Двухфакторная аутентификация Google Authenticator, как включить 2FA

Вступление

В современном мире, даже сложные и уникальные перестают быть достаточной мерой защиты ваших аккаунтов в сети, потому что основной проблемой становится среда их передачи. И наиболее слабым звеном является сам пользователь.

Дето в том, что брут-форсом хакеры пароли к публичным сервисам уже давно не подбирают, потому что сами сервисы (почтовые, социальные сети) защищены от такого рода атак. Они блокируют множественные попытки подбора пароля.
Именно поэтому чаще всего выбирается другой вектор атаки — сам пользователь и его среда передачи данных. Проще всего выманить пароль у самого пользователя, перехватив его, когда он перейдет по фейковой ссылке. В этом процессе активно используются элементы социального инжиниринга. Например, создается фейковый (ставится фотография, скопированная с реального профиля) или взламывается оригинальный аккаунта человека, которому вы доверяете (например, ваших родителей) и от их имени рассылаются осмысленные предложения и фишинговые ссылки, нажав на которые, вы отправите свои данные злоумышленнику. При этом могут использоваться реальные данные людей, которые были похищены с какого-нибудь другого плохо защищенного сайта, такого как интернет-магазин. Обычно, простые интернет-магазины защищены хуже всего.

Другой вариант — взломать его почту тем или иным способом и получить оттуда ссылку или временный пароль, который сгенерирует сервис для восстановления пароля. Этим список вариантов, конечно, не ограничивается, но в этой статье речь не об этом.

Еще один вектор атаки — компьютер самого пользователя, на котором можно перехватывать и отправлять злоумышленнику вводимые пользователем данные. Для этого используются различные кейлоггеры, которые мониторят буфер ввода с клавиатуры, различные шпионские адд-ины для браузеров (панели, «хелперы»). Ту же цель преследуют и различные «улучшатели» популярных соцсетей — неофициальные приложения, которые подключаются к реальным серверам соцсети через API, однако предоставляют якобы расширенные возможности (такие как прослушивание музыки без ограничения). Они же могут и логировать и ваши пользовательские данные.

Четвертый тип атак — MITM («человек в середине»). Если вход выполняется по паролю, то можно представить следующий сценарий атаки:

• трафик пользователя перенаправляется на машину атакующего
• атакующий отслеживает попытки подключения к серверу/приложению и перенаправляет их на свой сервер
• сервер атакующего настроен, во-первых, вести журнал всех введённых данных, в том числе пароля пользователя, а, во-вторых, передавать команды на легитимный сервер, к которому хочет подключиться пользователь, для их выполнения, а затем возвращать результаты легитимному пользователю.

Для данной атаки в локальной сети перенаправить трафик можно двумя способами:

• ARP спуфинг. Во время этой атаки, компьютер атакующего рассылает ложные сообщения ARP пакета о том, что MAC адресом роутера является MAC адрес компьютера атакующего. В результате компьютеры в локальной сети начинают отправлять сетевые пакеты через компьютер атакующего. Это универсальный вариант, который подойдёт во всех случаях.
• DNS спуфинг. Суть в подмене ответов на DNS запросы, в результате компьютер жертвы будет получать неправильные IP адреса для запрашиваемых хостов. Этот вариант подходит только если подключение к удалённому серверу или сайту выполняется по имени хоста.

Для перехвата паролей пользователя в реальном времени на сайтах часто используется DNS спуфинг, когда пользователь заходит на фейковых сайт, который выглядит как оригинал и вводит там данные. Например, существовало несколько клонов сети Vkontakte, которые воровали пользовательские данные.

Не менее популярный, но не всегда работающий вариант — перехват cookie с сайтов, которые вы посетили и ввели данные из браузера пользователя. Сами cookie не содержат пары логин/пароль, но если сайт, их выдавший настроен неправильно, то украв файл cookie можно установить сессию с сервером, их выдавшим от имени пользователя и сбросить его пароль или поменять данные.

Современные сайты на базе популярных открытых CMS более-менее защищены и хранят пароли в виде хэша который даже в случае его утечки достаточно сложно и/или долго расшифровать (в зависимости от приименного алгоритма шифрования). Однако, кастомные или рукописные движки часто грешат низкой безопасностью и их взломать проще, в результате чего периодически случаются утечки данных пользователей, даже с крупных сайтов. Хорошо защищённые сайты не должны хранить пароль пользователя вообще.

Также, некоторые боятся использовать авторизацию на различных сервисах через аккаунты в соцсетях (Facebook, Vk, и т.д.). В целом, такой способ авторизации достаточно безопасен и его бояться не стоит. При таком способе авторизации на сайтах пароль не используется. Вместо этого между сторонним сайтом и аккаунтом в соцсетях настроено безопасное соединение по протоколу OAuth, которое использует ключи. Сайт доверяет публичному соцсервису и не проверяет пароль, но он спрашивает у сервиса, выполняющего аутентификацию, проверенный вы пользователь или нет. Сервис, выполняющий аутентификацию проверяя вас, выдает OAuth токен вам в браузерную сессию, который и возвращает токен авторизации сайту.При условии, что ваш компьютер и браузер не скомпрометированы, такая передача одноразового токена безопасна. Перехватить и использовать такой токен на другом компьютере практически невозможно, но единственное, что сам процесс аутентификации в соцсети может быть скомпрометированы через те же самые cookie (мало кто выходит из Facebook, и сессия постоянно поддерживается).

Как вы видите, пароль может быть похищен или аккаунт может быть скомпрометирован на различных стадиях. Но напомню, что цель статьи — не изучение способов атаки и похищения паролей, а защита от этого на примере Google аккаунта.

Что такое двухфакторная аутентификация?

Двухфакторная аутентификация (2fa code) —  это метод подтверждения права доступа юзера к учетной записи того или иного веб-сервиса с помощью системы одноразовых паролей.

Настройка 2FA — это включение дополнительных факторов для входа в систему. Например, с помощью смс, отпечатков пальца при помощи специального устройства или шестизначного кода Google Authenticator (GA) о котором мы и расскажем в данном материале.

Что такое шестизначный код GA — это одноразовый пароль, который постоянно генерируется в течение 30 секунд. За это время его нужно будет успевать ввести в поле при входе на биржу или в другие системы, где у вас стоит защита 2FA. Это шестизначный код генерируется даже при отключенном интернете.

Существует несколько вариантов практической реализации данного метода защиты аккаунта. В этом обзоре мы рассмотрим настройку специального приложения для генерации случайных кодов Google Authenticator. Эта программа была разработана для защиты учетных записей гугл, но получила широкое применение на криптовалютных биржах и других ресурсах.

Гугл аунтификатор используется как второй уровень защиты при входе в личный кабинет или выводе средств с торговой площадки, а на некоторых биржах даже и при формировании ордеров.

Программа, установленная на ваш мобильный девайс, создает каждые 30 секунд шестизначный цифровой пароль. Для подтверждения входа или другой операции вы должны ввести его в формуляр запроса. Если код прошел проверку на валидность, ваши права доступа подтверждены. Порядок активации Google Authenticator идентичен для всех веб-ресурсов.

Скоро будет автоматически включена двухэтапная аутентификация ещё для 150 млн аккаунтов

В мае компания Google объявила о планах включить двухэтапную аутентификацию по умолчанию, чтобы обеспечить большую безопасность для многих учётных записей. Сейчас начался октябрь, месяц осведомлённости о кибербезопасности (Cybersecurity Awareness Month), и Google ещё раз напомнила об этом плане. 

В мае Google подчёркивала, что использование мобильного устройства для входа в систему даёт людям более безопасный и надёжный способ аутентификации, чем использование одних только паролей.

Как теперь сообщается в официальном блоге, к концу 2021 года Google собирается автоматически подключить двухэтапную аутентификацию ещё для 150 миллионов учётных записей. Кроме того, Google обяжет 2 млн авторов YouTube включить двухэтапную аутентификацию для своих аккаунтов.

На данный момент Google автоматически включает двухэтапную аутентификацию в аккаунтах, для которых настроен резервный адрес электронной почты или номер телефона. Представители Google пояснили:

Мы понимаем, что существующие сегодня способы двухфакторной аутентификации подходят не всем пользователям, поэтому наша команда работает над технологиями, чтобы вход в аккаунт не был связан с необходимостью запоминать пароли, но уровень безопасности оставался таким же высоким». 

Также отмечается, что с помощью Google уведомлений процесс входа должен оказаться плавным и простым: достаточно нажать на уведомление в телефоне, чтобы подтвердить личность. 

А кому нужна эта безопасность?

Вполне резонный вопрос, который многие могут задать: а на кой оно мне надо? Кому я нужен? Ну если вы используете свой почтовый ящик раз в месяц чтобы перекинуться парой ссылок с друзьями, то да, лишний геморрой будет ни к чему. Но у кого почта привязана ко многим аккаунтам в сети, особенно к финансовым (Webmoney, например), то защитить свою почту просто святое дело! Многие сервисы позволяют привязать номер мобильного к своему аккаунту, но всё-таки большинство всё ещё опирается на адрес email – одно из самых узких мест в безопасности! Также не забываем о функции «напоминания» пароля, которая успешно работает на многих интернет-площадках.

Однажды, получив доступ к вашему ящику, злоумышленник не подаст виду, будет сидеть втихаря и ждать, когда же придёт какое-нибудь «важное» письмо, которым можно воспользоваться в корыстных целях.Имея доступ к почтовому ящику можно быстренько «повспоминать» практически все ваши пароли… В общем,  если вам хоть немного дорога та информация, к которой можно получить доступ, вам необходимо правильно настроить Google Mail.

Что такое Google Authenticator

Инструмент создан в виде приложения для операционной системы Андроид и iOS, которое может быть использовано для усиления безопасности учетных записей пользователя. С его помощью создается дополнительный этап проверки прав на вход в профиль. Используя расширение для браузера Chrome, есть возможность воспользоваться функциями системы и на компьютере. Это позволит защитить страницу в социальной сети или аккаунт облачного сервиса.

В упрощенном виде система работает следующим образом: при вводе логина и пароля от аккаунта, сервис отсылает проверочный код на телефон. Пользователь должен просмотреть поступившее сообщение и ввести цифры на странице. Так он подтвердит свою личность и право на доступ к учетной записи. В итоге мошенники, даже заполучив логин и пароль, не смогут проникнуть на страницу, поскольку не имеют доступа к мобильному устройству.

Как установить google authenticator на компьютер

Для работы нам потребуется браузер Google Chrome. Имеется плагин на этот браузер google authenticator, который и установим. В правом верхнем углу Хрома нажимаем на иконку настроек.
Далее выбираем «Дополнительные настройки» и «Расширения». На открывшейся странице идём в самый низ и кликаем по ссылке «Ещё расширения».
Открывается интернет -магазин Chrome. Слева вверху в поле поиска вписываем «authenticator»

Делаем поиск и находим Authenticator. Справа нажимаем на кнопку «+Установить» и устанавливаем как обычное расширение Хрома. (На рисунке вместо кнопки установки нарисована кнопка «Оценить» т.к. у меня оно установлено, а у вас будет кнопка «+Установить»). После установки в правом верхнем углу браузера появится иконка этого расширения.
Пока остановимся и рассмотрим общий принцип включения двухфакторной авторизации (относиться к любым сервисам). Заходим на нужный нам сервис и первое, что мы делаем

1. Включение двухфакторной аутентификации

Реализация включения на разных сервисах разная (но смысл один), например, на криптовалютной бирже Exmo это выглядит так.
В личном кабинете в настройках выбираем «Защита Google Authenticator, SMS». Жмём кнопку «google authenticator» и генерируем секретный код. В результате имеем буквенный код и соответствующий ему QR-код.

А вот как выглядит включение двухфакторной авторизации в криптовалютном кошельке blockchain.

Нужно зайти в центр безопасности и активировать 2-х шаговую верификацию.

Итак, мы видим QR- код. Т.о. любой сервис при настройке 2FA выдает QR-код, который сканируем google authenticator.

ВНИМАНИЕ!!!

QR- код обязательно сфотографируйте и файл сохраните в надежном месте!!!

Имея QR- код ВЫ ВСЕГДА СМОЖЕТЕ ВОССТАНОВИТЬ ДВУХФАКТОРНУЮ АУТЕНТИФИКАЦИЮ!

Представим, что что-то случилось  с компьютером. Не можете войти в Хром, отключился google authenticator, в общем не можете получить одноразовый пароль. И всё. Если, например 2FA включена на кошельке blockchain, то вы БЕЗВОЗВРАТНО ПОТЕРЯЕТЕ ВСЕ СРЕДСТВА!

Не считайте себя особо умным и игнорируйте копирование QR-кода. Кучи форумов по крипте кишат людьми, которые утратили доступ к 2FA («загнулся» комп, кто делал 2FA на мобильник, его просто потеряли и т.д). А если у вас есть фото QR-кода, то вы запросто можете его просканировать google authenticator хоть на телефоне, хоть на компьютере.

2. Сканирование QR-кода

Рассмотрим на примере биржи  yobit.net. В браузере Chrome нажимаем на иконку установленного расширения. Открывается окно в котором нажимаем на символ карандаша.
Открывается окно

Нажимаем на «+».

Выбираем «Scan QR Code » (Сканирование QR- кода). Manual Entry -ручной ввод буквенного кода, если сервис его выдал. Например, биржа Exmo его выдает, а кошелек blockchain — нет.

Заходим на страницу, где показан QR- код биржи yobit и сканируем его. Обведите мышкой QR-код.

После сканирования (программа считала штрихкод), появится одноразовый код.
Его вставляем (см. картинку выше) в поле «Аутентификационный код 2fa» и жмём кнопку «Включить». Теперь, перед каждым входом на биржу будет появляться поле для ввода ключа. А сам ключ будем брать в приложении, вот здесь.

А этот код меняется несколько раз в минуту.

Как пользоваться на ПК

Переходим к рассмотрению главного вопроса. Немного ниже предоставлена подробная пошаговая инструкция со скриншотами, с помощью которой можно установить описываемое приложение на компьютер или ноутбук.

Загрузка и установка

Для инсталляции на ПК игр и приложений, созданных для системы Android, потребуется эмулятор. BlueStacks – это одна из лучших программ такого типа. Именно на примере этого софта и будет рассмотрена установка Google Authenticator на компьютер. Ссылка на загрузку эмулятора и инструкция по его настройке уже ждет внизу. Как только программа будет установлена, делаем следующее:

1. Запускаем официальный магазин Play Store.

2. Переходим к поиску, активировав поисковую строку кликом мышки.

3. Прописываем нужное название и выбираем программу из поисковой выдачи.

4. Далее кликаем по кнопке, обозначенной на скриншоте красным.

5. Ждем несколько секунд, пока процесс загрузки файлов приложения на ПК будет завершен.

6. Теперь можем запускать утилиту и начинать работать с ней.

7. Запуск аутентификатора можно также выполнять с домашнего стола эмулятора. Здесь появится иконка приложения.

Немного ниже будет более подробно рассмотрен процесс использования софта на компьютере.

Работа с Google Authenticator

После запуска приложения следует добавить способ защиты своего аккаунта. Для этого кликаем по изображению плюса в нижней левой части главного окна.

Далее можем выбрать защиту с помощью QR-кода или ввести ключ настройки.

В следующем окошке вводим личные данные. Первым делом прописываем адрес аккаунта, которой необходимо защитить. После этого придумываем секретный ключ, который может потребоваться для восстановления данных, например, при необходимости перенести утилиту на другое устройство.

После добавления аккаунта будет сгенерирован код для двухэтапной аутентификации. При желании можно добавить еще один аккаунт.

Разработчики приложения постоянно дорабатывают его и вводят различные новшества. При последнем обновлении, например, был обновлен дизайн утилиты с возможностью использования темной темы.

Преимущества использования программы

Среди безусловных преимуществ использования Google Authenticator на PC стоит отметить:

• Высокий уровень безопасности;
• Возможность работы с несколькими учётными записями на одном устройстве;
• Интуитивно понятный интерфейс, облегчающий работу;
• Поддержка большинства распространённых мобильных операционных систем.

При этом приложение устанавливается аналогично прочим – из Play Market загружается исполняемый файл, запустив который нужно просто следовать подсказкам инсталлятора. Все необходимые настройки и подключение профилей можно выполнить в соответствующем пункте меню.

Как получать коды на новый телефон

Как перенести коды Google Authenticator на новый телефон

Вот что вам потребуется:

• прежний телефон Android с кодами Google Authenticator;
• установленная на нем последняя версия приложения Google Authenticator;
• новый телефон.

1. Установите приложение Google Authenticator на новом телефоне.
2. В приложении нажмите Начать.
3. Внизу экрана выберите Импортировать имеющиеся аккаунты?.
4. Создайте QR-код на прежнем телефоне:
   1. В приложении Authenticator нажмите на значок «Ещё»
      
      Перенести аккаунты
      Экспорт аккаунтов.
   2. Выберите аккаунты, которые вы хотите перенести на новый телефон, и нажмите Далее.
      • В случае переноса нескольких аккаунтов может быть сгенерировано больше одного QR-кода.
5. На новом телефоне нажмите Отсканировать QR-код.
6. После сканирования QR-кодов вы получите подтверждение того, что аккаунты Google Authenticator перенесены.

Совет. Если отсканировать QR-код с помощью камеры не получается, причиной может быть слишком большой объем информации. Попробуйте перенести меньшее количество аккаунтов.

Как указать, на какой телефон должны отправляться коды Google Authenticator

1. На своем устройстве откройте страницу аккаунта Google.
2. На панели навигации вверху нажмите Безопасность.
3. В разделе «Вход в аккаунт Google» выберите Двухэтапная аутентификация. При необходимости выполните вход.
4. В разделе «Доступные варианты второго этапа аутентификации» найдите пункт «Приложение Authenticator» и нажмите Изменить номер.
5. Следуйте инструкциям на экране.

Используем двухфакторную аутентификацию в ВК и Google

Кроме того, стоит несколько слов сказать о том, что двухступенчатая защита доступа возможна к некоторым профилям и без установки стороннего софта. Например, страница ВКонтакте или аккаунт Google могут быть защищены и с помощью стандартных средств.

Используйте двухфакторную идентификацию

1. Для того чтобы установить двухэтапный вход в свой аккаунт ВК без Google Authenticator, нужно зайти в меню профиля и перейти к его настройкам.
2. Перейдя на вкладку безопасность, можно будет увидеть вопрос о необходимости подключения дополнительной проверки посредством проверочного кода по СМС.
3. Здесь же можно привязать все ваши устройства, которые могут быть использованы для входа на страницу.

Если же необходимо повысить безопасность профиля Google, то алгоритм действий будет следующим:

1. После аутентификации необходимо зайти в раздел аккаунта «Безопасность и вход» и найти справа пункт «Двухэтапная аутентификация».
2. После клика по надписи откроется новая страница, следуя подсказкам которой можно осуществить настройку доступа.

Как использовать Google Authenticator с несколькими устройствами и аккаунтами

Как включить двухэтапную аутентификацию для нескольких аккаунтов

Приложение Google Authenticator, установленное на одном устройстве, может генерировать коды сразу для нескольких аккаунтов Google. Каждому аккаунту должен соответствовать отдельный секретный ключ.

Чтобы настроить дополнительные аккаунты, выполните следующие действия:

1. Включите двухэтапную аутентификацию для каждого из аккаунтов.
2. Используйте то же приложение Google Authenticator.

Как настроить Google Authenticator на нескольких устройствах

Чтобы коды подтверждения генерировались сразу на нескольких устройствах, выполните следующие действия:

1. Проверьте, установлено ли приложение Google Authenticator на всех нужных устройствах.
2. В аккаунте Google перейдите в раздел Двухэтапная аутентификация.
3. Если вы уже настроили Google Authenticator, удалите аккаунт из приложения.
   • Перед этим убедитесь, что у вас есть резервные коды для входа.
4. Настройте двухэтапную аутентификацию через Google Authenticator, следуя инструкциям на экране. Используйте один и тот же QR-код или секретный ключ на всех устройствах.
5. Убедитесь, что на все устройства приходят одинаковые коды подтверждения.

Как устранить распространенные проблемы

Как устранить неполадки с кодом

Если код оказался некорректным, убедитесь, что:

• Вы указали код до того, как срок его действия истек.
• Время на устройстве соответствует вашему часовому поясу.

Если устранить проблему не удалось, синхронизируйте свое устройство Android. Для этого выполните следующие действия:

1. Откройте приложение Google Authenticator
   на устройстве Android.
2. В правом верхнем углу экрана нажмите на значок «Ещё»
   
   Коррекция времени для кодов
   Синхронизация.
3. На следующем экране появится сообщение о том, что время синхронизировано. Теперь вы можете использовать коды подтверждения для входа.
   • Синхронизация влияет только на время в приложении Google Authenticator. Настройки даты и времени на устройстве не изменятся.