Шпионаж в Сети
07.09.2023 Техно

Как одноразовые пароли спасают от слежки в интернете

Фото
соцсети

Полномочия силовиков в России и так широки, но в скором будущем они могут получить право запрашивать фактически любую информацию о том, что вы делали в интернете, без обращения в суд. Поэтому ведущая рубрики «Онлайн-расследование» издания-иноагента The Bell Ирина Панкратова решила посвятить несколько выпусков этой рубрики эффективным способам защиты своих аккаунтов и устройств

НАСТОЯЩИЙ МАТЕРИАЛ (ИНФОРМАЦИЯ) ПРОИЗВЕДЕН И РАСПРОСТРАНЕН ИНОСТРАННЫМ АГЕНТОМ THE BELL ЛИБО КАСАЕТСЯ ДЕЯТЕЛЬНОСТИ ИНОСТРАННОГО АГЕНТА THE BELL. 18+

О самых очевидных мерах предосторожности мы писали тут, а теперь остановимся на чуть более трудоемких, но и более надежных. В этом материале расскажем об аутентификаторах — программах, которые генерируют так называемый One-time Password, уникальный пароль только для вашего устройства, который обновляется каждые 30 секунд.

Инструменты — приложения-аутентификаторы

One-time Password — это второй этап двухфакторной аутентификации. Его минус — некоторая трудоемкость при стартовой настройке. А плюс в том, что это гораздо более надежный метод, чем код из SMS.

Одноразовый пароль генерируется в специальных приложениях. Ниже — о том, как их настроить. Этот пароль будет меняться каждые 30 секунд автоматически. То есть, если вы не успели ввести его за 30 секунд, придется вводить уже новый сгенерированный.

Такая система очень сильно усложняет задачу тем, кто по какой-то причине хочет добраться до вашего аккаунта. Даже если кто-то узнал основной пароль от вашего аккаунта и даже если он получил доступ к вашим SMS, добраться до постоянно меняющихся паролей из аутентификатора очень непросто.

Что такое двухфакторая аутентификация

Двухфакторная аутентификация — это необходимость двумя разными способами доказать, что вы — это вы. Сначала вы подтверждаете свое право доступа к устройству/приложению/сайту одним фактором — в абсолютном большинстве случаев, это пароль. Затем — вторым, и вот здесь уже есть разные варианты. Но чаще всего второй фактор — это код из SMS, пришедшего на номер вашего мобильного телефона, который привязан к вашему устройству/приложению/сайту. Логика этого метода проста. Пароль более-менее легко взломать, даже если вы каждый раз придумываете новый и сложный. Одновременно с паролем получить доступ еще и к вашим SMS — сложнее. Любой специалист по цифровой безопасности подтвердит вам, что двухфакторная аутентификация очень сильно снижает вероятность взлома. Код в SMS — это уже намного лучше, чем ничего. И как минимум этот способ двухфакторной идентификации имеет смысл настроить каждому. Опция настроить двухфакторную идентификацию, как правило, находится в разделах вроде «Настройки конфиденциальности». При выборе конкретного метода «двухфакторе» советуем вам выбрать не SMS, а коды из приложений-аутентификаторов. Также не путайте двухфакторный вход с дублирующим. Например, часто для разблокировки смартфона нужно либо ввести код-пароль, либо использовать отпечаток пальца/взгляд на экран — это пример дублирующего входа, а при «двухфакторке» обязательным будет введение и пароля, и кода.

— Установите на телефон приложение-аутентификатор Google Authenticator, оно есть как в Google Play, так и в Apple Store.

— Также установите одно из аналогичных приложений, которые пригодятся для авторизации вне Google, — для Android это andOTP или Aegis Authenticator, для iOS — Authenticator или Tofu Authenticator.

— Желательно также установить расширение для Google Chrome.

— Начните со своего аккаунта в Google. Вот тут кликните по «Двухэтапной аутентификации», а там выберите «Приложение Autentificator» и следуйте инструкциям, они очень простые.

— Желательно настроить «двухфакторку» через One-time Password везде, где это возможно, а не только в Google. Например, в Facebook это делается тут. В любом другом приложении по аналогии с Facebook нужно отыскать раздел вроде «Пароль и безопасность» в настройках, а там выбрать двухфакторную аутентификацию через приложение.

— Затем вам просто нужно отсканировать QR-код из Facebook или другого приложения/сайта — тем генератором кодов, который вы установили, например, andOTP в Android или Authenticator в iOS. С этого момента генератор будет каждые 30 секунд создавать вам новый код, необходимый для авторизации.

Меры предосторожности

— Второй фактор аутентификации через код из SMS недостаточно безопасен потому, что в России слишком легко получить доступ к чужой sim-карте. Самый популярный метод — это дубликат вашей симки. Его могут сделать незаметно для вас. Если вы живете в Москве, то можете сходить в офис оператора и оформить запрет на действия по доверенности с вашим номером. Но в большинстве российских регионов такой опции нет. В результате любой человек может подделать доверенность от вашего имени (про «отрисовку» подобных документов можно почитать тут) и сделать дубликат вашей sim-карты по ней. Иногда и этого не требуется, а будет достаточно скромной взятки сотруднику салона мобильного оператора. Дубликат sim-карты позволяет заниматься тем, что в даркнете называют «теневым чтением». То есть мониторить ваши переписки и многое другое незаметно для вас.

— Принято считать, что в таком случае вы рано или поздно увидите незнакомое устройство в списке устройств где-нибудь вроде настроек мессенджера Telegram. Иногда, действительно, так и происходит. Но не всегда. Хакеры уже научились сохранять невидимость для таких настроек. Так что «теневое чтение» порой бывает стопроцентно теневым.

— Некоторые сайты не позволяют настроить One-time Password как второй фактор. Это особенно характерно для сайтов, которые и представляют для вас угрозу, таких как сайт «Госуслуги», который может прислать электронную повестку или еще какое-нибудь «письмо счастья». В этом году на «Госуслугах» заработал One-time Password, но в случаях, когда он недоступен, ищите в настройках раздел «Оповещение на электронную почту» или нечто подобное. Включайте эту опцию, так вы хотя бы получите письмо о попытке входа в ваш аккаунт.

— Если генератор кодов выдает ошибку, то чаще всего причина этого в том, что на ваших гаджетах установлено разное время. Установите одно и то же время. Или установите генератор на то устройство, с которого авторизуетесь. Например, на какой-то сайт вы обычно заходите с макбука и в Chrome, тогда поставьте расширение для Chrome и пусть оно генерирует вам коды.

Примеры

Двухфакторная аутентификация тоже не является стопроцентной гарантией безопасности. Например, в июле прошлого года Microsoft подробно рассказала о масштабной фишинговой кампании. Хакеры атаковали более 10 тысяч организаций начиная с сентября 2021 года, и им удавалось похищать учетные записи пользователей, даже если они использовали «двухфакторку». Специалисты по безопасности всегда указывают на то, что этот способ сильно усложняет задачу киберпреступникам, но «не превращает учетную запись пользователя в сейф». Это не отменяет необходимость быть аккуратным в выражениях и дважды подумать, прежде чем отправить чувствительный документ или фото.

Домашнее задание

Минимальная задача — настройте двухфакторную аутентификацию на своем аккаунте в Google. Кликните по своей аватарке в правом верхнем углу и перейдите в настройки безопасности. Второй фактор при этом должен быть именно кодом из приложения Authenticator. Есть и еще более сложные примеры второго фактора, вы увидите их в вариантах настройки. Если вы готовы использовать их, это здорово.

Что мне с этого?

К защите личных данных пользователя в России никогда не подходили серьезно. Пока в США разгорались скандалы с петициями и демонстрациями из-за того, что данные пользователей Facebook анализировали для политического рекламного таргетинга, «ВКонтакте» раскрывал силовикам данные пользователей даже при досудебных проверках. За последние полтора года желание государства и силовиков накрыть пользователей «цифровых колпаком» только усилилось. В России борются с «серыми» sim-картами, чьих пользователей нельзя отследить, а МВД вносит поправки, которые позволят получать доступ к гаджету пользователя без решения суда. Вопрос защиты ваших аккаунтов и устройств стоит как никогда остро. Собственная небрежность может закончиться и уголовным делом, и арестом. Настройте дополнительные защиты, и очень скоро вы привыкнете к их использованию, ведь на деле они отнимают не так много времени.

Авторизуйтесь, чтобы оставлять комментарии