Подвійне підтвердження. Вивчаємо двухфакторную аутентифікацію Android, iOS і Windows 10 Mobile

1. Зміст статті Паролі не зламує тільки ледачий. Недавня масовий витік облікових записів з Yahoo тільки...
2. двоетапна перевірка
3. Наскільки це безпечно?
4. Як зламати аутентифікацію Apple
5. як захиститися
6. двухфакторная аутентифікація
7. Наскільки це безпечно
8. Як зламати двухфакторную аутентифікацію
9. як захиститися
10. Продовження доступно тільки учасникам
11. Варіант 2. Відкрий один матеріал

Зміст статті

Паролі не зламує тільки ледачий. Недавня масовий витік облікових записів з Yahoo тільки підтверджує той факт, що одного лише пароля - і зовсім неважливо, який він буде довжини і складності, - вже недостатньо для надійного захисту. Двухфакторная аутентифікація - це те, що обіцяє дати такий захист, додаючи додатковий рівень безпеки.

В теорії все виглядає непогано, та й на практиці, в общем-то, працює. Двухфакторная аутентифікація дійсно ускладнює злом облікового запису. Тепер зловмиснику недостатньо виманити, вкрасти або зламати основний пароль. Для входу в обліковий запис необхідно ввести ще і одноразовий код, який ... А ось яким саме чином виходить цей одноразовий код - і є найцікавіше.

Ти неодноразово стикався з двухфакторной аутентификацией, навіть якщо ніколи не чув про неї. Коли-небудь вводив одноразовий код, який тобі надсилали через СМС? Це воно, окремий випадок двофакторної аутентифікації. Допомагає? Чесно кажучи, не дуже: зловмисники вже навчилися обходити і цей вид захисту.

Сьогодні ми розглянемо всі види двофакторної аутентифікації, яка застосовується для захисту облікових записів Google Account, Apple ID і Microsoft Account на платформах Android, iOS і Windows 10 Mobile.

Apple

Вперше двухфакторная аутентифікація з'явилася в пристроях Apple в 2013 році. В ті часи переконати користувачів в необхідності додаткового захисту було непросто. В Apple не стали і намагатися: двофакторна аутентифікація (що отримала назву двоетапної перевірки, чи Two-Step Verification) використовувалася тільки для захисту від прямого фінансового збитку. Наприклад, одноразовий код був потрібний при здійсненні покупки з нового пристрою, зміні пароля і для спілкування зі службою підтримки на теми, пов'язані з обліковим записом Apple ID.

Добром це все не скінчилося. У серпні 2014 року сталась масовий витік фотографій знаменитостей . Хакери зуміли отримати доступ до облікових записів жертв і завантажили фото з iCloud. Вибухнув скандал, в результаті якого Apple в спішному порядку розширила підтримку двоетапної перевірки на доступ до резервних копій і фотографій в iCloud. В цей же час в компанії тривали роботи над методом двофакторної аутентифікації нового покоління.

двоетапна перевірка

Для доставки кодів двоетапна перевірка використовує механізм Find My Phone, спочатку призначений для доставки push-повідомлень і команд блокування в разі втрати або крадіжки телефону. Код виводиться поверх екрану блокування, відповідно, якщо зловмисник добуде довірена пристрій, він зможе отримати одноразовий код і скористатися ним, навіть не знаючи пароля пристрою. Такий механізм доставки - відверто слабка ланка.

Також код можна отримати у вигляді СМС або голосового дзвінка на зареєстрований телефонний номер. Такий спосіб нітрохи не більше безпечний. SIM-карту можна витягти з непогано захищеного iPhone і вставити в будь-який інший пристрій, після чого прийняти на неї код. Нарешті, SIM-карту можна клонувати або взяти у стільникового оператора по підробленої довіреності - цей вид шахрайства зараз придбав просто епідемічний характер.

Якщо ж у тебе немає доступу ні до довіреній iPhone, ні до довіреній телефонним номером, то для доступу до облікового запису потрібно використовувати спеціальний 14-значний ключ (який, до речі, рекомендується роздрукувати і зберігати в безпечному місці, а в поїздках - тримати при собі ). Якщо ж ти втратиш і його, то мало не здасться: доступ до свого облікового запису може бути закритий назавжди.

Наскільки це безпечно?

Якщо чесно не дуже. Двоетапна перевірка реалізована з рук геть погано і заслужено отримала репутацію гіршою системи двофакторної аутентифікації з усіх гравців «великої трійки». Якщо немає іншого вибору, то двоетапна перевірка - це все ж краще, ніж нічого. Але вибір є: з виходом iOS 9 Apple представила абсолютно нову систему захисту, якій дали нехитре назву «двухфакторная аутентифікація».

У чому саме слабкість цієї системи? По-перше, одноразові коди, доставлені через механізм Find My Phone, відображаються прямо на екрані блокування. По-друге, аутентифікація на основі телефонних номерів небезпечна: СМС можуть бути перехоплені як на рівні провайдера, так і заміною або клонуванням SIM-карти. Якщо ж є фізичний доступ до SIM-картки, то її можна просто встановити на інший пристрій і отримати код на абсолютно законних підставах.

Також май на увазі, що злочинці навчилися отримувати SIM-картки замість «загублених» за підробленими дорученнями. Якщо твій пароль вкрали, то вже дізнатися твій номер телефону - нікчемна справа. Підробляється довіреність, виходить нова SIM-карта - власне, для доступу до твоєї облікового запису більше нічого і не потрібно.

Як зламати аутентифікацію Apple

Зламати цей варіант двофакторної аутентифікації досить нескладно. Є кілька варіантів:

• вважати одноразовий код з довіреної пристрої - розблокувати не обов'язково;
• переставити SIM-карту в інший апарат, отримати СМС;
• клонувати SIM-карту, отримати код на неї;
• скористатися двійковим маркером аутентифікації, скопійованих з комп'ютера користувача.

як захиститися

Захист за допомогою двоетапної перевірки несерйозна. Не використовуй її взагалі. Замість неї включи справжню двухфакторную аутентифікацію.

двухфакторная аутентифікація

Друга спроба Apple носить офіційну назву «двухфакторная аутентифікація». Замість того щоб змінити попередню схему двохетапного перевірки, дві системи існують паралельно (втім, в рамках одного облікового запису може використовуватися лише одна з двох схем).

Включення двофакторної аутентифікації

Двухфакторная аутентифікація з'явилася як складова частина iOS 9 і вийшла одночасно з нею версії macOS. Новий метод включає додаткову перевірку при будь-якій спробі зайти в обліковий запис Apple ID з нового пристрою: на всі довірені пристрої (iPhone, iPad, iPod Touch і комп'ютери під управлінням свіжих версій macOS) моментально приходить інтерактивне повідомлення. Щоб отримати доступ до повідомлення, потрібно розблокувати пристрій (паролем або датчиком відбитку пальців), а для отримання одноразового коду потрібно натиснути на кнопку підтвердження в діалоговому вікні.

Як і в попередньому методі, в новій схемі можливе отримання одноразового пароля у вигляді СМС або голосового дзвінка на довірений телефонний номер. Однак, на відміну від двоетапної перевірки, користувачеві в будь-якому випадку будуть доставлені push-повідомлення, і неавторизовану спробу зайти в обліковий запис користувач може заблокувати з будь-якого зі своїх пристроїв.

Повідомлення про спробу увійти в обліковий запис

Підтримуються і паролі додатків. А ось від коду відновлення доступу в Apple відмовилися: якщо ти втратиш свій єдиний iPhone разом з довіреною SIM-картою (яку з якихось причин не зможеш відновити), для відновлення доступу до облікового запису тобі доведеться пройти справжній квест з підтвердженням особи (і немає, скан паспорта таким підтвердженням не є ... та й оригінал, що називається, «не канал»).

Зате в новій системі захисту знайшлося місце для зручної і звичної офлайновой схеми генерації одноразових кодів. Для неї використовується абсолютно стандартний механізм TOTP (time-based one-time password), який кожні тридцять секунд генерує одноразові коди, що складаються з шести цифр. Ці коди прив'язані до точного часу, а в ролі генератора (аутентифікатора) виступає саме довірена пристрій. Коди видобуваються з надр системних налаштувань iPhone або iPad через Apple ID -> Password and Security.

Отримуємо одноразовий код

Ми не станемо детально пояснювати, що таке TOTP і з чим його їдять, але про основні відмінності реалізації цього методу в iOS від аналогічної схеми в Android і Windows розповісти все-таки доведеться.

На відміну від основних конкурентів, Apple дозволяє використовувати в якості аутентифікатор виключно пристрої власного виробництва. В їх ролі можуть виступати довірені iPhone, iPad або iPod Touch під керуванням iOS 9 або 10. При цьому кожен пристрій инициализируется унікальним секретом, що дозволяє в разі його втрати легко і безболісно відкликати з нього (і тільки з нього) довірений статус. Якщо ж скомпрометований виявиться аутентифікатор від Google, то відкликати (і заново форматувати) доведеться статус всіх ініціалізованих аутентифікатор, так як в Google вирішили використовувати для ініціалізації єдиний секрет.

Наскільки це безпечно

У порівнянні з попередньою реалізацією нова схема все ж більш безпечна. Завдяки підтримці з боку операційної системи нова схема більш послідовна, логічна і зручна у використанні, що важливо з точки зору залучення користувачів. Система доставки одноразових паролів також істотно перероблена; єдине що залишилося слабка ланка - доставка на довірений телефонний номер, який користувач як і раніше повинен верифікувати в обов'язковому порядку.

Тепер при спробі входу в обліковий запис користувач миттєво отримує push-повідомлення на всі довірені пристрою і має можливість відхилити спробу. Проте при досить швидких діях зловмисник може встигнути отримати доступ до облікового запису.

Як зламати двухфакторную аутентифікацію

Так само як і в попередній схемі, двухфакторную аутентифікацію можна зламати за допомогою маркера аутентифікації, скопійованого з комп'ютера користувача. Атака на SIM-карту теж спрацює, але спроба отримати код через СМС все ж викличе повідомлення на всіх довірених пристроях користувача, і він може встигнути відхилити вхід. А ось підглянути код на екрані заблокованого пристрою вже не вдасться: доведеться розблокувати девайс і дати підтвердження в діалоговому вікні.

Витягти маркер аутентифікації з комп'ютера можна за допомогою Elcomsoft Phone Breaker

як захиститися

Вразливостей в новій системі залишилося не так багато. Якби Apple відмовилася від обов'язкового додавання довіреної телефонного номера (а для активації двофакторної аутентифікації хоча б один телефонний номер верифікувати доведеться в обов'язковому порядку), її можна було б назвати ідеальною. На жаль, необхідність верифікувати телефонний номер додає серйозну уразливість. Спробувати захиститися можна точно так само, як ти захищаєш номер, на який приходять одноразові паролі від банку.

Продовження доступно тільки учасникам

Варіант 1. Приєднайся до товариства «Xakep.ru», щоб читати всі матеріали на сайті

Членство в співтоваристві протягом зазначеного терміну відкриє тобі доступ до ВСІХ матеріалами «Хакера», збільшить особисту накопичувальну знижку і дозволить накопичувати професійний рейтинг Xakep Score! Детальніше

Варіант 2. Відкрий один матеріал

Зацікавила стаття, але немає можливості стати членом клубу «Xakep.ru»? Тоді цей варіант для тебе! Зверни увагу: цей спосіб підходить тільки для статей, опублікованих більше двох місяців тому.