🔐 О беспарольной учетной записи Microsoft (MSA)
Теперь в MSA можно удалить пароль. Формулировка важна, потому что беспарольную MSA давно можно создать. Пусть не в Windows, но хотя бы в iOS и Android. Microsoft давно и последовательно движется к тотальной беспарольной аутентификации и потребителей не оставляет на обочине. Зачет!
ℹ️ Помимо анонса в корпоративном блоге компания выпустила KB5000104 с ответами на вопросы. Впрочем, там не упоминается, что помимо аутентификатора в настройках безопасности MSA должно быть еще как минимум два варианта доставки второго фактора. Например, я намеренно удаляю номер телефона, чтобы исключить перевыпуск SIM. Поэтому мне потребуется задать две разных почты.
Удаление пароля не всем подходит:
🔹 В чате
🔹 Возникает и проблема доступа к ПК в пределах локальной сети, в т.ч. расшаривания папок. Домашней группы в Windows больше нет, но это не значит, что дома исчезла необходимость в общем доступе к файлам.
Также в чате
Выбор же оптимального способа зависит от вероятности угроз:
🔑 Допустим, ревнивая жена хочет читать почту супруга на
🎣 Если же защищаться от целевой фишинговой атаки, например, с целью сбора компромата или сведений для дальнейших взломов, беспарольный вход хорош. Потому что вы нигде ничего не вводите. Иначе, не распознав подвох, можно отдать злоумышленнику пароль и вслед одноразовый код, фреймворки есть.
Кстати, в канале был отличный пост про уязвимости процессов аутентификации.
👉 Резюме
Беспарольный вход в MSA я использую по возможности и вам рекомендую - это удобно и безопасно. Но удалять пароль я не буду, потому что у меня есть сценарии его использования.
📊 Пользуетесь ли вы беспарольным входом в MSA?
👍 - Да
🔢 - Нет, ввожу пароль, потом второй фактор
🦌 - Нет, у меня не включена 2FA
❌ - Не пользуюсь MSA / Моего варианта нет
Теперь в MSA можно удалить пароль. Формулировка важна, потому что беспарольную MSA давно можно создать. Пусть не в Windows, но хотя бы в iOS и Android. Microsoft давно и последовательно движется к тотальной беспарольной аутентификации и потребителей не оставляет на обочине. Зачет!
ℹ️ Помимо анонса в корпоративном блоге компания выпустила KB5000104 с ответами на вопросы. Впрочем, там не упоминается, что помимо аутентификатора в настройках безопасности MSA должно быть еще как минимум два варианта доставки второго фактора. Например, я намеренно удаляю номер телефона, чтобы исключить перевыпуск SIM. Поэтому мне потребуется задать две разных почты.
Удаление пароля не всем подходит:
🔹 В чате
Alexander O сразу подметил, что без пароля не подключиться по RDP к домашнему ПК. Понятно, что кейс не самый распространенный, но для Microsoft проблемы нет вообще. Потому что MSA для потребителей, которым положено домашнее издание, где нет RDP :) 🔹 Возникает и проблема доступа к ПК в пределах локальной сети, в т.ч. расшаривания папок. Домашней группы в Windows больше нет, но это не значит, что дома исчезла необходимость в общем доступе к файлам.
Также в чате
dartraiden усомнился в двухфакторности беспарольного входа и поинтересовался, не безопаснее ли использовать пароль + код из приложения. Это действительно #2FA, но аутентификация полностью смещается на смартфон. Выбор же оптимального способа зависит от вероятности угроз:
🔑 Допустим, ревнивая жена хочет читать почту супруга на
outlook.com и не погнушается приложить его палец к сканеру отпечатков пока тот спит. Мужу лучше не пользоваться беспарольным входом.🎣 Если же защищаться от целевой фишинговой атаки, например, с целью сбора компромата или сведений для дальнейших взломов, беспарольный вход хорош. Потому что вы нигде ничего не вводите. Иначе, не распознав подвох, можно отдать злоумышленнику пароль и вслед одноразовый код, фреймворки есть.
Кстати, в канале был отличный пост про уязвимости процессов аутентификации.
👉 Резюме
Беспарольный вход в MSA я использую по возможности и вам рекомендую - это удобно и безопасно. Но удалять пароль я не буду, потому что у меня есть сценарии его использования.
📊 Пользуетесь ли вы беспарольным входом в MSA?
👍 - Да
🔢 - Нет, ввожу пароль, потом второй фактор
🦌 - Нет, у меня не включена 2FA
❌ - Не пользуюсь MSA / Моего варианта нет
😎 Нюансы беспарольного входа в организации
Пятничная тру стори в продолжение вчерашнего поста про беспарольную MSA. У меня есть клиент с Microsoft 365. Соответственно, там Azure AD, учетная запись организации, #2FA, Microsoft Authenticator - стандартный набор.
В приложении Authenticator есть опция включения беспарольного входа. Один сотрудник решил ее активировать и... у его учетной записи #AAD заблокировался доступ ко всем ресурсам организации 🤦♂️ Соответственно, работать он уже не мог.
Дальше чат поддержки, индусы, стандартные скрипты несколько дней - все как мы любим :) В итоге объяснение выдали такое, что у этой фичи контроль по географическому местоположению. Компания иностранная, а сотрудник был из России.
Видимо, при заявке на регистрацию устройства для беспарольного входа передается IP-адрес, а на "русских хакеров" стоят флаги, поэтому учетная запись блокируется автоматически. В итоге доступ вернули, но сказали пользоваться парольным входом ✌️
Пятничная тру стори в продолжение вчерашнего поста про беспарольную MSA. У меня есть клиент с Microsoft 365. Соответственно, там Azure AD, учетная запись организации, #2FA, Microsoft Authenticator - стандартный набор.
В приложении Authenticator есть опция включения беспарольного входа. Один сотрудник решил ее активировать и... у его учетной записи #AAD заблокировался доступ ко всем ресурсам организации 🤦♂️ Соответственно, работать он уже не мог.
Дальше чат поддержки, индусы, стандартные скрипты несколько дней - все как мы любим :) В итоге объяснение выдали такое, что у этой фичи контроль по географическому местоположению. Компания иностранная, а сотрудник был из России.
Видимо, при заявке на регистрацию устройства для беспарольного входа передается IP-адрес, а на "русских хакеров" стоят флаги, поэтому учетная запись блокируется автоматически. В итоге доступ вернули, но сказали пользоваться парольным входом ✌️
🔒 Двухфакторная аутентификация в Госуслугах (ГУ)
Случайно узнал, что в ГУ появилась возможность перейти от двухэтапной аутентификации через СМС к двухфакторной с одноразовыми кодами из аутентификатора. Про разницу есть #классика блога.
Учитывая широкие возможности ГУ, захват аккаунта злоумышленником может иметь печальные последствия. Использование одноразовых кодов страхует от взлома аккаунта путем перевыпуска SIM-карты.
👉 #2FA настраивается в Профиль - Безопасность - Вход в систему - Вход с подтверждением.
В мобильном приложении [для Android] пока переключиться нельзя. Однако в нем можно быстро перейти на портал из раздела Безопасность - Мобильные приложения (картинка) и все настроить.
Прямая ссылка на страницу управления настройками - https://lk.gosuslugi.ru/settings/safety/login, и ее лучше открывать на смартфоне. На десктопе в популярных браузерах будет ошибка получения кода и придется возиться с отключением CORS ✌️
Случайно узнал, что в ГУ появилась возможность перейти от двухэтапной аутентификации через СМС к двухфакторной с одноразовыми кодами из аутентификатора. Про разницу есть #классика блога.
Учитывая широкие возможности ГУ, захват аккаунта злоумышленником может иметь печальные последствия. Использование одноразовых кодов страхует от взлома аккаунта путем перевыпуска SIM-карты.
👉 #2FA настраивается в Профиль - Безопасность - Вход в систему - Вход с подтверждением.
В мобильном приложении [для Android] пока переключиться нельзя. Однако в нем можно быстро перейти на портал из раздела Безопасность - Мобильные приложения (картинка) и все настроить.
Прямая ссылка на страницу управления настройками - https://lk.gosuslugi.ru/settings/safety/login, и ее лучше открывать на смартфоне. На десктопе в популярных браузерах будет ошибка получения кода и придется возиться с отключением CORS ✌️
🔒 Об отсутствии кодов восстановления в двухфакторной аутентификации Госуслуг (ГУ)
Читатель
ℹ️ На реализацию #2FA различными компаниями полезно смотреть через призму документа NIST 800-63B. Конечно, американский институт стандартов не указ российским Госуслугам. Однако публикации NIST не просто определяют стандарты для госсектора США, но и в немалой степени задают вектор развития мировой индустрии. Наряду с высотой потолка эти рекомендации обозначают и высоту пола, под которым уже начинает просматриваться дно.
👉 В разделе 6.1.2.1 говорится, что поставщик услуги должен рекомендовать клиентам использование двух аутентификаторов на каждый фактор. Например, если применяется устройство для генерации одноразовых кодов (OTP), можно выпускать коды восстановления (look-up secrets в терминологии документа). И соответственно такая возможность должна быть реализована в сервисе.
В документе также есть раздел 6.2, посвященный потере, краже или повреждению аутентификатора. Поставщик услуги должен обеспечить способ информирования о потере, причем в этом случае для верификации должно хватать одного фактора - например, пароля. Однако в качестве альтернативы может использоваться специальный защищенный канал для проверки с помощью ранее собранных сведений о клиенте.
NIST не обозначает природу такого канала. Наверное, подразумевается дистанционный способ. Но в случае с ГУ таковым вполне может являться визит в МФЦ с паспортом 😎
Читатель
Yves Genie первым делом обратил внимание, что в ГУ при переключении на 2FA с одноразовыми кодами не предусмотрено создание резервных кодов. Они невероятно ценны в случае повреждения или утери аутентификатора. #Классика блога освещала этот вопрос.ℹ️ На реализацию #2FA различными компаниями полезно смотреть через призму документа NIST 800-63B. Конечно, американский институт стандартов не указ российским Госуслугам. Однако публикации NIST не просто определяют стандарты для госсектора США, но и в немалой степени задают вектор развития мировой индустрии. Наряду с высотой потолка эти рекомендации обозначают и высоту пола, под которым уже начинает просматриваться дно.
👉 В разделе 6.1.2.1 говорится, что поставщик услуги должен рекомендовать клиентам использование двух аутентификаторов на каждый фактор. Например, если применяется устройство для генерации одноразовых кодов (OTP), можно выпускать коды восстановления (look-up secrets в терминологии документа). И соответственно такая возможность должна быть реализована в сервисе.
В документе также есть раздел 6.2, посвященный потере, краже или повреждению аутентификатора. Поставщик услуги должен обеспечить способ информирования о потере, причем в этом случае для верификации должно хватать одного фактора - например, пароля. Однако в качестве альтернативы может использоваться специальный защищенный канал для проверки с помощью ранее собранных сведений о клиенте.
NIST не обозначает природу такого канала. Наверное, подразумевается дистанционный способ. Но в случае с ГУ таковым вполне может являться визит в МФЦ с паспортом 😎
🔒 О двух факторах аутентификации на одном устройстве
Недавно я рассматривал реализацию #2FA в Госуслугах через призму рекомендаций NIST. И вспомнил, как когда-то в блоге провел границу между двухэтапной и двухфакторной аутентификацией по признаку владения (SMS vs. OTP). Чуть позже выяснилось, что NIST хотел радикально выпилить SMS из факторов, но под давлением индустрии смягчил формулировки. Это была та самая специальная публикация 800-63B!
🤔 Перечитывая документ, я подумал, что неплохо бы оценить по нему и беспарольный вход в учетную запись Microsoft (MSA). Разбирая это решение в блоге 5 лет назад, я писал:
Как ни странно, это – двухфакторная аутентификация! Первый фактор – подтверждение уведомления на смартфоне, которым вы владеете. Второй фактор – знание ПИН-кода или биологическая особенность (отпечаток пальца, лицо). Процесс аутентификации фактически смещен с устройства, на котором осуществляется вход, на смартфон, где вы подтверждаете владение учетной записью.
ℹ️ А что считает NIST? В разделе 4.2.2 прямым текстом говорится (в моем вольном переводе):
В случае использования смартфона в качестве аутентификатора, разблокировка устройства (обычно с помощью ПИН-кода или биометрии) не должна считаться одним из факторов аутентификации. В общем случае верификатор не может знать, было ли устройство заблокировано изначально или разблокировка выполнялась с соблюдением требований для соответствующего типа аутентификатора.
Действительно, смартфон можно разблокировать не только ПИН-кодом и биометрией, но и устройством Bluetooth, например! Даже если считать такое устройство фактором владения, его нельзя задействовать в качестве второго фактора ❌ Ведь он должен отличаться от первого, а там тоже владение - смартфоном.
Однако нужно учитывать, что решение Microsoft призвано воспрепятствовать перехвату паролей пользователей, причем неопытных в основной массе. Очевидно, компания оценивает этот риск куда выше, чем опасности текущей реализации. Также не забывайте, что такие решения в первую очередь разрабатываются для бизнеса. Потребителям же достаются остатки с барского стола, где потчуют аппаратными ключами, например.
В общем, беспарольный вход в MSA в очередной раз подтверждает тезис, что безопасность - это всегда компромисс между степенью защиты и ее удобством, особенно в условиях огромной пользовательской базы ✌️
Недавно я рассматривал реализацию #2FA в Госуслугах через призму рекомендаций NIST. И вспомнил, как когда-то в блоге провел границу между двухэтапной и двухфакторной аутентификацией по признаку владения (SMS vs. OTP). Чуть позже выяснилось, что NIST хотел радикально выпилить SMS из факторов, но под давлением индустрии смягчил формулировки. Это была та самая специальная публикация 800-63B!
🤔 Перечитывая документ, я подумал, что неплохо бы оценить по нему и беспарольный вход в учетную запись Microsoft (MSA). Разбирая это решение в блоге 5 лет назад, я писал:
Как ни странно, это – двухфакторная аутентификация! Первый фактор – подтверждение уведомления на смартфоне, которым вы владеете. Второй фактор – знание ПИН-кода или биологическая особенность (отпечаток пальца, лицо). Процесс аутентификации фактически смещен с устройства, на котором осуществляется вход, на смартфон, где вы подтверждаете владение учетной записью.
ℹ️ А что считает NIST? В разделе 4.2.2 прямым текстом говорится (в моем вольном переводе):
В случае использования смартфона в качестве аутентификатора, разблокировка устройства (обычно с помощью ПИН-кода или биометрии) не должна считаться одним из факторов аутентификации. В общем случае верификатор не может знать, было ли устройство заблокировано изначально или разблокировка выполнялась с соблюдением требований для соответствующего типа аутентификатора.
Действительно, смартфон можно разблокировать не только ПИН-кодом и биометрией, но и устройством Bluetooth, например! Даже если считать такое устройство фактором владения, его нельзя задействовать в качестве второго фактора ❌ Ведь он должен отличаться от первого, а там тоже владение - смартфоном.
Однако нужно учитывать, что решение Microsoft призвано воспрепятствовать перехвату паролей пользователей, причем неопытных в основной массе. Очевидно, компания оценивает этот риск куда выше, чем опасности текущей реализации. Также не забывайте, что такие решения в первую очередь разрабатываются для бизнеса. Потребителям же достаются остатки с барского стола, где потчуют аппаратными ключами, например.
В общем, беспарольный вход в MSA в очередной раз подтверждает тезис, что безопасность - это всегда компромисс между степенью защиты и ее удобством, особенно в условиях огромной пользовательской базы ✌️
🔒 О восстановлении доступа к Госуслугам (ГУ) после утери аутентификатора
Это третий эпизод сериала про двухфакторную аутентификацию в ГУ. В предыдущих сериях:
1. Включение 2FA
2. Про отсутствие кодов восстановления
В конце второго эпизода я заметил, что при утере или краже смартфона для восстановления может понадобиться визит с паспортом в МФЦ! Я был недалек от истины. В зависимости от региона, придется идти в МФЦ, пенсионный фонд или банк! 👈
Читатель
🚶♂️ Как восстановить доступ
Подробный и эмоциональный рассказ читателя от первого лица я закинул в телеграф. Здесь же моя выжимка ключевых моментов.
🔹 Обращение в техподдержку ГУ - пустая трата времени. На сегодня они вообще не знают, что такое 2FA. В любом случае потолок их возможностей - сброс пароля. Однако даже с новым паролем понадобится все тот же второй фактор.
🔹 Проблему решает только восстановление доступа. Смотрите точки с этой услугой на карте ГУ (может понадобиться разрешить доступ к местоположению). Услугу предоставляют даже некоторые банки, но читатель предпочел государственный пенсионный фонд.
🔹 Оказывающие услугу лица могут не знать точный порядок действий (трудно сказать, конкретно в такой ситуации или вообще при восстановлении доступа). Так, сотрудница ПФР перепробовала три способа, но ни один не дал немедленного результата. Лишь через полчаса читатель получил SMS с кодом для сброса пароля ГУ. После входа выяснилось, что второй этап аутентификации полностью отключен.
🔁 Как предотвратить потерю доступа
К сожалению, 2FA в ГУ реализована не только без кодов восстановления, но и без возможности добавить еще один аутентификатор 🤦♂️ Поэтому единственная страховка от потери доступа при утрате устройства - это функция бэкапа в аутентификаторе.
👉 Пользуйтесь приложением, которое способно сохранять секретные ключи в:
• облако аутентификатора или ОС (примеры на картинке: Microsoft Authenticator, Aegis)
• файловую систему (тот же Aegis), откуда можно вручную скопировать бэкап куда угодно
✅ Создав резервную копию, протестируйте восстановление из нее на другом устройстве (например, на старом смартфоне). В случае успеха у вас в руках окажется второй аутентификатор, удобное добавление которого не предусмотрели в ГУ.
Эти советы годятся не только для ГУ, которые просто являются экстремальным примером необходимости такого бэкапа.
///
Я скоро вернусь к теме аутентификаторов - на ПК. Не переключайте каналы ✌️
Это третий эпизод сериала про двухфакторную аутентификацию в ГУ. В предыдущих сериях:
1. Включение 2FA
2. Про отсутствие кодов восстановления
В конце второго эпизода я заметил, что при утере или краже смартфона для восстановления может понадобиться визит с паспортом в МФЦ! Я был недалек от истины. В зависимости от региона, придется идти в МФЦ, пенсионный фонд или банк! 👈
Читатель
Xodiak узнал про #2FA в ГУ из моих постов и переключился с SMS на OTP. А спустя какое-то время телефон завис, что вылечилось только... сбросом. Это повлекло потерю доступа к ГУ!🚶♂️ Как восстановить доступ
Подробный и эмоциональный рассказ читателя от первого лица я закинул в телеграф. Здесь же моя выжимка ключевых моментов.
🔹 Обращение в техподдержку ГУ - пустая трата времени. На сегодня они вообще не знают, что такое 2FA. В любом случае потолок их возможностей - сброс пароля. Однако даже с новым паролем понадобится все тот же второй фактор.
🔹 Проблему решает только восстановление доступа. Смотрите точки с этой услугой на карте ГУ (может понадобиться разрешить доступ к местоположению). Услугу предоставляют даже некоторые банки, но читатель предпочел государственный пенсионный фонд.
🔹 Оказывающие услугу лица могут не знать точный порядок действий (трудно сказать, конкретно в такой ситуации или вообще при восстановлении доступа). Так, сотрудница ПФР перепробовала три способа, но ни один не дал немедленного результата. Лишь через полчаса читатель получил SMS с кодом для сброса пароля ГУ. После входа выяснилось, что второй этап аутентификации полностью отключен.
🔁 Как предотвратить потерю доступа
К сожалению, 2FA в ГУ реализована не только без кодов восстановления, но и без возможности добавить еще один аутентификатор 🤦♂️ Поэтому единственная страховка от потери доступа при утрате устройства - это функция бэкапа в аутентификаторе.
👉 Пользуйтесь приложением, которое способно сохранять секретные ключи в:
• облако аутентификатора или ОС (примеры на картинке: Microsoft Authenticator, Aegis)
• файловую систему (тот же Aegis), откуда можно вручную скопировать бэкап куда угодно
✅ Создав резервную копию, протестируйте восстановление из нее на другом устройстве (например, на старом смартфоне). В случае успеха у вас в руках окажется второй аутентификатор, удобное добавление которого не предусмотрели в ГУ.
Эти советы годятся не только для ГУ, которые просто являются экстремальным примером необходимости такого бэкапа.
///
Я скоро вернусь к теме аутентификаторов - на ПК. Не переключайте каналы ✌️
😎 Все что вы хотели знать про коды восстановления для #2FA в Госуслугах, но боялись спросить :)
(прислал
(прислал
Niks)🔑 Советы по резервному копированию секретных ключей двухфакторной аутентификации
Недавно Твиттер объявил о том, что опция SMS в качестве второго этапа аутентификации будет доступна только платным подписчикам. В моей ленте сразу прошел мощный парад ИТ-специалистов, которые:
a) до сих пор не включили доступную более пяти лет #2FA с генерацией одноразовых кодов в приложении
б) включили 2FA, но не отключили 2SV (SMS), т.е. остались на прежнем и более низком уровне защищенности аккаунта
Параллельно в ленте Роман Линев заметил, что не против приложений аутентификаторов ровно до тех пор, пока не придется сбросить или поменять телефон. Мол, бэкапы никогда нормально не работают, и приходится искать записанные где-то резервные коды. В связи с этим хочу дать четыре простых и рабочих совета.
☁️ Пользуйтесь аутентификатором с удобным и автоматическим бэкапом
Удобно сохранять секретные ключи в:
• облако аутентификатора или ОС (примеры на картинке: Microsoft Authenticator, Aegis)
• файловую систему (тот же Aegis), откуда можно вручную скопировать бэкап куда угодно
Кстати, этот и следующий советы фигурировали в посте о восстановлении доступа к Госуслугам.
🔁 Сразу проверяйте восстановление из бэкапа на другом устройстве
Например, восстановите резервную копию на другом [старом] телефоне. Так вы не только убедитесь в работоспособности бэкапа, но и получите резервный аутентификатор.
📱💻 Используйте аутентификаторы на разных платформах
Например, на телефоне и ПК. Во многих сервисах можно добавить несколько аутентификаторов. Если такой опции не предлагается, как в случае с теми же Госуслугами, можно попробовать отключить 2FA и включить снова. У TOTP наряду с QR-кодом предоставляется текстовый код, см. картинку↓
Тогда можно смартфоном сканировать QR-код, а текстовый код копировать и вставлять в другой аутентификатор 👈 Либо вставлять текстовый код в разные приложения. Тем самым получится два различных аутентификатора для одного сервиса.
🔒 Храните резервные коды в менеджере паролей
Например, в KeePass. Но только не вместе с паролями к сервисам, а в отдельной базе под другим мастер-паролем. Наверное, это менее безопасно, чем код на бумажке в банковской ячейке. Но мы тут решаем проблему "не помню, где записан".
///
Как обычно, I practice what I preach. У меня
• Microsoft Authenticator на двух смартфонах
• На второй телефон набор сервисов доставлен именно восстановлением из облачного бэкапа.
• Отдельные сервисы дополнительно продублированы в аутентификаторе на ПК.
• База резервных кодов синхронизируется между несколькими устройствами.
✌️
Недавно Твиттер объявил о том, что опция SMS в качестве второго этапа аутентификации будет доступна только платным подписчикам. В моей ленте сразу прошел мощный парад ИТ-специалистов, которые:
a) до сих пор не включили доступную более пяти лет #2FA с генерацией одноразовых кодов в приложении
б) включили 2FA, но не отключили 2SV (SMS), т.е. остались на прежнем и более низком уровне защищенности аккаунта
Параллельно в ленте Роман Линев заметил, что не против приложений аутентификаторов ровно до тех пор, пока не придется сбросить или поменять телефон. Мол, бэкапы никогда нормально не работают, и приходится искать записанные где-то резервные коды. В связи с этим хочу дать четыре простых и рабочих совета.
☁️ Пользуйтесь аутентификатором с удобным и автоматическим бэкапом
Удобно сохранять секретные ключи в:
• облако аутентификатора или ОС (примеры на картинке: Microsoft Authenticator, Aegis)
• файловую систему (тот же Aegis), откуда можно вручную скопировать бэкап куда угодно
Кстати, этот и следующий советы фигурировали в посте о восстановлении доступа к Госуслугам.
🔁 Сразу проверяйте восстановление из бэкапа на другом устройстве
Например, восстановите резервную копию на другом [старом] телефоне. Так вы не только убедитесь в работоспособности бэкапа, но и получите резервный аутентификатор.
📱💻 Используйте аутентификаторы на разных платформах
Например, на телефоне и ПК. Во многих сервисах можно добавить несколько аутентификаторов. Если такой опции не предлагается, как в случае с теми же Госуслугами, можно попробовать отключить 2FA и включить снова. У TOTP наряду с QR-кодом предоставляется текстовый код, см. картинку↓
Тогда можно смартфоном сканировать QR-код, а текстовый код копировать и вставлять в другой аутентификатор 👈 Либо вставлять текстовый код в разные приложения. Тем самым получится два различных аутентификатора для одного сервиса.
🔒 Храните резервные коды в менеджере паролей
Например, в KeePass. Но только не вместе с паролями к сервисам, а в отдельной базе под другим мастер-паролем. Наверное, это менее безопасно, чем код на бумажке в банковской ячейке. Но мы тут решаем проблему "не помню, где записан".
///
Как обычно, I practice what I preach. У меня
• Microsoft Authenticator на двух смартфонах
• На второй телефон набор сервисов доставлен именно восстановлением из облачного бэкапа.
• Отдельные сервисы дополнительно продублированы в аутентификаторе на ПК.
• База резервных кодов синхронизируется между несколькими устройствами.
✌️
🔢 KeePass в качестве генератора одноразовых кодов (OTP)
Аутентификатор на смартфоне ценен тем, что всегда с собой. Но одноразовые коды можно генерировать и в десктопных приложениях. Это удобно, поскольку OTP легко скопировать и вставить. Например, в магазине Windows есть нарядное приложение Protec. А в бизнес-среде KeePass вполне может оказаться единственным универсальным генератором OTP, уже одобренным для использования на компьютерах организации.
👉 В KeePass нативная возможность хранить ключи HOTP/TOTP и генерировать одноразовые коды появилась в версии 2.51. Приложение KeePass2Android поддерживает обе эти функции. Таким образом, KeePass можно использовать в качестве полноценного аутентификатора (в том числе, резервного). Бэкап базы на любые носители не составляет труда, а KeePass2Android доставляет OTP на смартфон.
📃 Инструкции для KeePass с картинками. В конце страницы вы найдете пошаговые руководства по добавлению аккаунтов Google и Microsoft.
Однако учтите, что хранение секретных ключей вместе с паролями - не самая лучшая идея. Их следует держать как минимум в другой базе KeePass с отличающимся мастер-паролем. Да, это неудобно, но безопаснее 🔒
Если вы уже настроили #2FA, а сервис не предусматривает добавления еще одного аутентификатора, есть обходной путь. Читайте об использовании аутентификаторов на разных платформах 📱💻 в моей недавней подборке полезных советов по резервному копированию секретных ключей 2FA ✌️
Аутентификатор на смартфоне ценен тем, что всегда с собой. Но одноразовые коды можно генерировать и в десктопных приложениях. Это удобно, поскольку OTP легко скопировать и вставить. Например, в магазине Windows есть нарядное приложение Protec. А в бизнес-среде KeePass вполне может оказаться единственным универсальным генератором OTP, уже одобренным для использования на компьютерах организации.
👉 В KeePass нативная возможность хранить ключи HOTP/TOTP и генерировать одноразовые коды появилась в версии 2.51. Приложение KeePass2Android поддерживает обе эти функции. Таким образом, KeePass можно использовать в качестве полноценного аутентификатора (в том числе, резервного). Бэкап базы на любые носители не составляет труда, а KeePass2Android доставляет OTP на смартфон.
📃 Инструкции для KeePass с картинками. В конце страницы вы найдете пошаговые руководства по добавлению аккаунтов Google и Microsoft.
Однако учтите, что хранение секретных ключей вместе с паролями - не самая лучшая идея. Их следует держать как минимум в другой базе KeePass с отличающимся мастер-паролем. Да, это неудобно, но безопаснее 🔒
Если вы уже настроили #2FA, а сервис не предусматривает добавления еще одного аутентификатора, есть обходной путь. Читайте об использовании аутентификаторов на разных платформах 📱💻 в моей недавней подборке полезных советов по резервному копированию секретных ключей 2FA ✌️
🔐 О способах регистрации и аутентификации на сайтах
Недавно мне пришлось регистрироваться на сайте поставщика услуг. Меня приятно удивил ассортимент вариантов создания учетной записи: телефон + пароль, почта + пароль, а также с помощью аккаунтов Госуслуг, ВК и Google. Я даже задумался на миг.
👉 В общем случае я предпочитаю наиболее защищённые аккаунты, вход с которыми требует минимум телодвижений на любых устройствах.
• Наиболее защищённый аккаунт должен иметь двухфакторную аутентификацию. Не факт что поставщик услуг мне её предложит. В лучшем случае будет двухэтапная по SMS (так и оказалось).
• Желательно вообще не передавать пароль, тем самым исключая перехват или небезопасное хранение учетных данных владельцем ресурса. Это варианты с OAuth, а телефон/почта + пароль отпадают.
• Минимум телодвижений - это опять же беспарольный вход. Однако я не сохраняю пароли в браузере, а выуживать их из KeePass на мобильном устройстве не слишком удобно. Отпадают Госуслуги и ВК.
Google тоже не предоставляет на смартфоне возможности аутентификации в браузере без пароля. (На ПК это доступно с ключом доступа, относительной новой беспарольной фиче аккаунтов Google). Однако я уже залогинен в браузере на телефоне. Поэтому вход не потребует дополнительной аутентификации.
В итоге я ткнул в аккаунт Google и успешно создал учетную запись у поставщика услуг 👌
А потом я обнаружил у них мобильное приложение. Но не смог войти посредством OAuth, потому что разработчики не предусмотрели вход с #2FA 😎
Недавно мне пришлось регистрироваться на сайте поставщика услуг. Меня приятно удивил ассортимент вариантов создания учетной записи: телефон + пароль, почта + пароль, а также с помощью аккаунтов Госуслуг, ВК и Google. Я даже задумался на миг.
👉 В общем случае я предпочитаю наиболее защищённые аккаунты, вход с которыми требует минимум телодвижений на любых устройствах.
• Наиболее защищённый аккаунт должен иметь двухфакторную аутентификацию. Не факт что поставщик услуг мне её предложит. В лучшем случае будет двухэтапная по SMS (так и оказалось).
• Желательно вообще не передавать пароль, тем самым исключая перехват или небезопасное хранение учетных данных владельцем ресурса. Это варианты с OAuth, а телефон/почта + пароль отпадают.
• Минимум телодвижений - это опять же беспарольный вход. Однако я не сохраняю пароли в браузере, а выуживать их из KeePass на мобильном устройстве не слишком удобно. Отпадают Госуслуги и ВК.
Google тоже не предоставляет на смартфоне возможности аутентификации в браузере без пароля. (На ПК это доступно с ключом доступа, относительной новой беспарольной фиче аккаунтов Google). Однако я уже залогинен в браузере на телефоне. Поэтому вход не потребует дополнительной аутентификации.
В итоге я ткнул в аккаунт Google и успешно создал учетную запись у поставщика услуг 👌
А потом я обнаружил у них мобильное приложение. Но не смог войти посредством OAuth, потому что разработчики не предусмотрели вход с #2FA 😎
www.outsidethebox.ms
Двухфакторная аутентификация без SMS, одноразовых кодов и паролей
С момента публикации первой статьи о 2FA прошло почти два года, и за это время я несколько раз порывался дополнить ее. Однако в итоге изменений набежало на отдельную запись. Этот материал подразумевает, что вы прочли мою статью А вы защищаете свои аккаунты…