Как использовать электронный ключ для двухэтапной аутентификации

Как получить код подтверждения с помощью SMS или голосового вызова

Важно! Никогда и никому не сообщайте свои коды подтверждения. Укажите в настройках, как вы хотите получать 6-значные коды подтверждения: с помощью SMS или голосового вызова

Чтобы подтвердить свою личность, вам нужно будет ввести код подтверждения на экране входа

Укажите в настройках, как вы хотите получать 6-значные коды подтверждения: с помощью SMS или голосового вызова. Чтобы подтвердить свою личность, вам нужно будет ввести код подтверждения на экране входа.

Примечание. По сравнению с другими способами аутентификации этот менее безопасен из-за риска атак, основанных на манипуляциях с номером телефона.

Как использовать резервные коды

Важно! Никогда и никому не сообщайте свои резервные коды. Список 8-значных резервных кодов можно заранее скачать или распечатать

В частности, он пригодится, если вы потеряете телефон. Храните список в надежном месте.

Список 8-значных резервных кодов можно заранее скачать или распечатать. В частности, он пригодится, если вы потеряете телефон. Храните список в надежном месте.

Отключение аутентификации электронной почтой

Для этого вам необходимо открыть письмо, которое придет на ваш почтовый ящик сразу после активации системы защиты. В нижней части сообщения вы увидите заветный пункт «Выключить…». Щелкните по нему один раз, и прежние настройки защиты ваших персональных данных будут восстановлены.

Зная, как включить двухфакторную аутентификацию Apple ID, можно обеспечить безопасность и увеличить надежность АррІе ID и iCloud. По сути это означает, что если злоумышленнику известен пароль, но у него отсутствует доступ к предварительно верифицированному оборудованию, он не сможет авторизоваться в данной учётной записи.

Система доступа компании позволяет входить в аккаунт пользователя только с проверенного оборудования. Двукратная аутентификация требует, чтобы при первой регистрации в «Эпл Айди» c неизвестного гаджета вводился правильный пароль и второй код безопасности, высылаемый на верифицированное устройство либо номер.

Принцип работы

Впервые входя в Apple ID, например, c нового смартфона, владелец должен сначала подтвердить свою личность паролем, а затем набрать 6 цифр, которые автоматически поступят на все проверенные устройства. Процедура подтверждает доверие к новому гаджету. Каждый раз повторять её не придётся. Подтверждающее число вводить не надо, если не выходить из учётной записи, не удалять оборудование либо не изменять код доступа. Регистрируясь в системе в Интернете, пользователь может довериться собственному браузеру, поэтому при следующем входе c компьютера вводить проверочное число не понадобится.

Что такое доверенное оборудование

После активации двухэтапного подтверждения пользователь, входя в учётную запись «Эпл», должен подтвердить свою личность вводом числа, отправленного на устройство либо номер телефона, которые определены как доверенные. Код выполняет роль идентификационного ключа.

Перечень таких устройств доступен в «Сафари»

в меню «АррІе ID – Пароль и безопасность – Добавить или удалить доверенное оборудование ». Как правило, это «Айпад», «Айфон» или «Айпод тач», через которые владелец заходил в облачное хранилище и активировал функцию поиска «Айфона».

Двойная верификация, как правило, лучше всего подходит людям, осознающим защиту, которые чувствуют себя комфортно в процессе её настройки и понимают, как она работает. Защита снижает риск доступа посторонних лиц к личным данным, проста в использовании и не влечёт дополнительных затрат.

Если же владелец смартфона обычно забывает пароли «Эпл» и меняет номера телефонов, такое средство не подходит. Может быть невероятно сложно, если не невозможно, возобновить доступ к АррІе ID при потере обоих паролей, когда доверенные устройства либо мобильный телефон недоступны. Таким владельцам нужно знать, как отключить двухэтапную проверку Apple ID.

Кроме того, при краже смартфона злоумышленник может обойти двойную защиту, читая СМС-сообщения c проверочным кодом на экране блокировки, или благодаря функции восстановления доступа, которая позволяет временно пользоваться электронной почтой и сбрасывать пароли.

Защитите свой аккаунт Google Рекламы

Ниже представлено несколько рекомендаций, которые снизят риски несанкционированного доступа к вашим аккаунтам Google Рекламы.

Ограничивайте разрешенные для пользователей почтовые домены

Добавив в настройки безопасности разрешенные почтовые домены, в аккаунт Google Рекламы нельзя будет приглашать пользователей, чьи адреса электронной почты не относятся к доменам из этого списка. Например, если в списке разрешенных доменов указан только example.com, то пользователя user@example.com можно пригласить в аккаунт, а пользователя user@gmail.com – нельзя. Помните, что добавлять разрешенные домены в аккаунты могут только пользователи с правами администратора. 

1. Войдите в аккаунт Google Рекламы.
2. Нажмите на значок инструментов в правом верхнем углу страницы.
3. В разделе «Настройка» выберите Доступ к аккаунту.
4. В верхней части страницы нажмите на вкладку Настройки безопасности. 
5. Нажмите на заголовок Разрешенные домены.
6. Нажмите Добавить домен, чтобы добавить домен в список.
7. Нажмите на значок «x» справа от поля, чтобы удалить домен.
8. Нажмите Сохранить.

Не допускайте совместного использования учетных данных

Если с вашим аккаунтом Google Рекламы работает несколько человек, не используйте общие имя и пароль. Вместо этого дайте каждому из них доступ к аккаунту Google Рекламы через их личные аккаунты Google. Учтите, что один аккаунт Google может иметь прямой доступ к 20 аккаунтам Google Рекламы. Если вы управляете несколькими аккаунтами Google Рекламы, возможно, вам стоит рассмотреть возможность использования управляющего аккаунта. К управляющему аккаунту можно давать доступ различным пользователям, а также разрешить им доступ прямо из него к нескольким другим аккаунтам.

Проверяйте, нет ли в вашем аккаунте несанкционированных изменений

Регулярно входите в аккаунт Google Рекламы и проверяйте, не выполнялись ли в нем несанкционированные действия, например изменения в объявлениях или бюджете. Если вы подозреваете, что кто-то пользуется вашими платежными данными, проверьте выписку по банковскому счету. Обнаружив следы несанкционированной деятельности, сообщите нам об этом. 

Удаляйте неактивных пользователей

Удаляйте из аккаунта пользователей, которые больше не работают в вашей компании или с вашим аккаунтом Google Рекламы. В обратном случае у пользователя останется возможность входить в аккаунт и вносить изменения. Подробнее о том, как удалить пользователя из аккаунта…

Назначьте каждому пользователю уровень доступа, минимально необходимый для его работы

Приглашая нового пользователя в аккаунт, вы назначаете ему уровень доступа. От уровня доступа зависит, какие именно операции можно выполнять в аккаунте. Например, пользователи с правами администратора могут приглашать новых пользователей в аккаунт, а пользователи со стандартным доступом не могут. Сотрудникам, которым не нужно вносить изменения в аккаунт, можно назначить доступ только для чтения или только к электронной почте. Подробнее об уровнях доступа к аккаунту Google Рекламы…

Откажитесь от двухэтапной аутентификации 

Компания Google настоятельно рекомендует рекламодателям использовать двухэтапную аутентификацию при входе в аккаунт, поскольку она позволяет защитить аккаунт и важные данные от злоумышленников, даже если им удастся заполучить пароль. Чтобы отказаться от такой защиты, выполните приведенные ниже действия.

Как войти в систему, используя проверки два шага

Вход с помощью двухэтапной проверки в два шага легко

1. Откройте страницу входа в систему и введите как обычно имя пользователя и пароль.
2. Тогда вы увидите запрос на ввод 6-значного кода, который вы получите по телефону. При вводе кода можно установить отметку о доверии этому компьютеру – это означает, что при входе в систему с него вам не нужно будет снова вводить код. Во время входа с другого компьютера ввод кода будет необходим.
3. После включения проверки в два шага приложения и устройства, использующие Ваш аккаунт Google (например, Gmail на вашем телефоне или Outlook), не будут иметь возможности подключения. Достаточно, однако, несколько простых действий, чтобы создать специальный пароль, который позволит приложениям подключиться к учетной записи.

Я не получаю кода СМС

Если вы выбрали получение кодов в SMS-ах, убедитесь, что ваш тариф сотового телефона позволяет принимать SMS-сообщения. Время доставки сообщения и доступность этой функции может отличаться в зависимости от страны и оператора. Также проверьте, что вы находитесь в хорошей зоне обслуживания сотовой сети.

Если у вас есть смартфон, лучше всего использовать приложение Google Authenticator.

Другим вариантом является изменение способа получения кодов – выберите голосовой вызов вместо SMS-или наоборот. Иногда одна из этих услуг работает лучше, чем вторая.

Если вы запросите несколько кодов, работать будет только последний из них. Помните, что предоставление последней версии кода может занять некоторое время.

Основы

Первое, что стоит упомянуть про одноразовые пароли, — это то, что они бывают двух типов: HOTP и TOTP. А именно, HMAC-based One Time Password и Time-based OTP. TOTP — это лишь надстройка над HOTP, поэтому сначала поговорим о более простом алгоритме.

HOTP описан спецификацией RFC4226. Она небольшая, всего 35 страниц, и содержит все необходимое: формальное описание, пример реализации и тестовые данные. Давайте рассмотрим основные понятия.

Прежде всего, что такое HMAC? HMAC расшифровывается как Hash-based Message Authentication Code, или по-русски «код аутентификации сообщений, использующий хэш-функции». MAC — это механизм, позволяющий верифицировать отправителя сообщения. Алгоритм MAC генерирует MAC-тэг, используя секретный ключ, известный только отправителю и получателю. Получив сообщение, вы можете сгенерировать MAC-тэг самостоятельно и сравнить два тэга. Если они совпадают — все в порядке, вмешательства в процесс коммуникации не было. В качестве бонуса этим же способом можно проверить, не повредилось ли сообщение при передаче. Конечно, отличить вмешательство от повреждения не выйдет, но достаточно самого факта повреждения информации.

Что же такое хэш? Хэш — это результат применения к сообщению Хэш-функции. Хэш-функции берут ваши данные и делают из него строку фиксированной длины. Хороший пример — всем известная функция MD5, которая широко использовалась для проверки целостности файлов.

Сам по себе MAC — это не конкретный алгоритм, а лишь общий термин. HMAC в свою очередь — уже конкретная реализация. Если точнее, то HMAC-X, где X — одна из криптографических хэш-функций. HMAC принимает два аргумента: секретный ключ и сообщение, смешивает их определенным образом, применяет выбранную хэш-функцию два раза и возвращает MAC-тэг.

Если вы сейчас думаете про себя, какое отношение все это имеет к одноразовым паролям — не волнуйтесь, мы почти дошли до самого главного.

Согласно спецификации, HOTP вычисляется на основе двух значений:

• K — секретный ключ, который знают клиент и сервер. Он должен быть минимум 128 бит длиной, а лучше 160, и создается когда, вы настраиваете 2FA.
• C — счетчик.

Счетчик — это 8-байтовое значение, синхронизированное между клиентом и сервером. Оно обновляется, по мере того как вы генерируете новые пароли. В схеме HOTP счетчик на стороне клиента инкрементируется каждый раз, когда вы генерируете новый пароль. На стороне сервера — каждый раз, когда пароль успешно проходит валидацию. Так как можно сгенерировать пароль, но не воспользоваться им, сервер позволяет значению счетчика немного забегать вперед в пределах установленного окна. Однако если вы слишком заигрались с генератором паролей в схеме HOTP, придется синхронизировать его повторно.

Итак. Как вы, наверное, заметили, HMAC тоже принимает два аргумента. RFC4226 определяет функцию генерации HOTP следующим образом:

Вполне ожидаемо, K используется в качестве секретного ключа. Счетчик, в свою очередь, используется в качестве сообщения. После того, как HMAC функция сгенерирует MAC-тэг, загадочная функция вытаскивает из результата уже знакомый нам одноразовый пароль, который вы видите в своем приложении-генераторе или на токене.

Давайте начнем писать код и разберемся с остальным по ходу дела.

Как перенести Authenticator на другой телефон

Как упоминалось выше, перенести «Google Authenticator» на новое устройство, как обычное приложение, не получится. Коды потребуется перемещать вручную, иначе они будут недействительны. Процедура состоит из нескольких этапов, выполнение каждого из них требует внимания и точности действий.

Установить приложение на новый телефон

Сначала необходимо установить официальное приложение на новый девайс. Бесплатная версия доступна для скачивания из магазина Google Play. Найти программу можно и на сторонних веб-ресурсах, главное, чтобы они были надежными.

Затем понадобится открыть браузер Chrome, авторизоваться и перейти в личный кабинет Google Аккаунта. Сделать это можно как на компьютере или ноутбуке, так и на мобильном устройстве.

Настроить аутентификацию

Следующий этап предполагает перенос и настройку сервиса на новом девайсе. Здесь нужно действовать в строгом соответствии с инструкцией.

• Перейти по предоставленной ссылке и авторизоваться с помощью персональных идентификаторов (логина и пароля).
• Открыть меню, расположенное слева, и выбрать вкладку «Безопасность».

В разделе «Вход в аккаунт Google» выбрать опцию «Двухфакторная аутентификация». Напротив нее должно быть указано, что функция активирована.

• Теперь необходимо ввести пароль повторно и дождаться, когда на смартфон или планшет придет уведомление.
• Пользователю понадобится разблокировать аппарат и подтвердить, что он пытается авторизоваться через браузер.
• Запустить приложение и в меню настроек выбрать опцию «Изменить номер», указать тип устройства и продолжить, нажав на клавишу «Далее».
• С помощью мобильного приложения отсканировать штрих-код, который появится на экране компьютера.
• На смартфон поступит уведомление, содержащее шестизначный код. Его понадобится ввести в соответствующее поле и нажать на клавишу «Подтвердить».

Привязать сайты и приложения

После того, как процесс настройки будет завершен, останется привязать аккаунты сайтов и сервисы к новому устройству. Поскольку в один клик выполнить данную процедуру невозможно, понадобится действовать поэтапно. Алгоритм должен выглядеть следующим образом.

• Открыть настройки аккаунта в мобильном приложении или в ЛК на сайте.
• Отключить двухфакторную аутентификацию, подтвердив действие кодом, который поступит на электронный почтовый ящик.
• Вернуться в приложение и на главном экране нажать на значок «+». Сервис предложит отсканировать QR-код либо ввести системный ключ.
• Выбрать один из вариантов (удобнее использовать первый способ).
• После сканирования в мобильном приложении появится новый аккаунт. Для его активации и подтверждения понадобится перейти на сайт и ввести в специальное поле полученный шестизначный код.

Аналогичным способом поступают при отключении и повторной активации всех игровых сервисов, сайтов и приложений. Единственным отличием являются интерфейс программ и опции меню. Но, выполнив перенос сервиса верификации от Google самостоятельно, можно без труда проделывать те же манипуляции и с остальными программами и сайтами.

https://youtube.com/watch?v=pD_4eGaXtO4

Не пришел код подтверждения

• Возможно, вместо этого вы получили уведомление от Google. Узнайте, почему мы рекомендуем использовать уведомления от Google вместо кодов подтверждения, отправляемых в SMS.
• Если мы заметим что-то необычное в процессе входа в систему (например, ваше местоположение), возможно, вам не удастся получить код подтверждения в SMS.
• Если SMS-сообщение с кодом подтверждения отправлено, но вы не получили его, убедитесь, что услуга доставки SMS включена в ваш тарифный план и поддерживается на мобильном устройстве. 
• Перед запросом кода убедитесь, что у вас есть стабильное подключение к Интернету.
• Если код подтверждения доставляется с помощью звонка, вы получите голосовое сообщение в следующих случаях:
  • Если не ответите на звонок.
  • При отсутствии стабильного подключения к Интернету.

Примечание. Если вы запросили несколько кодов подтверждения, действительным будет только последний из них.