Как подключить авторизацию на телефоне

Авторизация в мобильном приложении

Для того, чтобы взаимодействовать с приложением, оно должно понимать — кем является текущий пользователь. Это и является так называемой авторизацией. Наша система идентифицирует пользователей по номеру телефона, который был указан при регистрации вас как партнера Просто Бэк-офис.

Представим, что вы — действующий клиент. После скачивания мобильного приложения нужно ввести тот самый номер телефона и нажать “далее”. Мы решили, что нужно избавить наших пользователей от еще одного пароля, который нужно помнить или иметь записанным где-то на бумажке, поэтому после ввода номера телефона вам придет СМС с одноразовым кодом для входа в приложение. Этот код нужно ввести на следующем экране.

Вводим этот код и попадаем внутрь. Если у вас несколько компаний на обслуживании ПБО, то откроетcя экран выбора компании, с которой вы хотите работать. Вы можете в любой момент переключиться на другую компанию в разделе настроек.

Выход из мобильного приложения

Если вам необходимо завершить свою сессию работы с приложением, воспользуйтесь кнопкой выхода.

На iOS выберите внизу последний таб Профиль и нажмите на кнопку “Выйти”.

На Android перейдите через боковое меню в раздел настройки, нажмите на кнопку меню в верхнем правом углу и выберите пункт “Выход”.

После выхода приложение теряет доступ ко всем вашим данным до того момента, пока вы снова не осуществите вход.

Я хочу заходить под другим номером. Что мне делать?

Для изменения номера телефона требуется оставить заявку в приложении точно так же как решаются и любые другие вопросы, связанные с деятельностью бэк-офиса.

Что если я авторизуюсь в приложении на другом устройстве?

Наша система поддерживает наличие нескольких действующих сессий на одного пользователя. Авторизовавшись на другом устройстве просто создастся новая сессия, которая будет существовать независимо только для этого устройства. Представим, что вы авторизовались на двух телефонах: самсунге и айфоне. Теперь если сессия на вашем самсунге истечет или вы принудительно ее завершите — это никак не коснется сессии на айфоне и там все будет работать как ни в чем ни бывало.

Как долго держится авторизация?

Говоря техническим языком: авторизация живет 14 дней с авто-продлением. А если попроще, то после того как вы вошли, ваша сессия будет действовать 14 дней и, каждый раз когда вы вновь открываете приложение на этом устройстве, действие продляется на 14 дней от текущей даты. То есть действие сессии прекращается в том случае, когда вы не заходили с этого устройства в приложение ПБО 14 календарных дней. Если вы авторизованы на разных устройствах, то сессии на этих устройствах существуют независимо друг от друга и работают по таким же правилам как описано выше.

Что делать, если я не могу войти в приложение?

Только действующие партнёры могут войти в приложение. В случае, если Вы действующий клиент и у Вас возникли проблемы со входом в мобильное приложение, Вы всегда можете связаться с нами — мы решим возникшую проблему. Все контакты есть на нашем сайте в разделе О НАС.

Я не получил СМС с одноразовым кодом

Если Вам в течении 30 секунд не пришло СМС с кодом, попробуйте нажать на кнопку “Назад” и снова ввести номер телефона. Если же после повторного входа не приходит СМС — свяжитесь с нами, мы Вам обязательно поможем.

Ошибка: “Номер не зарегистрирован”

Появляется в случае, если Ваш номер введён неверно или Вашего номера нет в нашей базе данных. Если же номер введён правильно и всё равно появляется ошибка — обратитесь в службу поддержки.

Ошибка: “Неверный код”

Появляется в случае, когда вы ввели неправильный код полученный из СМС. Повторите ввод кода или воспользуйтесь функцией автозаполнения.

Источник

Что такое учётная запись в телефоне на Android

Вы уверены, что хорошо знаете свой смартфон? Думаю, что до известной степени да. Другое дело, что степени той самой известности у каждого из нас разные. Поэтому то, что для одних является чем-то сродни высшей математике, для других – полнейший примитивизм. Это касается в том числе такого понятия, как учётная запись. Очень многие сталкиваются с непониманием, когда видят, что у их смартфона тоже есть учётная запись. Во всяком случае, о непонимании того, что это и зачем нужно, свидетельствуют запросы в Google. А наша задача – восполнить недостающие знания.

На одном смартфоне может быть несколько учётных записей

Учётная запись, или аккаунт – это ваша личная страничка, информация на которой позволяет смартфону или веб-сервисам, которые вы используете, опознать вас при входе. Если у вас смартфон на Android – а я в этом не сомневаюсь, — учётная запись будет от Google, потому что сама операционка принадлежит этой компании. Однако могут быть и исключения, например, на устройствах без сервисов Google.

Зачем нужна учетная запись в телефоне

Основная учётная запись для Android — это, конечно, Google

Учётная запись Google является своего рода способом авторизации и в системе смартфона, и в различных веб-сервисах, которыми вы пользуетесь, фактически исполняя роль виртуального паспорта:

На самом деле их намного больше. Просто, если перечислять все, не хватит и целой страницы. Но авторизация – это не самое главное. Почти любой сервис Google или стороннее приложение можно использовать и без учётной записи. А прелесть самих учётных записей заключается, как ни странно, в синхронизации данных.

Например, если вы смотрите YouTube или ищете что-то в Google Chrome, не залогинившись, то история просмотра не сохранится. А ведь очень удобно, чтобы она сохранялась, потому что впоследствии это позволит вам получить доступ к ней на других устройствах, будь то планшет, компьютер или другой смартфон. Этой цели и служит учётка.

Как сменить учетную запись на Android

В этом разделе можно переключаться и между аккаунтами, и между профилями

Впрочем, учётная запись необязательно должна быть общей для всех сервисов. Перейдите в «Настройки» — «Пользователи и аккаунты» и убедитесь в этом. Допустим, мне удобно, чтобы в YouTube у меня был индийский профиль, через который я оплачиваю подписку по индийской цене, а в остальных приложениях – российский.

Ничто не мешает мне просто подключить в нужном приложении вспомогательный аккаунт, а в других оставить исходный. Если в настройках системы приложение не позволяет сменить аккаунт, это можно сделать в настройках самого приложения.

Однако не нужно путать понятия учётной записи и профиля. Если учётная запись имеет облачную природу и служит для накапливания и синхронизации данных, то профиль – это чуть менее виртуальная штука. Профиль включает в себя настройки устройства для конкретного пользователя. Например, профиль позволяет использовать один и тот же аппарат нескольким людям, не позволяя их данным, хранящимся на встроенном накопителе, как-либо пересекаться.

Профиль может быть как постоянным, так и гостевым, причём владелец постоянного профиля может всячески контролировать манипуляции, которые выполняются на гостевом. Это очень удобно для родителей, которые дают свои смартфоны детям поиграть, но опасаются, что они случайно залезут не туда, куда им дозволено. Менять профили можно там же, где и учётные записи – в разделе «Пользователи и аккаунт» в настройках Android.

Источник

Авторизация: что это такое и для чего нужно?

Несмотря на то, что интернетом пользуется огромное количество людей по всему миру, ежедневно многие пользователи только начинают познавать этот виртуальный мир. Пользователи часто сталкиваются с определениями, которые они прежде не слышали. Вот, к примеру, авторизация — что это такое?

Авторизация (от английского слова authorization, что можно перевести как «разрешение») — это предоставление прав пользователю или группе лиц на выполнение тех или иных действий. Не поняли? Допустим, вы прошли регистрацию в Яндекс.Почте. Для того, чтобы попасть в свой электронный почтовый ящик, вам необходимо пройти авторизацию, то есть в данном случае ввести логин и пароль, который вы указали при регистрации.

Вот как выглядит поле для ввода данных Яндекс.Почты:

Соответственно, как только вы введете логин и пароль, система распознает пользователя и предоставит доступ к почте, а кроме того, доступ к другим сервисам компании Яндекса.

Разумеется, с авторизацией вы можете встретиться и на многих других сайтах. Взять тот же Сбербанк Онлайн: чтобы попасть в личный кабинет, нужно ввести логин и пароль.

При этом в случае со Сбербанком Онлайн используется так называется двухфакторная авторизация: помимо ввода логина и пароля пользователю необходимо ввести дополнительный код, который приходит к нему на телефон в виде СМС-сообщения. Это сделано для дополнительной безопасности. Только после ввода кода можно войти в личный кабинет.

Авторизацию в социальных сетях вы наверняка прекрасно знаете. Вот пример на основе ВКонтакте:

Есть другой вид авторизации, тоже, кстати, в банковской сфере. Допустим, вы оплачиваете покупку в интернете. Лимит на покупку товаров без авторизации — 2000 рублей. Вы же покупаете товар за 3000 рублей. Без авторизации в этом случае вы не сможете оплатить товар: для этого обычно необходим либо пароль, который вы сами же создаете, либо код, который придет в сообщении на телефон.

Важно также отметить, что не во всех случаях пользователь сам может зарегистрироваться на сервисе и получить данные для авторизации. Есть такие сервисы, где регистрация возможна только в определенном учреждении, в котором пользователь получает данные для доступа (авторизации).

Что такое данные авторизации?

Обычно данными авторизации являются логин и пароль, но не всегда. Зачастую это может быть фамилия или имя пользователя, а также пароль. Бывает так, что пользователь знает только логин для входа в систему, а пароль приходит ему в СМС-сообщении.

Чаще всего пользователь сам вправе менять свои данные авторизации, однако логин в некоторых случаях изменить невозможно. Например, если говорить о почтовых сервисах, логин изменить не получится, а вот пароль — пожалуйста.

Какие плюсы у авторизации?

Это зависит от сервиса. Если брать те же банковские услуги, то большинство услуг пользователю доступны только после регистрации в сервисе и получении данных для авторизации.

Если говорить про обычные сайты, зачастую авторизация предлагает возможность получения большего количества функций. Кроме того, на тех же форумах нельзя общаться без авторизации. Кстати, сейчас можно использовать аккаунты социальных сетей для регистрации и последующей авторизации во многих сервисах. Это удобно, поскольку не требует дополнительных действий.

Уважаемые пользователи! Если наш сайт вам помог или что-то в нем не понравилось, будем рады, если вы оставите комментарий. Заранее большое спасибо.

Источник

Android для чайников №10. Двухэтапная аутентификация

Павел Крижепольский

Любой владелец Android смартфона в той или иной мере пользуется сервисами Google. Например, доступом в магазин приложений Google Play. Или синхронизацией телефонной книги. Причем, для доступа ко всем сервисам Google используется всего один аккаунт, что очень удобно. Вот только если злоумышленнику удастся подобрать к этому аккаунту пароль, то он получит доступ к очень большому количеству личной и весьма важной информации. В этой статье мы поговорим о том, как можно защитить свой Google аккаунт.

Введение

Последнее время базы с паролями от почтовых сервисов стали попадать в сеть с завидной регулярностью. 5 сентября в сеть «утекло» более миллиона паролей пользователей почты Yandex. 8 сентября – около 4,5 млн аккаунтов Mail.ru. Не успели стихнуть шутки про «Интернет-АвтоВАЗ» и «Яндекс, в котором найдется все», как к ним добавилось почти 5 миллионов логинов и паролей от учетных записей почтового сервиса Gmail.

Все компании поспешили заверить пользователей, что большая часть украденных паролей уже не действительна. И, по большей части, они относятся к удаленным или ранее скомпрометированным аккаунтам. Но так это или нет доподлинно неизвестно.

Отдельно стоит отметить, что имея логин и пароль от чужой почты в Gmail, злоумышленник заодно получает доступ и ко многим другим сервисам. Например, к файлам в Google Drive, покупкам в Google Play, чату Hangouts, телефонной книге, аккаунтам в Google Plus и YouTube и многому другому. Кроме того, пользователи Android часто используют аккаунт Google для авторизации в сторонних сервисах и программах, доступ к которым также будет потерян.

Читая новости о взломанных аккаунтах и «утекших» паролях, большинство людей в глубине души абсолютно уверенно, что с ними всего этого никогда не случится. Но на практике, от кражи пароля или попытки взлома не застрахован никто. И нервов все это может попортить очень изрядно.

К счастью, проблема взлома пароля имеет простое и изящное решение. Называется оно «Двухэтапная аутентификация».

Что это такое?

Сложного названия боятся не стоит, ведь на самом деле, речь идет об очень простой системе, которой уже давно пользуются многие ресурсы, от банков до социальных сетей. Суть заключается в том, что помимо логина и пароля для входа в аккаунт теперь потребуется ввести специальный код, который придет на мобильный телефон по SMS. Даже если злоумышленник каким-то образом узнает ваш пароль, то добраться до телефона он в любом случае не сможет. И, не сумев узнать код подтверждения, останется ни с чем.

Если говорить о безопасности, то никаких вопросов такая схема не вызывает. Дополнительный уровень защиты действительно способен уберечь от многих неприятностей. Но что насчет удобства работы? Мало кому понравится для проверки почты каждый раз ждать SMS сообщения и вручную вводить длинный код.

К счастью, это вовсе необязательно. При входе в аккаунт вы можете отметить компьютер как надежный. И повторно вводить на нем код подтверждения больше не потребуется. При этом, ваш аккаунт по-прежнему будете под защитой – при попытке входа с незнакомого компьютера, система вновь потребует ввести код.

Также стоит отметить, что для удобства пользователей компания предусмотрела несколько дополнительных вариантов, с помощью которых можно получить код даже в том случае, если ваш телефон находится вне зоны действия сети. Например, можно заранее распечатать специальные резервные коды или установить на смартфон специальную программу-генератор, умеющую самостоятельно их создавать.

Как подключить?

Подключение двухэтапной аутентификации займет у вас буквально пару минут. Все что для этого требуется – перейти по следующей ссылке и следовать указаниям.

От вас потребуется войти в свой Google аккаунт, ввести номер мобильного телефона, выбрать удобный способ получения кодов (это может быть как SMS, так и голосовой вызов) и ввести полученный код подтверждения.

После того, как двухэтапная аутентификация подключена, нужно будет заново войти в Google аккаунт на всех компьютерах и мобильных устройствах, где он у вас используется. Обратите внимание на значок с восклицательным знаком, появившейся в панели уведомлений смартфона. Он говорит о том, что связь с аккаунтом Google потеряна. Потяните шторку строки уведомлений вниз, нажмите на появившееся сообщение, заново введите пароль к Google аккаунту и нажмите «Войти». Дождитесь SMS сообщения, введите секретный код и не забудьте поставить галочку «Запомнить код на этом компьютере» — это избавит вас от необходимости повторно вводить эти данные после перезагрузки устройства.

При необходимости, аналогичную процедуру нужно будет проделать на том компьютере, где вам потребуется доступ к сервисам Google. Только помните, что ставить галочку «Запомнить код на этом компьютере» следует только в том случае, если его владельцу вы действительно доверяете.

Главный подводный камень двухэтапной аутентификации – подключение аккаунта Google к некоторым сторонним почтовым клиентам, вроде Microsoft Outlook, почтового клиента на смартфонах BlackBerry или компьютере iMac. К сожалению, они поддерживают только имя пользователя и пароль и не работают с кодами подтверждения. Поэтому, вместо кода для таких приложений будет использоваться специальный пароль.

Создавать такой пароль совсем не сложно, нужно только перейти по следующей ссылке и указать название сервиса (почта, календарь и пр.) и тип клиента. Пароли приложений генерируются автоматически, запоминать их не придется.

На этой же странице можно отредактировать список доверенных устройств или изменить номер телефона.

Итоги

Пользоваться дополнительной защитой или нет – решить исключительно вам. Но, на мой личный взгляд, двухэтапная аутентификация — это нужное и полезное дело. Если есть возможность, всегда привязывайте к своему номеру телефона аккаунты платежных сервисов, почты и социальных сетей. Лучше пусть эти предосторожности окажутся лишними, чем однажды злоумышленник от вашего же имени обманет ваших друзей и близких. Например, отправив с вашего адреса электронной почты сообщение с просьбой срочно перевести деньги на счет.

Читайте также

Пятничная колонка

Когда покупать смартфон?

Посиделки по вторникам

Переход на 2 нм и тонкости техпроцесса

Переход на 2 нм и тонкости техпроцесса

Новостной дайджест

Двойной дисплей

На правах оффтопа

На правах оффтопа. телевидение или интернет

Беседка

Что такое работа и совещания по-илонмасковски?

Что такое работа и совещания по-илонмасковски?

iOS vs Android

Анатомия подделки. airpods 2

РоботоСофт

10 приложений для android 10

Аксессуары

21 комментарий на «“Android для чайников №10. Двухэтапная аутентификация”»

хорошая статья. я правда этого не делал, но гугл иногда сам вдруг требовал чегот подобного и ещё спрашивал на какой номер прислать смс/хз

Неплохо было бы, наверное, добавить ссылку на конкурсную статью «Dreamer…»а (вроде) по той же теме.

По сабжу: да, так оно, может, и надёжнее, но меня уже бесит то, с каким остервенением куча сервисов начало требовать мой номер телефона. Не их собачье дело, какой у меня номер и как я буду защищать свой аккаунт.

У меня однажды взломали скайп и это было очень неприятно. Всем друзьям и коллегам кто был на тот момент онлайн ушло сообщения типа «у меня большие проблемы, если есть возможность, пожалуйста, одолжи 2к до понедельника». Кто-то уже начал переспрашивать что случилось и куда лучше перевести деньги… К счастью, среди всех прочих сообщение ушло еще и брату, с которым я разговаривал за пять минут до этого. И он сразу перезвонил.

С тех предпочитаю перестраховаться. Лишним не будет.

Да я не против двухфакторной авторизации, я против насильственного насаживания на неё и вызнавания весьма личной информации.

С моей точки зрения это такое же насильственное насаживание, как и требование подбирать пароль длинной не менее 6-ти символов. Хотя казалось бы, кому какое дело, какой пароль я использую для входа в интернет-банк? Если решил поставить 123, то это мое личное дело…

Увы, большая часть пользователей в своих косяках будет винить кого угодно, но только не себя самого. Сервис не надежный, защита плохая, данные аккаунтов подпольно продают, АНБ личную информацию сливают… Людей которые понимают риски и принимают решение взвешенно меньшинство. Остальные не хотят задумываться даже о самых элементарных вещах и откровенно не готовы отвечать за последствия своих поступков.

>Остальные не хотят задумываться даже о самых элементарных вещах и откровенно не готовы отвечать за последствия своих поступков. Великий кукурузо :

>Остальные не хотят задумываться даже о самых элементарных вещах и откровенно не готовы отвечать за последствия своих поступков. TimeS :

12345678 не поставят — сейчас практически везде требуется хотя бы одна заглавная буква и цифра. При этом сервис обычно следит за тем, что бы в пароле не оказалось более трех символов, идущих на клавиатуре в ряд =)

Хотим мы того или нет, но сейчас является нормой писать в инструкциях к микроволновке, что в ней нельзя сушить котов. В какой-то мере это правильно — когда я впервые подключаю интернет и завожу себе почтовый аккаунт, я не обязан вникать в способы взлома паролей, собирать статистику о кол-ве взломанных аккаунтов и вообще разбираться в том, что значит «надежный» и «ненадежный» пароль. Это задача сервиса объяснить мне, как именно им следует пользоваться и какие могут быть подводные камни.

Например, той же почтой сейчас пользуется куча пожилых людей, для которых все эти тонкости совершенно не очевидны. И если мы с тобой ради безопасности кучи пользователей должны потерпеть десяток секунд, придумывая подходящий под правила пароль, то это не самая большая жертва.

«я не обязан вникать в что такое электрический ток» было последними словами маленького Василия Лоханкина, перед тем, как он взялся за оголённые провода в электрощитке.

Если человек пытается что-то сделать, не понимая даже самых основ, то он дурак и истинный ССЗБ, который заслуживает всех тех синяков, которые ему достанутся, ведь тогда он может хоть чему-то научиться. Поэтому вы как раз таки ОБЯЗАНЫ разбираться в том что такое «надёжный» и «ненадёжный» пароль, если решили работать с сервисом, требующим авторизации.

Но тут людей повели по другому пути. Везде насаживается девиз «ты не обязан разбираться» в связке с приучением к бездумному выполнению указаний, прикрываемых «заботой». Через некоторое время всякие гуглоэпплы будут вертеть нас на своих сервисах как вздумается, а основная масса людей будут этому только рады.

К слову, недавно перечитывал Харуки Мураками. Так вот, в одной из его книг герою на полном серьезе рассказывают о том, что пароль из трех знаком взломать практически нереально. Ведь они в сумме дают огромное количество комбинаций. И, скорее всего, на тот момент это было действительно так. Ведь под «взломом пароля» тогда имели ввиду, что человек получит физический доступ к компьютеру и, когда хозяин отвернется, попробует быстренько угадать нужную комбинацию. Это я к тому, что технически навыки, вроде бы даже успешно привитые в детстве, устаревают с огромной скоростью.

Есть у этой истории и другой аспект. Тот же Google вполне сознательно всеми силами пересаживает пользователей на свои сервисы. Например, привязывает к G+ аккаунты Google Play и YouTube. Или запихивает в Android смартфоны синхронизацию всех контактов с почтой Gmail. Не говоря уже о рекламе, в которой доказывается необходимость и безопасность их продуктов. Причем, думает в этот момент он не столько об интересах пользователей, сколько о своей выгоде. И чисто с моральной точки зрения, компания обязана позаботится о том, чтобы все эти нововведения не навредили пользователю. Не зависимо от того, сколько этому пользователю лет и какой у него уровень интеллекта.

При всём уважении к Мураками, специалист по информационной безопасности из него такой же как из меня английская королева.
>Ведь под «взломом пароля» тогда имели ввиду, что человек получит физический доступ к компьютеру и, когда хозяин отвернется, попробует быстренько угадать нужную комбинацию. Это я к тому, что технически навыки, вроде бы даже успешно привитые в детстве, устаревают с огромной скоростью.И чисто с моральной точки зрения, компания обязана позаботится о том, чтобы все эти нововведения не навредили пользователю. TimeS :

Я могу сказать только одно — все теоретические рассуждения хороши только до той поры, пока ты не сталкиваешься с их последствиями на практике. И если лишнее напоминание о надежности пароля или о возможности привязать аккаунт к номеру телефона однажды спасет твою девушку или твоих родителей от потери личной информации или развода на деньги — ты скажешь компании большое спасибо. Пусть даже и будешь понимать, что в том, что родители придумали для скайпа слишком простой пароль, не виноват никто кроме них. И заботится о сохранности их аккаунты никто кроме них был совершенно не обязан.

Если рассуждать о том, что люди в 21-м веке стали слишком ленивые и тупые (кроме меня любимого, само собой) я еще готов, то навешивать эти ярлыки на окружающих меня людей мне уже совершенно не хочется. А то, что среди них найдется масса тех, кто вряд ли бы в каждом пароле использовал ту самую обязательную заглавную букву с той самой обязательной цифрой, я ничуть не сомневаюсь. В конце концов, сложность придуманного пароля — явно не главная характеристика человека. И любая программа обязательно должна иметь «защиту от дурака».

>И если лишнее напоминаниеА то, что среди них найдется масса тех, кто вряд ли бы в каждом пароле использовал ту самую обязательную заглавную букву с той самой обязательной цифрой, я ничуть не сомневаюсь.В конце концов, сложность придуманного пароля — явно не главная характеристика человека. Dreamer. :

Спасибо, что помнишь про конкурсную статью 🙂

Источник

За последние пару лет идея двухфакторной аутентификации, о которой так долго говорили гики, сильно продвинулась в массы. Однако до сих пор в большинстве случаев речь идет о двухфакторной аутентификации при помощи одноразовых паролей, приходящих в SMS. А это, к сожалению, не очень-то надежный вариант. Вот что может пойти не так:

• Пароль в SMS можно подсмотреть, если у вас включен показ уведомлений на экране блокировки.
• Даже если показ уведомлений отключен, можно извлечь SIM-карту из смартфона, установить в другой смартфон и принять SMS с паролем.
• SMS с паролем может перехватить пробравшийся в смартфон троян.
• Также с помощью различных махинаций (убеждение, подкуп, сговор и так далее) можно заполучить новую SIM-карту с номером жертвы в салоне сотовой связи. Тогда SMS будут приходить на эту карту, а телефон жертвы просто не будет связываться с сетью.
• Наконец, SMS с паролем может быть перехвачена через фундаментальную уязвимость в протоколе SS7, по которому эти SMS передаются.

Надо заметить, что даже самый трудоемкий и высокотехнологичный из перечисленных методов перехвата пароля в SMS — с помощью взлома протокола SS7 — уже был использован на практике. Так что речь не о теоретической возможности возникновения неприятностей, а о вполне практической угрозе.

В общем, пароли в SMS — это не очень-то безопасно, а иногда даже и очень небезопасно. Поэтому есть смысл озаботиться поиском альтернативных вариантов двухэтапной аутентификации, о чем мы сегодня и поговорим.

Одноразовые коды в файле или на бумажке

Наиболее простая замена одноразовым паролям, присылаемым в SMS, — это те же самые одноразовые пароли, но заготовленные заранее. Это не самый плохой вариант, особенно для тех сервисов, в которых вам надо авторизовываться сравнительно редко. Собственно, даже для того же «Фейсбука» этот метод вполне может подойти, особенно в качестве резервного способа входа.

Работает это очень просто: по запросу сервис генерирует и показывает на экране десяток одноразовых кодов, которые в дальнейшем могут быть использованы для подтверждения входа в него. Дальше вы просто распечатываете или переписываете эти коды на бумагу и кладете в сейф. Или, что еще проще, сохраняете в зашифрованных записях в менеджере паролей.

В общем, не так важно, будете ли вы хранить эти коды на теплой ламповой бумаге или в бездушном цифровом виде — важно сохранить их так, чтобы они а) не потерялись и б) не могли быть украдены.

Приложения для двухфакторной аутентификации

У единожды сгенерированного набора одноразовых кодов есть один недостаток: рано или поздно он закончится, и вполне может так получиться, что вы останетесь без кода в самый неподходящий момент. Поэтому есть способ лучше: можно генерировать одноразовые коды на лету с помощью небольшого и, как правило, очень простого приложения — аутентификатора.

Как работают приложения-аутентификаторы

Работают приложения для двухфакторной аутентификации очень просто. Вот что придется сделать:

• устанавливаете на смартфон приложение для двухфакторной аутентификации;
• заходите в настройки безопасности сервиса, который среди опций для двухфакторной аутентификации предлагает использовать такие приложения;
• выбираете двухфакторную аутентификацию с помощью приложения;
• сервис покажет вам QR-код, который можно отсканировать прямо в 2FA-приложении;
• сканируете код приложением — и оно начинает каждые 30 секунд создавать новый одноразовый код.

Коды создаются на основе ключа, который известен только вам и серверу, а также текущего времени, округленного до 30 секунд. Поскольку обе составляющие одинаковы и у вас, и у сервиса, коды генерируются синхронно. Этот алгоритм называется OATH TOTP (Time-based One-time Password), и в подавляющем большинстве случаев используется именно он.

Также существует альтернатива — алгоритм OATH HOTP (HMAC-based One-time Password). В нем вместо текущего времени используется счетчик, увеличивающийся на 1 при каждом новом созданном коде. Но этот алгоритм редко встречается в реальности, поскольку при его использовании гораздо сложнее обеспечить синхронное создание кодов на стороне сервиса и приложения. Проще говоря, есть немалый риск, что в один не очень прекрасный момент счетчик собьется и ваш одноразовый пароль не сработает.

Так что можно считать OATH TOTP де-факто индустриальным стандартом (хотя формально это даже не стандарт, на чем создатели этого алгоритма очень настаивают в его описании).

Совместимость приложений для двухфакторной аутентификации и сервисов

Подавляющее большинство приложений для двухфакторной аутентификации работает по одному и тому же алгоритму, так что для всех сервисов, которые поддерживают аутентификаторы, можно использовать любое из них — какое вам больше нравится.

Как и в любом добротном правиле, в этом тоже есть определенное количество исключений. Некоторые сервисы по каким-то причинам, ведомым только им одним, предпочитают делать свои собственные приложения для двухфакторной аутентификации, которые работают только с ними. Более того, сами сервисы не работают ни с какими другими приложениями, кроме своих собственных.

Особенно это распространено среди крупных издателей компьютерных игр — например, существуют несовместимые со сторонними сервисами приложения Blizzard Authenticator, Steam Mobile с встроенным аутентификатором Steam Guard, Wargaming Auth и так далее. Для этих сервисов придется ставить именно эти приложения.

Также по этому странному пути пошла Adobe, разработавшая Adobe Authenticator, который работает только с аккаунтами AdobeID. Но при этом вы можете использовать для защиты AdobeID и другие аутентификаторы, так что вообще непонятно, ради чего было городить огород.

Так или иначе, большинство нормальных ИТ-компаний не ограничивает пользователей в выборе 2FA-приложения. И даже если по каким-то соображениям им хочется контролировать этот процесс и создать свое приложение, то чаще всего они позволяют защищать с его помощью не только «свои» аккаунты, но и учетные записи сторонних сервисов.

Поэтому просто выбирайте приложение-аутентификатор, которое вам больше нравится по набору дополнительных функций — оно будет работать с большинством сервисов, которые вообще поддерживают 2FA-приложения.

Лучшие приложения для двухфакторной аутентификации

Выбор 2FA-приложений на удивление велик: поиск по запросу «authenticator» в Google Play или Apple App Store выдает не один десяток результатов. Мы не советуем устанавливать первое попавшееся приложение — это может быть небезопасно, ведь, по сути, вы собираетесь доверить ему ключи от своих аккаунтов (оно не будет знать ваши пароли, конечно, но ведь 2FA вы добавляете именно потому, что пароли имеют свойство утекать). В общем, стоит выбирать из приложений, созданных крупными и уважаемыми разработчиками.

Несмотря на то что базовая функция у всех этих приложений одна и та же — создание одноразовых кодов по одному и тому же алгоритму, некоторые аутентификаторы обладают дополнительными функциями или особенностями интерфейса, которые могут показаться вам удобными. Перечислим несколько самых интересных вариантов.

1. Google Authenticator

Поддерживаемые платформы: Android, iOS

Как отмечают буквально все публикации, Google Authenticator — это самое простое в использовании из всех существующих приложений для двухфакторной аутентификации. У него даже настроек нет. Все, что можно сделать, — это добавить новый токен (так называется генератор кодов для отдельного аккаунта) или удалить один из имеющихся. А чтобы скопировать код в буфер обмена, достаточно коснуться его пальцем на сенсорном экране смартфона или планшета. Все!

2. Duo Mobile

Поддерживаемые платформы: Android, iOS

3. Microsoft Authenticator

Поддерживаемые платформы: Android, iOS

В Microsoft тоже не стали усложнять и сделали свой аутентификатор на вид очень минималистичным. Но при этом Microsoft Authenticator заметно функциональнее, чем Google Authenticator. Во-первых, хоть по умолчанию все коды показываются, но каждый из токенов можно отдельно настроить так, чтобы при запуске приложения код был скрыт.

4. FreeOTP

Поддерживаемые платформы: Android, iOS

Есть четыре причины, по которым вам может понравиться этот аутентификатор, разработанный Red Hat. Во-первых, это ваш выбор, если вы любите программное обеспечение с открытым кодом. Во-вторых, это самое маленькое приложение из всех рассматриваемых — версия для iOS занимает всего 750 Кбайт. Для сравнения: минималистичный Google Authenticator занимает почти 14 Мбайт, а приложение Authy, о котором мы поговорим ниже, — аж 44 Мбайта.

5. Authy

Поддерживаемые платформы: Android, iOS, Windows, macOS, Chrome

Самое навороченное из приложений для двухфакторной аутентификации, основным достоинством которого является то, что все токены хранятся в облаке. Это позволяет получить доступ к токенам с любого из ваших устройств. Заодно это упрощает переезд на новые устройства — не придется заново активировать 2FA в каждом сервисе, можно продолжить пользоваться существующими токенами.

В облаке токены зашифрованы ключом, который создается на основе заданного пользователем пароля, — то есть данные хранятся безопасно, и украсть их будет нелегко. Также можно установить ПИН-код на вход в приложение — или защитить его отпечатком пальца, если ваш смартфон оснащен соответствующим сканером.

− Требуется зарегистрироваться в Authy, используя номер телефона, — без этого приложение не работает.
 

6. «Яндекс.Ключ»

Поддерживаемые платформы: Android, iOS

На мой взгляд, по концепции «Яндекс.Ключ» — это самое удачное из существующих приложений для двухфакторной аутентификации. С одной стороны, оно не требует с ходу регистрироваться — можно начать им пользоваться с той же легкостью, как и Google Authenticator. С другой стороны, в нем есть несколько дополнительных возможностей, которые открываются тем, кто не поленится зайти в настройки.

Во-первых, «Яндекс.Ключ» можно «запереть» на PIN-код или отпечаток пальца. Во-вторых, можно создать в облаке «Яндекса» резервную копию токенов, защищенную паролем (а вот на этом этапе уже придется указать номер телефона), и восстановить ее на любом из используемых вами устройств. Точно так же можно будет перенести токены на новое устройство, когда понадобится переезжать.

− При большом количестве токенов не очень удобно искать нужный.
 

«Железные» аутентификаторы FIDO U2F: YubiKey и все-все-все

Если приложение, генерирующее одноразовые коды, кажется вам слишком эфемерным способом защитить свои аккаунты, и хочется чего-то более постоянного, надежного и материального — буквально запереть аккаунт на ключ и положить его в карман, — то у меня есть для вас хорошая новость: такой вариант также существует. Это аппаратные токены стандарта U2F (Universal 2nd Factor), созданного FIDO Alliance.

Как работают токены FIDO U2F

Аппаратные U2F-токены очень полюбились специалистам по безопасности — в первую очередь потому, что с точки зрения пользователя они работают очень просто. Для начала работы достаточно подключить U2F-токен к вашему устройству и зарегистрировать его в совместимом сервисе, причем делается это буквально в пару кликов.

Впоследствии при необходимости подтвердить вход в этот сервис нужно будет подключить U2F-токен к тому устройству, с которого вы входите, и нажать на токене кнопку (в некоторых устройствах — ввести PIN или приложить палец к сканеру). Все — никаких сложных настроек, ввода длинных последовательностей случайных символов и прочих танцев с бубном, которые обычно все себе представляют при упоминании слова «криптография».

При этом «под капотом» все устроено очень умно и криптографически надежно: при регистрации токена на сервисе создается пара криптографических ключей — приватный и публичный. Публичный сохраняется на сервере, а приватный хранится в защищенном хранилище Secure Element, которое является сердцем U2F-токена, — и этот ключ никогда не покидает устройство.

Приватный ключ используется для того, чтобы зашифровать подтверждение входа, которое передается на сервер и может быть расшифровано с помощью публичного ключа. Если кто-то от вашего имени попытается передать подтверждение входа, зашифрованное неправильным приватным ключом, то при расшифровке с помощью известного сервису публичного ключа вместо подтверждения получится бессмыслица, и сервис не пустит его в аккаунт.

Какими бывают U2F-устройства

Наиболее известный и распространенный пример U2F — это «ключи» YubiKey, которые производит компания Yubico. Собственно, она и стояла у истоков этого стандарта, но предпочла сделать его открытым, для чего и был создан FIDO Alliance. А поскольку стандарт открытый, вы не ограничены в выборе: U2F-совместимые устройства производят и продают разные компании — в онлайн-магазинах можно найти множество разнообразных моделей.

Например, Google недавно представила свой комплект аппаратных аутентификаторов Google Titan Security Keys. На самом деле это ключи производства Feitian Technologies (второй по популярности производитель U2F-токенов после Yubico), для которых в Google написали собственную прошивку.

Разумеется, все аппаратные аутентификаторы, совместимые со стандартом U2F, будут с одинаковым успехом работать со всеми сервисами, которые также с этим стандартом совместимы. Однако у разных моделей есть несколько важных различий, и самое важное из них — это интерфейсы, которыми оборудован «ключ». От этого напрямую зависит, с какими устройствами он сможет работать:

USB — для подключения к компьютерам (Windows, Mac или Linux — неважно, «ключи» работают без установки каких-либо драйверов). Помимо обычного USB-A бывают «ключи» с USB-C.

NFC — необходим для использования со смартфонами и планшетами на Android.

Bluetooth — понадобится на тех мобильных устройствах, в которых нет NFC. К примеру, аутентификатор с Bluetooth все еще нужен владельцам iPhone: несмотря на то, что в iOS уже разрешили приложениям использовать NFC (до 2018 года это было позволено только Apple Pay), разработчики большинства совместимых с U2F приложений еще не воспользовались этой возможностью. У Bluetooth-аутентификаторов есть пара минусов: во-первых, их нужно заряжать, а во-вторых, их подключение занимает гораздо больше времени.

В базовых моделях U2F-токенов обычно есть только поддержка собственно U2F — такой ключ обойдется в $10–20. Есть устройства подороже ($20–50), которые заодно умеют работать в качестве смарт-карты, генерировать одноразовые пароли (в том числе OATH TOTP и HOTP), генерировать и хранить ключи PGP-шифрования, могут использоваться для входа в Windows, macOS и Linux и так далее.

Что же выбрать: SMS, приложение или YubiKey?

Универсального ответа на этот вопрос не существует — для разных сервисов можно использовать разные варианты двухфакторной аутентификации в различных сочетаниях. Например, наиболее важные аккаунты (скажем, вашу основную почту, к которой привязаны остальные учетные записи) стоит защитить по максимуму — запереть на «железный» U2F-токен и запретить любые другие опции 2FA. Так можно быть уверенным, что никто и никогда не получит доступ к аккаунту без этого токена.

Хороший вариант — привязать к аккаунту два «ключа», как это делается с ключами от автомобиля: один всегда с собой, а другой лежит в надежном месте — на случай, если первый потеряется. При этом «ключи» могут быть разного типа: скажем, приложение-аутентификатор на смартфоне в качестве основного и U2F-токен или листочек с одноразовыми паролями, лежащий в сейфе, в качестве резервного средства.

Так или иначе, главный совет — по возможности избегать использования одноразовых паролей в SMS. Правда, получится это не всегда: например, финансовые сервисы в силу своей консервативности продолжают использовать SMS и крайне редко позволяют пользоваться чем-либо еще.