Двухфакторная аутентификация и Google authenticator
Зачем мне приходится настраивать двухфакторную аутентификацию. Мне надоел Google Authenticator, он тормозит, слетает, что это вообще такое?
Сегодня расскажу тебе:
- что такое f2a
- как работает
- как настроить
- какие проблемы могут возникать
- как бороться с проблемами
Двухфакторная аутентификация(f2a) — это система доступа, основанная на двух «ключах»: одним владеешь ты (телефон, флешка, еще что-то), другой ты запоминаешь (обычные логин и пароль). Суть подхода очень проста: чтобы куда-то попасть, нужно дважды подтвердить тот факт, что ты — это ты. Это очень сильно повышает безопасность.
Каким же образом телефон может выступить ключом, самый простой способ, это, как твой любимый сбербанк делает, через СМС-код. Тут правда скорее СИМ-карта выступает в роли ключа, но это не столь важно.
Недостатки этого способа:
- стоимость рассылки СМС, они далеко не бесплатны
- ненадежность в рассылке СМС
- небезопасно, так как смс появляется на экране телефона, и если злоумышленник рядом с ним, ему не надо разблокировать телефон, чтобы получить код
Плюсы этого способа:
- это очень просто для пользователя. Ты вообще не о чем не думаешь, и ничего не делаешь: СМС пришла, перепечатал и всё
Но как ты заметил, таким способом пользуются только внутри страны, а в международных сервисах, особенно, связанных с криптой, везде используется Google authenticator.
Окей, убедил, оставлю f2a. А как это работает вообще?
Если коротко, то на сервере гугла запущен алгоритм, который генерирует код, на основе текущего времени, и твоего публичного, и секретного ключа. И у тебя в приложении Google authenticator на телефоне запущен такой же алгоритм.
Когда ты вводишь код на каком-то сайте, сайт обращается к Гуглу и спрашивает, пользователь вот с таким публичным ключем пришел, и говорит, что у него генерировался такой код, это правда? Гугл сравнивает сгенерированный код на сервере, с тем кодом, который был сгенерирован на телефоне, и если они совпадают, он отвечает сайту - всё ок!
Тут ключевое было “на основе текущего времени”. Если время на телефоне будет установлено неверное, тогда оно не совпадает со временем на сервере, и сгенерированный код будет разным. Поэтому те, кто хотят пользоваться google authenticator, который основан на алгоритмах Time-based One-time Password Algorithm и HMAC-based One-time Password Algorithm, должны синхронизировать свои часы со вселенной.
К слову, самая распространенная проблема, из-за которой пользователи не могут пройти свою двухфакторную аутентификацию, это перевод времени на телефоне.
Еще раз расскажу, как настроить f2a. Бывает, что представлен не только google, но и другие сервисы для двухфакторной авторизации. Но мы говорим пока только про google.
.png)
Поэтому надо выбрать способ Google Authenticator. И скачать Google Authenticator себе на телефон для iOS или Android. Если не видишь ссылок на них, найди приложение в AppStore или Google Play.
Запускаем приложение, и нажимай кнопку добавить “+”
.png)
Выбираем "сканировать штрих-код", и сканируем QR-код на сайте.
Сохраняем код, который находится под QR кодом. "Print and Save the code", этот код потребуется в случае утери доступа к телефону, или если приложение слетит.
.png)
В приложении появляется 6-ти значный код. Он обновляется каждые 30 секунд, поэтому злоумышленник не сможет его подобрать!
Остается ввести этот код, и все!
Что делать если коды не подходят:
- Убедись, что ты вводишь код от этого сайта, и от этого аккаунта
- Убедись, что у тебя стоит синхронизация времени на устройстве, и дата и время корректные.
- Если все равно не помогает, и у тебя андроид, то вот лекарство:
- Откройте главное меню приложения Google Authenticator.
- Выберите Настройки.
- Нажмите Коррекция времени для кодов.
- Выберите Синхронизировать.