Как защитить свой аккаунт с помощью двухэтапной аутентификации

Алан-э-Дейл       06.09.2022 г.

Вводная часть

Если при разработке сайта возникает необходимость идентифицировать пользователя, OAuth-авторизация является достаточно простым инструментом в части реализации и защищенным в части безопасности.

В публикации рассмотрена OAuth авторизация для социальных сетей Facebook, Vkontakte и аккаунтов поисковых систем Google, Yandex. Этих примеров достаточно для понимания того, что авторизация по OAuth везде одинакова, различия в реализации незначительны. А значит, полученных из публикации знаний будет достаточно для самостоятельной реализации механизма авторизации для любого другого сервиса.

Почему бы не использовать готовые библиотеки и скрипты для подключения авторизации к сайту? Потому, что:

  • OAuth авторизация достаточно проста, чтобы разобраться самому и достаточно важна, чтобы не поручать сбор персональных данных посетителей своего сайта незнакомым библиотекам,
  • гораздо быстрее раз и навсегда понять принципы OAuth авторизации, чем разбираться в каждой ошибке сторонней библиотеки при подключении очередного сервиса авторизации.
Термины:
Все сервисы (социальные сети, поисковые системы, web-сервисы, и пр.) предоставляющие OAuth авторизацию в данной публикации будем называть серверами авторизации

Чтобы реализовать на своем сайте OAuth авторизацию нужно:

Учетные записи управления паролями

Используете ли вы инструмент для хранения всех ваших логинов, паролей и личной идентификационной информации? В наше время это делают многие, но только потому, что они позволяют хранить все ваши данные для входа в одном удобном месте, не означает, что они надежно защищены без включенного 2FA.

Пусть это будет напоминанием о том, что даже место, где вы храните все свои данные для входа в систему, должно быть защищено. На самом деле, если вы используете инструмент управления паролями или идентификацией, это может быть наиболее важным местом для включения двухфакторной аутентификации.

Если кто-то когда-либо получит ваши данные для входа в вашу учетную запись, он получит доступ к информации для входа в систему не только для одной учетной записи, но и для любых учетных записей, в которых хранится персональная информация – от вашей банковской учетной записи и учетной записи Gmail до вашей учетной записи Facebook и вашей учетной записи Яндекс. Хакеры могут выбрать и взломать столько ваших аккаунтов, сколько захотят.

Популярные инструменты управления паролями и идентификацией, которые предлагают 2FA:

С помощью приобретенного электронного ключа

  1. Откройте на компьютере совместимый браузер, например, Chrome, Firefox, Edge или Opera.
  2. Войдите в аккаунт Google. На экране появится сообщение о том, что для входа в аккаунт используется электронный ключ.
  3. Вставьте ключ в USB-порт компьютера.
  4. Если на экране появится сообщение от платформы «Сервисы Google Play», нажмите «ОК». В противном случае перейдите к шагу 5.
  5. Активируйте ключ:
    • Если на ключе есть диск золотого цвета, нажмите на него.
    • Если на ключе есть выступ золотого цвета, коснитесь его, а затем нажмите на него.
    • Если на ключе есть кнопка, нажмите ее.
    • Если на ключе ничего из этого нет, скорее всего, вам потребуется извлечь его и вставить снова. Такие модели отключаются после каждого использования.

Совет. Вы можете использовать ключ каждый раз при входе в аккаунт, а на надежных устройствах – отказаться от его использования.

Добавление экрана входа в приложение

Для аутентификации пользователя при помощи различных соцсетей мы должны создать кнопки для каждой из них. А затем связать нажатие на кнопки с соответствующим процессом аутентификации.

Для этого откройте для редактирования файл Main.axml, как показано ниже:

В Main.axml нужно написать следующий код AXML для реализации кнопки Google.

C#

<LinearLayout
xmlns:android=»http://schemas.android.com/apk/res/android»
android:id=»@+id/buttonPanel»
android:layout_width=»match_parent»
android:layout_centerVertical=»true»
android:layout_height=»wrap_content»>
<Button
android:id=»@+id/GoogleButton»
android:text=»Login using Google»
android:layout_width=»wrap_content»
android:layout_height=»wrap_content» />
>

1
2
3
4
5
6
7
8
9
10
11
12

<LinearLayout

xmlnsandroid=»http://schemas.android.com/apk/res/android»

androidid=»@+id/buttonPanel»

androidlayout_width=»match_parent»

androidlayout_centerVertical=»true»

androidlayout_height=»wrap_content»>

<Button

androidid=»@+id/GoogleButton»

androidtext=»Login using Google»

androidlayout_width=»wrap_content»

androidlayout_height=»wrap_content»>

>

Счета коммунальных услуг

У всех нас есть эти «ненавистные» ежемесячные счета за коммунальные услуги. В то время как некоторые люди предпочитают производить оплату счетов вручную, другие – такие как мы – подписываются на автоматическую ежемесячную оплату банковской картой или другим способом оплаты через личные учетные записи на сайтах коммунальных служб.

Если хакер вошел в вашу учетную запись, он может получить доступ к номерам банковской карты или другой информации об оплате. Они могут украсть её, чтобы использовать для мошеннических целей, или, возможно, даже изменить ваш ежемесячный план – подключив плату за свои услуги.

5 последних уроков рубрики «PHP»

Когда речь идёт о безопасности веб-сайта, то фраза «фильтруйте всё, экранируйте всё» всегда будет актуальна. Сегодня поговорим о фильтрации данных.

Обеспечение безопасности веб-сайта — это не только защита от SQL инъекций, но и протекция от межсайтового скриптинга (XSS), межсайтовой подделки запросов (CSRF) и от других видов атак

В частности, вам нужно очень осторожно подходить к формированию HTML, CSS и JavaScript кода.

Expressive 2 поддерживает возможность подключения других ZF компонент по специальной схеме. Не всем нравится данное решение

В этой статье мы расскажем как улучшили процесс подключение нескольких модулей.

Предположим, что вам необходимо отправить какую-то информацию в Google Analytics из серверного скрипта. Как это сделать. Ответ в этой заметке.

Подборка PHP песочниц
Подборка из нескольких видов PHP песочниц. На некоторых вы в режиме online сможете потестить свой код, но есть так же решения, которые можно внедрить на свой сайт.

The Best 2FA Hardware

The earliest forms of 2FA used hardware keys instead of software, and there are still hardware keys available today. Instead of using TOTP, most devices use the Universal Second Factor (U2F). These devices authenticate with a unique hardware token, and they’re generally origin-bound, making them safer overall.

Although we still recommend software 2FA for most users, there’s a place for hardware keys. Here are our three favorite options.

1.

Although expensive, the YubiKey 5 supports TOTP and U2F, making it a one-stop shop for 2FA.

More details about Yubico YubiKey 5:

  • Pricing: $20-$70
  • Website:

Pros:

  • Supports multiple protocols, including TOTP & U2F
  • Multiple connection options available

Cons:

Expensive

Yubico is synonymous with hardware 2FA. Its YubiKey line includes a range of multi-protocol, USB drive–like devices for a variety of different connections (including USB-C, USB-A and Lightning). The multi-protocol bit is what makes YubiKeys stand out. In addition to U2F, YubiKey also supports HOTP and TOTP, allowing you to use the hardware with most online services. 

In most cases, all you need to do is plug in the YubiKey and tap to authenticate your login — no messing about with codes or anything else. SomeYubiKey devices support NFC, too, allowing you to authenticate mobile logins with a tap.

The big reason to buy a YubiKey, though, is that they’re origin bound. That means the token inside is directly bound to the destination site or service, bypassing any issues with phishing. If you’re targeted in a phishing scheme, YubiKey simply won’t authenticate the login.

The downside is cost. Even among hardware 2FA devices, YubiKeys are expensive. Prices start at $45 for the YubiKey 5 range and go up to $70 based on the connection and features you want. There are some cheaper options in Yubico’s Security Key line, though they’re not as feature-rich as the YubiKey alternatives.

If you’re interested in hardware 2FA and don’t have the cash for a YubiKey, consider a Thetis 2FA device instead. They’re around $20, though they only support U2F (as well as its new version, FIDO2). 

2. Kensington VeriMark USB

The Kensington VeriMark USB adds a fingerprint reader to your Windows desktop or laptop.

More details about Kensington VeriMark USB:

  • Pricing: $49.99
  • Website: www.kensington.com

Pros:

  • Includes a fingerprint scanner
  • Works with Windows Hello

Cons:

  • Doesn’t support macOS
  • Only supports U2F

The Kensington VeriMark USB is a small USB fingerprint reader that supports U2F. That’s important to note, as the device is a fingerprint reader first and a 2FA device second. Unlike the YubiKey, it’s not meant to replace your 2FA app. Rather, it’s meant to provide a layer of security to Windows devices and U2F-compatible apps. 

The device itself is a mini USB adapter with a fingerprint reader on the side. Out of the box, it works with Windows Hello, allowing you to add biometric authentication to your Windows device. It only works with Windows, however; macOS isn’t supported.

Unfortunately, platform support is what holds the VeriMark back most. There are some services that support U2F — including Twitter, Brave, Facebook and GitHub — but the list isn’t nearly as long as services that support TOTP.

The VeriMark USB is a good way to add biometric authentication to your Windows device with the upside of 2FA on certain platforms. You’ll probably still need to use an app to protect everything, though.

3. Google Titan Security Key

Google’s Titan Security Key has some interesting tech inside, even if its price tag is high.

More details about Google Titan Security Key:

  • Pricing: $25-$50
  • Website: Find it on the Google Play store

Pros:

  • Origin bound
  • Multiple connection options

Cons:

  • Only supports U2F
  • Expensive

Like the VeriMark USB, Google’s Titan Security Key only supports U2F. However, it has some unique upsides, particularly for businesses. Titan works with Google Cloud and Google’s Advanced Protection Program, allowing system administrators to require company-wide 2FA through Google’s hardware.

For personal use, the Titan Security Key isn’t much different on the surface. It supports U2F through USB-A, USB-C, Bluetooth and NFC (depending on the device you purchase). Under the hood, the chip that manages your hardware token has a custom firmware from Google, which constantly monitors for any physical tampering.

Что делать, если войти не получается

На компьютере

1. Откройте сайт google.ru.

2. Нажмите на пункт «Почта».

3. Щелкните по «Забыли адрес эл. почты?»

Откроется окно восстановления с помощью номера телефона или резервного электронного адреса. Рассмотрим оба варианта.

Восстановление пароля с помощью телефона

Введите в поле номер телефона, к которому прикреплен электронный адрес и нажмите «Далее».

Напечатайте Имя и Фамилию.

Откроется запрос на отправку смс кода подтверждения. Нажмите «Отправить».

Вставьте код, полученный в смс, и нажмите «Далее».

Откроется окно с выбором аккаунта. Щелкните по вашему адресу.

Выйдет запрос ввести пароль. Допустим, вы его помните. Значит, щелкните по «Забыли пароль?» внизу.

Появится запрос ввести последний пароль, который помните. Нажмите на кнопку «Другой способ».

Выйдет окошко с предложением отправить код в смс на прикрепленный номер. Нажмите «Отправить».

Введите код из смс и нажмите «Далее».

Придумайте новый пароль и нажмите «Далее».

Пароль изменен, и вы вошли в аккаунт. Нажмите «Перейти в Gmail».

Восстановление пароля с помощью резервного адреса почты

Введите электронный адрес, к которому прикреплен ваш ящик.

Укажите ваше Имя и Фамилию.

Выйдет окошко с предложением отправить код на резервный электронный адрес.

После отправки на этот ящик придет сообщение об успешном восстановлении.

Для восстановления пароля нажмите «Забыли пароль?».

Выйдет запрос ввести последний пароль, который помните. Щелкните по «Другой способ».

Выберите пункт «У меня нет доступа к телефону».

Откроется окно с предложением отправить код на резервный электронный адрес.

После отправки перейдите в указанный ящик. На него придет сообщение с кодом.

Введите полученный код.

Затем введите новый пароль к электронному адресу.

Вот и все – пароль успешно изменен! Теперь можно открыть свою почту Google.

На телефоне

Восстановление доступа через приложение Gmail

Запустите приложение Gmail. Выберите пункт «Добавить адрес электронной почты».

Выберите «Google» и нажмите на «Забыли адрес эл. почты?».

Откроется окно восстановления с помощью номера телефона или резервного электронного адреса. Рассмотрим оба варианта.

С помощью номера телефона

Введите в поле номер телефона, к которому прикреплен электронный адрес.

Укажите Имя и Фамилию.

Откроется окошко с предложением отправить код.

Отправьте его и напечатайте полученный код в поле.

Откроется окно с вашим аккаунтом. Нажмите не него.

Выйдет запрос ввести пароль. Допустим, вы его не помните. Значит, нажмите на «Забыли пароль?».

Выйдет запрос ввести последний пароль, который помните. Нажмите «Другой способ».

Выйдет окошко с предложением отправить код в смс на прикрепленный номер. Нажмите на кнопку «Отправить».

Введите код из смс.

Придумайте новый пароль.

Выйдет окошко с предложением принять условия использования. Нажмите «Принимаю».

Аккаунт добавлен и восстановлен.

С помощью резервного электронного адреса

Введите адрес дополнительного ящика, к которому прикреплена почта Gmail.

Укажите ваше Имя и Фамилию.

Выйдет окошко с оповещением об отправке кода на ваш резервный электронный адрес. Нажмите на кнопку «Отправить».

Перейдите в резервный ящик. Введите код из письма.

Нажмите на аккаунт, выберите «Забыли пароль».

Выберите «Другой способ».

Нажмите на пункт «У меня нет доступа к телефону».

Выйдет окошко с оповещением об отправке кода на ваш резервный электронный адрес.

Нажмите «Отправить» и перейдите в ваш резервный ящик. На него придет код, который нужно ввести в форму восстановления.

Затем придумайте новый пароль для входа.

Выйдет окошко с предложением принять условия использования. Нажмите «Принимаю».

Аккаунт восстановлен и добавлен в приложение!

  • https://pc4me.ru/3122.html
  • http://compdude.ru/how-enter-gmail-com-email-username-and-password-if-already/
  • https://xn—-8sbdndnenfvg5dxc1cj.xn--p1ai/gmail-com.html
  • https://xn--b1ae3a1a.xn--p1acf/gmail
  • https://zapravkacity.ru/kompyuternaya-pomoshch/kak-zajti-v-elektronnyj-yashhik-gmail.html

How to Set Up 2FA on Microsoft Outlook

In this instance, you are looking at Microsoft’s Outlook.com service, rather than the desktop Outlook client. The Outlook desktop client has other forms of security, such as password protecting your Outlook PST file. However, 2FA isn’t currently available for it.

To lock down your Outlook.com account, visit your Microsoft account page then select the Security tab, followed by More Security Options. Under the Two-step Verification header, select Turn on two-step verification, then hit Next to proceed.

Microsoft wants you to use its authenticator app. However, in this case, we’re going to use Google Authenticator. (We used Google Authenticator in the previous section, so it should already be on your phone.) Select your mobile operating system from the list, then open the Authenticator app, scan the QR code, then enter the six-digit code to confirm. Copy the recovery code before you hit Finish.

Note: There are other excellent 2FA authentication apps out there.

Аутентификация на основе сессий

Протокол HTTP не отслеживает состояния, и, если мы аутентифицируем пользователя с помощью имени и пароля, наше приложение не будет знать, тот ли это человек, что и в предыдущем запросе. Нам придётся аутентифицировать снова. При каждом запросе HTTP не знает ничего о том, что происходило до этого, он лишь передаёт запрос. Так что, если вам нужны личные данные, придётся снова логиниться, чтобы приложение знало, что это точно вы. Может сильно раздражать.

Чтобы избавиться от этого неудобства, придумали аутентификацию на основе сессий/кук, с помощью которых реализовали отслеживание состояний (stateful). Это означает, что аутентификационная запись или сессия должны храниться и на сервере, и на клиенте. Сервер должен отслеживать активные сессии в базе данных или памяти, а на фронтенде создаётся кука, в которой хранится идентификатор сессии. Это аутентификация на основе куки, самая распространённый и широко известный метод, используемый уже давно.

Процедура аутентификации на основе сессий:

  1. Пользователь вводит в браузере своё имя и пароль, после чего клиентское приложение отправляет на сервер запрос.
  2. Сервер проверяет пользователя, аутентифицирует его, шлёт приложению уникальный пользовательский токен (сохранив его в памяти или базе данных).
  3. Клиентское приложение сохраняет токены в куках и отправляет их при каждом последующем запросе.
  4. Сервер получает каждый запрос, требующий аутентификации, с помощью токена аутентифицирует пользователя и возвращает запрошенные данные клиентскому приложению.
  5. Когда пользователь выходит, клиентское приложение удаляет его токен, поэтому все последующие запросы от этого клиента становятся неаутентифицированными.

У этого метода несколько недостатков.

  • При каждой аутентификации пользователя сервер должен создавать у себя запись. Обычно она хранится в памяти, и при большом количестве пользователей есть вероятность слишком высокой нагрузки на сервер.
  • Поскольку сессии хранятся в памяти, масштабировать не так просто. Если вы многократно реплицируете сервер, то на все новые серверы придётся реплицировать и все пользовательские сессии. Это усложняет масштабирование. (Я считал, этого можно избежать, если иметь выделенный сервер для управления сессиями, но это сложно реализовать, да и не всегда возможно.)

Украли смартфон: Google Authenticator

Когда с кражей смирились, переходим к настройке Google Authenticator.

  • Снова идем в настройки аккаунта, пролистываем вниз до раздела «Безопасность и вход», и кликаем по «Двухэтапная аутентификация».
  • Сервис попросит снова ввести пароль. Далее настраиваем вход через СМС.
  • После этого Google вышлет код, вводим его и попадаем в настройки. Здесь пролистываем вниз и находим Google Authenticator.
  • Нажимаем «Настроить», скачиваем приложение на новый смартфон.
  • Сканируем QR-код, который сгенерирует сервис и вводим код из приложения.

После этого, верификация будет подключена. Здесь же можно переносить данные Google Authenticator на другие устройства.

 Этот способ работает, только если у пользователя была и раньше настроена синхронизация двухфакторной аутентификации. В ином случае, придется восстанавливать доступ к каждому отдельному сервису. Например, криптобиржа KuCoin, которая также использует Google Authenticator, потребует подтвердить свое владение счетом. Для этого на адрес поддержки необходимо отослать письмо с ответами на вопросы и другими данными: 

  • Есть ли баланс на аккаунте. Если есть, придется перечислить все криптовалюты;
  • Когда был зарегистрирован аккаунт;
  • Предоставить историю операций на криптобирже;
  • Предоставить документ, удостоверяющий личность;
  • Также понадобится письменное заверение, что почтовый ящик пользователя на самом деле зарегистрирован и используется на криптобирже KuCoin;

Двухфакторная аутентификация — что это такое и зачем она нужна

Двухфакторная аутентификация (TwoFactor Authentication или 2FA) – это самый распространенный вид многофакторной аутентификации, которая используется для защиты аккаунтов от несанкционированного доступа или подтверждения онлайн операций. Соответственно, чтобы войти в свой аккаунт или подтвердить определенное действие, необходимо пройти 2 этапа идентификации личности:

  • первый этап – ввести логин и пароль от аккаунта;
  • второй этап – дополнительным способом подтвердить, что в аккаунте находится именно его владелец. Делается это одним из видов двухфакторной аутентификации, более детально о которых я расскажу чуть ниже.

Одна из важнейших особенностей двухэтапной аутентификации в том, что код для подтверждения входа или операции постоянно изменяется. Поэтому каждый раз вы будете получать новые данные, которые будут известны только вам.

Зачем нужна двухфакторная аутентификация

Главная задача двухэтапной верификации личности – сохранить ваши личные данные в безопасности, не позволить злоумышленникам получить доступ и полный контроль над вашими аккаунтами в различных сервисах.

Представьте, что другой человек получит доступ к вашим социальным сетям или электронной почте, что позволит ему увидеть ваши личные переписки и файлы. Или куда хуже – завладеет данными вашего электронного кошелька или банковской карты. Это может привести к серьезным необратимым последствиям.

Однако, настроив двухэтапную аутентификацию, даже зная ваш логин и пароль, злоумышленник не сможет войти в ваш аккаунт. Подобрать дополнительные код, который постоянно изменяется, практически невозможно, поэтому ваши данные будут находиться под надежной защитой.

Как работает двухфакторная аутентификация

Аутентификация в два этапа работает намного проще, чем это может показаться на первый взгляд, и отнимает не более 30 секунд. Давайте я наглядно покажу, как осуществляется этот процесс:

Принцип работы двухфакторной аутентификации

  1. Вы предварительно подключаете и настраиваете двухфакторную аутентификацию к своему аккаунту. Ниже в статье я подробно расскажу, как выполняется данная задача.
  2. Каждый раз, заходя в свой аккаунт или выполняя определенное действие (например, перевод денежных средств), вы вначале проходите первый этап – вводите свой постоянный пароль.
  3. Для завершения второго этапа нужно предоставить специальный код двухфакторной аутентификации, который будет отправлен выбранным вами методом.
  4. Происходит автоматическая синхронизация и проверка данных и, если код был введен правильно, вы получаете доступ к своему аккаунту или происходит выполнение операции.

Как я уже отметил, есть несколько видов многофакторной аутентификации, и вы самостоятельно выбираете для себя самый подходящий и удобный для применения. Давайте же приступим к их рассмотрению.

Шаг 4. Создание профиля сервера электронной почты

Примечание

Эти действия должен выполнять администратор системы.

Создайте новый профиль сервера электронной почты IMAP или POP3.

  • Чтобы создать профиль почтового сервера IMAP, выполните действия из раздела: Подключение к серверам IMAP или SMTP

  • Чтобы создать профиль почтового сервера POP3, выполните действия из раздела: Подключение к серверам POP3 или SMTP

Используйте следующие параметры:

Параметр Использование
Расположение сервера входящих сообщений IMAP imap.gmail.com
Расположение сервера входящих сообщений POP3 pop.gmail.com
Расположение сервера исходящих сообщений IMAP и POP3 smtp.gmail.com
Проверять подлинность с помощью Gmail OAuth
ИД клиента Из предыдущего шага
Секрет клиента Из предыдущего шага

How to Set Up 2FA on Twitter

Twitter supports third-party authenticator apps, so you can use Google Authenticator to secure your account.

Head to your Twitter account settings, then under the Security header select Login Verification. You can turn on SMS 2F by entering your phone number and then entering the code. If your Twitter account isn’t already using SMS verification, you must turn this on before enabling a third-party authentication app.

Once you turn on Login Verification, head back to the same menu and select Review your login verification methods, then select Mobile security app > Set up. Scan the QR code using the Authenticator app and follow the Twitter instructions.

Шаг 2. Настройте базовые параметры двухэтапной аутентификации (обязательно)

Разрешите пользователям включать двухэтапную аутентификацию. По умолчанию пользователи могут включить ее и выбрать любой . В аккаунтах G Suite, созданных до декабря 2016 года, двухэтапная аутентификация по умолчанию отключена.

Как применить настройки двухэтапной аутентификации

Вы можете задать настройки двухэтапной аутентификации для организационных подразделений и групп исключений – групп пользователей в организационном подразделении. Например, можно включить обязательное использование электронных ключей для небольшой команды в отделе продаж.

Как работают группы исключений:

  • Организационному подразделению можно назначить одну группу исключений.
  • Участники такой группы должны принадлежать к организационному подразделению.
  • Настройки двухэтапной аутентификации применяются к пользователям в группе исключений, а не к адресам группы или вложенным группам.
  • Такие группы необходимо создавать в консоли администратора (а не в Google Группах) с помощью Groups API или Directory Sync.

Для удобства можно указывать организационное подразделение в названиях групп исключений (например, гр_искл_орг_подразд).

Как разрешить пользователям включать двухэтапную аутентификацию

  1. Войдите в Консоль администратора Google.

    Используйте аккаунт администратора (он не заканчивается на @gmail.com).

  2. На главной странице консоли администратора выберите Безопасность Двухэтапная аутентификация.

  3. Слева выберите организационное подразделение или группу исключения.
  4. Разрешите пользователям включать двухэтапную аутентификацию и использовать любой способ подтверждения, но пока что не делайте ее обязательной.
    • Установите флажок Разрешить пользователям включать двухэтапную аутентификацию.
    • Выберите Принудительное применение > Выкл.
  5. Нажмите Сохранить.

Как уведомить пользователей о том, что они должны включить двухэтапную аутентификацию

  1. Попросите пользователей выполнить инструкции из статьи Как включить двухэтапную аутентификацию.
  2. Предоставьте инструкции по выбору способа двухэтапной аутентификации:
    • Электронные ключи
    • Уведомление от Google
    • Приложение Google Authenticator
    • Резервные коды
    • SMS или голосовое сообщение

Как отслеживать статус включения двухэтапной аутентификации у пользователей 

В отчетах можно найти следующие сведения о статусе включения двухэтапной аутентификации у пользователей: 

  • Статус включения, статус принудительного применения и количество электронных ключей. Выберите Отчеты > Отчеты о пользователях > Безопасность (чтобы посмотреть количество электронных ключей, нажмите «Настройки» Настройки и выберите «Аппаратные токены»).
  • Настройки и статус для отдельного пользователя (статус в реальном времени). Подробнее…
  • Сводка по включению двухэтапной аутентификации у пользователей. Выберите Отчеты > Отчеты о приложениях > Аккаунты.
  • Организационные подразделения и группы, которые не используют двухэтапную аутентификацию. Подробнее…
     

Двухфакторная аутентификация (2FA)

Двухфакторная аутентификация (2FA) улучшает безопасность доступа за счёт использования двух методов (также называемых факторами) проверки личности пользователя. Это разновидность многофакторной аутентификации. Наверное, вам не приходило в голову, но в банкоматах вы проходите двухфакторную аутентификацию: на вашей банковской карте должна быть записана правильная информация, и в дополнение к этому вы вводите PIN. Если кто-то украдёт вашу карту, то без кода он не сможет ею воспользоваться. (Не факт! — Примеч. пер.) То есть в системе двухфакторной аутентификации пользователь получает доступ только после того, как предоставит несколько отдельных частей информации.

Другой знакомый пример — двухфакторная аутентификация Mail.Ru, Google, Facebook и т. д. Если включён этот метод входа, то сначала вам нужно ввести логин и пароль, а затем одноразовый пароль (код проверки), отправляемый по SMS. Если ваш обычный пароль был скомпрометирован, аккаунт останется защищённым, потому что на втором шаге входа злоумышленник не сможет ввести нужный код проверки.

Вместо одноразового пароля в качестве второго фактора могут использоваться отпечатки пальцев или снимок сетчатки.

При двухфакторной аутентификации пользователь должен предоставить два из трёх:

  • То, что вы знаете: пароль или PIN.
  • То, что у вас есть: физическое устройство (смартфон) или приложение, генерирующее одноразовые пароли.
  • Часть вас: биологически уникальное свойство вроде ваших отпечатков пальцев, голоса или снимка сетчатки.

Большинство хакеров охотятся за паролями и PIN-кодами. Гораздо труднее получить доступ к генератору токенов или биологическим свойствам, поэтому сегодня двухфакторка обеспечивает высокую безопасность аккаунтов.

То есть это универсальное решение? Возможно, нет.

И всё же двухфакторка поможет усилить безопасность аутентификации в вашем приложении. Как реализовать? Возможно, стоит не велосипедить, а воспользоваться существующими решениями вроде Auth0 или Duo.

Гость форума
От: admin

Эта тема закрыта для публикации ответов.