как использовать двухфакторную аутентификацию с подтверждением входа через sms код
Двухфакторная авторизация по смс с барышнями и преферансом
Это рассказ про то, как для элементарного поля «введите код из смс» был построен велосипед с большим числом колёс неправильной формы. Приглашаю покритиковать универсальный модуль для двухфакторной авторизации.
Проблема
Однажды шеф попросил прикрутить к одному веб-сервису двухфакторную авторизацию. Пользователи уже давно входили по логину и паролю, а требовалось добавить подтверждение входа по смс. Подходящего готового решения в сети не нашлось, значит нужно делать самому. Да что тут делать-то, к вечеру всё будет! В общем, через три дня форма входа запрашивала номер мобильника и требовала ввести код из смс. Смс отправлялось через API одного из многочисленных смс-провайдеров за небольшие деньги.
Вскоре решение было с помощью напильника перенесено на еще одну веб-админку на PHP. Через пару недель стало приходить много жалоб, что смски приходят с огромной задержкой, или не приходят совсем. Решили поменять шлюз отправки сообщений. Естественно, на обоих сервисах. Помогло не на долго, стало ясно что нужен резервный канал отправки. Так потратился ещё день-два. Далее через несколько месяцев на одном из сервисов злоумышленник скликал все деньги, которые были на счету у смс-провайдера. Пришлось ещё немного усложнить систему, и продублировать решение. Следующий сбой произошел, когда мобильные операторы переходили на новые правила для рассылок смс касательно содержания поля отправитель. В тоже время случайно обнаружилось, что у двух коллег в офисе не приходит смс для входа в банк-клиенты двух разных весьма крупных банков. Тогда стало ясно – хватит это терпеть, миру нужно универсальное решение для двухфакторной авторизации по смс!
Постановка задачи
Было решено сделать супер универсальный и надёжный модуль двухфакторной авторизации по смс, который легко встроить на любой сайт, и продавать его по подписке! Да здравствует стартап!
Для переносимости и безопасности решено всё, что можно, вынести на сервер отправки смс и в JavaScript, чтобы на сервере сайта было как можно меньше кода. После вдумчивых размышлений получилась вот-такая архитектура.
Подразумевается, что сервер сайта до подключения двухфакторной авторизации проверяет только логин и пароль. После подключения проверят логин, пароль и одобрение от сервера авторизации по смс. При этом сервер авторизации по смс будет хранить ID пользователей сайта и их телефоны, а логины и пароли останутся ему не известны.
Запрос от сайта к серверу авторизации идёт через браузер пользователя. Сервер сайта полностью абстрагирован от понятия смс и получает только одобрение от сервера авторизации. Сервер сайта выставляет куку с запросом на подтверждение по смс. JavaScript обнаруживает эту куку и инициирует взаимодействие с сервером отправки смс по AJAX. Сообщение об успешной проверке смс передается на сервер сайта также с помощью куки. Сайт производит авторизацию, когда ему переданы правильные логин, пароль и кука с подтверждением от сервера авторизации по смс.
Безопасность
Запросы между серверами сайта и авторизации проходят через браузер пользователя. Чтобы он не смог их подменять, будем каждый запрос подписывать ключом, который знают оба сервера, но не знает браузер. Также назначим срок годности пакета данных, передаваемого между серверами. После таких ограничений, максимум что можно сделать после полной компрометации браузера – перехватить логин, пароль и одобрение от сервера авторизации. Это позволит одновременно войти на атакуемый сайт с еще одного компьютера. Предполагается, что злоумышленник в этом случае поступит проще, и просто заберёт сессию!
Если скомпрометирован сервер авторизации, то злоумышленник узнает телефоны пользователей и получит возможность подделывать ответы от сервера авторизации. Однако, для доступа к учетным записям на сайте этого мало, нужно знать логины и пароли, которых на сервере авторизации нет.
Браузер и сервер авторизации общаются через AJAX по https, перехватить их данные проблематично. Если форма авторизации на сайте тоже работает по HTTPS, то и здесь атаковать сложно, в противном случае двухфакторная авторизация не поможет от более простой кражи сессии.
В сумме такой подход к организации двухфакторной авторизации хотя и выглядит запутанным, но производит впечатление весьма безопасного.
Что сделано
Собственно посмотреть и скачать можно на magiclogin.ru.
В настоящий момент модуль двухфакторной авторизации по смс доведен до работоспособного состояния и работает на нескольких сайтах.
Получение проверочного кода и вход в систему с использованием двухфакторной аутентификации
После включения двухфакторной аутентификации для входа в систему с использованием идентификатора Apple ID на новом устройстве или в браузере потребуется вводить проверочный код.
Каждый раз при выполнении входа с использованием идентификатора Apple ID на новом устройстве или в браузере вам потребуется подтвердить свою личность с помощью пароля и шестизначного проверочного кода. Получить проверочный код можно несколькими способами. Можно использовать код, отображаемый на доверенном устройстве, запросить текстовое сообщение или телефонный вызов либо создать код с помощью доверенного устройства.
Если на вашем iPhone установлена iOS 11.3 или более поздней версии, вам не придется постоянно вводить проверочный код. В некоторых случаях доверенный номер телефона будет подтверждаться на iPhone автоматически в фоновом режиме. Вам не придется совершать дополнительных действий, а учетная запись по-прежнему будет защищена с помощью двухфакторной аутентификации.
Использование кода, отображаемого на доверенном устройстве
Если у вас есть доверенное устройство с iOS 9 или более поздней версии, OS X El Capitan или более поздней версии, iPadOS 13 или более поздней версии либо watchOS 6 или более поздней версии, код проверки отображается на доверенных устройствах автоматически.
Что такое двухфакторная аутентификация и почему ее важно использовать
Что такое двухфакторная аутентификация?
2FA, или двухфакторная аутентификация — это такой метод идентификации пользователя для входа в сервис, при котором нужно двумя разными способами подтвердить, что именно он — хозяин аккаунта. В некоторых сервисах, например, «ВКонтакте», она называется «подтверждение входа».
Эта функция серьезно повышает уровень безопасности. Злоумышленникам, которым по разным причинам могут пригодиться ваши данные, гораздо сложнее получить доступ одновременно к вашему паролю, а также телефону, электронной почте или другому методу аутентификации. Если использовать только пароль, то аккаунт остается уязвимым. Пароли легко утекают в Сеть, и далеко не всегда по вине пользователя.
Как можно подтвердить свою личность?
Большинство приложений и сервисов предлагают пользователю на выбор такие варианты двойной аутентификации:
Кроме того, есть еще несколько видов подтверждения входа, которые используют реже:
Гарантирует ли двухфакторная аутентификация абсолютную безопасность?
«В идеале второй фактор для входа должен приходить пользователю на другое устройство, не на то, с которого осуществляется вход в учетную запись, — говорит старший эксперт по кибербезопасности «Лаборатории Касперского» Денис Легезо. — Риск появляется при использовании одного и того же устройства и для входа в учетную запись, и для получения одноразового пароля. Если атакующие смогли заразить это устройство определенными видами троянцев, то считать одноразовый пароль защищенным больше не получится. Но по сравнению со сценарием, когда пользователь вовсе не включает двухфакторную аутентификацию, даже вариант с одним устройством выглядит несравненно лучше».
Что, если второе устройство потеряли?
Обычно сервисы всегда предусматривают некий альтернативный способ аутентификации. Но иногда пользователю в таких случаях приходится обратиться в службу поддержки.
Как и где стоит включить двухфакторную аутентификацию:
Как подключить двухфакторную аутентификацию во «ВКонтакте»
Зайдите в «Настройки» → Во вкладке «Безопасность» выберите «Подтверждение входа» → «Подключить». Дальше нужно будет ввести свой пароль, ввести последние цифры номера, с которого на ваш телефон поступит звонок, и функция подтверждения входа будет подключена. При желании можно выбрать аутентификацию через приложения для генерации кодов, а также распечатать или записать резервные коды.
Зайдите в «Настройки» (в приложении они находятся в меню в нижней части экрана) → выберите «Управление аккаунтом VK Connect» → «Безопасность и вход» → «Подтверждение входа».
Далее, как и в полной версии, выбираете способ подтверждения входа и восстановления доступа.
Как подключить двухфакторную аутентификацию в Facebook
В меню (рядом со значком уведомлений) нужно выбрать «Настройки и конфиденциальность» → «Быстрые настройки конфиденциальности». В разделе «Безопасность аккаунта» выбрать «Использовать двухфакторную аутентификацию». Далее нужно выбрать оптимальный способ идентификации, ввести код, полученный на мобильный телефон и — при желании — сохранить резервные коды.
В приложении двухфакторная аутентификация подключается таким же образом.
Как подключить двухфакторную аутентификацию в Google
Настроить подтверждение входа в почте и других сервисах Google можно на странице аккаунта. Процесс настройки здесь чуть сложнее, чем в других сервисах. В первую очередь нужно подтвердить, что это действительно ваш аккаунт, введя свой пароль и подтвердив вход (можно сделать это, просто нажав «да» на выбранном устройстве, либо выбрав другой способ).
Дальше необходимо выбрать способ, которым вы будете получать коды в дальнейшем: SMS, звонок, резервные коды.
Дальше нужно убедиться, что выбранный способ аутентификации работает.
Подтвердите, что вы действительно хотите подключить эту функцию.
Как подключить двухфакторную аутентификацию в «Яндексе»
Чтобы подключить двухфакторную аутентификацию в сервисах «Яндекса», обязательно нужно приложение «Яндекс.Ключ». Это же приложение можно использовать для входа в любые другие сервисы, поддерживающие подтверждение входа через приложения-аутентификаторы.
В первую очередь нужно зайти на эту страницу. Подтвердив номер телефона, нужно придумать PIN-код и скачать приложение «Яндекс.Ключ». Через приложение нужно будет сканировать QR-код. После этого в приложении появится первый из автоматически генерируемых кодов. Его нужно будет ввести на сайте, и новый способ аутентификации будет подключен.
Как подключить двухфакторную аутентификацию в Telegram
В Telegram двухэтапная аутентификация настраивается нестандартно: при входе с каждого нового устройства пользователю и так нужно вводить код, полученный в SMS. Поэтому второй этап аутентификации, который можно подключить — это как раз обычный пароль.
Нужно выбрать «Настройки» → «Конфиденциальность» → «Безопасность» → «Двухэтапная аутентификация».
Дальше вы придумываете новый пароль, подсказку к нему (при желании) и вводите свой адрес электронной почты, чтобы получить на нее код для подтверждения этой операции.
Как подключить двухфакторную аутентификацию в Instagram
Зайдите в меню, выберите «Настройки» → «Безопасность» → «Двухфакторная аутентификация». Затем нужно выбрать удобный способ и ввести полученный код.
Кроме того, двухэтапную аутентификацию можно подключить для Apple ID (здесь) и для сервисов Microsoft (здесь).
Двухфакторная аутентификация для идентификатора Apple ID
Двухфакторная аутентификация — это дополнительный уровень безопасности Apple ID, который гарантирует, что доступ к вашей учетной записи сможете получить только вы, даже если ваш пароль стал известен кому-то еще.
Как это работает
Благодаря двухфакторной аутентификации доступ к вашей учетной записи с доверенного устройства или на веб-сайте сможете получить только вы. При первом входе на новом устройстве вам потребуется предоставить два элемента данных: ваш пароль и шестизначный цифровой код подтверждения, который автоматически отображается на доверенных устройствах или может быть отправлен на ваш телефон. После ввода кода новое устройство включается в число доверенных устройств. Например, если у вас есть устройство iPhone, то при первом входе в учетную запись на недавно приобретенном компьютере Mac вам будет предложено ввести пароль и код подтверждения, который автоматически отобразится на экране вашего iPhone.
Поскольку для доступа к учетной записи при двухфакторной аутентификации недостаточно только знания пароля, безопасность вашего идентификатора Apple ID и хранимых на серверах Apple данных существенно возрастает.
После выполнения входа код подтверждения больше не будет запрашиваться на этом устройстве, пока не будет полностью выполнен выход, не будут стерты все данные на устройстве или пока не потребуется сменить пароль из соображений безопасности. При выполнении входа на веб-сайте можно указать, что браузер является доверенным, и в следующий раз при выполнении входа с этого компьютера код подтверждения не будет запрашиваться.
Доверенные устройства
Доверенным устройством может быть iPhone, iPad или iPod touch с iOS 9 и более поздней версии либо компьютер Mac с OS X El Capitan и более поздней версии, на котором уже выполнен вход в учетную запись с использованием двухфакторной аутентификации. Это устройство, для которого нам известна его принадлежность вам и которое можно использовать для проверки личности путем отображения кода подтверждения Apple при входе с использованием другого устройства или браузера. Apple Watch с watchOS 6 или более поздней версии могут использоваться для получения кодов подтверждения при входе в систему с помощью идентификатора Apple ID, но они не могут выступать в качестве доверенного устройства для сброса пароля.
Доверенные номера телефонов
Доверенный номер телефона — это номер, который можно использовать для получения кодов подтверждения посредством текстовых сообщений или автоматических телефонных вызовов. Чтобы включить двухфакторную аутентификацию, необходимо подтвердить хотя бы один доверенный номер телефона.
Следует также рассмотреть вариант подтверждения дополнительного номера телефона, к которому вы можете получить доступ, — такого как домашний телефон или номер, используемый членом семьи или близким другом. Вы можете использовать этот номер, если у вас временно нет доступа к основному номеру или вашим устройствам.
Коды подтверждения
Код подтверждения — это временный код, отправляемый на доверенное устройство или доверенный номер телефона при первом входе на устройство или на веб-сайте с помощью браузера с использованием идентификатора Apple ID. Кроме того, можно получить код подтверждения в разделе «Настройки» на доверенном устройстве.
Код подтверждения отличается от пароля к устройству, вводимого для разблокировки iPhone, iPad и iPod touch.
Настройка двухфакторной аутентификации для идентификатора Apple ID
Чтобы включить двухфакторную аутентификацию на своем устройстве, выполните следующие действия. Узнайте больше о доступности двухфакторной аутентификации.
Включение двухфакторной аутентификации на iPhone, iPad или iPod touch
Возможно, потребуется ответить на контрольные вопросы Apple ID.
Включение двухфакторной аутентификации на компьютере Mac
Если установлена ОС macOS Mojave или более ранней версии:
Некоторые идентификаторы Apple ID, созданные в ОС iOS 10.3 или macOS 10.12.4 и более поздних версий, защищены двухфакторной аутентификацией по умолчанию. В этом случае двухфакторная аутентификация будет уже включена.
Переход на двухфакторную аутентификацию в Интернете
Если идентификатор Apple ID не защищен двухфакторной аутентификацией, некоторые сайты Apple могут попросить вас обновить учетную запись.
Что следует помнить при использовании двухфакторной аутентификации
Двухфакторная аутентификация значительно усиливает защиту Apple ID. После включения этой функции для выполнения входа в учетную запись потребуются пароль и доступ к доверенным устройствам или доверенному номеру телефона. Чтобы обеспечить максимальную защиту своей учетной записи и постоянный доступ, существует несколько простых рекомендаций, которым необходимо следовать:
Управление учетной записью
Управлять своими доверенными номерами телефонов, доверенными устройствами и другой информацией об учетной записи можно на странице своей учетной записи Apple ID.
Управление доверенными номерами телефонов
Для использования двухфакторной аутентификации потребуется наличие в базе данных хотя бы одного доверенного номера телефона, на который можно получать коды подтверждения. Следует также рассмотреть вариант подтверждения дополнительного доверенного номера телефона, помимо вашего собственного. Если ваш iPhone утерян или поврежден и при этом является вашим единственным доверенным устройством, вы не сможете получить коды подтверждения, необходимые для доступа к вашей учетной записи.
Обновление доверенного номера телефона на странице учетной записи Apple ID
Если необходимо добавить номер телефона, нажмите «Добавить проверенный номер телефона» и введите номер телефона. Выберите способ подтверждения номера (текстовым сообщением или автоматическим телефонным вызовом) и нажмите «Продолжить». Чтобы удалить доверенный номер телефона, щелкните 
рядом с номером телефона, который необходимо удалить.
Обновление доверенного номера телефона через восстановление учетной записи
Просмотр доверенных устройств и управление ими
Просматривать список доверенных устройств и управлять ими можно на устройстве под управлением операционных систем iOS и macOS, а также в разделе «Устройства» страницы учетной записи Apple ID.
Для macOS Catalina или более поздней версии:
В macOS Mojave или более ранней версии:
В списке устройств перечислены устройства, для которых выполнен вход с помощью вашего Apple ID. Выберите устройство, чтобы просмотреть информацию о нем, такую как модель и серийный номер. Ниже вы можете увидеть другую полезную информацию, включая сведения о том, является ли устройство доверенным и может ли оно использоваться для получения кодов проверки Apple ID.
Вы также можете удалить доверенное устройство, выбрав «Удалить из учетной записи» в списке устройств. Удаление доверенного устройства приводит к прекращению отображения на нем кодов подтверждения и блокировке доступа с этого устройства в iCloud и другие службы Apple до тех пор, пока на нем не будет выполнен повторный вход с помощью двухфакторной аутентификации. Если необходимо найти устройство или удалить с него данные до того, как удалять его из списка доверенных устройств, можно использовать функцию «Найти iPhone».
Создание паролей для приложений
При использовании двухфакторной аутентификации для входа в учетную запись из приложений или служб сторонних разработчиков, например из приложений для работы с электронной почтой, контактами или календарями, которые разработаны не компанией Apple, потребуются особые пароли для этих приложений. Чтобы создать пароль для приложения, выполните следующие действия.
После создания пароля для приложения введите или вставьте его в поле ввода пароля в приложении обычным способом.
Двухфакторная аутентификация: что это и зачем оно нужно?
Мы решили посвятить двухфакторной аутентификации отдельную статью и рассказать о том, что это такое, как она работает и почему ее стоит использовать.
Двухфакторная аутентификация — тема, которой мы так или иначе касаемся во многих наших постах. В прошлом году мы даже записали на эту тему целый подкаст. Однако ввиду возрастающего количества разных сервисов и все чаще случающихся атак на пользовательские аккаунты (как, например, перехваты контроля над учетными записями iCloud) мы решили посвятить этому виду аутентификации отдельную статью и рассказать о том, что это такое, как она работает и почему ее стоит использовать везде, где это возможно.
Что такое двухфакторная аутентификация?
Двухфакторная аутентификация — это метод идентификации пользователя в каком-либо сервисе (как правило, в Интернете) при помощи запроса аутентификационных данных двух разных типов, что обеспечивает двухслойную, а значит, более эффективную защиту аккаунта от несанкционированного проникновения. На практике это обычно выглядит так: первый рубеж — это логин и пароль, второй — специальный код, приходящий по SMS или электронной почте. Реже второй «слой» защиты запрашивает специальный USB-ключ или биометрические данные пользователя. В общем, суть подхода очень проста: чтобы куда-то попасть, нужно дважды подтвердить тот факт, что вы — это вы, причем при помощи двух «ключей», одним из которых вы владеете, а другой держите в памяти.
Впрочем, двухфакторная защита не панацея от угона аккаунта, но достаточно надежный барьер, серьезно усложняющий злоумышленникам доступ к чужим данным и в какой-то степени нивелирующий недостатки классической парольной защиты. Ведь у паролей, на которых основано подавляющее большинство авторизационных механизмов в Интернете, есть неизбежные недостатки, которые фактически являются продолжением достоинств: короткие и простые пароли легко запомнить, но так же легко подобрать, а длинные и сложные трудно взломать, но и запомнить непросто. По этой причине многие люди используют довольно тривиальные пароли, причем сразу во многих местах. Второй фактор в подобных случаях оказывается крайне полезен, поскольку, даже если пароль был скомпрометирован, злоумышленнику придется или раздобыть мобильник жертвы, или угнать ее почтовый ящик.
Несмотря на многочисленные попытки современного человечества заменить пароли чем-то поинтереснее, полностью избавиться от этой привычной всем парадигмы оказалось не так просто, так что двухфакторную аутентификацию можно считать одним из самых надежных механизмов защиты на сегодняшний день. Кстати, этот метод удобен еще и тем, что способен предупреждать хозяина аккаунта о попытке взлома: если на ваш телефон или почту вдруг приходит сообщение с одноразовым кодом при том, что вы никаких попыток логина не предпринимали, значит, вас пытаются взломать — самое время менять оказавшийся ненадежным пароль!
Где можно включить двухфакторную аутентификацию?
Ответом на этот вопрос может служить простое правило: если используемый вами сервис содержит важные для вас данные и позволяет включить двухфакторную аутентификацию, активируйте ее не раздумывая! Вот, скажем, какой-нибудь Pinterest. Ну, не знаю… Если бы у меня был аккаунт в этом сервисе, я бы вряд ли захотел каждый раз проходить долгую процедуру двухслойной авторизации. А вот интернет-банкинг, аккаунты в соцсетях, учетка в iCloud, почтовые ящики и особенно ваши служебные учетные записи — все это однозначно стоит защитить двухфакторной аутентификацией. Сервисы Google, Apple и все основные социальные сети позволяют это сделать в настройках без особого труда.
Двухфакторная аутентификация — один из лучших методов защиты ваших аккаунтов #security
К слову, если у вас есть свой сайт, скажем, на базе WordPress или другой подобной платформе, включить в настройках двухфакторную защиту тоже не будет лишним. В общем, повторюсь: если аккаунт и его содержимое вам дороги, не игнорируйте возможность усилить защиту.
Какие еще существуют виды двухфакторной аутентификации?
Выше я уже упомянул рассылку специального кода в виде SMS и email-сообщений и USB-ключи и смарт-карты, используемые преимущественно для доступа к некоторым видам интернет-ресурсов и VPN-сетям. Кроме того, существуют еще генераторы кодов (в виде брелока с кнопкой и небольшим экранчиком), технология SecureID и некоторые другие специфические методы, характерные в основном для корпоративного сектора. Есть и менее современные интерпретации: например, так называемые TAN-пароли (TAN, Transaction Authentication Number — аутентификационный номер транзакции). Возможно, вы даже сталкивались с ними, если были клиентом какого-нибудь не самого прогрессивного банка: при подключении интернет-банкинга клиенту выдавалась бумажка с заранее сформированным списком одноразовых паролей, которые вводятся один за другим при каждом входе в систему и/или совершении транзакции. Кстати, ваша банковская карта и PIN тоже формируют систему двухфакторной аутентификации: карточка — «ключ», которым вы владеете, а PIN-код к ней — «ключ», который вы запоминаете.
Как я уже упомянул выше, существует и биометрический способ идентификации пользователя, который часто выступает в роли вторичного фактора защиты: одни системы подразумевают сканирование отпечатка пальца, другие определяют человека по глазам, есть даже те, которые ориентируются по «рисунку» сердцебиения. Но пока это все довольно экзотические методы, хотя и куда более популярные, чем, скажем, электромагнитные татуировки, которые по примеру радиочипов могут служить вторичным фактором аутентификации пользователя. Я бы от такой не отказался 🙂