Вы не любите одноразовые пароли? Тогда мы идём к вам!

Diktator

Administrator
Команда форума
Administrator
Сообщения
3,339
Реакции
7,397
В этой заметке мы кратко ознакомимся с такими явлениями, как двухфакторная аутентификация и одноразовые пароли, а также рассмотрим их применение на простеньком примере использования Google Authenticator для защиты аккаунтов Google и облачных сервисов Amazon
В зависимости от фантазии разработчика и конкретной сферы применения система с использованием одноразовых паролей или ключей может называться двухфакторной или же двухшаговой авторизацией, аутентификацией, верификацией, а то и каким-нибудь более заковыристым словом. Впрочем, все они в общем случае сводятся к использованию двух или более методов идентификации пользователя для выполнения той или иной операции. Причём, как правило, первым этапом является применение привычной всем связки логин-пароль, которую, если честно, можно легко украсть и использовать удалённо без ведома владельца. А вот вторым фактором является нечто, что по идее должно быть доступно исключительно пользователю. Методы силового захвата и что-нибудь вроде ласковой просьбы от дяди с горячим паяльником в данном случае не рассматриваются, так как от них вряд ли что-либо спасёт.
Традиционная картинка с хакером для запугивания обывателя (Metasploit)
Для второго этапа идентификации может применяться множество : передача ключа по SMS/звонку/Push-уведомлению, USB-токены, физические и виртуальные генераторы ключей, биометрические датчики, смарт-карты, «таблетки» (как для домофонов), RFID-метки (NFC в том числе), приложения для мобильных устройств, одноразовые шифроблокноты и другие, более экзотические штуки. Суть всех этих технических наворотов одна — для доступа к чему-либо, помимо основных идентификационных данных (логин-пароль), требуется ввести ещё и одноразовый код. Если злоумышленник украл логин и пароль от вашего аккаунта, то воспользоваться он ими не сможет, так как одноразового пароля у него нет. Если же он умудрился подглядеть и одноразовый код, то он всё равно для него бесполезен, ведь само название кода указывает на то, что второй раз он им воспользоваться не сможет.
Банковские карты для параноиков
Более того, для пущей безопасности одноразовые пароли нередко имеют ещё и крайне ограниченный срок действия, но такой, чтобы даже очень неспешный пользователь успел ввести его куда нужно, а вредитель не успел бы его разузнать. Конечно, такой подход не обеспечивает стопроцентной защиты, которой, как известно, вообще не бывает, но позволяет достаточно эффективно защищаться от различного рода атак, да и в целом повысить безопасность работы. Да, это несколько снижает удобство пользования сервисами, а некоторые категории пользователей может вообще отпугнуть. Автор воочию наблюдал в одном из банков сцену, когда менеджер активно убеждал (заметьте, вполне доступным и понятным языком) клиента средних лет подключить бесплатную услугу авторизации платежей в интернете через SMS-коды. На что клиент буркнул: «Слишком сложно», — и удалился, оставив менеджера в растерянности и непонимании, как такая простая процедура может вызывать проблемы у неглупого с виду человека. Пример с банком не случаен, ведь именно финансовые организации первыми приняли на вооружение одноразовые коды.
Таблица кодов для сервиса «Яндекс.Деньги»
Те же пароли по SMS рассылают чуть ли не все онлайн-сервисы, включая социальные сети. Если не для , то хотя бы для основного пароля. с недавних пор предлагает клиентам свою двухфакторную аутентификацию. А таблицы одноразовых кодов на или в бумажном виде сейчас чуть ли не насильно впихивают клиентам любые уважающие себя банки и смежные организации. «Яндекс.Деньги» давно предлагают не только таблицы, но и электронные для проведения платёжных операций. Аналогичная история имеется у . Есть и более универсальные решения вроде или , которые могут использоваться в качестве не только дополнительного, но и основного средства идентификации (в общем случае), а также для шифрования, доступа к почте, электронным деньгам и так . Благо стандарты на такие устройства и схемы давно приняты и активно внедряются.
Токены Yubikey
Аппаратный токен стоит обычно в пределах 50$. Если вам совсем уж не хочется тратить деньги для своей защиты, то можно воспользоваться бесплатными программными решениями. Чаще всего в них используется алгоритм генерации одноразового кода на основе текущего времени или HMAC, поэтому требуется лишь правильная синхронизация времени на всех используемых устройствах. Пожалуй, наиболее популярным решением для двухфакторной аутентификации является Google Authenticator. Описание работы с ним довольно подробно расписано в сервиса. Ну а нам для старта понадобится только аккаунт Google и смартфон. Начать регистрацию надо с этого . Вам понадобится только поделиться с Google номером мобильного телефона, ну и смартфон с Android, iOS, Blackberry или . (Доступен вариант с подтверждением по SMS или голосовым сообщением для экстренных случаев, а также резервные коды.)
После указания номера на него придёт SMS со ссылкой на соответствующее приложение, которое надо установить и запустить. В нём мы выбираем аккаунт, для которого будет активна двухфакторная аутентификация, и следуем советам мастера настройки. Рекомендуется указать в аккаунта резервные номер телефона и e-mail и распечатать коды для входа в аккаунт без телефона. После настройки аккаунта Google Authenticator начнёт генерировать для него одноразовые пароли. При последующей попытке зайти через веб-интерфейс, например, в Gmail вас попросят ввести не только логин и пароль, но и текущий одноразовый код. Для удобства ПК, с которого производится вход, можно добавить в список доверенных, чтобы не лезть лишний раз за телефоном. Для приложений вроде Google Talk или почтовых клиентов, которые не умеют работать с двухфакторной аутентификацией, придётся особые пароли (для каждого по отдельности), которые надо вводить вместо обычного пароля к сервисам Google. Ответы на часто задаваемые вопросы по работе с приложением можно найти .
В принципе, Google Authenticator базируется на открытых стандартах и имеет с доступными исходными кодами, который можно «прикрутить» практически к любой с поддержкой PAM. Например, защитить подключение к . Также можно найти альтернативные решения, которые реализуют те же стандарты для других платформ. Впрочем, верно и обратное — некоторые платформы и сервисы уже поддерживают двухфакторную аутентификацию. Для добавления нового аккаунта надо либо прочитать камерой смартфона QR-код (при первом запуске будет предложено установить подходящий сканер), либо ввести длинный идентификационный код. Например, можно таким образом повысить безопасность столь любимых (хорошо-хорошо, любимых автором) облачных сервисов Amazon.
На страничке включения внизу есть кнопка Enable AWS MFA Device, по нажатии на которую откроется консоль IAM. Напротив пункта Root Account MFA надо нажать на кнопку Manage MFA Device, а в открывшемся мастере выбрать A virtual MFA Device. Пользователю будет показан QR-код, а ниже на всякий случай он же, но в текстовом виде. В Google Authenticator в меню приложения переходим в раздел «Настроить аккаунт», где для добавления нового профиля выбираем между сканированием кода или его ручным вводом. Наконец, на последнем этапе Amazon попросит ввести два одноразовых пароля, сгенерированные один за другим. В дальнейшем, как и в случае с Google-аккаунтом, от вас или злоумышленника будут требовать временные коды. Если вам всё это дело надоест, то в настройках двухфакторную аутентификацию можно будет отключить в любой момент или же перерегистрировать профиль в Google Authenticator.
Это всего лишь небольшой пример. Настройка других онлайн-сервисов или программ, как правило, не сложнее. Увы, таковых сейчас не очень много. Кроме бесплатного сервиса Google существует немало коммерческих решений для повышения безопасности за счёт одноразовых кодов, но они в основном предназначены для корпоративных клиентов, а потому «заточены» под несколько иные продукты и стоят немалых денег. Из тех, что могут пригодиться обычным пользователям, стоит отметить прекрасный проект , который к тому же берёт деньги только за SMS и звонки, оставляя бесплатными для личного пользования остальные сервисы. Не менее интересны проекты и . Последний, кстати, месяц назад купила Microsoft.

Duo Security вопрошает

Конечно, использование одноразовых паролей не является панацеей от всех возможных угроз. Тем не менее мы рекомендуем включить двухфакторную аутентификацию и прочие системы защиты везде, где только можно, — от систем онлайн-банкинга до социальных сетей. Лишним это точно не будет, а ждать грома по старой привычке всё же не стоит. Ну и традиционно призываем наших читателей как можно более внимательно относиться к своим личным данным и защищать их по мере своих сил. Удачи!
 

iFF65

Moderator
Команда форума
Moderator
Сообщения
8,520
Реакции
26,510
САМЫЕ ПОПУЛЯРНЫЕ ПАРОЛИ ПОЛЬЗОВАТЕЛЕЙ

«Лаборатория Касперского» исследовала «слабые места» в вопросе выбора и хранения паролей интернет-юзеров. А также подготовила инфографику о том, какие самые популярные пароли и какие можно проще всего узнать.
По результатам собственного опроса пользователей Facebook, российские пользователи оказались осмотрительнее остальных в отношении уникальности паролей. Лишь 12% русскоязычных респондентов ответили, что используют один пароль для нескольких учетных записей. В то же время в среднем по миру один и тот же пароль ко всем ресурсам использует каждый пятый пользователь. В США этот показатель еще выше — 23%. Самыми беспечными по результатам опроса оказались мексиканцы — 26% респондентов из Мексики признались, что используют один пароль при авторизации на всех ресурсах. В России бдительность пользователей значительно выше — такую беспечность проявляет лишь каждый десятый.

На безопасность аккаунтов также напрямую влияет способ хранения паролей к ним. Как показало исследование, в этом случае пользователи преимущественно полагаются на свою память: 71% опрошенных в мире хранят пароли в голове, в России этот показатель чуть ниже (53%), но также удерживает лидирующие позиции. Однако существенная часть пользователей поступает не так разумно: 23% опрошенных в мире и 31% россиян записывают пароли в блокноты и записные книжки. Еще 13% (и 11% соответственно) хранят свои кодовые слова на компьютере, 12% (5%) записывают их в память телефона, 9% (10%) записывают и приклеивают на монитор, и лишь 7% (6%) респондентов используют для хранения паролей специальные приложения и сервисы, такие как «Менеджер паролей» в Kaspersky CRYSTAL.

Зачастую не блещут оригинальностью и используемые в качестве паролей комбинации. Среди самых распространенных оказались собственная дата рождения, имя, номер телефона, последовательность цифр 123456 и даже клички домашних питомцев. Такие пароли можно подобрать за очень короткое время. Например, комбинации длиной 4-5 знаков сдаются злоумышленнику за считаные секунды. Кроме того, такую информацию часто можно найти на страничках пользователя в соцсети.

«Результаты исследования лишь подтверждают, что многие пользователи довольно легкомысленно относятся к безопасности личной информации в сети. Хотя для самостоятельной защиты своих аккаунтов достаточно руководствоваться простыми правилами создания и хранения паролей, — говорит Сергей Новиков, руководитель российского исследовательского центра «Лаборатории Касперского». — Во-первых, к каждому аккаунту должен быть создан свой уникальный пароль. Кроме того, стоит применять только сложные, устойчивые к взлому пароли, которые к тому же нельзя угадать. И, наконец, хранить пароли нужно либо в голове, либо в специальных программах, таких как, например, «Менеджер паролей» в составе защитного решения Kaspersky CRYSTAL».

Дмитрий Смирнов,
 
Последнее редактирование модератором:
Сверху