8 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Найден способ воровать деньги через смарт-ТВ

Злоумышленники научились обворовывать людей при помощи смарт-телевизоров, очищая их кошельки и совершая за их счет крупные покупки. Схема вскрылась после того, как клиент Amazon, одного из крупнейших интернет-магазинов, пожаловался в техподдержку на растущее число несанкционированных покупок, совершаемых неизвестным с его аккаунта.

Расследование инцидента, пишет The Register, показало, что мошенник неизвестным образом получил логин и пароль этого пользователя от его профиля в Amazon и подключился к нему со своего смарт-телевизора. В настойках безопасности аккаунта такой тип подключения не отображается, что и позволило злоумышленнику оставаться незамеченным в течение длительного времени и экономить на покупках, тратя на них чужие деньги.

Что такое двухфакторная аутентификация в Инстаграм?

Двухфакторная аутентификация — это дополнительный способ защиты профиля в Инстаграм. Чтобы попасть в аккаунт, пользователю нужно подтвердить, что он настоящий владелец страницы. Для этого следует ввести пароль и специальный код, который придет по SMS.

Так вы защитите Instagram-профиль от хакеров: если кто-то попытается получить доступ к аккаунту с неопознанного браузера или мобильного устройства, то ему придется ввести код аутентификации. Обойти этот инструмент очень сложно — для этого требуется доступ к вашему гаджету или SIM-карте.

В социальной сети Instagram есть несколько способов аутентификации:

  • SMS с кодами, которые отправляются на телефон.
  • Коды для входа, которые генерируются в сторонних приложениях: например, Google Authenticator.

Использование двухфакторной аутентификации для защиты вашей учетной записи Google

Первым местом, где можно начать использовать двухфакторную аутентификацию, может быть ваша учетная запись Google. В таком случае, какие-либо новые устройства не смогут войти в вашу электронную почту, получить доступ к учетной записи Google Play или навести шороху в ваших фотографиях и файлах в Google Drive, даже если ваш пароль будет украден.

В аккаунте Google есть несколько вариантов двухфакторной аутентификации. Можно выбрать получение уведомления в виде SMS или звонка на указанный вами номер, использование специальных подсказок, которые работают быстрее, чем если бы вы вводили код, или использовать электронный ключ. Последний является наиболее безопасным и гарантирует, что вы не потеряете доступ к аккаунту при смене телефонного номера. Однако этот способ не бесплатен, а также может быть немного сложнее в использовании, чем простые SMS с кодами.

Далее я опишу последовательность действий, которые нужно выполнить, чтобы настроить двухфакторную аутентификацию на Android-смартфоне с использованием SMS:

  1. Перейдите в “Настройки” > “Google” > “Аккаунт Google”
  2. Найдите вкладку “Безопасность”
  3. Выберите пункт “Двухфакторная аутентификация” и войдите в аккаунт
  4. Укажите свой номер телефона и/или адрес электронной почты на тот случай, если вам потребуется восстановить аккаунт

Теперь, оказавшись на странице двухфакторной аутентификации, внизу вы увидите список всех устройств, которые в данный момент подключены к вашей учетной записи. Здесь при желании можно включить Google Prompt, чтобы вторым шагом для входа в вашу учетную запись стало простое уведомление с последующим автозаполнением нужных полей. Это так же безопасно, как SMS, но, как я уже говорил, вы не потеряете возможность войти в свой аккаунт, если смените номер телефона.

Для выбора другого варианта аутентификации нужно пролистать вниз страницы, а там уже выбрать между электронным ключом, SMS или голосовым сообщением. При выборе последнего вас попросят ввести номер вашего телефона. Код подтверждения будет отправлен на этот же номер, и чтобы продолжить, вам нужно будет ввести его в соответствующее поле. Теперь смело нажимайте кнопку «Включить» и тогда двухфакторная аутентификация отныне встанет на защиту ваших конфиденциальных данных.

С этого момента вы станете получать код подтверждения каждый раз, когда будете настраивать учетную запись Google на новом устройстве. Если вы хотите сменить метод аутентификации, например, на «Электронный ключ» или отключить ее совсем, просто вернитесь в настройки безопасности Google и повторите шаги.

Для получения дополнительной информации о настройке двухэтапной аутентификации Google на других устройствах, таких как ПК, вы можете ознакомиться с официальной информацией от Google на ее сайте.

Всего два слова: двухфакторная аутентификация

Эти слова можно услышать от представителей очередной крупной компании, когда ее клиенты обнаруживают очередную утечку своих логинов-паролей. Мол, надо было использовать двухфакторную аутентификацию. Например, Facebook. Или Сбербанк.

New York Times несколько месяцев тому на волне утечек, напоминающих недавние российские, поговорила со службой безопасности Google. Компания одной из первых в свое время попробовала принуждать пользователей два раза удостоверять свою личность.

«Очень, очень сложно заставить пользователя регистрироваться, когда ему это кажется слишком утомительным», — говорит глава службы безопасности Google Гэмми Ким.

Двухфакторная — означает, что аутентификацию надо пройти дважды. Первый шаг: вы вводите свое имя пользователя и пароль, чтобы войти в онлайн-кабинет банка. Второй шаг: банк отправляет на ваш телефон текстовое сообщение с временным кодом, который необходимо ввести, прежде чем сайт позволит вам войти в систему. Таким образом, вы подтверждаете свою личность, имея доступ к вашему телефону и присланному коду.

Звучит просто и безопасно? Оказывается, далеко не все этим пользуются. В Google говорят, что менее 10 % пользователей согласились на двухфакторную аутентификацию для таких служб, как электронная почта, календарь или хранилище фотографий.

А вы беспокоитесь за свой аккаунт в Instagram? Может, там и нет 100 тысяч подписчиков, но только представьте, что не сможете больше никогда зайти на страничку…

Instagram

В приложении откройте настройки, нажмите «Конфиденциальность и безопасность» и выберите двухфакторную аутентификацию. Введите свой номер телефона. Вы получите текстовое сообщение, содержащее шестизначный код. Введите код.

Отныне, когда входите в свою учетную запись Instagram, всегда будете получать текстовое сообщение с временным кодом.

ВКонтакте

В приложении или на странице сайта откройте настройки, выберите «Безопасность».

В самой верхней секции » Подтверждение входа» выберите «Подключить». Откроется всплывающее окно, информирующее о том, что при включении двухфакторной аутентификации для доступа к вашему аккаунту будет использоваться номер мобильного телефона. Нажмите кнопку «Приступить к настройке». Полученный на телефон код вводим в поле, жмем «Подтвердить». Теперь при входе в ВК с неизвестного устройства будет приходить СМС с временным кодом доступа.

Плюсы: метод прост, вам не нужно устанавливать дополнительные приложения. Минусы: телефонные номера и СМС подвержены угону со стороны спецслужб или хакеров.

Facebook и другие соцсети

Еще один способ использовать двухфакторную аутентификацию — получать временный код через приложение-аутентификатор.

Откройте на своем смартфоне магазин приложений и загрузите бесплатное приложение для аутентификации, такое как Google Authenticator или Authy.

Затем на сайте Facebook перейдите к настройкам безопасности. Нажмите «Использовать двухфакторную аутентификацию», затем «Начните». После повторного ввода пароля выберите в качестве метода безопасности приложение аутентификации. Затем следуйте инструкциям на экране.

Отныне, когда входите в Facebook, вам придется открыть приложение для проверки подлинности и посмотреть временный шестизначный код, созданный для вашей учетной записи Facebook. Введя код, сможете войти.

Плюсы: украсть ваш временный код из приложения-аутентификатора очень сложно.

Минусы: если потеряете смартфон или купите новый, придется потратить время на восстановление доступа к учетной записи.

Gmail (и другие сервисы Google)

На Gmail. com перейдите в настройки своей учетной записи и нажмите «Безопасность». Выберите «Двухэтапное подтверждение», а затем нажмите «Добавить приглашение Google».

Нажмите «Начать» и выберите свой смартфон.

На вашем телефоне откройте приложение Google или Gmail. Google покажет устройство, пытающееся войти в вашу учетную запись. Нажмите «Да» в запросе.

С этого момента, когда вы входите в свою учетную запись, приложение Gmail или Google будет спрашивать, являетесь ли вы человеком, который ищет доступ. Нажав «Да», вы войдете в систему.

Читать еще:  iOS 13 и iPadOS – новинки мобильных операционных систем

Плюсы: это легко, требуется только подключение к интернету. Минусы: не у всех приложений и сайтов вроде Google есть подобный метод подсказок. Например, у Сбербанка для подтверждения операции без вариантов — временный код на телефон.

Обход двухфакторной аутентификации Google

Злоумышленник может обойти двухфакторную аутентификацию (2ФА) на сервисах Google, сбросить пользовательский пароль и получить полный контроль над аккаунтом, просто заполучив т.н. пароль приложения — ПП (ASP — Application-Specific Passwords).


(При всём уважении к рекламной компании Google «Good to Know»)

Злоупотребление паролями приложений Google

2ФА Google предоставляет материал для исследования различных проблем, непременно возникающих в настолько масштабных системах надежной аутентификации.
Чтобы сделать подобную аутентификацию возможной для всех пользователей (и безболезненно интегрировать её в уже существующую экосистему), инженерам Google пришлось пойти на некоторые компромиссы. Такие, например, как пароли приложений.
Несколько месяцев назад мы нашли способ использовать ПП для получения полного контроля над google аккаунтом, полностью обойдя 2ФА. Мы рассказали о нашей находке службе безопасности Google и недавно получили от них ответ, что они предприняли некоторые шаги для нейтрализации наиболее серьезных угроз из тех, что мы обнаружили. И так, вот что мы нашли:

Пароли приложений

Как только вы включите 2ФА, Google попросит вас создать отдельный пароль для каждого приложения, что вы используете (отсюда и название «пароль приложения»), который не поддерживает 2ФА. Этот пароль Вы используете вместо своего основного. Выражаясь конкретнее, вы создаёте ПП для большинства приложений, которые не используют логин из web-формы: e-mail клиенты, использующие IMAP и SMTP (Apple Mail, Thunderbird, и т.п.); XMPP чат-клиенты (Adium, Pidgin и т.п.), а так же различные календари, синхронизирующиеся с помощью CalDAV (iCal, etc.).
Даже некоторые софт от Google вынуждает вас использовать ПП — например, чтобы включить синхронизацию в Chrome или настроить свой аккаунт на Android устройстве. Совсем недавно эти клиенты в большинстве своём перешли на авторизацию через OAuth. В такой модели, когда вы впервые логинитесь на своём новом устройстве или в приложении, вы получаете запрос на авторизацию в web-форме, которая использует 2ФА. После успешной авторизации, сервер возвращает токен с ограниченным доступом, который в дальнейшем используется для аутентификации вашего устройства/приложения.
На самом деле, OAuth токены и ПП очень сильно похожи — в конечном итоге всё заканчивается созданием уникального авторизационного токена для каждого устройства/приложения, которое вы привязываете к вашему google аккаунту. Кроме того, каждый отдельный токен может быть отозван, без ущерба для остальных: если вы потеряли ваш смартфон, вы можете быть уверены, что никто не сможет получить доступ к вашему почтовому ящику, не имея пароля.
И так, основные отличия между OAuth токенами и ПП следующие:

  • OAuth токены создаются автоматически, в то время как ПП нужно создавать вручную. Вам нужно пойти в настройки google аккаунта чтобы его создать, а затем скопировать в приложение.
  • OAuth токены предоставляют более гибкую модель авторизации и могут быть использованы для ограничения доступа только к определенным данным или сервисам в вашем аккаунте. С другой стороны, пароли приложений, если уж быть совсем точным, не совсем ТОЛЬКО для приложений!

Остановимся на втором пункте подробнее. Если вы создаете ПП для XMPP чат-клиента, этот же самый пароль может быть использован для чтения почты через IMAP или получения списка событий из CalDAV календаря. Что, собственно, не является таким уж сюрпризом. На самом деле, Eric Gorss и Mayank Upadhyay из Google уже указывали на эту слабость в их статье о 2ФА Google:

«Другая слабость ПП в обманчивом впечатлении, что они предоставляют доступ к конкретному приложению, а не полномасштабный доступ к аккаунту»

Authentication at Scale из «IEEE S&P Magazine» vol. 11, no. 1

Получается, ПП могут гораздо, гораздо больше, чем простое получение доступа к вашей почте. На самом деле, они могут быть использованы для аутентификации на большинстве сервисах Google в обход 2ФА!

Авто-логин в Chrome

В последних версиях Android и ChromeOs Google включил в свои браузеры механизм авто-логина в google аккаунты. После того, как вы свяжите ваше устройство с аккаунтом, браузер будет использовать уже существующую авторизацию и перестанет запрашивать её через web-форму. (Есть даже экспериментальная поддержка этой функциональности в десктопной версии Chrome, вы может включить её, открыв «chrome://flags/.»).

До недавнего времени, этот механизм работал даже для самой важной части google аккаунта — странице настроек. Она включает в себя страницу восстановления пароля, на которой возможно добавление и редактирование e-mail адреса и телефонных номеров, на которые вам будет отослана информация, необходимая для сброса пароля. Короче говоря, если вы сможете получить доступ к этой странице — вы сможете отобрать аккаунт у его законного владельца.

Технические детали

В своём отличном блоге Android Explorations Николай Еленков опубликовал обширное исследование механизма авто-логина в Android. Оно стало отличной отправной точкой, но всё не содержала всю необходимую нам информацию. Мы захотели узнать, как можно использовать этот механизм, не имея Android устройства или Хромбука.
Чтобы сделать это, мы установили перехватывающий прокси, чтобы следить за траффиком между эмулятором Android и серверами Google. Во время добавления google аккаунта, мы увидели следующий запрос:

POST /auth HTTP/1.1
Host: android.clients.google.com

accountType=HOSTED_OR_GOOGLE&Email=user%40domain.com&has_permission=1&add_account=1&EncryptedPasswd=AFcb4.
&service=ac2dm&source=android&androidId=3281f33679ccc6c6&device_country=us&operatorCountry=us&lang=en&sdk_version=17

Ответ, помимо всего прочего, содержал следующее:

Несмотря на то, что урл и некоторые параметры не документированы, это очень напоминает Google ClientLogin API. Чтобы воссоздать такой запрос самим, нам нужно было понять, что за значения нужно передавать в параметрах «EncryptedPasswd» и «androidId». Со вторым всё оказалось просто — это тот самый параметр «ANDROID_ID», упоминаемый в Android API Docs — случайно сгенерированный 64-битное значение, которое предназначено для однозначной идентификации устройства Android.
Другой пост Еленкова вселил нас надежду, что «EncryptedPasswd» может быть нашем ПП, зашифрованным публичным 1024-битным RSA ключём, который включён в Android платформу. «EncryptedPasswd» являлся бинарными данными(закодированными base64) длинной 130 байт, так что вполне возможно, что так оно и есть. Однако, прежде чем двигаться дальше, мы решили попробовать заменить этот параметр параметром «Passwd» (не зашифрованный пароль) из документации и установить ему значение — наш ПП:

POST /auth HTTP/1.1
Host: android.clients.google.com

accountType=HOSTED_OR_GOOGLE&Email=user%40domain.com&has_permission=1&add_account=1&Passwd=xxxxxxxxxxxxxxxx
&service=ac2dm&source=android&androidId=3281f33679ccc6c6&device_country=us&operatorCountry=us&lang=en&sdk_version=17

И это сработало! Мы получили ответ, в котором содержалось что-то очень похожее на валидный токен. Этот токен, созданный сервером android.clients.google.com, стал видим в разделе «Connected Sites, Apps, and Services» нашего аккаунта и, похоже, предоставляет нам полный доступ к аккаунту:


Продолжая наблюдать за трафиком, мы заметили 2 различных процесса, относящихся к авто-логину в браузере. Тот, что попроще, был очередным клиентским запросом на логин, но использовал наш токен:

POST /auth HTTP/1.1
Host: android.clients.google.com

accountType=HOSTED_OR_GOOGLE&Email=user%40domain.com&has_permission=1&Token=1%2Ff1Hu. &
service=weblogin%3Acontinue%3Dhttps%253A%252F%252Faccounts.google.com%252FManageAccount
&source=android&androidId=3281f33679ccc6c6&app=com.android.browser&client_sig=61ed377e85d386a8dfee6b864bd85b0bfaa5af81&
device_country=us&operatorCountry=us&lang=en&sdk_version=17

Этот запрос возвращал тело ответа, а так же следующую строчку:

Auth=https://accounts.google.com/MergeSession?args=continue%3Dhttps%253A%252F%252Faccounts.google.com%252FManageAccount&uberauth=AP. &source=AndroidWebLogin
Expiry=0

Из этого запроса мы установили, что форматом для параметра «service» является weblogin:continue=url_encode(destination_url). Мы решили попытаться указать этот параметр для нашего изначального запроса с ПП вместо токена (вместо того, чтобы пытаться понять происхождение непонятного параметра «client_sig»):

POST /auth HTTP/1.1
Host: android.clients.google.com

device_country=us&accountType=HOSTED_OR_GOOGLE&androidId=3281f33679ccc6c6Email=user%40domain.com&lang=en&
service=weblogin%3Acontinue%3Dhttps%253A%2F%2Faccounts.google.com%2FManageAccount&
source=android&Passwd=xxxxxxxxxxxxxxxx&operatorCountry=us&sdk_version=17&has_permission=1

И получили ответ, полностью повторяющий предыдущий:

Auth=https://accounts.google.com/MergeSession?args=continue%3Dhttps%253A%252F%252Faccounts.google.com%252FManageAccount&uberauth=AP. &source=AndroidWebLogin
Expiry0

Ключевым параметром здесь является «MergeSession». Если вы откроете этот урл в неавторизованном браузере после того, как выполните запрос (это нужно сделать очень быстро), вы будете немедленно залогинены в аккаунт!

Таким образом, имея только имя пользователя, ПП и выполнив запрос к android.clients.google.com/auth, возможно залогиниться на страницу настроек аккаунта, в обход двухступенчатой верификации!

Читать еще:  Как правильно отключить файл подкачки в Windows 10

Фикс Google

Как было замечено ранее, этот способ работает даже для самой критичного раздела google аккаунта — настроек. Атакующий может предпринять рад действий, используя ПП жертвы:

  • Он может передать «accounts.google.com/b/0/UpdateAccountRecoveryOptions?hl=en&service=oz» в качестве урла в API запросе. MergeSession URL, полученный в ответе, приведёт его прямо на страницу восстановления пароля, где он сможет сбросить основной пароль.
  • Аналогично, атакающий может передать в запрос урл «accounts.google.com/b/0/SmsAuthConfig?hl=en», что приведет его на страницу с настройками 2ФА, где он сможет добавлять и удалять ПП или же отключить 2ФА совсем.

Это больше невозможно, начиная с 21 февраля, когда инженеры Google закрыли эту дыру. Насколько мы можем судить, Google теперь поддерживает некое дополнительное состояние, которое позволяет определить, как именно вы аутентифицировались — с помощью MergeSession URL и с помощью обычного логина и пароля, используя 2ФА. Страница настроек станет доступна только в последнем случае. Если же вы залогинились с помощь MergeSession URL, вас перенаправлят на страницу 2ФА, которую нельзя пропустить.

Насколько всё было плохо?

Мы считаем, что это большая дыра в системе аутентификации, если пользователь имеет некую форму для ввода пароля, которая позволит получить доступ к полному контролю над аккаунтом. Но несмотря на это, мы всё же согласны, что даже до того, как Google выкатил свой фикс, включить 2ФА на своём аккаунте гораздо лучше, чем не делать этого.

В наши дни, злоумышленник всё ещё имеет в своём арсенале набор методов для получения контроля над аккаунтом. Например:

  • Создание фишингового сайта, с целью заставить пользователя отдать свой пароль.
  • Использование того факта, что пользователи часто используют один и тот же пароль на различных сайтах. Взломав базу с паролями одного слабозащищенного сайта, злоумышленник может попытаться получить доступ к аккаунтам на других сайтах.

Оба этих примера представляют собой типы атак, которые могут быть предотвращены с помощью следования простым правилам и «цифровой гигиены». Например, не использовать один и тот же пароль на различных сайтах и не нажимать на подозрительные ссылки в e-mail сообщениях. К сожалению, такого рода «образовательные программы для пользователей» редко работают хорошо на практике(и могут быть нецелесообразны с экономической точки зрения).

Несмотря на это, даже с ПП, 2ФА Google может сгладить оба этих типа атак, даже если пользователи продолжают делать глупые вещи. ПП генерируются Google и не предполагают запоминание пользователем, т.о. маловероятно, что он использует точно такой же пароль на другом сайте. Если даже злоумышленник создаст фишинговый сайт и выманит ПП, его шансы на успех будут значительно (возможно, на порядки) ниже, чем с обычным паролем.

Тем не менее, повсеместное использование ПП всё же несёт в себе потенциальную опасность. Если злоумышленник сможет заставить установить вредоносное ПО, оно сможет найти и извлечь ПП где-нибудь в пользовательской системе (например, популярный чат-клиент Pidgin хранит пароли в открытом виде в XML файле). Кроме того, «толстоклиентские» приложения, основной пользователь ПП, частенько подвержены довольно известной проблеме слабой проверки SSL сертификата, что потенциально позволяет украсть ПП с помощью MiM-атаки.

Фикс Google значительно помогает в данной ситуации. Несмотря на то, что ПП всё ещё могут нанести значительный вред пользователю, он сможет сохранить контроль над своим аккаунтом и возможность отозвать ПП, если вдруг что-то пойдет не так. Тем не менее, мы твердо верим в принцип минимальных привилегий и хотели бы видеть дальнейшие шаги Google, направленные на ограничение привилегий отдельных ПП.

Апдейт #1
Google обновил своё предупреждение при создании ПП, в котором предупреждается о потенциальном риске:

Апдейт #2
Craig Young из nCircle выступил с докладом об аналогичной проблеме на конференции BSides, проводимой совместно с RSA!

Почему это важно

Времена, когда можно было защититься только с помощью надежного пароля, безвозвратно ушли. Даже уникальная комбинация символов не спасет от вредоносных программ и хакеров. А логиниться в людных местах опасно — злоумышленник может подсмотреть, запомнить и использовать ваш пароль.

Кибератаки с подстановкой учетных данных — тоже не редкость. Хакеры подбирают логин и пароль по утекшим в сеть базам данных. Их жертвами уже стали Dunkin’ Donuts, Warby Parker, GitHub, AdGuard и Apple iCloud. Двухфакторная аутентификация — один из способов обезопасить ваши учетные записи.

То же касается фишинга. Например, мошенники могут прислать электронное письмо, чтобы обманом заставить вас ввести логин и пароль на поддельном сайте. С двухфакторной аутентификацией это не сработает: только подлинный сайт сможет отправить рабочий код для подтверждения.

Включить двухфакторную защиту — хорошая идея, но не панацея. Если злоумышленники не могут войти в вашу учетную запись на сайте, это еще не значит, что данные в безопасности. Например, хакеры могут провести кибератаку на сервера.

В наши дни интернет может быть опаснее любого злачного места, темного подземного перехода и пригородной электрички вместе взятых. Мошенники, воры и проходимцы (а также просто хакеры, что звучит более благородно) поджидают вас в каждой соцсети, в каждом интернет-магазине и даже в собственном почтовом ящике. И все они хотят чаще всего одного – захватить власть над вашими аккаунтами, а следовательно – над всей вашей персональной информацией. Но, к счастью, от всех этих преступников есть защита, и имя ей – двухфакторная аутентификация.

«Это что-то наподобие антивируса?»

Технически – нет, но в каком-то отдаленном метафорическом смысле – да. Двухфакторная система аутентификации (или авторизации, что, на самом деле, одно и то же) – это такой метод идентификации пользователя на каком-либо сервисе в интернете (сайт, соцсеть, мессенджер, электронная почта) в два этапа. Говоря проще, авторизация нужна, чтобы интернет-ресурс понял, что вы – это именно вы. Обычно это самая распространенная схема в виде «логин и пароль», но именно двухфакторная аутентификация предусматривает еще и второй шаг на пути доказательства подлинности вашей личности (о самих «вторых» способах чуть позже). Все это необходимо, потому что история существования интернета и киберпреступлений доказывает – одного только пароля (привет приверженцам ключевых комбинаций «1234» и «qwerty») недостаточно.

Еще с древних времен, чтобы попасть в какое-то важное/тайное место или доказать свою личность, нужно было знать пароль или тайный шифр. В сказке «Али-Баба и 40 разбойников» в пещеру, полную сокровищ, можно было попасть только после ключевой фразы «Сим-Сим, откройся»; в серии фильмов и книг о юном волшебнике Гарри Поттер открывал Тайную комнату определенным словом на змеином языке; а сколько подобных способов идентификации в разнообразных шпионских боевиках – просто не счесть. Считайте аутентификацию в интернете тем же самым, даже если вы совсем не волшебник и даже не секретный агент.

«А для чего такие повышенные меры безопасности?»

На сегодня двухфакторная аутентификация считается самым эффективным способом защиты персональных данных в интернете. И если вы хотите сказать, мол, «да кому нужны мои имя и фамилия, все их и так знают», то запомните, что персональная информация в интернете – это не только ФИО, дата рождения и адрес (хотя и эти данные не должны попадать в руки чужим людям), это еще и все ваши логины и пароли от всех ресурсов, в том числе и банковских. Имея ваш логин и пароль, к примеру, от электронной почты, злоумышленник может прочитать все, что вы высказали о вашем директоре в переписке с коллегой. Имея данные вашего аккаунта в онлайн-банкинге или же сразу данные карт, преступники не оставят вам денег даже на утешительный кофе, уж поверьте.

Более того, даже если вы каждый раз прилежно выходите и заходите вновь во все свои аккаунты, то короткого пароля недостаточно. Конечно, его просто запомнить, и вы точно не потеряете доступ к своим данным, но его так же легко и подобрать.

Читать еще:  Не работает выделение левой кнопкой мыши. Способы выделения текста клавиатурой и мышкой. Выделение отдельного слова

Вы должны знать, что в мире существует множество видов интернет-мошенничества. Самый распространенный хакерский способ получить ваши пароли в интернете – это так называемый фишинг. Этот метод состоит в подмене и подделке сайтов, адресов и текстов. Например, вы можете получить на электронную почту письмо от якобы вашего банка с просьбой немедленно зайти в свой аккаунт по любезно предложенной в теле письма ссылке. Вот только вы совершенно не заметили, что email «вашего банка» как-то совсем не похож на официальный, и вообще, половина букв написана латиницей вместо кириллицы. Таким образом, вы на автомате проходите по ссылке, и вот теперь самое интересное – если ваша система входа в банковский аккаунт завязана только на логине и пароле, то уже на данном этапе вы можете попрощаться со своими финансами. А если вы умны и предусмотрительны и настроили двухфакторную систему аутентификации, то даже если вы все-таки зашли на сайт мошенников, ваши деньги останутся нетронутыми, ведь сайт-подделка не сможет, к примеру, отправить смс с кодом на телефон – ваш номер знает только родной и настоящий банк.

А помните случаи взломов аккаунтов знаменитостей и крупных компаний в социальных сетях? К примеру, «Дмитрий Медведев» объявил в Twitter о своей отставке:

А Fox News «убил» Барака Обаму:

Наверняка они и еще сотни известных людей и организаций использовали только пароль для входа в свой аккаунт. И, будьте уверены, подобных способов украсть ваши данные просто видимо-невидимо, а с каждым днем их количество только растет. Вы действительно готовы каждый день рисковать?

«Хорошо, а как это работает?»

Как уже было сказано выше, двухфакторная аутентификация – это вход в интернет-сервис в два шага. Первый, разумеется, это логин и пароль. Помните, что к созданию пароля тоже нужно подходить со всей серьезностью, он должен:

  • Состоять как минимум из 8 символов (а некоторые эксперты уже говорят о 12)
  • Включать буквы разного регистра
  • Включать цифры или другие символы, отличные от букв

Создали надежный пароль? Точно надежный? А теперь переходим ко второму этапу, который в двухфакторной аутентификации может выглядеть по-разному:

  1. Код по смс, код черезpush-уведомление и код по звонку. Сервис, в который вы пытаетесь войти, уже знает ваш номер телефона, и при каждой новой авторизации после ввода логина и пароля присылает вам одноразовый SMS-код, push-уведомление или диктует код по роботизированному звонку, уникальный для каждой попытки. Плюсы: генерация новых кодов и привязка только к вашему номеру. Минусы: при отсутствии сигнала связи невозможно залогиниться; есть потенциальная возможность перехвата СМС клонированием сим-карты
  2. Электронная почта. После ввода логина и пароля пользователь получает письмо на email, который был указан при регистрации в том или ином интернет-ресурсе, в котором содержится проверочный код или ссылка-авторизации. Плюсы: этот способ доступен как на смартфонах, так и на мобильных устройствах. Минусы: необходимость подключения к интернету; возможность перехвата мошенниками всех писем авторизации в том случае, если они уже захватили почтовые логины-пароли.
  3. Специальное приложение. Более продвинутый и современный второй фактор аутентификации. Нужно установить на компьютер или смартфон одно из приложений (например, Google Authenticator, Authy, Microsoft Authenticator) и после ввода логина и пароля надо зайти в приложение, которое тут же сгенерирует случайный код, и затем ввести его в специальное поле. Плюсы: легко использовать; повышенная степень безопасности. Минусы: любой человек с доступом к вашему телефону получит также доступ к приложению и вашим учетным записям. Поэтому позаботьтесь об автоматической блокировке экрана телефона пин-кодом.
  4. Аппаратное обеспечение. В данном случае код будет генерироваться при помощи специального USB-брелока, то есть электронного ключа (а еще их называют аппаратными токенами), который подключается к компьютеру. Плюсы: повышенная безопасность и удобство. Минусы: очень просто потерять.
  5. Биометрические данные. Очень популярный способ защиты смартфонов как таковых (да-да, это про Face-ID и отпечатки пальцев). Но, помимо телефонов, этот способ может использоваться и в различных интернет-сервисах. Кроме распознавания лица и отпечатков, можно задействовать еще сетчатку глаза и голос. Плюсы: высокая безопасность, ведь никто не скопирует ваши физические данные (если только это не грабитель с угрозами); не требуется подключение к интернету. Минусы: технологии пока сыроваты, и есть возможность подмены настоящего лица фотографией или отпечатком пальца на 3D принтере

Как видите, способов защиты предостаточно. Но все же второй фактор – не обязателен, а опционален. Но мы настоятельно рекомендуем вам этой опцией пользоваться.

«Окей, а как все это подключить?»

Как уже было сказано выше, первый фактор – это логин и пароль. В качестве второго не нужно использовать все 5 способов, достаточно одного, пусть даже самого банального речь о пункте №1, например). У каждого сервиса будет свой второй фактор, но на самых крупных есть функция выбора.

Сразу скажем, что подключать двухфакторную аутентификацию нужно практически везде, но особенно в следующих сервисах:

  • Платформы Google, Яндекс, iCloud и прочие сервисы, в которых, как говорится, «Вся ваша интернет-жизнь».
  • Все социальные сети и мессенджеры
  • Все почтовые аккаунты
  • Банкинг
  • Облачные хранилища

Включается двухфакторная аутентификация очень просто. Скорее всего, добрая половина всех ваших сервисов и гаджетов сами предлагали вам ее включить, а у некоторых (особенно банковских приложений) эта функция включена по умолчанию. Если тот или иной сервис всячески прячет от вас пресловутую галочку включения, то мы бы советовали задуматься о добросовестности этого сервиса, но не об этом речь.

И да, двухфакторная аутентификация – это обычно галочка, которая находится в настройках нужного вам сервиса. А если настроек очень много и они разделены на группы, то искомой группой будет «Безопасность». После проставления галочки система предложит вам проверить оба способа авторизации здесь и сейчас, например, предложив ввести тестовый код из СМС.

Давайте, например, включим двухэтапную аутентификацию в Google, внутри которого у вас точно спрятана тонна всяких нужностей, вроде почты, Youtube, истории поиска, документов и чего-нибудь еще.

Открываем пустую вкладку браузера Chrome и устремляем взор в правый верхний угол:

Жмем туда и входим в свой личный гугл-кабинет. Внутри него нас, как уже было сказано, интересует вкладка «Безопасность».

Нажав ее, ищем пункт, похожий на двухэтапную или двухфакторную аутентификацию, и с остервенением давим на кнопку:

Нас категорически приветствуют. Никакой другой кнопки, кроме «Начать» нам не предлагается.

А вот и первая из двух проверок! Вдруг это не вы инициировали эти изменения? Вдруг вы завладели чьим-то аккаунтом и решили через эти функции закрыть доступ настоящему хозяину? Вводим пароль.

А теперь выбираем один из привязанных к аккаунту гаджетов. В нашем случае, это вездесущий, исцарапанный офисный iPhone 5S, на который и приходит push-уведомление о том, что некто хочет внедрить двухфакторную аутентификацию. Вводим нужные коды.

Вуаля! Двухфакторная аутентификация торжественно настроена. Шалость удалась. В остальных сервисах, гаджетах и прочих мессенджерах эта процедура выглядит практически идентично.

«Все? Теперь у меня 100% защиты?»

К сожалению, нет. Так или иначе, телефон могут украсть, в экран компьютера – подглядеть, звонок – перехватить, сим-карту – клонировать, и даже голос – подделать.

Не доверяйте подозрительным письмам, сайтам, звонкам и просьбам – мошенники всюду: и в интернете, и в реальности. И даже если двухфакторная аутентификация не дает вам гарантии стопроцентной защиты, все же гораздо разумнее будет не пренебрегать ею. Кроме того, именно эта система будет предупреждать вас даже о малейших попытках взломать ваш аккаунт, что очень полезно в деле защиты и безопасности.

Помните, что спасение учетной записи пользователя – дело самого пользователя. Удачи!

Ссылка на основную публикацию
Статьи c упоминанием слов:

Adblock
detector