Что такое 2fa в stepn
Перейти к содержимому

Что такое 2fa в stepn

  • автор:

Как подключить 2FA (Google Authenticator)

Для начала давайте разберемся, что это такое и зачем оно Вам нужно. Итак, двухэтапная аутентификация — это доказанно надежный способ предотвратить широко распространенные кибератаки. Данный метод защиты используется не только в STEPN, но и на многих криптобиржах, соцсетях, и других площадках, где есть необходимость защищать аккаунты от третьих лиц (даже если отойти от криптотематики и вспомнить, как проходит любая покупка с банковской карты в интернете, то там тоже есть 2ФА, но вместо кода из GA нужно писать код из СМС, чтобы подтвердить транзакцию). 2FA обеспечивает более надежную защиту аккаунта. Злоумышленники не смогут в него войти, даже если узнают вашу почту и пароль.

Простой пример: если функция 2FA выключена, то для входа в аккаунт STEPN используются всего лишь два компонента:

  1. электронная почта
  2. код с почты / пароль (если Вы установили его)

Выходит, что в таком случае Вашим аккаунтом STEPN могут завладеть мошенники, если им удастся заполучить доступ к вашей почте. За первый год существования STEPN таким образом было взломано великое множество аккаунтов, что побудило разработчиков добавить в приложение дополнительные меры защиты, которыми мы настоятельно рекомендуем всем воспользоваться.

Если же функция 2FA будет включена, то для входа в аккаунт STEPN используются уже три компонента:

  1. электронная почта
  2. код с почты / пароль (если Вы установили его)
  3. одноразовый код Google Authenticator

Пошаговая инструкция подключения Google Authenticator к аккаунту STEPN

  1. Жмём на свою аватарку в правом верхнем углу:

2. Ищем строчку под названием Google Authenticator, там будет выключенный бегунок. Жмём на этот бегунок:

3. Откроется страница, на которой Вам предложат скачать Google Authenticator. Жмите на “Download Google Authenticator”, если у Вас еще не установлено это приложение. После того, как скачаете GA, переходите к пункту “Link”:

ВАЖНО: если на Вашем устройстве уже скачан GA и привязан к аккаунтам в других приложениях, то переустанавливать GA НЕ НУЖНО. GA способен генерировать коды для разных приложений. Поэтому, если, например, на Вашем телефоне уже был установлен GA, который вы использовали для входа в Binance (или любой другой ресурс), то Вы просто добавялете в свой GA аккаунт STEPN, и Ваш GA отныне будет генерировать разные коды для двух разных площадок — Binance и STEPN. Кроме того, Вы можете привязать в этот же самый GA на этом же самом устройстве, второй свой аккаунт STEPN

4. Этот шаг очень важен, пожалуйста, отнеситесь к нему максимально ответственно, иначе Вы рискуете лишиться доступа к своему аккаунту.

Итак, нажав на “Link” у Вас откроется такая страница:

Это Ваш секретный ключ восстановления, его нельзя: 1. терять, 2. передавать кому-либо (ни одна служба поддержки не вправе требовать от Вас эту информацию). Перед Вами QR код и текст. И то и другое несут в себе одну и ту же информацию — шифр из букв и цифр, которые являются ключом восстановления. Вам нужно переписать этот шифр на лист бумаги и спрятать в надежном месте, чтобы на случай форс-мажора Вы знали, где найти заветный ключ.

В STEPN колоссальное количество пользователей по разным причинам потеряли доступ к аккаунту и не могут его вернуть из-за того, что не знают свой секретный ключ восстановления от GA. Не повторяйте чужие ошибки и сделайте все очень внимательно, ведь речь идет о безопасности Вашего аккаунта, в который, возможно, Вы будете инвестировать реальные деньги. QR код на этой странице добавлен для удобства: его можно отсканировать с другого Вашего устройства, на котором установлен GA, чтобы там тоже генерировались коды для доступа в Ваш аккаунт. Это может быть удобно на случай, если, например, Вы разбили первый телефон, и для входа в свой аккаунт на втором телефоне у вас уже есть резервное устройство, которое генерирует заветные коды для входа в аккаунт. Привязывать можно бесконечное количество устройств, но обилие подключенных девайсов в этом деле не всегда имеет смысл.

После того, как Вы записали и сохранили секретный ключ восстановления, жмите на “Link”, чтобы приступить к следующему шагу.

5. На новой странице Вас попросят ввести код потверждения с почты и шестизачный код из приложения Google Authenticator.

6. Если Вы все сделали правильно, то Вы молодец и успешно подключили 2FA к своему аккаунту STEPN. Об успешном подключении будет свидетельствовать зеленый (включенный) бегунок напротив Google Authenticator в настройках Вашего аккаунта

Важно! Никогда и никому не сообщайте свои коды подтверждения. Эту информацию просят только мошенники, ни одна служба поддержки никогда не попросит Вас назвать эти 6 цифр.

Любые вопросы, касающиеся STEPN, можно обсудить в официальном русскоговорящем чате в Telegram. Присоединяйтесь к нам, чтобы не пропустить ничего важного!

Немного о 2FA: Двухфакторная аутентификация

Двухфакторная аутентификация или 2FA – это метод идентификации пользователя в каком-либо сервисе, где используются два различных типа аутентификационных данных. Введение дополнительного уровня безопасности обеспечивает более эффективную защиту аккаунта от несанкционированного доступа.

Двухфакторная аутентификация требует, чтобы пользователь имел два из трех типов идентификационных данных.

  • Нечто, ему известное;
  • Нечто, у него имеющееся;
  • Нечто, ему присущее (биометрика).

Второй пункт – это токен, то есть компактное устройство, которое находится в собственности пользователя. Самые простые токены не требуют физического подключения к компьютеру – у них имеется дисплей, где отображается число, которое пользователь вводит в систему для осуществления входа – более сложные подключаются к компьютерам посредством USB и Bluetooth-интерфейсов.

Сегодня в качестве токенов могут выступать смартфоны, потому что они стали неотъемлемой частью нашей жизни. В этом случае так называемый одноразовый пароль генерируется или с помощью специального приложения (например Google Authenticator), или приходит по SMS – это максимально простой и дружественный к пользователю метод, который некоторые эксперты оценивают как менее надежный.

В ходе проведенного исследования, в котором приняли участие 219 человек разных полов, возрастов и профессий, стало известно, что более половины опрошенных используют двухфакторную SMS-аутентификацию в социальных сетях (54,48%) и при работе с финансами (69,42%).

Однако, когда дело касается рабочих вопросов, то здесь предпочтение отдается токенам (45,36%). Но вот что интересно, количество респондентов, пользующихся этими технологиями как добровольно, так и по приказу начальства (или вследствие других вынуждающих обстоятельств), примерно одинаково.

График популярности различных технологий по сферам деятельности

График заинтересованности респондентов в 2FA

Среди токенов можно выделить одноразовые пароли, синхронизированные по времени, и одноразовые пароли на основе математического алгоритма. Синхронизированные по времени одноразовые пароли постоянно и периодически меняются. Такие токены хранят в памяти количество секунд, прошедших с 1 января 1970 года, и отображают часть этого числа на дисплее.

Чтобы пользователь мог осуществить вход, между токеном клиента и сервером аутентификации должна существовать синхронизация. Главная проблема заключается в том, что со временем они способны рассинхронизироваться, однако некоторые системы, такие как SecurID компании RSA, дают возможность повторно синхронизировать токен с сервером путем ввода нескольких кодов доступа. Более того, многие из этих устройств не имеют сменных батарей, потому обладают ограниченным сроком службы.

Как следует из названия, пароли на основе математического алгоритма используют алгоритмы (например цепочки хэшей) для генерации серии одноразовых паролей по секретному ключу. В этом случае невозможно предугадать, каким будет следующий пароль, даже зная все предыдущие.

Иногда 2FA реализуется с применением биометрических устройств и методов аутентификации (третий пункт). Это могут быть, например, сканеры лица, отпечатков пальцев или сетчатки глаза.

Проблема здесь заключается в том, что подобные технологии очень дороги, хотя и точны. Другой проблемой использования биометрических сканеров является неочевидность определения необходимой степени точности.

Если установить разрешение сканера отпечатка пальца на максимум, то вы рискуете не получить доступ к сервису или устройству в том случае, если получили ожог или ваши руки попросту замерзли. Поэтому для успешного подтверждения этого аутентификатора достаточно неполного соответствия отпечатка эталону. Также стоит отметить, что изменить такой «биопароль» физически невозможно.

Насколько надежна двухфакторная аутентификация

Это хороший вопрос. 2FA не является непроницаемой для злоумышленников, однако она серьезно усложняет им жизнь. «Используя 2FA вы исключаете достаточно крупную категорию атак», – говорит Джим Фентон (Jim Fenton), директор по безопасности OneID. Чтобы взломать двухфакторную аутентификацию «плохим парням» придется украсть ваши отпечатки или получить доступ к cookie-файлам или кодам, сгенерированным токенами.

Последнего можно добиться, например, с помощью фишинговых атак или вредоносного программного обеспечения. Есть еще один необычный способ: доступ к аккаунту журналиста Wired Мэтта Хоннана (Matt Honnan) злоумышленники получили с помощью функции восстановления аккаунта.

Восстановление аккаунта выступает в качестве инструмента для обхода двухфакторной аутентификации. Фентон, после истории с Мэттом, лично создал аккаунт в Google, активировал 2FA и притворился, что «потерял» данные для входа. «Восстановление аккаунта заняло некоторое время, но через три дня я получил письмо, что 2FA была отключена», – отмечает Фентон. Однако и у этой проблемы есть решения. По крайней мере, над ними работают.

«Я считаю, что биометрия – это один из таких способов, – говорит технический директор Duo Security Джон Оберхайд (Jon Oberheide). – Если я потеряю свой телефон, то чтобы восстановить все аккаунты мне не хватит вечности. Если бы существовал хороший биотметрический метод, то он бы стал надежным и полезным механизмом восстановления». По сути, Джон предлагает использовать одну форму 2FA для аутентификации, а другую – для восстановления.

Где применяется 2FA

Вот несколько основных сервисов и социальных сетей, которые предлагают эту функцию – это Facebook, Gmail, Twitter, LinkedIn, Steam. Их разработчики предлагают на выбор: SMS-аутентификацию, список одноразовых паролей, Google Authenticator и др. Недавно 2FA ввел Instagram, чтобы защитить все ваши фотографии.

Однако здесь есть интересный момент. Стоит учитывать, что двухфакторная аутентификация добавляет к процессу аутентификации еще один дополнительный шаг, и, в зависимости от реализации, это может вызывать как небольшие сложности со входом (или не вызывать их вовсе), так и серьезные проблемы.

По большей части отношение к этому зависит от терпеливости пользователя и желания повысить безопасность аккаунта. Фентон высказал следующую мысль: «2FA – это хорошая штука, но она способна усложнить жизнь пользователям. Потому имеет смысл вводить её только для тех случаев, когда вход осуществляется с неизвестного устройства».

Двухфакторная аутентификация не панацея, но она помогает серьезно повысить защищенность аккаунта, затратив минимум усилий. Усложнение жизни взломщиков – это всегда хорошо, потому пользоваться 2FA можно и нужно.

Что ждет 2FA

Методам защиты, основанным на методиках многофакторной аутентификации, сегодня доверяет большое число компаний, среди которых организации из сферы высоких технологий, финансового и страхового секторов рынка, крупные банковские учреждения и предприятия госсектора, независимые экспертные организации, а также исследовательские фирмы.

Оберхайд отмечает, что многие пользователи, которые скептически относились к двухфакторной аутентификации, очень скоро обнаруживали, что здесь все не так сложно. Сегодня 2FA переживает настоящий бум, а любую популярную технологию гораздо проще совершенствовать. Несмотря на наличие сложностей, её ждет светлое будущее.

P.S. Кстати, совсем недавно мы внедрили двухфакторную аутентификацию, чтобы повысить безопасность личного кабинета 1cloud. После активации данного метода для входа в панель управления пользователю нужно не только ввести адрес электронной почты и пароль, но и уникальный код, полученный по SMS.

  • Блог компании 1cloud.ru
  • Информационная безопасность
  • Веб-разработка
  • Разработка под e-commerce

Двухфакторная аутентификация (2FA)

Механизм двухфакторной аутентификации позволяет вам добавить дополнительный уровень защиты вашего аккаунта путем использования специальных временных кодов доступа.

Подключить двухфакторную аутентификацию к вашему аккаунту вы можете только если регистрировались в Пачке через электронную почту. 2FA активируется для аккаунта в целом, т.е. нельзя сделать так, что в одном пространстве у вас есть пароль и подключена 2FA, а в другом — нет.

Приложения для создания кодов двухфакторной аутентификации

Для создания временных кодов вам необходимо установить специальное приложение на ваше устройство. Вы можете выбрать приложение из предлагаемого нами списка ниже.

Подключение двухфакторной аутентификации

Для подключения вам необходимо перейти в профиль и нажать кнопку «Настроить генерацию кодов» в блоке «Двухфакторная аутентификация (2FA)».

Для начала вам необходимо ввести пароль от вашего аккаунта и скачать приложение для генерации кодов. Затем открыть установленное приложение и добавить туда аккаунт Пачки. Это можно сделать при помощи сканирования QR-кода или ручным вводом ключа настройки. После этого в приложении вы сразу же увидите сгенерированный код. Нажмите кнопку «Продолжить» в Пачке и введите этот код.

На этом настройка двухфакторной аутентификации завершена.

Резервные коды

Резервные коды будут вам полезны, если при очередном входе в Пачку вы окажитесь без доступа к настроенному приложению генерации кодов.

Получить такие коды вы можете всё в том же блоке «Двухфакторная аутентификация (2FA)», нажав кнопку «Получить резервные коды». Вам снова нужно будет ввести пароль от вашего аккаунта и вы увидите список резервных кодов.

Список резервных кодов

Все резервные коды — одноразовые и уникальные. Если у вас закончатся резервные коды, вы можете запросить новый список.

Каждый раз, когда вы запрашиваете новый список резервных кодов — предыдущие выданные резервные коды становятся недействительными.

Отключение двухфакторной аутентификации

Чтобы отключить механизм двухфакторной аутентификации вам необходимо нажать кнопку «Отключить проверку» в блоке «Двухфакторная аутентификация (2FA)». Затем ввести пароль от вашего аккаунта и подтвердить отключение.

Вход с двухфакторной аутентификацией

После ввода электронной почты и пароля вы увидите экран с запросом кода. Вам необходимо открыть настроенное приложения генерации кодов и ввести полученный код в Пачку (или ввести резервный код).

Authenticator App for STEPN

Before you can set up 2-Step Verification for your STEPN account you’ll need to download Authenticator App on your device by searching for it in your Apple device’s App Store, click on the button below Download on the App Store or scan the QR Code.

  • Scan to download

Service Name

Website

How to set up 2FA for STEPN

How to recover your STEPN account

If you have lost access to your two-factor authentication (2FA) code generator, please get in touch with the STEPN support team for assistance.

More on this .

ActiveState
Disclaimer!

The information provided on this page is intended solely for educational purposes, aimed at assisting users in securing their accounts through two-factor authentication (2FA). Please note that we, 2Stable, do not have any affiliation, partnership, or cooperation with the STEPN . Our guides are designed to promote cybersecurity awareness and are not endorsed by or associated with any of the services referenced.

All trademarks and logos remain the property of their respective owners.

For any legal inquiries or concerns regarding the content displayed on this page, please do not hesitate to contact us at support@2stable.com.

Secure Two-Factor Authentication App for iPhone, iPad, iPod, Apple Watch and Mac

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *