Код 2 fa что это
Перейти к содержимому

Код 2 fa что это

  • автор:

Руководство по включению двухфакторной аутентификации

Двухфакторная аутентификация (или «2FA />») – это способ идентификации пользователя на онлайновом сервисе путём использования комбинации двух различных методов аутентификации. Методы могут быть основаны на том, что пользователь знает (например, пароль /> или PIN-код), и чем пользователь владеет (например, аппаратный токен или мобильный телефон) или что является его неотъемлемой частью (например, отпечатки пальцев).

Наверняка вы уже используете двухфакторную аутентификацию в других сферах вашей жизни. Когда вы снимаете наличные деньги в банкомате, вы должны иметь при себе как саму банковскую карту (что-то, чем вы владеете), так и ваш PIN-код (что-то, что вы знаете). Однако в настоящее время многие онлайновые сервисы по умолчанию используют лишь один фактор для идентификации своих пользователей – пароль.

Как двухфакторная аутентификация работает в сети? anchor link

В течение последних лет несколько онлайновых сервисов (включая Facebook, Google и Twitter) начали предоставлять возможность двухфакторной аутентификации в качестве альтернативы аутентификации при помощи только пароля. После активации этой функции пользователям предлагается ввести и пароль, и код вторичного метода аутентификации. Как правило, он либо высылается по SMS, либо генерируется специальным мобильным приложением: Google Authenticator, Duo Mobile, Facebook app или Clef. В любом случае второй фактор – это мобильный телефон пользователя (что-то, чем он владеет). Некоторые веб-сайты (включая Google) также поддерживают списки кодов, которые можно скачать и распечатать в качестве резервных, обязательно спрятать их в надёжном месте. После того, как пользователь активировал двухфакторную аутентификацию, для входа в учётную запись ему понадобится вводить свой пароль и одноразовый код, полученный при помощи телефона.

Зачем мне включать двухфакторную аутентификацию? anchor link

Двухфакторная аутентификация обеспечивает более высокий уровень защиты, требуя для входа на сервис аутентификацию несколькими способами. Это означает, что даже если злоумышленник получит доступ к вашему основному паролю, он не сможет войти в учётную запись, если у него не будет вашего телефона или другого вторичного средства аутентификации.

Есть ли недостатки у использования двухфакторной аутентификации? anchor link

Хотя двухфакторная аутентификация и предлагает более безопасный способ входа в учётные записи, повышается риск того, что пользователи не смогут войти в свои аккаунты, например в случае утери телефона, смены сим-карты или выезда в другую страну, не включив роуминг.

Многие поддерживающие двухфакторную аутентификацию сервисы позволяют создавать «резервные» списки кодов или коды «восстановления». Эти коды – одноразовые, т.е. использовать каждый код для входа в свой аккаунт можно лишь однажды. Если вы обеспокоены возможностью потери доступа к своему телефону или другому устройству аутентификации, вам необходимо распечатать список кодов и всегда носить его с собой. Это по-прежнему будет что-то, чем вы владеете, если, конечно, вы сделаете только одну копию и будете всегда иметь её под рукой. Помните, что хранить коды безопасности необходимо особенно бережно, не допуская доступа третьих лиц. Если вы использовали эти коды или потеряли их, вы сможете сгенерировать новые, как только войдёте в свой аккаунт.

Другой проблемой, связанной с системами двухфакторной аутентификации, использующими SMS-сообщения, является то, что SMS-сообщения имеют низкий уровень защиты. Продвинутый злоумышленник (например, в составе спецслужб или организованных преступных групп), имеющий доступ к телефонным сетям, теоретически может перехватить и использовать коды, отправляемые по SMS. Были случаи, когда менее продвинутым злоумышленникам (частным лицам) удавалось перенаправлять на свой телефон звонки и SMS-сообщения, предназначенные другим абонентам, или получать доступ к сервисам мобильного оператора, которые отображают текстовые сообщения, отправляемые на определённый номер телефона.

Если вы обеспокоены атаками такого уровня, выключите аутентификацию по SMS и используйте специальные приложения, такие как Google Authenticator и Authy. К сожалению, это функция доступна не для всех сервисов, поддерживающих двухфакторную аутентификацию.

Более того, двухфакторная аутентификация требует от вас предоставления используемому сервису больше информации, чем вы, возможно, хотите. Допустим, на Twitter вы используете псевдоним />. Даже если вы тщательно скрываете идентифицирующую вас информацию от сервиса Twitter и даже если вы подключаетесь только через Tor или VPN />, при включении двухфакторной аутентификации по SMS номер вашего телефона станет известен сервису. Таким образом, если Twitter получит распоряжение суда, сервис сможет найти связь между вашей учётной записью и вами через номер вашего телефона. Возможно, для вас это не проблема, особенно если вы уже используете своё настоящее имя на данной платформе, но если для вас важно сохранять анонимность, вам надо подумать дважды прежде чем включать двухфакторную аутентификацию по SMS.

В заключение надо отметить, что по данным исследования, некоторые пользователи упрощают свои пароли после включения двухфакторной аутентификации, считая, что второй фактор обеспечивает их безопасность. Обязательно выбирайте надёжные пароли даже после включения двухфакторной аутентификации. Советы созданию паролей вы найдете в нашем руководстве.

Как включить двухфакторную аутентификацию? anchor link

Способ включения зависит от используемой платформы, также различается и терминология. Обширный список сайтов, поддерживающих двухфакторную аутентификацию доступен на сайте https://twofactorauth.org/. Наиболее распространённые сервисы указаны в статье 12 Days of 2FA post, рассказывающей как включить двухфакторную аутентификацию на сервисах Amazon, Bank of America, Dropbox, Facebook, Gmail и Google, LinkedIn, Outlook.com и Microsoft, PayPal, Slack, Twitter, а также Yahoo Mail.

Если желаете получить страховку на случай похищения ваших паролей, ознакомьтесь со списком сервисов и включите двухфакторную аутентификацию на всех аккаунтах в сети, которые вам особенно важны.

Что значит введите 2FA Code? Что за код? Где его взять?

2FA Code-это код для ДвухФакторной Авторизации на сайте. Сейчас на многих сайтах при регистрации вам на телефон или имейл приходит специальный код, который вам необходимо ввести на сайте для подтверждения регистрации. Вот это и есть тот самый 2FA Code. А на некоторых сайтах, в основном, связанных с финансами, такой код отправляется при каждом входе на сайт. Можно сказать, что это защита от взлома ваших данных или вашего аккаунта.

Приведу пример. Есть одна биржа криптовалют. Там при каждом входе, помимо ввода логина и пароля, необходимо заполнить капчу. После этого появляется поле, куда необходимо ввести 2FA Code. А ниже написано, что данный код отправлен на ваш имейл.

Что такое 2FA и Google Authenticator

2FA — это метод определения подлинности пользователя, который требует прохождения двух степеней защиты (а не одной, как раньше) перед получением доступа к аккаунту. Вот эти степени защиты:

  1. пароль от аккаунта;
  2. уникальный цифровой код, который генерируется специальным приложением, установленным на мобильном устройстве.

Google Authenticator — приложение для 2FA с помощью которого происходит генерация уникального одноразового 6-значного кода каждые 30 секунд.

Двухфакторная аутентификация, биржа Binance

Итак, биржа Binance настоятельно будет Вам напоминать о подключении 2FA (двухфакторной аутентификации), пока Вы это не сделаете. Поэтому при входе в свой аккаунт, Вы всегда будете видеть вот такое вот всплывающее окно:

Можете прямо тут нажать на первую кнопку “Google Auth”, либо, если Вы уже находитесь внутри аккаунта, то просто выберите соответствующий пункт и нажмите кнопку “Enable”:

Включение двухфакторной аутентификации на Binance

Вы должны увидеть вот такое окно с тремя последовательными шагами:

  1. В левой части будут представлены ссылки на магазины с приложением. Если приложение у Вас еще не установлено, то переходите по ссылке и устанавливайте.
  2. Когда на своем смартфоне Вы откроете данное приложение, то увидите экран, через который можно добавлять аккаунты разных сервисов, которым требуется 2FA. Добавление происходит одним из двух способов — можно либо сканировать QR-код, либо ввести вручную 16-значный ключ:
  1. Удобнее и быстрее конечно же использовать сканер, поэтому выбираем пункт “Сканировать штрихкод”.
  2. В центральной части окна биржи находится наш QR-код (он замазан), на который мы и наводим камеру так, чтобы он оказался внутри красной рамки. Камера сработает автоматически, ничего нажимать не надо. Ниже QR-кода находится 16-значный ключ (он перечеркнут), который можно ввести вручную, если предварительно выбрать пункт “Ввести ключ”. Аккаунт для биржи автоматом будет добавлен в приложение и отобразится в списке, где:
  3. 1 — имя аккаунта (его можно менять);
  4. 2 — тот самый 6-значный код;
  5. 3 — оставшееся время до генерации нового кода.
  6. В правой части окна биржи находится кнопка “I’ve backed it up, Continue.”, на которую нужно нажать, чтобы включить 2FA.

Но, прежде чем это сделать, внимательно прочитайте предупреждение, а затем сделайте скриншот этого экрана (чтобы там были QR-код и 16-значный ключ) и сохраните его в надежном месте. В будущем, если вдруг что-то случится со смартфоном (украдут, сломается, будет сброшен к заводским настройкам, будет удалено приложение Google Authenticator и т.д.), этот скриншот позволит Вам заново создать аккаунт для 2FA для этой биржи, просто повторно отсканировав код или введя ключ. Таким образом Вы не потеряете доступ к своим деньгам.

  1. Нажав на кнопку, Вы увидите следующее окно:
  1. В первой строке Вы должны ввести 16-значный ключ, поэтому его лучше скопировать заранее. Во второй строке указываете Ваш пароль для биржи. А в третью строку вводите 2FA код, который каждые 30 секунд генерируется у Вас на смартфоне. Заполнив все поля, нажимайте кнопку “Enable 2FA” и все, можете наслаждаться двойной защитой.
  2. При следующем входе в аккаунт, помимо почты, пароля и разгадывания капчи, Вам понадобится ввести еще и 2FA код, который Вы уже будете искать у себя в смартфоне в приложении Google Authenticator. Без этого кода, вход в аккаунт будет невозможен.

Двухфакторная аутентификация, биржа Poloniex

Следующая биржа Poloniex — она хоть и начала сдавать позиции, но тем не менее, все еще входит в список ТОПовых.

Для включения двухфакторной аутентификации необходимо в верхнем меню нажать на кнопку с гаечным ключом и выбрать первый пункт:

Вы попадете в следующее окно:

Включение двухфакторной аутентификации на Poloniex

Тут действуем по схожей схеме:

  1. Вводим свой пароль от аккаунта в первое пустое поле “Password”;
  2. Сканируем QR-код или вручную вводим 16-значный ключ;
  3. Как только аккаунт Poloniex будет добавлен в Google Authenticator, мы сразу же получим наш первый 6-значный код, который необходимо будет ввести во второе пустое поле “Code”;
  4. Ставим галочку, соглашаясь с тем, что мы сохранили ключ;
  5. Нажимаем кнопку “Enable 2FA”.

Теперь, при следующем входе в аккаунт, нас любезно попросят помимо стандартных данных ввести еще и 6-значный 2FA код из приложения.

Двухфакторная аутентификация, биржа Kraken

Ну и для последнего примера возьмем еще одну известную биржу — Kraken.

На ней можно настраивать 2FA не только на вход, но и на различные действия, например, на вывод, что мы и сделаем. Для доступа к настройкам двухфакторной аутентификации перейдите в раздел “Security”, затем на вкладку “Two-Factor Authentication”:

Напротив раздела “Funding” нажмите кнопку “Setup” для доступа к настройкам:

Сперва выбираем метод 2FA — я выбрал “TOTP режим с помощью Google Authenticator”. В этом режиме каждые 30 секунд генерируется новый уникальный код, да и он нам уже знаком по двум первым примерам. Затем я снял галочку с пополнения баланса, но оставил на выводе — если кто-то взломает мой аккаунт и внесет депозит, то я ему только спасибо скажу, а вот для вывода будет нужен уже код 2FA. Алгоритм для кода я оставил по умолчанию SHA1, хотя можно выбрать более сложные. Длину кода оставил 6-значной, хотя доступны и 7, и 8 знаков. Заполнив форму, нажимаем “Continue”:

В верхнем поле (1) проверяем еще раз выбранные нами ранее опции. В центре (2) находится 16-значный ключ и QR-код — используем что больше нравится. И в строке “One-time Password” (3) вводим первый сгенерированный код, после того как аккаунт биржи будет подключен к приложению. Теперь не забываем сделать скриншот экрана, чтобы сохранить ключ и код. И лишь после этого нажимаем кнопку “Confirm”.

Вот так на примере трех бирж мы рассмотрели как с помощью приложения Google Authenticator можно подключить 2FA.

Для криптовалютных кошельков, которые поддерживают 2FA, все будет происходить подобным образом, но возможны минимальные отличия. Поэтому сделав такую привязку один раз на одном любом аккаунте, с другими аккаунтами проблем не должно быть.

Если же Вы вдруг захотите отключить 2FA, то проделайте все эти действия повторно. Только пройдя весь этот путь заново, сервисы позволят Вам отказаться от второго уровня защиты.

Возможные проблемы

Иногда Вы можете сталкиваться с такой проблемой, когда Ваш код не будет срабатывать — и вроде бы Вы делаете все правильно, но в то же время при очередном входе в аккаунт видите надпись — Неверный код. Такое может случаться из-за того, что сбивается время. Чтобы исправить это, зайдите в приложение Google Authenticator и нажмите на кнопку “…” в правом верхнем углу, для вызова меню, в котором выберите “Настройки” (1), затем “Коррекция времени для кодов” (2), после чего нажмите кнопку “Синхронизировать” (3):

В большинстве случаев это помогает. Если же это не сработало, то единственный вариант, это писать в поддержку, чтобы они деактивировали 2FA для Вашего аккаунта и Вы смогли бы войти, используя только пароль. Но будьте готовы к тому, что взамен у Вас могут попросить разные сведения об аккаунте — какой баланс, какие монеты там есть, какие операции в последнее время проводили, что покупали, что продавали и т.д.

Следующая проблема, с которой может столкнуться каждый, это когда что-то случается с Вашим мобильным устройством. Его могут украсть, оно может сломаться, Вы можете случайно удалить как само приложение Google Authenticator, так и какой-нибудь аккаунт в нем.

Разберемся для начала с последним пунктом. У Вас может быть как один аккаунт в приложении, так и сотня разных. И чтобы по ошибке (а случайно и не получится) не удалить нужный, рекомендую не оставлять названия по умолчанию, а переименовывать аккаунты (просто пишите название сервиса, как на скриншоте выше). Тогда всегда будет понятно, что это за аккаунт и риск случайного удаления будет сведен на нет.

В случае кражи или поломки устройства, чтобы не остаться у разбитого корыта, всегда сохраняйте QR-коды как картинку, а 16-значные ключи в текстовой форме или переписывайте на бумагу. Об этом я говорил в примере с биржей Binance. Если код и ключ у Вас сохранены в надежном месте, то Вы всегда сможете получить доступ к аккаунту, установив приложение Google Authenticator на новое устройство.

Если Вы опять делаете все правильно, но коды не срабатывают, то обращайтесь в поддержку.

Варианты 2FA

Рассмотрим несколько самых популярных и широко используемых методов 2FA.

Хорошая опция: код через СМС

Когда вы устанавливаете 2FA многие сервисы позволяют вам использовать ваш номер телефона, как способ получения дополнительноог кода. Когда вы входите в свой аккаунт, вам приходит смс с кодом.

СМС самый простой способ 2FA, но очень зависящий от сотовой связи и номера телефона. Если у вас не будет связи или вы будете в другой стране и у вас не будет возможности получить СМС, в аккаунт зайти не будет возможности.

Также стоит упомянуть, что злоумышленники могут просто перевыпустить или клонировать вашу сим-карту и начать получать на неё все ваши коды. В любом случае, лучше использовать хоть какой-то способ 2FA, чем не использовать его совсем.

Вывод: обязательно включаем, если нет других способов.

Вариант получше: приложение аутентификации

Некоторые сервисы позволяют вам настроить вам получение временных кодов через мобильное (или десктопное) приложение. Есть большой выбор приложений, но мы рекомендуем использовать Aegis на андроид и RaivoOTP на ios. Впрочем, вам решать чем пользоваться.

Это вам знать не обязательно, но интересно.

Такие приложения используют алгоритм TOTP (Time-based One-Time Password, можно перевести как одноразовые пароли основанные на ВРЕМЕНИ). Время здесь особенно важно, потому что оно является параметром создания одноразовых кодов. Обычно пароли меняются каждые 30 секунд.

При регистрации этого способа аутентификации на каком либо сервисе, вам нужно с помощью приложения аутентификации сканировать QR-код. Приложение считает все параметры и создаст генератор временных паролей. Идентичный генератор будет работать независимо на сервере. При попытке войти в аккаунт, сервис запрашивает у вас ваш временный пароль и сравнивает его со значением своего собственного генератора. Если они совпадают, вы можете зайти на сервис.

Как вы уже поняли, время здесь играет важную роль и теоретически у нас появляется проблема: при рассинхронизации времени в вашем телефоне и времени на сервере более чем на 30 секунд, вы не сможете зайти в ваш аккаунт. Практически же, если телефон автоматически синхронизирует время и часовой пояс, никаких проблем никогда не возникает.

В отличии от СМС, приложениям аутентификации не требуется доступ к мобильной сети или интернету. Также, если вы не синхронизируете данные таких приложений через облако, у мошенников почти нет возможностей получить эти коды (Разве что вы попадетесь на фальшивый сайт и сами введете этот код).

Лучший вариант: ключ безопастности

Сейчас ключи безопастности — это самый безопастный и эффективный способ использования 2FA. Ключ безопастности — это физическое USB устройство (размером маленькую флэшку), с помощью которого вы можете войти в свой аккаунт.

В отличии от предыдущих двух вариантов, этот не является бесплатным. Ключ безопастности придется купить. Самый популярный вариант — ключи от Yubikey стоят от 25 до 100 евро.

Ключи безопастности не так широко распространены, как приложения аутентификации. Однако их тоже поддерживает большое количество крупных сайтов.

Всю информацию из этой статьи можно представить в виде одной картинки:

Выводы

Использовать вторую ступень авторизации необходимо всегда. Если сервис поддерживает СМС — ставим СМС. Если сервис поддерживает приложения аутентификации, ставим приложение. Если вы способны потратить пару тысяч рублей на ключ безопастности, покупаем ключ. Для большинства же хватит бесплатного приложения.

Вот тут скоро будет небольшая инструкция по выбору приложения аутентификации, его настройке и бэкапу данных.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *