где найти защитный код гугл в телефоне
Защита вашего аккаунта Google с помощью двухфакторной аутентификации
В современном мире, даже сложные и уникальные перестают быть достаточной мерой защиты ваших аккаунтов в сети, потому что основной проблемой становится среда их передачи. И наиболее слабым звеном является сам пользователь.
Дето в том, что брут-форсом хакеры пароли к публичным сервисам уже давно не подбирают, потому что сами сервисы (почтовые, социальные сети) защищены от такого рода атак. Они блокируют множественные попытки подбора пароля.
Именно поэтому чаще всего выбирается другой вектор атаки — сам пользователь и его среда передачи данных. Проще всего выманить пароль у самого пользователя, перехватив его, когда он перейдет по фейковой ссылке. В этом процессе активно используются элементы социального инжиниринга. Например, создается фейковый (ставится фотография, скопированная с реального профиля) или взламывается оригинальный аккаунта человека, которому вы доверяете (например, ваших родителей) и от их имени рассылаются осмысленные предложения и фишинговые ссылки, нажав на которые, вы отправите свои данные злоумышленнику. При этом могут использоваться реальные данные людей, которые были похищены с какого-нибудь другого плохо защищенного сайта, такого как интернет-магазин. Обычно, простые интернет-магазины защищены хуже всего.
Другой вариант — взломать его почту тем или иным способом и получить оттуда ссылку или временный пароль, который сгенерирует сервис для восстановления пароля. Этим список вариантов, конечно, не ограничивается, но в этой статье речь не об этом.
Еще один вектор атаки — компьютер самого пользователя, на котором можно перехватывать и отправлять злоумышленнику вводимые пользователем данные. Для этого используются различные кейлоггеры, которые мониторят буфер ввода с клавиатуры, различные шпионские адд-ины для браузеров (панели, «хелперы»). Ту же цель преследуют и различные «улучшатели» популярных соцсетей — неофициальные приложения, которые подключаются к реальным серверам соцсети через API, однако предоставляют якобы расширенные возможности (такие как прослушивание музыки без ограничения). Они же могут и логировать и ваши пользовательские данные.
Четвертый тип атак — MITM («человек в середине»). Если вход выполняется по паролю, то можно представить следующий сценарий атаки:
Для данной атаки в локальной сети перенаправить трафик можно двумя способами:
Для перехвата паролей пользователя в реальном времени на сайтах часто используется DNS спуфинг, когда пользователь заходит на фейковых сайт, который выглядит как оригинал и вводит там данные. Например, существовало несколько клонов сети Vkontakte, которые воровали пользовательские данные.
Не менее популярный, но не всегда работающий вариант — перехват cookie с сайтов, которые вы посетили и ввели данные из браузера пользователя. Сами cookie не содержат пары логин/пароль, но если сайт, их выдавший настроен неправильно, то украв файл cookie можно установить сессию с сервером, их выдавшим от имени пользователя и сбросить его пароль или поменять данные.
Про безопасность и параметры файлов cookie можно почитать здесь.
Современные сайты на базе популярных открытых CMS более-менее защищены и хранят пароли в виде хэша который даже в случае его утечки достаточно сложно и/или долго расшифровать (в зависимости от приименного алгоритма шифрования). Однако, кастомные или рукописные движки часто грешат низкой безопасностью и их взломать проще, в результате чего периодически случаются утечки данных пользователей, даже с крупных сайтов. Хорошо защищённые сайты не должны хранить пароль пользователя вообще.
Также, некоторые боятся использовать авторизацию на различных сервисах через аккаунты в соцсетях (Facebook, Vk, и т.д.). В целом, такой способ авторизации достаточно безопасен и его бояться не стоит. При таком способе авторизации на сайтах пароль не используется. Вместо этого между сторонним сайтом и аккаунтом в соцсетях настроено безопасное соединение по протоколу OAuth, которое использует ключи. Сайт доверяет публичному соцсервису и не проверяет пароль, но он спрашивает у сервиса, выполняющего аутентификацию, проверенный вы пользователь или нет. Сервис, выполняющий аутентификацию проверяя вас, выдает OAuth токен вам в браузерную сессию, который и возвращает токен авторизации сайту.При условии, что ваш компьютер и браузер не скомпрометированы, такая передача одноразового токена безопасна. Перехватить и использовать такой токен на другом компьютере практически невозможно, но единственное, что сам процесс аутентификации в соцсети может быть скомпрометированы через те же самые cookie (мало кто выходит из Facebook, и сессия постоянно поддерживается).
Как вы видите, пароль может быть похищен или аккаунт может быть скомпрометирован на различных стадиях. Но напомню, что цель статьи — не изучение способов атаки и похищения паролей, а защита от этого на примере Google аккаунта.
Почему надо защищать именно его? Многие хранят пароли, сохраняемые Google Chrome в Google аккаунте. И действительно, это удобно, но опасно, если не использовать дополнительную защиту. При таком использовании Google аккаунта обязательно требуется включить двухфакторную аутентификацию (2FA). 2FA практически на 100% делает процесс аутентификации безопасным (см. применения ниже). На данный момент его следует включать на всех сайтах, где это доступно.
Что такое Google Authenticator: где взять код и как пользоваться?
Где взять код Google Authenticator и как начать использование программы? Разберемся вместе – составили простую подробную инструкцию, которая поможет справиться с тонкостями настройки и приступить к работе.
Что такое двухфакторная аутентификация
Чтобы понять, как пользоваться Гугл Аутентификатор, необходимо разобраться с самим понятием двухфакторной аутентификации или 2FA. Сервис разработчика как раз обеспечивает 2FA пользователю, поэтому мы начнем с определения.
Это метод добавления дополнительного уровня безопасности профиля путем ввода специальных проверочных кодов, получаемых пользователем. Суть ясна? Дополнительное подтверждение может производиться различными путями:
Специалисты кибербезопасности признают способ не самым надежным, так как обычно коды приходят в СМС, которые можно перехватить! Теперь попробуем понять, как действует софт от разработчика – он позволяет избежать входящих сообщений.
Чуть позже вы поймете, где взять ключ Гугл Аутентификатор – а пока немного об алгоритмах работы. Это бесплатное и надежное программное обеспечение, реализующее двухэтапные сервисы проверки с использованием алгоритмов TOTP и. HMAC. Time-based One-time Password Algorithm – это алгоритм, который основывается на времени, Hash-based Message Authentication Code – это код проверки подлинности сообщений, использующий хеш-функции.
Давайте разберемся, как пользоваться Google Authenticator! Процесс несложный, достаточно один раз вникнуть в тонкости настройки сервиса.
Начало работы
Чтобы понять, как пользоваться Google Authenticator на Андроид, нужно его установить – это первый шаг. Программу можно найти в магазине Гугл Плэй Маркет абсолютно бесплатно.
Пока программа загружается, открываем настройки аккаунта в браузере:
Сейчас первый этап завершается – а нам пора вернуться к загруженному на смартфон приложению!
Вернемся к открытой в браузере странице настройки – на экране вы увидите сгенерированный цифровой код и картинку с QR-кодом. Выбор за вами!
После окончания настройки вы увидите надпись «Готово». Поздравляем! Вы справились, смогли активировать опцию и успешно настроили работу сервиса.
Вам не нужно думать о том, как и где взять ключ для Google Authenticator – они будут генерироваться системой автоматически, как только вам понадобится комбинация для авторизации в профиле.
Напоследок объясняем, как пользоваться Google Authenticator на телефоне для сторонних сервисов. Если вы хотите настроить двухэтапную аутентификацию для какого-то сайта, убедитесь, что он поддерживает такую возможность.
Ресурсы, предлагающие возможность дополнительной защиты аккаунта, выводят кнопку сервиса на странице настроек. Вам останется нажать на иконку Гугл Аутентификатора, выбрать способ подтверждения – числовой код или кьюар и завершить процедуру авторизации так, как рассказано выше. Работает для любых сайтов!
Рассказали вам не только, где найти штрих-код для Google Authenticator, но и как установить приложение и воспользоваться обычным кодом. Теперь вы сможете пользоваться надежным сервисом и не будете переживать за сохранность личных данных!
[Конкурс] Двухэтапная аутентификация в Google [Просто о сложном]
Dreamer.
У 99.9% пользователей Android есть учетная запись на Google, в которой хранятся все их данные, такие как контакты, личная переписка, данные кредитной карты, фотографии и т.д. Многих пользователей такое скопление их личной информации, в одном месте и под одним паролем, пугает вот они и отказываются хранить контакты на сервере Google, а вместо этого используют синхронизацию с ПК, или же устанавливают взломанный софт, мотивируя это боязнью привязывать свою карту к аккаунту. Сегодня я расскажу вам как можно обезопасить себя при помощи двухэтапной аутентификации, любезно предоставленной нам «Корпорацией Добра».
Многие скажут, что тема не нова и про нее уже сто раз писалось. Да, согласен, но, как показывает мой личный опыт, более половины опрошенных либо ничего об этом не слышали, либо не поняли что с этим делать. В этой статье я постараюсь доступным языком объяснить что это и как этим пользоваться.
Что это и как оно работает?
Для начала давайте посмотрим на схему:
Как мы видим из схемы — для входа в учетную запись нам понадобится не только знание пароля, но и ввод защитного кода, который высылается после правильного ввода пароля. Соответственно, злоумышленник не сможет войти в вашу учетку не имея на руках вашего мобильного телефона.
-Но что же делать если телефон разрядился или остался дома?
-Спокойствие! Вы можете распечатать, заранее естественно, 10 одноразовых кодов из настроек своего аккаунта и носить их с собой в кошельке или паспорте.
-И что, теперь каждый раз нужно ждать SMS и вводить код?
-Нет, вы можете указать Google доверенные браузеры на ваших устройствах, поставив галочку при вводе SMS кода. А вот при входе в учетку с незнакомых ПК (интернет-кафе, аэропорт, пк в гостинице) — лучше эту галочку не ставить. Либо можете установить программу Google Authenticator и генерировать коды доступа самостоятельно на планшете или смартфоне.
-Хорошо, а если я хочу подключить к своему аккаунту почтовый клиент, или какую другую программу? Куда вводить этот смс код?
— А об этом я расскажу в следующей главе 😉
Пароли для приложений
После включения двухэтапной аутентификации вы больше не сможете подключиться к Google через программы (outlook, mail, the bat и д.р, а так же устройства на Android, windows phone, iOS и т.п.) при помощи своего стандартного пароля. Ведь в этих программах некуда вводить проверочный код. Но и тут разработчики из Google все продумали — для допуска таких приложений и устройств, нам нужно сгенерировать для них уникальные пароли.
Процесс этот не сложен и не займет много времени. Сделать это можно в личном кабинете:
Для генерации пароля достаточно ввести имя приложения, например My_Android_phone, и нажать кнопку «Создать пароль». Пароль будет показан вам один раз — так что не закрывайте его, пока не убедитесь, что ввели правильно, а лучше скопируйте и вставьте в программу.
Как видно из изображения сверху — пароли генерируются очень длинные и подобрать их будет проблематично.
-И что, мне теперь помнить все эти пароли?
-Нет, если вы переустановили программу или сбросили прошивку телефона до заводских настроек, вам достаточно Аннулировать старый пароль и сгенерировать новый.
-Но какая от всего этого польза?
-Очень большая! Например, вы потеряли телефон или его украли — нет необходимости менять пароль для всей учетки и вводить новый во все приложения заново, достаточно аннулировать тот пароль, что был на устройстве.
-Хорошо, вы меня убедили и я хочу включить двухэтапную аутентификацию. Как мне это сделать?
-А об этом читайте в следующей главе 😉
Включаем двухэтапную аутентификацию
За сим откланиваюсь и желаю вам безопасного серфинга в глобальной сети.
До встречи в комментариях 🙂
Читайте также
Пятничная колонка
Когда покупать смартфон?
Посиделки по вторникам
Переход на 2 нм и тонкости техпроцесса
Переход на 2 нм и тонкости техпроцесса
Новостной дайджест
Двойной дисплей
На правах оффтопа
На правах оффтопа. телевидение или интернет
Беседка
Что такое работа и совещания по-илонмасковски?
Что такое работа и совещания по-илонмасковски?
iOS vs Android
Анатомия подделки. airpods 2
РоботоСофт
10 приложений для android 10
Аксессуары
47 комментариев на «“[Конкурс] Двухэтапная аутентификация в Google [Просто о сложном]”»
Респект за полезную статью
Спасибо, надеюсь она многим поможет …
Сейчас потерять телефон — страшнее чем кошелёк с дегьгами и кредиткой.
Не соглашусь. Вся важная информация синхронизируется с облачными сервисами: Google, Evernote, Dropbox, Picassa и т.п. так что даже бэкапы Титаниума у меня забэкаплены 😀
Информация важнее железяки.
ага. а потеряй одновременно ноут и телефон — и кирдык. лично я помню пароль только от паролехранилки. правда некоторые сервисы привязаны к номеру, так что восстановив симку можно будет часть восстановить.
и тут вылезает ещё одна проблема — безопасность ОпСоСов не на высоте.
Ну допустим, потерял ты телефон с симкой? В чем проблема? Заходим в ближайший офис оператора, старую симку блокируем — новую получаем. Доступ восстановлен. Ноут тоже можно деавторизировать, если что. Так что, то как сделано в гугле — можно принимать за эталон. Более того, есть еще фича. Во время настройки данной авторизации гугл предложит создать «пожарные пароли», распечатать на бумажке и спрятать в банковскую ячейку ;). Это на случай если «телефон украли, ноут потерял, симка оформлена на Ашота».
Самое опасное это не потерять данные, а то, что их получит другой. Если Вы пользуетесь онлайн-банкингом, пейпелом или любым другим способом оплаты, то утеряный телефон, а еще страшнее ноутбук с сохраненными паролями может стать настоящей катастрофой.
Полностью согласен, но тут уже все зависит от владельца ноутателефона.
Все пароли храню на Laspass и при каждом старте браузера ввожу мастер-пароль. Так же запретил Laspass’у запоминать пароли для paypal и других платежных сервисов — их я храню в голове.
Но Laspass помнит пароль на почту, которая привязана к пейпелу, а это значит, что можно сменить пароль через нее (в последнее время, правда, они начали менять правила безопасности, хз как сейчас). То есть лазейки для хитрого человека, который найдётукрадёт Ваш ноутбук, всё же есть.
Но обезопасить на 100% себя никогда нельзя. Просто надо понимать, что сегодня гараздо больше внимания надо обращать на безопасность своей техники, чем той же EC-карты, которую легко можно блокировать по телефону
Помнит, но без мастер-пароля от Lastpass он его не скажет, так что этому сервису я доверяю, почти, полностью.
телефон на андройде и планшет на андройде настроил по дополнительному паролю. все работает и синхронится. Но вот второй комп — пароль ввожу ввожу, уже и менял 3 раза — вижу красную надпись — используйте пароль аккаунта, а не приложения. Я так понимаю кудато не туда я его ввожу.
Комп на винде 7. Подскажите куда?
Я не вижу куда вы вводите. Что за программа?
Понял. Спасибо. Статья очень пригодилась потому как 2 раза уже терял телефон и быстро бежал менять пароль на акке. Маст хев!
Статья норм. Злоумышленник только не страшный получился. А так очень даже хорошо и интересно читается.
статья хорошая, можно смело заносить в избранное и рекомендовать людям к прочтению.
P.S. Странно что Google до их пор не интегрирует двухэтапную аутентификацию в Android
На прошивках 4.0 и выше есть функция «войти через браузер»
Прочитайте статью еще раз 😉
А вот интересно — автор думает, что те, кто боится привязывать к учетной записи Google номер карты и хранить там личную информацию, не побоятся привязать к нему номер телефона, который в свою очередь четко привязан к паспортным данным?
Бггг. А при покупке андроид-смартфона, когда в него уже забили аккаунт, типа «еще не привязал» или «привязал, но на полшишечки»?
Не привязал. Насколько я понимаю, Андроид не может определить номер телефона, на котором установлен. Иначе не было бы функции «введите свой номер» в настройках сим-карт, а также услуг типа «узнай свой номер» у оператора.
Андройд имеет доступ ко всему. Вопрос лишь в том, хочет ли гугл показать, что они могут узнать Ваш номер xD
Насколько я понимаю, номер хранится только в БД операторов и соответствие телефона и номера устанавливается через симку. Так как же Андроид узнает то, чего у него нет?
Номер хранится в том числе и на симке. iPhone легко определяет и показывает его в контактах
Странно-странно. А как в таком случае реализована смена номера БЕЗ смены симки? И как в таком случае мне дали вообще незарегистрированную симку, а через несколько дней она стала работать с моим номером? Может Вы сами на симку ввели Ваш номер?
А как вы смс получаете? И входящие звонки. Симка это магнитная карта памяти, которую операторы могут в некой степени программировать, как можно пополнить карту для проезда на метроили ттелефонную карту
Цитата с википедии
«На самой карте телефонный номер абонента (MSISDN) в явном виде не хранится, он присваивается сетевым оборудованием оператора при регистрации SIM-карты в сети на основании её IMSI. По стандарту при регистрации одной SIM-карты в сети оператор может присвоить ей несколько телефонных номеров. Однако эта возможность требует соответствующей поддержки инфраструктурой оператора (и соответствующих затрат с его стороны), поэтому чаще всего не применяется.»
И еще цитата
«International Mobile Subscriber Identity (IMSI) — международный идентификатор мобильного абонента (индивидуальный номер абонента), ассоциированный с каждым пользователем мобильной связи стандарта GSM, UMTS или CDMA. При регистрации в сети аппарат абонента передаёт IMSI, по которому происходит его идентификация. Во избежание перехвата, этот номер посылается через сеть настолько редко, насколько это возможно — в тех случаях, когда это возможно, вместо него посылается случайно сгенерированный TMSI.»
И записать на SIM-карту обычный телефон может только контакты и смс, служебную информацию не может, только читать.
Значит айфон получает номер ussd командой или еще каким то способом. Факт остается фактом, в приложении контактов, первым или номер симки, которая в телефоне.
Значит, операторы сейчас продают симки, где в специальной ячейке контактов «мой номер» записан номер. На моих симкартах такого не было (посмотреть это можно вроде бы даже в Андроиде). У меня в Андроиде в контактах первая запись «я» и около нее написано «настроить профиль». А еще в настройках сим-карт можно ввести номер для каждой симки — у меня не введены
В этом то и дело, одна и та же сим карта в айфоне позволяет увидеть его номер, а в андройде — не
Так в том-то и дело, что после включения «двухэтапки», доступ к номеру, что ввел пользователь, будет возможен только при наличии самого телефона на руках — круг замкнулся))))
Тут вопрос не в доступе злоумышленников к номеру, а в доступе к нему гугла. Я вот как-то не хочу, чтобы они его знали. А Вы?
Если вам есть что скрывать — то не стоит говорить этот номер никому.
Я ни чем противоправным не занимаюсь. А если Гугл хочет сделать мой аккаунт защищенней, при помощи моего телефона, а так же уведомлять меня о подозрительной активности — я только за.
Мне скрывать нечего, но свое privacy я стараюсь соблюдать. А то «утечет» база гугла, как когда-то база МТС и будет сыпаться смс-спам круглые сутки, например. А аккаунт в гугле мне на самом деле и не нужен, кроме как пару бесплатных приложений скачать, вообще не представляю, зачем он может понадобиться, вот честно 🙂
Ну тут уже от человека зависит.
У меня на гугле хранятся контакты, личная почта (та, что не для спама), Активно используется гугд-диск и пикаса, плюс синхронизация всех Хромов (работа, дом, планшет, телефон), так же очень часто покупаю приложения на маркете.
Вот в этом и есть беда нынешнего поколения. Даже войн начинать не надо — достатоно отключить все «облачные сервисы» и аннулировать все банковские карты 🙂
Облачные сервисы у меня синхронятся с Домашним ПК и частично с рабочим ))))
Без своей инфы не останусь)))
Что ни говори, а графическая составляющая ваших статей на высоте ))
Ну, дык, я дизайнер по профессии 😉
Но все равно приятно, спасибо.
видно что не иванов(с)
Это конченный адский ад. Я с этим говном маялся полгода. Каждое из 5 000 000 приложений нужно авторизовать по своему коду, потом менять эти коды, потом что-то глючит, потом эта скатина просит у тебя похожие пассворды, называя их то «кодовая фраза», то «код синхронизации», то «пароль»… Измучился весь. Неверно ввел или не воткнул, что вводить, так он отрубает Хром, потом ресинхронизация, а у меня этих Хромов 5 штук… Вжопу это. Криворукие гады. А еще за границей весело разбираться, почему то или иное не пашет и искать на ходу эти фразы-коды-пароли-явки.
Все, что реально нужно сделать эти ущербам, это дать возможность прикрепить свое фото или видео, чтобы они ушли на сервер без возможности удаления, допустим, на год. Тогда даже если украдут пароль, можно будет восстановить.
wow, wow, спокойнее браза )))
Как видно из скриншота, у меня около 20 таких паролей и большая часть этого настраивалось больше года назад.
кодовая фраза нужна для шифрования ваших данных (пароли и т.п.) в Chrome
Тут главное понимать, как это работает и что вы делаете.
Спасибо вам большое за статью, очень полезная! У меня несколько вопросов, тоже касающихсяся безопасности личных данных, но только от Гугла 🙂 1) К примеру, у меня телефон на андроиде, почта аутлук. Прямо в почте аутлук есть возможность отправлять файлы, присоединить и переписываться с контактами из фейсбука, скайпа, твиттера и т.д. Если, пользуясь Андроидом, объединить все эти сети в Аутлук, будет ли Гугл иметь доступ ко всем моим данным и переписками из всех моих соцсетей? Ведь я ввожу необходимые пароли в Андроиде. 2)Будет ли Гуглу легче, если я объединю всю свою переписку и др почт ящики в почт ящике ДЖИМЕЙЛ, 2) Как меняет ситуацию если я не буду объединять эти соцсети и почту в одну, а буду входить в них отдельно, через их приложения, но опять же в Андроиде? 3) Что изменится в этой ситуации, если входить на почту и соцсети через браузер Хром. Сможет Гугл иметь доступ к моей почте и соцсетям? 😉 4) То же самое, только, если входить через другой браузер отличный от Гугл Хром, но опять же в системе Андроид? И последнее, многие пользуются на своих ПК и ноутбуках опер системами Виндоуз. Мы все там вводим свои пароли, заходим на свои различные почты, пользуемся разными браузерами и т.д. Имеет ли Майкрософт доступ к нашим данным данным? Очень буду признателен за ваши ответы. Еще раз спасибо за хороший сайт!