Почему вам больше никогда не стоит использовать Google Authenticator

В наше время, многие хотят обезопасить свои личные данные. Двухфакторная аутентификация – это один из способов, позволяющих обезопасить Ваши аккаунты, усложняя злоумышленникам путь для получения Ваших данных

В целях защиты аккаунтов от взлома, отличным приложением станет google authenticator для компьютера, разработанное Google Inc. Оно создано для генерации кодов двухфакторной аутентификации на Вашем устройстве. Данная функция предоставляет дополнительную защиту для Ваших аккаунтов. Сперва, приложение предусматривалось для владельцев смартфонов с ПО Android, но быстро стало доступным и для владельцев устройств Apple.

Особенности

• Работоспособность с одним и более аккаунтами.
• Возможность работы при включённом «В самолёте».
• Автоматическая настройка при помощи QR-кода.
• Скорость работы.
• Удобный интерфейс версии Google Authenticator для компьютера.
• Должный уровень безопасности данных.
• Бесплатное пользование.
• Возможность выбрать русский язык.

Минусы

• Маленькое число настроек.
• Не всякий сервис владеет двухфакторной аутентификацией.
• Допустим долгий процесс формирования кодов.

Установка и запуск Google Authenticator на Windows

Приложение можно использовать не только на телефоне, но и на компьютере или ноутбуке. Аутентификатор можно запустить через ряд эмуляторов, таких как: Nox, Bluestacks и другие. В данной статье Вы узнаете, как установить приложение через «Нокс». Nox – это лёгкий и бесплатный эмулятор. Он обладает высокой совместимостью Android приложений и большим спектром настроек.

Программа полностью рабочая и функциональная, правда есть одна проблема. Веб-камера зеркально отображает Qr-код, из-за чего он не распознаётся. К счастью, это можно побороть:

1. Сделайте скриншот.
2. Отправьте его в Paint.
3. Увеличьте размер изображения и горизонтально отобразите его.

Следуя инструкции Вы без затруднений подсоединитесь к программе. Также можно просто ввести секретный ключ, избрав функцию «Ввести ключ».

Относительно недавно разработчики Гугл стали реализовывать сервис Google Authenticator, который ускоряет и упрощает , работу с сайтами и процессы регистрации.

Это достаточно простое в использовании приложение, которое предоставляет возможность пользоваться полным функционалом того или иного сайта без регистрации.

В данной статье мы постараемся ответить на вопрос о том, что делать, если потеряно приложение и как восстановить доступ к сайтам в случае сбоя.

Принцип работы

Этот сервис предоставляет возможность двухэтапной аутентификации для быстрого доступа к сайту, на котором необходимо регистрироваться.

Сервис реализуется в форме приложения для мобильного и некоторых других операционных систем, которое надо скачать и установить перед началом использования аутентификатора.

Такое приложение представляет пользователю код из шести или восьми цифр для прохождения аутентификации на том или ином сайте, вместо стандартных учетных данных.

При этом, после введения такого кода, пользователь становится аутентифицирован в системе стороннего сайта с помощью его учетных данных из , то есть, как пользователь Гугл.

Интересно, что сервис способен успешно генерировать такие коды и для сторонних приложений.

Важно! Изначальные версии приложений для данного сервиса распространялись с открытым кодом разработчика. Но все более новые версии в последнее время уже являются интеллектуальной собственностью разработчика, то есть Гугл.

Зачем нужен?

Зачем нужно данное приложение и что оно делает?

Для начала использования необходимо скачать приложение, установить его и войти в него, используя .

После этого приложение должно оставаться запущенным в фоновом режиме.

После входа на тот или иной сайт, приложение сгенерирует вам специальный код, который нужно будет ввести на этом сайте (в браузере появится специальное окно для ввода).

После введения кода вы автоматически аутентифицируетесь на сайте с данными аккаунта Гугл.

Сайт же сгенерирует некоторый цифровой ключ, который, также полностью автоматически, сохранится в скачанном вами приложении, и будет использоваться для всех последующих входов на этот сайт.

Из всего написанного выше видно, что такое приложение особенно пригодится тем, кто часто работает со многими сайтами, требующими регистрации для доступа к полному функционалу сервиса. Такое приложение позволяет не тратить время на постоянные регистрации и аутентификации, не запоминать множество паролей и логинов, но использовать, при этом, полный функционал любого сайта.

Восстановление

Однако, такое приложение сохраняет сгенерированные сайтами коды только в своей памяти, то есть, ни на какие сервера данные не выгружаются.

Таким образом, они хранятся только на и только до тех пор, пока на нем установлено соответствующее приложение.

Понятно, что эти данные могут быть потеряны при удалении приложения, при , при поломке телефона, в результате которой потребуется переустановка операционной системы, при перепрошивке.

Также все сохраненные данные для доступов на сайты могут быть утрачены при физическом полном выходе из строя телефона или при его утере.

В этом случае вы полностью теряете доступ к аутентификационным данным на всех сайтах, на которых вы аутентифицировались с помощью приложения.

Проблема состоит в том, что зайти на сайт как-то иначе уже не получится (только если создавать новую учетную запись), вы не сможете просто ввести свои учетные данные Гугл, так как они не позволят вам зайти на сайт. Особенно серьезной проблемой это является в том случае, если пользователь уже выполнил достаточно много действий в этом аккаунте и необходимо получить доступ к информации в нем.

Однако некоторые способы возвращения доступа к кодам все-таки предусмотрены.

Основной способ

Нужно понимать, что Гуглом не предусмотрено абсолютно никаких способов .

Такая ситуация складывается потому, что пароли не передаются на сервера разработчика с целью повышения безопасности использования приложения.

Но такая высокая надежность и безопасность создает проблему.

Вам придется решать вопрос с каждым сайтом в индивидуальном порядке.

Необходимо будет написать письмо в Техническую поддержку сайта или его Администрации, в котором описать проблему.

В некоторых случаях для этого может потребоваться создать новый пустой аккаунт.

Ряд сайтов могут сразу предоставить вам резервный код, с помощью которого вы, применяя Google Authenticator, сможете зайти на сайт. Но некоторые сервисы могут требовать от вас доказательства, что вы тот самый пользователь. В этом случае вам могут потребоваться скрины с этого сайта, когда вы еще пользовались аккаунтом, к которому утратили доступ, скрины из аккаунта Гугл и т. д., также Администрация может потребовать и какие-то еще доказательства.

Однако некоторые сервисы отказывают в предоставлении резервного кода несмотря на любые доказательства.

Чаще всего так происходит с сайтами, на которых вводятся данные кредитных карт или проводятся какие либо платежи иным способом.

Не бывает достаточной безопасности. С другой стороны, использование глючной или слабой защиты может дать вам шаткую иллюзию безопасности, в то время, как вы остаётесь уязвимым к разного рода угрозам.

Использование только паролей, в общем – , мы выяснили это с тех пор, как появился Интернет. Мы осуществляем прогресс, двигаясь к миру без паролей, но в то же время, многие веб-сайты предлагают дополнительную защиту пользовательских аккаунтов с помощью (2FA).

В общем и целом, существует 2 типа такой аутентификации: Временный одноразовый пароль (TOTP) а также Универсальный Двух-Фактор (U2F). Вы можете быть уже знакомы с первым типом, поскольку он используется наиболее часто: во время логина, предлагается ввести одноразовый пароль, генерируемый вашим приложением на смартфоне, отдельным аппаратным устройством, или же присылаемый в СМС. Метод прост, но есть несколько простых способов, делающих его опасным.

Я видел предупреждения типа “мой телефон взломали” от трёх людей из Кремниевой Долины/Биткойн среды/венчурной тусни. Будьте на чеку, и включите 2FA.

Как работает TOTP?

Временный одноразовый пароль, в основном популяризованный приложением Google Authenticator, подтверждает вашу личность на основании общего секрета . Этот секрет дложен быть известен вам и вашему провайдеру.

Когда вы заходите на веб-cайт под своей учеткой, ваше устройство генерирует уникальный код, основываясь на общем секрете и текущем времени. Затем вам нужно вручную ввести этот код. Сервер генерирует точно такую-же штуку, основанную на том-же секрете, чтобы успешно сравнить и подтвердить запрос на авторизацию.

Обе стороны генерируют одинаковый хеш, из одинаковых исходных данных, делясь секретом в момент регистрации.

В чём неадекватность TOTP?

Метод весьма прост в использовании, однако, он не лишён нескольких уязвимостей и неудобств.

1. Вам необходимо вручную вводить код во время авторизации (логина)

2. Слишком громоздкий бэкап . Вам необходимо совершать много шагов, чтобы сделать бэкап секрета. Кроме того, хорошие сервисы обычно предоставляют резервные коды, вместо того, чтобы явным образом призывать сохранять секрет. Если вы потеряете ваш секрет, и логин вместе с резервным кодом, вам придётся выполнить весь процесс регистрации TOTP заново.

3. Коды бекапа высылаются через Интернет, что совершенно небезопасно.

4. У вас и провайдера один и тот же секрет. Если атакующий хакнет компанию и получит доступ и к базе паролей, и к базе секретов, он сможет проникать в любой аккаунт совершенно незаметно.

5. Секрет показывается простым текстом или QR-кодом. Он не может быть представлен в виде хеша. Это также означает, что скорее всего секрет хранится в виде текстового файла, на серверах провайдера.

6. Секрет может быть раскрыт во время регистрации , так как провайдеру необходимо выдать вам сгенерированный секрет. Используя TOTP, вам нужно верить в способность провайдеров защитить приватность секрета. Но ?

Как работает FIDO/U2F?

Стандарт U2F, разработанный Альянсом FIDO, был создан технологическими корпорациями, вроде Google и Microsoft, под влиянием найденных уязвимостей в TOTP. U2F использует криптографию с публичными ключами для подтверждения вашей личности (Reddit – “Объясняйте, будто мне лет пять ”). В противовес TOTP, в данном варианте вы являетесь единственным, кто знает секрет (приватный ключ).

Сервер отправляет вам запрос, который затем подписывается секретным (приватным) ключом. Результирующее сообщение отправляется назад на сервер, который может подтвердить личность благодаря наличию в его базе данных вашего публичного ключа.

Выгоды U2F:

1. Через Интернет никогда не пересылается секрет (приватный ключ)

Никакая конфиденциальная информация не будет опубликована, благодаря криптографии публичного ключа.

2. Легче использовать . Нет нужды применять одноразовые коды.

3. Приватность . С секретом не ассоциируется никакая персональная информация.

4. Бекап теоретически легче . Однако, не всегда возможен; например, вы не сможете бекапить Yubikey.

Так как, в случае использования U2F, нет разделяемого двумя сторонами секрета и нет конфиденциальных баз данных, хранимых провайдером, хакер не может просто украсть все базы и получить доступ. Вместо того, он должен охотиться на отдельных пользователей, а это намного более затратно по финансам и времени.

Более того, вы можете забекапить ваш секрет (приватный ключ). С одной стороны, это делает вас ответственным за вашу же безопасность, но с другой – вам больше не нужно доверять какой-то компании, чтобы защитить ваши секреты (приватные ключи).

TREZOR – U2F “по-нашенски”

TREZOR представляет собой маленькое отдельное аппаратное решение, разработанное для хранения приватных ключей и работы в качестве изолированного компьютерного окружения. Изначально разработанный, как безопасный “железный” кошелек для Биткойна, рамки его применения значительно расширились благодаря расширяемости асимметричной криптографии. Теперь, TREZOR может служить в качестве безопасного железного токена для U2F, вам также придётся дополнительно подтверждать логин нажатием кнопки на устройстве.

В отличии от некоторых других токенов, TREZOR всегда использует уникальную подпись для каждого зарегистрированного пользовательского аккаунта. Кроме прочего, устройство выводит U2F на совершенно новый уровень:

1. Легко бекапить и восстанавливать . TREZOR просит вас записать на листочке так называемое “зернышко” (recovery seed), в время первого запуска устройства. Это –, единственный одноразовый процесс из всех остальных на устройстве. Восстановительное зёрнышко представляет собой все секреты (приватные ключи), генерируемые устройством и могут быть использованы в любое время для “восстановления” вашего аппаратного (или “железного”) кошелька.

2. Неограниченное количество U2F личностей , все они сохраняются в рамках единого бэкапа.

3. Секрет безопасно хранится в TREZORе . Его никто никогда не узнает, так как он не может покинуть устройство. Их не смогут украсть ни вирусы, ни хакеры.

4. Защита от фишинга с подтверждением на экране . Кошелёк всегда отображает url веб-сайта, на котором вы логинитесь, а также то, что именно вы хотите авторизовать. Вы можете убедиться, что информация, отправленная в устройство, соответствует вашим ожиданиям.

5. Дополнительная информация по использовании U2F во время настройки, использования и восстановления TREZOR может быть найдена в нашем посте в блоге , или в Пользовательской Документации .

Безопасные характеристики асимметричной криптографии кореллируют с философией безопасности TREZOR. С поддержкой U2F в кошельке, мы вдохновляем пользователей использовать все доступные меры для защиты их аккаунтов и личных данных в онлайне.

Системные требования: Windows 7/8/10/2008/2012

Введение

Доступ в компьютер или в вашу учетную запись защищён паролем? Иногда этого не достаточно, особенно, если уровень конфиденциальности ваших данных очень высок. Постарайтесь не дать злоумышленникам шанс добраться до самого сокровенного, до ваших данных. Компания Tesline Service SRL включила аутентификацию Google в программу . Доступ в Windows производится в режиме повышенной безопасности.

Если ваш телефон на базе Android, iOS, BlackBerry воспользуйтесь программой Защитите ваш компьютер надёжным OTP-паролем (one time password). OTP-пароль – это пароль, который генерируется специальным устройством или программой и он годен для применения только сейчас и только один раз. Перехватывать или подсматривать такой пароль не имеет смысла. Попытайтесь ввести его чуть позже либо повторно, он будет отклонен. Каждый раз при входе в компьютер будет запрашиваться OTP-пароль, генерирующийся в вашем телефоне.

В программу Rohos Logon Key интегрировали Google Authenticator как ключ входа в ПК. Секретный пароль всегда будет с вами в телефоне. Вам не придётся набирать пароль к Windows вручную, программа сделает это за вас. Это удобно и надежно.

Как и другие способы аутентификации, этот способ применим при доступе к серверу через Remote Desktop connection.

Как использовать одноразовый пароль для входа в ПК?

Представим, что у вас Android устройство и на его примере рассмотрим настройку Rohos Logon Key для Windows с OTP-паролем из Google Authenticator.

1. В телефоне откройте Google Play магазин приложений для Android и скачайте Google Authenticator. Для пользователей более ранних версий Android дополнительно нужно скачать Googles или Barcode Scanner. Утилиты для сканирования баркода.

2. Если п риложения установлены в телефон, можно приступить к настройке Rohos Logon Key для компьютера.

• Установите последнюю версию Rohos Logon Key для Windows.

• Откройте программу.

• В главном окне перейдите к функции «Настроить Опции», в качестве Ключа Безопасности из предлагаемого списка выберите Google Authenticator OTP. Нажмите ОК.

Для подтверждения выбранных настроек жмём ОК.

3. В главном окне Rohos Logon Key нажмите настроить USB-Ключ. Есть 2 варианта использования OTP-кода:

a) вместо обычного пароля;

b) в дополнение к обычному паролю:

• В поле «пароль к Windows» введите пароль к вашей учётной записи. Тогда для доступа в Widows достаточно будет ввести только OTP-пароль.
• Поле «пароль к Windows» оставьте пустым и тогда для использования двухэтапной авторизации необходимо будет вводить OTP-пароль + ваш Windows пароль.

• Нажимаем Display QR Code (либо Copy QR code — чтобы отправить конфигурацию для Google Authenticator по емайл). В телефоне запускаем приложение Google Authenticator. Начнем сканировать баркод. Подносим телефон к экрану монитора, баркод фиксируется программой.

• Подтвердите, нажав кнопку «Enable OTP login».
• Далее программа Rohos сообщит вам, что USB-Ключ готов к работе. Это означает, что теперь ваш мобильный телефон вместе с Google Authenticator работает как Ключ доступа к вашему ПК.

Для каждого ПК Google Authenticator определяет имя компьютера и прописывают название программы Rohos Logon Key. Представьте, вы можете настроить один телефон как Ключ двойной защиты для компьютера в офисе, для домашнего ноутбука и любого другого компьютера в вашем пользовании.

На снимке экрана смартфона видно, что приложение Google Authenticator настроено для входа в два компьютера. Чтобы не запутаться, имя компьютера прописывается выше каждого Ключа. Напротив одноразового пароля 30-ти секундный таймер — это время ввода. После истечения времени, генерируется другой пароль.

4. Включение обязательной 2-ух факторной авторизации.
Вернитесь к Опциям программы. Отмечаем опцию Allow to login only by using USB key — > For listed users . Это делается для того чтобы закрыть доступ в ПК с помощью ввода обычного пароля.

5. Настраиваем Аварийный Вход для Rohos Logon Key.

Мы рекомендуем использовать двухэтапную авторизацию в Windows.
В этом случае в окне аутентификации Windows будет появляться запрос на ввод OTP одноразового Ключа и стандартного пароля к Windows. Двухфакторная аутентификация при входе в Windws усиливает защиту от несанкционированного доступа.

Важно! Настроив Google Authenticatior авторизацию, не забывайте телефон дома, не теряйте его. Теперь зайти в компьютер без помощи телефона возможно только через Аварийный вход Rohos Logon Key, ранее настроенный вами. Даже в «безопасном режиме» OTP-Ключ запрашивается системой. Таким образом, компьютер останется недоступным для взлома.

Также очень важно, чтобы дата и время на компьютере и на телефоне были выставлены верно.

Настройка авторизации при помощи SMS кода

Зайдите в Rohos Logon Key > Настройки > настройки Google Auth

Введите URL для сервиса SMS доставки.

Использование Google OTP без соединения с Internet.

Для работы с Google Authentocator без подключения к глобальной сети нам нужна программа Rohos Logon key на компьютере и Google Authenticator на телефоне. Кроме того понадобится кабель для подключения телефона к компьютеру.

Теперь вы можете использовать Google Authenticator даже при отсутствии Internet на компьютере и телефоне.

Как использовать Yubikey HOTP для входа в Windows.

Если вы не хотите каждый раз использовать телефон для запуска программы Google Authenticator, но у вас есть Yubikey 2-го поколения, вы можете использовать его для доступа к компьютеру.

Вам понадобится любой Yubikey со свободным слотом 2 и утилита Yubikey Personalization Tool. (скачать на официальном сайте Yubico)

Начните с настройки Rohos Logon Key:

1. Откройте Rohos -> Setup a key , установите точку напротив Yubikey HOTP.

2. Кликните Copy secret key , 20-ти битная шестнадцатеричная строка будет скопирована в буфер обмена. Это Вам понадобится для следующего шага.

3. Нажмите Enable OTP login (включить вход по одноразовому паролю).

Теперь настройте Yubikey с настройками H-OTP.

Как настроить Yubikey HOTP слот, используя утилиту Yubikey Personalization Tool?

Вставьте Yubikey и откройте утилиту Yubikey Personalization Tool:

1. Нажмите «OATH — HOTP» -> кнопку Advanced
2. Выберите свободный слот Configuration Slot 2 как показано на скриншоте выше.
3. Убедитесь что HOTP длина Ключа установлена на 6 знаках.
4. В строке «Secret Key» удалите прописанные по умолчанию нули «0» и вставьте (Ctrl+V) Ключ из буфера обмена (Rohos скопировал его для Вас ранее).
5. Нажмите кнопку «Write Configuration», теперь YubiKey со слотом 2 готов к использованию с Rohos Logon Key.
6. При входе в Windows, когда появляется окно ввода HOTP, закройте пальцем окно Yubikey, но ненадолго, гораздо короче, чем при использовании OTP.

Теги: , 2017-06-05 16:06:10 Google Authenticator - двухфакторная защита вашего компьютера.

Всем привет! Сегодня мы поговорим о защите вашей учетной записи через Google Authenticator. Мы покажем как правильно подключить аутентификатор на компьютере и пользоваться им с телефоном или без.

В последнее время, защита личных данных и учетных записей стала очень актуальной. Все больше пользователей стараются подключить проверку дополнительных параметров при входе и усилить защиту акканутов. Одной из лучших программ для мобильной аутентификации является Google Authenticator.

Что это и как подключить?

Google Authenticator - это мобильное приложение, которое обеспечивает двухфакторную защиту учетных записей, посредством создания дополнительного кода, который нужно указать перед входом в аккаунт. Данную программу можно применить для защиты учетной записи Google, страницы ВКонтакте и других аккаунтов.

Основные возможности программы:

1. Генерация новых кодов без подключения к сети Internet или сотовой связи;
2. Поддерживание нескольких учетных записей и пользователей;
3. Простая настройка GA и минимализм интерфейса;
4. Поддержка на Android, iOS и BlackBerry.

Приложение GA работает достаточно просто и эффективно - вы скачиваете из Play Market саму программу, далее в настройках аккаунта , где поддерживается двухфакторная авторизация , подключаете эту опцию. Запустите приложение на телефоне и при помощи камеры распознайте QR-код, либо введите указанный ключ, после подтверждения укажите обновляющийся код доступа.

Вы можете добавить устройство, через которое открываете страницу, в список доверенных, что бы не вводить код постоянно .Например, такую аутентификацию для учетной записи Гугл можно подключить на странице настроек безопасности аккаунта. Для входа в Контакт тоже можно установить проверку через Google Authenticator. Подробнее на видео:

Google Authenticator на компьютере онлайн?

Многие пользователи интересуются - можно ли установить это приложение на ПК и использовать его прямо на Рабочем Столе . Я смог запустить аутентификатор через эмулятор Nox App Player .

Такие эмуляторы создают идентичную копию Андроид-устройства на компьютере и позволяют запустить практически все приложения и множество игр через неё. Выбор среди эмуляторов есть - Nox, BlueStacks, Andy, Droid4x. Выбор я остановил на Ноксе. Он оказался очень легким, быстрым и бесплатным. Плюс ко всему, радует большая совместимость Андроид приложений и широкий выбор настроек.

Для успешного запуска вам потребуется сделать все по-пунктам:

Программка работает и выполняет все функции, но есть небольшая проблема со сканированием QR-кодов . Дело в том, что веб-камера зеркально отображает такой код и он не распознается. Я убрал эту проблему следующим образом - сделал скрин, скинул его в обычный Pain t, увеличил изображение и сделал отображение по горизонтали . Все сразу же распозналось и я подключился без проблем.