и сканируем QR-код на сайте.

Сохраняем код, который находится сразу под QR-кодом. "Print and Save the code" - код потребуется в случае потери доступа к телефону, удаления приложения и при других смежных проблемах.

Код безопасности, который нужно сохранить в недоступном для посторонних людей надежном месте

В приложении появляется шестизначный код. Он обновляется каждые 30 секунд, поэтому злоумышленник не сможет его подобрать!

Уникальный шестизначный цифровой код доступа

Остается ввести этот код, и все!

Ввод цифрового кода для получения доступа

Что делать, если коды не подходят:

Убедись, что ты вводишь код от нужного сайта и аккаунта;
Убедись, что у тебя стоит синхронизация времени на устройстве, дата и время корректны;
Если все равно не помогает, и у тебя андроид, то вот лекарство:

1. Открой главное меню приложения Google Authenticator;

2. Выбери Настройки;

3. Нажми Коррекция времени для кодов;

4. Выбери Синхронизировать;

На этом все!