Двухфакторная авторизация

Материал из Неолурк, народный Lurkmore
(перенаправлено с «2FA»)
Перейти к навигации Перейти к поиску

Двухфакторная авторизация (2FA) — самая современная защита аккаунтов на различных сайтах от вероятного взлома злоумышленниками. Начала постепенно заменять собой подтверждение по SMS и считается намного более безопасным вариантом подтверждения входа в связи с более высокой защищённостью, в отличие от сетей GSM.

Эволюция[править]

Изначально и довольно долгое время сетные записи на разных сайтах (в том числе доступы к почтовым ящикам) были доступны исключительно через пары логин-пароль. Подобная система стала оптимальной для взломщиков, которые использовали брутфорс или социальную инженерию для увода паролей от аккаунтов. В итоге люди стали усложнять пароли, вводя в них цифры, специальные символы, знаки в разных регистрах и т.д. Но это тоже не особо помогло, так как появилось понятие утечек баз данных, когда какой-то отдельно взятый сервер (например, вк) взламывали или же осознанно за деньги сливали — в итоге данные от тысяч аккаунтов оказывались в открытом доступе. В такой ситуации не помогал даже и хороший пароль, так как его попросту сливали и злоумышленник мог спокойно войти в аккаунт и затем прочитать переписку и узнать иные личные данные жертвы. Первым этапом защиты авторизации стала привязка к аккаунтам (в основном, в почтовых сервисах) номера мобильного телефона. В ряде случаев сервис мог требовать получение кода по смс для входа в аккаунт, в случае, если человек ввел корректный логин и пароль, но зашел с нового устройства. Подтверждение по SMS смогло отбить от взломов всяких школьников и мелких программеров, однако профессионалы стали оказывать услуги и по взлому сим-карт. Обычно такие карточки просто клонировали, предварительно узнавая номер жертвы. В итоге появилось второе поколение двухфакторной авторизации — через специальное приложение. Для входа в аккаунт требуется, как обычно, вводить логин и пароль, после чего в приложении на смартфоне подтверждать вход с помощью уникальной цифровой комбинации, которая доступна для ввода в течение очень короткого времени (например, 15 секунд). Среди первых внедривших такую систему сайтов стали криптовалютные биржи, к примеру LocalBitcoins и Bitfinex.

Программы[править]

Для двухфакторной авторизации разработаны соответствующие приложения. Одним из первых таких приложений стало Enum, которое разработали в Вебмани для подтверждения всех операций в кошельках типа Light. Широкое хождение приложение не получило, несмотря на прорывной характер его работы и сложность взлома.

В настоящее время для широкого круга сайтов имеется поддержка Google Authenticator. Для регистрации в нем необходимо получить уникальный QR-код, после чего каждый раз при входе на нужный сайт подтверждать вход с помощью уникального шестизначного PIN, который генерируется раз в 15 секунд приложением. В последнее время появилось много разных менее известных приложений для 2FA: Microsoft Authenticator, FreeOTP, Яндекс.Ключ,

Недостатки[править]

В случае, если недостаточно хорошо проработана процедура восстановления доступа к аккаунту в обход 2FA возможна полная утеря доступа его владельцем в случае, если, например, устройство, используемое для подтверждений было утеряно или перестало работать. С другой стороны, процедуры восстановления как раз используют опытные взломщики для компрометации аккаунтов, таким образом, абсолютной безопасности 2FA не обеспечивает. Главный недостаток - невозможность регистрации на таких сервисах как яндекс при полном отсутствии смартфона. А здравомыслящий человек никогда не будет носить с собой это устройство слежения с функцией звонков. А еще более здравомыслящий заметит, что яндекс - параша, а во всех нормальных сервисах можно получиить, так называемый TOTP ключ и воспользоваться им в безопасных менеджерах паролей (KeePass, etc.), форки которых есть почти под любые операционные системы.

Ссылки[править]

Internet2.png Великая сеть, которая переменила течения мира
Это интернет, деткаИнтернетыДаркнетУведомления в браузереВеб-скрейпингWWWПросмотр стрима в фонеWeb ArchiveИнфоповодОткрытый проксиСайтБраузеркаБугагашечкиДейтингЗаработокИдентификация пользователейИмиджбордаИмиджхостингИнтернет-магазинИнтернет-сервисыПокровитель интернетовКаталог сайтовАссоциация блогеров и агентствОлдфагЧебурнетАнкетаАватарИзоляция российских сайтовВидеохостингТильтGoogle дуракИнфобизнесменStalinism.ruРеестр запрещённых сайтовФайлообменникФотобанкХакеры, крекеры, спамы, кукиЗакат эпохи анонимусаТроллингВеб 3.0Интернет-энциклопедияСтриминговый сервисБлокировщики рекламыВеб-камераИнтернет-знаменитостьGoogle ChromeOperaMozilla FirefoxSafariFirefoxHttpHTTPSКритерий ХомакаПеревод в онлайнОблачное хранилище404 ошибкаДвухфакторная авторизацияВикипедияЭлектронная почтаРунетТвиттерHTML5Moswar.ruRu-CenterCerberxБизнес 18+ПИОННенавистьПолитика предотвращения распространения ватной чумыЭджлордВидеоПанорамное видео 360Нейтралитет в информационной войнеПервый поток влогеров рунетаЛысый из BrazzersЛагиНиколай ДуровОпараш ДуроваGoodbyeDPIАвтопереводчикКтотут.рфИнформация
ОбщениеBadComedianГерман Клименко3,5 анонимусаБокс по перепискеВирусное видеоАнальная модерацияAnonymousWebMoneyButthurtIRC (/me/quit#[email protected]) • Интернет-пейджинг (MirandaQIPСкайпICQЖаббер) • ГостевухаЦитатникЧат (Вап-чат) • ВотсапПездузаТелеграмПсевдоинтернетКаомодзиАвтоудаление сообщенийIRC-каналЧат-ботКопипастаПлейлистВзлом телеграмаFinal Data (веб-сериал)СтримыСкайлинкHid24.comРелиз-группаОфициалкаЧат-рулеткаНобрНетсталкингПремия РунетаИнформационный окопВоенный интернет РоссииНенависть к ТрампуКамрады Гоблина-ПучковаКлиент всегда правТопор 18+БотнадзорЛождь (канал)Занесение в чёрный список в соцсетяхЗосимаКаптча с пчёламиДеанон Ромы КарповаТроллфейсияНейтралофагFlexAirНадоела политотаВечные ссылкиЧёрный пиар
БлоггингАлександр ГагинЕвгений АнтиповXatabФильтр нецензурных выраженийБейтЦвет Чака НоррисаTelegram PremiumСкачивание видео с YouTubeЗапрет мата в социальных сетяхОбъединённая Армия БуллингаИнкубаторБлогосфераБлог (МалоблогПодкаст) • Премиум-аккаунтОбмен лайкамиОтзовикТревел блогПодпискаAdobe MingКиберсквоттерыCrawc.netIce Bucket ChallengeПочта ПотупчикСетятам о зверятахАнальный вахтёрАнонизмФейсбукСпорИнформационная военная базаФейковые аккаунтыКомментарииКремлеботы из ОльгиноИнформационно-историческая войнаЕвреи ЛивииЮзверьTgstatРеспублика Песчаная ГлинкаEcosiaУгрозы Мэддисону от мусульманКонфачРегистрация блогеров в РоскомнадзореOpera GX
ГлобализацияВычислю по IPИнтернет-дебилыРаздельный интернетСинонимайзерCackleКоммунизм в интернетеBB-кодыВлоггерЗапрет анонимных сим в РоссииWAPWiki-проектыВеб 0.0Веб 1.0Веб 2.0Мобильный интернетРунетСоциальная сетьСкайнетПиндонетЗаповеди интернетаПравила интернетовОтветыФлешмоб (самые известные) • Замедление сайтаReCAPTCHAИнтернет-цензура на ЗападеАчивкаАккаунт-однодневкаСтиль SCPТик-ток войны9111Сыграть в ящикAVIF
ТипажиЧСВKillnetИнтернет-феминизмРоскомсвободаЭхо-камераРусские хакерыАдминАнонимусБелый рыцарьМодераторОптимизаторПредыдущий ораторСетевые онанистыТролльХакерЛамерКопирайтерЦифровой кочевникИнтернет-антикварИнтернет-ворАлисаМамкин циник-мизантропАссоциация БосоногихGoogle DorksNAFOLadybirdПчелиная капчаПсевдопрозрачные картинкиЕлена ТрусоваФлеш-игрыИнформационно-художественная войнаНовостная войнаКритикаЮрий БошниковНарушение авторского праваПавел Дуров разбил телефонТрупоедство
ТерминыVPNПрокси-сервер (SOCKS-прокси) • Управление репутацией404ADSLBitcoinDDoSFAQGPONI2PIPv6localhostMediaGetNO CARRIERSEOTorTOSViaWi-FiАккаунтБанБотБотнетВиртуалВордфильтрГолосование ногамиДиалапДомашняя страницаДорвейИнвайтКликбейтКомментКомьюнитиКикКириллические доменыЛесенкаЛинкЛогЛокалкаМемНикОфлайнОффтопикПисьма счастьяПоисковая бомбаПост (Некропост) • ПремодерацияПруфлинкРерайтингСабжСимпафкаСиндром вахтёраСкриншотСмайлСпамСпойлерТрафикТредТроянФлудФорумХотлинкингЭто вашеЮзерпикАнонимностьШок-сайтыПингИКСUser-AgentБраузерWhoisURLДесинкРазметка реддита🤡Цифровая некромантияЗаднеприводная каптчаЭффект АстольфоКвантовый интернетИнформационный вирусОнлайнЛайкСторисХештегPunycodeЧастный сайтПоддерживатьИнтернет-проектФорк
ПоставщикиБлокировки TOR в РоссииЦепочка проксиУчёт интернет-рекламы в РоссииProxifierПоисковые запросыСоветский интернетВеб-мастерИнтернет шоу-бизнесЛокальная сеть в масштабах страныВизуальный троллингАкадоВолгаТелекомДом.руИскраМакхостСитилайнСтримWibyЮТКЯндексПавел ДуровEMPRESSAlanWakeIP-адрес (Статический IP-адресДинамический IP-адрес) • Обход блокировкиStarlinkРоссийский интернет-форумЛарри ПейджСергей БринJavaScriptPHPOpera VPNHTMLCSSВилле ХакомякиMariaDBИзменение TTL сетевых пакетовТоррент (ΜTorrentMagnet-ссылка) • Archive TeamАрхив АнныАркадий ВоложСпам-листСтримT2NamecheapРостелекомБезопасная юрисдикцияСэми КамкарAGPLСтримерСерверDigitalOceanТян не нужныВася ПупкинNewgrounds
МемыНюдсочетвергОтпечаток браузераТроллинг тупостьюSpecial OlympicsВ Интернете кто-то неправЮзерCMS.tkЛахтаЧел из инета.onionSkotobaza.orgВселенная СамосбораТоррент-трекерТупичок ГоблинаАська-однодневкаМясо, матюки, убийства и голые сиськиГенерация интернет-контентаВебкам-студияЦифровой петухВархаммер против пониTilt (Google)Проход в хохлыШитпостингДизлайкНьюфагНоворегЗакрепАноним хуже содомитаСетепетухВейшнорияРина ПаленковаЗакулисьеИнландияБурление говнКапчаOchko123А мы смеемся и просим ещёОнлайн-петицияSCP-166 Суккуб-подростокЖивотные за компьютеромКарма (интернет-сайты)Бомбит пуканБаннерыАнтиспамPrizrak Night-ForestИдиотекаБесконечный эпизод Губки БобаСтикерыМария ИльинаBasedgeТестыСвободолюбие Павла ДуроваКакой-то не такой текстингЕкатерина МизулинаМетаиронияГенератор имёнКопротивлениеСлова-маркеры идиотаКопирование текстов онлайнНовый логотип ТвиттераДжулиан АссанжВсё, что попало в интернет, остаётся там навсегдаЦерковь СамсоноверыThe Internet is for something wrongMulter.ruОтрывокКремниевая пирамидаNostalgy.net.ruИзменение голосаПрогревПереобувкаГалактика знакомствКлоноводствоИнтернет-выборыКонфликт Дмитрия Пучкова и Сергея ИвановаХейтерыSCP-1461 ЧервьСпидран банаДед ногтей насыпал
Проблемы и злоВозрастное ограничениеЦензура в TelegramПлатный поиск в ИнтернетеТебя в гугле забанилиАвтозамена на проксиБитва за Le Cosy MontparnasseСпамботАлгоритм НемезидаРевью-бомбингТроллинг верификации в ТвиттереРеклама в ТелеграмеИнтернет-луддитыКукловодТуалетный профильБаяновая революцияЗахват сервераСлив файлов Яндекса в январеКопирование и вставка текста на сайтах с запретомЗамена словОтключение интернетаЦензура в социальных сетяхАвторские праваСкрытый банУтечка данныхШокирующее видеоСимпРоскомнадзор (Роскомнадзор-тян) • СрачХайпЦифровизацияЦифровой следИнтернет-цензураИдентификация пользователей Wi-FiЧёрный списокАккаунт угналиФейкЗабастовка на реддите из-за платного APIAutoModeratorОбида на клоунаСтена текстаДисконнектВзлом электронной почтыФактчекИнтернет-ракАттеншен вхореДобровольно-принудительная регистрацияИзгнание ДуроваБлокировка сайтов по беспределуМ125Виртуальные инстаграмщицыПоломка зоны .ru в январе 2024 годаГлобальный сбой интернетаНаказание за скачивание пиратского контентаПротоколированиеBrain rotНарастание интернет-цензуры в РФИнтернет-зависимостьЗакон ГодвинаСетевой сумасшедшийРоскомнадзор обделался против ТвиттераРотшильды не общаются в интернетахMurka SenseiЗависимость 18+Блокировки электронной почты в РФМурка сенсейАтака Роскомнадзора на YouTube в ноябре 2020Робот-стукачВиртуальная жизньОпараш Mozilla FirefoxЯндекс.МузыкаПартнерка Яндекс БраузераГномы воруют