Двухфакторная аутентификация и Google authenticator

Зачем мне приходится настраивать двухфакторную аутентификацию. Мне надоел Google Authenticator, он тормозит, слетает, что это вообще такое?

Сегодня расскажу тебе:

• что такое f2a
• как работает
• как настроить
• какие проблемы могут возникать
• как бороться с проблемами

Двухфакторная аутентификация(f2a) — это система доступа, основанная на двух «ключах»: одним владеешь ты (телефон, флешка, еще что-то), другой ты запоминаешь (обычные логин и пароль). Суть подхода очень проста: чтобы куда-то попасть, нужно дважды подтвердить тот факт, что ты — это ты. Это очень сильно повышает безопасность.

Каким же образом телефон может выступить ключом, самый простой способ, это, как твой любимый сбербанк делает, через СМС-код. Тут правда скорее СИМ-карта выступает в роли ключа, но это не столь важно.

Недостатки этого способа:

• стоимость рассылки СМС, они далеко не бесплатны
• ненадежность в рассылке СМС
• небезопасно, так как смс появляется на экране телефона, и если злоумышленник рядом с ним, ему не надо разблокировать телефон, чтобы получить код

Плюсы этого способа:

• это очень просто для пользователя. Ты вообще не о чем не думаешь, и ничего не делаешь: СМС пришла, перепечатал и всё

Но как ты заметил, таким способом пользуются только внутри страны, а в международных сервисах, особенно, связанных с криптой, везде используется Google authenticator.

Окей, убедил, оставлю f2a. А как это работает вообще?

Если коротко, то на сервере гугла запущен алгоритм, который генерирует код, на основе текущего времени, и твоего публичного, и секретного ключа. И у тебя в приложении Google authenticator на телефоне запущен такой же алгоритм.

Когда ты вводишь код на каком-то сайте, сайт обращается к Гуглу и спрашивает, пользователь вот с таким публичным ключем пришел, и говорит, что у него генерировался такой код, это правда? Гугл сравнивает сгенерированный код на сервере, с тем кодом, который был сгенерирован на телефоне, и если они совпадают, он отвечает сайту - всё ок!

Тут ключевое было “на основе текущего времени”. Если время на телефоне будет установлено неверное, тогда оно не совпадает со временем на сервере, и сгенерированный код будет разным. Поэтому те, кто хотят пользоваться google authenticator, который основан на алгоритмах Time-based One-time Password Algorithm и HMAC-based One-time Password Algorithm, должны синхронизировать свои часы со вселенной.

К слову, самая распространенная проблема, из-за которой пользователи не могут пройти свою двухфакторную аутентификацию, это перевод времени на телефоне.

Еще раз расскажу, как настроить f2a. Бывает, что представлен не только google, но и другие сервисы для двухфакторной авторизации. Но мы говорим пока только про google.

Поэтому надо выбрать способ Google Authenticator. И скачать Google Authenticator себе на телефон для iOS или Android. Если не видишь ссылок на них, найди приложение в AppStore или Google Play.

Запускаем приложение, и нажимай кнопку добавить “+”

Выбираем "сканировать штрих-код", и сканируем QR-код на сайте.

Сохраняем код, который находится под QR кодом. "Print and Save the code", этот код потребуется в случае утери доступа к телефону, или если приложение слетит.

В приложении появляется 6-ти значный код. Он обновляется каждые 30 секунд, поэтому злоумышленник не сможет его подобрать!

Остается ввести этот код, и все!

Что делать если коды не подходят:

1. Убедись, что ты вводишь код от этого сайта, и от этого аккаунта
2. Убедись, что у тебя стоит синхронизация времени на устройстве, и дата и время корректные.
3. Если все равно не помогает, и у тебя андроид, то вот лекарство:

• Откройте главное меню приложения Google Authenticator.
• Выберите Настройки.
• Нажмите Коррекция времени для кодов.
• Выберите Синхронизировать.