Как защитить аккаунты от взлома: гид по настройке двухфакторной авторизации

10.05.2017

Даже не выдумывая пароль из 20 символов, вы эффективно обезопасите себя от хакеров — если, конечно, будете пользоваться двухфакторной защитой через SMS, приложение или USB-накопитель.

Попробуем угадать, как выглядит ваш пароль. 123ABC? Тот, кто защищает свои учетные записи подобным образом, распахивает дверь шпионам. Согласно данным TNS Infratest, лишь половина опрошенных раз в год меняет пароль к своему почтовому аккаунту. Ситуация усложняется тем, что, как выяснила компания PayPal, каждый четвертый вставляет в шифр собственную фамилию или никнейм.

Но даже с таким халатным подходом и примитивными данными вы все равно можете изолировать свои аккаунты от атак хакеров — с помощью двухфакторной аутентификации. Изначально внедренная в онлайн-банкинге, теперь эта защита доступна для входа в различные веб-службы, в том числе Google, Facebook и др. Наряду с вводом такой персональной информации, как имя пользователя и пароль, вы получаете одноразовый код каким-то дополнительным способом: по SMS, напрямую через приложение или же посредством специального USB-накопителя.

Защита аккаунта — это важно. Мы расскажем, как настроить отдельные опции и оптимизировать процесс, в первую очередь с точки зрения технической безопасности. Ведь только при правильной конфигурации новые методы защиты эффективно справляются с хакерскими атаками. Кроме того, вы узнаете, какие устройства следует использовать и какие сервисы поддерживают данную технологию. SMS и двухэтапная аутентификация работают для входа в сервисы со смартфонов и стационарных компьютеров. Для регистрации исключительно с ПК вам нужны варианты протокола U2F.

SMS-коды для входа в систему

Самый простой способ двухфакторной проверки работает всегда, поскольку с задачей справляется любой телефон: нужно просто принять SMS. Одноразовый код отправляется вам напрямую сервисом в коротком сообщении — точно так же, как и при онлайн-банкинге. Но и у этого варианта есть недостаток: он уязвим для хакерских атак типа «человек посередине».

Несмотря на простоту интеграции, опция проверки по SMS у многих российских почтовых сервисов до сих пор недоступна. Пользователи же американских служб, в том числе Google и Facebook, уже могут активировать такую аутентификацию. Список крупных сетевых сервисов, предлагающих SMS-про­верку, вы найдете в в правом нижнем углу страницы.

Пароль по SMS

Одноразовый пароль отправляется на ваш телефон в SMS в виде кода. В этом случае вам не понадобится специальное приложение или дополнительное устройство.

Надежных устройств не существует

Настройка SMS-токена у большинства служб работает схожим образом. На примере онлайн-магазина Amazon мы покажем, что нужно делать. Первым делом авторизуйтесь под своим аккаунтом, а затем в меню «Account & Lists» выберите пункт «Your Account».  В разделе «Login & Security Settings | Advanced Security Settings» нажмите на кнопку «Get Started». В следующем окне введите свой номер телефона, выбрав в выпадающем списке страну «Russian Federation», и щелкните по «Send code».

Полученный в SMS код введите в поле ниже и задействуйте функцию проверки по SMS нажатием на «Verify code and continue». Теперь при каждом заходе на сервис с компьютера или смартфона вам придется дополнительно к паролю вводить одноразовый код. Многие службы, в том числе и Amazon, позволяют отметить устройство как надежное — однако мы все же не рекомендуем активировать эту опцию, поскольку она полностью отключает двухфакторную защиту для данного устройства.
На большинстве смартфонов входящие SMS-сообщения отображаются непосредственно на экране заставки, даже когда установлена блокировка экрана.

Поэтому если ваш телефон украдут, злоумышленники все равно смогут узнать код. Впрочем, это целесообразно только в том случае, если у них уже есть доступ к паролю от вашего аккаунта. И все же лучше всего отключить отображение каких бы то ни было уведомлений в заблокированном состоянии. При этом о появлении новых уведомлений вас по-прежнему будет извещать звук и вибрации. В Android зайдите в «Настройки | Звуки и уведомления» и нажмите на «На заблокированном экране». Выберите вариант «Не показывать уведомления». Пользователи iOS найдут данную функцию в «Настройках». Здесь нажмите на «Уведомления | Сообщения» и отключите опцию «На заблокированном экране».

Опасность таит в себе и слабая защита от прослушки. Национальный институт стандартов и технологий США (NIST) предостерегает от использования SMS для генерации одноразовых паролей. Если злоумышленники знают ваш номер, они могут получить доступ к вашим сообщениям следующим образом: запустить вредоносное ПО на вашем смартфоне, такое как Trojan.SMS.Agent, и считать входящие SMS.

Эксперты компании Malwarebytes утверждают, что такие вирусы чаще всего попадают на устройство через взломанные приложения. Для их установки достаточно нажатия на ссылку. Чтобы обезопасить себя, загружайте приложения только из официальных магазинов приложений Apple и Google, а также отключите в настройках установку ПО из неизвестных источников.

Оптимальная защита с помощью второй SIM-карты

Другую возможность для SMS-шпионажа предлагает протокол SS7, с помощью которого взаимодействуют мобильные сети по всему миру. Опытные хакеры способны использовать уязвимости в SS7 и полностью перехватить разговоры и содержание SMS. Однако против них есть свой прием: для получения кодов в сообщениях приобретите вторую SIM.

У оператора МТС имеется тариф «Супер МТС», в котором нет абонентской платы, при этом, имея небольшую сумму на счету, на этот номер можно спокойно получать SMS. Для работы номера нужно лишь раз в два месяца осуществлять платные операции (например, отсылку SMS). Разумеется, для второй SIM вам понадобится дополнительный телефон. Лучше всего подойдет недорогая кнопочная «трубка». Хакерам невероятно сложно их заразить, поскольку у них отсутствуют функции смартфона.

Доступ через приложение на смартфоне

Кроме SMS-токенов существует технология 2FA, это двухфакторная аутентификация. В этом случае вы получаете одноразовый код через приложение, так называемый клиент Time-based One-time Password Algorithm (TOTP). Сервис генерирует ключ длиной 80 бит, который попадает на смартфон через QR-код. Разумеется, вам понадобится установить TOTP-приложение на свое устройство и считать QR-код встроенной камерой.

Для аутентификации сервер службы и смартфон независимо друг от друга рассчитывают из 80-битных ключей и текущего времени одноразовый пароль. Его вам нужно ввести отдельно при заходе в службу. Если результаты вычислений совпадают, доступ предоставляется. TOTP-приложения гораздо надежнее кодов по SMS, поскольку эти программы можно отдельно защитить паролем или проверкой отпечатка пальца. Лучшие приложения для Android и iOS вы найдете в блоке слева.

Дополнительная защита через приложение

Надежнее SMS действует получение паролей через спецприложение. В нем реализовано шифрование, и его можно заблокировать от несанкционированного доступа PIN-кодом или сканером отпечатка пальца.

Активируем приложение — отключаем телефонный номер

Принцип настройки двухфакторной аутентификации схож во всех сервисах. Мы поясним конфигурацию на примере служб Google. Этот метод одновременно служит и для блокировки доступа в Play Market, поскольку Google после активации 2FA защищает запросом одноразового кода все свои сервисы. Для этого зайдите в свою учетную запись Gmail и щелкните по иконке аккаунта в правом верхнем углу.

Здесь выберите «Мой аккаунт» и в следующем окне в разделе «Безопасность и вход» щелкните по строчке «Вход в аккаунт Google». По нажатию на «Двухэтапная аутентификация | Приступить» запустится Мастер конфигурации. На первом этапе Google настроит SMS-токен, то есть двухэтапную защиту по SMS. А уже на сле­дующем этапе вы можете активировать аутентификацию через приложение. Для этого под опцией «Приложение Authenticator» нажмите на «Создать».

В завершение удалите сохраненный номер телефона в целях безопасности. В меню «Двухэтапная конфигурация» щелкните по значку карандаша рядом со строчкой «Голосовое сообщение или SMS» и выберите «Удалить номер». С этого момента аутентификация будет производиться только через приложение. В этом же меню вам необходимо задействовать функцию «Резервные коды». При потере телефона вы сможете воспользоваться одним из восьмизначных шифров вместо двухфакторного кода. Не следует хранить такую информацию в электронном виде. Лучше записать ее на листок и спрятать его дома в надежном месте.

Защита приложения сканером отпечатка пальца

Большинство сервисов, поддерживающих двухфакторную аутентификацию через приложение, предлагают также возможность обозначить отдельные устройства как надежные. Если вы заходите с него в свой аккаунт, вам нужно будет ввести только свое имя пользователя и пароль, но не одноразовый код. Мы не рекомендуем пользоваться данной функцией, поскольку, если злоумышленник заразит, к примеру, такой «надежный» ноутбук, двухэтапная защита будет снята.

Кроме того, стоит считывать QR-код не обычным приложением «Камера», а напрямую из TOTP-приложения. Рекомендованные нами программы оснащены защитой доступа. Частично обезопасить себя вы также можете с помощью архивирования кодов. В обоих приложениях данная функция работает без изъянов.

USB ключ в качестве второго фактора

Максимальную защиту учетной записи обеспечивает USB-на­копитель в качестве электронного ключа U2F (Universal Second Factor), который можно приобрести примерно за 700 рублей (см. справа). Если при использовании технологий проверки по SMS и 2FA хакеры способны считать код посредством атаки «человек посередине», то в случае с U2F даже это исключено. Во время конфигурации сервис создает пару открытый/закрытый ключ.

Когда впоследствии пользователь попытается зайти в свой аккаунт, ему придется подключить USB-ключ безопасности. В ответ на это сервер отправляет последовательность битов клиенту, которые на основании этих данных, а также информации об источнике сигнала, к примеру, расположения сервера, вычисляет код. Клиент шифрует его закрытым ключом и отправляет сведения на сервер, где тот снова расшифровывается с помощью открытого ключа. Доступ предоставляется, только когда вся информация совпадает.

Надежная защита USB-ключом

Самым надежным вариантом является особый USB-накопитель для безопасного входа в аккаунты. До сих пор не было известно ни об одной удачной атаке на U2F.

Оптимальная комбинация всех методов

Активацию U2F, как и две другие опции двухфакторной аутентификации, вы найдете в настройках учетной записи конкретного сервиса. На примере Facebook мы представим вам оптимальную конфигурацию. В первую очередь необходимо зайти под своими данными в аккаунт и нажать на маленькую стрелку в правом верхнем углу окна. Через пункт «Настройки» перейдите к разделу «Безопасность» в левой части экрана.

Нажмите на опцию «Подтверждения входа» и в следующем окне рядом с записью «Ключи безопасности» щелкните по «Добавить ключ» и снова — по «Добавить ключ».
Как и в случае с вариантом 2FA, вам понадобится деактировать SMS-токен, если он был задействован. Имейте в виду, что после этого вы сможете зайти на сервис только при наличии USB-ключа. Кроме того, для входа вам потребуется компьютер с Windows или Mac.

Для служб, которыми вы пользуетесь только со стационарного компьютера, рекомендуем активировать аутентификацию посредством U2F. Если же вам приходится пользоваться и мобильными устройствами, следует дополнительно активировать 2FA, поскольку в них вариант проверки электронным ключом исключается.

Защита приложением собственной разработки

Такие компании, как Google и Facebook, предлагают еще один, более безопасный вариант: аутентификацию через собственные приложения. Такие программы действуют наподобие модели U2F. Как только вы соберетесь зайти на сервис с какого-то устройства, в приложении появится соответствующий запрос. Его вы можете принять или отклонить. В случае одобрения входа приложение передает данные сведения в зашифрованном виде, что исключает возможность атаки типа «человек посередине».

Этот вариант и модель U2F на данный момент считаются самыми безопасными и удобными способами обеспечения безопасности вашего аккаунта. Но даже когда вы используете только SMS-токены, вы все равно защищены лучше по сравнению с обычным вводом имени пользователя и пароля.

ФОТО: компании-производители; ShutterStock/Fotodom.ru