Что такое приложение-аутентификатор

Приложение-аутентификатор — это средство безопасности, которое генерирует временные коды проверки с использованием криптографических алгоритмов (таких, как TOTP или HOTP), чтобы добавить дополнительный уровень защиты ваших учетных записей.

Утечки паролей случаются постоянно, и полагаться только на пароли больше небезопасно. Именно поэтому крупные веб-сайты и приложения теперь предлагают двухфакторную аутентификацию (2FA) или многофакторную аутентификацию (MFA). Приложения-аутентификаторы — это популярный инструмент 2FA, который генерирует динамические проверочные коды для защиты ваших учетных записей вместе с вашими паролями.

Как работает приложение-аутентификатор?#

Приложение-аутентификатор работает, делясь уникальным секретным ключом с сервером, где размещена ваша учетная запись. Когда вы впервые настраиваете 2FA, сервис генерирует этот секретный ключ и отображает его в виде QR-кода. После того, как вы сканируете этот код своим приложением-аутентификатором, и ваше приложение, и сервис теперь обладают тем же секретом — и только они его знают.

Используя этот общий секрет вместе с текущим временем, обе стороны могут независимо генерировать один и тот же 6-значный проверочный код с помощью стандартизированных алгоритмов (обычно TOTP — одноразовый пароль на основе времени). Когда вы пытаетесь войти, сервис сравнивает код, введенный вами из вашего приложения-аутентификатора, с кодом, который он сгенерировал — если они совпадают, вам предоставляется доступ.

Процесс настройки прост:

1. Сервис генерирует уникальный секретный ключ
2. Вы сканируете QR-код, содержащий этот секрет, своим приложением-аутентификатором
3. Приложение надежно сохраняет секрет на вашем устройстве
4. С этого момента обе стороны могут генерировать совпадающие проверочные коды по мере необходимости

Почему приложения-аутентификаторы безопасны?#

Приложения-аутентификаторы предлагают впечатляющую безопасность. Согласно исследованиям Google, они блокируют 99,9% автоматизированных атак — это на 50% эффективнее, чем проверка с помощью SMS. Давайте выясним, почему они такие безопасные:

Математическая безопасность#

Представьте себе задачу взлома:

• Коды SMS: как угадать 6-значное число (1 миллион возможностей)
• Ключ аутентификатора: как угадать 80-битное число (больше комбинаций, чем атомов во Вселенной)

Защита на основе времени#

Сравнение срока действия кода:

• Коды SMS обычно остаются действительными в течение 5-10 минут, создавая значительный риск безопасности
• Коды приложения-аутентификатора обновляются каждые 30 секунд, делая их практически невозможными для эксплуатации

Преимущества автономного генерации приложениями-аутентификаторами#

• Не требуется передача по сети
• Нет риска перехвата SMS
• Иммунитет к атакам клонирования SIM-карт

Почему хакеры не могут взломать приложения-аутентификаторы?#

Думайте об этом как о сейфе с постоянно меняющейся комбинацией:

• Изменяется каждые 30 секунд
• Требуются и "секретный ключ", и "точное время"
• Даже если один код украден, следующий остается защищенным

Что вы знаете (пароль) + Что у вас есть (приложение-аутентификатор) + Математика на основе времени = Почти неуязвимая защита

Как использовать приложение-аутентификатор: пошаговое руководство#

Давайте научимся использовать приложение-аутентификатор на практическом примере.

Мы продемонстрируем процесс с использованием сервиса аутентификации Logto.

Шаг 1: Скачайте и настройте свое приложение-аутентификатор из надежных источников#

1. Скачайте надежное приложение-аутентификатор:
   • Google Authenticator
   • Microsoft Authenticator
2. Установите приложение на свой телефон
3. Завершите начальную настройку (создайте аккаунт, если это требуется) в соответствии с инструкциями приложения.

Шаг 2: Включите поддержку приложения-аутентификатора для демонстрационного приложения Logto#

1. Войдите или зарегистрируйтесь в Logto Cloud и создайте своего первого арендатора, следуя руководству по начальной настройке.

2. Перейдите в Консоль > Многофакторная аутентификация и включите OTP приложения-аутентификатора и факторы аутентификации Резервный код, выберите "Пользователи всегда должны использовать MFA при входе" в качестве политики двухэтапной проверки, затем нажмите Сохранить изменения.

3. Перейдите на страницу Консоль > Опыт входа в систему > Регистрация и вход, выберите Имя пользователя в качестве идентификатора регистрации, и удалите Адрес электронной почты из идентификатора входа, затем нажмите Сохранить изменения.

Шаг 3: Сканируйте QR-код, чтобы связать приложение-аутентификатор с вашей учетной записью в демонстрационном приложении#

1. Все еще на странице Опыт входа в системе консоли Logto, нажмите кнопку "Предварительный просмотр в реальном времени" в правом верхнем углу раздела Предварительный просмотр входа в систему". Затем вы будете перенаправлены на страницу входа в демонстрационное приложение.

2. Нажмите кнопку создать учетную запись на странице входа, введите свое имя пользователя и пароль для создания учетной записи, и затем вы увидите экран с QR-кодом.

3. Откройте свое приложение-аутентификатор и сканируйте QR-код. Затем вы увидите экран с 6-значным кодом.

4. Введите 6-значный код, чтобы подтвердить привязку, а затем вы будете перенаправлены на страницу с резервными кодами. Обязательно сохраните резервный код в надежном месте.

5. Нажмите кнопку Продолжить, и вы успешно вошли в демонстрационное приложение.

Шаг 4: Попробуйте войти в демонстрационное приложение с помощью приложения-аутентификатора#

1. Когда вы успешно вошли в демонстрационное приложение, нажмите кнопку Выйти из предварительного просмотра в реальном времени, чтобы выйти из демонстрационного приложения и вернуться на страницу входа в демонстрационное приложение.

2. Попробуйте войти в демонстрационное приложение, используя свое имя пользователя и пароль, и вы увидите, что вам нужно ввести 6-значный код для входа.

3. Откройте свое приложение-аутентификатор, введите показанный 6-значный код, связанный с logto.app, и вы успешно вошли в демонстрационное приложение!

Как безопасно использовать приложения-аутентификаторы?#

Приложения-аутентификаторы безопасны, но вы должны правильно их использовать, чтобы получить наилучшую защиту:

Скачивайте из надежных источников#

• Получайте свои приложения-аутентификаторы только из официальных магазинов приложений (Google Play Store, Apple App Store)
• Используйте популярные приложения от надежных компаний, таких как Google, Microsoft.
• Остерегайтесь поддельных приложений — они могут украсть ваши учетные записи

Держите свои резервные коды в безопасности#

• Сохраняйте свои резервные коды в безопасном месте офлайн или в менеджере паролей
• Не держите резервные коды на том же устройстве что и ваше приложение-аутентификатор
• Разумно хранить резервные коды в более чем одном безопасном месте
• Периодически проверяйте, что вы все еще можете получить доступ к своим резервным кодам

Будьте осторожны во время настройки#

При добавлении учетных записей в ваше приложение-аутентификатор:

• Сканируйте QR-коды, когда никто другой не видит
• Никогда не делайте скриншоты QR-кодов или секретных ключей
• Не делитесь секретными ключами через сообщения или email
• Если скопировали секретный ключ, очистите буфер обмена после этого

Другие советы по безопасности#

• Используйте отпечаток пальца или разблокировку лицом в своем приложении-аутентификаторе, если можете
• Регулярно делайте резервное копирование вашего приложения-аутентификатора
• Держите свой телефон и приложение-аутентификатор обновленными
• Для важных учетных записей вы можете использовать отдельное приложение-аутентификатор

Что если я потеряю свое приложение-аутентификатор?#

Не беспокойтесь, если вы потеряете свое приложение-аутентификатор. При настройке 2FA сервисы предоставляют резервные коды — это одноразовые экстренные коды, которые вы должны надежно хранить офлайн или в менеджере паролей.

Популярные приложения-аутентификаторы предлагают функции резервного копирования:

• Google Authenticator: Резервное копирование в облако в аккаунт Google
• Microsoft Authenticator: Резервное копирование и восстановление в облаке

Если ничего не получается, вы можете связаться со службой поддержки.