Что такое приложения для аутентификации и как они работают?
опубликованный
, дата публикации:
20 июля, 2023
Поделитесь этим блогом
Написано
Aranza Trevino
Под редакцией
Anne Cutler
Одобрено
Darren Guccione
Приложение для аутентификации — это безопасный и простой метод проверки личности, генерирующий номерные коды, которые пользователи вводят вместе с учетными данными для доступа к учетной записи. Читайте дальше, чтобы узнать о том, как работают приложения для аутентификации и как их использовать.
Что делает приложение для аутентификации?
Приложения для аутентификации используются в качестве дополнительного метода проверки для многофакторной аутентификации (MFA). Многофакторная аутентификация — это важная мера безопасности, которая защищает вашу учетную запись в случае компрометации пароля. В современной среде кибербезопасности пароли часто компрометируются в из-за утечки данных и изощренных фишинговых атак, а также других киберугроз.
К числу наиболее популярных приложений относятся Google Authenticator и Microsoft Authenticator. Чтобы подтвердить личность, приложение для аутентификации генерирует код, называемый одноразовым паролем на основе времени (TOTP), который вы вводите вместе с именем пользователя и паролем при входе в учетную запись. Обычно код состоит из шести-восьми цифр.
Зачем использовать приложение для аутентификации?
Эксперты рекомендуют использовать многофакторную аутентификацию для каждой доступной учетной записи для повышения безопасности и лучшей защиты ваших личных данных. Приложение для аутентификации — это бесплатный, простой и безопасный способ использования многофакторной аутентификации, и большинство учетных записей с настройками безопасности предлагают его в качестве опции.
Как работают приложения для аутентификации
Приложения для аутентификации работают на основе модели проверки TOTP. Когда вы устанавливаете многофакторную аутентификацию в учетной записи и выбираете TOTP, сервер учетной записи создает QR-код, который будет просканирует приложение для аутентификации. QR-код содержит секретный алгоритм, который использует текущее время в качестве фактора при генерации кодов TOTP.
Приложения для аутентификации и сервер учетной записи будут единственными сторонами, обладающими секретным алгоритмом. Они будут независимо использовать секрет для генерации одинаковых кодов в точно в одно и то же время.
При входе в систему пользователь должен будет вводить код, отображаемый в приложении для аутентификации. Сервер проверит, соответствует ли введенный код сгенерированному. Если коды совпадают, пользователю будет предоставлен доступ. В противном случае пользователю будет отказано в доступе.
Существует множество вариантов приложений для аутентификации. К числу популярных автономных телефонных приложений относятся Google Authenticator и Microsoft Mobile Phone Authenticator.
Приложения для аутентификации также могут быть интегрированы в менеджер паролей, например Keeper Password Manager. Менеджер паролей надежно хранит все ваши учетные данные, включая пароли, ключи доступа и коды TOTP. Этот вариант наиболее удобен, поскольку менеджеры паролей синхронизируются на всех устройствах, а некоторые могут автоматически заполнять ваш код TOTP вместе с учетными данными. Это также означает, что вам не придется возиться с несколькими устройствами, чтобы просто войти в систему.
Безопасны ли приложения для аутентификации?
Приложения для аутентификации безопасны, поскольку они сохраняют код локально на вашем устройстве, а коды не отправляются в незашифрованном виде через Интернет. Это означает, что их нельзя перехватить распространенными методами кибератак. Поскольку коды сбрасываются каждые тридцать-шестьдесят секунд, злоумышленникам будет трудно их украсть. Так как использовать приложение для аутентификации просто, бесплатно и безопасно, — это теперь наиболее рекомендуемый тип многофакторной аутентификации.
Долгое время метод многофакторной аутентификации по умолчанию представлял собой одноразовый код, отправляемый в SMS-сообщении на ваш телефон или по электронной почте. Однако этот метод имеет ряд недостатков в системе безопасности. Эти сообщения не зашифрованы. Поскольку они не зашифрованы, злоумышленники, если перехватят коды, будут иметь возможность видеть их в форме обычного текста. Эти коды, как правило, действуют от пятнадцати минут до нескольких часов, что дает злоумышленникам время для их кражи и использования для входа в учетную запись.
Подмена SIM-карты также делает этот тип многофакторной аутентификации уязвимым. Подмена SIM-карты — это атака, при которой злоумышленник выдаёт себя за вас, чтобы убедить телефонного оператора переключить ваш номер телефона на новую SIM-карту для возможности принимать ваши звонки и получать текстовые сообщения, включая СМС-коды, отправленные для многофакторной аутентификации.
Приложения для аутентификации вряд ли будут скомпрометированы, но в некоторых редких случаях это происходит. Коды можно украсть, если хакер получит доступ к приложению на вашем устройстве. Это означает, что если у вас есть автономное приложение для аутентификации, хакер, который крадет и взламывает ваше физическое устройство, может получить доступ к вашим кодам.
Теоретически, если злоумышленник украдет непосредственно QR-код и, следовательно, секретный алгоритм, он сможет взломать ваши учетные записи. Но на практике такое редко встречается. Это возможно только в том случае, если серверы учетной записи незащищены, если вы скомпрометируете QR-код, передав его другим лицам, или если вы сохраните его снимок в небезопасном месте.
Для защиты кодов TOTP в приложении для аутентификации следует защитить устройство PIN-кодом, чтобы только вы могли открыть его. Также следует хранить QR-код в секрете, не передавая его и не сохраняя его снимки.
Действия по настройке приложения для аутентификации
Действия для настройки приложения для аутентификации:
Выберите приложение для аутентификации. Мы рекомендуем использовать менеджер паролей, но у вас есть несколько вариантов на выбор. Выберите то, что вам проще всего использовать.
Загрузите приложение на свое устройство. Если вы используете автономное приложение для аутентификации, рекомендуем загрузить его на телефон, потому что, скорее всего, телефон будет у вас при себе, когда понадобится войти в учетную запись.
Запросите QR-код в своей учетной записи. Обычно его можно найти в настройках безопасности учетной записи, которую вы хотите защитить с помощью выбранной многофакторной аутентификации.
Отсканируйте QR-код с помощью приложения для аутентификации. Приложение будет использовать либо камеру устройства, либо функцию снимка экрана для сканирования QR-кода.
Все готово! Используйте код TOTP, отображаемый в приложении для аутентификации, чтобы войти в учетную запись. Если вы решите использовать менеджер паролей для кодов TOTP, он будет автоматически заполнять их при входе в систему.
Используйте приложения для аутентификации для многофакторной аутентификации
Приложения для аутентификации очень безопасны, их легко настроить и использовать. Настоятельно рекомендуем использовать приложение для аутентификации для многофакторной аутентификации. Keeper Password Manager интегрирует функции приложения для аутентификации прямо в свое приложение, что способствует повышению уровня кибербезопасности и упрощает защиту учетных записей.
Aranza Trevino — старший специалист по SEO-контенту в Keeper Security. Она является опытным аналитиком тенденций и данных в области кибербезопасности и постоянно пополняет свои знания в отрасли, чтобы просвещать читателей посредством своего блога. Блоги, которые ведет Aranza, помогают людям и компаниям лучше разбираться в вопросах управления паролями, безопасности паролей и защиты от киберугроз. Aranza получила степень бакалавра в области цифрового маркетинга в университете DePaul.
Получайте последние новости и обновления в области кибербезопасности прямо в свой почтовый ящик
Поделитесь этим блогом
Вам также может понравиться
Что такое уровень безопасности?
Уровень безопасности — это общий показатель кибербезопасности организации. Он определяет, как механизмы, политики, процедуры и операции организации отвечают на киберугрозы и защищают от них. Читайте дальше, чтобы узнать больше об уровне безопасности, о том, почему он важен...