2020 год стал определяющим для рынка цифровых активов. Впервые за 11 лет цена биткоина превысила $27 000, а капитализация крипторынка по сравнению с предыдущим годом увеличилась на 267% и составила $723 млрд.
Вместе с тем рост ажиотажа вокруг рынка цифровых активов зачастую сопровождается повышенной активностью хакерских атак. Только в 2020 году, по данным аналитической компании CipherTrace, совокупный ущерб криптоиндустрии от действий хакеров составил $468 млн. Поэтому, чтобы защитить свои цифровые сбережения от взлома, необходимо помнить о правилах кибербезопасности, одним из которых есть использование двухфакторной аутентификации.
Двухфакторная аутентификация (2FA) — метод контроля доступа к учетной записи, в котором пользователю для получения доступа к информации необходимо предъявить два способа идентификации. Это пароль и уникальный специальный код, созданный специальным приложением, которое сперва необходимо установить на смартфон.
Если у вас включена 2FA, вы получите временный 6-значный код, который можно использовать в течение порядка 20 секунд. По истечению этого времени, вместо него будет сгенерирован новый код.
Подключаем двухфакторную аутентификацию ВКонтакте/ Дополнительная защита аккаунта
Требование ввести ваш пароль и этот 6-значный код повышает защиту вашего аккаунта. Даже если ваш пароль скомпрометирован (никогда никому не сообщайте его!), злоумышленник не завладеет вашей учетной записью без прямого доступа к вашему мобильному устройству.
Если вы — пользователь Wirex, вы можете установить 2FA через вашу учетную запись в Wirex или через свое мобильное приложение.
Список проверенных приложений для 2FA
Чтобы обезопасить ваш аккаунт, мы рекомендуем включить усиленную безопасность. Вы можете использовать любое приложение, которое поддерживает коды Google для 2FA. Вот их краткий список:
- Google Authenticator (GA). Вы можете скачать его как в App Store, так и в Google Play. Ознакомиться с инструкциями по установке 2FA можно в этой статье.
- Authy — продвинутое приложение для 2FA. Вы можете загрузить его для своего мобильного устройства из App Store или Google Play, или установить расширение для браузера Chrome (доступно для Windows, Mac, Linux). Узнать, как настроить Authy, можно здесь.
2FA — одно из основных правил кибергигиены. Наряду с ним специалисты по киберзащите также рекомендуют:
- использовать лицензионное программное обеспечение и регулярно его обновлять, создавать сложные пароли;
- применять шифрование данных;
- пользоваться защитным ПО;
- создавать резервные копии ценной информации;
- не забывать об угрозе социальной инженерии;
- и не допускать попадания приватной информации в социальные сети.
Эти простые правила помогут не только защитить вашу информацию, но и сохранят ваши средства в безопасности.
Источник: medium.com
Как Включить Подтверждение Входа или Двухфакторную Аутентификацию в Вконтакте
Что такое двухфакторная аутентификация? Как работает 2FA.
Схема использования двухфакторной аутентификации (2FA) довольно проста. Вам нужно установить соответствующее приложение на свой смартфон. Затем активировать функцию двухфакторной аутентификации в настройках сайта. Криптовалютные биржи, в подавляющем большинстве, сами предлагают активировать эту функцию, сразу после регистрации. Если нет, то скорей всего вы найдете такой пункт в настройках, в разделе «безопасность».
После активирования 2FA для входа на сайт помимо ваших стандартных логина и пароля, будет запрашиваться специальный 6-ти значный код, который генерируется в реальном времени на вашем смартфоне в приложении. Код меняется каждые 30 секунд.
Как работает двухфакторная аутентификация 2FA?
Прежде всего, вам нужен смартфон. Вы должны установить приложение Google Authenticator, скачав его, в зависимости от марки вашего смартфона либо в Apple Store, либо в Google Play Store.
Далее перейдите на сайт где вы будете использовать систему двухфакторной аутентификации. При активации, этой функции на сайте, вам будет предоставлен qr-код и код который можно ввести руками. Рассмотрим как происходит активация двухфакторной аутентификации на примере криптовалютной биржи Poloniex.
Заходим в настройки биржи на сайте и выбираем пункт «Two-Factor Authentication». В этом разделе в правой части расположен QR-код и 16-ти значный код для ручного ввода:
ВАЖНО! Сохраните этот QR-код и/или 16-ти значный ручной код (на скриншоте красным цветом в желтой рамке) в какое-нибудь безопасное место. Распечатайте и уберите в сейф, а сами эти коды удалите с компьютера.
Приложение Google Authenticator хранит данные именно на вашем смартфоне, а не в облачном хранилище, и в случае поломки, утери, кражи телефона вы потеряете доступ к вашим кодам двухфакторной аутентификации. И соответственно не сможете зайти на те сайты где вы активировали эту функцию. И не каждая служба поддержки быстро сможет решить эту проблему! Бэкап 16-ти значного кода (и/или QR-кода) ОБЯЗАТЕЛЕН!
Итак, перед вам QR-код и ручной код, откройте Google Authenticator на вашем смартфоне и нажмите + а затем «Сканировать штрихкод»:
Наведите камеру смартфона на экран с QR-кодом и отсканируйте его:
После сканирования в приложении Google Authenticator вы увидите 6-ти значные коды, которые будут меняться каждые 30 секунд и точно такие же коды генерирует сервер биржи или сайта. При аутентификации эти коды сравниваются, и если они идентичны — система разрешает вход.
Для завершения активирования аутентификации вам нужно ввести любой из этих меняющихся 6-ти значных кодов в настройки биржи на сайте, в специальное поле, установить соответствующие галочки и нажать на кнопку «Enable 2FA»:
На этом все. Теперь при входе на биржу или при выводе средств, помимо стандартных — логина и пароля, будет запрашиваться 6-ти значный код из Google Authenticator.
И такую процедуру нужно будет проделать со всеми сайтами где вы планируете подключить двухфакторную аутентификацию. Каждый 6-ти значный код генерируется только для того сайта где вы его активировали!
Двухфакторная аутентификация: зачем нужна и как настроить
Цифровой, электронный характер криптовалют делает их уязвимыми для разных способов нарушить вашу безопасность. Присущие технические сложности заставили многих лишиться своих накоплений в цифровой валюте, часто из-за отсутствия адекватной защиты или глупости. Поэтому крайне важно принять все необходимые меры для защиты связанных аккаунтов: криптовалютных бирж, кошельков для монет, 2р2-обменников и пр., в идеале даже аккаунт электронной почты, которая используется для регистраций. Если вы не слышали о 2FA, лучше поставить ее после прочтения этой статьи.
Что такое двухфакторная аутентификация или 2FA
2FA — это простой способ повысить безопасность, используя независимый канал аутентификации. После ввода логина и пароля при регистрации, сервис будет требовать подтверждение через 2FA: ввод одноразового пароля, который отправляется на смартфон, чтобы завершить процесс входа в систему. Это значительно повышает безопасность, поскольку для подтверждения действий требуется дополнительный уровень проверки. Также пароль из сервиса 2FA требуется для совершения действий, например, переводов средств или голосований.
Есть два основных способа получения одноразового пароля:
- через sms,
- через специальное приложение.
Таким образом, используя еще один метод подтверждения входа и действий, вы защищаете учетную запись от взлома. Даже если аккаунт будет взломан, или украден файл с хранилищем паролей, или если вы не используете надежный пароль из-за забывчивости, есть шанс сохранить аккаунт.
Что такое двухфакторная аутентификация
Когда вы заходите на сайт, вас спрашивают имя пользователя и пароль. Как только вы правильно введете обе эти части информации, вы попадете в свою учетную запись. Это легко, распространено, и к чему все привыкли. Но, это также небезопасно.
Двухфакторная аутентификация помогает защитить ваш логин вторым кодом, который вам нужно получить, прежде чем вы действительно сможете войти.
Даже если ваш пароль достаточно сложен, он может быть взломан. Это сделать особенно легко, учитывая, что многие люди не удосуживаются использовать действительно сложные пароли для своих учетных записей. Используя некоторые легкодоступные инструменты, преступники могут достаточно быстро подобрать пароль, поэтому лучше быть максимально защищенным.
Приложения для двухфакторной авторизации
Этот метод авторизации может работать в автономном режиме, потому что одноразовый пароль генерируется сразу на смартфоне, без подключения к серверу. Но для первой настройки нужен Интернет на телефоне.
Проверенными являются следующие сервисы:
- Google Authenticator — самый популярный, подходит для всех приложений и сайтов, которые защищают аккаунт таким методом авторизации пользователей.
- Authy — большой конкурент гугла, главная причина выбора этого приложения — поддержка нескольких устройств. Если вы потеряли устройство c Google Authenticator и не делали никаких бэкапов (об этом ниже), то с аккаунтами буддут проблемы, в большинство из них будет вообще не зайти. У Authy функция одинакового токена на нескольких устройствах опциональна, ее можно отключить, если считаете ее рискованной. Также программа доступна с компьютера.
- Самый высокий уровень защиты у токена на отдельном устройстве, обычно USB. Это платные флешки от фирм YubiKey. При использовании с ПК нужно только нажать на одну кнопку, вставив девайс в порт, а с телефона подключается через NFC.
В чем разница между двухэтапной и двухфакторной аутентификацией
Двухфакторная аутентификация может быть двухэтапной, но обратное верно не всегда. Граница между этими понятиями очень тонкая, поэтому их часто и не различают. Например, Twitter в блоге нарекает свою двухэтапную аутентификацию двухфакторной, а Google в справке уравнивает эти способы (впрочем, компания предлагает оба).
Действительно, в сетевых учетных записях (Microsoft, Google, Яндекс и т.п.), соцсетях и мессенджерах реализация 2FA и 2SV очень похожа. Один этап всегда подразумевает ввод пароля или ПИН-кода, который вы знаете
. Разница между способами аутентификации кроется во втором этапе – 2FA возможна только в том случае, если у вас что-то
есть
.
Типичным дополнением к известному вам паролю служит одноразовый код или пароль (OTP). Здесь-то и зарыта собака!
Двухфакторная аутентификация подразумевает создание одноразового пароля непосредственно на устройстве, которым вы обладаете (аппаратный токен или смартфон). Если OTP отправлен в SMS, аутентификация считается двухэтапной.
Казалось бы, SMS приходит на смартфон, который у вас есть. Как вы увидите ниже, это – ложная предпосылка.
Пример двухфакторной аутентификации
Для удаленного доступа к ресурсам моего работодателя необходимо пройти двухфакторную аутентификацию. Первый фактор – пароль учетной записи, который я знаю
. Второй фактор – аппаратный токен для генерации OTP, который у меня
есть
.
Чтобы выполнить вход в систему от моего имени, злоумышленник должен украсть не только пароль, но и выданный мне токен, т.е. физически проникнуть в мою квартиру.
Для доступа к ресурсам клиента я тоже использую 2FA, но в этом случае роль аппаратного токена выполняет смартфон с приложением RSA SecureID.
Пример двухэтапной аутентификации
Когда вы впервые входите на новом устройстве в Telegram, вам приходит на телефон код подтверждения – это первый этап аутентификации. У многих пользователей мессенджера он единственный, но в настройках безопасности приложения можно включить второй этап — пароль, который известен только вам и вводится после кода из SMS.
Заметьте, что создатели Telegram корректно именуют свою аутентификацию двухэтапной.
Проблема одноразовых паролей в SMS
Давайте вернемся к случаю с получением неправомочного доступа к аккаунту Telegram, с которого я начал сегодняшний рассказ.
В процессе взлома оппозиционерам временно отключили сервис SMS. Они видят в этом руку технического отдела МТС, но и без его участия злоумышленники вполне могли перевыпустить SIM-карту или провести атаку MITM. Больше им ничто не мешало войти в Telegram на другом устройстве!
Будь на аккаунте пароль, известный только владельцу, осуществить взлом было бы на порядок сложнее.
Однако такая аутентификация остается двухэтапной, и взлом аккаунта хорошо демонстрирует, что при целевой атаке обладание
смартфоном не играет никакой роли. Вы лишь
знаете
свой пароль и одноразовый код, который приходит в SMS, а это одинаковые факторы.
Снижает ли безопасность регистрация по номеру телефона
В комментариях к предыдущей записи несколько читателей выразили мнение, что типичное для ряда мессенджеров удобство регистрации по номеру телефона ослабляет защиту аккаунта по сравнению с традиционным паролем. Я так не считаю.
В отсутствие 2FA или 2SV аутентификация получается одноэтапной и однофакторной. Поэтому по большому счету нет разницы, выполняете вы вход с помощью известного вам пароля или неизвестного заранее кода, присылаемого в SMS.
Да, злоумышленники могут получить ваш SMS-код, но они могут перехватить и ваш пароль, пусть и каким-то другим способом (клавиатурный шпион, контроль публичной сети Wi-Fi).
Если вы хотите лучше защитить свою учетную запись, опирайтесь на 2FA или 2SV, а не на ложное ощущение превосходства пароля над номером телефона.
Как поставить двухфакторную аутентификацию
Это не так сложно, как может показаться. Возьмем в пример cex.io и Google Authenticator. Инструкция подходит под большинство бирж:
- Авторизуемся в аккаунте,
- Заходим на вкладку «Профиль» (Profile, Account)
- Заходим на вкладку «Безопасность» (Security Settings, Security и подобные названия),
- Выбираем «Подключить 2FA» через приложение (App),
Еще раз повторим, что для лучшей безопасности подтверждение через приложение аутентификатора нужно поставить на все аккаунты, включая почту.
Для некоторых бирж необходимо выбрать тип одноразового пароля для настройки 2FA. Существует два типа:
HOTP — действует в течение неопределенного периода времени,
TOTP — изменяется каждые 30 секунд. Он предпочтительнее, поскольку более безопасен, генерируется приложением Authenticator каждые 30 секунд и требует синхронизации между смартфоном и сервером. Время можно настраивать.
Как работает двухфакторная аутентификация
На самом деле, 2FA работает довольно просто:
- Вы указываете веб-браузеру аккаунт, который хотите использовать.
- Вы вводите своё имя пользователя и пароль.
- Затем вас либо попросят ввести код 2FA (который вы получаете из приложения), либо сгенерировать код 2FA (который отправляется на ваш телефон с помощью SMS).
- После того как вы ввели правильный код 2FA, вам будет разрешено войти в свой аккаунт.
Если у вас нет кода для вашей учетной записи, вам не будет разрешен доступ. Вот почему 2FA является важным дополнительным шагом для обеспечения безопасности. Каждый код имеет «срок годности». Как правило, у Вас есть около 3 минут, чтобы использовать код, прежде чем он перестанет действовать. И как только код был использован, он не может быть использован снова.
Поэтому, даже если у хакера есть ваше имя пользователя и пароль, без возможности получить связанный код 2FA, он не сможет получить доступ к вашей учетной записи.
Вопросы и ответы
Комментарии высветили несколько вопросов, ответы на которые я решил добавить в статью.
Ура, теперь у меня везде 2SV/2FA! Что-то еще нужно сделать?
Представьте, что вы поехали на отдых, где у вас в первый же день украли смартфон. Теперь вы не попадаете ни в один аккаунт, пока не восстановите SIM-карту. Чтобы избежать такого сценария, зайдите в настройки ключевых аккаунтов, найдите там одноразовые или резервные коды для доступа к учетной записи и сохраните их на другом устройстве и/или запишите на бумаге.
У меня есть приложение, которое перестало работать после включения 2SV/2FA. Что делать?
Некоторые приложения несовместимы с двухэтапной аутентификацией в том смысле, что сервис ждет кода на втором этапе, а вводить его некуда. Примером может служить какой-нибудь «десктопный» почтовый клиент.
На этот случай в настройках 2SV вашего аккаунта предусмотрена возможность создавать пароли приложений (app passwords). Нужно создать пароль и ввести его в проблемном приложении вместо вашего пароля учетной записи. У Яндекс (например, в Яндекс.Браузер) достаточно просто ввести одноразовый пароль, сгенерированный приложением Яндекс.Ключ.
По каким параметрам сервис определяет, что устройство доверенное?
У каждого вендора своя реализация. Это может быть комбинацией SSL cookie, IP-адреса, браузера, еще чего-нибудь. Есть порог изменения параметров, по достижении которого нужно авторизоваться снова.
Какие мобильные приложения для генерации OTP лучше всего использовать?
Если вы не пользуетесь 2FA в Яндекс, то подойдет любое приложение (Google, Microsoft, Яндекс.Ключ). Если у вас включена 2FA в Яндекс, имеет смысл консолидировать все сервисы в Яндекс.Ключ. Причина в том, что реализация 2FA у Яндекс отличается от других сервисов, но Яндекс.Ключ поддерживает RFC 6238, что позволяет создавать OTP для прочих сервисов, внедривших эту спецификацию.
Почему в приложении для генерации кодов не получается настроить 2FA для ВКонтакте?
В настройках смартфона нужно установить автоматическое определение даты и часового пояса. Иначе приложение не зарегистрировать — созданный приложением код не принимается с ошибкой «Неверный код подтверждения». Доставка OTP по SMS при этом работает и никак не связана с проблемой.
Источник: qwazer.ru