Безопасность мобильных устройств. Часть 2 – Использование биометрии в приложениях
В первой части мы рассматривали сканеры отпечатков, используемые для разблокировки устройства. Во второй части поговорим о том, как интегрировать сканер в приложение. Кроме того, мы рассмотрим различные идеи, связанные с защитой или взломом приложений, использующих биометрию.
В первой части мы рассматривали сканеры отпечатков, используемые для разблокировки устройства. Во второй части поговорим о том, как интегрировать сканер в приложение. Кроме того, мы рассмотрим различные идеи, связанные с защитой или взломом приложений, использующих биометрию.
В первой части я рассказывал о безопасной среде, предназначенной для управления отпечатками. Эта среда называется по-разному, но чаще всего двумя именами: Trusted Execution Environment (TEE) и Secure Enclave. По сути, обе эти среды представляют собой изолированные области, используемые для управления и проверки достоверной информации.
Global Platform, международная организация по стандартизации, разработала набор стандартов для программной части достоверной среды безопасности, а также для различных служб безопасности. Эти документы были опубликованы в 2010 году, а сами программные интерфейсы, соединяющие достоверное приложение (Trusted Application) и достоверную ОС (Trusted OS), появились в 2011 году. На рисунке ниже, взятого с сайта www.arm.com, описан стандарт TrustZone.
Рисунок 1: Наглядная схема, описывающая стандарт TrustZone
С появлением этого стандарта компании Apple и Samsung начали выпускать разработки на базе безопасного микроядра, находящегося в прикладном сопроцессоре (application coprocessor). Процессор, использующий стандарт TrustZone, позволяет изолировать аппаратную часть для выполнения безопасных операций. Даже если вы получили неограниченные права в операционной системе или сделали джейлбрейк, это никак не повлияет на безопасное микроядро.
Обе платформы построены по одному и тому же принципу: на базе двух областей (обычная и безопасная) и программных интерфейсов, позволяющих приложениям из обычной области получать доступ к безопасной области. В обоих случаях сканер отпечатков соединён с безопасной областью, и, соответственно, приложения из обычной области доступ к сканеру не имеют. В обеих платформах интерфейсы скрывают от разработчика детали реализации, что упрощает внедрение и использование этих функций.
Детали реализации платформы в устройствах от Apple
Компания Apple представила сопроцессор Secure Enclave вместе с iPhone 5S, где появился Touch ID и процессор A7. Secure Enclave использует зашифрованную память, аппаратный генератор случайных чисел и микроядро на базе семейства L4 (с модификациями от Apple). Во время производства сопроцессору Secure Enclave присваивается уникальный идентификатор (Unique ID; UID), который, предположительно, даже не знает Apple. Во время запуска устройства создается эфемерный ключ на основе UID, который затем используется для шифрования памяти, принадлежащей Secure Enclave. Данные, относящиеся к Secure Enclave, которые записаны в файловую систему, шифруются при помощи ключа, связанного с UID и бесповторного счетчика (anti-replay counter). Во время запуска устройства сопроцессор Secure Enclave также использует процесс безопасной загрузки, чтобы удостовериться, что программное обеспечение проверено и подписано компанией Apple. Если проверка на целостность окажется неудачной, устройство переходит в режим обновления прошивки, и вы должны восстановить заводские настройки.
Доступ к Touch ID из приложений
Сторонние приложения могут использовать системные интерфейсы, чтобы организовать аутентификацию при помощи Touch ID или пароля. Приложение может считать лишь статус аутентификации, но не может получить доступ к Touch ID или к данным об отпечатках.
Элементы хранилища keychain также можно защитить посредством Touch ID. Secured Enclave будет выдавать информацию лишь при совпадении отпечатков или пароля. У разработчиков имеются средства, во-первых, для проверки того, что пароль установлен пользователем и, соответственно, во-вторых, для аутентификации и разблокировки элементов из keychain при помощи Touch ID.
На первый взгляд, может показаться, что получить доступ к Touch ID довольно сложно. Однако компания Apple предоставила соответствующий пример кода через Apple iOS Developer Library. Примечание: загрузка iOS SDK возможна только при наличии членства в Apple Developer Program.
Используя примеры кода из Local Authentication Framework, можно легко внедрить в приложение аутентификацию при помощи Touch ID:
Рисунок 2: Пример кода для внедрения аутентификации через Touch ID
Детали реализации платформы в устройствах от Samsung
В устройствах компании Samsung появилась достоверная среда выполнения (Trusted Execution Environment), начиная с Galaxy SIII. Samsung использует микроядро Mobicore, разработанное компанией Giesecke & Devrient GmbH (G&D). Микроядро использует расширение TrustZone у процессоров на базе архитектуры ARM для создания отдельной среды, где выполняются программы и хранятся данные, которая находится рядом с операционной системой устройства. Эта ограниченная среда и называется Trusted Execution Environment. Безопасное приложение, запускаемое внутри Mobicore, называется trustlet. Приложения взаимодействуют с trustlet’ами через библиотеку Mobicore, службу и драйвера устройства.
Хотя разработчики и могут создать свой собственный trustlet, это приложение должно быть встроено в Mobicore компанией G&D.
На рисунке ниже показана архитектура микроядра Mobicore:
Рисунок 3: Архитектура Mobicore
Доступ к Samsung Fingerprint Scanner из приложений
Samsung Fingerprint Scanner может использоваться при авторизации в веб-приложениях и верификации учетной записи в Samsung. Кроме того, сканер отпечатков можно внедрить в приложение, предназначенное для работы с платежной системой Samsung Pay.
Схема работы авторизации на основе отпечатков выглядит следующим образом:
Для работы с отпечатками необходимо использовать Pass SDK, который совместим с сенсорами типа Swipe (S5, Note 4) и Touch (S6). Pass SDK позволяет проверять отпечатки, но и имеет механизмы добавления и даже вызова обрабатываемых исключений в случае, если ваше приложение запущенно на устройстве, которое не поддерживает сканер отпечатков.
На рисунке ниже показан пример кода из Pass SDK, позволяющий выполнить аутентификацию при помощи отпечатка:
Рисунок 4: Пример кода, реализующего механизм аутентификации при помощи отпечатков
Как скомпрометировать систему аутентификации на основе отпечатков
Теперь, когда мы познакомились с архитектурой, у вас, вероятно, возник вопрос, как скомпрометировать эту систему и какие риски.
Первый способ – прямая атака на базу данных с отпечатками. Команда FireEye обнаружила, что смартфоны HTC хранят базу отпечатков в файле, доступном всем на чтение и запись. То есть любое приложение может читать и модифицировать содержимое этого файла. Позже были выпущены отчеты о патчах, касаемо данной уязвимости.
Второй способ – вмешательство во взаимодействие между сканером отпечатков и безопасной средой. Если вы подцепитесь к нужному процессу, то сможете собрать коллекцию отпечатков для доступа к устройству или даже пополнить базу своими собственными отпечатками. И снова команда FireEye продемонстрировала методы компрометирования, а разработчики выпустили патчи.
Третий способ – модификация драйверов на устройстве, отвечающих за взаимодействие между обычной и безопасной средой. Можно сделать так, чтобы проверка отпечатков всегда заканчивалась успешно. Остальные данные, хранимые в безопасной среде, так просто подделать нельзя.
Ди Шен (Di Shen) на конференции Black Hat 2015 презентовал метод, использующий бреши в TEE OS и драйвере на устройствах Huawei на базе чипсета Huawie HiSilicon. При помощи этого метода можно изменять достоверную память, инжектировать шеллкод, получать доступ к отпечаткам и выполнять другие трюки. Но здесь необходимо иметь права суперпользователя.
Наиболее частая причина присутствия уязвимостей – несвоевременная установка патчей. В частности, эта проблема имеется у владельцев устройств на базе Android. 5 августа компания Google анонсировала старт ежемесячных обновлений по технологии Over the Air (OTA) для устройств Nexus. В тот же день компания Samsung также сделала подобное заявление. Компания Samsung ведет переговоры о сотрудничестве касательно обновлений с мобильными операторами по всему миру. Другие производители устройств тоже планируют присоединиться к этой акции. Важно упомянуть об обновлениях для устаревших систем. Обычно для Android, в лучшем случае, выпускаются патчи в течение 18 месяцев после окончания продаж устройства. В то же время, Apple iOS 8.4.1 поддерживает устройства iPhone 4s, выпущенные 4 года назад. После того как вы выбрали платформу для обновлений, своевременно проверяйте выход новых патчей и обновляйте свою систему.
Существуют различные сервисы, информирующие о выходе обновлений. Компания Google недавно создала сервис Android Security Updates Google Group. Компания Apple оповещает о выходе обновлений в специальном разделе или в рассылке.
Если вы хотите использовать биометрию на устройстве или в приложении, учитывайте все риски, как и в случае с внешней службой аутентификации. Сканеры отпечатков до сих пор находятся в поле зрения злоумышленников (см. Часть 1). Прежде чем использовать любую внешнюю службу аутентификации на устройстве либо в приложении, всегда выполняйте проверки на целостность. Кроме того, не забывайте о физической безопасности мобильного устройства. Защищайте свой смартфон так же как кошелек, набитый банкнотами.
Если риски допустимы, пользователям следует использовать такие механизмы аутентификации, которые нельзя обойти посредством просмотра из-за спины. В современных системах, аутентификационная информация надежно защищена, а приложение осуществляет проверку через специальные программные интерфейсы, спроектированные так, чтобы вовремя обнаружить факты взлома. Теперь приложению не нужно управлять паролями.
Можно пойти еще дальше и выбрать двухуровневую защиту. Например, если с важным корпоративным приложением работает команда администраторов мобильных устройств. В этом случае для доступа к приложению можно использовать и пароль и биометрическую аутентификацию. С другой стороны, если с приложением работают конечные пользователи, следует хорошо подумать, прежде чем использовать двухуровневую защиту.
Короче говоря, у биометрии есть множество плюсов, один из которых – упрощение жизни для обычных пользователей. Рекомендую вам обратить внимание на этот вид аутентификации при разработке следующего мобильного приложения.
Учётные записи на смартфонах Samsung теперь требуют двухуровневой аутентификации
Samsung давно добавила возможность включения двухуровневой аутентификации (2FA) в приложение Samsung Account. Но после того, как учётные записи многих знаменитостей в Южной Корее были взломаны, и вслед за недавним инцидентом с утечкой данных, связанного с уведомлениями Find My Mobile, Samsung решила сделать 2FA обязательной с помощью своего последнего обновления приложения учётной записи Samsung Account.
Новым или существующим владельцам учётных записей Samsung, которые будут входить в систему, потребуется аутентифицироваться, введя свой номер телефона для получения кода. Это произойдёт независимо от того, включена ли в существующей учётной записи 2FA или нет — теперь это просто обязательно.
Как ни странно, пользователям, которые вошли в свои учётные записи (думается, таковых большинство), не предлагается пройти повторную аутентификацию после обновления. Конечно, их учётные записи будут по-прежнему в безопасности, если кто-то попытается войти в систему, используя чужие учётные данные: они столкнутся с обязательным экраном 2FA.
Тем не менее, многие пользователи, вероятно, не будут знать об этом изменении, пока не выйдут из системы и не войдут снова по собственному желанию. Стоит отметить, что обновление ещё доступно не всем пользователям. И в отличие от большинства других приложений Samsung, которые можно проверить на наличие обновлений вручную, Samsung Account этого не поддерживает — пользователям в некоторых регионах придётся подождать какое-то время.
На всех смартфонах и планшетах Samsung обнаружилось шпионское ПО
Samsung встраивает в новые мобильные устройства китайское программное обеспечение, которое невозможно удалить. Оно может отсылать пользовательские данные на китайские серверы, а китайские власти могут получить доступ к этой информации в любой момент.
Слежка в пользу Китая
На всех современных смартфонах и планшетах компании Samsung было обнаружено шпионское программное обеспечение, имеющее связь с Китаем. Фирменный софт Samsung регулярно связывается с расположенными на территории КНР серверами и, возможно, отправляет на них пользовательские данные. Факт отправки данных в КНР на момент публикации материала подтвержден не был.
«Брешь» в прошивках гаджетов Samsung обнаружил пользователь ресурса Reddit под псевдонимом Kchaxcer. Его тема, описывающая возникшую угрозу безопасности пользовательской информации, всего за сутки с момента создания набрала около 3000 комментариев.
Kchaxcer сообщает, что в прошивках Samsung есть программное обеспечение китайской компании Qihoo 360, встроенное в Device Care – фирменную утилиту Samsung, встроенную в оболочку One UI, которую Samsung устанавливает на свои современные смартфоны. Приложение включает функции оптимизации устройства, удаления временных и мусорных файлов, а также сканирования на вирусы и другое вредоносное ПО.
Компания Qihoo 360 занимается вопросами информационной безопасности, однако она неоднократно вовлекалась в скандалы вокруг приватности и конфиденциальности. Помимо прочего, Qihoo 360 обвиняли в скрытом (несанкционированном) сборе информации с устройств пользователей, на которых установлен ее софт.
Реакция Samsung
Samsung практически моментально отреагировала на публикацию в Reddit. Ее представители подтвердили факт наличия программного обеспечения Qihoo 360 в составе Device Care.
В то же время Samsung никак не прокомментировала тот факт, что по причине наличия кода, принадлежащего Qihoo 360, в Device Care, приложение регулярно связывается с китайскими серверами.
На момент публикации материала не было известно, кому именно софт Qihoo 360 может отправлять информацию с пользовательских устройств. Тем не менее, в 2014 г. топ-менеджер компании заявлял, что Qihoo 360 будет передавать любые данные правительству Китая по первому же запросу. В 2017 г. компания объявила о своих планах о еще более тесном сотрудничестве с властями КНР в плане отправки ему накопленной информации.
Способ решения проблемы
Kchaxcer отметил, что удалить Device Care из смартфона или планшета Samsung базовыми средствами не получится – приложение системное и является частью прошивки. Он также предупредил, что открывать этому ПО доступ ко всем файлам на устройстве очень рискованно.
Защитить личную информацию от потенциального копирования на китайские серверы, тем не менее, можно. Для этого необходимо лишить Device Care доступа к интернету путем установки брандмауэра, работающего без получения root-прав. Подобные приложения, доказавшие свою эффективность, есть в свободном доступе в каталоге Google Play – они позволяют закрывать установленным на устройство программам, в том числе и системным, доступа в Сеть как через Wi-Fi, так и через сотовые сети.
Samsung и слежка за пользователями
Шпионское ПО достаточно давно входит в состав прошивок гаджетов южно-корейского вендора. К примеру, в марте 2017 г. антивирусная компания Check Point обнаружила почти в четырех десятках смартфонов различных производителей, среди которых была и Samsung. вредоносные компоненты, установленные еще до продажи. В них были выявлены приложенич, демонстрирующие нежелательную рекламу, и минимум в одном случае – мобильный шифровальщик. Все проанализированные устройства использовались сотрудниками двух крупных ИТ-корпораций. В числе 38 таинственно зараженных устройств есть два смартфона ASUS, 10 смартфонов Samsung, два Lenovo, LG, два Oppo, две модели Xiaomi, Vivo и ZTE.
Многие смартфоны с интегрированным шпионским софтом продаются и на территории России. Как сообщал CNews в ноябре 2019 г., в смартфонах 26 крупных и не очень производителей, в том числе российских BQ и Dexp, было выявлено 146 различных уязвимостей. В списке присутствовала и продукция Samsung – мобильники J5, J6, J7, J7 Neo, J7 Duo и J7 Pro.
Во всех случаях, как и с софтом Qihoo 360, вредоносы были встроены непосредственно в прошивку устройств. Самостоятельное их удаление пользователем не представляется возможным.
Шпионят все
Стоит отметить, что производители не всегда ответственны за присутствие шпионского ПО в составе своих устройств. Так, в июле 2019 г. стало известно, что китайские пограничники устанавливают на смартфоны туристов приложения для слежки с целью проверки устройств на наличие опасных, с точки зрения властей Китая, материалов. Оно также дает властям доступ к электронной почте, текстовым сообщениям и контактам на смартфоне.
ПО для слежки можно обнаружить и в составе обычных компьютеров, но даже тут не обошлось без Китая. В начале 2015 г. выяснилось, что все новые на тот момент компьютеры китайской компании Lenovo, предназначенные для потребительского рынка, были заражены разновидностью вредоносной программы под названием Superfish. Приложение внедряет рекламные объявления в результаты поиска Google без согласия пользователя. Причем объявления выглядят так, как будто их туда поместила сама Google. Вся серьезность ситуации заключается в том, что хакеры могут легко взломать Superfish и использовать это приложение для перехвата пользовательских данных – от логинов и паролей до номеров банковских карт, указываемых пользователем в веб-формах.
Помимо «шпионских» принтеров и компьютеров Пентагон для нужд сухопутных войск и ВВС приобрел 117 видеокамер Gopro, которые также были признаны непригодными для использования по соображениям безопасности.
FIDO UAF Client и FIDO UAF ASM — что это за программы на Андроид?
Всем хеллоу 
Сегодня мы будем разбираться сразу с двумя похожими программами — FIDO UAF Client и FIDO UAF ASM, вы их можете встретить на Андроиде, например после обновления прошивки. И как положено непонятным прогам — они могут кушать батарею, нагружать тело, и при это для чего они нужны, какую работу выполняют — неизвестно 
Начал искать. На форуме 4PDA один юзер пишет, что он у себя заморозил работу многих приложений, в списке есть в том числе и FIDO UAF Client и FIDO UAF ASM. Для заморозки/отключения он использовал приложение Package Disabler (после установки значок приложение будет называться вроде Super Lock Package).
FIDO UAF Client имеет идентификатор com.huawei.fido.uafclient, а FIDO UAF ASM — com.huawei.hwasm, и вот на другом сайте читаю что приложения необходимы для многофакторной аутентификации на сайтах.
То есть как я понимаю эти приложения могут принимать участие в.. авторизации на сайтах? Пока точно неизвестно 
А вот собственно и два этих приложения:
В FIDO UAF есть слово UAF, узнал, что это означает Universal Authentication Framework — некий универсальный аутентификационный фреймворк для биометрической аутентификации.
Один человек написал — FIDO UAF Client это клиент протокола FIDO. Тогда возможно второе приложение ASM — это уже относится к аутентификации? У вас на телефоне нет случайно.. датчика отпечатки пальцев там? Или датчика сетчатки глаза.. просто сейчас такие новые технологии.. 
Можно ли отключить эти приложения?
Еще один человек написал что он эти два приложения удалил и после смартфон работает нормально без приколов:
А вот ребята пример того как FIDO UAF ASM может прилично кушать батарею телефона:
Хотите верьте, хотите нет, но на форуме 4PDA я снова нашел инфу о том что FIDO UAF Client и FIDO UAF ASM можно вручную удалить без последствий.
Итоговые мысли
В общем ребята. Информации мало. Кое-что удалось найти, и кажется что.. в итоге можно предположить что это за приложения.
Еще вы можете в телефоне найти такое как U2F (Universal 2nd Factor) — это какой-то открытый бездрайверный протокол для двухфакторной аутентификации.
Ссылки по теме, если хотите углубиться в это все дело, более детальнее разобраться.. у меня уже просто нет сил, но если у вас есть желание, то пожалуйста:
На этом все господа. Надеюсь мне удалось оказать информационную помощь 
А теперь прощайте 
Коды в SMS небезопасны — рекомендуем пользоваться другими вариантами двухфакторной аутентификации
Почему SMS — не лучший выбор для двухфакторной аутентификации, и какие существуют альтернативы.
За последние пару лет идея двухфакторной аутентификации, о которой так долго говорили гики, сильно продвинулась в массы. Однако до сих пор в большинстве случаев речь идет о двухфакторной аутентификации при помощи одноразовых паролей, приходящих в SMS. А это, к сожалению, не очень-то надежный вариант. Вот что может пойти не так:
Надо заметить, что даже самый трудоемкий и высокотехнологичный из перечисленных методов перехвата пароля в SMS — с помощью взлома протокола SS7 — уже был использован на практике. Так что речь не о теоретической возможности возникновения неприятностей, а о вполне практической угрозе.
В общем, пароли в SMS — это не очень-то безопасно, а иногда даже и очень небезопасно. Поэтому есть смысл озаботиться поиском альтернативных вариантов двухэтапной аутентификации, о чем мы сегодня и поговорим.
Одноразовые коды в файле или на бумажке
Наиболее простая замена одноразовым паролям, присылаемым в SMS, — это те же самые одноразовые пароли, но заготовленные заранее. Это не самый плохой вариант, особенно для тех сервисов, в которых вам надо авторизовываться сравнительно редко. Собственно, даже для того же «Фейсбука» этот метод вполне может подойти, особенно в качестве резервного способа входа.
Работает это очень просто: по запросу сервис генерирует и показывает на экране десяток одноразовых кодов, которые в дальнейшем могут быть использованы для подтверждения входа в него. Дальше вы просто распечатываете или переписываете эти коды на бумагу и кладете в сейф. Или, что еще проще, сохраняете в зашифрованных записях в менеджере паролей.
В общем, не так важно, будете ли вы хранить эти коды на теплой ламповой бумаге или в бездушном цифровом виде — важно сохранить их так, чтобы они а) не потерялись и б) не могли быть украдены.
Приложения для двухфакторной аутентификации
У единожды сгенерированного набора одноразовых кодов есть один недостаток: рано или поздно он закончится, и вполне может так получиться, что вы останетесь без кода в самый неподходящий момент. Поэтому есть способ лучше: можно генерировать одноразовые коды на лету с помощью небольшого и, как правило, очень простого приложения — аутентификатора.
Как работают приложения-аутентификаторы
Работают приложения для двухфакторной аутентификации очень просто. Вот что придется сделать:
Коды создаются на основе ключа, который известен только вам и серверу, а также текущего времени, округленного до 30 секунд. Поскольку обе составляющие одинаковы и у вас, и у сервиса, коды генерируются синхронно. Этот алгоритм называется OATH TOTP (Time-based One-time Password), и в подавляющем большинстве случаев используется именно он.
Также существует альтернатива — алгоритм OATH HOTP (HMAC-based One-time Password). В нем вместо текущего времени используется счетчик, увеличивающийся на 1 при каждом новом созданном коде. Но этот алгоритм редко встречается в реальности, поскольку при его использовании гораздо сложнее обеспечить синхронное создание кодов на стороне сервиса и приложения. Проще говоря, есть немалый риск, что в один не очень прекрасный момент счетчик собьется и ваш одноразовый пароль не сработает.
Так что можно считать OATH TOTP де-факто индустриальным стандартом (хотя формально это даже не стандарт, на чем создатели этого алгоритма очень настаивают в его описании).
Совместимость приложений для двухфакторной аутентификации и сервисов
Подавляющее большинство приложений для двухфакторной аутентификации работает по одному и тому же алгоритму, так что для всех сервисов, которые поддерживают аутентификаторы, можно использовать любое из них — какое вам больше нравится.
Как и в любом добротном правиле, в этом тоже есть определенное количество исключений. Некоторые сервисы по каким-то причинам, ведомым только им одним, предпочитают делать свои собственные приложения для двухфакторной аутентификации, которые работают только с ними. Более того, сами сервисы не работают ни с какими другими приложениями, кроме своих собственных.
Особенно это распространено среди крупных издателей компьютерных игр — например, существуют несовместимые со сторонними сервисами приложения Blizzard Authenticator, Steam Mobile с встроенным аутентификатором Steam Guard, Wargaming Auth и так далее. Для этих сервисов придется ставить именно эти приложения.
Также по этому странному пути пошла Adobe, разработавшая Adobe Authenticator, который работает только с аккаунтами AdobeID. Но при этом вы можете использовать для защиты AdobeID и другие аутентификаторы, так что вообще непонятно, ради чего было городить огород.
Так или иначе, большинство нормальных ИТ-компаний не ограничивает пользователей в выборе 2FA-приложения. И даже если по каким-то соображениям им хочется контролировать этот процесс и создать свое приложение, то чаще всего они позволяют защищать с его помощью не только «свои» аккаунты, но и учетные записи сторонних сервисов.
Поэтому просто выбирайте приложение-аутентификатор, которое вам больше нравится по набору дополнительных функций — оно будет работать с большинством сервисов, которые вообще поддерживают 2FA-приложения.
Лучшие приложения для двухфакторной аутентификации
Выбор 2FA-приложений на удивление велик: поиск по запросу «authenticator» в Google Play или Apple App Store выдает не один десяток результатов. Мы не советуем устанавливать первое попавшееся приложение — это может быть небезопасно, ведь, по сути, вы собираетесь доверить ему ключи от своих аккаунтов (оно не будет знать ваши пароли, конечно, но ведь 2FA вы добавляете именно потому, что пароли имеют свойство утекать). В общем, стоит выбирать из приложений, созданных крупными и уважаемыми разработчиками.
Несмотря на то что базовая функция у всех этих приложений одна и та же — создание одноразовых кодов по одному и тому же алгоритму, некоторые аутентификаторы обладают дополнительными функциями или особенностями интерфейса, которые могут показаться вам удобными. Перечислим несколько самых интересных вариантов.
1. Google Authenticator
Поддерживаемые платформы: Android, iOS
Как отмечают буквально все публикации, Google Authenticator — это самое простое в использовании из всех существующих приложений для двухфакторной аутентификации. У него даже настроек нет. Все, что можно сделать, — это добавить новый токен (так называется генератор кодов для отдельного аккаунта) или удалить один из имеющихся. А чтобы скопировать код в буфер обмена, достаточно коснуться его пальцем на сенсорном экране смартфона или планшета. Все!
Однако у такой простоты есть и недостаток: если вам что-то не нравится в интерфейсе или хочется от аутентификатора чего-то большего — придется устанавливать другое приложение.
+ Очень просто использовать.
2. Duo Mobile
Поддерживаемые платформы: Android, iOS
Duo Mobile также крайне прост в использовании, минималистичен и лишен дополнительных настроек. По сравнению с Google Authenticator у него есть одно преимущество: по умолчанию Duo Mobile скрывает коды — чтобы увидеть код, надо нажать на конкретный токен. Если вы, как и я, испытываете дискомфорт каждый раз, когда открываете аутентификатор и показываете всем окружающим кучу кодов от всех своих аккаунтов сразу, то вам эта особенность Duo Mobile наверняка понравится.
+ По умолчанию скрывает коды.
3. Microsoft Authenticator
Поддерживаемые платформы: Android, iOS
В Microsoft тоже не стали усложнять и сделали свой аутентификатор на вид очень минималистичным. Но при этом Microsoft Authenticator заметно функциональнее, чем Google Authenticator. Во-первых, хоть по умолчанию все коды показываются, но каждый из токенов можно отдельно настроить так, чтобы при запуске приложения код был скрыт.
Во-вторых, Microsoft Authenticator упрощает вход в аккаунты Microsoft. В этом случае после ввода пароля достаточно будет нажать в приложении кнопку подтверждения входа — и все, можно даже не вводить одноразовый код.
+ Можно настроить, чтобы коды скрывались.
+ Дополнительные возможности для входа в аккаунты Microsoft.
4. FreeOTP
Поддерживаемые платформы: Android, iOS
Есть четыре причины, по которым вам может понравиться этот аутентификатор, разработанный Red Hat. Во-первых, это ваш выбор, если вы любите программное обеспечение с открытым кодом. Во-вторых, это самое маленькое приложение из всех рассматриваемых — версия для iOS занимает всего 750 Кбайт. Для сравнения: минималистичный Google Authenticator занимает почти 14 Мбайт, а приложение Authy, о котором мы поговорим ниже, — аж 44 Мбайта.
В-третьих, по умолчанию приложение скрывает коды и показывает их только после касания. Наконец, в-четвертых, FreeOTP позволяет максимально гибко конфигурировать токены вручную, если вам это зачем-нибудь нужно. Разумеется, обычный способ создания токена с помощью сканирования QR-кода тоже поддерживается.
+ По умолчанию скрывает коды.
+ Приложение занимает всего 700 Кбайт.
+ Открытый код.
+ Максимум настроек при создании токена вручную.
5. Authy
Самое навороченное из приложений для двухфакторной аутентификации, основным достоинством которого является то, что все токены хранятся в облаке. Это позволяет получить доступ к токенам с любого из ваших устройств. Заодно это упрощает переезд на новые устройства — не придется заново активировать 2FA в каждом сервисе, можно продолжить пользоваться существующими токенами.
В облаке токены зашифрованы ключом, который создается на основе заданного пользователем пароля, — то есть данные хранятся безопасно, и украсть их будет нелегко. Также можно установить ПИН-код на вход в приложение — или защитить его отпечатком пальца, если ваш смартфон оснащен соответствующим сканером.
Основной недостаток Authy состоит в том, что приложение с ходу требует завести аккаунт, привязанный к вашему телефонному номеру, — без этого просто не получится начать с ним работать.
+ Токены хранятся в облаке, что позволяет использовать их на всех своих устройствах.
+ По той же причине очень удобно переезжать на новое устройство.
+ Вход в приложение защищен PIN-кодом или отпечатком пальца.
+ На экране показывается код только для последнего использованного токена.
+ В отличие от остальных приложений, поддерживает не только Android и iOS, но и Windows, macOS и Chrome.
− Требуется зарегистрироваться в Authy, используя номер телефона, — без этого приложение не работает.
6. «Яндекс.Ключ»
Поддерживаемые платформы: Android, iOS
На мой взгляд, по концепции «Яндекс.Ключ» — это самое удачное из существующих приложений для двухфакторной аутентификации. С одной стороны, оно не требует с ходу регистрироваться — можно начать им пользоваться с той же легкостью, как и Google Authenticator. С другой стороны, в нем есть несколько дополнительных возможностей, которые открываются тем, кто не поленится зайти в настройки.
Во-первых, «Яндекс.Ключ» можно «запереть» на PIN-код или отпечаток пальца. Во-вторых, можно создать в облаке «Яндекса» резервную копию токенов, защищенную паролем (а вот на этом этапе уже придется указать номер телефона), и восстановить ее на любом из используемых вами устройств. Точно так же можно будет перенести токены на новое устройство, когда понадобится переезжать.
Получается, что «Яндекс.Ключ» сочетает в себе простоту Google Authenticator и расширенную функциональность Authy — в зависимости от того, что вы предпочитаете. Единственный недостаток приложения — не вполне удобный для использования с большим количеством токенов интерфейс.
+ Минимализм на старте, расширенная функциональность доступна через настройки.
+ Создание резервных копий токенов в облаке для использования на нескольких устройствах и переезда на новые.
+ Вход в приложение защищен PIN-кодом или отпечатком пальца.
+ На экране показывается код только для последнего использованного токена.
+ Заменяет постоянный пароль к аккаунту «Яндекса».
− При большом количестве токенов не очень удобно искать нужный.
«Железные» аутентификаторы FIDO U2F: YubiKey и все-все-все
Если приложение, генерирующее одноразовые коды, кажется вам слишком эфемерным способом защитить свои аккаунты, и хочется чего-то более постоянного, надежного и материального — буквально запереть аккаунт на ключ и положить его в карман, — то у меня есть для вас хорошая новость: такой вариант также существует. Это аппаратные токены стандарта U2F (Universal 2nd Factor), созданного FIDO Alliance.
Как работают токены FIDO U2F
Аппаратные U2F-токены очень полюбились специалистам по безопасности — в первую очередь потому, что с точки зрения пользователя они работают очень просто. Для начала работы достаточно подключить U2F-токен к вашему устройству и зарегистрировать его в совместимом сервисе, причем делается это буквально в пару кликов.
Впоследствии при необходимости подтвердить вход в этот сервис нужно будет подключить U2F-токен к тому устройству, с которого вы входите, и нажать на токене кнопку (в некоторых устройствах — ввести PIN или приложить палец к сканеру). Все — никаких сложных настроек, ввода длинных последовательностей случайных символов и прочих танцев с бубном, которые обычно все себе представляют при упоминании слова «криптография».
Вставьте ключ и нажмите кнопку — и это действительно все
При этом «под капотом» все устроено очень умно и криптографически надежно: при регистрации токена на сервисе создается пара криптографических ключей — приватный и публичный. Публичный сохраняется на сервере, а приватный хранится в защищенном хранилище Secure Element, которое является сердцем U2F-токена, — и этот ключ никогда не покидает устройство.
Приватный ключ используется для того, чтобы зашифровать подтверждение входа, которое передается на сервер и может быть расшифровано с помощью публичного ключа. Если кто-то от вашего имени попытается передать подтверждение входа, зашифрованное неправильным приватным ключом, то при расшифровке с помощью известного сервису публичного ключа вместо подтверждения получится бессмыслица, и сервис не пустит его в аккаунт.
Какими бывают U2F-устройства
Наиболее известный и распространенный пример U2F — это «ключи» YubiKey, которые производит компания Yubico. Собственно, она и стояла у истоков этого стандарта, но предпочла сделать его открытым, для чего и был создан FIDO Alliance. А поскольку стандарт открытый, вы не ограничены в выборе: U2F-совместимые устройства производят и продают разные компании — в онлайн-магазинах можно найти множество разнообразных моделей.
YubiKey — вероятно, самые популярные U2F-токены
Например, Google недавно представила свой комплект аппаратных аутентификаторов Google Titan Security Keys. На самом деле это ключи производства Feitian Technologies (второй по популярности производитель U2F-токенов после Yubico), для которых в Google написали собственную прошивку.
Разумеется, все аппаратные аутентификаторы, совместимые со стандартом U2F, будут с одинаковым успехом работать со всеми сервисами, которые также с этим стандартом совместимы. Однако у разных моделей есть несколько важных различий, и самое важное из них — это интерфейсы, которыми оборудован «ключ». От этого напрямую зависит, с какими устройствами он сможет работать:
USB — для подключения к компьютерам (Windows, Mac или Linux — неважно, «ключи» работают без установки каких-либо драйверов). Помимо обычного USB-A бывают «ключи» с USB-C.
NFC — необходим для использования со смартфонами и планшетами на Android.
Bluetooth — понадобится на тех мобильных устройствах, в которых нет NFC. К примеру, аутентификатор с Bluetooth все еще нужен владельцам iPhone: несмотря на то, что в iOS уже разрешили приложениям использовать NFC (до 2018 года это было позволено только Apple Pay), разработчики большинства совместимых с U2F приложений еще не воспользовались этой возможностью. У Bluetooth-аутентификаторов есть пара минусов: во-первых, их нужно заряжать, а во-вторых, их подключение занимает гораздо больше времени.
Что же выбрать: SMS, приложение или YubiKey?
Универсального ответа на этот вопрос не существует — для разных сервисов можно использовать разные варианты двухфакторной аутентификации в различных сочетаниях. Например, наиболее важные аккаунты (скажем, вашу основную почту, к которой привязаны остальные учетные записи) стоит защитить по максимуму — запереть на «железный» U2F-токен и запретить любые другие опции 2FA. Так можно быть уверенным, что никто и никогда не получит доступ к аккаунту без этого токена.
Хороший вариант — привязать к аккаунту два «ключа», как это делается с ключами от автомобиля: один всегда с собой, а другой лежит в надежном месте — на случай, если первый потеряется. При этом «ключи» могут быть разного типа: скажем, приложение-аутентификатор на смартфоне в качестве основного и U2F-токен или листочек с одноразовыми паролями, лежащий в сейфе, в качестве резервного средства.
Так или иначе, главный совет — по возможности избегать использования одноразовых паролей в SMS. Правда, получится это не всегда: например, финансовые сервисы в силу своей консервативности продолжают использовать SMS и крайне редко позволяют пользоваться чем-либо еще.