для входа в личный кабинет введите код авторизации
Двухфакторная авторизация в 1xBet
Для каждого беттера безопасность – это важное условие при выборе букмекерской конторы. Согласитесь, что каждый хочет, чтобы его аккаунт не взломали, и деньги не пропали с личного счета. В качестве дополнительного инструмента для безопасности профиля пользователя букмекерская контора 1xBet предлагает двухфакторную авторизацию. Что это значит? Что необходимо знать пользователю об этом инструменте? Ответим на эти и другие варианты в данной статье.
Что такое 2-х факторная авторизация в 1xbet?
Как включить двухфакторную авторизацию в 1xBet?
Теперь поговорим о том, каким образом происходит подключение двухфакторной авторизации.
Как войти в 1xBet при двухфакторной авторизации?
Теперь на конкретном примере рассмотрим то, как работает 2-х факторная аутентификация в данной букмекерской конторе Попробуем войти в личный кабинет.
Для этого заходим на главную страницу букмекера и нажимаем на кнопку «Войти». Далее вводим данные для входа (логин и пароль) и нажимаем «Вход». После этого на экране появится специальное окно, в которое необходимо будет ввести код. Его, как уже можно догадаться, нужно взять в приложении Google Authenticator.
Если код был введен верно, то пользователь без проблем войдет в свой личный кабинет. Но бывает ситуации, когда система отказывается принимать код якобы он неверный. Главная причина этой проблемы – синхронизация времени.
Примерно такая же процедура ждет пользователя, если он захочет вывести свой выигрыш или изменить настройки в своем профиле. После подключения двухфазной авторизации каждое действие нужно будет подтверждать.
Теперь хотелось бы остановиться на достоинствах и недостатках этого инструмента. К его преимуществам можно отнести:
Но есть и серьезный недостаток: если злоумышленник получит доступ к телефону пользователя, то он сможет войти в аккаунт 1xbet и, например, вывести выигрыш. Ну и ситуация с тем, что часто нарушается синхронизация и система не принимает код, часто вынуждает игроков произнести не одно крепкое словцо.
Как отключить двухфакторную авторизацию в 1xbet?
Но как быть пользователю, если он решил отказаться от этого инструмента? Или проблемы со входом, когда код нужно вводить по несколько раз, появляются все чаще? В таком случае единственный верный вариант – это отключить двухфакторную авторизацию в 1xbet. И сейчас мы расскажем о том, как это можно сделать.
Пришло время вспомнить о том документе, который мы скачивали при подключении этого инструмента. В нем находится секретный ключ, без которого самостоятельно отключить 2-х факторную авторизацию не получится.
По шагам:
В том случае, если пользователь потерял секретный код или не скачал документ при подключении, то единственный оставшийся вариант отключения двойной авторизации – это связаться со службой поддержки по электронной почте:
Для этого необходимо описать суть возникшей проблемы, а также быть готовым к подтверждению своей личности (например, оператор может попросить прислать фото главной страницы паспорта). Как правило, отключение двухфакторной авторизации происходит мгновенно – в редких случаях процесс может затянуться на сутки.
Включить двухфакторную аутентификацию
Вы можете включить двухфакторную аутентификацию в настройках аккаунта. Вам понадобится приложение Яндекс.Ключ, которое можно установить на мобильное устройство на базе iOS или Android. Устройство, которое не поддерживает установку приложений (например, Amazon Kindle Fire) использовать не получится.
После того как вы включите двухфакторную аутентификацию:
Все приложения, программы и сервисы Яндекса будут требовать именно одноразовый пароль. Одноразовый пароль также понадобится при входе с помощью социальной сети и входе в ящик Почты для доменов.
Логин и пароль можно не вводить, если вы входите на Яндекс с помощью QR-кода.
Для сторонних мобильных приложений, компьютерных программ и сборщиков почты необходимо будет использовать индивидуальные пароли приложений.
Настройка проходит в несколько шагов. Двухфакторная аутентификация включается только после того, как вы нажмете кнопку Завершить настройку на последнем шаге.
Шаг 1. Подтвердите номер телефона
Если к вашему аккаунту привязан номер телефона, браузер покажет этот номер и попросит подтвердить или изменить его. Если текущий номер телефона не привязан к вашему аккаунту, нужно будет привязать его, иначе вы не сможете самостоятельно восстановить доступ.
Шаг 2. Создайте пин-код
Придумайте и введите четырехзначный пин-код для двухфакторной аутентификации.
Шаг 3. Настройте Яндекс.Ключ
Яндекс.Ключ необходим, чтобы генерировать одноразовые пароли для вашего аккаунта. Вы можете получить ссылку на приложение прямо на телефон или установить его из App Store или Google Play.
Распознав аккаунт, приложение запросит пин-код, который вы создали на предыдущем шаге настройки 2FA.
Шаг 4. Проверьте одноразовый пароль
Чтобы убедиться, что все настроено правильно, на последнем шаге нужно ввести одноразовый пароль. Двухфакторная аутентификация включится только после этого.
В Яндекс.Ключе введите пин-код, созданный на втором шаге. Приложение покажет одноразовый пароль. Введите его рядом с кнопкой Включить и нажмите ее. В некоторых случаях потребуется дополнительно указать пароль, которым вы пользовались до включения 2FA.
Если вы ввели корректные данные, 2FA включится, и откроется ваш аккаунт.
Включить двухфакторную аутентификацию
Вы можете включить двухфакторную аутентификацию в настройках аккаунта. Вам понадобится приложение Яндекс.Ключ, которое можно установить на мобильное устройство на базе iOS или Android. Устройство, которое не поддерживает установку приложений (например, Amazon Kindle Fire) использовать не получится.
После того как вы включите двухфакторную аутентификацию:
Все приложения, программы и сервисы Яндекса будут требовать именно одноразовый пароль. Одноразовый пароль также понадобится при входе с помощью социальной сети и входе в ящик Почты для доменов.
Логин и пароль можно не вводить, если вы входите на Яндекс с помощью QR-кода.
Для сторонних мобильных приложений, компьютерных программ и сборщиков почты необходимо будет использовать индивидуальные пароли приложений.
Настройка проходит в несколько шагов. Двухфакторная аутентификация включается только после того, как вы нажмете кнопку Завершить настройку на последнем шаге.
Шаг 1. Подтвердите номер телефона
Если к вашему аккаунту привязан номер телефона, браузер покажет этот номер и попросит подтвердить или изменить его. Если текущий номер телефона не привязан к вашему аккаунту, нужно будет привязать его, иначе вы не сможете самостоятельно восстановить доступ.
Шаг 2. Создайте пин-код
Придумайте и введите четырехзначный пин-код для двухфакторной аутентификации.
Шаг 3. Настройте Яндекс.Ключ
Яндекс.Ключ необходим, чтобы генерировать одноразовые пароли для вашего аккаунта. Вы можете получить ссылку на приложение прямо на телефон или установить его из App Store или Google Play.
Распознав аккаунт, приложение запросит пин-код, который вы создали на предыдущем шаге настройки 2FA.
Шаг 4. Проверьте одноразовый пароль
Чтобы убедиться, что все настроено правильно, на последнем шаге нужно ввести одноразовый пароль. Двухфакторная аутентификация включится только после этого.
В Яндекс.Ключе введите пин-код, созданный на втором шаге. Приложение покажет одноразовый пароль. Введите его рядом с кнопкой Включить и нажмите ее. В некоторых случаях потребуется дополнительно указать пароль, которым вы пользовались до включения 2FA.
Если вы ввели корректные данные, 2FA включится, и откроется ваш аккаунт.
Вход с двухфакторной аутентификацией
Если вы включили двухфакторную аутентификацию, вы сможете войти с помощью одноразового пароля на любой сервис или в приложения Яндекса. Если вы добавили несколько аккаунтов в Яндекс.Ключ, перед вводом пин-кода не забудьте переключиться на нужный аккаунт. Еще вы можете войти на некоторые сервисы Яндекса с помощью QR-кода.
Для входа в сторонние приложения и программы (почтовых клиентах, мессенджерах, сборщиках почты и т. п.) используйте пароли приложений.
Вход на сервис или в приложение Яндекса
Вы можете ввести одноразовый пароль при входе на сервисы или в приложения Яндекса.
Чтобы получить одноразовый пароль, запустите Яндекс.Ключ и введите пин-код, который вы задали при настройке двухфакторной аутентификации. Приложение начнет генерировать пароли раз в 30 секунд.
Яндекс.Ключ не проверяет введенный вами пин-код и генерирует одноразовые пароли, даже если вы ввели свой пин-код неправильно. В этом случае созданные пароли также будут неверными и войти с их помощью не получится. Чтобы ввести правильный пин-код, достаточно выйти из приложения и запустить его снова.
Вход с помощью QR-кода
Некоторые сервисы (например, главная страница Яндекса, Диск и Почта) позволяют войти на Яндекс, просто наведя камеру на QR-код. При этом ваше мобильное устройство должно быть подключено к интернету, чтобы Яндекс.Ключ мог связаться с сервером авторизации.
Чтобы войти с помощью QR-кода:
Нажмите значок QR-кода в браузере.
Если такого значка нет, значит войти на этот сервис можно только с помощью пароля. В этом случае вы можете войти в аккаунт с помощью QR-кода, а затем перейти к нужному сервису.
Яндекс.Ключ распознает QR-код и передаст в Яндекс ID ваш логин и одноразовый пароль. Если они пройдут проверку, вы автоматически войдете в браузере. Если переданный пароль окажется неверным (например, из-за того, что вы неправильно ввели пин-код в Яндекс.Ключе), браузер покажет стандартное сообщение о неправильном пароле.
Вход с Яндекс ID в стороннее приложение или сайт
Приложения или сайты, которым нужен доступ к вашим данным на Яндексе, иногда требуют ввести пароль, чтобы войти в аккаунт. В таких случаях одноразовые пароли не сработают — для каждого такого приложения необходимо создать отдельный пароль приложения.
Перенос Яндекс.Ключа
Вы можете перенести генерацию одноразовых паролей на другое устройство или настроить Яндекс.Ключ на нескольких смартфонах одновременно. Это можно сделать двумя способами:
Используйте резервную копию данных.
Несколько аккаунтов в Яндекс.Ключе
Чтобы удалить привязку аккаунта к Яндекс.Ключу, нажмите и удерживайте соответствующий портрет в приложении, пока справа от него не появится крестик. Когда вы нажмете на крестик, привязка аккаунта к Яндекс.Ключу будет удалена.
Отпечаток пальца вместо пин-кода
Если устройство оснащено сканером отпечатков пальца, отпечаток пальца можно использовать вместо пин-кода. Заменить пин-код отпечатком можно на:
смартфонах с Android 6.0 и выше;
iPhone, начиная с модели 5S;
iPad, начиная с модели Air 2.
Чтобы включить проверку отпечатка:
Выберите нужный аккаунт.
Включите опцию Отпечаток пальца (для Android) или Touch ID (для iOS).
Мастер-пароль
С помощью мастер-пароля вы можете:
сделать так, чтобы вместо отпечатка можно было ввести только мастер-пароль Яндекс.Ключа, а не код блокировки устройства;
сохранить пин-код для Яндекс ID в приложении, чтобы его не приходилось вводить каждый раз, когда вам нужен новый одноразовый пароль.
Резервная копия данных Яндекс.Ключа
Вы можете создать резервную копию Ключа на сервере Яндекса, чтобы иметь возможность перенести ее на другое устройство или восстановить данные, если вы потеряли телефон или планшет.
Чтобы получить данные из резервной копии, нужно:
иметь доступ к номеру телефона, который вы указали при создании копии;
помнить пароль, который вы придумали для шифрования резервной копии.
На сервер копируются данные всех аккаунтов, добавленных в Ключ на момент создания копии. Больше одной резервной копии создать нельзя, каждая следующая копия данных для определенного номера телефона замещает предыдущую.
Удалить резервную копию с сервера Яндекса самому пока нельзя. Она удаляется с сервера Яндекса автоматически, если вы не пользуетесь ей больше года.
Создание резервной копии
Выберите пункт Создать резервную копию в настройках приложения.
Придумайте пароль, которым будет зашифрована резервная копия ваших данных. Этот пароль нельзя восстановить, поэтому убедитесь в том, что вы не забудете или не потеряете его.
Восстановление из резервной копии
Выберите пункт Восстановить из резервной копии в настройках приложения.
Если для указанного номера найдена резервная копия данных Ключа, Яндекс отправит код подтверждения на этот номер телефона. Как только вы получите код, введите его в приложении.
Введите пароль, который вы задали при создании резервной копии. Если вы не помните его, к сожалению, расшифровать резервную копию будет невозможно.
Яндекс.Ключ расшифрует данные резервной копии и сообщит о том, что данные восстановлены.
Как одноразовые пароли зависят от точного времени
При генерации одноразовых паролей Яндекс.Ключ учитывает текущее время и часовой пояс, установленные на устройстве. Когда доступно интернет-соединение, Ключ также запрашивает точное время с сервера: если на устройстве время выставлено неверно, приложение сделает поправку на это. Но в некоторых ситуациях даже после поправки и при корректном пин-коде одноразовый пароль будет неправильным.
Если вы уверены, что вводите пин-код и пароль верно, но войти не получается:
Убедитесь, что на вашем устройстве установлено корректное время и часовой пояс. После этого попробуйте войти с новым одноразовым паролем.
Подключите устройство к интернету, чтобы Яндекс.Ключ мог получить точное время самостоятельно. Затем перезапустите приложение и попробуйте ввести новый одноразовый пароль.
Если проблема не разрешилась, обратитесь в службу поддержки через форму ниже.
Вход с двухфакторной аутентификацией
Если вы включили двухфакторную аутентификацию, вы сможете войти с помощью одноразового пароля на любой сервис или в приложения Яндекса. Если вы добавили несколько аккаунтов в Яндекс.Ключ, перед вводом пин-кода не забудьте переключиться на нужный аккаунт. Еще вы можете войти на некоторые сервисы Яндекса с помощью QR-кода.
Для входа в сторонние приложения и программы (почтовых клиентах, мессенджерах, сборщиках почты и т. п.) используйте пароли приложений.
Вход на сервис или в приложение Яндекса
Вы можете ввести одноразовый пароль при входе на сервисы или в приложения Яндекса.
Чтобы получить одноразовый пароль, запустите Яндекс.Ключ и введите пин-код, который вы задали при настройке двухфакторной аутентификации. Приложение начнет генерировать пароли раз в 30 секунд.
Яндекс.Ключ не проверяет введенный вами пин-код и генерирует одноразовые пароли, даже если вы ввели свой пин-код неправильно. В этом случае созданные пароли также будут неверными и войти с их помощью не получится. Чтобы ввести правильный пин-код, достаточно выйти из приложения и запустить его снова.
Вход с помощью QR-кода
Некоторые сервисы (например, главная страница Яндекса, Диск и Почта) позволяют войти на Яндекс, просто наведя камеру на QR-код. При этом ваше мобильное устройство должно быть подключено к интернету, чтобы Яндекс.Ключ мог связаться с сервером авторизации.
Чтобы войти с помощью QR-кода:
Нажмите значок QR-кода в браузере.
Если такого значка нет, значит войти на этот сервис можно только с помощью пароля. В этом случае вы можете войти в аккаунт с помощью QR-кода, а затем перейти к нужному сервису.
Яндекс.Ключ распознает QR-код и передаст в Яндекс ID ваш логин и одноразовый пароль. Если они пройдут проверку, вы автоматически войдете в браузере. Если переданный пароль окажется неверным (например, из-за того, что вы неправильно ввели пин-код в Яндекс.Ключе), браузер покажет стандартное сообщение о неправильном пароле.
Вход с Яндекс ID в стороннее приложение или сайт
Приложения или сайты, которым нужен доступ к вашим данным на Яндексе, иногда требуют ввести пароль, чтобы войти в аккаунт. В таких случаях одноразовые пароли не сработают — для каждого такого приложения необходимо создать отдельный пароль приложения.
Перенос Яндекс.Ключа
Вы можете перенести генерацию одноразовых паролей на другое устройство или настроить Яндекс.Ключ на нескольких смартфонах одновременно. Это можно сделать двумя способами:
Используйте резервную копию данных.
Несколько аккаунтов в Яндекс.Ключе
Один и тот же Яндекс.Ключ можно использовать для нескольких аккаунтов с одноразовыми паролями. Чтобы добавить в приложение еще один аккаунт, при настройке одноразовых паролей на шаге 3 нажмите в приложении значок 
. Кроме того, вы можете добавить в Яндекс.Ключ генерацию паролей для других сервисов, поддерживающих такую двухфакторную аутентификацию. Инструкции для самых популярных сервисов приведены на странице о создании кодов проверки не для Яндекса.
Чтобы удалить привязку аккаунта к Яндекс.Ключу, нажмите и удерживайте соответствующий портрет в приложении, пока справа от него не появится крестик. Когда вы нажмете на крестик, привязка аккаунта к Яндекс.Ключу будет удалена.
Отпечаток пальца вместо пин-кода
Если устройство оснащено сканером отпечатков пальца, отпечаток пальца можно использовать вместо пин-кода. Заменить пин-код отпечатком можно на:
Коды в SMS небезопасны — рекомендуем пользоваться другими вариантами двухфакторной аутентификации
Почему SMS — не лучший выбор для двухфакторной аутентификации, и какие существуют альтернативы.
За последние пару лет идея двухфакторной аутентификации, о которой так долго говорили гики, сильно продвинулась в массы. Однако до сих пор в большинстве случаев речь идет о двухфакторной аутентификации при помощи одноразовых паролей, приходящих в SMS. А это, к сожалению, не очень-то надежный вариант. Вот что может пойти не так:
Надо заметить, что даже самый трудоемкий и высокотехнологичный из перечисленных методов перехвата пароля в SMS — с помощью взлома протокола SS7 — уже был использован на практике. Так что речь не о теоретической возможности возникновения неприятностей, а о вполне практической угрозе.
В общем, пароли в SMS — это не очень-то безопасно, а иногда даже и очень небезопасно. Поэтому есть смысл озаботиться поиском альтернативных вариантов двухэтапной аутентификации, о чем мы сегодня и поговорим.
Одноразовые коды в файле или на бумажке
Наиболее простая замена одноразовым паролям, присылаемым в SMS, — это те же самые одноразовые пароли, но заготовленные заранее. Это не самый плохой вариант, особенно для тех сервисов, в которых вам надо авторизовываться сравнительно редко. Собственно, даже для того же «Фейсбука» этот метод вполне может подойти, особенно в качестве резервного способа входа.
Работает это очень просто: по запросу сервис генерирует и показывает на экране десяток одноразовых кодов, которые в дальнейшем могут быть использованы для подтверждения входа в него. Дальше вы просто распечатываете или переписываете эти коды на бумагу и кладете в сейф. Или, что еще проще, сохраняете в зашифрованных записях в менеджере паролей.
В общем, не так важно, будете ли вы хранить эти коды на теплой ламповой бумаге или в бездушном цифровом виде — важно сохранить их так, чтобы они а) не потерялись и б) не могли быть украдены.
Приложения для двухфакторной аутентификации
У единожды сгенерированного набора одноразовых кодов есть один недостаток: рано или поздно он закончится, и вполне может так получиться, что вы останетесь без кода в самый неподходящий момент. Поэтому есть способ лучше: можно генерировать одноразовые коды на лету с помощью небольшого и, как правило, очень простого приложения — аутентификатора.
Как работают приложения-аутентификаторы
Работают приложения для двухфакторной аутентификации очень просто. Вот что придется сделать:
Коды создаются на основе ключа, который известен только вам и серверу, а также текущего времени, округленного до 30 секунд. Поскольку обе составляющие одинаковы и у вас, и у сервиса, коды генерируются синхронно. Этот алгоритм называется OATH TOTP (Time-based One-time Password), и в подавляющем большинстве случаев используется именно он.
Также существует альтернатива — алгоритм OATH HOTP (HMAC-based One-time Password). В нем вместо текущего времени используется счетчик, увеличивающийся на 1 при каждом новом созданном коде. Но этот алгоритм редко встречается в реальности, поскольку при его использовании гораздо сложнее обеспечить синхронное создание кодов на стороне сервиса и приложения. Проще говоря, есть немалый риск, что в один не очень прекрасный момент счетчик собьется и ваш одноразовый пароль не сработает.
Так что можно считать OATH TOTP де-факто индустриальным стандартом (хотя формально это даже не стандарт, на чем создатели этого алгоритма очень настаивают в его описании).
Совместимость приложений для двухфакторной аутентификации и сервисов
Подавляющее большинство приложений для двухфакторной аутентификации работает по одному и тому же алгоритму, так что для всех сервисов, которые поддерживают аутентификаторы, можно использовать любое из них — какое вам больше нравится.
Как и в любом добротном правиле, в этом тоже есть определенное количество исключений. Некоторые сервисы по каким-то причинам, ведомым только им одним, предпочитают делать свои собственные приложения для двухфакторной аутентификации, которые работают только с ними. Более того, сами сервисы не работают ни с какими другими приложениями, кроме своих собственных.
Особенно это распространено среди крупных издателей компьютерных игр — например, существуют несовместимые со сторонними сервисами приложения Blizzard Authenticator, Steam Mobile с встроенным аутентификатором Steam Guard, Wargaming Auth и так далее. Для этих сервисов придется ставить именно эти приложения.
Также по этому странному пути пошла Adobe, разработавшая Adobe Authenticator, который работает только с аккаунтами AdobeID. Но при этом вы можете использовать для защиты AdobeID и другие аутентификаторы, так что вообще непонятно, ради чего было городить огород.
Так или иначе, большинство нормальных ИТ-компаний не ограничивает пользователей в выборе 2FA-приложения. И даже если по каким-то соображениям им хочется контролировать этот процесс и создать свое приложение, то чаще всего они позволяют защищать с его помощью не только «свои» аккаунты, но и учетные записи сторонних сервисов.
Поэтому просто выбирайте приложение-аутентификатор, которое вам больше нравится по набору дополнительных функций — оно будет работать с большинством сервисов, которые вообще поддерживают 2FA-приложения.
Лучшие приложения для двухфакторной аутентификации
Выбор 2FA-приложений на удивление велик: поиск по запросу «authenticator» в Google Play или Apple App Store выдает не один десяток результатов. Мы не советуем устанавливать первое попавшееся приложение — это может быть небезопасно, ведь, по сути, вы собираетесь доверить ему ключи от своих аккаунтов (оно не будет знать ваши пароли, конечно, но ведь 2FA вы добавляете именно потому, что пароли имеют свойство утекать). В общем, стоит выбирать из приложений, созданных крупными и уважаемыми разработчиками.
Несмотря на то что базовая функция у всех этих приложений одна и та же — создание одноразовых кодов по одному и тому же алгоритму, некоторые аутентификаторы обладают дополнительными функциями или особенностями интерфейса, которые могут показаться вам удобными. Перечислим несколько самых интересных вариантов.
1. Google Authenticator
Поддерживаемые платформы: Android, iOS
Как отмечают буквально все публикации, Google Authenticator — это самое простое в использовании из всех существующих приложений для двухфакторной аутентификации. У него даже настроек нет. Все, что можно сделать, — это добавить новый токен (так называется генератор кодов для отдельного аккаунта) или удалить один из имеющихся. А чтобы скопировать код в буфер обмена, достаточно коснуться его пальцем на сенсорном экране смартфона или планшета. Все!
Однако у такой простоты есть и недостаток: если вам что-то не нравится в интерфейсе или хочется от аутентификатора чего-то большего — придется устанавливать другое приложение.
+ Очень просто использовать.
2. Duo Mobile
Поддерживаемые платформы: Android, iOS
Duo Mobile также крайне прост в использовании, минималистичен и лишен дополнительных настроек. По сравнению с Google Authenticator у него есть одно преимущество: по умолчанию Duo Mobile скрывает коды — чтобы увидеть код, надо нажать на конкретный токен. Если вы, как и я, испытываете дискомфорт каждый раз, когда открываете аутентификатор и показываете всем окружающим кучу кодов от всех своих аккаунтов сразу, то вам эта особенность Duo Mobile наверняка понравится.
+ По умолчанию скрывает коды.
3. Microsoft Authenticator
Поддерживаемые платформы: Android, iOS
В Microsoft тоже не стали усложнять и сделали свой аутентификатор на вид очень минималистичным. Но при этом Microsoft Authenticator заметно функциональнее, чем Google Authenticator. Во-первых, хоть по умолчанию все коды показываются, но каждый из токенов можно отдельно настроить так, чтобы при запуске приложения код был скрыт.
Во-вторых, Microsoft Authenticator упрощает вход в аккаунты Microsoft. В этом случае после ввода пароля достаточно будет нажать в приложении кнопку подтверждения входа — и все, можно даже не вводить одноразовый код.
+ Можно настроить, чтобы коды скрывались.
+ Дополнительные возможности для входа в аккаунты Microsoft.
4. FreeOTP
Поддерживаемые платформы: Android, iOS
Есть четыре причины, по которым вам может понравиться этот аутентификатор, разработанный Red Hat. Во-первых, это ваш выбор, если вы любите программное обеспечение с открытым кодом. Во-вторых, это самое маленькое приложение из всех рассматриваемых — версия для iOS занимает всего 750 Кбайт. Для сравнения: минималистичный Google Authenticator занимает почти 14 Мбайт, а приложение Authy, о котором мы поговорим ниже, — аж 44 Мбайта.
В-третьих, по умолчанию приложение скрывает коды и показывает их только после касания. Наконец, в-четвертых, FreeOTP позволяет максимально гибко конфигурировать токены вручную, если вам это зачем-нибудь нужно. Разумеется, обычный способ создания токена с помощью сканирования QR-кода тоже поддерживается.
+ По умолчанию скрывает коды.
+ Приложение занимает всего 700 Кбайт.
+ Открытый код.
+ Максимум настроек при создании токена вручную.
5. Authy
Самое навороченное из приложений для двухфакторной аутентификации, основным достоинством которого является то, что все токены хранятся в облаке. Это позволяет получить доступ к токенам с любого из ваших устройств. Заодно это упрощает переезд на новые устройства — не придется заново активировать 2FA в каждом сервисе, можно продолжить пользоваться существующими токенами.
В облаке токены зашифрованы ключом, который создается на основе заданного пользователем пароля, — то есть данные хранятся безопасно, и украсть их будет нелегко. Также можно установить ПИН-код на вход в приложение — или защитить его отпечатком пальца, если ваш смартфон оснащен соответствующим сканером.
Основной недостаток Authy состоит в том, что приложение с ходу требует завести аккаунт, привязанный к вашему телефонному номеру, — без этого просто не получится начать с ним работать.
+ Токены хранятся в облаке, что позволяет использовать их на всех своих устройствах.
+ По той же причине очень удобно переезжать на новое устройство.
+ Вход в приложение защищен PIN-кодом или отпечатком пальца.
+ На экране показывается код только для последнего использованного токена.
+ В отличие от остальных приложений, поддерживает не только Android и iOS, но и Windows, macOS и Chrome.
− Требуется зарегистрироваться в Authy, используя номер телефона, — без этого приложение не работает.
6. «Яндекс.Ключ»
Поддерживаемые платформы: Android, iOS
На мой взгляд, по концепции «Яндекс.Ключ» — это самое удачное из существующих приложений для двухфакторной аутентификации. С одной стороны, оно не требует с ходу регистрироваться — можно начать им пользоваться с той же легкостью, как и Google Authenticator. С другой стороны, в нем есть несколько дополнительных возможностей, которые открываются тем, кто не поленится зайти в настройки.
Во-первых, «Яндекс.Ключ» можно «запереть» на PIN-код или отпечаток пальца. Во-вторых, можно создать в облаке «Яндекса» резервную копию токенов, защищенную паролем (а вот на этом этапе уже придется указать номер телефона), и восстановить ее на любом из используемых вами устройств. Точно так же можно будет перенести токены на новое устройство, когда понадобится переезжать.
Получается, что «Яндекс.Ключ» сочетает в себе простоту Google Authenticator и расширенную функциональность Authy — в зависимости от того, что вы предпочитаете. Единственный недостаток приложения — не вполне удобный для использования с большим количеством токенов интерфейс.
+ Минимализм на старте, расширенная функциональность доступна через настройки.
+ Создание резервных копий токенов в облаке для использования на нескольких устройствах и переезда на новые.
+ Вход в приложение защищен PIN-кодом или отпечатком пальца.
+ На экране показывается код только для последнего использованного токена.
+ Заменяет постоянный пароль к аккаунту «Яндекса».
− При большом количестве токенов не очень удобно искать нужный.
«Железные» аутентификаторы FIDO U2F: YubiKey и все-все-все
Если приложение, генерирующее одноразовые коды, кажется вам слишком эфемерным способом защитить свои аккаунты, и хочется чего-то более постоянного, надежного и материального — буквально запереть аккаунт на ключ и положить его в карман, — то у меня есть для вас хорошая новость: такой вариант также существует. Это аппаратные токены стандарта U2F (Universal 2nd Factor), созданного FIDO Alliance.
Как работают токены FIDO U2F
Аппаратные U2F-токены очень полюбились специалистам по безопасности — в первую очередь потому, что с точки зрения пользователя они работают очень просто. Для начала работы достаточно подключить U2F-токен к вашему устройству и зарегистрировать его в совместимом сервисе, причем делается это буквально в пару кликов.
Впоследствии при необходимости подтвердить вход в этот сервис нужно будет подключить U2F-токен к тому устройству, с которого вы входите, и нажать на токене кнопку (в некоторых устройствах — ввести PIN или приложить палец к сканеру). Все — никаких сложных настроек, ввода длинных последовательностей случайных символов и прочих танцев с бубном, которые обычно все себе представляют при упоминании слова «криптография».
Вставьте ключ и нажмите кнопку — и это действительно все
При этом «под капотом» все устроено очень умно и криптографически надежно: при регистрации токена на сервисе создается пара криптографических ключей — приватный и публичный. Публичный сохраняется на сервере, а приватный хранится в защищенном хранилище Secure Element, которое является сердцем U2F-токена, — и этот ключ никогда не покидает устройство.
Приватный ключ используется для того, чтобы зашифровать подтверждение входа, которое передается на сервер и может быть расшифровано с помощью публичного ключа. Если кто-то от вашего имени попытается передать подтверждение входа, зашифрованное неправильным приватным ключом, то при расшифровке с помощью известного сервису публичного ключа вместо подтверждения получится бессмыслица, и сервис не пустит его в аккаунт.
Какими бывают U2F-устройства
Наиболее известный и распространенный пример U2F — это «ключи» YubiKey, которые производит компания Yubico. Собственно, она и стояла у истоков этого стандарта, но предпочла сделать его открытым, для чего и был создан FIDO Alliance. А поскольку стандарт открытый, вы не ограничены в выборе: U2F-совместимые устройства производят и продают разные компании — в онлайн-магазинах можно найти множество разнообразных моделей.
YubiKey — вероятно, самые популярные U2F-токены
Например, Google недавно представила свой комплект аппаратных аутентификаторов Google Titan Security Keys. На самом деле это ключи производства Feitian Technologies (второй по популярности производитель U2F-токенов после Yubico), для которых в Google написали собственную прошивку.
Разумеется, все аппаратные аутентификаторы, совместимые со стандартом U2F, будут с одинаковым успехом работать со всеми сервисами, которые также с этим стандартом совместимы. Однако у разных моделей есть несколько важных различий, и самое важное из них — это интерфейсы, которыми оборудован «ключ». От этого напрямую зависит, с какими устройствами он сможет работать:
USB — для подключения к компьютерам (Windows, Mac или Linux — неважно, «ключи» работают без установки каких-либо драйверов). Помимо обычного USB-A бывают «ключи» с USB-C.
NFC — необходим для использования со смартфонами и планшетами на Android.
Bluetooth — понадобится на тех мобильных устройствах, в которых нет NFC. К примеру, аутентификатор с Bluetooth все еще нужен владельцам iPhone: несмотря на то, что в iOS уже разрешили приложениям использовать NFC (до 2018 года это было позволено только Apple Pay), разработчики большинства совместимых с U2F приложений еще не воспользовались этой возможностью. У Bluetooth-аутентификаторов есть пара минусов: во-первых, их нужно заряжать, а во-вторых, их подключение занимает гораздо больше времени.
Что же выбрать: SMS, приложение или YubiKey?
Универсального ответа на этот вопрос не существует — для разных сервисов можно использовать разные варианты двухфакторной аутентификации в различных сочетаниях. Например, наиболее важные аккаунты (скажем, вашу основную почту, к которой привязаны остальные учетные записи) стоит защитить по максимуму — запереть на «железный» U2F-токен и запретить любые другие опции 2FA. Так можно быть уверенным, что никто и никогда не получит доступ к аккаунту без этого токена.
Хороший вариант — привязать к аккаунту два «ключа», как это делается с ключами от автомобиля: один всегда с собой, а другой лежит в надежном месте — на случай, если первый потеряется. При этом «ключи» могут быть разного типа: скажем, приложение-аутентификатор на смартфоне в качестве основного и U2F-токен или листочек с одноразовыми паролями, лежащий в сейфе, в качестве резервного средства.
Так или иначе, главный совет — по возможности избегать использования одноразовых паролей в SMS. Правда, получится это не всегда: например, финансовые сервисы в силу своей консервативности продолжают использовать SMS и крайне редко позволяют пользоваться чем-либо еще.