Двухфакторная аутентификация на форуме

[polym0rph]

 

На форуме появилась возможность использовать двухфакторную аутентификацию с помощью Google Authenticator. При его включении будет запрашиваться одноразовый код при входе на форум или попытке изменения email адреса. Это позволит сделать аккаунт более защищенным при помощи дополнительных подтверждений со смартфона, если вы опасаетесь, что пароль от форума может быть перехвачен злоумышленниками. Подобная защита может быть полезна представителям сервисов, торговцам, людям, совершающим обмены криптовалюты и т.п.  Одноразовые коды не заменяют пароль, а дополняют его, являясь дополнительным уровнем защиты.

 

Данная возможность не является обязательной, чтобы ей воспользоваться, нужно сначала ее самостоятельно включить.

Как включить двухфакторную аутентификацию?

 

1.      Скачиваем на смартфон/комп/умный холодильник из Google Play или App Store программу Google Authenticator.
2.      Заходим в настройках аккаунта на вкладку Безопасность аккаунта, вводим пароль от учетной записи и нажимаем кнопку "Включить"  Google Authenticator.
3.      В приложении Google Authenticator сканируем предложенный форумом QR код
4.      Вводим отобразившиеся цифры из Google Authenticatorкак в форму и нажимаем кнопку "Отправить код".

 

Все, двухфакторная аутентификация включена, и временные коды из приложения будут запрашиваться после ввода пароля для входа на форум, или при попытке смены email адреса. Отключить двухфакторную аутентификацию или обновить можно в том же разделе "Безопасность аккаунта".

 

 

Разберем наиболее частые вопросы по работе Google Authenticator:

 

Будет ли работать двухфакторная аутентификация без подключения к Интернету устройства с Google Authenticator?

 

Да, будет.

 

Введенный код из приложения не работает, что делать?

Практически всегда эта проблема связана с неправильно выставленным временем на устройстве с Google Authenticator. Выставьте правильное время.

 

В каких случаях код может не запрашиваться?

Одноразовый код не будет запрашиваться на действия, где он требуется, при двух условиях: действие должно происходить в рамках действующей авторизованной сессии, и последний ввод кода был менее 30 минут назад.

 

Что будет, если я потеряю устройство с Google Authenticator?

 

В таком случае можно будет отменить двухфакторную аутентификацию с помощью подтверждения со своего email адреса, привязанного к аккаунту. Если вы потеряете доступ и к email адресу и к Google Authenticator, то ничем уже вам помочь не сможем.

Чем отличается  аутентификация от авторизации?

 

Аутентификация – это процедура проверки подлинности пользователя, что он тот, за кого себя выдает, а авторизация - это предоставление доступов к ресурсу на основании прав доступа пользователя.

 

Как эта штука на самом деле работает?

Форум генерирует некий секрет ключ и передает его в открытом виде, чаще всего это QR код, в приложение.

Временные коды аутентификации в приложении получаются в результате односторонней функции преобразования от этого ключа-секрета и текущего времени, округленного до минуты. Так что тот, кто знает изначальный секрет и правильное время, всегда сможет сгенерировать правильный временный код. На других сайтах Google Authenticator работает аналогичным образом.

 

Как можно сделать бэкап Google Authenticator? Штатного инструмента в программе нет!

Google не предусмотрел способов создания бэкапа или восстановления утерянных идентификаторов. Но сделать резервные копии можно самостоятельно, и это работает не только на нашем форуме, но и для других сайтов, использующих Google Authenticator. Нужно бэкапить все QR коды (или текстовые ключи), которые выдают сайты для включения двухфакторной аутентификации. Можно просто скриншотами. Сохраняйте их в надежном месте, желательно в зашифрованном виде. Тогда в случае утери доступа к старому Google Authenticator, можно будет на новом устройстве заново сосканировать эти QR коды(или ввести ключи) и получить доступ к своим учетным записям на сайтах.

 

[stepmike]

Для 2ФА я использую  AUTHY, он более надежен и легче восстанавливать при утере телефона. 

[polym0rph]

6 минут назад, stepmike сказал:

Для 2ФА я использую  AUTHY, он более надежен и легче восстанавливать при утере телефона. 

Чем он более надежен?

Мы добавили то, что наиболее известно, проверено и широко используется.

[rammendo]

@polym0rph , кроме Google Authenticator можно еще воспользоваться freeOTP Authenticator.

[staikinet]

Отличное решение. Уже не один год пользуюсь 2фа от Гугла и на биржах и на пулах - проблем нет.

[polym0rph]

@rammendo  Можно и по личным сертификатам вход прикрутить, только какое количество пользователей сможет это осилить?)

У гуглового идентификатора более 10м пользователей, у  freeOTP 100к, все же по массовости использования до гугла далеко. Вероятность, что на смартфоне юзера будет именно Google Authenticator,  а не что-нибудь аналогичное, сильно выше.

[MrSoch]

У Microsoft тоже есть, для тех у кого Win Phone или Win 10.

Microsoft Authenticator 

 

[polym0rph]

2 минуты назад, MrSoch сказал:

Microsoft Authenticator 

Есть такая штука, но опять же менее популярная.

[Serhii Hunters]

1 час назад, staikinet сказал:

Отличное решение. Уже не один год пользуюсь 2фа от Гугла и на биржах и на пулах - проблем нет.

 

Полностью согласен, тоже на бирже и некоторых сайтах, где я регистрировался, всегда всё отлично срабатывает.

Установлен в обычном компе с  Windows - 7.

 

На этом форуме я не давно, но я рад за Вас с принятием этого решения.  

Думаю, что в нынешнее время, это уже необходимо везде, где ведётся некоторая работа с финансами.

 

P.S:

+ уже подключил! 

 

Изменено 29 июн 2018, 21:19 пользователем Serhii Hunters

[moneymaker]

Наконец, спасибо!

[bullettrain]

7 часов назад, moneymaker сказал:

Наконец, спасибо!

Наконец? Серьезно? Имхо это совсем не тот ресурс где прям уж так необходима 2ФА (другое дело если бы здесь была развита торговая площадка, например с возможностью создания бизнес-аккаунтов с возможностью их верификации для предотвращения скама), в отличие например от поддержки tapatalk (приложение для удобного чтения форума с мобильный устройств), которую админы считают невостребованной и не стоящей потраченных усилий.

[Uliss]

1 час назад, bullettrain сказал:

Имхо это совсем не тот ресурс где прям уж так необходима 2ФА (другое дело если бы здесь была развита торговая площадка, например с возможностью создания бизнес-аккаунтов с возможностью их верификации для предотвращения скама),

 

Так-то, и продавцам Барахолки и Обменникам с Гарантами, явно, не помешает.

Я бы даже ввел требование обязательной 2ФА для этих категорий, дабы потом не случалось разборок по типу "меня взломали и кинул вас не я"

 

[SaN4]

12 часов назад, polym0rph сказал:

Что будет, если я потеряю устройство с Google Authenticator?

В таком случае можно будет отменить двухфакторную аутентификацию с помощью подтверждения со своего email адреса, привязанного к аккаунту.

то есть, гипотетически, злоумышленник имея адрес и доступ к эмылу, может обойти 2фа...

может усложнить как то проверку )

- заморозить акк там.

- неделю на подтверждение

 

Изменено 30 июн 2018, 07:40 пользователем SaN4

[Uliss]

4 часа назад, SaN4 сказал:

то есть, гипотетически, злоумышленник имея адрес и доступ к эмылу, может обойти 2фа...

 

И отсюда единственный разумный вывод - нефиг все это таскать на мобилах!

Касается и Мобильного Банка!

Юзайте важные для вас ресурсы со стационарных устройств и пользуйтесь Банком Онлайн, вместо Мобильного банка.

Все эти "удобства" мобильных решений на 99% надуманы и при правильной организации своей работы не требуются.

Изменено 30 июн 2018, 11:39 пользователем Uliss

[SaN4]

@Uliss нет, просто нужно доработать. заморочить сброс. по скану паспорта

 

[polym0rph]

11 часов назад, bullettrain сказал:

(другое дело если бы здесь была развита торговая площадка

Посмотрите, какая активность в барахолке) И 2FA реально народ просил.

 

11 часов назад, bullettrain сказал:

в отличие например от поддержки tapatalk (приложение для удобного чтения форума с мобильный устройств), которую админы считают невостребованной и не стоящей потраченных усилий.

Ну ладно еще для старой версии форума на IPB3 может быть, но на текущей вполне приличный вид на смартфонах и планшетах. Поэтому да, не вижу смысла, да и запросов почти нет.

 

9 часов назад, SaN4 сказал:

то есть, гипотетически, злоумышленник имея адрес и доступ к эмылу, может обойти 2фа..

Это так. Подразумевается, что человек за своей почтой следит внимательно. Есть еще вариант не восстанавливать через почту, но тогда это или потеря аккаунта при потере 2FA ключа, или попытки доказывать администрации что ты это ты, что тоже весьма трудно верифицируемо.

 

9 часов назад, SaN4 сказал:

нет, просто нужно доработать. заморочить сброс. по скану паспорта

Серьезно?

[SaN4]

2 часа назад, polym0rph сказал:

Серьезно?

это шутка была )))

 

2 часа назад, polym0rph сказал:

Это так. Подразумевается, что человек за своей почтой следит внимательно. Есть еще вариант не восстанавливать через почту, но тогда это или потеря аккаунта при потере 2FA ключа, или попытки доказывать администрации что ты это ты, что тоже весьма трудно верифицируемо.

ну защита 2фа это дополнительная защита. если вдруг взломают например да. я и говорю что если взломают почту то 2фа "Это так" получается. пустяк 

1 минуту назад, SaN4 сказал:

что тоже весьма трудно верифицируемо

как же на биржах это делают. наверно по ип адресу входа смотрят одинаковы ли и т.д.

это вам не шуточки тоже

Изменено 30 июн 2018, 19:46 пользователем SaN4

[polym0rph]

13 минут назад, SaN4 сказал:

ну защита 2фа это дополнительная защита. если вдруг взломают например да. я и говорю что если взломают почту то 2фа "Это так" получается. пустяк 

Да, дополнительная защита.   От компрометации пароля.  Если увести емейл сервиса или торговца крупного, то как правило уже можно дел наворотить серьезных.

[SaN4]

13 минут назад, polym0rph сказал:

Если увести емейл сервиса или торговца крупного, то как правило уже можно дел наворотить серьезных.

ну тогда смысл от этой 2фа ?

нужно как то обеспечить подтверждение личности без эмейл при восстановлении доступа

не я не против нисколько. прогресс дело благородное. только недоработано жеж

Изменено 30 июн 2018, 20:12 пользователем SaN4

[polym0rph]

31 минуту назад, SaN4 сказал:

ну тогда смысл от этой 2фа ?

Мне кажется этот вопрос странным в свете ответа выше.

Смысл 2FA - защита компрометации пароля.  Защита своего емела это другая задача, и там кстати тоже можно использовать 2FA.

[Ainz]

Проблема симметричной 2FA в том, что при утекании дампа БД все ключи становятся общеизвестными, после брута пароля кулхацкер просто настраивает гугл аутентификатор с известным ему ключом и поехали... Ведь они хранятся в открытом виде.

 

Так что если и делать двухфакторную аутентификацию, то только на базе асимметричной криптографии, к примеру U2F. Иначе это филькина грамота. Да, именно так, гугл аутентификатор, он же RFC 6238 - это филькина грамота, которая скорее вредна, чем полезна. Потому что дает ложное ощущение безопасности. Даже не думайте пользоваться этой херней, она подсознательно расслабляет и однажды вы увидите закономерный результат.

 

P.S. Кстати, если кто не в курсе, аппаратные кошельки Ledger поддерживают U2F FIDO. Так что те, кто использует их уже сейчас для хранения крипты, смогут с их помощью защитить доступ к учетной записи.

Изменено 1 июл 2018, 05:04 пользователем Balthazar

[Oz]

2FA от "Google Authenticator" это - RFC 6238 TOTP: Time-Based One-Time Password Algorithm

Стандарт открытый, а не от "корпорации зла"

 

На примере Linux, возьмём первую попавшуюся опенсурсную реализацию: http://www.nongnu.org/oath-toolkit/

Затем на интересующемся нам ресурсе получаем QR-код, сгенерированный ресурсом для нашего аккаунта. Из него вытаскиваем ключ. Например: 7HFAUETQFYQ46UYR

Затем в CLI вводим:

oathtool --totp --base32 --verbose 7HFAUETQFYQ46UYR

И получаем вывод вроде:

Hex secret: f9ca0a12702e21cf5311
Base32 secret: 7HFAUETQFYQ46UYR
Digits: 6
Window size: 0
Step size (seconds): 30
Start time: 1970-01-01 00:00:00 UTC (0)
Current time: 2018-07-01 08:26:04 UTC (1530433564)
Counter: 0x30A6B34 (51014452)

238690

238690 и будет значением, которое требует 2FA. И зависит только от ключа, выданного ресурсом, т.е 7HFAUETQFYQ46UYR и текущего времени. Вот и вся 2FA.

[Ainz]

13 часов назад, OZR сказал:

Стандарт открытый, а не от "корпорации зла"

Вот только он устарел сразу после того, как появилась асимметричная криптография. То есть, давным-давно.

[polym0rph]

01.07.2018 в 07:04, Balthazar сказал:

при утекании дампа БД все ключи становятся общеизвестными

При утекании дампа БД вообще наступает Жопа, тут как бы вариантов не очень много.

01.07.2018 в 07:04, Balthazar сказал:

Даже не думайте пользоваться этой херней, она подсознательно расслабляет и однажды вы увидите закономерный результат.

Расслабляться неоправданно не стоит, конечно же. Но данный инструмент бесполезным я не считаю, для кого-то его функциональности  как раз достаточно.

[Ainz]

03.07.2018 в 18:28, polym0rph сказал:

При утекании дампа БД вообще наступает Жопа, тут как бы вариантов не очень много.

У толчка дампы неоднократно утекали и жопы не наблюдается пока что. Как раз потому что нет 2FA на базе устаревшего стандарта, которая расслабила бы юзеров и стимулировала бы их использовать дурацкие пароли. Да, профили все еще уводят, но масштаб наблюдаемого и возможного несопоставим.

Изменено 4 июл 2018, 16:26 пользователем Balthazar