Почему вам больше никогда не стоит использовать Google Authenticator

никогда не используйте Google Auth

Не бывает достаточной безопасности. С другой стороны, использование глючной или слабой защиты может дать вам шаткую иллюзию безопасности, в то время, как вы остаётесь уязвимым к разного рода угрозам.

Использование только паролей, в общем – плохая идея, мы выяснили это с тех пор, как появился Интернет. Мы осуществляем прогресс, двигаясь к миру без паролей, но в то же время, многие веб-сайты предлагают дополнительную защиту пользовательских аккаунтов с помощью Двух-Факторной Аутентификации (2FA).

В общем и целом, существует 2 типа такой аутентификации: Временный одноразовый пароль (TOTP) а также Универсальный Двух-Фактор (U2F). Вы можете быть уже знакомы с первым типом, поскольку он используется наиболее часто: во время логина, предлагается ввести одноразовый пароль, генерируемый вашим приложением на смартфоне, отдельным аппаратным устройством, или же присылаемый в СМС. Метод прост, но есть несколько простых способов, делающих его опасным.

pic_one

Я видел предупреждения типа “мой телефон взломали” от трёх людей из Кремниевой Долины/Биткойн среды/венчурной тусни. Будьте на чеку, и включите 2FA.

Как работает TOTP?

Временный одноразовый пароль, в основном популяризованный приложением Google Authenticator, подтверждает вашу личность на основании общего секрета. Этот секрет дложен быть известен вам и вашему провайдеру.

Когда вы заходите на веб-cайт под своей учеткой, ваше устройство генерирует уникальный код, основываясь на общем секрете и текущем времени. Затем вам нужно вручную ввести этот код. Сервер генерирует точно такую-же штуку, основанную на том-же секрете, чтобы успешно сравнить и подтвердить запрос на авторизацию.

pic_two

Обе стороны генерируют одинаковый хеш, из одинаковых исходных данных, делясь секретом в момент регистрации.

В чём неадекватность TOTP?

Метод весьма прост в использовании, однако, он не лишён нескольких уязвимостей и неудобств.

1. Вам необходимо вручную вводить код во время авторизации (логина)

2. Слишком громоздкий бэкап. Вам необходимо совершать много шагов, чтобы сделать бэкап секрета. Кроме того, хорошие сервисы обычно предоставляют резервные коды, вместо того, чтобы явным образом призывать сохранять секрет. Если вы потеряете ваш секрет, и логин вместе с резервным кодом, вам придётся выполнить весь процесс регистрации TOTP заново.

3. Коды бекапа высылаются через Интернет, что совершенно небезопасно.

4. У вас и провайдера один и тот же секрет. Если атакующий хакнет компанию и получит доступ и к базе паролей, и к базе секретов, он сможет проникать в любой аккаунт совершенно незаметно.

5. Секрет показывается простым текстом или QR-кодом. Он не может быть представлен в виде хеша. Это также означает, что скорее всего секрет хранится в виде текстового файла, на серверах провайдера.

6. Секрет может быть раскрыт во время регистрации, так как провайдеру необходимо выдать вам сгенерированный секрет. Используя TOTP, вам нужно верить в способность провайдеров защитить приватность секрета. Но можете ли вы верить?

Как работает FIDO/U2F?

Стандарт U2F, разработанный Альянсом FIDO, был создан технологическими корпорациями, вроде Google и Microsoft, под влиянием найденных уязвимостей в TOTP. U2F использует криптографию с публичными ключами для подтверждения вашей личности (Reddit – “Объясняйте, будто мне лет пять”). В противовес TOTP, в данном варианте вы являетесь единственным, кто знает секрет (приватный ключ).

pic_three

Сервер отправляет вам запрос, который затем подписывается секретным (приватным) ключом. Результирующее сообщение отправляется назад на сервер, который может подтвердить личность благодаря наличию в его базе данных вашего публичного ключа.

Выгоды U2F:

1. Через Интернет никогда не пересылается секрет (приватный ключ)

Никакая конфиденциальная информация не будет опубликована, благодаря криптографии публичного ключа.

2. Легче использовать. Нет нужды применять одноразовые коды.

3. Приватность. С секретом не ассоциируется никакая персональная информация.

4. Бекап теоретически легче. Однако, не всегда возможен; например, вы не сможете бекапить Yubikey.

Так как, в случае использования U2F, нет разделяемого двумя сторонами секрета и нет конфиденциальных баз данных, хранимых провайдером, хакер не может просто украсть все базы и получить доступ. Вместо того, он должен охотиться на отдельных пользователей, а это намного более затратно по финансам и времени.

Более того, вы можете забекапить ваш секрет (приватный ключ). С одной стороны, это делает вас ответственным за вашу же безопасность, но с другой – вам больше не нужно доверять какой-то компании, чтобы защитить ваши секреты (приватные ключи).

Купи TREZOR, будь биткойнером.

TREZOR – U2F “по-нашенски”

TREZOR представляет собой маленькое отдельное аппаратное решение, разработанное для хранения приватных ключей и работы в качестве изолированного компьютерного окружения. Изначально разработанный, как безопасный “железный” кошелек для Биткойна, рамки его применения значительно расширились благодаря расширяемости асимметричной криптографии. Теперь, TREZOR может служить в качестве безопасного железного токена для U2F, вам также придётся дополнительно подтверждать логин нажатием кнопки на устройстве.

В отличии от некоторых других токенов, TREZOR всегда использует уникальную подпись для каждого зарегистрированного пользовательского аккаунта. Кроме прочего, устройство выводит U2F на совершенно новый уровень:

1. Легко бекапить и восстанавливать. TREZOR просит вас записать на листочке так называемое “зернышко” (recovery seed), в время первого запуска устройства. Это –, единственный одноразовый процесс из всех остальных на устройстве. Восстановительное зёрнышко представляет собой все секреты (приватные ключи), генерируемые устройством и могут быть использованы в любое время для “восстановления” вашего аппаратного (или “железного”) кошелька.

2. Неограниченное количество U2F личностей, все они сохраняются в рамках единого бэкапа.

3. Секрет безопасно хранится в TREZORе. Его никто никогда не узнает, так как он не может покинуть устройство. Их не смогут украсть ни вирусы, ни хакеры.

4. Защита от фишинга с подтверждением на экране. Кошелёк всегда отображает url веб-сайта, на котором вы логинитесь, а также то, что именно вы хотите авторизовать. Вы можете убедиться, что информация, отправленная в устройство, соответствует вашим ожиданиям.

5. Дополнительная информация по использовании U2F во время настройки, использования и восстановления TREZOR может быть найдена в нашем посте в блоге, или в Пользовательской Документации.

Безопасные характеристики асимметричной криптографии кореллируют с философией безопасности TREZOR. С поддержкой U2F в кошельке, мы вдохновляем пользователей использовать все доступные меры для защиты их аккаунтов и личных данных в онлайне.

Источник: blog.trezor.io



Categories: Безопасность, Важное, Новичкам, Приложения, Сервисы, Технологии, Top

Tags: , , , , , , , , , , , , , , , , , , , , , ,

11 replies

  1. Незнаяю как Вы, а для меня биткони это средтво сбережения, биткоин кошелек использую только для одной цели, только чтобы сгенерировать номер кошелька и узнать для него приватный ключ (который записываю на бумажку). Все это делаю в офлайне, после этого приложение удаляю.
    Кошелька периодически пополняю и все…

    • Не совсем понимаю биткоин. Как можно сгенить номер в оффлайне? А если он с невероятно низким шансом сгенерит уже существующий номер? Каким обращом он генерит номера и подпись в оффлайне не зная какие уже есть.

      • А если он с невероятно низким шансом сгенерит уже существующий номер? Каким обращом он генерит номера и подпись в оффлайне не зная какие уже есть.

        Во-первых, вы и в онлайне не знаете какие есть.
        Во-вторых, пространство адресов такое огромное, что вы при всем желании и за тысячу лет не сгенерируете такой, который уже есть.

      • Приложение Биткоин кошелек совсем не обязательно быть в онлайне чтобы отобразить номер кошелька и приватный ключ. Рекомендую почитать про то какие бывают кошельки. Статей много, но инерция мышления многих считать что биткоин кошелек как – то привязан к вашему компьютеру и что потеря, удаление ,поломка компа приведет к потере биткоинов, Вовсе нет (!) , если конечно вы своевременно позаботились о том, чтобы записать себе номер кошелька и его приватный ключ. Этой информации достаточно чтобы потом, при помощи любого биткоин кошелька восстановить доступ к своему кошельку.

  2. Любую защиту предоставляет какая то компания, а значит с её помощью можно добраться до содержимого любого кошелька (аккаунта). Правильно сказано было то, что хакеры не будут охотиться за малыми суммами и не нужно класть все “яйца” в одну корзину …

    • Вы наверняка вне темы. Ваше высказывание чисто субъективная точка зрения (ну про “яйца” все будут согласны). Постарайтесь разобраться в теме глубже, код у Трезора открытый, можете поискать баги и уязвимости. Ну как? https://goo.gl/4ZBpnl готовы купить и обнаружить?

  3. Самопиар трезора 🙂 Все равно, если сервис предоставляет 2FA через TOTP, то он никак не поможет.

Trackbacks

  1. Почему вам больше никогда не стоит использовать Google Authenticator
  2. Почему вам больше никогда не стоит использовать Google Authenticator | Заработок онлайн доступный каждому
  3. Как я разочаровался в Роджере Вере – Bit•Новости
  4. Хакеры украли биткойнов на миллионы долларов — используя лишь телефонные номера жертв – Bit•Новости

Поделитесь своими мыслями

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s