Содержание статьи
То, что давно используется в платежных системах и онлайнбанкингах для управления счетами, где необходим максимальный уровень безопасности, наконец появляется и в обычных онлайнсервисах. С недавнего времени Google предоставляет возможность использовать двухступенчатый способ авторизации.
Дождались! Одно из недавних и самых заметных нововведений Google-всяких сервисов — новая двухступенчатая авторизация. По сути, она добавляет новый слой защиты для твоего аккаунта Google, требуя во время входа в систему не только знать привычные логин и пароль, но еще иметь доступ к твоему телефону. Это значит, что если кто-то украдет или подберет пароль, то обломается во время авторизации из-за отсутствия специального кода, который можно получить только с помощью твоего телефона.
Поэтому, если ты используешь Gmail в качестве своего основного почтового ящика (а именно так и делает большинство из команды «Хакера»), то мы настоятельно советуем подключить эту новую опцию.
Двухступенчатая авторизация — что это?
Пароль — это единственное, что отделяет данные в твоем почтовом ящике от злоумышленника. Каким бы сложным ни был пароль, пускай даже сгенерированный случайным образом, он легко может оказаться в чужих руках и беспроблемно быть использован для входа в систему. Двухступенчатая авторизация — тот самый подход, который делает вход в систему намного более защищенным.
В этом случае одного только пароля недостаточно. Для входа требуется два независимых элемента:
- собственно, пароль;
- одноразовый код, который нельзя использовать повторно.
Этот принцип давно взят на вооружение для проведения финансовых транзакций через онлайн-банкинг, где нужна максимальная безопасность. Правда, одноразовые коды (так называемые TAN’ы) выдаются в отделении банка на специальной карточке. В случае же двухступенчатой авторизации Google, код выдается пользователю через телефон. Есть три способа получить одноразовый пасс:
- через специальное мобильное приложение Google Authenticator, которое сейчас доступно для устройств Android, iPhone и Blackberry;
- в бесплатном SMS-сообщении, которое при запросе отправит Google;
- через голосового робота (для пользователей с городским телефоном, где нет SMS).
Самое главное, что нужно понять: одного логина и пароля для входа в систему в случае двухступенчатой авторизации недостаточно. Для каждой авторизации будет необходим одноразовый код. И здесь надо иметь в виду, что если под рукой не окажется телефона (и, соответственно, возможности запросить код), то выполнить вход в систему будет затруднительно. Единственный выход из этого положения — набор специальных запасных ключей, который Google предлагает распечатать и положить в кошелек. Других вариантов нет!
Как включить?
Кнопка для включения двухступенчатой авторизации находится в настройках твоего аккаунта Google (google.com/accounts). В группе настроек «Personal Settings» и подразделе «Security» есть ссылка «Using 2-step verification», которая переадресует тебя на мастера по настройке двухступенчатой авторизации. Процесс начинается с выбора телефона.
Если у тебя одно из устройств, на которое можно установить программу Google Authenticator (оно доступно для iPhone, Android и Blackberry), то мастер попросит установить его на телефон.
Позже его нужно будет настроить, прописав в мобильном приложении параметры своей учетной записи Google, и ввести secret key с экрана монитора. Все настройки программа сделает автоматически, если ты сосканируешь с экрана сгенерированный мастером QR-код. Пока Google разрабатывает версии Google Authenticator для других платформ, получать одноразовые коды можно на любой телефон с помощью SMS-сообщений. Настроить такую доставку одноразовых кодов необходимо в любом случае.
Для этого на телефон придет специальный пароль, который нужно будет ввести в поле для подтверждения номера телефона. Помимо этого мастер предложит создать запасные (так называемые backup) коды на крайний случай, когда доступа к паролям не будет. Google сгенерирует что-то вроде визитки, которую можно распечатать и положить к себе в кошелек. Тут надо понимать, что даже если «шпаргалка» потеряется и попадет к кому-то в руки, он ничего не сможет с ней сделать, не зная логина и пароля для доступа к аккаунту. Никакого риска нет. Рекомендую сразу настроить все способы получения одноразовых паролей: установить и настроить мобильное приложение (если это возможно), прописать номер мобильного телефона для приема SMS и распечатать запасные коды (к моменту сдачи материала у меня возникла реальная ситуация воспользоваться ими).
Как использовать?
Итак, как теперь будет выглядеть процесс входа в систему? По сути, все то же самое, за исключением одного пункта.
- Ты заходишь на страницу с формой для авторизации в сервисах Google (например, Gmail).
- Вводишь логин и пароль, как это делал ранее.
- И вот здесь появляется новый этап. Google запрашивает код верификации. Открываем Google Authenticator и вводим отображающийся там код для входа в систему. Точно так же этот код можно получить по SMS или взять из распечатанной «шпаргалки»
- Опция «Remember verification for this computer for 30 days» позволяет вводить код авторизации один раз в 30 дней.
- Все, мы внутри и пользуемся сервисами Google, как и раньше.
Как видишь, процесс входа в систему практически не изменился. Внимательный читатель, возможно, заметит: «Ну, хорошо, с веб-интерфейсом все понятно, а как указывать такие пароли в почтовом клиенте, которые забирает почту по POP3/IMAP?». И будет прав.
Вскоре после включения новой схемы авторизации перестанут работать все приложения. Традиционный процесс общения с сервером в тех же самых десктопных клиентах для работы с почтой жестко зашит в код программы, а поддержки двухступенчатой схемы я пока еще нигде не видел.
Чтобы обойти это ограничение, Google предлагает особую схему авторизации для этих приложений. Для каждого такого приложения (будь это десктопный почтовый клиент, мобильное приложение на телефоне или что-либо еще) генерируется уникальный пароль приложения (это называется Application-specific passwords). То есть мы используем прежний логин, но вместо привычного пароля используем специально сформированный для этого приложения пасс.
Заходим в настройки безопасности на страницу google.com/accounts/b/0/IssuedAuthSubTokens (либо через страницу аккаунта {Security - Authorizing applications & sites). Здесь ты увидишь список веб-приложений, которые используют авторизацию через Google с помощью технологии Oauth. А ниже находится секция «Application-specific passwords». Для создания нового пасса делаем следующее:
- Вводим название девайса или приложения, для которого ты хочешь сгенерировать временный пароль.
- Нажимаем «Generate password».
- Google возвращает 16-значный пароль, который ты теперь можешь указать в настройках этого конкретного устройства/приложения.
- Приложение вновь работает.
Такую операцию, в частности, я сделал для своего почтового клиента на мобильном телефоне, которым пользуюсь постоянно. В отличие от кода верификации, который необходимо вводить во время каждой авторизации, пароли приложения можно указать в настройках программ один раз. Но в любой момент любой из них можно аннулировать (сделать revoke) с этой же самой страницы. Именно так я, кстати, сделал для пасса, который зафиксирован на скриншоте. Руки прочь от моего аккаунта! 🙂