Как настроить Google authenticator для vk

В современном мире, даже сложные и уникальные перестают быть достаточной мерой защиты ваших аккаунтов в сети, потому что основной проблемой становится среда их передачи. И наиболее слабым звеном является сам пользователь.

Дето в том, что брут-форсом хакеры пароли к публичным сервисам уже давно не подбирают, потому что сами сервисы (почтовые, социальные сети) защищены от такого рода атак. Они блокируют множественные попытки подбора пароля.
Именно поэтому чаще всего выбирается другой вектор атаки — сам пользователь и его среда передачи данных. Проще всего выманить пароль у самого пользователя, перехватив его, когда он перейдет по фейковой ссылке. В этом процессе активно используются элементы социального инжиниринга.

Например, создается фейковый (ставится фотография, скопированная с реального профиля) или взламывается оригинальный аккаунта человека, которому вы доверяете (например, ваших родителей) и от их имени рассылаются осмысленные предложения и фишинговые ссылки, нажав на которые, вы отправите свои данные злоумышленнику. При этом могут использоваться реальные данные людей, которые были похищены с какого-нибудь другого плохо защищенного сайта, такого как интернет-магазин. Обычно, простые интернет-магазины защищены хуже всего.

Как пользоваться Google Authenticator

Другой вариант — взломать его почту тем или иным способом и получить оттуда ссылку или временный пароль, который сгенерирует сервис для восстановления пароля. Этим список вариантов, конечно, не ограничивается, но в этой статье речь не об этом.

Еще один вектор атаки — компьютер самого пользователя, на котором можно перехватывать и отправлять злоумышленнику вводимые пользователем данные. Для этого используются различные кейлоггеры, которые мониторят буфер ввода с клавиатуры, различные шпионские адд-ины для браузеров (панели, «хелперы»). Ту же цель преследуют и различные «улучшатели» популярных соцсетей — неофициальные приложения, которые подключаются к реальным серверам соцсети через API, однако предоставляют якобы расширенные возможности (такие как прослушивание музыки без ограничения). Они же могут и логировать и ваши пользовательские данные.

Четвертый тип атак — MITM («человек в середине»). Если вход выполняется по паролю, то можно представить следующий сценарий атаки:

• трафик пользователя перенаправляется на машину атакующего
• атакующий отслеживает попытки подключения к серверу/приложению и перенаправляет их на свой сервер
• сервер атакующего настроен, во-первых, вести журнал всех введённых данных, в том числе пароля пользователя, а, во-вторых, передавать команды на легитимный сервер, к которому хочет подключиться пользователь, для их выполнения, а затем возвращать результаты легитимному пользователю.

Для данной атаки в локальной сети перенаправить трафик можно двумя способами:

• ARP спуфинг. Во время этой атаки, компьютер атакующего рассылает ложные сообщения ARP пакета о том, что MAC адресом роутера является MAC адрес компьютера атакующего. В результате компьютеры в локальной сети начинают отправлять сетевые пакеты через компьютер атакующего. Это универсальный вариант, который подойдёт во всех случаях.
• DNS спуфинг. Суть в подмене ответов на DNS запросы, в результате компьютер жертвы будет получать неправильные IP адреса для запрашиваемых хостов. Этот вариант подходит только если подключение к удалённому серверу или сайту выполняется по имени хоста.

Для перехвата паролей пользователя в реальном времени на сайтах часто используется DNS спуфинг, когда пользователь заходит на фейковых сайт, который выглядит как оригинал и вводит там данные. Например, существовало несколько клонов сети Vkontakte, которые воровали пользовательские данные.

Как включить подтверждение входа по СМС в ВК. Двухфакторная аутентификация Вконтакте

Не менее популярный, но не всегда работающий вариант — перехват cookie с сайтов, которые вы посетили и ввели данные из браузера пользователя. Сами cookie не содержат пары логин/пароль, но если сайт, их выдавший настроен неправильно, то украв файл cookie можно установить сессию с сервером, их выдавшим от имени пользователя и сбросить его пароль или поменять данные.

Про безопасность и параметры файлов cookie можно почитать здесь.

Современные сайты на базе популярных открытых CMS более-менее защищены и хранят пароли в виде хэша который даже в случае его утечки достаточно сложно и/или долго расшифровать (в зависимости от приименного алгоритма шифрования). Однако, кастомные или рукописные движки часто грешат низкой безопасностью и их взломать проще, в результате чего периодически случаются утечки данных пользователей, даже с крупных сайтов. Хорошо защищённые сайты не должны хранить пароль пользователя вообще.

Также, некоторые боятся использовать авторизацию на различных сервисах через аккаунты в соцсетях (Facebook, Vk, и т.д.). В целом, такой способ авторизации достаточно безопасен и его бояться не стоит. При таком способе авторизации на сайтах пароль не используется.

Вместо этого между сторонним сайтом и аккаунтом в соцсетях настроено безопасное соединение по протоколу OAuth, которое использует ключи. Сайт доверяет публичному соцсервису и не проверяет пароль, но он спрашивает у сервиса, выполняющего аутентификацию, проверенный вы пользователь или нет. Сервис, выполняющий аутентификацию проверяя вас, выдает OAuth токен вам в браузерную сессию, который и возвращает токен авторизации сайту.При условии, что ваш компьютер и браузер не скомпрометированы, такая передача одноразового токена безопасна. Перехватить и использовать такой токен на другом компьютере практически невозможно, но единственное, что сам процесс аутентификации в соцсети может быть скомпрометированы через те же самые cookie (мало кто выходит из Facebook, и сессия постоянно поддерживается).

Как вы видите, пароль может быть похищен или аккаунт может быть скомпрометирован на различных стадиях. Но напомню, что цель статьи — не изучение способов атаки и похищения паролей, а защита от этого на примере Google аккаунта.

Защита Google аккаунта

Почему надо защищать именно его? Многие хранят пароли, сохраняемые Google Chrome в Google аккаунте. И действительно, это удобно, но опасно, если не использовать дополнительную защиту. При таком использовании Google аккаунта обязательно требуется включить двухфакторную аутентификацию (2FA). 2FA практически на 100% делает процесс аутентификации безопасным (см. применения ниже).

На данный момент его следует включать на всех сайтах, где это доступно.

Источник: vc.ru

Google Authenticator: установка, настройка, как пользоваться – полный гайд

Google Authenticator — это приложение для двухфакторной (или двухэтапной) аутентификации, которое генерирует одноразовые коды для более надежной защиты аккаунта. В статье расскажем, как подключить Google Authenticator и как им пользоваться, рассмотрим настройки приложения и подскажем, как решить типичные проблемы. Но сначала о том, какие плюсы дает приложение владельцам смартфонов и других мобильных устройств.

Как устроена двухфакторная аутентификация Google Authenticator

Главное удобство Google Authenticator в том, что он работает без стороннего оборудования (например, GSM-модемов для рассылки SMS или аппаратных токенов). Через определенное время (каждые 30 секунд) Authenticator генерирует новый цифровой код, который пользователь должен ввести в дополнение к обычным логину и паролю. Такой способ аутентификации надежнее, чем рассылка дополнительных цифровых кодов на электронную почту, поскольку Google Authenticator установлен на самом устройстве, и доступ к приложению имеет только владелец устройства. Это делаем взлом аккаунта практически невозможным.

Добавим, что Google Authenticator может использоваться не только для авторизации в аккаунтах, но и, например, для подтверждения перевода денежных средств. Таким образом, приложение значительно повышает и финансовую безопасность владельца мобильного устройства.

Теперь перейдем к установке и настройке Google Authenticator.

Что вам понадобится

Чтобы установить Google Authenticator, вам потребуется:

• действующий аккаунт Google;
• установленная ОС Android версии не ниже 4.4 или iOS версии не ниже 13.0;
• подключенная двухфакторная аутентификация.

Для подключения этой функции перейдите на страницу своего аккаунта в Гугле и выберите вкладку «Безопасность». В открывшемся меню тапните по кнопке «Вход в аккаунт» и найдите соответствующий пункт для подключения двухфакторной аутентификации.

Как скачать Google Authenticator

Чтобы добавить Google Authenticator (далее — GA) на свое мобильное устройство на Android, перейдите по этой ссылке в Google Play и установите его таким же способом, как и любое другое приложение. Пользователи iOS могут скачать и установить GA отсюда .

Как настроить Google Authenticator QR на телефоне

Для настройки снова зайдите в свой аккаунт и перейдите в пункт меню «Двухэтапная аутентификация». Если потребуется, авторизуйтесь, а затем в меню добавления дополнительных вариантов для 2-го этапа аутентификации выберите установленное приложение и тапните по кнопке «Создать». После выполнения всех инструкций GA должен начать работать.

Как перенести Google Authenticator на другой телефон

Смена телефона — явление частое, ведь срок службы современных смартфонов ограничен. Поэтому через некоторое время может потребоваться перенести систему аутентификации на новое устройство, и в Гугл предусмотрели такую возможность. Для переноса вам понадобится старый смартфон с установленным GA последней версии и новое устройство, на которое тоже нужно предварительно установить GA. Далее следуйте этой инструкции:

• На новом телефоне тапните по кнопке «Начать» в GA.
• В нижнем меню нажмите на кнопку импорта имеющихся аккаунтов.
• На старом телефоне сформируйте QR-код и тапните на кнопку «Ещё» в GA.
• Теперь последовательно выберите в меню пункты переноса и экспорта аккаунтов.
• Выберите нужные аккаунты для переноса и запустите процедуру, тапнув по кнопке «Далее».
• Возьмите новый телефон и отсканируйте сгенерированный QR-код.
• Вот и всё, теперь система должна вывести на экран подтверждение об успешном переносе аккаунтов GA.

Устранение проблем

Здесь рассмотрим наиболее распространенные проблемы и предложим их решение.

• При переносе нескольких аккаунтов количество сгенерированных кодов может быть и больше одного — это будет зависеть от того, сколько аккаунтов переносится. И если какой-то код не сканируется, это скорее всего свидетельствует о том, что он перегружен информацией. В этом случае переносите аккаунты не сразу, а последовательно, один за другим, следуя инструкции выше.
• Проблема недействительных кодов решается следующим образом. Для начала проверьте, что код введен до истечения срока его действия, а часы настроены правильно, то есть указано реальное время того часового пояса, в котором вы находитесь. Это важно потому, что срок действия каждого кода составляет всего 30 секунд, после чего автоматически генерируется новый. Если проблема осталась, откройте GA, тапните по кнопке «Ещё» и выберите пункт «Коррекция времени», а затем «Синхронизация». После успешной синхронизации генерируемые коды должны стать действующими.

Как использовать Google Authenticator на нескольких устройствах и в разных аккаунтах

Что пользоваться приложением на двух и более устройствах, сначала нужно проверить, установлен ли GA на каждом из этих устройств. Если GA в аккаунте уже настроен, то аккаунт из приложения необходимо удалить, но перед удалением не забудьте проверить, что у вас имеются резервные коды, позволяющие входить в GA. Теперь в меню GA перейдите в настройки двухфакторной аутентификации и следуйте инструкциям приложения. Если всё настроено правильно, QR-код для входа, генерируемый на все устройства, будет одинаковым.

При использовании GA на одном телефоне, но для разных аккаунтов, для каждого аккаунта должна быть включена двухфакторная аутентификация. После этого, если вы используете одну и ту же копию приложения, GA будет генерировать уникальные QR-коды для каждого аккаунта.

Дополнительная информация

Кроме Android и iOS, можно установить GA и на устройства, работающие под управлением Windows Phone. Правда, для этого придется использовать сторонний софт: например, Authenticator+. Однако использовать GA на устройствах Windows Phone не обязательно, поскольку для них Microsoft разработал собственное решение под названием Microsoft Authenticator.

Также есть возможность установки GA в браузеры при помощи специальных приложений и эмуляторов. Это такие программы, как Authenticator for Windows, Nox App Player, WinAuth, а для пользователей Linux был разработан libpam-google-authenticator. Все эти приложения бесплатны, а скачать их можно с официальных сайтов разработчиков.

Источник: timeweb.cloud

Зачем устанавливать и как использовать приложение Google Authenticator

Если при настройке получения SMS или голосовых вызовов для проверки в два шага, вы также хотите иметь возможность генерации кодов на устройствах Android, iPhone или Blackberry, вы можете использовать приложение Google Authenticator.

Для этого сначала настройте SMS-сообщения. Затем откройте страницу настроек проверки в два шага, нажмите Android, Blackberry или iPhone и следуйте приведенным ниже инструкциям на тему выбранного типа телефона.

Устройства на платформе Android

Требования

Google Authenticator работает на устройствах на платформе Android 2.1 или более поздней версии.

Загрузка приложения

1. Откройте Google Play.
2. Наберите в поиске Google Authenticator.
3. Загрузите и установите приложение.

Настройка приложения

1. Откройте страницу настроек проверки в два шага и нажмите Android.
2. Запустите программу Google Authenticator на телефоне.
3. Если вы используете это приложение в первый раз, нажмите кнопку Добавить запись . Если же вы хотите добавить другую учетную запись, выберите Добавить учетную запись в меню приложения.
4. Для подключения телефона с учетной записью:
5. С помощью QR-коде: выберите Сканировать штрих-код учетной записи (метка 1). Если приложение Google Authenticator не находит в телефоне приложения-сканера штрих-кодов, может быть предложено загрузить и установить такую программу. Чтобы установить приложение для сканирования штрих-кодов для завершения процесса настройки, выберите Установить (метка 2а), а затем выполните установку. После установки программы, запустите снова программу Google Authenticator и направьте фотокамеру на QR-код на экране компьютера.
6. С помощью секретного ключа: выберите Добавить учетную запись вручную (метка 1b), а затем введите адрес электронной почты для входа в аккаунт Google в поле Введите имя учетной записи (метка 2b). Затем в поле Введите ключ (метка 2) введите секретный ключ, который отображается на экране компьютера. Убедитесь, что ключ Ограниченный по времени (метка 2d) и нажмите Сохранить .

iPhone, iPod Touch и iPad

Требования

Для использования Google Authenticator на iPhone, iPod Touch и iPad необходима система iOS версии 5.0 или более поздней версии. Кроме того, настройка приложений для iphone с помощью кода QR требует наличия модели 3G или более поздней версии.

Загрузка приложения

1. Посетите App Store.
2. Найдите приложение Google Authenticator.
3. Загрузите и установите приложение.

Настройка приложения

1. Если вы этого еще не сделали, настройте в аккаунте верификацию в два шага, используя свой номер телефона. Приложение Google Authenticator вы можете добавить только после ее включения с помощью своего телефонного номера.
2. На компьютере откройте страницу настроек проверки два шага и нажмите на iPhone.
3. Запустите программу Google Authenticator на телефоне.
4. Нажмите значок + .
5. Нажмите Ограниченный по времени (метка 1).
6. Для подключения телефона с учетной записью:
7. С помощью QR-кода: нажмите Сканировать штрих-код (метка 2a) и направьте фотокамеру на QR-коде на экране компьютера.
8. С помощью секретного ключа: введите адрес электронной почты своего аккаунта Google в поле Счет (метка 2b). Затем в поле Ключ (метка 2) введите секретный ключ отображается на экране компьютера и нажмите кнопку Готово (метка 2d).

Настройка проверки в два шага для нескольких аккаунтов Google

Приложение Google Authenticator позволяет генерировать коды для нескольких учетных записей с помощью одного смартфона. Однако каждый аккаунт Google требует другого секретного ключа, полученного в процессе настройки. Просто повторите процесс конфигурации на все дополнительные аккаунты, используя ту же установку приложения Google Authenticator.

Настройка приложения Google Authenticator на нескольких устройствах

Google Authenticator можно настроить так, чтобы можно было генерировать коды подтверждения более чем на одном устройстве.

1. Приложение Google Authenticator необходимо загрузить на все устройства, которые будут использоваться.
2. Откройте страницу проверки два шага.
3. Если в Вашей учетной записи уже настроенного приложение Google Authenticator, удалить его, чтобы начать настройку с самого начала. Если вы еще не настроили Google Authenticator, перейдите к следующему шагу.
4. Выполните инструкции по настройке проверки в два шага, помня о сканирования созданного кода QR или введении на всех управляемых устройствах сгенерированного секретного ключа.
5. Убедитесь, что все устройства работают правильно, введя коды для проведения проверки каждого из них и нажав Проверить . Затем нажмите Сохранить .

Google Authenticator не генерирует пароли приложений. Если после включения проверки в два шага приложение попросит вас ввести новый пароль, вы должны войти в систему, используя пароль приложения.

Источник: webznam.ru