В последнее время количество инцидентов, связанных с недостатками парольной аутентификации, превысило все возможные пределы. Статей, посвященных паролям, также вышло превеликое множество, но пользователи как предпочитали пароли 123456, так это и делают.
Для решения этой проблемы в популярных интернет-сервисах электронной почты от Microsoft и Google, а также в социальных сетях Facebook и Twitter используется система двухэтапной аутентификации. Именно этому и будет посвящена наша статья.
Подробности
Безмалый В.Ф.
MVP Consumer Security
Microsoft Security Trusted Advisor
В последнее время количество инцидентов, связанных с недостатками парольной аутентификации, превысило все возможные пределы. Статей, посвященных паролям, также вышло превеликое множество, но пользователи как предпочитали пароли 123456, так это и делают.
Приведем несколько фактов.
Как утверждает специалист Инженерной школы при Университете штата Мэрилэнд Мишель Кукье (Michel Cukier). В ходе своего исследования он выявил модели поведения хакеров и выяснил, какие логины и пароли они пытаются вводить чаще всего, а также что они делают, получив доступ к компьютеру.
В среднем каждые 39 секунд компьютер, подключенный к Интернет, подвергается хакерской атаке.
«Большинство этих атак совершается с использованием автоматизированных скриптов, которые хаотично проверяют одновременно несколько тысяч компьютеров в поисках уязвимостей. Наши данные свидетельствуют о том, что компьютеры, подключенные к интернету, подвергаются атакам постоянно. Машины, которые мы применяли при исследовании, были атакованы в среднем 2244 раза в сутки», — рассказал Кукье.
В числе других популярных логинов оказались root, admin, test, guest, info, adm, mysql, user, administrator и oracle. Кукье порекомендовал избегать использования любого из этих слов в качестве логина.
Исследователи также выяснили, что самым распространенным методом генерации пароля является копирование логина. В 43 процентах случаев логин был одновременно и паролем. Весьма популярным паролем оказался набор цифр 123. В числе других, пользующихся успехом — 123456, password, 1234, 12345, passwd, 123, test и 1.
По данным компании Experian, специализирующейся в области информационных услуг, с января по апрель 2012 года на черном онлайн-рынке было выставлено на продажу свыше 12 млн. персональных идентификаторов. 90% из них составили пары логин-пароль. В то же время опрос, проведенный в июне по заказу компании, показал, что британские аккаунты являются легкой добычей для киберзлоумышленников: британцы в среднем держат 26 учетных записей и используют для их защиты лишь 5 разных паролей.
В октябре 2013 года произошло преступление, которое с большой долей вероятности может войти в книгу рекордов Гиннеса.
3 октября 2013 года компания Adobe Systems сообщила официально о кибератаке, в ходе которой произошла утечка данных клиентов. В результате злоумышленники (по данным Adobe Systems) получили доступ к зашифрованным паролям и данным платежных карт 2.9 миллионов клиентов.
Однако, как оказалось, это только начало. 29 октября эксперт по информационной безопасности Брайан Кребс (http://krebsonsecurity.com/) опубликовал сенсационные данные.
Как заявил эксперт, жертвами кибератаки стали 38 млн. пользователей, а не 2.9, как сообщалось ранее. В пресс-службе Adobe Systems подтвердили эту информацию, сообщив, что злоумышленникам стали доступны Adobe ID и зашифрованные пароли именно 38 млн. активных пользователей. Однако, как оказалось, это не финал!
В начале ноября 2013 года Пол Даклин - эксперт ИБ-компании Sophos, сообщил, что скомпрометированными оказались 150 млн. учетных записей (по другим данным, дамп содержит 130 324 429 учетных записей). Более того, архив с дампом угнанной БД был опубликован в свободном доступе в интернете.
В итоге выяснилось, что в Adobe применялся способ шифрования - симметричный блочный шифр 3DES в режиме Electronic Code Book (ECB) с добавлением ASCII NUL ("нолик") в конце каждого пароля. Причем ключ шифрования был одним единственным на все пароли.
Вскоре этот ключ, вероятно, будет найден. И все пароли станут известны злоумышленникам. Как следствие этого, они попадут в "словари" для брут-форса. Но пока, официально, ключ еще не найден.
Но примечательно не только это. Исследование Sophos также позволило выявить несколько других интересных деталей.
Например, было выявлено, что значение EQ7fIpT7i/Q= повторялось в базе 1 911 938 раз.
Простейший анализ показал, что значение EQ7fIpT7i/Q= соответствует паролю 123456, и встречается оно почти 2 млн. раз. Это самый популярный пользовательский пароль в сервисе Adobe =)
Подобным образом были "вычислены" и многие другие популярные пароли. Например, значению j9p+HwtWWT86aMjgZFLzYg== соответствует пароль 123456789, и он встречается в базе 446 162 раз.
ТОП 100 паролей по ссылке: http://stricture-group.com/files/adobe-top100.txt
Таким образом факт остается фактом – слишком многие люди используют одни и те же простейшие пароли.
Какой из этого можно сделать вывод? Ни в коем случае нельзя использовать использовать один и тот же пароль в нескольких сервисах!
Для решения этой проблемы в популярных интернет-сервисах электронной почты от Microsoft и Google, а также в социальных сетях Facebook и Twitter используется система двухэтапной аутентификации. Именно этому и будет посвящена наша статья.
Двухэтапная аутентификация от Microsoft.Рассмотрим электронную почту от Microsoft. Итак, у вас есть аккаунт на Hotmail.com, Outlook.com и т.д.
Для начал войдите на сайт www.live.com
В правом верхнем углу выберите ваш профиль (рис.1).
Рисунок 1 Параметры учетной записи
Из выпавшего списка выберите «Параметры учетной записи».
После этого вы попадаете на страницу параметров учетной записи Microsoft.
Рисунок 2 Параметры учетной записи Microsoft
Далее, выберите «Сведения для защиты».
В открывшемся окне (рис.3) выберите опцию «Двухшаговая проверка».
Учтите, что после введения двухшаговой проверки у вас могут возникнуть сложности с некоторыми приложениями (например, почтовые приложения на отдельных телефонах) или устройства (такие как Xbox или Windows Phone) при попытке аутентификации отобразят ошибку «Неправильный пароль», так как при попытке входа они не могут запрашивать защитный код.
Если вы по итогам аутентификации в приложении или на устройстве получили ошибку «Неправильный пароль», вам необходимо получить и ввести уникальный пароль приложения для входа. Если же ваше устройство не может запрашивать защитный код вам потребуется создать новый пароль приложения и войти с этим паролем.
Для создания нового пароля:
1. Войдите в свою учетную запись Майкрософт.
2. В разделе Сведения для защиты учетной записи коснитесь ссылки Добавить сведения для защиты учетной записи или щелкните ее. Если будет запрошен защитный код, введите его, а затем нажмите Отправить
3. В разделе Пароли приложений нажмите Создать новый пароль приложения. На экране появится новый пароль приложения
Использование Xbox 360После включения двухшаговой проверки при следующем скачивании профиля Xbox или входа в консоль Xbox появится запрос пароля вашей учетной записи Майкрософт. В этом случае:
1. Получите пароль приложения на вашей странице сведений о безопасности в Интернете.
2. Введите пароль приложения вместо пароля вашей учетной записи Майкрософт.
3. Чтобы не вводить пароль приложения каждый раз при входе в эту консоль, установите флажок Запомнить меня.
4. Выберите Вход.
Использование двухшаговой аутентификации и приложения OutlookЕсли вы используете двухшаговую аутентификацию для своей учетной записи Microsoft и синхронизируете почту Outlook.com с приложением Outlook из состава Microsoft Office.
1. В классическом приложении Outlook щелкните Файл.
2. В области Сведения выберите пункт Параметры учетной записи.
3. Дважды щелкните учетную запись Майкрософт, для которой вы включили двухшаговую проверку.
4. Получите пароль приложения на вашей странице сведений о безопасности в Интернете.
5. В диалоговом окне классического приложения Outlook введите пароль приложения в поле Пароль.
6. Чтобы не вводить этот пароль каждый раз, когда вы используете классическое приложение Outlook, установите флажок Запомнить пароль и нажмите кнопку ОК.
Если вы уже используете классическое приложение Outlook и хотите добавить учетную запись Майкрософт с включенной двухшаговой проверкой:
1. В классическом приложении Outlook щелкните Файл.
2. В области Сведения выберите Добавить учетную запись.
3. Введите свое имя в поле Ваше имя. В поле Электронная почта введите электронный адрес для учетной записи Майкрософт.
4. Получите пароль приложения на вашей странице сведений о безопасности в Интернете.
5. В полях Пароль и Введите пароль еще раз введите пароль приложения вместо пароля вашей учетной записи Майкрософт и нажмите кнопку Далее.
Windows Phone
1. На телефоне откройте раздел Настройки.
2. Коснитесь Почта+учетные записи.
3. Коснитесь учетной записи Майкрософт.
4. Получите пароль приложения на вашей странице сведений о безопасности в Интернете.
5. Замените пароль на телефоне паролем приложения.
6. Коснитесь значка Готово.
Почта Outlook.com на iPhone
1. На телефоне коснитесь значка Настройки и выберите Почта, адреса, календари.
2. Коснитесь учетной записи Майкрософт.
3. Получите пароль приложения на вашей странице сведений о безопасности в Интернете.
4. Замените пароль на телефоне паролем приложения.
5. Коснитесь кнопки Готово.
Почта Outlook.com на телефоне Android
Если вы используете почтовое приложение Outlook.com на телефоне Android, то пароль приложения вам не нужен. Если вы используете на телефоне почтовое приложение по умолчанию:
1. Откройте почтовое приложение на телефоне.
2. Коснитесь Меню и выберите Настройки.
3. Коснитесь учетной записи Майкрософт.
4. Коснитесь Настройки сервера входящих сообщений (в разделе параметров сервера).
5. Получите пароль приложения на вашей странице сведений о безопасности в Интернете.
6. Замените пароль на телефоне паролем приложения.
7. Коснитесь кнопки Готово.
Почта Outlook.com на телефоне BlackBerry
1. На телефоне перейдите в раздел Настройка и выберите Учетные записи эл. почты.
2. Получите пароль приложения на вашей странице сведений о безопасности в Интернете.
3. На телефоне замените пароль вашей учетной записи Майкрософт паролем приложения.
4. Коснитесь кнопки Готово.
Приложение проверки подлинности на Windows Phone
Если вы хотите получать код проверки не используя SMS, то вы можете установить на телефон, работающий под управлением Windows Phone 7/8 приложение Authenticator (Проверка подлинности) из вашегоWindows Store. Размер загрузки -1 МБ
Рисунок 5 Проверка подлинности
Приложение "Проверка подлинности" создает коды безопасности, которые повышают защиту вашей учетной записи Майкрософт. Чтобы добавить учетную запись Майкрософт в приложение, просканируйте штрихкод или вручную введите секретный ключ. Приложение задействует стандартные отраслевые алгоритмы создания кода и также может работать с другими службами и поставщиками.
Рисунок 6 Код проверки подлинности на экране Windows Phone
Подробнее о защите учетной записи Майкрософт можно узнать здесь: https://account.live.com/p .
Двуходовая аутентификация в Facebook
В социальной сети Facebook вы также можете настроить двухэтапную аутентификацию.
Для этого войдите в Facebook и выберите Настройки-Безопасность.
Рисунок 10 Настройки аккаунта
Рисунок 11 Установка двухэтапной аутентификации
Для подтверждения входа выберите – Использовать свой телефон как дополнительное средство для защиты вашего аккаунта – Редактировать.
Установите галочку «Запрашивать код безопасности, чтобы получить доступ к моему аккаунту с незнакомых браузеров» и введите номер вашего телефона.
Рисунок 12 Подтверждение входа
Как видим, в данном случае вы также можете получить коды заранее, в случаях когда у вас нет при себе телефона или установить Генератор кодов (если вы используете Android или iPhone).
Учтите, что вы также можете создать пароли приложений для:
• Xbox
• Spotify
• Skype
Вы сможете безопасно входить в эти приложения с помощью пароль приложения вместо вашего пароля для аккаунта на Facebook. Для этого вам необходимо будет ввести свой пароль для определенного приложения всего один раз.
Заключение
Надеюсь, дорогие читатели, что после прочтения данной статьи у вас возникнет желание установить себе двухходовую аутентификацию. Безусловно, ее применение потребует от вас некоторых усилий и терпения, однако, поверьте, ваша безопасность того стоит. Надеюсь вам никогда не придется жалеть о том, что ваша почта взломана, а в социальной сети кто-то пишет посты от вашего имени.
