Русский

приложение-аутентификатор
2FA
MFA
TOTP
Google Authenticator
Microsoft Authenticator

Что такое приложение-аутентификатор

Узнайте, что такое приложение-аутентификатор и как оно защищает ваши учетные записи. Включает подробное объяснение работы и пошаговое руководство по использованию приложения-аутентификатора.

Yijun

Developer

12/9/2024

Хватит тратить недели на аутентификацию пользователей

Запускайте безопасные приложения быстрее с Logto. Интегрируйте аутентификацию пользователей за считанные минуты и сосредоточьтесь на вашем основном продукте.

Начать

Приложение-аутентификатор — это средство безопасности, которое генерирует временные коды проверки с использованием криптографических алгоритмов (таких, как TOTP или HOTP), чтобы добавить дополнительный уровень защиты ваших учетных записей.

Утечки паролей случаются постоянно, и полагаться только на пароли больше небезопасно. Именно поэтому крупные веб-сайты и приложения теперь предлагают двухфакторную аутентификацию (2FA) или многофакторную аутентификацию (MFA). Приложения-аутентификаторы — это популярный инструмент 2FA, который генерирует динамические проверочные коды для защиты ваших учетных записей вместе с вашими паролями.

Как работает приложение-аутентификатор?

Приложение-аутентификатор работает, делясь уникальным секретным ключом с сервером, где размещена ваша учетная запись. Когда вы впервые настраиваете 2FA, сервис генерирует этот секретный ключ и отображает его в виде QR-кода. После того, как вы сканируете этот код своим приложением-аутентификатором, и ваше приложение, и сервис теперь обладают тем же секретом — и только они его знают.

Используя этот общий секрет вместе с текущим временем, обе стороны могут независимо генерировать один и тот же 6-значный проверочный код с помощью стандартизированных алгоритмов (обычно TOTP — одноразовый пароль на основе времени). Когда вы пытаетесь войти, сервис сравнивает код, введенный вами из вашего приложения-аутентификатора, с кодом, который он сгенерировал — если они совпадают, вам предоставляется доступ.

Процесс настройки прост:

Сервис генерирует уникальный секретный ключ
Вы сканируете QR-код, содержащий этот секрет, своим приложением-аутентификатором
Приложение надежно сохраняет секрет на вашем устройстве
С этого момента обе стороны могут генерировать совпадающие проверочные коды по мере необходимости

Почему приложения-аутентификаторы безопасны?

Приложения-аутентификаторы предлагают впечатляющую безопасность. Согласно исследованиям Google, они блокируют 99,9% автоматизированных атак — это на 50% эффективнее, чем проверка с помощью SMS. Давайте выясним, почему они такие безопасные:

Математическая безопасность

Представьте себе задачу взлома:

Коды SMS: как угадать 6-значное число (1 миллион возможностей)
Ключ аутентификатора: как угадать 80-битное число (больше комбинаций, чем атомов во Вселенной)

Защита на основе времени

Сравнение срока действия кода:

Коды SMS обычно остаются действительными в течение 5-10 минут, создавая значительный риск безопасности
Коды приложения-аутентификатора обновляются каждые 30 секунд, делая их практически невозможными для эксплуатации

Преимущества автономного генерации приложениями-аутентификаторами

Не требуется передача по сети
Нет риска перехвата SMS
Иммунитет к атакам клонирования SIM-карт

Почему хакеры не могут взломать приложения-аутентификаторы?

Думайте об этом как о сейфе с постоянно меняющейся комбинацией:

Изменяется каждые 30 секунд
Требуются и "секретный ключ", и "точное время"
Даже если один код украден, следующий остается защищенным

Что вы знаете (пароль) + Что у вас есть (приложение-аутентификатор) + Математика на основе времени = Почти неуязвимая защита

Как использовать приложение-аутентификатор: пошаговое руководство

Давайте научимся использовать приложение-аутентификатор на практическом примере.

Мы продемонстрируем процесс с использованием сервиса аутентификации Logto.

Шаг 1: Скачайте и настройте свое приложение-аутентификатор из надежных источников

Скачайте надежное приложение-аутентификатор:
- Google Authenticator
- Microsoft Authenticator
Установите приложение на свой телефон
Завершите начальную настройку (создайте аккаунт, если это требуется) в соответствии с инструкциями приложения.

Шаг 2: Включите поддержку приложения-аутентификатора для демонстрационного приложения Logto

Войдите или зарегистрируйтесь в Logto Cloud и создайте своего первого арендатора, следуя руководству по начальной настройке.
Перейдите в Консоль > Многофакторная аутентификация и включите OTP приложения-аутентификатора и факторы аутентификации Резервный код, выберите "Пользователи всегда должны использовать MFA при входе" в качестве политики двухэтапной проверки, затем нажмите Сохранить изменения.

Настройки MFA

Перейдите на страницу Консоль > Опыт входа в систему > Регистрация и вход, выберите Имя пользователя в качестве идентификатора регистрации, и удалите Адрес электронной почты из идентификатора входа, затем нажмите Сохранить изменения.

Настройки опыта входа в систему

Шаг 3: Сканируйте QR-код, чтобы связать приложение-аутентификатор с вашей учетной записью в демонстрационном приложении

Все еще на странице Опыт входа в системе консоли Logto, нажмите кнопку "Предварительный просмотр в реальном времени" в правом верхнем углу раздела Предварительный просмотр входа в систему". Затем вы будете перенаправлены на страницу входа в демонстрационное приложение.
Нажмите кнопку создать учетную запись на странице входа, введите свое имя пользователя и пароль для создания учетной записи, и затем вы увидите экран с QR-кодом.

Откройте свое приложение-аутентификатор и сканируйте QR-код. Затем вы увидите экран с 6-значным кодом.
Введите 6-значный код, чтобы подтвердить привязку, а затем вы будете перенаправлены на страницу с резервными кодами. Обязательно сохраните резервный код в надежном месте.
Нажмите кнопку Продолжить, и вы успешно вошли в демонстрационное приложение.

Шаг 4: Попробуйте войти в демонстрационное приложение с помощью приложения-аутентификатора

Когда вы успешно вошли в демонстрационное приложение, нажмите кнопку Выйти из предварительного просмотра в реальном времени, чтобы выйти из демонстрационного приложения и вернуться на страницу входа в демонстрационное приложение.
Попробуйте войти в демонстрационное приложение, используя свое имя пользователя и пароль, и вы увидите, что вам нужно ввести 6-значный код для входа.
Откройте свое приложение-аутентификатор, введите показанный 6-значный код, связанный с logto.app, и вы успешно вошли в демонстрационное приложение!

Как безопасно использовать приложения-аутентификаторы?

Приложения-аутентификаторы безопасны, но вы должны правильно их использовать, чтобы получить наилучшую защиту:

Скачивайте из надежных источников

Получайте свои приложения-аутентификаторы только из официальных магазинов приложений (Google Play Store, Apple App Store)
Используйте популярные приложения от надежных компаний, таких как Google, Microsoft.
Остерегайтесь поддельных приложений — они могут украсть ваши учетные записи

Держите свои резервные коды в безопасности

Сохраняйте свои резервные коды в безопасном месте офлайн или в менеджере паролей
Не держите резервные коды на том же устройстве что и ваше приложение-аутентификатор
Разумно хранить резервные коды в более чем одном безопасном месте
Периодически проверяйте, что вы все еще можете получить доступ к своим резервным кодам

Будьте осторожны во время настройки

При добавлении учетных записей в ваше приложение-аутентификатор:

Сканируйте QR-коды, когда никто другой не видит
Никогда не делайте скриншоты QR-кодов или секретных ключей
Не делитесь секретными ключами через сообщения или email
Если скопировали секретный ключ, очистите буфер обмена после этого

Другие советы по безопасности

Используйте отпечаток пальца или разблокировку лицом в своем приложении-аутентификаторе, если можете
Регулярно делайте резервное копирование вашего приложения-аутентификатора
Держите свой телефон и приложение-аутентификатор обновленными
Для важных учетных записей вы можете использовать отдельное приложение-аутентификатор

Что если я потеряю свое приложение-аутентификатор?

Не беспокойтесь, если вы потеряете свое приложение-аутентификатор. При настройке 2FA сервисы предоставляют резервные коды — это одноразовые экстренные коды, которые вы должны надежно хранить офлайн или в менеджере паролей.

Популярные приложения-аутентификаторы предлагают функции резервного копирования:

Google Authenticator: Резервное копирование в облако в аккаунт Google
Microsoft Authenticator: Резервное копирование и восстановление в облаке

Если ничего не получается, вы можете связаться со службой поддержки.

Как работает приложение-аутентификатор?#

Почему приложения-аутентификаторы безопасны?#

Математическая безопасность#

Защита на основе времени#

Преимущества автономного генерации приложениями-аутентификаторами#

Почему хакеры не могут взломать приложения-аутентификаторы?#

Как использовать приложение-аутентификатор: пошаговое руководство#

Шаг 1: Скачайте и настройте свое приложение-аутентификатор из надежных источников#

Шаг 2: Включите поддержку приложения-аутентификатора для демонстрационного приложения Logto#

Шаг 3: Сканируйте QR-код, чтобы связать приложение-аутентификатор с вашей учетной записью в демонстрационном приложении#

Шаг 4: Попробуйте войти в демонстрационное приложение с помощью приложения-аутентификатора#

Как безопасно использовать приложения-аутентификаторы?#

Скачивайте из надежных источников#

Держите свои резервные коды в безопасности#

Будьте осторожны во время настройки#

Другие советы по безопасности#

Что если я потеряю свое приложение-аутентификатор?#