😎 Скандалы, интриги, расследования

Майкрософт сорвала покровы с причин, по которым главный мессенджер компании в последнее время скатился в #скайпговно. Пол Турротт опубликовал https://www.thurrott.com/cloud/microsoft-consumer-services/skype/73121/skype-transitioning-modern-mobile-friendly-architecture выдержки из своей беседы с вице-президентом компании.

Оказывается, пару лет назад Майкрософт начала переводить Skype со старой архитектуры P2P на новую облачную, на которую завязаны все новые возможности, увидевшие свет в последний год - аудио и видео чат, обмен фото и файлами и т.д. (Видимо, новыми они считаются в связи с архитектурой ;).

Необходимость связана с изменившимся ландшафтом - мы пользуемся мессенджерами на нескольких устройствах одновременно, в том числе мобильных, где актуальны вопросы мощности и расхода батареи. Однако обе архитектуры работают паралелльно, чем и вызваны, например, проблемы с синхронизацией сообщений и их появление в неправильном порядке.

Новые приложения Skype созданы под облачную архитектуру (UWP Skype, Skype for Linux). Упразднение поддержки P2P уменьшает объем приложений и упрощает их обслуживание. Облако также позволит решить распространенные проблемы - например, восстановление пароля будет целиком реализовано на платформе учетной записи Microsoft (Возможно, появится и полноценная #2FA для старых аккаунтов https://www.outsidethebox.ms/18372/#_Toc451108867 )

Переход на новую архитектуру завершится в этом году. А больше всего вице-президент сожалеет о том, что не рассказал об этом ранее. Ололо 😀 Мог бы подождать еще пару лет, пока все не перейдут на WhatsApp или #Telegram ;)

P.S. С переходом на новую архитектуру Skype не будет работать в Windows Phone 8.1 (и устаревших версиях Android) https://onetile.ru/skype-prekrashhaet-podderzhku-windows-phone-8-i-windows-phone-8-1/ Так что, если у вас к тому времени еще будет жива Lumia, которая не обновляется до 10, вы обойдетесь как-нибудь.

☢️Адская путаница с #2FA в Яндекс.Деньги. Приложение для Android после обновления потеряло аккаунт, и мне пришлось входить заново. После учетных данных предлагается ввести одноразовый пароль (на картинке выше - слева), но не принимается код, который работает для всех сервисов Яндекс. Даже по клавиатуре видно, что ожидается цифровой пароль, а для Яндекс.Паспорт их же генератор Яндекс.Ключ создает буквенный 🙈

Это был уже пятый (!) случай - я точно знаю, потому что каждый раз выходил из тупика вводом заранее запасенного резервного кода. В этот раз я все-таки решил написать в поддержку, и она стала убеждать меня перейти на 2SV по SMS - мол, после этого я смогу вводить код из генератора 🗝

Я удивился - ведь 2FA в Яндекс.Паспорт у меня и так уже включена, но ладно - они мне что-то там сделали, коды из SMS заработали. Я пошел в настройки Денег менять SMS на генератор кодов и понял, где зарыта собака (на картинке выше - справа). Оказывается, в генераторе паролей надо создать *отдельный* аккаунт для Денег, и он будет создавать расово верные цифровые пароли 🎰

Непонятный нормальному человеку костыль? Еще какой. Победа? 🏆 А вот и нет :)

Все это я делал с телефона, а вчера добрался до ПК и решил зайти на сайт Денег. Вы не поверите, но одноразовые пароли для Денег там не принимаются 💩 А все потому, что при авторизации в Деньгах перенаправляют на Яндекс.Паспорт и соответственно требуют одноразовый пароль от него 🙉

#Классика блога про 2FA https://www.outsidethebox.ms/18372/ У меня везде включена, но с таким столкнулся впервые :)

🔒 Простой способ защиты от фишинговых писем, нацеленных на ваши учетные данные

Фишеры часто пытаются выманить учетные данные к различным сервисам (Google, Microsoft, Facebook и т.д.). Вы получаете письмо, которое выглядит вполне легитимно, и в нем какая-то наживка - от развесистой халявы до необходимости выполнить некие действия по восстановлению нормальной работы аккаунта.

📫 Цель письма - заманить вас на поддельную страницу аутентификации, где вы введете логин и пароль. А дальше фишеры очень быстро забирают все необходимое из вашего аккаунта.

Опытные люди зачастую дают защитные советы, которые подходят таким же опытным, но плохо работают у новичков. Например:

🙊 Всегда входить в сервис из своих закладок или вводить URL руками. Это не будут делать люди, которые используют гуглояндекс вместо адресной строки :)

🙈 Внимательно изучать все ссылки в письме. При этом редко поясняют, на что обращать внимание. Иногда могут посоветовать залезть в исходник письма, но тоже без особых подробностей. Попробуйте объяснить это своей маме

❗️ Мой совет очень простой и универсальный - включите двухфакторную аутентификацию! Даже если вас заманили на фишинговую страницу, а вы не распознали это и ввели логин/пароль, аккаунт не будет скомпрометирован - для входа нужен второй фактор!

Если вы в этот момент сообразите, что запроса на второй фактор не было, то пойдете и смените пароль. Если не сообразите, что ж, теперь ваш пароль у злоумышленников, но в аккаунт они все равно не войдут. Они, возможно, попробуют эти же учетные данные в других сервисах, поэтому... в них тоже надо включить #2FA 😎

#классика блога в помощь: А вы защищаете свои аккаунты двухфакторной или двухэтапной аутентификацией? https://www.outsidethebox.ms/18372/

🔒 Двухфакторная аутентификация без SMS, одноразовых кодов и паролей

Я обеспечиваю #безопасность своих аккаунтов с помощью #2FA везде, где она доступна. И при этом я давно вхожу в службы Google без одноразового кода, а в сервисы Microsoft - без пароля 😎

Сегодня в блоге запись о современных способах 2FA.

Постоянная ссылка в блоге: https://www.outsidethebox.ms/18835/

​​🔒 В Microsoft Authenticator для Android завезли облачный бэкап (в iOS он был относительно давно)

Это - очень ценная фича в случае покупки нового смартфона или полного сброса старого (и чем больше у вас сервисов с двухфакторной аутентификацией, тем она ценнее :)

Сам я давно пользуюсь Яндекс.Ключ, в первую очередь из-за бэкапа, а во вторую - потому что Яндекс изобрел для своей 2FA велосипед, несовместимый с другими приложениями.

Microsoft Auth у меня только для беспарольного входа в MSA. И не факт, что я побегу переезжать на него, ибо это займет время - у меня #2FA включена везде, где она есть.

Кстати, в этом году появились данные от Google и Microsoft, утверждающие фактически 100% эффективность 2FA против автоматизированных атак на аккаунт. Причем в исследовании Google рассматривался вариант с отправкой SMS на телефон нежели генерацией кода на устройстве.

Компания также раскрыла тему эффективности 2FA против целевых атак. В случае с отправкой SMS на телефон она составляет 66%, а при использовании запросов на устройстве (aka Google Prompt) - 90%.

2FA значительно укрепляет #безопасность ваших учетных записей. Если вы еще не используете ее, включите хотя бы на ключевых аккаунтах уже сейчас. #классика блога на тему 2FA и различных способах ее реализации:
• А вы защищаете свои аккаунты двухфакторной или двухэтапной аутентификацией?
• Двухфакторная аутентификация без SMS, одноразовых кодов и паролей

🔓 Вчера на Хабре был печальный пост про кражу домена путем взлома учетной записи Яндекс, защищенной двухфакторной аутентификацией.

На мой взгляд, эмоциональный пост и особенно заголовок шлют неверный посыл "2FA - зло", поэтому предлагаю посмотреть на ситуацию технически.

У взлома было два этапа:
1. Перевыпуск SIM-карты
2. Сброс 2FA

Я перепроверил процесс сам. И выяснилось два момента:
1. При сбросе 2FA Яндекс не шлет SMS, а звонит. Это плохо, потому что мобильные операторы могут блокировать SMS на сутки после перевыпуска SIM, а звонок проходит.

2. Для сброса 2FA нужно знать ее ПИН-код (он же ПИН-код аккаунта Яндекс в приложении Яндекс.Ключ). Это хорошо, но тогда получается, что в рассматриваемом случае злоумышленники знали или подобрали ПИН-код жертвы (либо та не всю историю рассказала).

Между тем, Google и Microsoft позволяют исключить номер телефона из списка вторых факторов (ссылки ведут на страницы, где это можно сделать). В этом случае совершенно необходимо сохранить резервные коды в надежном месте, а не в Gmail и OneDrive соответственно ;) Равно как я не знаю и не вижу в документации компаний способов сбросить #2FA через SMS.

Выводы на тему привязки своих важнейших сервисов и активов к тем или иным почтовым службам делайте сами ✌️ Я, кстати, хоть и обещал не бежать с Яндекс.Ключ на Microsoft Authenticator после появления в последнем облачного бэкапа, делаю это потихоньку. (Впрочем, взлом Яндекс.Паспорт на бэкап Ключа не влияет, поскольку тот защищен отдельным паролем.)

Кстати, Microsoft Auth уведомляет вас в случае смены пароля учетной записи Microsoft, а также позволяет вернуть доступ. Да, пока вы спохватитесь злоумышленник сможет нанести ущерб, но это все равно весьма быстрый способ восстановить контроль над аккаунтом. А время - деньги!

🔒 Продолжая тему 2FA, в блоге Azure AD Identity опубликовали хороший пост об уязвимостях процесса аутентификации.

Специалисты выделяют два глобальных направления атаки:

• Фишинг в реальном времени. Атакующий перенаправляет жертву на сайт с фальшивым процессом аутентификации, перехватывает введенные учетные данные (включая одноразовый пароль) и очень быстро вводит их на легитимном сайте.

• Захват коммуникационного канала аутентификации. Это - перехват SMS / звонка (тот же перевыпуск SIM) или пуш-уведомления.

Из таблицы в посте следует, что от обоих направлений надежно защищают только три метода #2FA:
• Аппаратный токен
• SMART-карта
• Windows Hello

Получается, что применительно к типичной авторизации в веб-сервисах (например, почте), от удаленных атак зашиту гарантирует только токен, хотя Hello тоже работает как минимум на ресурсах Microsoft.

Автор поста, отвечая на мои вопросы в Твиттере, пояснил, что приложение Microsoft Authenticator уязвимо к фишингу, но захват коммуникационного канала ему не страшен (злоумышленник должен получить контроль над устройством). Он написал, что защита от фишинга возможна только при аутентификации типа FIDO (с использованием USB/Bluetooth/NFC) и упомянул, что работа над этим ведется.

😎 Возможно, решение Microsoft позволит превратить телефон с их приложением в аппаратный токен, как это сделала Google на Android для своих аккаунтов. Поживем - увидим!

Поддержка же Яндекса на вопрос о перспективах защиты аккаунта аппаратным токеном ответила "возможно, в будущем". Думаю, для этого им понадобится вынести на помойку свой велосипед 2FA, так что будущее это видится мне отдаленным :)

Так или иначе, любая форма многофакторной аутентификации значительно повышает #безопасность аккаунта, практически сводя на нет автоматизированные (т.е. не целевые) атаки. Делайте выводы ✌️

🔒 Риски и ограничения двухфакторной аутентификации

Я давно и последовательно рекомендую #2FA в блоге и канале. В статьях я главные грабли расставлял, конечно, но тут мне попался хороший #longread, который методично раскладывает их по полочкам: Before You Turn On Two-Factor Authentication…

Цитаты для затравки (про риски):

You may be unable to recovery your second factor if your security key, or the phone with your authenticator app, is lost, stolen, or broken.

... timely access to some services can itself be important to user safety. For example, you may no longer remember the phone numbers of the close friends and family members you would want to contact in a time of crisis.

Researchers have already shown that ... users required to employ a second factor (a fingerprint in their study) chose weaker PINs (numeric passwords) than those who were not.

Attackers might steal your security key when you are in a public place

If you plug an attacker’s lookalike device into your computer and allow it to install a driver, it can take control of your computer

🔒 О беспарольном входе в аккаунт Google и двухэтапной аутентификации

Недавно в чате с участником Денисом обсуждали, чем у Google отличается вход в аккаунт с помощью телефона от входа с уведомлением. Внешне они как близнецы-братья: пришло уведомление на телефон → нажимаем "Да" и входим в аккаунт (или нажимаем "Нет" и не входим :)

👉 Ключевая разница в том, что только "вход с уведомлением" считается двухэтапной аутентификацией.

В принципе, это понятно из настроек безопасности аккаунта (на картинке). Но где проходит граница? Давайте сравним процесс.

🔷 Вход с уведомлением
Фактически, это трехэтапный вход. После ввода логина вы:
1. Указываете пароль.
2. Разблокируете смартфон биометрией или ПИН-кодом.
3. Подтверждаете уведомление.

🔷 Вход с помощью телефона
Здесь два этапа. После ввода логина вы:
1. Разблокируете смартфон биометрией или ПИН-кодом.
2. Подтверждаете уведомление.

Вам может показаться, что дело в пароле, но нет. Внешне вход с помощью телефона отвечает требованиям двухэтапной аутентификации и выглядит как беспарольный вход у Microsoft. Но есть нюанс ©

ℹ️ Вход с помощью телефона не форсирует двухэтапную аутентификацию, т.е. вы можете просто войти с логином и паролем. Вход с уведомлением требует выполнить дополнительный этап подтверждения на смартфоне.

#Классика блога про #2FA обновлена. Строго говоря, если номер телефона не удален из списка факторов, аутентификация не двухфакторная, а двухэтапная, как и пишет Google ✌️

🔓 Еще раз о важности 2FA и 2SA

Сегодня в Коммерсанте любопытная статья про неправомерный доступ к учетным записям Госуслуг (УЗ ГУ). Оставляя за скобками политический контекст, сосредоточусь на технических и общественных аспектах.

"Взлом" УЗ с простыми паролями никого не удивит, но для меня сюрпризом стало, что двухэтапная аутентификация (2SA) не является обязательным условием для входа в ГУ 🤷‍♂️

👉 Я везде где можно включаю 2FA/2SA, причем по возможности отключаю SMS и задействую приложение, MSFT Authenticator в моем случае. Поэтому я и начинаю думать, что двухэтапный вход - неотъемлемый атрибут аутентификации в сервисах.

И уж тем более в ГУ с широчайшим спектром важных государственных услуг. Особенно когда речь заходит о выборах на любом уровне. Меня совершенно не радует мысль, что рядом голосуют люди с заниженными когнитивными способностями без 2FA и паролями 123456. Или кто-то голосует за них...

#Классика блога по теме #2FA:
• А вы защищаете свои аккаунты двухфакторной или двухэтапной аутентификацией?
• Двухфакторная аутентификация без SMS, одноразовых кодов и паролей

📊 И опрос: какой минимальный уровень аутентификации вы считаете необходимым для учетной записи, участвующей в электронном голосовании на любом уровне (от муниципального до федерального)? Вопрос не про РФ конкретно. Примеряйте к своей стране проживания.

👌 имя пользователя и пароль
📱 двухэтапная аутентификация (SMS)
🔑 аппаратный ключ (токен с ЭЦП)
❌ я против электронного голосования
🤷‍♂️ не знаю / моего варианта нет

😱 Душераздирающая история про товарища, потерявшего сначала айфон, а потом... все нажитое непосильным трудом ©

➡️ https://www.fontanka.ru/2021/07/18/70030715/

Список его злоключений поражает воображение, читайте до конца. Я по ходу дела отметил несколько моментов.

🔹 Со слов жертвы, через 40 минут после кражи айфона был выполнен вход с ПИН-кодом. Наверное, он был 1111.

🔹 Спустя полтора года кто-то вошел в Госуслуги (ГУ). По мнению жертвы, это стало возможным благодаря сохраненному в телефоне токену приложения. Однако в вечный токен верится с трудом не только мне, но и эксперту в конце статьи. Не исключено, что взлом ГУ не связан с кражей телефона.

🔹 У жертвы в ГУ не было двухэтапной аутентификации. Именно эту тему я поднимал в канале всего 1.5 месяца назад. Но не факт, что она помогла бы в данном случае, ведь SMS приходит на телефон↓

🔹 Жертве заблокировали номер телефона и привязали к SIM-карте другой номер. Злоумышленники достигли этого по телефону, озвучив паспортные данные. У Мегафона (и других ОПСОСов?) от этого лишь один эшелон защиты - кодовое слово.

Думаю, у вас тоже много чего важного завязано на номер телефона. Я регулярно пропагандирую #2FA, но реальность такова, что многие государственные и коммерческие компании ограничиваются SMS в качестве второго этапа. Когда различные базы сливаются направо и налево, а потом обогащаются, связать номер телефона с паспортными данными не выглядит чем-то невыполнимым. Возможные последствия - по ссылке в начале поста.

Вы знаете кодовое слово для своего основного номера телефона?
👌 - да
❌ - нет
😱 - кто здесь???

🔐 О беспарольной учетной записи Microsoft (MSA)

Теперь в MSA можно удалить пароль. Формулировка важна, потому что беспарольную MSA давно можно создать. Пусть не в Windows, но хотя бы в iOS и Android. Microsoft давно и последовательно движется к тотальной беспарольной аутентификации и потребителей не оставляет на обочине. Зачет!

ℹ️ Помимо анонса в корпоративном блоге компания выпустила KB5000104 с ответами на вопросы. Впрочем, там не упоминается, что помимо аутентификатора в настройках безопасности MSA должно быть еще как минимум два варианта доставки второго фактора. Например, я намеренно удаляю номер телефона, чтобы исключить перевыпуск SIM. Поэтому мне потребуется задать две разных почты.

Удаление пароля не всем подходит:

🔹 В чате Alexander O сразу подметил, что без пароля не подключиться по RDP к домашнему ПК. Понятно, что кейс не самый распространенный, но для Microsoft проблемы нет вообще. Потому что MSA для потребителей, которым положено домашнее издание, где нет RDP :)

🔹 Возникает и проблема доступа к ПК в пределах локальной сети, в т.ч. расшаривания папок. Домашней группы в Windows больше нет, но это не значит, что дома исчезла необходимость в общем доступе к файлам.

Также в чате dartraiden усомнился в двухфакторности беспарольного входа и поинтересовался, не безопаснее ли использовать пароль + код из приложения. Это действительно #2FA, но аутентификация полностью смещается на смартфон.

Выбор же оптимального способа зависит от вероятности угроз:

🔑 Допустим, ревнивая жена хочет читать почту супруга на outlook.com и не погнушается приложить его палец к сканеру отпечатков пока тот спит. Мужу лучше не пользоваться беспарольным входом.

🎣 Если же защищаться от целевой фишинговой атаки, например, с целью сбора компромата или сведений для дальнейших взломов, беспарольный вход хорош. Потому что вы нигде ничего не вводите. Иначе, не распознав подвох, можно отдать злоумышленнику пароль и вслед одноразовый код, фреймворки есть.

Кстати, в канале был отличный пост про уязвимости процессов аутентификации.

👉 Резюме
Беспарольный вход в MSA я использую по возможности и вам рекомендую - это удобно и безопасно. Но удалять пароль я не буду, потому что у меня есть сценарии его использования.

📊 Пользуетесь ли вы беспарольным входом в MSA?

👍 - Да
🔢 - Нет, ввожу пароль, потом второй фактор
🦌 - Нет, у меня не включена 2FA
❌ - Не пользуюсь MSA / Моего варианта нет

😎 Нюансы беспарольного входа в организации

Пятничная тру стори в продолжение вчерашнего поста про беспарольную MSA. У меня есть клиент с Microsoft 365. Соответственно, там Azure AD, учетная запись организации, #2FA, Microsoft Authenticator - стандартный набор.

В приложении Authenticator есть опция включения беспарольного входа. Один сотрудник решил ее активировать и... у его учетной записи #AAD заблокировался доступ ко всем ресурсам организации 🤦‍♂️ Соответственно, работать он уже не мог.

Дальше чат поддержки, индусы, стандартные скрипты несколько дней - все как мы любим :) В итоге объяснение выдали такое, что у этой фичи контроль по географическому местоположению. Компания иностранная, а сотрудник был из России.

Видимо, при заявке на регистрацию устройства для беспарольного входа передается IP-адрес, а на "русских хакеров" стоят флаги, поэтому учетная запись блокируется автоматически. В итоге доступ вернули, но сказали пользоваться парольным входом ✌️

🔒 Двухфакторная аутентификация в Госуслугах (ГУ)

Случайно узнал, что в ГУ появилась возможность перейти от двухэтапной аутентификации через СМС к двухфакторной с одноразовыми кодами из аутентификатора. Про разницу есть #классика блога.

Учитывая широкие возможности ГУ, захват аккаунта злоумышленником может иметь печальные последствия. Использование одноразовых кодов страхует от взлома аккаунта путем перевыпуска SIM-карты.

👉 #2FA настраивается в Профиль - Безопасность - Вход в систему - Вход с подтверждением.

В мобильном приложении [для Android] пока переключиться нельзя. Однако в нем можно быстро перейти на портал из раздела Безопасность - Мобильные приложения (картинка) и все настроить.

Прямая ссылка на страницу управления настройками - https://lk.gosuslugi.ru/settings/safety/login, и ее лучше открывать на смартфоне. На десктопе в популярных браузерах будет ошибка получения кода и придется возиться с отключением CORS ✌️

🔒 Об отсутствии кодов восстановления в двухфакторной аутентификации Госуслуг (ГУ)

Читатель Yves Genie первым делом обратил внимание, что в ГУ при переключении на 2FA с одноразовыми кодами не предусмотрено создание резервных кодов. Они невероятно ценны в случае повреждения или утери аутентификатора. #Классика блога освещала этот вопрос.

ℹ️ На реализацию #2FA различными компаниями полезно смотреть через призму документа NIST 800-63B. Конечно, американский институт стандартов не указ российским Госуслугам. Однако публикации NIST не просто определяют стандарты для госсектора США, но и в немалой степени задают вектор развития мировой индустрии. Наряду с высотой потолка эти рекомендации обозначают и высоту пола, под которым уже начинает просматриваться дно.

👉 В разделе 6.1.2.1 говорится, что поставщик услуги должен рекомендовать клиентам использование двух аутентификаторов на каждый фактор. Например, если применяется устройство для генерации одноразовых кодов (OTP), можно выпускать коды восстановления (look-up secrets в терминологии документа). И соответственно такая возможность должна быть реализована в сервисе.

В документе также есть раздел 6.2, посвященный потере, краже или повреждению аутентификатора. Поставщик услуги должен обеспечить способ информирования о потере, причем в этом случае для верификации должно хватать одного фактора - например, пароля. Однако в качестве альтернативы может использоваться специальный защищенный канал для проверки с помощью ранее собранных сведений о клиенте.

NIST не обозначает природу такого канала. Наверное, подразумевается дистанционный способ. Но в случае с ГУ таковым вполне может являться визит в МФЦ с паспортом 😎

🔒 О двух факторах аутентификации на одном устройстве

Недавно я рассматривал реализацию #2FA в Госуслугах через призму рекомендаций NIST. И вспомнил, как когда-то в блоге провел границу между двухэтапной и двухфакторной аутентификацией по признаку владения (SMS vs. OTP). Чуть позже выяснилось, что NIST хотел радикально выпилить SMS из факторов, но под давлением индустрии смягчил формулировки. Это была та самая специальная публикация 800-63B!

🤔 Перечитывая документ, я подумал, что неплохо бы оценить по нему и беспарольный вход в учетную запись Microsoft (MSA). Разбирая это решение в блоге 5 лет назад, я писал:

Как ни странно, это – двухфакторная аутентификация! Первый фактор – подтверждение уведомления на смартфоне, которым вы владеете. Второй фактор – знание ПИН-кода или биологическая особенность (отпечаток пальца, лицо). Процесс аутентификации фактически смещен с устройства, на котором осуществляется вход, на смартфон, где вы подтверждаете владение учетной записью.

ℹ️ А что считает NIST? В разделе 4.2.2 прямым текстом говорится (в моем вольном переводе):

В случае использования смартфона в качестве аутентификатора, разблокировка устройства (обычно с помощью ПИН-кода или биометрии) не должна считаться одним из факторов аутентификации. В общем случае верификатор не может знать, было ли устройство заблокировано изначально или разблокировка выполнялась с соблюдением требований для соответствующего типа аутентификатора.

Действительно, смартфон можно разблокировать не только ПИН-кодом и биометрией, но и устройством Bluetooth, например! Даже если считать такое устройство фактором владения, его нельзя задействовать в качестве второго фактора ❌ Ведь он должен отличаться от первого, а там тоже владение - смартфоном.

Однако нужно учитывать, что решение Microsoft призвано воспрепятствовать перехвату паролей пользователей, причем неопытных в основной массе. Очевидно, компания оценивает этот риск куда выше, чем опасности текущей реализации. Также не забывайте, что такие решения в первую очередь разрабатываются для бизнеса. Потребителям же достаются остатки с барского стола, где потчуют аппаратными ключами, например.

В общем, беспарольный вход в MSA в очередной раз подтверждает тезис, что безопасность - это всегда компромисс между степенью защиты и ее удобством, особенно в условиях огромной пользовательской базы ✌️

🔒 О восстановлении доступа к Госуслугам (ГУ) после утери аутентификатора

Это третий эпизод сериала про двухфакторную аутентификацию в ГУ. В предыдущих сериях:
1. Включение 2FA
2. Про отсутствие кодов восстановления

В конце второго эпизода я заметил, что при утере или краже смартфона для восстановления может понадобиться визит с паспортом в МФЦ! Я был недалек от истины. В зависимости от региона, придется идти в МФЦ, пенсионный фонд или банк! 👈

Читатель Xodiak узнал про #2FA в ГУ из моих постов и переключился с SMS на OTP. А спустя какое-то время телефон завис, что вылечилось только... сбросом. Это повлекло потерю доступа к ГУ!

🚶‍♂️ Как восстановить доступ
Подробный и эмоциональный рассказ читателя от первого лица я закинул в телеграф. Здесь же моя выжимка ключевых моментов.

🔹 Обращение в техподдержку ГУ - пустая трата времени. На сегодня они вообще не знают, что такое 2FA. В любом случае потолок их возможностей - сброс пароля. Однако даже с новым паролем понадобится все тот же второй фактор.

🔹 Проблему решает только восстановление доступа. Смотрите точки с этой услугой на карте ГУ (может понадобиться разрешить доступ к местоположению). Услугу предоставляют даже некоторые банки, но читатель предпочел государственный пенсионный фонд.

🔹 Оказывающие услугу лица могут не знать точный порядок действий (трудно сказать, конкретно в такой ситуации или вообще при восстановлении доступа). Так, сотрудница ПФР перепробовала три способа, но ни один не дал немедленного результата. Лишь через полчаса читатель получил SMS с кодом для сброса пароля ГУ. После входа выяснилось, что второй этап аутентификации полностью отключен.

🔁 Как предотвратить потерю доступа
К сожалению, 2FA в ГУ реализована не только без кодов восстановления, но и без возможности добавить еще один аутентификатор 🤦‍♂️ Поэтому единственная страховка от потери доступа при утрате устройства - это функция бэкапа в аутентификаторе.

👉 Пользуйтесь приложением, которое способно сохранять секретные ключи в:
• облако аутентификатора или ОС (примеры на картинке: Microsoft Authenticator, Aegis)
• файловую систему (тот же Aegis), откуда можно вручную скопировать бэкап куда угодно

✅ Создав резервную копию, протестируйте восстановление из нее на другом устройстве (например, на старом смартфоне). В случае успеха у вас в руках окажется второй аутентификатор, удобное добавление которого не предусмотрели в ГУ.

Эти советы годятся не только для ГУ, которые просто являются экстремальным примером необходимости такого бэкапа.

///
Я скоро вернусь к теме аутентификаторов - на ПК. Не переключайте каналы ✌️

😎 Все что вы хотели знать про коды восстановления для #2FA в Госуслугах, но боялись спросить :)

(прислал Niks)

🔑 Советы по резервному копированию секретных ключей двухфакторной аутентификации

Недавно Твиттер объявил о том, что опция SMS в качестве второго этапа аутентификации будет доступна только платным подписчикам. В моей ленте сразу прошел мощный парад ИТ-специалистов, которые:

a) до сих пор не включили доступную более пяти лет #2FA с генерацией одноразовых кодов в приложении

б) включили 2FA, но не отключили 2SV (SMS), т.е. остались на прежнем и более низком уровне защищенности аккаунта

Параллельно в ленте Роман Линев заметил, что не против приложений аутентификаторов ровно до тех пор, пока не придется сбросить или поменять телефон. Мол, бэкапы никогда нормально не работают, и приходится искать записанные где-то резервные коды. В связи с этим хочу дать четыре простых и рабочих совета.

☁️ Пользуйтесь аутентификатором с удобным и автоматическим бэкапом

Удобно сохранять секретные ключи в:
• облако аутентификатора или ОС (примеры на картинке: Microsoft Authenticator, Aegis)
• файловую систему (тот же Aegis), откуда можно вручную скопировать бэкап куда угодно

Кстати, этот и следующий советы фигурировали в посте о восстановлении доступа к Госуслугам.

🔁 Сразу проверяйте восстановление из бэкапа на другом устройстве

Например, восстановите резервную копию на другом [старом] телефоне. Так вы не только убедитесь в работоспособности бэкапа, но и получите резервный аутентификатор.

📱💻 Используйте аутентификаторы на разных платформах

Например, на телефоне и ПК. Во многих сервисах можно добавить несколько аутентификаторов. Если такой опции не предлагается, как в случае с теми же Госуслугами, можно попробовать отключить 2FA и включить снова. У TOTP наряду с QR-кодом предоставляется текстовый код, см. картинку↓

Тогда можно смартфоном сканировать QR-код, а текстовый код копировать и вставлять в другой аутентификатор 👈 Либо вставлять текстовый код в разные приложения. Тем самым получится два различных аутентификатора для одного сервиса.

🔒 Храните резервные коды в менеджере паролей

Например, в KeePass. Но только не вместе с паролями к сервисам, а в отдельной базе под другим мастер-паролем. Наверное, это менее безопасно, чем код на бумажке в банковской ячейке. Но мы тут решаем проблему "не помню, где записан".

///
Как обычно, I practice what I preach. У меня
• Microsoft Authenticator на двух смартфонах
• На второй телефон набор сервисов доставлен именно восстановлением из облачного бэкапа.
• Отдельные сервисы дополнительно продублированы в аутентификаторе на ПК.
• База резервных кодов синхронизируется между несколькими устройствами.
✌️

🔢 KeePass в качестве генератора одноразовых кодов (OTP)

Аутентификатор на смартфоне ценен тем, что всегда с собой. Но одноразовые коды можно генерировать и в десктопных приложениях. Это удобно, поскольку OTP легко скопировать и вставить. Например, в магазине Windows есть нарядное приложение Protec. А в бизнес-среде KeePass вполне может оказаться единственным универсальным генератором OTP, уже одобренным для использования на компьютерах организации.

👉 В KeePass нативная возможность хранить ключи HOTP/TOTP и генерировать одноразовые коды появилась в версии 2.51. Приложение KeePass2Android поддерживает обе эти функции. Таким образом, KeePass можно использовать в качестве полноценного аутентификатора (в том числе, резервного). Бэкап базы на любые носители не составляет труда, а KeePass2Android доставляет OTP на смартфон.

📃 Инструкции для KeePass с картинками. В конце страницы вы найдете пошаговые руководства по добавлению аккаунтов Google и Microsoft.

Однако учтите, что хранение секретных ключей вместе с паролями - не самая лучшая идея. Их следует держать как минимум в другой базе KeePass с отличающимся мастер-паролем. Да, это неудобно, но безопаснее 🔒

Если вы уже настроили #2FA, а сервис не предусматривает добавления еще одного аутентификатора, есть обходной путь. Читайте об использовании аутентификаторов на разных платформах 📱💻 в моей недавней подборке полезных советов по резервному копированию секретных ключей 2FA ✌️