authy не подходит код
Authy не подходит код
Authy позволяет не беспокоиться об аутентификации в будущем.
Приложение генерирует токены двухфакторной авторизации на устройстве. Это — дополнительная защита от хакеров.
Требуется Android: 3.0 и выше
Русский интерфейс: Нет
Authy 2-Factor Authentication только русская версия: 22.2 
Authy_22.2.Rus.apk ( 5,73 МБ )
думаю стоящее приложение,пробуем,отписываемся :yahoo:
Authy приносит будущее строгой аутентификации для удобства вашего Android устройства.
Приложение Authy генерирует надежные 2 шаг проверка маркеров на вашем устройстве. Это поможет вам защитить свой аккаунт от хакеров и угонщиков, добавив дополнительный уровень безопасности.
Почему Authy является лучшим мульти-фактор проверки подлинности приложения:
— Безопасное Резервное Копирование Облако:
Вы потеряете ваше устройство и заперли из всех ваших учетных записей? Authy обеспечивает безопасное облако зашифрованные резервные копии, так что вы никогда не потеряете доступ к вашим жетоны. Мы используем те же банки алгоритма и АНБ использовать для защиты своей информации.
— Мульти Устройства Синхронизации:
Являются повторной проверки все ваши QR-коды, чтобы добавить их на планшет и смартфон? С authy, вы можете просто добавить устройства в вашу учетную запись и все ваши 2fa токены будут автоматически синхронизироваться.
— В автономном режиме:
Все еще жду смс, чтобы прибыть? ты постоянно путешествуют и потерять доступ к вашим счетам? Authy генерирует надежные маркеры в автономном режиме от безопасности вашего Android устройства, таким способом можно надежно удостоверить даже когда в режиме самолета.
— Все ваши аккаунты:
Мы поддерживаем наиболее крупных счетов многофакторную аутентификацию в том числе Facebook, Dropbox и Amazon, Gmail и тысячи других провайдеров. Мы также поддерживаем 8 цифр маркеры.
— Защитить ваши bitcoins:
Authy является предпочтительным решения двух факторной аутентификации, чтобы защитить свой биткоин кошелек. Мы поставщик по умолчанию 2fa для надежных компаний, как coinbase, СЕХ.ИО, BitGo и многие другие.
У меня проблемы с 2FA, как их решить?
2FA через Google Authenticator (или подобное приложение), неверный код
Двухэтапная аутентификация основана на точном времени и 6-значных кодах, которые имеют ограниченный срок действия (30 секунд). Поэтому для правильной работы 2FA нужно, чтобы устройство, на котором установлено приложение Google Authenticator (или другое подобное приложение), было синхронизировано с серверами точного времени Интернет (NTP-серверами).
В большинстве случаев это происходит автоматически и не требует участия пользователя. Однако если при вводе 2FA-кода возникает ошибка «неверный код», может потребоваться синхронизировать время вручную.
1. Прежде всего убедитесь, что:
2. Затем дождитесь смены кода в приложении и введите новый код в течение 15-20 секунд.
3. Если это не помогло, нужно сделать две синхронизации – в приложении Google Authenticator и в системных настройках вашего устройства под управлением Android.
Синхронизация в приложении Google Authenticator:
Синхронизация системного времени устройства:
Я все сделал по инструкции, но проблема сохраняется
В абсолютном большинстве случаев вышеописанные действия решают проблему некорректных кодов. Если вам эти действия не помогли, обратитесь в службу поддержки, заполнив форму.
2FA с помощью одноразовых кодов по email, не приходит письмо с кодом
Если вы не получили письмо с одноразовым кодом для двухфакторной аутентификации, пожалуйста, сделайте следующее:
Authy не подходит код
Authy позволяет не беспокоиться об аутентификации в будущем.
Приложение генерирует токены двухфакторной авторизации на устройстве. Это — дополнительная защита от хакеров.
Требуется Android: 3.0 и выше
Русский интерфейс: Нет
Authy 2-Factor Authentication только русская версия: 22.2 Authy_22.2.Rus.apk ( 5,73 МБ )
думаю стоящее приложение,пробуем,отписываемся :yahoo:
Authy приносит будущее строгой аутентификации для удобства вашего Android устройства.
Приложение Authy генерирует надежные 2 шаг проверка маркеров на вашем устройстве. Это поможет вам защитить свой аккаунт от хакеров и угонщиков, добавив дополнительный уровень безопасности.
Почему Authy является лучшим мульти-фактор проверки подлинности приложения:
— Безопасное Резервное Копирование Облако:
Вы потеряете ваше устройство и заперли из всех ваших учетных записей? Authy обеспечивает безопасное облако зашифрованные резервные копии, так что вы никогда не потеряете доступ к вашим жетоны. Мы используем те же банки алгоритма и АНБ использовать для защиты своей информации.
— Мульти Устройства Синхронизации:
Являются повторной проверки все ваши QR-коды, чтобы добавить их на планшет и смартфон? С authy, вы можете просто добавить устройства в вашу учетную запись и все ваши 2fa токены будут автоматически синхронизироваться.
— В автономном режиме:
Все еще жду смс, чтобы прибыть? ты постоянно путешествуют и потерять доступ к вашим счетам? Authy генерирует надежные маркеры в автономном режиме от безопасности вашего Android устройства, таким способом можно надежно удостоверить даже когда в режиме самолета.
— Все ваши аккаунты:
Мы поддерживаем наиболее крупных счетов многофакторную аутентификацию в том числе Facebook, Dropbox и Amazon, Gmail и тысячи других провайдеров. Мы также поддерживаем 8 цифр маркеры.
— Защитить ваши bitcoins:
Authy является предпочтительным решения двух факторной аутентификации, чтобы защитить свой биткоин кошелек. Мы поставщик по умолчанию 2fa для надежных компаний, как coinbase, СЕХ.ИО, BitGo и многие другие.
Как установить и использовать приложение Authy
В инструкции описан процесс установки приложения Google Authenticator на различные мобильные операционные системы (Android, iOS), на рабочий стол Windows (также доступно на macOS), а также его использование при подключении к панели управления.
Содержание:
Что это такое?
Таким образом, даже если у вас украден пароль или потерян телефон, вероятность того, что кто-то другой получит доступ к вашей информации маловероятен.
У приложения Authy есть широкий набор дополнительных функций: создание резервной копии базы, шифрование данных и резервных копий в облаке без сохранения паролей, использование приложения на нескольких устройствах.
Установка Authy на Android
Для установки приложения на операционную систему Android достаточно просто скачать его в магазине GooglePlay.
После установки приложения, необходимо указать код страны, ваш мобильный номер и почтовый адрес.
Далее необходимо подтвердить введенный телефон, выберете наиболее удобный способ: звонок оператора или СМС.
После можно переходить к добавлению аккаунта. В ОС Android сделать скриншот окна с аккаунтами не представляется возможным из-за политики безопасности, но оно является аналогичным iOS. Нажмите на + в центре окна. Вам будет предложено хранить зашифрованные копии в облаке Authy. Рекомендуем включить резервирование, т.к. при утере устройства, вы сможете без проблем восстановить данные. Введите и подтвердите пароль, затем нажмите Enable Backups.
Установка Authy на iOS
Для установки приложения на операционную систему iOS достаточно скачать его в AppStore.
После установки приложения, необходимо указать код страны, ваш мобильный номер и почтовый адрес. После ввода нажмите OK.
Далее необходимо подтвердить введенный телефон, выберете наиболее удобный способ: звонок оператора или СМС.
После можно переходить к добавлению аккаунта. Нажмите на + в центре окна.
Вам будет предложено хранить зашифрованные копии в облаке Authy. Рекомендуем включить резервирование, т.к. при утере устройства, вы сможете без проблем восстановить данные. Введите пароль и нажмите Enable Backups.
Затем подтвердите пароль.
Установка Authy на рабочий стол Windows
Примечание: в данной версии продукта не доступно сканирование QR-кода, но возможно использование добавленных с мобильных приложений аккаунтов.
Для того, чтобы установить приложение, загрузите нужную версию с сайта разработчика и запустите файл установки.
При возникновении следующего предупреждения выберете Выполнить в любом случае.
После установки необходимо ввести код страны, ваш номер и нажать Next.
Выполните подтверждение любым доступным способом.
Далее отобразится окно с доступными аккаунтами.
Использование приложения Authy для подключения к панели управления
Перед вами откроется штрихкод. Далее в приложении Authy выберете сканирование QR-кода (Scan QR code). После того как откроется камера, поместите штриход в выделенный квадрат на экране приложения, который будет распознан автоматически.
Приложение сгенерирует шестизначный код, который необходимо ввести в поле.
После ввода кода вы увидите, что двухфакторная аутентификация подключена через приложение.
Теперь для входа в панель управления необходимо указать код из приложения.
Отключение двухуровневой аутентификации для входа в панель управления
Самое интересное что такая досадная уязвимость появилась не по вине Authy, да и нашел я всю эту цепочку багов с большой удачей.
Итак, процесс работы с authy простой и состоит из двух API вызовов: api.authy.com/protected/json/sms/AUTHY_ID?api_key=KEY для запроса нового токена и api.authy.com/protected/json/verify/SUPPLIED_TOKEN/AUTHY_ID?api_key=KEY для верификации полученного токена от юзера. Оба вызова должны вернуть 200 статус, тогда запрос считается успешным.
1. Началось все с проверки их SDK библиотек. Все выглядело хорошо кроме authy-node, которая вообще не кодировала токен перед вставкой в URL — this._request(«get», «/protected/json/verify/» + token + «/» + id, <>, callback, qs);
Можно было просто вставить VALID_TOKEN_FOR_OTHER_AUTHY_ID/OTHER_AUTH_ID# в поле токена и перезаписать API запрос так, чтобы он всегда возвращал 200 статус, что считалось за подтверждение второго шага и пускало атакующего в аккаунт. Дело в том что все после # считается фрагментом и не отсылается на сервер, и запрос вида /protected/json/verify/VALID_TOKEN_FOR_OTHER_AUTHY_ID/OTHER_AUTH_ID будет возвращать 200 и его невозможно отличить от обычных запросов.
3. И тут я вспомнил что читал интервью Дэниела по архитектуре Authy совсем недавно. Там говорилось что Authy использует Sinatra, которая за собой тащит rack-protection, который как я помню имел модуль под названием path_traversal.
И тут самое интересное — оказалось что path_traversal зачем то декодировал path обратно и убивал директории перед /../. Ну, в теории, это должно было защищать разработчиков от потенциальных path traversal уязвимостей. На практике же это и стало причиной такой серьезной уязвимости.
3. path_traversal декодирует полученный URL на раннем этапе в api.authy.com/protected/json/verify/../sms/authy_id, делит все по / и удаляет директорию /verify
4. Теперь само приложение получает модифицированный путь api.authy.com/protected/json/sms/authy_id который посылает СМС жертве и возвращает 200 статус и ответом
5. Наш клиент который хотел проверить наш токен видит 200 статус и делает вывод что токен правильный. Даже если используется кастомная реализация API, клиент скорее всего ищет success=true что в нашем ответе тоже присутствует.
Есть еще один замечательный текст про похожую уязвимость с обходом первого фактора через вставку символа | в другом популярном 2FA провайдере Duo Security, но мне его лень переводить.
Тут была ссылка что мы ищем хакеров, но ее удалили. Напишите в личку пожалуйста, если вы находите такого рода уязвимости во время утренней зарядки.