Двухфакторная аутентификация помогает защитить аккаунт от взлома: даже в случае успешного подбора пароля взломщику не удастся войти без кода из СМС. Но и это не 100 % защиты, ведь СМС-код мошенник может добыть у человека обманом. Эксперты по кибербезопасности предлагают вместо СМС-кодов использовать приложение-аутентификатор. Расскажем, что это за приложения, как работают и в чем их преимущества.
Во многих приложениях и интернет-сервисах сегодня можно настроить двухфакторную аутентификацию — подтверждение входа в аккаунт кодом, который приходит в СМС. Так, на портале «Госуслуги» двухфакторная аутентификация стала обязательной для новых пользователей с октября 2023 года. Появление второго фактора защиты осложнило мошенникам кражу аккаунтов, но они тут же придумали, как заставить людей добровольно сообщить им код из СМС, — с помощью социальной инженерии. Люди попадались на «продление договора с сотовым оператором», «обновление данных» и даже на историю «вам рассчитан налоговый вычет» и сами передавали жуликам код, а потом оказывались перед фактом: аккаунт на «Госуслугах» украден.
Однако СМС-коды — это не единственный способ двухфакторной аутентификации (в том числе и на «Госуслугах»). Более надежной альтернативой специалисты по кибербезопасности считают использование приложений-аутентификаторов. Такое приложение генерирует одноразовый код, который нужно ввести на сайте для подтверждения входа. Как это работает и чем отличается от авторизации с помощью СМС-кода? Разберемся и протестируем.
Механизм работы приложений-аутентификаторов
Пользователь устанавливает приложение-аутентификатор, регистрируется в нем и добавляет нужные ему ресурсы — те сайты, на которых он хочет авторизовываться с помощью одноразовых кодов из приложения. «Стыковка» приложения с сайтом обычно происходит через QR-код: надо открыть приложение-аутентификатор и отсканировать из него QR на сайте. Через QR-код сайт передает приложению секретный ключ и стандарты генерации кодов. Теперь они могут работать в паре. При авторизации происходит следующее: после ввода пользователем логина и пароля от аккаунта сайт генерирует одноразовый код и просит пользователя ввести код, сгенерированный в приложении-аутентификаторе. Сайт сравнивает введенный код со своим: если совпадает, происходит успешная авторизация, если нет — не пускает в аккаунт. Срок жизни кода — 30 секунд.
Почему приложение-аутентификатор надежнее СМС-кодов
Подтверждение СМС-кодом привязано к сотовому номеру, то есть к сим-карте. Если она окажется у мошенника (украдет смартфон или клонирует сим-карту), в его распоряжении окажутся и коды. С одноразовыми кодами все сложнее, так как нужен физический доступ в приложение на смартфоне владельца аккаунта.
Еще одна уязвимость СМС-кодов — возможность их перехвата мошенниками. Перехват одноразовых кодов маловероятен из-за короткого срока их действия. Перехватить информацию, чтобы клонировать сам идентификатор, невозможно: передача данных между сайтом и приложением происходит только один раз — во время сканирования QR-кода.
Как использовать приложение-аутентификатор
Выбор приложения-аутентификатора зависит от операционной системы смартфона. Нам важно было подобрать приложение от известного разработчика, которое подходит и для Android, и для iOS. Второй критерий отбора — возможность создания облачной копии, третий — бесплатность. Итак, с учетом наших критериев мы выбрали два приложения — «Яндекс Ключ — ваши пароли» и Microsoft Authenticator. На их примере и расскажем, как все работает. С «Я.Ключом» настроим вход по одноразовым кодам на «Госуслугах», а с Microsoft Authenticator будем авторизовываться во «ВКонтакте».
«Яндекс Ключ — ваши пароли»
1. Скачиваем приложение из официального магазина и устанавливаем на смартфон.
2. Выбираем, как будем входить в приложение — по биометрии (отпечаток пальца или распознавание лица) или по мастер-паролю.
3. Добавляем аккаунты. После нажатия на «Добавить аккаунт» приложение показывает нам иконки с логотипами тех сервисов, с которыми оно может работать, в том числе и нужные нам «Госуслуги».
4. Заходим в свой профиль на сайте «Госуслуги» и настраиваем вход по одноразовому паролю.
В профиле выбираем Безопасность → Вход в систему → Вход с подтверждением → Одноразовый код (TOTP).
Приложение мы уже установили, поэтому кликаем «Продолжить». Подтверждаем кодом из СМС смену способа аутентификации. И следуем подсказкам портала — возвращаемся в приложение и сканируем QR/вводим ключ.
После сканирования QR-кода «Я.Ключ» сгенерировал одноразовый код, действующий 30 секунд. Оперативно вводим его на сайте — аутентификация через приложение успешно подключена. В приложении появилась плашка с названием «Госуслуги».
Обратите внимание на предупреждение: если что-то случится со смартфоном, пользователь не сможет зайти в приложение-аутентификатор, а значит, и на «Госуслуги». Поэтому обязательно нужно создать резервную копию и сохранить ее. «Я.Ключ» предлагает сохранение в облако. Для этого понадобится Яндекс ID, то есть у пользователя должен быть аккаунт на «Яндексе».
Доступ к резервной копии — по номеру телефона и паролю. Копия (бэкап) хранится на сервере «Яндекса» в зашифрованном виде в течение года, затем автоматически удаляется. При добавлении в приложение нового аккаунта нужно обновлять бэкап. (5.jpg)
Microsoft Authenticator
Схема настройки аналогична той, что в «Я.Ключе». Напомним, что приложение от Microsoft мы будем тестировать на «ВКонтакте».
1. Заходим в свой аккаунт в «ВК» и сначала настраиваем вход по одноразовым кодам из приложения.
Открываем настройки, кликнув по кнопке справа от аватарки профиля, выбираем Настройки → Безопасность → Двухфакторная аутентификация → Приложение для генерации кодов → Подключить.
Будет предупреждение, что на других устройствах (кроме того, на котором происходит настройка) из аккаунта нас «выбросит». Для подтверждения настройки сайт попросит ввести пароль от аккаунта, а после него — код из СМС.
Когда все подтвердим, увидим инструкцию:
2. Устанавливаем Microsoft Authenticator.
Если смартфон на iOS, можно нажать «Пропустить», если на Android, то нужно войти с учетной записью Microsoft, чтобы была возможность создать резервную копию в облаке.
3. Добавляем учетную запись и выбираем первый пункт — «Личная учетная запись».
Затем выбираем «Сканировать QR-код», возвращаемся на страницу «ВК» и сканируем. В приложении генерируется код, который остается ввести на сайте. Срок действия кода — 30 секунд.
Приложение успешно подключено. Для теста выйдем из аккаунта и снова зайдем, используя новый способ, — все отлично сработало.
Итак, настроить вход с помощью приложения-аутентификатора несложно. Главное — не забыть пароль для входа в само приложение (если выбран вход по паролю, а не по биометрии) и обязательно подключить опцию создания облачных бэкапов.