Программы и приложения для двухфакторной аутентификации

  1. Что такое двухфакторная аутентификация?
  2. Google Authenticator
  3. Яндекс.Ключ
  4. Authy
  5. LastPass Authenticator
  6. Microsoft Authenticator
  7. Duo Mobile
  8. WinAuth

В целях обеспечения надежной защиты учетных записей в социальных сетях, облачных хранилищах, почтовых и любых других веб-сервисах их разработчики настоятельно рекомендуют использовать двухфакторную аутентификацию (двухступенчатую авторизацию) для входа в аккаунт. В этих целях используются коды, присылаемые веб-сервисом в SMS-сообщениях, специальные USB-устройства (аутентификаторы) с записанным на них зашифрованным ключом доступа, а также целый ряд мобильных и десктопных приложений (т.н. 2FA-приложения). Именно о последних и пойдет речь.

Что такое двухфакторная аутентификация?

«Двухфакторной» аутентификация именуется потому, что для ее прохождения пользователю требуется ввести в веб-форму не только комбинацию логин/пароль, но еще и специальный одноразовый код. Этот код генерируется либо самим сайтом, куда выполняется вход, либо специализирующимся на этом стороннем веб-сервисе (естественно, между владельцами сайтов и такими веб-сервисами налажены партнерские отношения).

Рассмотрим принцип работы двухступенчатой аутентификации на примере. Допустим, пользователь решил посетить свою страничку в какой-нибудь социальной сети. Первым делом ему потребуется ввести свой логин и пароль от аккаунта. Но этого недостаточно, если учетная запись пользователя защищена двухфакторной аутентификацией. Поэтому, как только сервер социальной сети примет введенную комбинацию логина/пароля, автоматически активируется следующая ступень системы авторизации. Та сгенерирует случайный код, который будет отправлен пользователю на его телефон (в SMS или в приложение). И только после ввода пользователем этого кода система предоставит доступ к учетной записи.

Для многих двухфакторная аутентификация покажется лишней, ведь для входа в аккаунт нужно знать пароль, который может состоять из большого числа символов. Но здесь все зависит от взглядов самого пользователя. Если есть опасения, что пароль от учетной записи может быть украден, то лучше перестраховаться.

Существует и вторая сторона медали двухступенчатой авторизации. Если устройство, используемое для приема одноразовых секретных кодов, вышло из строя или вообще утеряно, но доступ к учетной записи уже не сможет получить и сам ее владелец. Конечно, существуют различные способы восстановления доступа (все зависит от веб-сервиса), но на это может уйти много времени, особенно если пользователь заранее не подумал о подобной ситуации (например, не задействовал опцию «секретный вопрос — ответ» или не указал электронный ящик для восстановления доступа).

Теперь рассмотрим наиболее популярные приложения для двухфакторной авторизации.

Google Authenticator

Google Authenticator — популярное мобильное 2FA-приложение, доступное для мобильных устройств под управлением Android и iOS, а также для компьютеров в виде плагина под браузер Google Chrome. Приложение Google Authenticator является одним из самых простых в использовании. Все, что требуется пользователю для его привязки к учетной записи какого-либо веб-сервиса (который поддерживает авторизацию через Google Authenticator) — отсканировать QR-код с помощью телефона либо ввести в программу ключ (отображается под QR-кодом при включении двухэтапной авторизации на веб-сервисе).

Google Authenticator

Добавление аккаунта в Google Authenticator

После привязки аккаунта приложение/плагин Google Authenticator будет автоматически генерировать ключи (коды) доступа к нему. Эти ключи существуют недолго — около 30 секунд, по истечению которых автоматически генерируется следующий ключ, и так — бесконечно.

Код доступа в приложении Google Authenticator

Одно из преимуществ Google Authenticator — отсутствие каких-либо настроек вообще (если не считать синхронизацию времени для кодов, которой пользователь вряд ли когда воспользуется).

Настройки Google Authenticator

Для некоторых пользователей плюсом (а для других — минусом) будет то, что приложение Google Authenticator не сохраняет привязанные к аутентификатору учетные записи в облачных хранилищах. Т.е. если злоумышленник получит доступ к этому хранилищу, он не сможет взломать аккаунты, привязанные к Google Authenticator. Однако при утере телефона, переустановке самого приложения или плагина к браузеру пользователю придется повторно выполнять привязку всех своих учетных записей.

Яндекс.Ключ

Относительно недавно к числу сервисов двухфакторной авторизации подключился и отечественный IT-гигант Яндекс. Хоть в мировых масштабах приложение Яндекс.Ключ не столь популярно как Google Authenticator, к нему можно привязать аккаунты от большого числа всевозможных веб-сервисов:

Яндекс.Ключ

Работает приложение Яндекс.Ключ точно так же, как и Google Authenticator. Для добавления учетной записи потребуется отсканировать QR-код либо ввести секретный ключ.

Добавление аккаунта в Яндекс.Ключ

Аутентификатор Яндекс.Ключ способен генерировать ключи доступа не только по таймеру (обновление каждые 30 секунд), но и по требованию. Для этого при подключении аккаунта требуется отключить функцию «Обновлять пароль по таймеру»:

Добавление аккаунта в Яндекс.Ключ

В зависимости от того, была ли задействована функции генерации пароля по времени или нет, во вкладке учетной записи будет отображен таймер либо кнопка «Получить новый пароль», при нажатии на которую программа сгенерирует новый ключ доступа.

Код доступа в приложении Яндекс.Ключ

Также у Яндекс.Ключ есть и другие полезные функции:

  • Возможность защиты самого приложения мастер-паролем, что позволит обезопасить свои данные при утере телефона, даже если сам он не защищен паролем, графическим ключом или отпечатком пальца.

Настройка приложения Яндекс.Ключ

  • Возможность создания резервной копии настроек приложения (включая привязанные аккаунты), что позволит восстановить доступ к аутентификатору после его переустановки либо смене устройства. Резервная копия привязывается к номеру телефона.

Создание резервной копии в Яндекс.Ключ

К сожалению, 2FA-приложение от Яндекс недоступно для компьютеров — только для Android и iOS-девайсов.

Authy

Authy является сильным конкурентов двум рассмотренным 2FA-приложениям. И в отличие от них, программа Authy доступна не только для мобильных устройств или браузера (на данный момент поддерживается Google Chrome), но и для Windows в качестве полноценного самостоятельного приложения (именно его и рассмотрим).

Для кого-то покажется минусом, что Authy требует обязательной регистрации перед использованием, для чего потребуется сообщить системе свой номер мобильного телефона и почтовый ящик.

Authy

Нужны эти данные Authy для: а) синхронизации настроек между разными устройствами; б) восстановления настроек при переустановке программы; в) восстановления доступа к самой системе Authy при утере устройства или даже смене номера телефона (для этих целей используется почтовый ящик, указанный при регистрации).

Программой Authy очень легко пользоваться, независимо от устройства, на котором та запущена. Каждый отдельный аккаунт, привязанный к аутентификатору, здесь именуется токеном (token). Для привязки учетной записи также требуется просканировать QR-код (только для мобильной версии) или ввести ключ (для Windows-версии это единственный способ привязки):

2FA-программа Authy для Windows

Также в приложении Authy пользователь может указать длину генерируемого ключа, если она не была определена аутентификатором при подключении аккаунта.

Добавление аккаунта в Authy

Другие полезные функции Authy:

  • Возможность создания резервной копии настроек 2FA, защищенной паролем.

Настройки Authy

  • Возможность привязке к одной учетной записи Authy нескольких устройств. При этом синхронизация между ними осуществляется путем передачи файла резервной копии. Т.к. тот зашифрован, на новом устройстве придется ввести пароль.

Настройка синхронизации в Authy

Как и в случае с Яндекс.Ключ, программу Authy можно защитить мастер-ключом.

LastPass Authenticator

Пользователи, предпочитающие хранить свои пароли от чего угодно в специальных диспетчерах паролей, наверняка, знакомы с программой LastPass, а точнее — с его плагином под браузеры. Разработчики LastPass также выпустили и 2FA-приложение для мобильных устройств под управлением Android, iOS и Windows 8 Mobile.

Никакой регистрации LastPass Authenticator не требует. Привязать к аутентификатору аккаунт очень просто:

LastPass Authenticator

Приложение LastPass Authenticator также позволяет пользователям создать резервную копию настроек. И для этого разработчики решили использовать свой знаменитый диспетчер паролей LastPass Password Manager. Для этого его придется установить на телефон или в браузер (плагин доступен для всех популярных браузеров), о чем аутентификатор сообщит при попытке создать резервную копию данных:

2FA-приложение LastPass Authenticator

При необходимости LastPass Authenticator можно защитить паролем (пин-кодом), который потребуется вводить каждый раз при запуске приложения:

Настройка LastPass Authenticator

Кстати, для пользователей LastPass Password Manager приложение LastPass Authenticator поможет дополнительно защитить хранимые в диспетчере пароли путем задействования двухфакторной аутентификации. Конечно, можно использовать и другой аутентификатор, но проще, удобней и безопасней совместить менеджер паролей LastPass с 2FA-приложением от того же разработчика.

Microsoft Authenticator

Корпорация Microsoft не могла пройти мимо темы, касающейся двухфакторной аутентификации. Разработанное IT-гигантом приложение Microsoft Authenticator довольно популярно среди пользователей мобильных устройств под управлением Windows 8/10 Mobile, Android и iOS.

Конечно, аутентификатор рассчитан, в первую очередь, на владельцев учетных записей Microsoft, но не только. При добавлении аккаунта приложение первым делом предложит добавить личную или рабочую/учебную учетную запись Microsoft.

Microsoft Authenticator

Сделав это, пользователь сможет в будущем авторизовываться во всех сервисах Microsoft без необходимости ввода пароля или даже кода от самого аутентификатора — достаточно будет коснуться по уведомлению.

Но 2FA-приложение Microsoft Authenticator могут свободно использовать и те, кто никогда не создавал аккаунт в системе IT-гиганта. Привязка любых других учетных записей к аутентификатору выполняется в пару касаний экрана мобильного устройства. Здесь также предусмотрена возможность сканирований QR-кода либо ввода ключа в ручном режиме:

Добавление аккаунта в Microsoft Authenticator

Из дополнительных функций приложения отметим:

  • Есть у Microsoft Authenticator одна особенность, которой нет у рассмотренных выше аутентификаторов — возможность скрытия кода авторизации во вкладке учетных записей. Эта функция окажется полезной для особо осторожных пользователей, которые не хотели бы засветить свои коды доступа всем окружающим при запуске приложения.

2FA-приложение Microsoft Authenticator

  • Возможность архивации (создания резервной копии) настроек аутентификатора. И для использования данной функции уже никак не отвертеться от создании учетной записи в системе Microsoft:

Архивация настроек в Microsoft Authenticator

  • Возможность установки защиты на запуск программы. Но в этом плане приложение Microsoft Authenticator работает немного странно, т.к. для активации защиты требуется, чтобы на самом устройстве была включена блокировка. Т.е. те пользователи, которые не любят каждый раз при включении смартфона вводить пароль, не смогут активировать защиту на запуск аутентификатора. К сожалению.

Настройки безопасности Microsoft Authenticator

И последнее: как и вся продукция корпорации Microsoft — будь это ОС, программа или устройство — аутентификатор Microsoft Authenticator также собирает данные о пользователе. Нас, конечно, убеждают, что собираемая информация не является персональной и т.д. и т.п. Но лучше просто выключить эту функцию в настройках (хотя в случае с Microsoft неизвестно, действительно ли отключается отслеживание):

Microsoft Authenticator

Duo Mobile

Аутентификатор Duo Mobile создан IT-компанией Duo Security (дочернее предприятие Cisco), вплотную занимающейся вопросами кибер-безопасности в области авторизации пользователей в системе, защиты удаленного доступа к рабочим станциям и т.д. Разработанное специалистами Duo Security 2FA-приложение доступно бесплатно для пользователей iOS, Android  и Windows Mobile 8/10.

Использование Duo Mobile — процедура стандартная для подобного рода приложений. Добавить аккаунт можно по QR-коду либо вручную. Имеется возможность выбора одного из многочисленных сервисов. Если в представленном списке не оказалось нужного, всегда можно добавить учетную запись «Other»:

Duo Mobile

Как и в случае с Microsoft Authenticator, у 2FA-приложения Duo Mobile предусмотрена функция скрытия кодов доступа в списке учетных записей. И она включена здесь по умолчанию. Чтобы посмотреть требуемый ключ, пользователю нужно будет коснуться панельки с названием аккаунта:

Приложение Duo Mobile

Есть у Duo Mobile и удобные дополнительные функции:

  • Создание резервной копии настроек аккаунтов. Для хранения этих данных Duo Mobile использует облачное хранилище Google Drive или iCloud — зависит от платформы, из-под которой запускается приложение (к сожалению, на счет Windows Mobile у нас нет сведений). Т.е. пользователям Android и iOS-девайсов не придется регистрироваться где-то еще для хранения резервной копии настроек.

Добавление аккаунта в Duo Mobile

  • Наличие функции блокировки скриншотов экрана. Если задействовать ее, в течение 10 минут после запуска приложения либо выхода из него до истечения этого времени на мобильном устройстве будет отключена функция создания снимков экрана. Сделано это для защиты отображенных кодов доступа от других приложений или даже вредоносных программ, способных делать скриншоты в автоматическом режиме без участия пользователя.

Настройки Duo Mobile

На последнем изображении также можно увидеть переключатель «Send usage data» для включения/отключения отправки данных на сервера Duo Mobile. Рекомендуем сразу отключить ее. На всякий случай.

WinAuth

Последней в нашем обзоре рассмотрим программу WinAuth — это один из немногочисленных 2FA-аутентификаторов, созданных специально для настольных компьютеров под управлением Windows 7/8/10. Есть и другая уникальная черта программы WinAuth — она рассчитана на использование геймерами (но не только). Приложение имеет открытый исходный код и распространяется совершенно бесплатно. Интерфейс, к сожалению, не переведен на русский язык.

Сначала расскажем, почему именно WinAuth подходит для использования любителями компьютерных игр. Все дело в том, что данный аутентификатор поддерживают такие игровые системы как Battle.Net, Glyph и Steam. Также через WinAuth можно авторизовываться в онлайн-игре Guild Wars 2 (не совсем понятно, почему только в ней). Кроме того, в аутентификаторе отдельно предусмотрен функционал для авторизации в сервисах Google и Microsoft.

WinAuth

Но все это — не является пределом возможностей данного 2FA-приложения. На изображении выше в выпадающем списке можно заметить пункт «Authenticator». Он предназначен для привязки к аутентификатору любых других веб-сервисов. Для примера привяжем к программе облачное хранилище Mega.nz:

Добавление аккаунта в WinAuth

Все прошло успешно. Теперь при входе в облако Mega.nz потребуется вводить код из программы WinAuth. Тот, кстати, отображается после клика на значок с изображением закругленной стрелки, а затем автоматически скрывается через несколько секунд.

Коды доступа в WinAuth

Вот другие полезные функции WinAuth:

  • Возможность импорта настроек из любых других 2FA-приложений. Для этого понадобится файл формата XML, TXT, ZIP или PGP, генерируемый 2FA-приложениями при экспорте настроек из них. Экспортировать настройки можно и из самого аутентификатора WinAuth, предварительно защитив данные от взлома паролем (при экспорте в ZIP-архив) или PGP-ключом шифрования:

Экспорт настроек из WinAuth

  • Возможность установки индивидуального пароля на каждую отдельную ученую запись, привязанную к аутентификатору.

Установка паролей на аккаунты в WinAuth

  • Возможность автоматизации работы программы по нажатию горячих клавиш (можно задать индивидуально для каждого отдельного привязанного аккаунта). К примеру, на клавиши можно "повесить" автоматический ввод секретного кода в текущее открытое окно (в текстовое поле):

Настройки автоматизации WinAuth

  • Возможность защиты самой программы (помимо защиты отдельных аккаунтов) WinAuth от несанкционированного доступа тремя различными способами: парольная защита, защита при помощи учетной записи Microsoft (в это случае зашифрованные настройки программы можно будет расшифровать только на том же компьютере) и защита при помощи аппаратного ключа безопасности YubiKey (для запуска WinAuth к компьютеру нужно будет подключить специальное USB-устройство).

Настройки безопасности WinAuth

  • И еще один небольшой бонус для геймеров — возможность установки иконок к привязанным к WinAuth игровым учетным записям:

Установка иконок на аккаунты в WinAuth

Остались вопросы, предложения или замечания? Свяжитесь с нами и задайте вопрос.

Категории