Использование двухэтапной аутентификации в интернет-сервисах

В последнее время количество инцидентов, связанных с недостатками парольной аутентификации, превысило все возможные пределы. Статей, посвященных паролям, также вышло превеликое множество, но пользователи как предпочитали пароли 123456, так это и делают.

Приведем несколько фактов.

Как утверждает специалист Инженерной школы при Университете штата Мэрилэнд Мишель Кукье (Michel Cukier), в среднем каждые 39 секунд компьютер, подключенный к Интернет, подвергается хакерской атаке. В ходе своего исследования он выявил модели поведения хакеров и выяснил, какие логины и пароли они пытаются вводить чаще всего, а также что они делают, получив доступ к компьютеру.

«Большинство этих атак совершается с использованием автоматизированных скриптов, которые хаотично проверяют одновременно несколько тысяч компьютеров в поисках уязвимостей. Наши данные свидетельствуют о том, что компьютеры, подключенные к интернету, подвергаются атакам постоянно. Машины, которые мы применяли при исследовании, были атакованы в среднем 2244 раза в сутки», — рассказал Кукье.

В числе других популярных логинов оказались root, admin, test, guest, info, adm, mysql, user, administrator и oracle. Кукье порекомендовал избегать использования любого из этих слов в качестве логина.

Исследователи также выяснили, что самым распространенным методом генерации пароля является копирование логина. В 43 процентах случаев логин был одновременно и паролем. Весьма популярным паролем оказался набор цифр 123. В числе других, пользующихся успехом — 123456, password, 1234, 12345, passwd, 123, test и 1.

По данным компании Experian, специализирующейся в области информационных услуг, с января по апрель 2012 года на черном онлайн-рынке было выставлено на продажу свыше 12 млн. персональных идентификаторов. 90% из них составили пары логин-пароль. В то же время опрос, проведенный в июне по заказу компании, показал, что британские аккаунты являются легкой добычей для киберзлоумышленников: британцы в среднем держат 26 учетных записей и используют для их защиты лишь 5 разных паролей.

В октябре 2013 года произошло преступление, которое с большой долей вероятности может войти в книгу рекордов Гиннеса.

3 октября 2013 года компания Adobe Systems сообщила официально о кибератаке, в ходе которой произошла утечка данных клиентов. В результате злоумышленники (по данным Adobe Systems) получили доступ к зашифрованным паролям и данным платежных карт 2.9 миллионов клиентов.

Однако, как оказалось, это только начало. 29 октября эксперт по информационной безопасности Брайан Кребс (http://krebsonsecurity.com/) опубликовал сенсационные данные.

Как заявил эксперт, жертвами кибератаки стали 38 млн. пользователей, а не 2.9, как сообщалось ранее. В пресс-службе Adobe Systems подтвердили эту информацию, сообщив, что злоумышленникам стали доступны Adobe ID и зашифрованные пароли именно 38 млн. активных пользователей. Однако, как оказалось, это не финал!

В начале ноября 2013 года Пол Даклин - эксперт ИБ-компании Sophos, сообщил, что скомпрометированными оказались 150 млн. учетных записей (по другим данным, дамп содержит 130 324 429 учетных записей). Более того, архив с дампом угнанной БД был опубликован в свободном доступе в интернете.

В итоге выяснилось, что в Adobe применялся способ шифрования - симметричный блочный шифр 3DES в режиме Electronic Code Book (ECB) с добавлением ASCII NUL ("нолик") в конце каждого пароля. Причем ключ шифрования был одним единственным на все пароли.

Вскоре этот ключ, вероятно, будет найден. И все пароли станут известны злоумышленникам. Как следствие этого, они попадут в "словари" для брут-форса. Но пока, официально, ключ еще не найден.

Но примечательно не только это. Исследование Sophos также позволило выявить несколько других интересных деталей.

Например, было выявлено, что значение EQ7fIpT7i/Q= повторялось в базе 1 911 938 раз.

Простейший анализ показал, что значение EQ7fIpT7i/Q= соответствует паролю 123456, и встречается оно почти 2 млн. раз. Это самый популярный пользовательский пароль в сервисе Adobe =)

Подобным образом были "вычислены" и многие другие популярные пароли. Например, значению j9p+HwtWWT86aMjgZFLzYg== соответствует пароль 123456789, и он встречается в базе 446 162 раз.

ТОП 100 паролей по ссылке: http://stricture-group.com/files/adobe-top100.txt

Таким образом факт остается фактом – слишком многие люди используют одни и те же простейшие пароли.

Какой из этого можно сделать вывод? Ни в коем случае нельзя использовать использовать один и тот же пароль в нескольких сервисах!

Для решения этой проблемы в популярных интернет-сервисах электронной почты от Microsoft и Google, а также в социальных сетях Facebook и Twitter используется система двухэтапной аутентификации. Именно этому и посвящена данная статья.

Двухэтапная аутентификация от Microsoft

Рассмотрим электронную почту от Microsoft. Итак, у вас есть аккаунт на Hotmail.com, Outlook.com и т.д.

Для начал войдите на сайт www.live.com

В правом верхнем углу выберите ваш профиль (рис.1).

Рисунок 1. Параметры учетной записи

Из выпавшего списка выберите «Параметры учетной записи».

После этого вы попадаете на страницу параметров учетной записи Microsoft.

Рисунок 2. Параметры учетной записи Microsoft

Далее, выберите «Сведения для защиты».

В открывшемся окне (рис.3) выберите опцию «Двухшаговая проверка».

Рисунок 3. Сведения для защиты

Учтите, что после введения двухшаговой проверки у вас могут возникнуть сложности с некоторыми приложениями (например, почтовые приложения на отдельных телефонах) или устройства (такие как Xbox или Windows Phone) при попытке аутентификации отобразят ошибку «Неправильный пароль», так как при попытке входа они не могут запрашивать защитный код.

Если вы по итогам аутентификации в приложении или на устройстве получили ошибку «Неправильный пароль», вам необходимо получить и ввести уникальный пароль приложения для входа. Если же ваше устройство не может запрашивать защитный код вам потребуется создать новый пароль приложения и войти с этим паролем.

Для создания нового пароля:

  1. Войдите в свою учетную запись Майкрософт.
  2. В разделе Сведения для защиты учетной записи коснитесь ссылки Добавить сведения для защиты учетной записи или щелкните ее. Если будет запрошен защитный код, введите его, а затем нажмите Отправить
  3. В разделе Пароли приложений нажмите Создать новый пароль приложения. На экране появится новый пароль приложения

Использование Xbox 360

После включения двухшаговой проверки при следующем скачивании профиля Xbox или входа в консоль Xbox появится запрос пароля вашей учетной записи Майкрософт. В этом случае:

  1. Получите пароль приложения на вашей странице сведений о безопасности в Интернете.
  2. Введите пароль приложения вместо пароля вашей учетной записи Майкрософт.
  3. Чтобы не вводить пароль приложения каждый раз при входе в эту консоль, установите флажок Запомнить меня.
  4. Выберите Вход.

Использование двухшаговой аутентификации и приложения Outlook

Если вы используете двухшаговую аутентификацию для своей учетной записи Microsoft и синхронизируете почту Outlook.com с приложением Outlook из состава Microsoft Office.

1.    В классическом приложении Outlook щелкните Файл.

2.    В области Сведения выберите пункт Параметры учетной записи.

3.    Дважды щелкните учетную запись Майкрософт, для которой вы включили двухшаговую проверку.

4.    Получите пароль приложения на вашей странице сведений о безопасности в Интернете.

5.    В диалоговом окне классического приложения Outlook введите пароль приложения в поле Пароль.

6.    Чтобы не вводить этот пароль каждый раз, когда вы используете классическое приложение Outlook, установите флажок Запомнить пароль и нажмите кнопку ОК.

Рисунок 4. Генерация пароля для приложения

Если вы уже используете классическое приложение Outlook и хотите добавить учетную запись Майкрософт с включенной двухшаговой проверкой:

1.    В классическом приложении Outlook щелкните Файл.

2.    В области Сведения выберите Добавить учетную запись.

3.    Введите свое имя в поле Ваше имя. В поле Электронная почта введите электронный адрес для учетной записи Майкрософт.

4.    Получите пароль приложения на вашей странице сведений о безопасности в Интернете.

5.    В полях Пароль и Введите пароль еще раз введите пароль приложения вместо пароля вашей учетной записи Майкрософт и нажмите кнопку Далее.

Windows Phone

1.    На телефоне откройте раздел Настройки.

2.    Коснитесь Почта+учетные записи.

3.    Коснитесь учетной записи Майкрософт.

4.    Получите пароль приложения на вашей странице сведений о безопасности в Интернете.

5.    Замените пароль на телефоне паролем приложения.

6.    Коснитесь значка Готово.

Почта Outlook.com на iPhone

  1. На телефоне коснитесь значка Настройки и выберите Почта, адреса, календари.
  2. Коснитесь учетной записи Майкрософт.
  3. Получите пароль приложения на вашей странице сведений о безопасности в Интернете.
  4. Замените пароль на телефоне паролем приложения.
  5. Коснитесь кнопки Готово.

Почта Outlook.com на телефоне Android

Если вы используете почтовое приложение Outlook.com на телефоне Android, то пароль приложения вам не нужен. Если вы используете на телефоне почтовое приложение по умолчанию:

  1. Откройте почтовое приложение на телефоне.
  2. Коснитесь Меню и выберите Настройки.
  3. Коснитесь учетной записи Майкрософт.
  4. Коснитесь Настройки сервера входящих сообщений (в разделе параметров сервера).
  5. Получите пароль приложения на вашей странице сведений о безопасности в Интернете.
  6. Замените пароль на телефоне паролем приложения.
  7. Коснитесь кнопки Готово.
  8. На телефоне перейдите в раздел Настройка и выберите Учетные записи эл. почты.
  9. Получите пароль приложения на вашей странице сведений о безопасности в Интернете.
  10. На телефоне замените пароль вашей учетной записи Майкрософт паролем приложения.
  11. Коснитесь кнопки Готово.

Приложение проверки подлинности на Windows Phone

Если вы хотите получать код проверки не используя SMS, то вы можете установить на телефон, работающий под управлением Windows Phone 7/8 приложение Authenticator (Проверка подлинности) из вашегоWindows Store. Размер загрузки -1 МБ

Рисунок 5. Проверка подлинности

Приложение "Проверка подлинности" создает коды безопасности, которые повышают защиту вашей учетной записи Майкрософт. Чтобы добавить учетную запись Майкрософт в приложение, просканируйте штрихкод или вручную введите секретный ключ. Приложение задействует стандартные отраслевые алгоритмы создания кода и также может работать с другими службами и поставщиками.

Рисунок 6. Код проверки подлинности на экране Windows Phone

Подробнее о защите учетной записи Майкрософт можно узнать здесь: https://account.live.com/p .

Двухэтапная аутентификация при использовании почты Google

Если вы хотите обезопасить вашу учетную запись, то выполнение данного пожелания также не требует от вас особого труда.

Для этого войдите в вашу учетную запись на www.google.com (рис.5).

Рисунок 7. Профиль на gmail.com

Выберите Privacy

Вам будет предложена двухэтапная аутентификация (рис.8).

Рисунок 8. Двухфакторная аутентификация

На данной странице вы можете добавить свой номер телефона. Учтите, что в отличие от Microsoft в данном случае вы можете распечатать резервный список кодов, если вы не можете по какой-то причине принимать SMS.

Так же, как и в случае двухэтапной аутентификации Microsoft вы можете создать коды с помощью приложения. Для этого выберите Создавать коды в приложении.

Создание кодов в приложении Google Authenticator

В отличие от Microsoft, в котором создание кодов в приложении возможно только на смартфонах под управлением Windows Phone, в Google создание кодов возможно в приложениях, устанавливаемых на смартфонах (планшетах) под управлением Android, iPhone, BlackBerry

Выберите ОС, соответствующую вашему планшету (смартфону) и загрузите соответствующее приложение.

Рисунок 9. Настроить Google Authenticator для Android

Как это работает

  1. Как обычно, при входе в аккаунт Google потребуется ввести имя пользователя и пароль.
  2. Затем вам предложат ввести код, полученный посредством SMS, голосового вызова или приложения для мобильного телефона.
  3. Вы можете отменить запрос кодов для этого компьютера. Ваш аккаунт по-прежнему защищен: при попытке входа через другой компьютер будет запрашиваться код доступа.

Двуходовая аутентификация в Facebook

В социальной сети Facebook вы также можете настроить двухэтапную аутентификацию.

Для этого войдите в Facebook и выберите Настройки-Безопасность.

Рисунок 10. Настройки аккаунта

Рисунок 11. Установка двухэтапной аутентификации

Для подтверждения входа выберите – Использовать свой телефон как дополнительное средство для защиты вашего аккаунта – Редактировать.

Установите галочку «Запрашивать код безопасности, чтобы получить доступ к моему аккаунту с незнакомых браузеров»  и введите номер вашего телефона.

Рисунок 12. Подтверждение входа

Как видим, в данном случае вы также можете получить коды заранее, в случаях когда у вас нет при себе телефона или установить Генератор кодов  (если вы используете Android или iPhone).

Учтите, что вы также можете создать пароли приложений для:

Вы сможете безопасно входить в эти приложения с помощью пароль приложения вместо вашего пароля для аккаунта на Facebook. Для этого вам необходимо будет ввести свой пароль для определенного приложения всего один раз.

Как включить или отключить двухэтапную аутентификацию в Linkedin

При включении данного дополнительного уровня безопасности необходимо указать номер мобильного телефона, на который будут отправляться коды подтверждения каждый раз при входе в LinkedIn с неопознанного устройства. После указания действительного номера телефона на него будет отправлен код. В случае успешного подтверждения кода будет включено двухэтапное подтверждение.

Чтобы включить двухэтапное подтверждение, выполните следующие действия.

  1. Наведите курсор на свою фотографию в правом верхнем углу главной страницы и выберите пункт Конфиденциальность и настройки. Возможно, в целях безопасности вам придётся войти в систему ещё раз.
  2. Перейдите на боковую вкладку Учётная запись рядом с иконкой в виде щита в нижней части страницы и нажмите Управлять настройками безопасности.
  3. Нажмите Включить в разделе Двухэтапное подтверждение для входа в систему.
  4. Введите номер мобильного телефона, на который будет отправлен код подтверждения.
  5. Нажмите Отправить код.
  6. Получив код по телефону, введите его в соответствующее поле на устройстве, с которого вы входите в учётную запись.
  7. Нажмите Подтвердить.
  8. Нажмите Готово.

Примечание. В случае отключения двухэтапного подтверждения LinkedIn удалит данные обо всех ранее опознанных устройствах, и для входа в систему нужно будет вводить только имя пользователя и пароль.

Использование OTP (One Time Password) в почте от Microsoft

Увы, иногда возникает ситуация, когда вам приходится пользоваться почтой в новом для себя месте, на чужом оборудовании (в чужой сети).

В таком случае вам на помощь придет OTP-сервис от Microsoft

Рисунок 13. Вход с помощью ОТР

Рисунок 14. Запрос одноразового пароля

Рисунок 15. Используйте полученный код в качестве пароля

Таким образом, следующий сеанс будет использовать другой пароль, что без сомнения, укрепит вашу безопасность.

Заключение

Надеюсь, дорогие читатели, что после прочтения данной статьи у вас возникнет желание установить себе двухходовую аутентификацию. Безусловно, ее применение потребует от вас некоторых усилий и терпения, однако, поверьте, ваша безопасность того стоит. Надеюсь, вам никогда не придется жалеть о том, что ваша почта взломана, а в социальной сети кто-то пишет посты от вашего имени.

Владимир Безмалый

MVP Consumer Security

Microsoft Security Trusted Advisor

Версия для печатиВерсия для печати

Рубрики: 

  • 1
  • 2
  • 3
  • 4
  • 5
Всего голосов: 0
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!

Комментарии

В общем, чтобы просмотреть почту, через пару лет придется предъявить отпечатки пальцев и скан радужки глаза

Аватар пользователя savely

Это плохо? 

Аватар пользователя Al

В 99.99% случаев для личного пользования достаточно нетривиального имени пользователя и такого же пароля нетривиального длиной не менее 8 символов. Всё остальное - для параноиков. Любой взлом должен по стоимости адекватен стоимости взламываемой информации.

Аватар пользователя savely

По мне - предъявление отпечатка пальца банально гораздо проще "пароля нетривиального длиной не менее 8 символов". 

Аватар пользователя Al

Ну... Отпечаток - это потенциальное пальцевредительство как способ взлома, да и нет в моих компах такого сканера. Я уж по-старинке. А в интернет-банк - двухуровневое, ещё и по SMS. Там вообще в принципе трехуровневое - надо и в комп войти, и в начало банка, и потом по SMS в банк окончательно по одноразовому паролю.

Аватар пользователя VladB

Фантасты :)
На самом деле сегодня доступ к почте это уже гораздо больше чем сама почта.

Тот же Windows Live ID - это доступ к бекапу Windows Phone из которого можно узнать массу интересного, доступ к One Drive
Доступ к гуглопочте - доступ к бекапу вашего смартфона
Доступ к Apple ID - это тоже не только почта.
Так что ...