В данной статье пойдет речь о популярных программах для аутентификации в 2021 году. Читатели ближе познакомятся с особенностями и уникальными функциями приложений.
Что такое двухфакторная аутентификация?
Как и следует из названия, это больше, чем просто ввод пароля при входе в свой аккаунт – двухфакторная аутентификация добавляет еще один элемент для защиты учетной записи. Эксперты в сфере ИБ распределяют факторы аутентификации на три группы: информация, которую знает пользователь (например, пароль); предмет, который у него есть (физический объект); подтверждение личности (отпечаток пальца или другая биометрия). При использовании одного из приложений-аутентификаторов, упомянутых в этой статье, пользователь может получить доступ к своей странице с помощью токена, смартфона или смарт-часов, которые у него есть.
Какой вид двухфакторной аутентификации лучше?
Пользователь может использовать MFA, попросив свой банк отправлять ему текстовое сообщение с кодом, который он потом введет на сайте, чтобы получить доступ к аккаунту. Однако это, как оказалось, не лучший способ для 2FA («двухфакторной аутентификации»). Недавно была выявлена уязвимость при отправке SMS-сообщений – она позволяла мошенникам перенаправлять месседжи. Приложение-аутентификатор генерирует коды на смартфоне – они никогда не будут отправлены по мобильной сети, чтобы не привести к компрометации аккаунта.
Пользователь может настроить опции аутентификации на странице параметров безопасности сайта в разделе двухфакторная или многофакторная аутентификация. Это можно сделать почти на каждом популярном ресурсе. Большинство сайтов предлагают самый простой вариант – отправку SMS-кода, но лучше все-таки воспользоваться приложением-аутентификатором. Настройка 2FA обычно включает в себя сканирование QR-кода на сайте с помощью специального приложения на телефоне. Стоит отметить, что пользователь может сканировать код на нескольких телефонах сразу, если ему нужна резервная копия доступа. Необходимо также записать коды восстановления учетной записи, предоставленные сайтами, и хранить их в безопасном месте, например в менеджере паролей.
Как работают приложения для аутентификации
Всякий раз, когда пользователь входит на сайт с неизвестного устройства, ему нужно будет открыть приложение аутентификации, посмотреть код и ввести его. Приложения-аутентификаторы генерируют одноразовые коды доступа на основе времени (TOTP или OTP) – они состоят из шести цифр и обновляются каждые 30 секунд. Пользователь вводит этот код в защищенное приложение или сайт – и он в системе. Ограничение по времени означает то, что, даже если злоумышленнику удастся получить одноразовый код доступа, он будет рабочим только в течение 30 секунд.
Коды генерируются путем выполнения некоторых математических вычислений на длинном коде, переданном при QR-сканировании, с использованием стандартного алгоритма одноразового пароля на основе HMAC (HOTP). Такая процедура была одобрена Internet Engineering Task Force (IETF). Приложения не имеют доступа к вашим учетным записям – после первоначальной передачи кода они не взаимодействуют с сайтом, просто непрестанно генерируют коды. Пользователю даже не нужно пользоваться мобильной связью, чтобы они работали.
Поскольку протокол, используемый этими продуктами, обычно основан на одном и том же стандарте, можно применять тот же Microsoft Authenticator для входа в свою учетную запись Google. Помимо этого, Microsoft Authenticator предоставляет удобные параметры входа в службы, такие как Office, Outlook и OneDrive.
На что стоит обратить внимание при выборе приложения-аутентификатора
При выборе одного из приложений следует обратить внимание на то, создает ли оно резервные копии информации об учетной записи (зашифрованной, конечно) на случай, если пользователь не сможет использовать старый телефон. Authy, Duo Mobile, LastPass Authenticator и Microsoft Authenticator имеют такую опцию, в то время как Google Authenticator – нет.
Стоит сказать, что в плане безопасности Android запрещает кому-либо делать скриншоты, пока у пользователя открыто приложение для аутентификации, в то время как iOS дает такую возможность.
Для более продвинутой защиты можно реализовать MFA с помощью специального устройства, такого как YubiKey. Подобные устройства выдают коды, которые передаются через NFC, Bluetooth или при подключении непосредственно по USB. В отличие от обычных смартфонов, они обладают такими преимуществами, как универсальность и сверхзащита. Хотя маловероятно, что зараженное вредоносными программами приложение, запущенное на телефоне, сможет перехватить коды аутентификации, созданные приложением-аутентификатором. Ключи безопасности не имеют батареек, движущихся частей, чрезвычайно долговечны и не требуют подключения к Интернету. Однако постоянно генерируемые коды все-таки более удобная опция при постоянном наличии телефона под рукой.
Authy и Microsoft Authenticator также имеют версии для Apple Watch для большего удобства, чего не хватает тем же Google Authenticator и LastPass. Только в 2020 году было продано около 36 миллионов устройств WatchOS (это на 14 миллионов больше, чем компьютеров Apple Mac).
Итак, подводя итог:
- Следует использовать многофакторную аутентификацию для всех своих аккаунтов.
- Приложения-аутентификаторы обеспечивают лучшую безопасность, чем SMS-коды.
Ниже представлены популярные приложения для аутентификации. Стоит выбрать именно ту программу, которая полностью отвечает имеющимся потребностям.
Duo Mobile
Duo Mobile ориентирован на корпоративные нужды, особенно когда пользователь входит в свой портфель Cisco. Приложение предлагает корпоративные функции, такие как многопользовательские параметры развертывания и обеспечения безопасности, а также включает в себя принудительную аутентификацию одним нажатием, в дополнение к одноразовым кодам доступа, упомянутым выше. Приятным аспектом в плане безопасности также является то, что пользователь не сможет сделать скриншот интерфейса Duo на Android (но сможет на iOS). Есть возможность создать резервную копию Duo Mobile с помощью Google Диска для Android и с помощью iCloud на iPhone.
Google Authenticator
Приложение для аутентификации от поискового гиганта является базовым и не включает в себя никаких дополнительных излишеств. В отличие от Microsoft Authenticator, приложение Google Authenticator не имеет никаких специальных опций для своих собственных служб, а также не предлагает резервное копирование или создание паролей и управление ими. Google, похоже, больше заинтересован в том, чтобы пользователь настроил двухфакторную аутентификацию с помощью встроенных функций Android, а не приложения-аутентификатора. Использование телефона Android для 2FA с учетной записью Google (а не приложением Google Authenticator) удобнее, поскольку для этого требуется просто сделать пару кликов, а не вводить шестизначный код.
В отличие от Authy, в Google Authenticator отсутствует онлайн-резервное копирование кодов учетной записи, но можно импортировать их со старого телефона на новый, если он под рукой. Один из незначительных недостатков заключается в том, что Google Authenticator не подходит для использования с Apple Watch.
LastPass Authenticator
Это приложение отличается от самой программы LastPass, поскольку оно обеспечивает некую синергию с более известными функциями паролей приложений. Установить программу для аутентификации LastPass совсем несложно, если у пользователя уже есть учетная запись LastPass с включенной многофакторной аутентификацией. Он может легко авторизоваться в LastPass, нажав на всплывающее push-уведомление. Кроме того, как только приложение будет связано с учетной записью LastPass, есть возможность с легкостью создать резервную копию учетных записей аутентификатора в хранилище LastPass. Это избавляет от лишних хлопот при переходе на новый телефон.
Microsoft Authenticator
Приложение от Microsoft включает в себя безопасную генерацию паролей и позволяет пользователю входить в учетные записи Майкрософт одним нажатием кнопки. Microsoft Authenticator также дает возможность школам и компаниям, которые его используют, регистрировать устройства пользователей. Восстановление учетной записи – очень важная функция, которую следует включить при использовании приложения. Таким образом, в новом телефоне после установки программы Microsoft человек сможет восстановить свой аккаунт, войдя в свою учетную запись Майкрософт и пройдя дополнительные этапы подтверждения личности.
Один из недостатков заключается в том, что пользователь не сможет перенести сохраненные учетные записи 2FA на устройство Android, если он создал их резервную копию в iCloud, поскольку версия для iPhone требует только использования iCloud. Microsoft Authenticator включает в себя еще один уровень безопасности: можно подключить опцию разблокировки телефона с помощью PIN-кода или биометрии, чтобы добраться до кода.
Есть возможность управления паролями на отдельной вкладке. Можно также выполнить синхронизацию с учетной записью Майкрософт, которую пользователь связал со средством проверки подлинности – после этого он увидит учетные данные, которые были сохранены и синхронизированы из браузера Edge. Кроме того, аутентификатор подойдет в качестве утилиты ввода и сохранения паролей на телефоне.
Twilio Authy
В отличие от других приложений в этом мини-обзоре, Authy потребует номер телефона при его первой настройке. Желательно, конечно, чтобы приложение считало телефоны анонимными аппаратными средствами, а не чем-то, связанным с личными данными. Кроме того, некоторые специалисты уверены, что приложение не полностью защищено от мошенничества с SIM-картами. Справочный центр Authy предлагает обходной путь для тех, кто переживает об этом, но лучше бы программа работа так, как и другие – без требования привязки к номеру телефона. Пользователи Apple Watch по достоинству оценят наличие версии приложения для выбранных ими часов.
Одним из больших преимуществ Authy является резервное копирование в зашифрованном облаке, но это неким родом связано с тем, что пользователь может добавить учетную запись на новый телефон, используя «PIN-код, отправленный с помощью звонка или SMS», согласно странице FAQ Authy. Помимо этого, есть возможность ввести пароль или парольную фразу, которые Authy использует для шифрования данных для входа в учетные записи в облаке. Пароль известен только пользователю, поэтому, если он его забудет, Authy не сможет восстановить учетную запись. Это также означает, что никакие структуры не смогут заставить Authy разблокировать доступ к учетной записи.
Автор переведенной статьи: Michael Muchmore.
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: Facebook | VK | Twitter | Instagram | Telegram | Дзен | Мессенджер | ICQ New | YouTube | Pulse.
