6 значный код безопасности 2fa где взять
Настройка двухфакторной аутентификации на nicehash.com, за минуту
Добрый день! Уважаемые читатели и гости SEO и криптоблога Pyatilistnik.info. В прошлом году был большой скандал вокруг популярного сервиса по облачному майнику Nicehash.com.Если в двух словах, то его взломали и вывели от туда все средства, в виде биткоина, такое сейчас не редкость, что говорить аккаунты Google в Twitter взламывают и тем самым вводят в заблуждение огромную аудиторию. Сегодня я хочу показать вам, каким образом вы можете усилить защиту своего аккаунта, на все 100% возможные с вашей стороны, так как за сам сервис вы отвечать не можете. Мы с вами поговорим про настройку двухфакторной аутентификации на Nicehash.
100% защита аккаунта на Nicehash.com
Любой современный сервис, который радеет за безопасность ваших данных, средств и свою репутацию, давно реализовал у себя возможность подключения двухфакторной аутентификации 2FA, о ее принципах читайте подробнее по ссылке слева. Если вы мой постоянный читатель, то помните, что мы уже ее использовали на различных биржах:
Давайте начинать. На всю настройку двойной защиты аккаунта на Nicehash у нас уйдет минута-полторы. Производите авторизацию в вашем аккаунте, для этого в правом углу нажмите кнопку входа.
Ваш ip-адрес будет проверен на ddos атаку сервисом Cloudflare, если все хорошо, то вы в течении 5 секунд будите допущены до формы авторизации.
Логинитесь, вводя ваш логин и пароль.
Вы попадаете в личный кабинет найсхеш, в самом верху вы увидите уведомление, что для усиления защиты аккаунта, хорошо бы установить 2FA, щелкаем по этой ссылке.
Попав в раздел по настройке безопасности у вас будет три варианта включения двухфакторной аутентификации:
На против каждого пункта вы увидите зеленую кнопку «Включить», которая позволит произвести активацию данной возможности.
Перед тем как мы включим данные пункты, вам необходимо установить себе на телефон Google Authenticator, это специальная бесплатная утилита от компании Google, которая позволяет вам генерировать временные коды доступа.
Инсталляция Google Authenticator
Устанавливаете себе приложение Google Authenticator, я больше доверяю ему. (https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2)
Открываем приложение Google Authenticator, вас будет приветствовать мастер настройки, можно сразу нажать кнопку «Начать»
У вас будет два метода добавить сюда нужный аккаунт из сервисов, QR-код и просто ключ, я выберу QR-код, который вам уже предоставил Nicehash.com.
У вас будет запрошено разрешение на использование камеры, разрешаем.
Считываем QR-код представленный на окне включения 2FA аутентификации на Nicehash.com. ОБЯЗАТЕЛЬНО СОХРАНИТЕ СЕБЕ резервную копию ключа из 16 символов (16-Digit Key) и сфотографируйте сам QR-код. Теперь когда приложение у вас на телефоне, можно включать двухфакторную защиту аккаунта. Я выбираю для начала «2FA для входа на сайт». После нажатия кнопки «Включить» у вас появится QR-код с секретным ключом, ниже он будет представлен в виде 16 символов, его нужно себе записать или сфотографировать, не передавайте его третьим лицам, данный код будет использоваться при восстановлении доступа к личному кабинету найсхеша.
Далее вы открываете утилиту Google Authenticator, нам нужно добавить здесь новый аккаунт, для этого нажмите в правом углу красную кнопку с крестиком.
У вас на выбор будет два варианта:
На выходе вы получите запись с кодами доступа к конкретной функции на Nicehash.com, в моем случае, это двухфакторная аутентификация на вход.
Теперь когда у нас есть Google Authenticator, мы можем включать 2FA на найсхеше. Далее вы возвращаетесь в мастер настройки 2FA для входа на сайт и указываете ваш 16-ти значный код, который вы получили на первой картинке и нажимаете далее.
Далее вас попросят ввести 6-ти значный ключ полученный из Google Authenticator
Если все хорошо, то вы увидите активную кнопку «Включить»
После этого у вас будет активирован пункт «2FA для входа на сайт Nicehash.com»
Аналогичным образом вы делаете для остальных пунктов.
Двухфакторная аутентификация Google Authenticator — как включить и настроить 2FA
Работа в интернете всегда связана с риском утечки персональной информации и потери цифровых активов в результате взлома учетных записей торговых площадок и электронных кошельков. Какого бы уровня сложности пароль вы ни создали, лучше иметь второй уровень проверки доступа, так вы намного усложните жизнь хакерам. Программа генерации 2fa code будет для этого вполне подходящим вариантом.
Наверное, нет ни одного криптовалютного сервиса или биржи, которые бы не рекомендовали своим клиентам активировать дополнительную защиту аккаунта с помощью Google Authenticator. Настройка данной опции иногда является обязательным условием. И это правильно, лучше пусть юзер использует 2fa code, чем потеряет свои криптомонеты. Ведь если злоумышленник взломает пароль вашей учетной записи на криптобирже 2fa, это единственный барьер между ним и вашим депозитом.
В криптовалютных сервисах деньги клиентов защищает многоуровневая система безопасности и двухфакторная аутентификация — Google Authenticator является ее неотъемлемой частью. Если вы встретите биржу, на которой эта функция не предусмотрена, то бегите с нее без оглядки. Что собой представляет приложение для 2fa code и как выполняется его настройка мы вам сейчас и расскажем.
Навигация по материалу:
Что такое двухфакторная аутентификация?
Двухфакторная аутентификация (2fa code) — это метод подтверждения права доступа юзера к учетной записи того или иного веб-сервиса с помощью системы одноразовых паролей.
Настройка 2FA — это включение дополнительных факторов для входа в систему. Например, с помощью смс, отпечатков пальца при помощи специального устройства или шестизначного кода Google Authenticator (GA) о котором мы и расскажем в данном материале.
Что такое шестизначный код GA — это одноразовый пароль, который постоянно генерируется в течение 30 секунд. За это время его нужно будет успевать ввести в поле при входе на биржу или в другие системы, где у вас стоит защита 2FA. Это шестизначный код генерируется даже при отключенном интернете.
Существует несколько вариантов практической реализации данного метода защиты аккаунта. В этом обзоре мы рассмотрим настройку специального приложения для генерации случайных кодов Google Authenticator. Эта программа была разработана для защиты учетных записей гугл, но получила широкое применение на криптовалютных биржах и других ресурсах.
Гугл аунтификатор используется как второй уровень защиты при входе в личный кабинет или выводе средств с торговой площадки, а на некоторых биржах даже и при формировании ордеров.
Программа, установленная на ваш мобильный девайс, создает каждые 30 секунд шестизначный цифровой пароль. Для подтверждения входа или другой операции вы должны ввести его в формуляр запроса. Если код прошел проверку на валидность, ваши права доступа подтверждены. Порядок активации Google Authenticator идентичен для всех веб-ресурсов.
Как включить 2FA?
Подробная инструкция по активации google authenticator, как работает схема защиты, и что необходимо для ее функционирования. В качестве наглядного примера выберем самую крупную и популярную криптобиржу Binance.
В первую очередь зарегистрируйтесь на сайте https://www.binance.com. В принципе на любой серьезной криптобирже есть инструкция по настройке двухфакторной аутентификации с помощью google authenticator, мы просто изложим ее в общих чертах, чтобы начинающие трейдеры были заранее подготовленными.
Для подключения и настройки 2fa code понадобится смартфон или планшет с установленным приложением и доступ к учетной записи.
Пошаговая инструкция по установке и настройке Google Authenticator
Скачать и установить Google Authenticator можно по официальным ссылкам:
Если у вас девайс на базе Android откройте Google Play Market и найдите там google authenticator, ну а счастливому владельцу продукции компании Apple нужно совершить аналогичное действие в App Store. Можно загрузить файл apk (for Android) с другого источника, но это не самый надежный вариант.
Сервис выведет QR-код и резервный ключ. Откройте Google Authenticator и нажмите символ фотоаппарата, чтобы программа отсканировала штрих-код.
Если по каким-то причинам произошел сбой, например, у вас не работает камера, введите 16-значный ключ 2FA в интерфейсе приложения на смартфоне и нажмите кнопку «Добавить». Неважно добавили вы аккаунт автоматически или вручную, ни в коем случае не забудьте сохранить в надежном месте (желательно на бумаге) код подключения.
Как создать пароль приложения Google Authenticator?
Пароль приложения представляет собой 16-значный код доступа, который дает приложению или устройству разрешение на доступ к вашему аккаунту Google.
Если вы используете двухэтапную аутентификацию и видите ошибку “неправильный пароль” при попытке войти в свою учетную запись Google, пароль приложения может решить проблему. В большинстве случаев вам нужно будет вводить пароль приложения только один раз для каждого приложения или устройства, поэтому не беспокойтесь о его запоминании.
Как восстановить Google Authenticator? Что делать, если телефон потерян?
Если у вас активирована двухфакторной аутификации, то, потеряв свой смартфон, вы потеряете и доступ к учетной записи. Записали 16-значный ключ 2FA — прекрасно, нет никаких проблем.
Скачайте программу для двухфакторной аутентификации на другое устройство и добавьте аккаунт вручную. Но если у вас кода восстановления все намного сложнее. Пользователи, прошедшие полную верификацию на бирже, могут обратиться в службу поддержки и там им объяснят, как восстановить гугл аутентификатор. Ну а если вы работаете инкогнито, то сбросить настройки аутентификации Google, можно следующим образом:
Важно! Теперь вам придется пройти полную верификацию личности и только после этого вы сможете заново активировать двухфакторку. Пока вы этого не сделаете ваш биржевой депозит будет заблокирован.
Настройка приложения Google Authenticator на нескольких устройствах
Программу можно настроить так, чтобы она генерировала коды подтверждения на двух или даже трех гаджетах.
Осталось проверить корректность работы 2fa-приложения на каждом девайсе, и сохранить настройки. Таким образом, вы застрахуете себя от потери доступа к 2fa code, маловероятно, что выйдут из строя или будут украдены 2 или 3 устройства одновременно.
Альтернативные приложения двухфакторной аутентификации
Альтернативой google authenticator является утилита Authy, у нее очень удобный интерфейс. Кроме мобильных устройств Authy, можно установить на Windows, macOS или Chrome.
Скачать и установить Authy можно по официальным ссылкам:
Также, для генерации одноразовых кодов, используются приложения:
Более простая, но менее безопасная альтернатива двухэтапной авторизации это получение кода на адрес электронной почты или через СМС. Последний метод широко практикуется коммерческими банками и электронными платежными системами, например, Киви или Яндекс Деньги.
Заключение
В заключение следует сказать, что если вы прочитаете о взломе двухфакторной аутентификации (google authenticator), а такие посты на форумах иногда встречаются, то, скорее всего, это случилось из-за небрежного хранения 16-значного кода. Хакер просто нашел его на ПК и воспользовался.
Судите сами, легко ли за 30 секунд подобрать нужную комбинацию из шести цифр и сколько вычислительных ресурсов нужно для такой акции? Настраивайте google authenticator и не забывайте о других правилах безопасности, особенно если вы торгуете на криптобирже.
Дата публикации 16.04.2020
Поделитесь этим материалом в социальных сетях и оставьте свое мнение в комментариях ниже.
Немного о 2FA: Двухфакторная аутентификация
Cегодня мы решили обратить внимание на тему двухфакторной аутентификации и рассказать о том, как она работает.
Двухфакторная аутентификация или 2FA – это метод идентификации пользователя в каком-либо сервисе, где используются два различных типа аутентификационных данных. Введение дополнительного уровня безопасности обеспечивает более эффективную защиту аккаунта от несанкционированного доступа.
Двухфакторная аутентификация требует, чтобы пользователь имел два из трех типов идентификационных данных.
Второй пункт – это токен, то есть компактное устройство, которое находится в собственности пользователя. Самые простые токены не требуют физического подключения к компьютеру – у них имеется дисплей, где отображается число, которое пользователь вводит в систему для осуществления входа – более сложные подключаются к компьютерам посредством USB и Bluetooth-интерфейсов.
Сегодня в качестве токенов могут выступать смартфоны, потому что они стали неотъемлемой частью нашей жизни. В этом случае так называемый одноразовый пароль генерируется или с помощью специального приложения (например Google Authenticator), или приходит по SMS – это максимально простой и дружественный к пользователю метод, который некоторые эксперты оценивают как менее надежный.
В ходе проведенного исследования, в котором приняли участие 219 человек разных полов, возрастов и профессий, стало известно, что более половины опрошенных используют двухфакторную SMS-аутентификацию в социальных сетях (54,48%) и при работе с финансами (69,42%).
Однако, когда дело касается рабочих вопросов, то здесь предпочтение отдается токенам (45,36%). Но вот что интересно, количество респондентов, пользующихся этими технологиями как добровольно, так и по приказу начальства (или вследствие других вынуждающих обстоятельств), примерно одинаково.
График популярности различных технологий по сферам деятельности
График заинтересованности респондентов в 2FA
Среди токенов можно выделить одноразовые пароли, синхронизированные по времени, и одноразовые пароли на основе математического алгоритма. Синхронизированные по времени одноразовые пароли постоянно и периодически меняются. Такие токены хранят в памяти количество секунд, прошедших с 1 января 1970 года, и отображают часть этого числа на дисплее.
Чтобы пользователь мог осуществить вход, между токеном клиента и сервером аутентификации должна существовать синхронизация. Главная проблема заключается в том, что со временем они способны рассинхронизироваться, однако некоторые системы, такие как SecurID компании RSA, дают возможность повторно синхронизировать токен с сервером путем ввода нескольких кодов доступа. Более того, многие из этих устройств не имеют сменных батарей, потому обладают ограниченным сроком службы.
Как следует из названия, пароли на основе математического алгоритма используют алгоритмы (например цепочки хэшей) для генерации серии одноразовых паролей по секретному ключу. В этом случае невозможно предугадать, каким будет следующий пароль, даже зная все предыдущие.
Иногда 2FA реализуется с применением биометрических устройств и методов аутентификации (третий пункт). Это могут быть, например, сканеры лица, отпечатков пальцев или сетчатки глаза.
Проблема здесь заключается в том, что подобные технологии очень дороги, хотя и точны. Другой проблемой использования биометрических сканеров является неочевидность определения необходимой степени точности.
Если установить разрешение сканера отпечатка пальца на максимум, то вы рискуете не получить доступ к сервису или устройству в том случае, если получили ожог или ваши руки попросту замерзли. Поэтому для успешного подтверждения этого аутентификатора достаточно неполного соответствия отпечатка эталону. Также стоит отметить, что изменить такой «биопароль» физически невозможно.
Насколько надежна двухфакторная аутентификация
Это хороший вопрос. 2FA не является непроницаемой для злоумышленников, однако она серьезно усложняет им жизнь. «Используя 2FA вы исключаете достаточно крупную категорию атак», – говорит Джим Фентон (Jim Fenton), директор по безопасности OneID. Чтобы взломать двухфакторную аутентификацию «плохим парням» придется украсть ваши отпечатки или получить доступ к cookie-файлам или кодам, сгенерированным токенами.
Последнего можно добиться, например, с помощью фишинговых атак или вредоносного программного обеспечения. Есть еще один необычный способ: доступ к аккаунту журналиста Wired Мэтта Хоннана (Matt Honnan) злоумышленники получили с помощью функции восстановления аккаунта.
Восстановление аккаунта выступает в качестве инструмента для обхода двухфакторной аутентификации. Фентон, после истории с Мэттом, лично создал аккаунт в Google, активировал 2FA и притворился, что «потерял» данные для входа. «Восстановление аккаунта заняло некоторое время, но через три дня я получил письмо, что 2FA была отключена», – отмечает Фентон. Однако и у этой проблемы есть решения. По крайней мере, над ними работают.
«Я считаю, что биометрия – это один из таких способов, – говорит технический директор Duo Security Джон Оберхайд (Jon Oberheide). – Если я потеряю свой телефон, то чтобы восстановить все аккаунты мне не хватит вечности. Если бы существовал хороший биотметрический метод, то он бы стал надежным и полезным механизмом восстановления». По сути, Джон предлагает использовать одну форму 2FA для аутентификации, а другую – для восстановления.
Где применяется 2FA
Вот несколько основных сервисов и социальных сетей, которые предлагают эту функцию – это Facebook, Gmail, Twitter, LinkedIn, Steam. Их разработчики предлагают на выбор: SMS-аутентификацию, список одноразовых паролей, Google Authenticator и др. Недавно 2FA ввел Instagram, чтобы защитить все ваши фотографии.
Однако здесь есть интересный момент. Стоит учитывать, что двухфакторная аутентификация добавляет к процессу аутентификации еще один дополнительный шаг, и, в зависимости от реализации, это может вызывать как небольшие сложности со входом (или не вызывать их вовсе), так и серьезные проблемы.
По большей части отношение к этому зависит от терпеливости пользователя и желания повысить безопасность аккаунта. Фентон высказал следующую мысль: «2FA – это хорошая штука, но она способна усложнить жизнь пользователям. Потому имеет смысл вводить её только для тех случаев, когда вход осуществляется с неизвестного устройства».
Двухфакторная аутентификация не панацея, но она помогает серьезно повысить защищенность аккаунта, затратив минимум усилий. Усложнение жизни взломщиков – это всегда хорошо, потому пользоваться 2FA можно и нужно.
Что ждет 2FA
Методам защиты, основанным на методиках многофакторной аутентификации, сегодня доверяет большое число компаний, среди которых организации из сферы высоких технологий, финансового и страхового секторов рынка, крупные банковские учреждения и предприятия госсектора, независимые экспертные организации, а также исследовательские фирмы.
Оберхайд отмечает, что многие пользователи, которые скептически относились к двухфакторной аутентификации, очень скоро обнаруживали, что здесь все не так сложно. Сегодня 2FA переживает настоящий бум, а любую популярную технологию гораздо проще совершенствовать. Несмотря на наличие сложностей, её ждет светлое будущее.
У меня проблемы с 2FA, как их решить?
2FA через Google Authenticator (или подобное приложение), неверный код
Двухэтапная аутентификация основана на точном времени и 6-значных кодах, которые имеют ограниченный срок действия (30 секунд). Поэтому для правильной работы 2FA нужно, чтобы устройство, на котором установлено приложение Google Authenticator (или другое подобное приложение), было синхронизировано с серверами точного времени Интернет (NTP-серверами).
В большинстве случаев это происходит автоматически и не требует участия пользователя. Однако если при вводе 2FA-кода возникает ошибка «неверный код», может потребоваться синхронизировать время вручную.
1. Прежде всего убедитесь, что:
2. Затем дождитесь смены кода в приложении и введите новый код в течение 15-20 секунд.
3. Если это не помогло, нужно сделать две синхронизации – в приложении Google Authenticator и в системных настройках вашего устройства под управлением Android.
Синхронизация в приложении Google Authenticator:
Синхронизация системного времени устройства:
Я все сделал по инструкции, но проблема сохраняется
В абсолютном большинстве случаев вышеописанные действия решают проблему некорректных кодов. Если вам эти действия не помогли, обратитесь в службу поддержки, заполнив форму.
2FA с помощью одноразовых кодов по email, не приходит письмо с кодом
Если вы не получили письмо с одноразовым кодом для двухфакторной аутентификации, пожалуйста, сделайте следующее:
Что такое 2FA и зачем мне это нужно?
При первом создании кошелька Blockchain.com вы устанавливаете собственный пароль* и получаете свой идентификатор. По умолчанию только эти два вида данных необходимы для доступа к вашему кошельку.
Настройка 2FA добавит третий вид данных: уникальный одноразовый код, который также потребуется для входа в кошелек. Новый код будет генерироваться при каждой попытке входа в систему. Вы можете начать работу с 2FA в разделе «Безопасность вашего кошелька». Возможные опции включают использование приложения Google Authenticator для генерации кодов, использование Yubikey (аппаратный ключ безопасности, поддерживающий протокол аутентификации) или получение SMS-кодов на номер вашего мобильного телефона. В этой статье вы узнаете, как настроить каждую из этих опций.
После настройки 2FA в соответствии с любым выбранным методом, процесс входа в систему потребует ввода идентификационного номера кошелька, пароля, а затем кода 2FA.
Даже надежные пароли могут быть взломаны или рассекречены удаленным злоумышленником. Однако при наличии 2FA тот, кто получит ваш пароль, не сможет получить доступ к кошельку, потому что ему также потребуется ваш 2FA код. В отличие от пароля, код 2FA изменяется при каждой попытке входа в систему и получить его можно только из вашего мобильного устройства (или отдельного аппаратного устройства аутентификации, если вы используете Yubikey). Активация 2FA служит невероятно полезным сдерживающим фактором для сетевых атак, а это означает, что ваш кошелек больше не будет легкой целью для несанкционированного доступа.
Отдаем ли мы предпочтение одному из 2FA методов?
При наличии смартфона мы рекомендуем Google Authenticator, а не SMS. Приложение каждые 30 секунд локально на вашем устройстве генерирует новый код для входа в систему, к тому же оно бесплатно. Тогда как доставка SMS сообщений полностью зависит от надежности вашего оператора мобильной связи. Во время перебоев в работе сообщения могут доставляться с задержкой или вообще не приходить. Это означает, что вы, возможно, не сможете получить коды, необходимые для входа в систему. С SMS также связаны другие риски, включая методы социальной инженерии, используемые для переноса номеров. В случае успеха злоумышленник может получить ваши SMS-коды (и любые другие входящие SMS-сообщения). Приложение Google Authenticator можно загрузить из App Store для пользователей устройств с iOS или Play Store для пользователей устройств с Android. Если вы предпочитаете физические ключи, мы также рекомендуем и работаем с Yubikey, который вы можете приобрести у компании Yubico.
* Важно установить надежный пароль, и чем длиннее, тем лучше. Помните, что мы не можем восстановить или сбросить пароль от вашего кошелька, поэтому храните его надежно и обезопасьте свой кошелек созданием восстановительной фразы из 12 слов.