Двухфакторная авторизация

Материал из Неолурк, народный Lurkmore
Перейти к навигации Перейти к поиску

Двухфакторная авторизация (2FA) — самая современная защита аккаунтов на различных сайтах от вероятного взлома злоумышленниками. Начала постепенно заменять собой подтверждение по SMS и считается намного более безопасным вариантом подтверждения входа в связи с более высокой защищённостью, в отличие от сетей GSM.

Эволюция[править]

Изначально и довольно долгое время сетные записи на разных сайтах (в том числе доступы к почтовым ящикам) были доступны исключительно через пары логин-пароль. Подобная система стала оптимальной для взломщиков, которые использовали брутфорс или социальную инженерию для увода паролей от аккаунтов. В итоге люди стали усложнять пароли, вводя в них цифры, специальные символы, знаки в разных регистрах и т.д. Но это тоже не особо помогло, так как появилось понятие утечек баз данных, когда какой-то отдельно взятый сервер (например, вк) взламывали или же осознанно за деньги сливали — в итоге данные от тысяч аккаунтов оказывались в открытом доступе. В такой ситуации не помогал даже и хороший пароль, так как его попросту сливали и злоумышленник мог спокойно войти в аккаунт и затем прочитать переписку и узнать иные личные данные жертвы. Первым этапом защиты авторизации стала привязка к аккаунтам (в основном, в почтовых сервисах) номера мобильного телефона. В ряде случаев сервис мог требовать получение кода по смс для входа в аккаунт, в случае, если человек ввел корректный логин и пароль, но зашел с нового устройства. Подтверждение по SMS смогло отбить от взломов всяких школьников и мелких программеров, однако профессионалы стали оказывать услуги и по взлому сим-карт. Обычно такие карточки просто клонировали, предварительно узнавая номер жертвы. В итоге появилось второе поколение двухфакторной авторизации — через специальное приложение. Для входа в аккаунт требуется, как обычно, вводить логин и пароль, после чего в приложении на смартфоне подтверждать вход с помощью уникальной цифровой комбинации, которая доступна для ввода в течение очень короткого времени (например, 15 секунд). Среди первых внедривших такую систему сайтов стали криптовалютные биржи, к примеру LocalBitcoins и Bitfinex.

Программы[править]

Для двухфакторной авторизации разработаны соответствующие приложения. Одним из первых таких приложений стало Enum, которое разработали в Вебмани для подтверждения всех операций в кошельках типа Light. Широкое хождение приложение не получило, несмотря на прорывной характер его работы и сложность взлома.

В настоящее время для широкого круга сайтов имеется поддержка Google Authenticator. Для регистрации в нем необходимо получить уникальный QR-код, после чего каждый раз при входе на нужный сайт подтверждать вход с помощью уникального шестизначного PIN, который генерируется раз в 15 секунд приложением. В последнее время появилось много разных менее известных приложений для 2FA: Microsoft Authenticator, FreeOTP, Яндекс.Ключ,

Недостатки[править]

В случае, если недостаточно хорошо проработана процедура восстановления доступа к аккаунту в обход 2FA возможна полная утеря доступа его владельцем в случае, если, например, устройство, используемое для подтверждений было утеряно или перестало работать. С другой стороны, процедуры восстановления как раз используют опытные взломщики для компрометации аккаунтов, таким образом, абсолютной безопасности 2FA не обеспечивает. Главный недостаток - невозможность регистрации на таких сервисах как яндекс при полном отсутствии смартфона. А здравомыслящий человек никогда не будет носить с собой это устройство слежения с функцией звонков. А еще более здравомыслящий заметит, что яндекс - параша, а во всех нормальных сервисах можно получиить, так называемый TOTP ключ и воспользоваться им в безопасных менеджерах паролей (KeePass, etc.), форки которых есть почти под любые операционные системы.

Ссылки[править]

Internet2.png Великая сеть, которая переменила течения мира
Это интернет, деткаИнтернетыДаркнетУведомления в браузереВеб-скрейпингWWWПросмотр стрима в фонеWeb ArchiveИнфоповодОткрытый проксиСайтБраузеркаБугагашечкиДейтингЗаработокИдентификация пользователейИмиджбордаИмиджхостингИнтернет-магазинИнтернет-сервисыПокровитель интернетовКаталог сайтовАссоциация блогеров и агентствОлдфагЧебурнетАнкетаАватарИзоляция российских сайтовВидеохостингТильтGoogle дуракИнфобизнесменStalinism.ruРеестр запрещённых сайтовФайлообменникФотобанкХакеры, крекеры, спамы, кукиЗакат эпохи анонимусаТроллингВеб 3.0Интернет-энциклопедияСтриминговый сервисБлокировщики рекламыВеб-камераИнтернет-знаменитостьGoogle ChromeOperaMozilla FirefoxSafariFirefoxHttpHTTPSКритерий ХомакаПеревод в онлайнОблачное хранилище404 ошибкаДвухфакторная авторизацияВикипедияЭлектронная почтаРунетX (ранее Твиттер)HTML5Moswar.ruRu-CenterCerberxБизнес 18+ПИОННенавистьПолитика предотвращения распространения ватной чумыЭджлордВидеоПанорамное видео 360Нейтралитет в информационной войнеПервый поток влогеров рунетаЛысый из BrazzersЛагиНиколай ДуровОпараш ДуроваGoodbyeDPIАвтопереводчикКтотут.рфИнформацияМаносфераБесплатный хостингNginxSearxПолитическое ФГМТеперь мы — это медиаUserscriptMemojiМегасталинCulturalVibesПессимизация ИИХейтвотчингРечной крабFurAffinityOurworldoftextИнтернет-цензура в ГерманииСкроллингХорошие SEOшникиОТРЯД САСА – ОСПАТонилайфШизоидная деградация интернета
ТерминыVPNПрокси-сервер (SOCKS-прокси) • Управление репутацией404ADSLBitcoinDDoSFAQGPONI2PIPv6localhostMediaGetNO CARRIERSEOTorTOSViaWi-FiАккаунтБанБотБотнетВиртуалВордфильтрГолосование ногамиДиалапДомашняя страницаДорвейИнвайтКликбейтКомментКомьюнитиКикКириллические доменыЛесенкаЛинкЛогЛокалкаМемНикОфлайнОффтопикПисьма счастьяПоисковая бомбаПост (Некропост) • ПремодерацияПруфлинкРерайтингСабжСимпафкаСиндром вахтёраСкриншотСмайлСпамСпойлерТрафикТредТроянФлудФорумХотлинкингЭто вашеЮзерпикАнонимностьШок-сайтыПингИКСUser-AgentБраузерWhoisURLДесинкРазметка реддита🤡Цифровая некромантияЗаднеприводная каптчаЭффект АстольфоКвантовый интернетИнформационный вирусОнлайнЛайкСторисХештегPunycodeЧастный сайтПоддерживатьИнтернет-проектФоркСамосбор (проект)Короткие доменыПиксельный ПатриотизмСтирание личной историиБотофермаЗастолблениеЗасираниеDeep TikTok
ПоставщикиБлокировки TOR в РоссииЦепочка проксиУчёт интернет-рекламы в РоссииProxifierПоисковые запросыСоветский интернетВеб-мастерИнтернет шоу-бизнесЛокальная сеть в масштабах страныВизуальный троллингАкадоВолгаТелекомДом.руИскраМакхостСитилайнСтримWibyЮТКЯндексПавел ДуровEMPRESSAlanWakeIP-адрес (Статический IP-адресДинамический IP-адрес) • Обход блокировкиStarlinkРоссийский интернет-форумЛарри ПейджСергей БринJavaScriptPHPOpera VPNHTMLCSSВилле ХакомякиMariaDBИзменение TTL сетевых пакетовТоррент (ΜTorrentMagnet-ссылка) • Archive TeamАрхив АнныАркадий ВоложСпам-листСтримT2NamecheapРостелекомБезопасная юрисдикцияСэми КамкарAGPLСтримерСерверDigitalOceanТян не нужныВася ПупкинNewgroundsГовносфераИИ-цензураЯндекс ПлюсНижний интернет как филиал АдаКакашка (эмодзи)
Проблемы и злоВозрастное ограничениеЦензура в TelegramПлатный поиск в ИнтернетеТебя в гугле забанилиАвтозамена на проксиБитва за Le Cosy MontparnasseСпамботАлгоритм НемезидаРевью-бомбингТроллинг верификации в ТвиттереРеклама в ТелеграмеИнтернет-луддитыКукловодТуалетный профильБаяновая революцияЗахват сервераСлив файлов Яндекса в январеКопирование и вставка текста на сайтах с запретомЗамена словОтключение интернетаЦензура в социальных сетяхАвторские праваСкрытый банУтечка данныхШокирующее видеоСимпРоскомнадзор (Роскомнадзор-тян) • СрачХайпЦифровизацияЦифровой следИнтернет-цензураИдентификация пользователей Wi-FiЧёрный списокАккаунт угналиФейкЗабастовка на реддите из-за платного APIAutoModeratorОбида на клоунаСтена текстаДисконнектВзлом электронной почтыФактчекИнтернет-ракАттеншен вхореДобровольно-принудительная регистрацияИзгнание ДуроваБлокировка сайтов по беспределуМ125Виртуальные инстаграмщицыПоломка зоны .ru в январе 2024 годаГлобальный сбой интернетаНаказание за скачивание пиратского контентаПротоколированиеBrain rotНарастание интернет-цензуры в РФИнтернет-зависимостьЗакон ГодвинаСетевой сумасшедшийРоскомнадзор обделался против ТвиттераРотшильды не общаются в интернетахMurka SenseiЗависимость 18+Блокировки электронной почты в РФМурка сенсейАтака Роскомнадзора на YouTube в ноябре 2020Робот-стукачВиртуальная жизньОпараш Mozilla FirefoxЯндекс.МузыкаПартнерка Яндекс БраузераГномы воруютАренда аккаунтов WhatsApp
МетаВеб 2, или некоторые говорят Веб 2.0