Google Authenticator для компьютера

Что такое двухэтапная аутентификация

Для усиления безопасности при входе в аккаунт Google можно использовать двухэтапную аутентификацию. Суть ее в том, что помимо пароля, вы вводите одноразовый код, который получаете по смс либо генерируете с помощью приложения Google Authenticator. Такой безопасный вход давно уже используется для личных кабинетов всех банков, но для аккаунта Google отличие состоит  в том, что код можно не только получить по смс, но и сгенерировать с помощью приложения.

Как включить двухэтапную аутентификацию

Вам понадобится компьютер с интернетом и телефон под рукой.

Включается аутентификация на сайте в аккаунте Google в разделе Двухэтапная аутентификация.

  1. Щелкните “Начать“.
  2. Подтвердите email и пароль от Google.
  3. Подтвердите устройство (планшет или телефон), который будет использоваться для двухэтапной аутентификации.
  4. На устройстве появится уведомление, надо подтвердить “Да“.
  5. Теперь снова обратитесь к компьютеру –  настройте резервный способ входа – для этого введите номер телефона, выберите SMS, щелкните Отправить.
  6. Введите на сайте код, который пришел на указанный номер телефона.
  7. С устройства теперь доступ к аккаунту сохранится без двухэтапной аутентификации.
  8. Щелкните Включить (двухэтапную аутентификацию)

Теперь подготовим QR-код, который надо будет считать при установке приложения Google Authenticator

  • Прокрутите страницу до Приложение  Authenticator

Доавление возможности генерации кодов с помощью приложения Google Authenticator
Доавление возможности генерации кодов с помощью приложения Google Authenticator

  • Щелкните Создать

Выбор телефона для Google Authenticator
Выбор телефона для Google Authenticator

  • Щелкните Далее, откроется наш код:

Сгенерировали штрихкод для считывания телефоном
Сгенерировали штрихкод для считывания телефоном

Его понадобится считать один раз при установке приложения на телефон. Давайте приступим к его установке. Возьмите телефон.

 

Google Authenticator

Это приложение ставится на телефон и называется Google Authenticator.

Google Authenticator в Play Market
Google Authenticator в Play Market

  • После установке откройте его.
  • Щелкните Начать.

Первый запуск приложения Google Authenticator
Первый запуск приложения Google Authenticator

  • Выберите Сканировать штрихкод:

Добавление аккаунта в Google Authenticator
Добавление аккаунта в Google Authenticator

  • Разрешите приложению снимать фото и видео.
  • Поднесите телефон к открытому на компьютере на странице браузера коду (см. раздел выше). Когда код считается,  прозвучит сигнал, и вы получите сообщение о том, что аккаунт добавлен:

Успешное завершение установки
Успешное завершение установки Google Authenticator

Все, теперь пользоваться приложением предельно просто. Когда вы его открываете, он генерирует один за другим временные коды, срок действия которых истекает в срок около минуты. Рядом с каждым кодом всегда есть кружок типа часов, который тает у вас ан глазах. На картинке ниже осталась четвертинка круга.

Как только устаревает один код, тут же появляется следующий – все коды пригодны, пока свежи.

Генерация кодов
Генерация кодов

Устройства на платформе Android

Требования

Google Authenticator работает на устройствах на платформе Android 2.1 или более поздней версии.

Загрузка приложения

  1. Откройте Google Play.
  2. Наберите в поиске Google Authenticator.
  3. Загрузите и установите приложение.

Настройка приложения

  1. Откройте страницу настроек проверки в два шага и нажмите Android.
  2. Запустите программу Google Authenticator на телефоне.
  3. Если вы используете это приложение в первый раз, нажмите кнопку Добавить запись. Если же вы хотите добавить другую учетную запись, выберите Добавить учетную запись в меню приложения.
  4. Для подключения телефона с учетной записью:
    • С помощью QR-коде: выберите Сканировать штрих-код учетной записи (метка 1). Если приложение Google Authenticator не находит в телефоне приложения-сканера штрих-кодов, может быть предложено загрузить и установить такую программу. Чтобы установить приложение для сканирования штрих-кодов для завершения процесса настройки, выберите Установить (метка 2а), а затем выполните установку. После установки программы, запустите снова программу Google Authenticator и направьте фотокамеру на QR-код на экране компьютера.
    • С помощью секретного ключа: выберите Добавить учетную запись вручную (метка 1b), а затем введите адрес электронной почты для входа в аккаунт Google в поле Введите имя учетной записи (метка 2b). Затем в поле Введите ключ (метка 2) введите секретный ключ, который отображается на экране компьютера. Убедитесь, что ключ Ограниченный по времени (метка 2d) и нажмите Сохранить.
  5. Чтобы проверить работу приложения, введите на компьютере проверочный код с телефона (метка 3) в поле рядом с надписью Код и нажмите Подтвердить.

  6. Если код правильный, появится сообщение с подтверждением. Нажмите Save, чтобы продолжить настройку. Если код неправильный, создайте на телефоне новый код подтверждения, а затем введите его на компьютере.

iPhone, iPod Touch и iPad

Требования

Для использования Google Authenticator на iPhone, iPod Touch и iPad необходима система iOS версии 5.0 или более поздней версии. Кроме того, настройка приложений для iphone с помощью кода QR требует наличия модели 3G или более поздней версии.

Загрузка приложения

  1. Посетите App Store.
  2. Найдите приложение Google Authenticator.
  3. Загрузите и установите приложение.

Настройка приложения

  1. Если вы этого еще не сделали, настройте в аккаунте верификацию в два шага, используя свой номер телефона. Приложение Google Authenticator вы можете добавить только после ее включения с помощью своего телефонного номера.
  2. На компьютере откройте страницу настроек проверки два шага и нажмите на iPhone.

    Добавление Google Authenticator на iPhone

  3. Запустите программу Google Authenticator на телефоне.
  4. Нажмите значок +.
  5. Нажмите Ограниченный по времени (метка 1).
  6. Для подключения телефона с учетной записью:
    • С помощью QR-кода: нажмите Сканировать штрих-код (метка 2a) и направьте фотокамеру на QR-коде на экране компьютера.
    • С помощью секретного ключа: введите адрес электронной почты своего аккаунта Google в поле Счет (метка 2b). Затем в поле Ключ (метка 2) введите секретный ключ отображается на экране компьютера и нажмите кнопку Готово (метка 2d).
  7. Чтобы проверить, что приложение работает, введите на компьютере проверочный код с телефона (метка 3) в поле рядом с полем Код, а затем нажмите Подтвердить. Значок часов на телефоне (метка 4) позволяет проверить срок действия кода подтверждения. После этого будет создан новый код.
  8. Если код правильный, появится сообщение с подтверждением. Нажмите Save, чтобы подтвердить код. Если код неправильный, создайте на телефоне новый код подтверждения, а затем введите его на компьютере.

Настройка проверки в два шага для нескольких аккаунтов Google

Приложение Google Authenticator позволяет генерировать коды для нескольких учетных записей с помощью одного смартфона. Однако каждый аккаунт Google требует другого секретного ключа, полученного в процессе настройки. Просто повторите процесс конфигурации на все дополнительные аккаунты, используя ту же установку приложения Google Authenticator.

Требования

Примечание. Для рабочих и учебных аккаунтов двухэтапная аутентификация может быть недоступна. Если выполнить действия не получается, обратитесь к администратору.

Чтобы использовать Google Authenticator на устройстве Android, вам нужно следующее:

  • Android 2.1 или более поздней версии
  • Включенная двухэтапная аутентификация

Как скачать приложение

Как установить Google Authenticator

Как настроить приложение

  1. На телефоне или планшете Android откройте приложение “Настройки” Настройки
     затем
    Google затем
    Аккаунт Google.
  2. В верхней части экрана нажмите Безопасность.
  3. В разделе “Вход в аккаунт Google” выберите Двухэтапная аутентификация. При необходимости войдите в аккаунт ещё раз.
  4. В разделе “Настроить второй этап” найдите параметр “Приложение Authenticator” и нажмите Создать.
  5. Следуйте инструкциям на экране.
  6. Чтобы убедиться, что все в порядке, запросите у приложения код и введите его в настройках.

Если код правильный, вы увидите подтверждение.

В противном случае повторите попытку. Если вы по-прежнему не можете создать код, убедитесь, что на устройстве установлено правильное время, или ознакомьтесь с решениями распространенных проблем.

Настройка двухэтапной аутентификации для нескольких аккаунтов Google

С помощью приложения Google Authenticator, установленного на одном устройстве, можно получать коды сразу для нескольких аккаунтов Google.

Однако вам необходимо включить двухэтапную аутентификацию для всех аккаунтов, потому что для каждого из них нужен свой секретный ключ.

Возврат потерянного телефона


Практически у каждого человека, который приобретает свой мобильный телефон законно, в наличии присутствуют:

  • Упаковка.
  • Детали комплектации, наушники, инструкция и т.д.
  • Гарантийный талон.
  • Цифровой номер.
  • Номер IMEI.

Именно последний пункт является самым важным, так как посредством него можно максимально оперативно найти потерянный или украденный телефон.

Установление местонахождения потерянного телефона


Установить местонахождение утерянного гаджета можно попытаться несколькими способами:

  • Обращение к оператору сотовой связи, который в состоянии определить нахождение мобильного устройства по IMEI.
  • Можно обратиться в полицию, (ниже будет описан процесс, как написать заявление об утере).
  • Есть возможность воспользоваться специальным приложением (если оно установлено на устройстве), которое предназначено для поиска телефона.
  • Можно попытаться обойти стихийные места продажи бывшей в употреблении техники, пытаясь найти свой потерянный.
  • Дать объявление в социальных сетях или СМИ, вдруг кто-то нашел телефон.

Теперь более подробно рассмотрим все методы поиска, ведь каждый из них обладает своими преимуществами и недостатками, а также разной степенью эффективности.

Оператор сотовой связи Позвонить и заблокировать сим-карту, попытаться прояснить местонахождение аппарата
Обращение в полицию Посетить отделение полиции, взяв паспорт, упаковку с оригинальным номером IMEI, чек, подтверждающий факт приобретения
Приложение для блокировки и поиска телефона Оно должно быть установлено в телефоне, устройство должно быть подключено к сети, устройство не должно быть перепрошитым
Поиск объявлений о продаже Можно рассмотреть специальные ресурсы, например, Авито, Из рук в руки и т.д.

При ответе на вопрос, как написать заявление в полицию, стоит отметить, что строгой формы нет, но должны быть указаны такие данные: ФИО человека, который потерял устройство, дата и время, когда произошло данное событие, описание сложившихся обстоятельств.

Если вы или сотрудники полиции обнаружили свой телефон у другого человека и он утверждает, что купил его, то он должен предъявить документ, который подтвердит факт покупки (чек магазина, гарантию на его имя). Если же он не сможет доказать законное право своего владения и документов, подтверждающих покупку, нет, то аппарат изымается и возвращается вам, как законному владельцу, с соблюдением необходимых процедур.

Что делать, если не можешь найти телефон дома?

В условиях повседневной суеты или по своей рассеянности, телефон можно потерять даже у себя дома, как бы комично это не звучало. В этом случае поможет программа, позволяющая совершить звонок себе через интернет. Несколько минут телефон будет звонить, причем даже если на нем установлен беззвучный режим. Так его найти будет гораздо проще, Вам останется лишь пройтись по комнатам и услышать откуда играет рингтон.

Отправка СМС на потерянный или украденный смартфон

Если найти потерянный телефон Андроид через Google не удалось, то можно отправить на него сообщение с просьбой вернуть за вознаграждение. В это сложно поверить, но даже сейчас есть честные и ответственные люди, поэтому стоит надеяться, что после этого с Вами могут связаться люди, нашедшие телефон и договориться о его возвращении.

Злоупотребление паролями приложений Google

2ФА Google предоставляет материал для исследования различных проблем, непременно возникающих в настолько масштабных системах надежной аутентификации.
Чтобы сделать подобную аутентификацию возможной для всех пользователей (и безболезненно интегрировать её в уже существующую экосистему), инженерам Google пришлось пойти на некоторые компромиссы. Такие, например, как пароли приложений.
Несколько месяцев назад мы нашли способ использовать ПП для получения полного контроля над google аккаунтом, полностью обойдя 2ФА. Мы рассказали о нашей находке службе безопасности Google и недавно получили от них ответ, что они предприняли некоторые шаги для нейтрализации наиболее серьезных угроз из тех, что мы обнаружили. И так, вот что мы нашли:

Пароли приложений

Как только вы включите 2ФА, Google попросит вас создать отдельный пароль для каждого приложения, что вы используете (отсюда и название «пароль приложения»), который не поддерживает 2ФА. Этот пароль Вы используете вместо своего основного. Выражаясь конкретнее, вы создаёте ПП для большинства приложений, которые не используют логин из web-формы: e-mail клиенты, использующие IMAP и SMTP (Apple Mail, Thunderbird, и т.п.); XMPP чат-клиенты (Adium, Pidgin и т.п.), а так же различные календари, синхронизирующиеся с помощью CalDAV (iCal, etc.).
Даже некоторые софт от Google вынуждает вас использовать ПП — например, чтобы включить синхронизацию в Chrome или настроить свой аккаунт на Android устройстве. Совсем недавно эти клиенты в большинстве своём перешли на авторизацию через OAuth. В такой модели, когда вы впервые логинитесь на своём новом устройстве или в приложении, вы получаете запрос на авторизацию в web-форме, которая использует 2ФА. После успешной авторизации, сервер возвращает токен с ограниченным доступом, который в дальнейшем используется для аутентификации вашего устройства/приложения.
На самом деле, OAuth токены и ПП очень сильно похожи — в конечном итоге всё заканчивается созданием уникального авторизационного токена для каждого устройства/приложения, которое вы привязываете к вашему google аккаунту. Кроме того, каждый отдельный токен может быть отозван, без ущерба для остальных: если вы потеряли ваш смартфон, вы можете быть уверены, что никто не сможет получить доступ к вашему почтовому ящику, не имея пароля.
И так, основные отличия между OAuth токенами и ПП следующие:

  • OAuth токены создаются автоматически, в то время как ПП нужно создавать вручную. Вам нужно пойти в настройки google аккаунта чтобы его создать, а затем скопировать в приложение.
  • OAuth токены предоставляют более гибкую модель авторизации и могут быть использованы для ограничения доступа только к определенным данным или сервисам в вашем аккаунте. С другой стороны, пароли приложений, если уж быть совсем точным, не совсем ТОЛЬКО для приложений!

Остановимся на втором пункте подробнее. Если вы создаете ПП для XMPP чат-клиента, этот же самый пароль может быть использован для чтения почты через IMAP или получения списка событий из CalDAV календаря. Что, собственно, не является таким уж сюрпризом. На самом деле, Eric Gorss и Mayank Upadhyay из Google уже указывали на эту слабость в их статье о 2ФА Google:

«Другая слабость ПП в обманчивом впечатлении, что они предоставляют доступ к конкретному приложению, а не полномасштабный доступ к аккаунту»

Authentication at Scale из «IEEE S&P Magazine» vol. 11, no. 1

Получается, ПП могут гораздо, гораздо больше, чем простое получение доступа к вашей почте. На самом деле, они могут быть использованы для аутентификации на большинстве сервисах Google в обход 2ФА!

Авто-логин в Chrome

В последних версиях Android и ChromeOs Google включил в свои браузеры механизм авто-логина в google аккаунты. После того, как вы свяжите ваше устройство с аккаунтом, браузер будет использовать уже существующую авторизацию и перестанет запрашивать её через web-форму. (Есть даже экспериментальная поддержка этой функциональности в десктопной версии Chrome, вы может включить её, открыв «chrome://flags/.»).

До недавнего времени, этот механизм работал даже для самой важной части google аккаунта — странице настроек. Она включает в себя страницу восстановления пароля, на которой возможно добавление и редактирование e-mail адреса и телефонных номеров, на которые вам будет отослана информация, необходимая для сброса пароля. Короче говоря, если вы сможете получить доступ к этой странице — вы сможете отобрать аккаунт у его законного владельца.

Технические детали

В своём отличном блоге Android Explorations Николай Еленков опубликовал обширное исследование механизма авто-логина в Android. Оно стало отличной отправной точкой, но всё не содержала всю необходимую нам информацию. Мы захотели узнать, как можно использовать этот механизм, не имея Android устройства или Хромбука.
Чтобы сделать это, мы установили перехватывающий прокси, чтобы следить за траффиком между эмулятором Android и серверами Google. Во время добавления google аккаунта, мы увидели следующий запрос:

POST /auth HTTP/1.1
Host: android.clients.google.com

accountType=HOSTED_OR_GOOGLE&Email=user%40domain.com&has_permission=1&add_account=1&EncryptedPasswd=AFcb4…
&service=ac2dm&source=android&androidId=3281f33679ccc6c6&device_country=us&operatorCountry=us&lang=en&sdk_version=17

Ответ, помимо всего прочего, содержал следующее:

Token=1/f1Hu…

Несмотря на то, что урл и некоторые параметры не документированы, это очень напоминает Google ClientLogin API. Чтобы воссоздать такой запрос самим, нам нужно было понять, что за значения нужно передавать в параметрах «EncryptedPasswd» и «androidId». Со вторым всё оказалось просто — это тот самый параметр «ANDROID_ID», упоминаемый в Android API Docs — случайно сгенерированный 64-битное значение, которое предназначено для однозначной идентификации устройства Android.
Другой пост Еленкова вселил нас надежду, что «EncryptedPasswd» может быть нашем ПП, зашифрованным публичным 1024-битным RSA ключём, который включён в Android платформу. «EncryptedPasswd» являлся бинарными данными(закодированными base64) длинной 130 байт, так что вполне возможно, что так оно и есть. Однако, прежде чем двигаться дальше, мы решили попробовать заменить этот параметр параметром «Passwd» (не зашифрованный пароль) из документации и установить ему значение — наш ПП:

POST /auth HTTP/1.1
Host: android.clients.google.com

accountType=HOSTED_OR_GOOGLE&Email=user%40domain.com&has_permission=1&add_account=1&Passwd=xxxxxxxxxxxxxxxx
&service=ac2dm&source=android&androidId=3281f33679ccc6c6&device_country=us&operatorCountry=us&lang=en&sdk_version=17

И это сработало! Мы получили ответ, в котором содержалось что-то очень похожее на валидный токен. Этот токен, созданный сервером android.clients.google.com, стал видим в разделе «Connected Sites, Apps, and Services» нашего аккаунта и, похоже, предоставляет нам полный доступ к аккаунту:

Продолжая наблюдать за трафиком, мы заметили 2 различных процесса, относящихся к авто-логину в браузере. Тот, что попроще, был очередным клиентским запросом на логин, но использовал наш токен:

POST /auth HTTP/1.1
Host: android.clients.google.com

accountType=HOSTED_OR_GOOGLE&Email=user%40domain.com&has_permission=1&Token=1%2Ff1Hu…&
service=weblogin%3Acontinue%3Dhttps%253A%252F%252Faccounts.google.com%252FManageAccount
&source=android&androidId=3281f33679ccc6c6&app=com.android.browser&client_sig=61ed377e85d386a8dfee6b864bd85b0bfaa5af81&
device_country=us&operatorCountry=us&lang=en&sdk_version=17

Этот запрос возвращал тело ответа, а так же следующую строчку:

Auth=https://accounts.google.com/MergeSession?args=continue%3Dhttps%253A%252F%252Faccounts.google.com%252FManageAccount&uberauth=AP…&source=AndroidWebLogin
Expiry=0

Из этого запроса мы установили, что форматом для параметра «service» является weblogin_continue=url_encode(destination_url). Мы решили попытаться указать этот параметр для нашего изначального запроса с ПП вместо токена (вместо того, чтобы пытаться понять происхождение непонятного параметра «client_sig»):

POST /auth HTTP/1.1
Host: android.clients.google.com

device_country=us&accountType=HOSTED_OR_GOOGLE&androidId=3281f33679ccc6c6Email=user%40domain.com&lang=en&
service=weblogin%3Acontinue%3Dhttps%253A%2F%2Faccounts.google.com%2FManageAccount&
source=android&Passwd=xxxxxxxxxxxxxxxx&operatorCountry=us&sdk_version=17&has_permission=1

И получили ответ, полностью повторяющий предыдущий:

Auth=https://accounts.google.com/MergeSession?args=continue%3Dhttps%253A%252F%252Faccounts.google.com%252FManageAccount&uberauth=AP…&source=AndroidWebLogin
Expiry0

Ключевым параметром здесь является «MergeSession». Если вы откроете этот урл в неавторизованном браузере после того, как выполните запрос (это нужно сделать очень быстро), вы будете немедленно залогинены в аккаунт!

Таким образом, имея только имя пользователя, ПП и выполнив запрос к android.clients.google.com/auth, возможно залогиниться на страницу настроек аккаунта, в обход двухступенчатой верификации!

Фикс Google

Как было замечено ранее, этот способ работает даже для самой критичного раздела google аккаунта — настроек. Атакующий может предпринять рад действий, используя ПП жертвы:

  • Он может передать «accounts.google.com/b/0/UpdateAccountRecoveryOptions?hl=en&service=oz» в качестве урла в API запросе. MergeSession URL, полученный в ответе, приведёт его прямо на страницу восстановления пароля, где он сможет сбросить основной пароль.
  • Аналогично, атакающий может передать в запрос урл «accounts.google.com/b/0/SmsAuthConfig?hl=en», что приведет его на страницу с настройками 2ФА, где он сможет добавлять и удалять ПП или же отключить 2ФА совсем.

Это больше невозможно, начиная с 21 февраля, когда инженеры Google закрыли эту дыру. Насколько мы можем судить, Google теперь поддерживает некое дополнительное состояние, которое позволяет определить, как именно вы аутентифицировались — с помощью MergeSession URL и с помощью обычного логина и пароля, используя 2ФА. Страница настроек станет доступна только в последнем случае. Если же вы залогинились с помощь MergeSession URL, вас перенаправлят на страницу 2ФА, которую нельзя пропустить.

Источники

  • https://itlang.ru/google-authenticator-dlya-kompyutera/
  • https://webznam.ru/publ/google/akk/kak_ustanovit_i_nastroit_prilozhenie_google_authenticator/8-1-0-234
  • https://support.google.com/accounts/answer/1066447?co=GENIE.Platform%3DAndroid&hl=ru
  • https://urist.one/obshhestvo/poteryan-telefon.html
  • https://mobilegadjet.ru/aksessuary/610-kak-nayti-poteryannyy-telefon-android.html
  • https://habr.com/post/171037/

[свернуть]
Помогла статья? Оцените её
1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд
Загрузка...