Двухфакторная аутентификация Google. Про взлом и защиту правильную

Google защищает учетные записи пользователя с помощью двухфакторной аутентификации уже очень давно. Пользователям доступно множество способов получения одноразовых паролей и других методов подтверждения аутентичности запроса на вход в учетную запись.

Если вы используете мессенджер WhatsApp, то вам будет интересна статья «Двухфакторная аутентификация WhatsApp», в которой вы узнаете как улучшить защиту популярного мессенджера.

Двухфакторная аутентификация Google

Содержание

• Аутентификация через СМС
• Одноразовые коды TOTP
• Насколько безопасна аутентификация TOTP?
• Аутентификация с помощью телефона — Google Prompt
• Распечатка одноразовых кодов
• Google Security Key
• Пароли приложений
• Как злоумышлении взламывают двухфакторную аутентификацию Google
• Как защититься от взлома

Аутентификация через СМС

Одноразовые коды могут быть высланы в СМС или звонком на верифицированный номер. В целом система работает так же, как у Apple, за одним исключением: Google не заставляет пользователей в обязательном порядке добавлять номер телефона, чтобы активировать двухфакторную аутентификацию.

Кроме того, push-уведомления на доверенные устройства приходят пользователям только в том случае, если в явном виде настроен вариант аутентификации с помощью телефона (Google Prompt, о нем ниже).

Одноразовые коды TOTP

Мы уже рассмотрели систему на основе time-based one-time passwords (TOTP) на примере Apple. В отличие от Apple, в Google придерживаются политики максимальной открытости. Компания использует совершенно стандартную реализацию протокола, позволяющую инициализировать приложения-аутентификаторы как разработки самой Google (приложение Google Authenticator, так и сторонние (например, Microsoft Authenticator). Благодаря этому двухфакторная аутентификация становится доступна пользователям практически всех
платформ.

Для инициализации приложения-аутентификатора Google использует QR-код, который нужно сканировать с помощью нового устройства. В отличие от Apple, здесь используется единственный разделяемый секрет: с помощью одного и того же QR-кода можно активировать любое количество приложений-аутентификаторов.

С одной стороны, это удобно: можно сохранить QR-код в виде изображения (достаточно сделать скриншот экрана), после чего использовать его для инициализации приложений-аутентификаторов на новых устройствах. С другой — отозвать доверенный статус с конкретного устройства не представляется возможным. Отозвать можно только все сразу в процессе генерации нового QR-кода.

Насколько безопасна аутентификация TOTP?

Алгоритм TOTP — стандарт в индустрии. Существует множество приложений-аутентификаторов, использующих этот алгоритм. А вот реализация TOTP для Android (а точнее — особенности самой системы Android) открывает потенциальные уязвимости, которых нет на других платформах:

• если на устройстве есть root, извлечь секрет из приложения Authenticator — дело нескольких минут;
• если загрузчик устройства разблокирован (в частности, практически все устройства на основе наборов системной логики MediaTek поставляются с незаблокированными загрузчиками), извлечь данные из устройства — дело нескольких минут (если не активировано шифрование).

Аутентификация с помощью телефона — Google Prompt

Google Prompt (в компании так и не смогли адекватно перевести название на русский язык, ограничившись термином «аутентификация с помощью телефона») — способ проверки в виде интерактивного уведомления, которое доставляется на доверенные устройства. В отличие от push-уведомлений Apple, здесь нет никаких кодов: пользователю просто предлагают подтвердить или отклонить попытку входа в учетную запись.

Пожалуй, этот вид двухфакторной аутентификации наиболее удобен для обычного пользователя. Отреагировать на запрос гораздо проще, чем генерировать и сканировать QR-код, открывать приложение-аутентификатор, вводить шестизначный код. Разумеется, работает эта схема только в том случае, если у доверенного устройства есть связь с сервером Google. Если это не так, то всегда можно воспользоваться любым другим способом аутентификации — например, ввести код из приложения-аутентификатора.

Еще раз отметим важные различия между Google Prompt и push-уведомлениями в двухфакторной аутентификации Apple. Если Apple шлет на доверенное устройство шестизначный код, который потребуется ввести на втором шаге аутентификации, то Google отправляет простой запрос «да — нет», который достаточно просто подтвердить на доверенном
устройстве.

Другое важное отличие в методе доставки уведомлений: если Apple полностью контролирует экосистему и может использовать встроенные в ОС механизмы для доставки сообщений, то в случае с Android мы имеем разнообразие версий и вариаций системы. Если учесть скорость обновлений Android у подавляющего числа производителей, у недавно разработанной системы аутентификации Google Prompt были все шансы остаться невостребованной в течение последующих двух-трех лет.

Поэтому в Google поступили иначе. Интерактивные уведомления доставляются по протоколу Google Cloud Messaging (GCM), а принимают эти уведомления либо Google Play Services (на Android), либо приложение Google (на iOS).

На этом моменте нужно заострить внимание. В отличие от «бесплатной ОС с открытым исходным кодом», как позиционируется Android, Google Play Services полностью контролирует компания Google. Эти сервисы автоматически поддерживаются в актуальном состоянии на всех устройствах под управлением Android (начиная с версии 2.3). Соответственно, с появлением нового механизма аутентификации доступ к нему сразу получили практически все пользователи.

Мы смогли протестировать работу этого механизма на устройствах, работающих под управлением Android 5.1, 6.0, 7.0 и 7.1. Как начальная настройка, так и последующая работа Google Prompt не вызывают вопросов. При этом мы смогли корректно настроить Google Prompt во время начальной настройки даже на еще не активированных устройствах под управлением Android 5.1 (Google Prompt в те времена не существовало). Вполне вероятно, что Google Play Services получают первое обновление еще на этапе настройки телефона после того, как пользователь установит сетевое соединение, и до того, как будут запрошены логин и пароль пользователя от учетной записи Google.

Доверенный статус Google Prompt можно отзывать независимо как из учетной записи Google через веб-браузер, так и с самого устройства.

Распечатка одноразовых кодов

Двухфакторная аутентификация начиналась с одноразовых кодов, распечатанных на листе бумаги. Этот вариант доступен пользователям Google. Распечатать можно десяток шестизначных одноразовых кодов. В любой момент все неиспользованные коды можно отозвать, просто сгенерировав новые. Формат распечатки совпадает с размерами стандартной визитки. Коды можно положить в бумажник и носить с собой. У таких кодов нет определенного срока действия; они остаются действительными до использования или до момента генерации нового набора кодов.

Google Security Key

Этот вид аутентификации уникален для Google. Впрочем, область его применения весьма ограничена.

Настройка двухфакторной аутентификации с помощью Google Security Key

Универсальные ключи FIDO Universal 2nd Factor (U2F) можно использовать исключительно для верификации в браузере Google Chrome и только на компьютерах (ноутбуках, хромбуках и планшетах) с поддержкой USB.

Пароли приложений

Google использует уникальные пароли для приложений, которые не поддерживают двухфакторную аутентификацию. К таким относятся, например, почтовые клиенты IMAP (включая старые версии Microsoft Outlook). Пароли генерируются по запросу и могут быть отозваны в любой момент в индивидуальном порядке. Ограничений на число активных паролей нет.

С помощью паролей приложений можно получить лишь ограниченный доступ к некоторым типам данных. Так что воспользоваться сервисом Google Takeout для извлечения информации из учетной записи с помощью такого пароля не удастся. Не получится и зайти в учетную запись с помощью браузера: система запросит пароль от аккаунта, после чего потребует ввести одноразовый код.

Как злоумышлении взламывают двухфакторную аутентификацию

В зависимости от того, какие именно возможности из перечисленных выше активны у пользователя, доступны следующие способы атаки.

• Если установлено приложение-аутентификатор: извлечь данные приложения, используя root или кастомный рекавери (к примеру, TWRP) либо используя режим сервисного обслуживания телефона (для Qualcomm — режим 9006 либо 9008, для MTK — SP Flash Tool, для всех телефонов LG — режим прямого доступа к памяти по протоколу LGUP). Последние два способа не сработают, если память телефона зашифрована.
• Если используется доставка кодов на SIM-карту: извлечь SIM-карту, вставить в другое устройство, профит. Или использовать любой другой механизм атаки для перехвата СМС.

Как защититься от взлома используя двухфакторную аутентификацию

Если для генерации одноразовых кодов используется приложение-аутентификатор, не поленитесь и зашифруйте раздел данных. Это пригодится, честное слово!

Обязательно используй безопасную блокировку экрана (PIN-код). Не используй Smart Lock (разблокировка по местоположению, по фотографии лица и подобные). По возможности не используй доставку одноразовых кодов через СМС.

Следуя этим простым правилам, можно обезопасить свою учетную запись в достаточной степени. Если же вы не используете безопасную блокировку экрана и шифрование раздела данных, то все прочие меры «безопасности» будут направлены исключительно на успокоение вашей нервной системы, но никак не на усиление безопасности как таковой.

Кстати, если вы используете сервисы Google, то вам следует знать о сайте «Google активность», на котором вы можете просмотреть и удалить всю вашу историю в Google, Youtube, Gmail, Google+ и т.д.

На сегодня все. Теперь вы знаете что такое двухфакторная аутентификация Google и как с ее помощью правильно защитить свой аккаунт.

В статье использованы материалы сайта Xaкер
Евгений Зобнин

Наша оценка

Двухфакторная аутентификация Google — это лучший способ защитить учетную запись в сервисах Google. Наша оценка — хорошо!

User Rating: 4.28 ( 5 votes)

Как подключить и отключить двухэтапную авторизацию / Google Authenticator / привязка к телефону

ВАЖНО!

 Обращаем ваше внимание, что если у вас возникли какие-либо проблемы с двухэтапной авторизацией (потеря возможности самостоятельного отключения), то пожалуйста, ознакомьтесь с данной статьей.

Для чего это?

 Для повышения защищенности вашего аккаунта от попыток взлома и кражи, введена система двухэтапной авторизации посредством сервиса Google Authenticator. Система призвана защитить аккаунт, даже если пароль попадёт в руки злоумышленника. Для работы Google Authenticator достаточно смартфона на базе операционной системы iOS, Android или BlackBerry. Существуют также неофициальные приложения для Windows phone.

 Как подключить?

 Для подключения данного типа авторизации вам необходимо иметь смартфон на базе операционной системы iOS, Android или BlackBerry. Для Windows phone существуют неофициальные приложения. Также существует возможность подключения двухэтапной авторизации к регистрационной почте.

 Для начала вам необходимо пройти на страницу авторизации и выбрать аккаунт (если их несколько), на котором вам необходимо подключить двухэтапную аутентификацию.

 Следующий шаг — страница с необходимой информацией. Ознакомьтесь с ней и нажмите «Продолжить».

 Пройдя на третью страницу вам будет предложены ссылки для установки необходимого приложения на ваше устройство и QR-код.

 

 Ссылки на приложение:

    Android: Google Play
    iPhone: App Store
    Windows Phone (неофициальные приложения во внутреннем магазине)
    BlackBerry (устанавливается через переход на http://m.google.com/authenticator)

 

 После того, как приложение будет установлено, проведите сканирование QR-кода. Приложение сгенерирует вам временный пароль, который будет необходимо ввести в форму внизу страницы.

 

Подключение двухэтапной авторизации к почте.

Подключить двухэтапную авторизацию к почте вы можете из личного кабинета на нашем сайте Мой профиль => Безопасность => Защита аккаунта.

Хакеры придумали, как обойти двухфакторную аутентификацию Google — «Хакер»

Взломы, шпионская малварь, утечки данных, — аккаунты подвергаются компрометации самыми разными путями, и со всех сторон пользователи слышат совет: «включайте двухфакторную аутентификацию». Хотя этот дополнительный слой безопасности призван снизить шансы злоумышленников на успех, даже он срабатывает далеко не всегда. Так, исследователь обнаружил, что киберпреступники придумали новый способ обхода двухфакторной аутентификации аккаунтов Google.

Сегодня двухфакторную аутентификацию предлагают практически все уважающие себя сайты и сервисы, от Facebook до ресурсов правительственных учреждений. Дополнительный слой защиты действительно уберегает пользователей от множества проблем, а сама процедура авторизации по-прежнему проста: в основном двухфакторная аутентификация реализована посредством получения SMS-сообщения с одноразовым кодом, который нужно ввести на сайте.

Конечно, существует мобильная малварь, способная перехватывать SMS-сообщения от банков и других сервисов. Благодаря ней коды аутентификации отправляются прямиком в руки злоумышленников. Но подобные вредоносы, к счастью, пока не распространяются со скоростью лесного пожара, как это происходит, к примеру, с криптовымогательским ПО.

Исследователь Алекс Маккау (Alex MacCaw), один из сооснователей Clearbit.com, пишет, что основной проблемой пользователей по-прежнему остается «прокладка между стулом и клавиатурой». То есть они сами.

Маккау обнаружил новую вредоносную кампанию, основной которой служат социальная инженерия и хитрость. Исследователь рассказывает, что недавно он получил подозрительное SMS-сообщение, якобы написанное Google:

«(Уведомление от Google™) Недавно мы обнаружили подозрительную попытку входа в ваш аккаунт [email protected] с IP-адреса 136.91.38.203 (Вакавилл, Калифорния). Если вы не пытались авторизоваться из этого места и хотите чтобы работа вашего аккаунта была временно приостановлена, пожалуйста, ответьте на это уведомление шестизначным кодом верификации, который вы получите в ближайшее время. Если попытку авторизации предпринимали вы, просто проигнорируйте данное предупреждение», — гласит SMS.

Злоумышленники действуют изобретательно и заранее подготавливают жертву к получению одноразового кода двухфакторной аутентификации, который неизбежно будет отправлен на номер владельца аккаунта Google, когда хакеры попытаются авторизоваться. Фактически, после получения такого SMS, неподготовленный пользователь будет считать, что отправляет код «в Google», хотя на самом деле он своими руками даст взломщикам «зеленый свет» и позволить им осуществить хак.

Неизвестно, насколько массовый характер носит новый вредоносный спам. Похоже, старая добрая социальная инженерия никогда не выйдет из моды.

Be warned, there’s a nasty Google 2 factor auth attack going around. pic.twitter.com/c9b9Fxc0ZC

— Alex MacCaw (@maccaw) June 4, 2016

 

Фото: iStock    

Многофакторная аутентификация — Википедия

Многофакторная аутентификация (МФА, англ. multi-factor authentication, MFA) — расширенная аутентификация, метод контроля доступа к компьютеру, в котором пользователю для получения доступа к информации необходимо предъявить более одного «доказательства механизма аутентификации». К категориям таких доказательств относят:

• Знание — информация, которую знает субъект. Например, пароль, ПИН-код.
• Владение — вещь, которой обладает субъект. Например, электронная или магнитная карта, токен, флеш-память.
• Свойство, которым обладает субъект. Например, биометрия, природные уникальные отличия: лицо, отпечатки пальцев, радужная оболочка глаз, капиллярные узоры, последовательность ДНК.

Основная статья: Аутентификация

Ещё до появления компьютеров использовались различные отличительные черты субъекта, его характеристики. Сейчас использование той или иной характеристики в системе зависит от требуемой надёжности, защищённости и стоимости внедрения. Выделяют 3 фактора аутентификации:

• Фактор знания, что-то, что мы знаем — пароль. Это тайные сведения, которыми должен обладать только авторизованный субъект. Паролем может быть речевое слово, текстовое слово, комбинация для замка или личный идентификационный номер (PIN). Парольный механизм может быть довольно легко воплощён и имеет низкую стоимость. Но имеет существенные недостатки: сохранить пароль в тайне зачастую бывает сложно, злоумышленники постоянно придумывают новые способы кражи, взлома и подбора пароля (см. бандитский криптоанализ, метод грубой силы). Это делает парольный механизм слабозащищённым. Многие секретные вопросы, такие как «Где вы родились?», элементарные примеры фактора знаний, потому что они могут быть известны широкой группой людей, или быть исследованы.
• Фактор владения, что-то, что мы имеем — устройство аутентификации. Здесь важно обстоятельство обладания субъектом каким-то неповторимым предметом. Это может быть личная печать, ключ от замка, для компьютера это файл данных, содержащих характеристику. Характеристика часто встраивается в особое устройство аутентификации, например, пластиковая карта, смарт-карта. Для злоумышленника заполучить такое устройство становится более сложно, чем взломать пароль, а субъект может сразу же сообщить в случае кражи устройства. Это делает данный метод более защищённым, чем парольный механизм, однако стоимость такой системы более высокая.
• Фактор свойства, что-то, что является частью нас — биометрика. Характеристикой является физическая особенность субъекта. Это может быть портрет, отпечаток пальца или ладони, голос или особенность глаза. С точки зрения субъекта, данный способ является наиболее простым: не надо ни запоминать пароль, ни переносить с собой устройство аутентификации. Однако биометрическая система должна обладать высокой чувствительностью, чтобы подтверждать авторизованного пользователя, но отвергать злоумышленника со схожими биометрическими параметрами. Также стоимость такой системы довольно велика. Но, несмотря на свои недостатки, биометрика остается довольно перспективным фактором.

Согласно мнению экспертов, многофакторная аутентификация резко снижает возможность кражи личных данных онлайн, так как знание пароля жертвы недостаточно для совершения мошенничества. Тем не менее, многие многофакторные подходы аутентификации остаются уязвимыми для «фишинга», «человек-в-браузере», «человек посередине».

Основная статья: Аутентификация

Выбирая для системы тот или иной фактор или способ аутентификации, необходимо, прежде всего, отталкиваться от требуемой степени защищенности, стоимости построения системы, обеспечения мобильности субъекта.

Можно привести сравнительную таблицу:

Уровень риска	Требования к системе	Технология аутентификации	Примеры применения
Низкий	Требуется осуществить аутентификацию для доступа к системе, причём кража, взлом, разглашение конфиденциальных сведений не будут иметь значительных последствий	Рекомендуется минимальное требование — использование многоразовых паролей	Регистрация на портале в сети Интернет
Средний	Требуется осуществить аутентификацию для доступа к системе, причём кража, взлом, разглашение конфиденциальных сведений причинят небольшой ущерб	Рекомендуется минимальное требование — использование одноразовых паролей	Произведение субъектом банковских операций
Высокий	Требуется осуществить аутентификацию для доступа к системе, причём кража, взлом, разглашение конфиденциальных сведений причинят значительный ущерб	Рекомендуется минимальное требование — использование многофакторной аутентификации	Проведение крупных межбанковских операций руководящим аппаратом

Двухфакторная аутентификация (ДФА, англ. two-factor authentication, также известна как двухэтапная верификация), является типом многофакторной аутентификации. ДФА — представляет собой технологию, обеспечивающую идентификацию пользователей с помощью комбинации двух различных компонентов.

Примером двухфакторной аутентификации является авторизация Google и Microsoft. Когда пользователь заходит с нового устройства, помимо аутентификации по имени-паролю, его просят ввести шестизначный (Google) или восьмизначный (Microsoft) код подтверждения. Абонент может получить его по SMS, с помощью голосового звонка на его телефон, код подтверждения может быть взят из заранее составленного реестра разовых кодов или новый одноразовый пароль может быть сгенерирован приложением-аутентификатором за короткие промежутки времени. Выбор метода осуществляется в настройках аккаунта Google или Microsoft соответственно.

Преимущество двухфакторной аутентификации через мобильное устройство:

• Не нужны дополнительные токены, потому что мобильное устройство всегда под рукой.
• Код подтверждения постоянно меняется, а это безопаснее, чем однофакторный логин-пароль

Недостатки двухфакторной аутентификации через мобильное устройство:

• Мобильный телефон должен ловить сеть, когда происходит аутентификация, иначе сообщение с паролем просто не дойдет.
• Необходимо сообщить номер мобильного телефона, из-за чего, например, в будущем может приходить спам.
• Текстовые сообщения (SMS), которые, поступая на мобильный телефон, могут быть перехвачены^[1][2].
• Текстовые сообщения приходят с некоторой задержкой, так как некоторое время уходит на проверку подлинности.
• Современные смартфоны используются как для получения почты, так и для получения SMS. Как правило электронная почта на мобильном телефоне всегда включена. Таким образом, все аккаунты, для которых почта является ключом, могут быть взломаны (первый фактор). Мобильное устройство (второй фактор). Вывод: смартфон смешивает два фактора в один.

Сейчас многие крупные сервисы, такие как Microsoft, Google, Dropbox, Facebook, уже предоставляют возможность использовать двухфакторную аутентификацию. Причём для всех из них можно использовать единое приложение аутентификатор, соответствующее определённым стандартам, такие как Google Authenticator, Microsoft Authentificator, Authy или FreeOTP.

Многие продукты с функцией многофакторной аутентификации требуют от пользователя клиентское программное обеспечение, для того, чтобы система многофакторной аутентификации заработала. Некоторые разработчики создали отдельные установочные пакеты для входа в сеть, идентификационных данных веб-доступа и VPN-подключения. Чтобы использовать с этими продуктами токен или смарт-карту, потребуется установить на PС четыре или пять пакетов специального программного обеспечения. Это могут быть пакеты, которые используются для осуществления контроля версии или это могут быть пакеты для проверки конфликтов с бизнес-приложениями. Если доступ может быть произведён с использованием веб-страниц, то тогда можно обойтись без непредвиденных расходов. С другими программными решениями многофакторной аутентификации, такими как «виртуальные» токены или некоторые аппаратные токены, ни одно ПО не может быть установлено непосредственными пользователями.

Многофакторная аутентификация не стандартизирована. Существуют различные формы её реализации. Следовательно, проблема состоит в её способности к взаимодействию. Существует много процессов и аспектов, которые необходимо учитывать при выборе, разработке, тестировании, внедрении и поддержке целостной системы управления идентификацией безопасности, включая все релевантные механизмы аутентификации и сопутствующих технологий: это всё описал Brent Williams, в контексте «Identity Lifecycle»[1]

Многофакторная аутентификация имеет ряд недостатков, которые препятствуют её распространению. В частности человеку, который не разбирается в этой области, сложно следить за развитием аппаратных токенов или USB-штекеров. Многие пользователи не могут самостоятельно установить сертифицированное клиентское программное обеспечение, так как не обладают соответствующими техническими навыками. В общем, многофакторные решения требуют дополнительных затрат на установку и оплату эксплуатационных расходов. Многие аппаратные комплексы, основанные на токенах, запатентованы, и некоторые разработчики взимают с пользователей ежегодную плату. С точки зрения логистики, разместить аппаратные токены трудно, так как они могут быть повреждены или потеряны. Выпуск токенов в таких крупных областях, как банки, или других крупных предприятиях должен быть отрегулирован. Помимо затрат на установку многофакторной аутентификации значительную сумму также составляет оплата технического обслуживания. В 2008 году крупный медиа-ресурс Credit Union Journal провел опрос среди более 120 кредитных союзов США. Цель опроса — показать стоимость технического обслуживания связанную с двухфакторной аутентификацией. В итоге вышло, что сертификация программного обеспечения и доступ к панели инструментов имеют самую высокую стоимость.

1. ↑ NIST Prepares to Phase Out SMS-Based Login Security Codes. Time Is Running Out For This Popular Online Security Technique (англ.), Fortune (July 26, 2016). Дата обращения 13 августа 2016. «“Due to the risk that SMS messages may be intercepted or redirected, implementers of new systems should carefully consider alternative authenticators,” NIST».
2. ↑ Дуров заявил о причастности спецслужб ко взлому Telegram оппозиционеров (рус.). РосБизнесКонсалтинг (2 мая 2016, 20:18). — «… в ночь на пятницу отдел технологической безопасности МТС отключил ему (Олегу Козловскому) сервис доставки СМС-сообщений, после чего — спустя 15 минут — кто-то с Unix-консоли по IP-адресу на одном из серверов анонимайзера Tor отправил в Telegram запрос на авторизацию нового устройства с номером телефона Козловского. Ему было отправлено СМС с кодом, которое доставлено не было, поскольку сервис для него был отключен. Затем злоумышленник ввел код авторизации и получил доступ к аккаунту активиста в Telegram. «Главный вопрос в том, каким образом неизвестные получили доступ к коду, который был отправлен на СМС, но не доставлен. К сожалению, у меня есть только одна версия: через систему СОРМ или напрямую через отдел техбезопасности МТС (например, по звонку из «компетентных органов»)», — подчеркнул активист.». Дата обращения 11 мая 2017.