На процессах идентификации и аутентификации основано разделение прав доступа, без которого не обходится ни один банковский сервис. Поэтому знание того, как они происходили раньше и происходят теперь, крайне важно
Давайте разберемся
Итак, идентификация — процесс определения, что за человек перед нами. Аутентификация — процесс подтверждения, что этот человек именно тот, за кого себя выдает. Авторизация — процесс принятия решения о том, что этой аутентифицированной персоне разрешается делать. Таким образом, это три разных, последовательных и взаимно не заменяемых понятия.
Идентификацию часто подразумевают в составе аутентификации. Но главное — четко различать аутентификацию и авторизацию. В ходе аутентификации мы удостоверяемся, что человек, который к нам пришел, обладает доказательствами, подтверждающими личность. С учетом степени доверия и политики безопасности систем проводимая проверка подлинности может быть односторонней или взаимной. Обычно она проводится с помощью криптографии.
Для наглядности связь и некоторые особенности этих процедур приведены в таблице ниже.
Таблица. Связь аутентификации и идентификации
Вариант идентификации
Факторы аутентификации
Результат идентификации (идентификатор)
Логин/пароль (I know)
Идентификация по банковской карте
1. Микропроцессорная банковская карта (I have) 2. ПИН-код (I know)
Учетный номер карты (PAN) считывается с банковской карты
Идентификация по банковской карте с биоверификацией
1. Микропроцессорная банковская карта (I have) 2. Биометрический фактор (отпечаток пальца, I am)
Учетный номер карты (PAN) считывается с банковской карты
Идентификация товара по штрих-коду
Учетный номер товара
Идентификация файла по контрольной сумме
Контрольная сумма (I am)
Как видно, выделяются несколько ключевых элементов системы: субъект, который будет проходить процедуру, характеристика субъекта — отличительная черта, и т.д.
I know, I have, I am
Комментируя приведенную таблицу, Ирина Гуськова, начальник отдела сетевых услуг Orange Business Services, выделяет три основных фактора аутентификации.
1. То, что мы знаем (I know), — как правило, это пароль, ключевое слово, PIN-код банковской или SIM-карты. Аутентификацию по этому фактору легко внедрить, но и легко взломать — украденная запись или файл.
2. То, что мы имеем (I have), — это могут быть банковская карта, брелок с генератором паролей, смарт-карта и т.д. Технически более сложный метод, более дорогой в использовании, но и более надежный. В случае утери данного «предмета» мы можем сразу же сообщить в службу безопасности, где незамедлительно позаботятся о том, чтобы наш уникальный предмет мгновенно перестал быть средством аутентификации.
3. То, чем мы являемся (I am), – биометрика. Наши физические особенности: отпечатки пальцев, форма и объем рук, лица, тембр голоса, рисунок сетчатки глаза и т.д. Самый развивающийся на данный момент способ аутентификации, начиная с дактилоскопических сканеров на телефоне и заканчивая спектроанализаторами голоса.
Как правило, первые два фактора сами по себе, так или иначе, могут быть скомпрометированы, а внедрение третьего фактора (I am) — весьма дорогостоящая процедура, которая не всегда уместна: ставить дактилоскоп для покупки пачки сигарет — мера избыточная. Поэтому выбор стратегии аутентификации напрямую зависит от критичности систем и операций, для которых требуется аутентификация.
Для систем, не критичных для бизнеса (справочно-информационные порталы, персонализированные порталы новостных агрегаторов и т.д.), достаточно использовать один фактор, при этом фактора «I know» вполне достаточно, а использование фактора «I have» — дополнительная гарантия безопасности для конечного пользователя.
Для систем, взлом которых может оказать существенное влияние на бизнес компании или его клиента, использования фактора «I know» уже недостаточно, нужен как минимум более стойкий фактор «I have». Но лучше и надежнее — сочетание двух факторов. Двухфакторная аутентификация внедряется сейчас повсеместно — начиная от публичных почтовых сервисов (такую услугу предлагают Google, Yahoo, Yandex и другие) и заканчивая крупными компаниями, организующими доступ удаленных сотрудников в корпоративную сеть.
Наиболее перспективными факторами сейчас считаются биометрическая, многофакторная облачная аутентификация, а также строгая форма аутентификации. Что касается биометрии, «Банковское обозрение» 10 февраля 2017 года проводит конференцию «Удаленная идентификация и биометрия в финансовой отрасли: регулирование, технологии, решения», где будет подробно рассмотрено все, что имеет отношение к биометрии. Сейчас же коротко остановимся на двух оставшихся перспективных направлениях.
Аутентификация в облаке
Если раньше чаще всего требовалось развернуть on-premise-решение, то в настоящий момент набирает популярность AaaS (Authentication as a service) — управляемое решение по обеспечению двухфакторной аутентификации, при котором клиенту не требуется дополнительно разворачивать какую-либо инфраструктуру, а управление решением ложится на плечи провайдера.
Ирина Гуськова приоткрывает суть облачной аутентификации: «Услуга Orange по аутентификации пользователей основана на решении ведущего в этой области производителя. Платформа развернута на территории России в современном дата-центре в Москве, имеет отказоустойчивую архитектуру и соответствует требованиям законодательства по хранению и обработке персональных данных согласно ФЗ-152». Но это, что называется, must be. В чем особенности?
Сервис заключается в организации дополнительного второго фактора аутентификации в виде одноразового пароля для доступа к любым ресурсам как внутри предприятия клиента, так и к облачным сервисам. Данный пароль может быть сформирован как при помощи аппаратного аутентификатора, токена, так и при помощи приложений, установленных на пользовательские устройства. В качестве данных устройств могут выступать персональный компьютер, ноутбук или мобильные устройства. Также существует возможность аутентифицироваться при помощи SMS.
«Поскольку мы предлагаем полностью управляемый сервис, со стороны клиента не требуется никаких капитальных вложений и дополнительных ресурсов по обслуживанию данной платформы. Таким образом, клиент, выбирая данное решение, закрывает задачи создания единой точки аутентификации и повышения надежности идентификации пользователей при работе с корпоративными системами компании клиента», — рассказывает эксперт.
AaaS может уже похвастать и успешными примерами внедрения в глобальных и отечественных компаниях, различных индустриях, включая финансовый и банковский секторы. Как считает большинство экспертов, именно в финансовой вертикали наблюдается все больший спрос на облака подобного рода.
Строгая аутентификация и ЭЦП
Заканчивая разговор об облаках, нельзя не упомянуть взлет технологий UAF для проведения безопасных транзакций и U2F для многофакторной аутентификации, разработанные FIDO Alliance. Последняя в ряде европейских стран уже вошла, что называется, в тренд и претендует на позиции национального стандарта в области аутентификации. Но если решение Orange нацелено на корпоративных пользователей, то FIDO большей частью ориентируется на физических лиц.
Основная задача FIDO Alliance — предоставление онлайн-службам возможности проведения строгой аутентификации для снижения числа проблем, связанных с необходимостью запоминания большого количества учетных данных. В ее составе лидер ы технологического рынка Google и Microsoft, крупные финансовые структуры и платежные системы PayPal, Bank of America, Mastercard и Visa, а также ряд глобальных интернет-магазинов, например AliExpress.
U2F неплохо подходит для платежных систем, но, например, для систем ДБО, где существуют жесткие требования регуляторов, необходимы сертифицированные средства двухфакторной аутентификации пользователя и веб-сервера, формирования и проверки усиленной квалифицированной подписи, а также шифрования трафика. Чаще всего аппаратная реализация ЭЦП происходит при помощи неизвлекаемого ключа «на борту» смарт-карты и USB-токена. При этом должна быть реализована усиленная защита от атак на ЭЦП со стороны вредоносного ПО и удаленных злоумышленников при работе пользователей в недоверенной среде.
Обычно модули строгой аутентификации внедряются в рамках систем идентификации и управления доступом к информационным ресурсам предприятия (IDM). Практически стандартом стало использование SSO (Single Sign-On) — механизма единого входа в систему или в приложение. Применяя эту технологию, пользователи осуществляют вход во все приложения с использованием одного идентификатора, при этом исключается необходимость запоминания множества логинов и паролей, что сокращает время доступа к приложениям.
Из последних внедрений подобного рода можно привести пример Россельхозбанка, в феврале 2016 года завершившего проект по созданию системы учета, управления и аудита средств аутентификации и хранения ключевой информации (токенов) — IDM — на базе решения «Аванпост PKI». В декабре 2016 года банк «Российский капитал» объявил о выборе электронных идентификаторов Рутокен ЭЦП 2.0 от компании «Актив» (сертифицированных ФСБ) для генерации электронной подписи в ходе выполнения корпоративными клиентами платежных операций в системе ДБО. Масса успешных проектов есть в портфеле компании «Аладдин Р.Д.». При этом надо понимать, что банки защищаются при помощи усиленной аутентификации и ЭЦП не только от внешних злоумышленников, но и от внутренних нарушителей (инсайдеров, «суперадминов» и т.д.). Это отдельное огромное поле, которое имеет целый сонм своих специфических особенностей, о котором имеет смысл подробнее поговорить уже после конференции 10 февраля.
Надежная аутентификация клиентов (SCA) для цифровых банков: обзор видов мобильных приложений
Вторая Директива о платежных услугах (PSD2) ввела набор юридических требований для надежной аутентификации клиентов (SCA) для поставщиков платежных сервисов и решений для цифрового банкинга. Конечной целью было защитить клиентов от мошенничества и ввести дополнительный уровень безопасности для онлайн-транзакций. В действительности это означает, что надежная аутентификация клиентов SCA должна всегда, когда клиент подключается к своему интернет-банкингу, перечисляет деньги или делает любые другие действия, которые могут быть предметом мошенничества.
Когда SCA вступает в силу?
Первоначальный срок для внедрения SCA в Европейской экономической зоне (EEA) был сентябрь 2019 года. Тем не менее, незадолго до срока регулятор Великобритании (FCA) объявил, что введение SCA откладывается и будет осуществляться поэтапно. Срок реализации для внедрения решения отложился на 18 месяцев и должен был закончиться в марте 2021 года. Дополнительно, принимая во внимание ситуацию из-за Covid-19, регулятор дал отсрочку еще на шесть месяцев, назначив новый срок — 14 сентября 2021 года. До конца этого срока FCA не будет принимать никаких мер для проверки компаний на соответствие требованиям SCA.
Точно так же срок для внедрения SCA для всей Европы был продлен и должен вступить в силу 31 декабря 2020 года. Пока еще не известно планирует ли Европейское банковское управление (EBA) менять сроки из-за ситуации, связанной с Covid-19.
Типы мобильных приложений для надежной аутентификации клиентов (SCA)
1. Банковское приложение
В цифровом банкинге мобильное приложение является одним из наиболее распространенных решений для аутентификации и авторизации клиентов. Обычно используются сгенерированные коды или пароли для авторизации, но в некоторых случаях этот код можно заменить биометрическими данными, такими как отпечатки пальцев или лицо.
Такое решение настраивается локально. Поставщик решения подключает авторизованного пользователя к конкретному устройству, чтобы избежать клонирования или повторного использования криптографических ключей. Устройство может иметь зарегистрированный номер мобильного телефона с возможностью получать SMS. Однако мы должны учитывать, что SMS — не самый безопасный способ аутентификации, потому что мошенники могут перехватить SMS или подделать SIM-карту.
Регистрация устройства означает, что цифровые банки не только повышают безопасность, но и отвечают требованиям по использованию нескольких факторов SCA. Например, push-уведомления используются для информирования клиента о запросе авторизации или аутентификации.
Что касается защиты, то могут использоваться различные методы для безопасности программного обеспечения, например, для реализации мер безопасности можно использовать доверенную среду выполнения (TEE).
Одно приложение, объединяющее SCA и онлайн-банкинг
Такое приложение цифрового банкинга объединяет функциональность онлайн-банкинга и идентификации с помощью программного обеспечения SDK, поставляемого сторонними поставщиками.
Ключевые особенности:
• Простое и интуитивно понятное приложение для повседневных финансовых операций;
• Поддержка широкого спектра технологий безопасности (например, одноразовый пароль, биометрия, смарт-карты и т. д.);
• Доступна только на смартфонах.
Отдельное приложение для аутентификации
Многие цифровые банки используют white-label приложения для аутентификации как отдельное приложение. Функциональность банковского приложения включает в себя обзор банковского счета, перевод средств и т.д. Приложение может быть защищено паролем или отпечатками пальцев. Тем временем приложение для аутентификации проверяет такие данные, как сумма транзакции и получатель, и генерирует номер аутентификации для каждой транзакции.
Ключевые особенности:
• Два простых в использовании приложения;
• Широко используется в цифровом банкинге;
• Безопасное решение с двумя отдельными каналами для аутентификации;
• Поддержка различных технологий безопасности (например, одноразовый пароль, биометрия, смарт-карты);
• Доступны только на смартфонах.
Например, Macrobank OTP / MAC Generator — приложение, генерирующее одноразовые пароли. В отличие от обычных аппаратных токенов, таких как digipass, сгенерированный пароль для платежной подписи учитывает данные платежа, что обеспечивает дополнительный контроль безопасности платежа. Решение не зависит от мобильного оператора, не требует SIM-карты и сотовой связи, не требует доступа к Wi-Fi-сети.
2. Банковское приложение, развернутое в TEE
Доверенная среда выполнения (TEE) необходима центральным процессорам устройства для защиты операционной системы, которая используется для запуска приложения и защиты конфиденциальных данных. В этом случае безопасная операционная система и обычная операционная система работают одновременно. Многие действия в приложении выполняются через основную операционную систему. Приложение использует TEE, чтобы гарантировать, что конфиденциальная информация хранится и обрабатывается в безопасных и физически изолированных условиях.
Ключевые особенности:
• Простое в использовании приложение для конечных пользователей;
• TEE отделяет аппаратную среду от остальной части устройства, что гарантирует высокий уровень защиты;
• Учетные данные безопасности обрабатываются в TEE и защищены с помощью оборудования;
• Не все устройства поддерживают TEE.
3. Решение Mobile Identity
Mobile Connect, глобальный открытый стандарт, поддерживаемый GSMA, обеспечивает общие функции входа в систему для онлайн-банкинга по всему миру. В настоящее время 24 компании являются поставщиками и соответствуют требованиям Mobile Connect. На практике Mobile Connect предоставляет стандартный для отрасли API, основанный на Open ID Connect.
Mobile Identity как вторичная аутентификация
Mobile Identity может действовать как средство аутентификации для второго фактора. Цифровые банки обычно предоставляют первичный фактор (например, идентификатор пользователя, пароль или приложение), а решение Mobile Identity предоставляет второй фактор. В таком случае безопасная среда выполнения (SEE) зависит от безопасности SIM-карты или устройства-смартфона.
Есть отдельный канал для аутентификации мобильного оператора и аутентификации первичного банка. Mobile Identity разработан таким образом, что он может использовать различные типы аутентификаторов, включая SIM-карту с приложением (приложение SIM-карты), приложение для смартфона (автономное или универсальное приложение) или аутентификацию в мобильной сети.
Ключевые особенности:
• Совместимость с разными типами смартфонов;
• Быстрая и простая онлайн-аутентификация с использованием ID пароля;
• Необходимо партнерство с операторами мобильной связи;
• Аутентификация в мобильной сети использует мобильную сеть для обмена подписями. Никакие зашифрованные сообщения, учетные данные или другие детали, такие как PIN-код и OTP, не передаются по воздуху.
• Разделение ответственности и безопасности между банком и оператором мобильной связи;
• Возможность отключить функцию Mobile Identity и заблокировать второй фактор в случае утери или кражи устройства.
Mobile Identity как двухфакторная аутентификация
В случае SIM апплета. Аутентификатор находится в SIM-карте. Оператор мобильной связи доставляет пользователю невидимое SMS-сообщение, и пользователь вводит PIN-код Mobile Connect. На следующем этапе сравнение PIN-кода выполняется локально. В случае аутентификатора приложения для смартфона. Аутентификатор приложения для смартфона подключен к мобильной сети и оператор мобильной сети может проверить целостность привязанной SIM-карты, устройства и пользователя. SDK Mobile Connect не начнет работать, пока целостность не будет подтверждена.
Ключевые особенности:
• Совместимость с разными типами смартфонов;
• Полноценное банковское приложение со встроенным SDK — дополнительное приложение не требуется;
• Банковские услуги и аутентификация разделены между двумя разными каналами;
• Высокий уровень безопасности с помощью апплетов SIM-карты — защищенная среда для PIN-кода Mobile Connect хранится на SIM-карте;
• Необходимо партнерство с операторами мобильной связи;
• Возможность отключить функцию в случае утери или кражи устройства;
• Обмен данными по воздуху не осуществляется.
Вывод
В этой статье мы описали типы мобильных приложений для надежной аутентификации клиентов (SCA). Технологии быстро развиваются, на рынке появляются новые приложения и каждое новое приложение предлагает более высокий уровень безопасности и удобства для пользователей. При выборе нового приложения для SCA оценивайте несколько факторов, такие как безопасность, простоту интеграции, а также пользовательский опыт.
Будьте готовы к SCA с Advapay
Решение Advapay позволит цифровым банкам быть готовыми к началу срока реализации SCA. В дополнение к Digital Core Banking платформе, Advapay предлагает Canopus OTP / MAC Generator — безопасное приложение двухфакторной аутентификации, которое позволяет проводить аутентификацию клиента и подписывать платежи. Чтобы узнать больше, свяжитесь с нами.
Macrobank – платформа цифрового банкинга, которая позволяет финтех-компаниям запускать свои цифровые банки. Macrobank обеспечивает все необходимые функции для цифровых банков, бэк-офис для контроля и управления операциями, веб и мобильные аппликации для конечных пользователей по модели white-label, а также готовые интеграции с различными сервисами. Доступно как SaaS решение, так и покупка лицензии на программное обеспечение.
Помимо платформы Цифрового банкинга, услуги Advapay включают в себя профессиональный финтех консалтинг, помощь в лицензировании платежных систем или эмитентов электронных денег.
Коды в SMS небезопасны — рекомендуем пользоваться другими вариантами двухфакторной аутентификации
Почему SMS — не лучший выбор для двухфакторной аутентификации, и какие существуют альтернативы.
За последние пару лет идея двухфакторной аутентификации, о которой так долго говорили гики, сильно продвинулась в массы. Однако до сих пор в большинстве случаев речь идет о двухфакторной аутентификации при помощи одноразовых паролей, приходящих в SMS. А это, к сожалению, не очень-то надежный вариант. Вот что может пойти не так:
Надо заметить, что даже самый трудоемкий и высокотехнологичный из перечисленных методов перехвата пароля в SMS — с помощью взлома протокола SS7 — уже был использован на практике. Так что речь не о теоретической возможности возникновения неприятностей, а о вполне практической угрозе.
В общем, пароли в SMS — это не очень-то безопасно, а иногда даже и очень небезопасно. Поэтому есть смысл озаботиться поиском альтернативных вариантов двухэтапной аутентификации, о чем мы сегодня и поговорим.
Одноразовые коды в файле или на бумажке
Наиболее простая замена одноразовым паролям, присылаемым в SMS, — это те же самые одноразовые пароли, но заготовленные заранее. Это не самый плохой вариант, особенно для тех сервисов, в которых вам надо авторизовываться сравнительно редко. Собственно, даже для того же «Фейсбука» этот метод вполне может подойти, особенно в качестве резервного способа входа.
Работает это очень просто: по запросу сервис генерирует и показывает на экране десяток одноразовых кодов, которые в дальнейшем могут быть использованы для подтверждения входа в него. Дальше вы просто распечатываете или переписываете эти коды на бумагу и кладете в сейф. Или, что еще проще, сохраняете в зашифрованных записях в менеджере паролей.
В общем, не так важно, будете ли вы хранить эти коды на теплой ламповой бумаге или в бездушном цифровом виде — важно сохранить их так, чтобы они а) не потерялись и б) не могли быть украдены.
Приложения для двухфакторной аутентификации
У единожды сгенерированного набора одноразовых кодов есть один недостаток: рано или поздно он закончится, и вполне может так получиться, что вы останетесь без кода в самый неподходящий момент. Поэтому есть способ лучше: можно генерировать одноразовые коды на лету с помощью небольшого и, как правило, очень простого приложения — аутентификатора.
Как работают приложения-аутентификаторы
Работают приложения для двухфакторной аутентификации очень просто. Вот что придется сделать:
Коды создаются на основе ключа, который известен только вам и серверу, а также текущего времени, округленного до 30 секунд. Поскольку обе составляющие одинаковы и у вас, и у сервиса, коды генерируются синхронно. Этот алгоритм называется OATH TOTP (Time-based One-time Password), и в подавляющем большинстве случаев используется именно он.
Также существует альтернатива — алгоритм OATH HOTP (HMAC-based One-time Password). В нем вместо текущего времени используется счетчик, увеличивающийся на 1 при каждом новом созданном коде. Но этот алгоритм редко встречается в реальности, поскольку при его использовании гораздо сложнее обеспечить синхронное создание кодов на стороне сервиса и приложения. Проще говоря, есть немалый риск, что в один не очень прекрасный момент счетчик собьется и ваш одноразовый пароль не сработает.
Так что можно считать OATH TOTP де-факто индустриальным стандартом (хотя формально это даже не стандарт, на чем создатели этого алгоритма очень настаивают в его описании).
Совместимость приложений для двухфакторной аутентификации и сервисов
Подавляющее большинство приложений для двухфакторной аутентификации работает по одному и тому же алгоритму, так что для всех сервисов, которые поддерживают аутентификаторы, можно использовать любое из них — какое вам больше нравится.
Как и в любом добротном правиле, в этом тоже есть определенное количество исключений. Некоторые сервисы по каким-то причинам, ведомым только им одним, предпочитают делать свои собственные приложения для двухфакторной аутентификации, которые работают только с ними. Более того, сами сервисы не работают ни с какими другими приложениями, кроме своих собственных.
Особенно это распространено среди крупных издателей компьютерных игр — например, существуют несовместимые со сторонними сервисами приложения Blizzard Authenticator, Steam Mobile с встроенным аутентификатором Steam Guard, Wargaming Auth и так далее. Для этих сервисов придется ставить именно эти приложения.
Также по этому странному пути пошла Adobe, разработавшая Adobe Authenticator, который работает только с аккаунтами AdobeID. Но при этом вы можете использовать для защиты AdobeID и другие аутентификаторы, так что вообще непонятно, ради чего было городить огород.
Так или иначе, большинство нормальных ИТ-компаний не ограничивает пользователей в выборе 2FA-приложения. И даже если по каким-то соображениям им хочется контролировать этот процесс и создать свое приложение, то чаще всего они позволяют защищать с его помощью не только «свои» аккаунты, но и учетные записи сторонних сервисов.
Поэтому просто выбирайте приложение-аутентификатор, которое вам больше нравится по набору дополнительных функций — оно будет работать с большинством сервисов, которые вообще поддерживают 2FA-приложения.
Лучшие приложения для двухфакторной аутентификации
Выбор 2FA-приложений на удивление велик: поиск по запросу «authenticator» в Google Play или Apple App Store выдает не один десяток результатов. Мы не советуем устанавливать первое попавшееся приложение — это может быть небезопасно, ведь, по сути, вы собираетесь доверить ему ключи от своих аккаунтов (оно не будет знать ваши пароли, конечно, но ведь 2FA вы добавляете именно потому, что пароли имеют свойство утекать). В общем, стоит выбирать из приложений, созданных крупными и уважаемыми разработчиками.
Несмотря на то что базовая функция у всех этих приложений одна и та же — создание одноразовых кодов по одному и тому же алгоритму, некоторые аутентификаторы обладают дополнительными функциями или особенностями интерфейса, которые могут показаться вам удобными. Перечислим несколько самых интересных вариантов.
1. Google Authenticator
Поддерживаемые платформы: Android, iOS
Как отмечают буквально все публикации, Google Authenticator — это самое простое в использовании из всех существующих приложений для двухфакторной аутентификации. У него даже настроек нет. Все, что можно сделать, — это добавить новый токен (так называется генератор кодов для отдельного аккаунта) или удалить один из имеющихся. А чтобы скопировать код в буфер обмена, достаточно коснуться его пальцем на сенсорном экране смартфона или планшета. Все!
Однако у такой простоты есть и недостаток: если вам что-то не нравится в интерфейсе или хочется от аутентификатора чего-то большего — придется устанавливать другое приложение.
+ Очень просто использовать.
2. Duo Mobile
Поддерживаемые платформы: Android, iOS
Duo Mobile также крайне прост в использовании, минималистичен и лишен дополнительных настроек. По сравнению с Google Authenticator у него есть одно преимущество: по умолчанию Duo Mobile скрывает коды — чтобы увидеть код, надо нажать на конкретный токен. Если вы, как и я, испытываете дискомфорт каждый раз, когда открываете аутентификатор и показываете всем окружающим кучу кодов от всех своих аккаунтов сразу, то вам эта особенность Duo Mobile наверняка понравится.
+ По умолчанию скрывает коды.
3. Microsoft Authenticator
Поддерживаемые платформы: Android, iOS
В Microsoft тоже не стали усложнять и сделали свой аутентификатор на вид очень минималистичным. Но при этом Microsoft Authenticator заметно функциональнее, чем Google Authenticator. Во-первых, хоть по умолчанию все коды показываются, но каждый из токенов можно отдельно настроить так, чтобы при запуске приложения код был скрыт.
Во-вторых, Microsoft Authenticator упрощает вход в аккаунты Microsoft. В этом случае после ввода пароля достаточно будет нажать в приложении кнопку подтверждения входа — и все, можно даже не вводить одноразовый код.
+ Можно настроить, чтобы коды скрывались. + Дополнительные возможности для входа в аккаунты Microsoft.
4. FreeOTP
Поддерживаемые платформы: Android, iOS
Есть четыре причины, по которым вам может понравиться этот аутентификатор, разработанный Red Hat. Во-первых, это ваш выбор, если вы любите программное обеспечение с открытым кодом. Во-вторых, это самое маленькое приложение из всех рассматриваемых — версия для iOS занимает всего 750 Кбайт. Для сравнения: минималистичный Google Authenticator занимает почти 14 Мбайт, а приложение Authy, о котором мы поговорим ниже, — аж 44 Мбайта.
В-третьих, по умолчанию приложение скрывает коды и показывает их только после касания. Наконец, в-четвертых, FreeOTP позволяет максимально гибко конфигурировать токены вручную, если вам это зачем-нибудь нужно. Разумеется, обычный способ создания токена с помощью сканирования QR-кода тоже поддерживается.
+ По умолчанию скрывает коды. + Приложение занимает всего 700 Кбайт. + Открытый код. + Максимум настроек при создании токена вручную.
5. Authy
Самое навороченное из приложений для двухфакторной аутентификации, основным достоинством которого является то, что все токены хранятся в облаке. Это позволяет получить доступ к токенам с любого из ваших устройств. Заодно это упрощает переезд на новые устройства — не придется заново активировать 2FA в каждом сервисе, можно продолжить пользоваться существующими токенами.
В облаке токены зашифрованы ключом, который создается на основе заданного пользователем пароля, — то есть данные хранятся безопасно, и украсть их будет нелегко. Также можно установить ПИН-код на вход в приложение — или защитить его отпечатком пальца, если ваш смартфон оснащен соответствующим сканером.
Основной недостаток Authy состоит в том, что приложение с ходу требует завести аккаунт, привязанный к вашему телефонному номеру, — без этого просто не получится начать с ним работать.
+ Токены хранятся в облаке, что позволяет использовать их на всех своих устройствах. + По той же причине очень удобно переезжать на новое устройство. + Вход в приложение защищен PIN-кодом или отпечатком пальца. + На экране показывается код только для последнего использованного токена. + В отличие от остальных приложений, поддерживает не только Android и iOS, но и Windows, macOS и Chrome.
− Требуется зарегистрироваться в Authy, используя номер телефона, — без этого приложение не работает.
6. «Яндекс.Ключ»
Поддерживаемые платформы: Android, iOS
На мой взгляд, по концепции «Яндекс.Ключ» — это самое удачное из существующих приложений для двухфакторной аутентификации. С одной стороны, оно не требует с ходу регистрироваться — можно начать им пользоваться с той же легкостью, как и Google Authenticator. С другой стороны, в нем есть несколько дополнительных возможностей, которые открываются тем, кто не поленится зайти в настройки.
Во-первых, «Яндекс.Ключ» можно «запереть» на PIN-код или отпечаток пальца. Во-вторых, можно создать в облаке «Яндекса» резервную копию токенов, защищенную паролем (а вот на этом этапе уже придется указать номер телефона), и восстановить ее на любом из используемых вами устройств. Точно так же можно будет перенести токены на новое устройство, когда понадобится переезжать.
Получается, что «Яндекс.Ключ» сочетает в себе простоту Google Authenticator и расширенную функциональность Authy — в зависимости от того, что вы предпочитаете. Единственный недостаток приложения — не вполне удобный для использования с большим количеством токенов интерфейс.
+ Минимализм на старте, расширенная функциональность доступна через настройки. + Создание резервных копий токенов в облаке для использования на нескольких устройствах и переезда на новые. + Вход в приложение защищен PIN-кодом или отпечатком пальца. + На экране показывается код только для последнего использованного токена. + Заменяет постоянный пароль к аккаунту «Яндекса».
− При большом количестве токенов не очень удобно искать нужный.
«Железные» аутентификаторы FIDO U2F: YubiKey и все-все-все
Если приложение, генерирующее одноразовые коды, кажется вам слишком эфемерным способом защитить свои аккаунты, и хочется чего-то более постоянного, надежного и материального — буквально запереть аккаунт на ключ и положить его в карман, — то у меня есть для вас хорошая новость: такой вариант также существует. Это аппаратные токены стандарта U2F (Universal 2nd Factor), созданного FIDO Alliance.
Как работают токены FIDO U2F
Аппаратные U2F-токены очень полюбились специалистам по безопасности — в первую очередь потому, что с точки зрения пользователя они работают очень просто. Для начала работы достаточно подключить U2F-токен к вашему устройству и зарегистрировать его в совместимом сервисе, причем делается это буквально в пару кликов.
Впоследствии при необходимости подтвердить вход в этот сервис нужно будет подключить U2F-токен к тому устройству, с которого вы входите, и нажать на токене кнопку (в некоторых устройствах — ввести PIN или приложить палец к сканеру). Все — никаких сложных настроек, ввода длинных последовательностей случайных символов и прочих танцев с бубном, которые обычно все себе представляют при упоминании слова «криптография».
Вставьте ключ и нажмите кнопку — и это действительно все
При этом «под капотом» все устроено очень умно и криптографически надежно: при регистрации токена на сервисе создается пара криптографических ключей — приватный и публичный. Публичный сохраняется на сервере, а приватный хранится в защищенном хранилище Secure Element, которое является сердцем U2F-токена, — и этот ключ никогда не покидает устройство.
Приватный ключ используется для того, чтобы зашифровать подтверждение входа, которое передается на сервер и может быть расшифровано с помощью публичного ключа. Если кто-то от вашего имени попытается передать подтверждение входа, зашифрованное неправильным приватным ключом, то при расшифровке с помощью известного сервису публичного ключа вместо подтверждения получится бессмыслица, и сервис не пустит его в аккаунт.
Какими бывают U2F-устройства
Наиболее известный и распространенный пример U2F — это «ключи» YubiKey, которые производит компания Yubico. Собственно, она и стояла у истоков этого стандарта, но предпочла сделать его открытым, для чего и был создан FIDO Alliance. А поскольку стандарт открытый, вы не ограничены в выборе: U2F-совместимые устройства производят и продают разные компании — в онлайн-магазинах можно найти множество разнообразных моделей.
YubiKey — вероятно, самые популярные U2F-токены
Например, Google недавно представила свой комплект аппаратных аутентификаторов Google Titan Security Keys. На самом деле это ключи производства Feitian Technologies (второй по популярности производитель U2F-токенов после Yubico), для которых в Google написали собственную прошивку.
Разумеется, все аппаратные аутентификаторы, совместимые со стандартом U2F, будут с одинаковым успехом работать со всеми сервисами, которые также с этим стандартом совместимы. Однако у разных моделей есть несколько важных различий, и самое важное из них — это интерфейсы, которыми оборудован «ключ». От этого напрямую зависит, с какими устройствами он сможет работать:
USB — для подключения к компьютерам (Windows, Mac или Linux — неважно, «ключи» работают без установки каких-либо драйверов). Помимо обычного USB-A бывают «ключи» с USB-C.
NFC — необходим для использования со смартфонами и планшетами на Android.
Bluetooth — понадобится на тех мобильных устройствах, в которых нет NFC. К примеру, аутентификатор с Bluetooth все еще нужен владельцам iPhone: несмотря на то, что в iOS уже разрешили приложениям использовать NFC (до 2018 года это было позволено только Apple Pay), разработчики большинства совместимых с U2F приложений еще не воспользовались этой возможностью. У Bluetooth-аутентификаторов есть пара минусов: во-первых, их нужно заряжать, а во-вторых, их подключение занимает гораздо больше времени.
Что же выбрать: SMS, приложение или YubiKey?
Универсального ответа на этот вопрос не существует — для разных сервисов можно использовать разные варианты двухфакторной аутентификации в различных сочетаниях. Например, наиболее важные аккаунты (скажем, вашу основную почту, к которой привязаны остальные учетные записи) стоит защитить по максимуму — запереть на «железный» U2F-токен и запретить любые другие опции 2FA. Так можно быть уверенным, что никто и никогда не получит доступ к аккаунту без этого токена.
Хороший вариант — привязать к аккаунту два «ключа», как это делается с ключами от автомобиля: один всегда с собой, а другой лежит в надежном месте — на случай, если первый потеряется. При этом «ключи» могут быть разного типа: скажем, приложение-аутентификатор на смартфоне в качестве основного и U2F-токен или листочек с одноразовыми паролями, лежащий в сейфе, в качестве резервного средства.
Так или иначе, главный совет — по возможности избегать использования одноразовых паролей в SMS. Правда, получится это не всегда: например, финансовые сервисы в силу своей консервативности продолжают использовать SMS и крайне редко позволяют пользоваться чем-либо еще.
