2 ноября 2016 в 14:48

Двухэтапная аутентификация - давай до свидания

• IT-компании

Двухэтапная аутентификация. Хорошая идея, но на практике только упрощающая получение доступа к вашим данным, т.к. включает в себя слишком много дополнительных участников, которые тоже могут иметь свои уязвимости.

Давно собирался написать об этом, но как то не доходили руки. На днях уже на себе ощутив всю прелесть данного метода защиты, решил что время таки пришло.

Итак, двухэтапная аутентификация подразумевает под собой дополнительную защиту ваших электронных данных через привязку мобильного телефона и подтверждения входов или иных операций через SMS.

Ситуация: человек теряет телефон. В моем случае, не новый, но любимый, телефон подаренный девушке. Спустя пол часа после «утери» его успешно отвязывают от iCloud. На телефоне был установлен нестандартный пароль разблокировки, активирован TouchID, пароль iCloud уверенно попадает под категорию сложных. Телефон блокирован через службу FindMyIphone.

Первый кейс

Злоумышленник узнает Apple ID под который подвязан телефон, а также номер телефона. Методов для этого - на любой вкус, так что пропустим этот момент. Допустим это почта зарегистрированная в Google.

Действие первое: человек заходит на адрес почтовика и жмет восстановление пароля к имеющемуся адресу, выбирая смс подтверждение.

Действие второе: телефон защищен паролем и отображение входящих сразу на экране отключено. Окей, просим Siri озвучить последнее сообщение и несмотря на блокированное устройство - получаем код.

Альтернативный вариант: после отправки смс, выбираем звонок и спокойно принимаем его на блокированном устройстве. Код получаем через озвучивание его IVR’ом.

Действие третье: вводим код сброса пароля в форму почтовика, придумываем новый пароль и получаем контроль над учетной записью.

Действие четвертое: идем на appleid.com запрашиваем сброс и получаем код для этого на уже захваченную почту.

Действие пятое: отвязываем устройство от учетной записи, проделав уже совсем простые операции по смене секретных вопросов.

Занавес.

Стоит отметить, что процедура восстановления доступа к аккаунту Apple, может отличаться и в некоторых случаях подразумевать и более легкий способ - выбор в форме восстановления доступа к аккаунту «телефон» и получения кода для ввода пароля напрямую на сайте Apple ID. Способ работает в случае, если устройство уже некоторое время закреплено за учетной записью и защищено паролем или TouchID. Не будем останавливаться на этом.

Второй кейс

Предположим, злоумышленнику требуется получить доступ к данным, но телефона к которому подключено подтверждение через номер доступа нет. Более того, в отличии от первого кейса, злоумышленник изначально знает «кого» он пытается взломать. Целью выступает почта.

Не возьмусь говорить о других странах, но в Украине у операторов сотовой связи существуют процедуры, следуя которым и ответив на определенные вопросы оператора кол центра можно попросить сброс пароля личного кабинета.

Действие первое: Злоумышленник звонит в том время, когда жертва спит, в КЦ оператора, с любого телефона, говорит, что ему требуется получить доступ к личному кабинету, но перезвонить с телефона к которому этот кабинет привязан возможности нет. Далее следует серия вопросов, ответы на которые несложно получить заранее. Не буду останавливаться на этом пункте, но примерно с пяти попыток, не привлекая внимание и используя разные номера телефона для тестовых звонков в КЦ можно собрать список всех необходимых вопросов, которые одинаковы и для получения информации по расходам абонента, и для восстановления сим карты абонентов предоплаченной формы связи и для восстановления доступа к личному кабинету.

Действие второе: злоумышленник получает доступ к кабинету жертвы, где устанавливает переадресацию всех звонков на свой номер телефона. Или же переадресацию SMS, если это технически позволяет кабинет.

Действие третье: на gmail запрашивается сброс пароля через номер телефона. После отправки смс, можно указать, что оно не было получено и запросить звонок, тестово, кнопка звонка появилась через 60 секунд после отправки SMS.

Действие четвертое: получив код для сброса пароля на gmail через IVR почтовика, злоумышленник получает доступ к почте жертвы, и соответственно, к большей части аккаунтов, которые закреплены за этой почтой.

Выше я указывал, что такие действия обычно выполняются в ночное время суток. Расчет на то, что при получении SMS с кодом, жертва его не увидит т.к. будет спать. Если же личный кабинет мобильного оператора жертвы взлома поддерживает функцию установки переадресации SMS сообщений, время суток перестаёт играть роль.

Третий кейс

Кейс может быть применен, когда жертва взлома представляет определенный финансовый или личный интерес, лежащий за пределами «почитать переписку в соц. сети» или разблокировать ворованный телефон. Третий кейс идентичен второму, однако подразумевает большие денежные затраты.

Несложно найти человека, который будет устроен на работу в КЦ интересующего оператора связи, где уже с первых дней стажировки, этому сотруднику представят личный пароль к системе обслуживания абонентов, в том числе к функции просмотра детализации звонков (с или без последних цифр, возможно), а так же панели управления пользовательскими сервисами, в том числе переадресациями, о которых писал в кейсе выше. Возможно, личный пароль будет предоставлен позже, в таком случае, обучение нового сотрудника производят на логине\пароле уже опытного сотрудника КЦ, который с большей долей вероятности уже имеет доступ ко всем нужным функциям. Данный кейс затратен, только если не с чем сравнивать и, разумеется, целиком зависит от цели.

Используя приведенные элементарные кейсы, или их вариации, на которых нет смысла останавливаться, достаточно несложно получить доступы к различным сервисам и кабинетам. К сожалению, хорошо работающие меры защиты при комбинировании, порой, могут дать обратный результат лишь повысив шанс взлома.

Методы защиты: не использовать двухэтапную аутентификацию в любых важных сервисах. По возможности, избегать добавки используемого номера телефона в любых интернет сервисах, даже если номер в итоге скрыт настройками приватности. Он может быть скрыт из отображения, но получен через средства поиска или восстановления паролей этих же самых сервисов.

В части операторов связи действуют иные процедуры обслуживания абонентов, в той или иной мере повышающие безопасность пользователя, однако в любом случае - вопрос лишь в том, насколько лично вы интересны тому, кто будет работать над получением доступа к вашим личным данным. Кроме того, я постарался поверхностно описать возможные и проверенные векторы атаки, но это не означает, что я описал их все, как не означает и то, что защищаясь от одних, мы не подставимся под другие.

В завершении поста, хочу добавить, что не являюсь экспертом в вопросах ИБ, не имею к ней никакого отношения по роду занятий, скорее это просто личный интерес.

Это моя первая публикация. Не судите строго, возможно, для кого то я описал очевидные вещи, но может быть кому то другому эта информация будет полезной и позволит хоть немного сократить шанс потери или компрометирования своей личной информацией.

Что такое авторизация и деавторизация?

Для начала немного теории. Система авторизации и деавторизации является механизмом идентификации компьютеров, которые подключены к iTunes Store. Проще говоря, при авторизации компьютеров происходит «привязка» их к вашей учетной записи. В результате вы можете воспроизводить, скачивать или удалять музыку, которую купили и хранили в «облаке» сервиса iTunes Match. При этом всегда требуется авторизация компьютера в iTunes Store, если вы захотите скачать оттуда ранее купленные музыкальные произведения. Например, даже если вы загружаете программу в память iPhone с помощью кабеля синхронизации или просто «заливаете» на жесткий диск давно приобретенный альбом. Эти манипуляции можно делать только после авторизации устройства. Для этого нужно повторно ввести пароль от своей учетной записи – тогда iTunes «запомнит» ваш PC или Mac и разрешит работать с вашим аккаунтом Apple ID. В случае если на одном и том же ПК установлены несколько операционных систем, авторизация требуется для каждой из них.

Ужесточение таких правил связано с борьбой с музыкальным пиратством, проводимой звукозаписывающими компаниями. Поэтому Apple распространила ограничение на количество компьютеров, которые будут скачивать купленный в iTunes Store и App Store контент. К смартфонам, плеерам и планшетам компании это пока не относится. Но PC и Mac попали в жесткие рамки: авторизация разрешена только для пяти компьютеров одновременно.

Как только исчерпаете этот лимит, и нужно будет зарегистрировать шестой, то вы оказываетесь перед выбором: или сделать деавторизацию одного из предыдущих PC или Mac, или сделать обнуление всего списка ранее авторизованных устройств. Второй вариант подразумевает повторную авторизацию каждого компьютера.

Как авторизовать компьютер?

Зайдите в iTunes, после чего:
для Windows, нажав на Alt, в выпавшем меню нажимайте на вкладку «Магазин» – «Авторизовать этот компьютер…»;
для Mac открывайте вкладку «Магазин», которая находится в верхней панели инструментов, выбрав «Авторизовать этот компьютер…»
После введения пароля со своего аккаунта авторизация компьютера будет завершена.

Как деавторизовать компьютер, если к нему есть доступ?

Откройте iTunes. Если он был ранее удален, установите этот медиаплеер. Войдите в свою учетную запись в iTunes Store, после чего:
для Windows, нажав на Alt, в выпавшем меню нажимайте на вкладку «Магазин» – «Деавторизовать этот компьютер…»;
для Mac открывайте вкладку «Магазин», которая находится в верхней панели инструментов, выбрав «Деавторизовать этот компьютер…».
После введения пароля со своего аккаунта ПК будет деавторизован, предоставив «место» любому другому.

Как сделать деавторизацию сразу всех компьютеров?

Откройте iTunes. Если он был ранее удален, установите этот медиаплеер. После выбора вкладки iTunes Store войдите в свой аккаунт Apple ID. В верхнем левом углу найдите кнопку «Почта». Нажмите ее. Введите пароль.

В появившемся окне выберите строку «Авторизация компьютеров» и нажмите на кнопку «Деавторизовать все». Сделать это можно лишь раз в 12 месяцев. Иначе вы будете каждый свой компьютер авторизовывать вручную. Хотя в этом тоже есть плюс: не нужно искать, какие машины были авторизованы изначально. Такой вариант подойдет, когда вы продали ноутбук или потеряли его, или же с нуля переустановили ОС.

Как повторно за год деавторизовать все компьютеры?

Зачастую одной полной деавторизации за год мало. Со мной так и получилось: последний раз я это делал в конце весны, а осенью умудрился накопить 5 авторизованных ПК в основном аккаунте. Это не означает, что теперь мне нужно ждать целый год (в Apple все продумали). Но теперь еще одну полную деавторизацию придется делать вручную. Точнее заручившись помощью технической поддержки Apple.

Итак, откройте страницу технической поддержки Apple, которая занимается вопросами с iTunes Store. Внимание! Выбирайте техническую поддержку именно США, а не России. Причем страна проживания и Apple ID, который вами используется, значения не имеют. В левом верхнем углу выберите иконку с изображением флага США. Если автоматически «подбросилась» Россия, жмите на флаг и выбирайте США вручную.

Выбрав пункт «Account Management» в выпадающем меню кликните на строку «iTunes authorization or de-authorization».

В открывшемся окне выберите «Email».

Заполните форму обращения в техническую поддержку. Внимание! На английском языке! Заполните поля «First name» и «Last name», указав свои имя и фамилию. В поле «Email adress» напишите адрес электронной почты. В поле «Apple ID» обязательно укажите свой Apple ID. Потом ниже нажимайте на «Other». В выпадающем списке выберите Россию («Russia»). И напоследок. В большом окне внизу по-английски напишите что-то вроде: Здравствуйте! Мне действительно нужна авторизация всех компьютеров, которые связаны с моей учетной записью. Я это уже делал недавно, но сейчас просто не могу получить доступ к некоторым из них для выполнения ручной деавторизации. Спасибо!»
Нажимайте на Continue и ожидайте ответа от техподдержки, который придет на ваш е-мейл. Как правило, ответ придет после 24-48 часов.

Если вы верно указали все данные, а имя и фамилия совпали с имеющимися в аккаунте Apple ID, то службой поддержки сразу деавторизуются все компьютеры в вашем аккаунте Apple ID. Может быть и не стоит отвечать на их утвердительное письмо, но поблагодарить не помешает.
Вот и все. Все ваши любимые компьютеры могут быть подключены к вашему аккаунту iTunes и App Store. Только впредь не забывайте сделать деавторизацию, если надумаете продавать компьютер или переустанавливать на нем операционную систему.

Steam Guard - это дополнительный уровень безопасности, который может быть использован на вашем аккаунте Steam. Первый уровень безопасности - ваши учётные данные: логин аккаунта и пароль. Активированная функция Steam Guard усложнит доступ к аккаунту для сторонних лиц.

Если на аккаунте активирована функция Steam Guard, для входа в него с неавторизованного устройства потребуется специальный код доступа. В зависимости от ваших настроек Steam Guard, код доступа вы получите или в сообщении, отправленном на контактный адрес электронной почты, или через мобильное приложение Steam.

Как активировать Steam Guard через электронную почту?

По умолчанию функция Steam Guard активируется на аккаунте, если вы подтвердили адрес электронной почты, указанный при регистрации, и дважды перезапустили приложение Steam после этого. Если вы отключили эту функцию и хотите активировать её снова, пожалуйста, следуйте данным инструкциям:

1. Подтвердите адрес электронной почты, к которому привязан аккаунт Steam.
   Вам необходимо подтвердить адрес электронной почты, к которому привязан аккаунт Steam. Подробнее об этом прочтите в данной статье . Проверить, подтверждён ли ваш адрес, можно на странице «Об аккаунте». Подтверждённый адрес электронной почты будет иметь статус «Подтверждён».
2. Активируйте функцию Steam Guard в настройках Steam.
   После входа в клиент Steam вы можете активировать функцию Steam Guard: нажмите «Steam» в верхнем левом углу, выберите «Настройки», в разделе «Аккаунт» нажмите «Управление настройками Steam Guard…». Вы будете перенаправлены к управлению настройками Steam Guard.

Вот и всё! Теперь при каждом входе в Steam с неавторизированного устройства вам нужно будет ввести специальный код доступа, отправляемый на электронную почту.

Как активировать Steam Guard через смартфон?

Наилучший способ обеспечить безопасность аккаунта - использовать код, генерируемый приложением Steam. Таким образом вы разрешаете доступ к аккаунту с помощью физического устройства, которое держите в руках. Для этого вам понадобится установить на свой телефон бесплатное приложение Steam .

Ограничено ли количество устройств, которые можно авторизовать?

Нет, ограничения нет. Steam Guard защищает вашу собственность, а не ограничивает доступ к ней. Как и раньше, вы будете иметь доступ к аккаунту и библиотеке игр с неограниченного количества устройств.

Как отменить авторизацию устройства?

Если вы случайно нажали «Запомнить» при входе с общего компьютера или ваш аккаунт был взломан, отмените авторизацию всех компьютеров, которые ранее были авторизованы с помощью Steam Guard. Это можно сделать на странице «Об аккаунте» в разделе «Настройка Steam Guard». Нажмите на кнопку «Выйти на всех других устройствах» внизу страницы. Таким образом вы отмените авторизацию на всех устройствах, в том числе и на том, которое используете в настоящий момент.

Как получить новый код доступа Steam Guard?

По электронной почте: Выйдите из Steam и войдите обратно в свой аккаунт. Таким образом вы сгенерируете новое письмо с кодом.

По телефону: Мобильный аутентификатор автоматически генерирует код каждые 30 секунд.

Убедитесь, что вводите последний присланный вам код. Предыдущие коды не работают!

Что делать, если мне не приходят письма от Steam Guard?

Пожалуйста, убедитесь, что вы ищете письмо на почте, на которую зарегистрирован аккаунт Steam. Может быть, вы использовали другой адрес?

Если вы всё же не получили письмо, проверьте фильтры спама и ящик со спамом.

Добавьте адреса сайт и [email protected] в список контактов или в список проверенных адресов в почтовом клиенте и

Несмотря на то что мы отправляем письма с кодом мгновенно, некоторые почтовые сервисы могут доставлять их с задержкой, в зависимости от нагрузки на серверы и времени обработки. Пожалуйста, если вы не получили письмо с кодом по истечении 3 часов.

Почему у меня каждый раз требуют авторизовать новое устройство, хотя я вхожу с одного и того же устройства?

Скорее всего, это связано с настройками вашего браузера. Если настройки безопасности браузера установлены как «строгие», браузер не сохраняет файлы cookie с информацией о входе. Проверьте настройки браузера и убедитесь, что он использует файлы cookie.

Использование программ, очищающих историю, удаляющих неиспользуемые файлы, блокирующих создание файлов cookie или очищающих информацию в реестре, также может вызвать данную проблему. Устранить её можно, отключив эти программы.

Что делать, если после включения Steam Guard я не могу войти в аккаунт?

Если вы не можете войти в аккаунт, воспользуйтесь сайтом поддержки Steam

Повлияет ли включение Steam Guard на возможность входа на сторонние сайты, использующие аккаунт Steam?

Нет, Steam Guard никак не влияет на возможность входа на сторонние сайты с использованием аккаунта Steam.

Каким образом происходит кража аккаунта Steam при активированной функции Steam Guard?

Активированная функция Steam Guard означает, что вам необходимо иметь доступ к подтверждённому адресу электронной почты. Этот уровень защиты зависит от безопасности вашего адреса электронной почты. Ниже перечислены наиболее распространённые методы кражи аккаунтов при активированной функции Steam Guard:

1. Взлом электронной почты. Если электронная почта, которую вы подтвердили в Steam, была украдена или взломана, любой пользователь может войти в ваш аккаунт, если ему известен логин аккаунта. Злоумышленнику не нужно знать пароль от аккаунта, так как его можно изменить, имея доступ к электронной почте. Никогда не используйте одинаковый пароль для электронной почты и аккаунта Steam.
2. Получение доступа к файлу Steam Guard. Steam никогда не запрашивает файлы Steam Guard. Если вы передадите файл с расширением.ssfn кому-то другому, этот пользователь сможет получить доступ к вашему аккаунту, не имея доступа к электронной почте. Однако для успешного использования этого файла необходимо знать логин аккаунта и пароль.
3. Вредоносная программа. Взломщики могут использовать вредоносные программы для получения доступа к вашему компьютеру и последующему входу в аккаунт, используя уже авторизованное устройство. Если ваш аккаунт Steam открыт или вход в него осуществляется автоматически, взломщику необязательно иметь данные об аккаунте, чтобы получить к нему доступ. Используйте надёжную антивирусную программу с функцией постоянной защиты и не пользуйтесь подозрительными сайтами или файлами, чтобы ограничить доступ вредоносных программ к вашей системе.

Почему появляется сообщение «Steam Guard не включён» при отсутствующей кнопке Steam Guard?

Это происходит после того, как служба поддержки Steam восстанавливает доступ к аккаунту. Если эта кнопка отсутствует, перезапустите Steam.

Большинству пользователей яблочной техники приходится иметь дело с программой iTunes . Она предназначена не только iPhone, iPad и iPod Touch, но и для хранения медиатеки, совершения покупок, создания бэкапов и т.д.

Вконтакте

Если у Вас один или два компьютера — беспокоиться не о чем. Однако, если Вы часто меняете рабочие ПК или любите получать доступ к iTunes из разных мест — рано или поздно придется разобраться в авторизации и деавторизации рабочих машин.

Дело в том, что Apple позволяет пользователям подключать к одной учетной записи не более пяти компьютеров. Это значит, что Вы можете «привязать» к своей учетной записи несколько компьютеров, посредством которых можно получить доступ ко всем данным из облака iTunes Store с загруженными приложениями и купленной музыкой. Авторизация компьютера произойдет при первых действиях с аккаунтом . Это может быть воспроизведение музыки «из облака», покупка приложения и т.д. Обратите внимание, что при наличии на компьютере нескольких установленных операционных систем нужно будет «привязать» ПК в каждой их них. Затеяли в Apple все это в рамках программы по борьбе с пиратством. Если за компьютерами система следит жестко, то с мобильными устройствами все не так строго. Отсюда и пошли общие аккаунты Apple ID и покупка приложений на одну учетку.

Когда лимит в пять компьютеров исчерпан и Вы попытаетесь «привязать» к своей учетной записи шестой — будет предложено «отвязать» один из ранее активированных (для этого потребуется зайти в iTunes с него) или сбросить все компьютеры сразу. Это удобно, если Вы авторизировались на ПК друга, к которому необходимо идти или один из «привязанных» ПК продан или к нему нет доступа. Вместе с ними от Apple ID отвяжется и Ваш домашний или рабочий компьютер.

Привязать Mac или PC к учетной записи Apple ID не сложно. Для этого необходимо зайти в iTunes и выбрать пункт «Авторизация » -> «Авторизировать этот компьютер… » из меню «Учетная запись «. Обратите внимание, что строка с пунктами меню с недавнего времени скрыта для Windows ПК, для её отображения следует нажать «Alt».

Для отвязки компьютера от учетной записи следует выбрать пункт «Деавторизовать этот компьютер… » из того же меню «Учетная запись «.

Для того, чтобы отвязать сразу все компьютеры необходимо залогиниться в приложении iTunes (раздел Учетная запись ) и затем перейти в меню Просмотреть .

Далее следует нажать кнопку «Деавторизировать все «, после необходимые компьютеры необходимо авторизовать заново. Обратите внимание, что произвести это процедуру можно не чаще, чем раз в год. Такие условия обозначены в пользовательском соглашении iTunes. Деактивацию всех ПК желательно делать в крайнем случае. Например, если привязанным остался проданный или утерянный компьютер или нужно отвязать ПК, на котором была переустановлена ОС.

iTunes (или как его еще часто называют русскоязычные пользователи тунец) - это бесплатная программа от компании Apple, доступная для Mac и PC. Она позволяет организовать и упорядочить медиаконтент на компьютере, предоставляет возможность просмотра видео и прослушивания музыки, а также позволяет управлять приложениями для iPhone, iPad и iPod, включая их приобретение и загрузку из iTunes Store.

Для того, чтобы совершать покупки различных программ для iPhone и iPad вам нужно авторизовать компьютер в iTunes. Для этого в свою очередь необходимо иметь учетную запись в App Store, установленную на компьютере программу iTunes и работающее соединение с сетью Интернет.
Если все это у вас есть, то предлагаем вам ознакомиться с пошаговой инструкцией о том, как авторизовать свой компьютер в iTunes.

Существует ограничение на количество одновременно авторизованных в iTunes компьютеров, которое равно пяти. Поэтому, чтобы зайти с шестого компьютера вам нужно будет произвести деавторизацию на любом из пяти уже авторизованных. Кроме того, деавторизацию полезно проводить каждый раз, когда вы работаете на чужом компьютере. Если вы оставите его в авторизованном состоянии, то любой желающий сможет воспользоваться вашей учетной записью, чтобы сказать платные приложения и несанкционированно использовать ваши денежные средства.

Чтобы выполнить деавторизацию компьютера в iTunes нужно выполнить следующие шаги:

Можно деавторизоваться и по-другому. Для этого перейти в магазин iTunes Store и кликнуть левой кнопкой мышки по треугольнику справа от вашего адреса электронной почты. Во появившемся меню выбрать Выйти (если при регистрации вы выбирали русскую локализацию), или Sign Out (если регистрировались на англоязычные данные).

Также один раз в год есть возможность деавторизовать сразу все компьютеры, выполнив следующие действия:

Как видите, ничего сложного в том, чтобы авторизовать и деавторизовать свой компьютер в iTunes нет.