Microsoft authenticator как сканировать qr код
Обновлено: 17.07.2024
Почему SMS — не лучший выбор для двухфакторной аутентификации, и какие существуют альтернативы.
18 октября 2018
За последние пару лет идея двухфакторной аутентификации, о которой так долго говорили гики, сильно продвинулась в массы. Однако до сих пор в большинстве случаев речь идет о двухфакторной аутентификации при помощи одноразовых паролей, приходящих в SMS. А это, к сожалению, не очень-то надежный вариант. Вот что может пойти не так:
- Пароль в SMS можно подсмотреть, если у вас включен показ уведомлений на экране блокировки.
- Даже если показ уведомлений отключен, можно извлечь SIM-карту из смартфона, установить в другой смартфон и принять SMS с паролем.
- SMS с паролем может перехватить пробравшийся в смартфон троян.
- Также с помощью различных махинаций (убеждение, подкуп, сговор и так далее) можно заполучить новую SIM-карту с номером жертвы в салоне сотовой связи. Тогда SMS будут приходить на эту карту, а телефон жертвы просто не будет связываться с сетью.
- Наконец, SMS с паролем может быть перехвачена через фундаментальную уязвимость в протоколе SS7, по которому эти SMS передаются.
Надо заметить, что даже самый трудоемкий и высокотехнологичный из перечисленных методов перехвата пароля в SMS — с помощью взлома протокола SS7 — уже был использован на практике. Так что речь не о теоретической возможности возникновения неприятностей, а о вполне практической угрозе.
В общем, пароли в SMS — это не очень-то безопасно, а иногда даже и очень небезопасно. Поэтому есть смысл озаботиться поиском альтернативных вариантов двухэтапной аутентификации, о чем мы сегодня и поговорим.
Одноразовые коды в файле или на бумажке
Работает это очень просто: по запросу сервис генерирует и показывает на экране десяток одноразовых кодов, которые в дальнейшем могут быть использованы для подтверждения входа в него. Дальше вы просто распечатываете или переписываете эти коды на бумагу и кладете в сейф. Или, что еще проще, сохраняете в зашифрованных записях в менеджере паролей.
В общем, не так важно, будете ли вы хранить эти коды на теплой ламповой бумаге или в бездушном цифровом виде — важно сохранить их так, чтобы они а) не потерялись и б) не могли быть украдены.
Приложения для двухфакторной аутентификации
У единожды сгенерированного набора одноразовых кодов есть один недостаток: рано или поздно он закончится, и вполне может так получиться, что вы останетесь без кода в самый неподходящий момент. Поэтому есть способ лучше: можно генерировать одноразовые коды на лету с помощью небольшого и, как правило, очень простого приложения — аутентификатора.
Как работают приложения-аутентификаторы
Работают приложения для двухфакторной аутентификации очень просто. Вот что придется сделать:
- устанавливаете на смартфон приложение для двухфакторной аутентификации;
- заходите в настройки безопасности сервиса, который среди опций для двухфакторной аутентификации предлагает использовать такие приложения;
- выбираете двухфакторную аутентификацию с помощью приложения;
- сервис покажет вам QR-код, который можно отсканировать прямо в 2FA-приложении;
- сканируете код приложением — и оно начинает каждые 30 секунд создавать новый одноразовый код.
Коды создаются на основе ключа, который известен только вам и серверу, а также текущего времени, округленного до 30 секунд. Поскольку обе составляющие одинаковы и у вас, и у сервиса, коды генерируются синхронно. Этот алгоритм называется OATH TOTP (Time-based One-time Password), и в подавляющем большинстве случаев используется именно он.
Также существует альтернатива — алгоритм OATH HOTP (HMAC-based One-time Password). В нем вместо текущего времени используется счетчик, увеличивающийся на 1 при каждом новом созданном коде. Но этот алгоритм редко встречается в реальности, поскольку при его использовании гораздо сложнее обеспечить синхронное создание кодов на стороне сервиса и приложения. Проще говоря, есть немалый риск, что в один не очень прекрасный момент счетчик собьется и ваш одноразовый пароль не сработает.
Так что можно считать OATH TOTP де-факто индустриальным стандартом (хотя формально это даже не стандарт, на чем создатели этого алгоритма очень настаивают в его описании).
Совместимость приложений для двухфакторной аутентификации и сервисов
Подавляющее большинство приложений для двухфакторной аутентификации работает по одному и тому же алгоритму, так что для всех сервисов, которые поддерживают аутентификаторы, можно использовать любое из них — какое вам больше нравится.
Как и в любом добротном правиле, в этом тоже есть определенное количество исключений. Некоторые сервисы по каким-то причинам, ведомым только им одним, предпочитают делать свои собственные приложения для двухфакторной аутентификации, которые работают только с ними. Более того, сами сервисы не работают ни с какими другими приложениями, кроме своих собственных.
Особенно это распространено среди крупных издателей компьютерных игр — например, существуют несовместимые со сторонними сервисами приложения Blizzard Authenticator, Steam Mobile с встроенным аутентификатором Steam Guard, Wargaming Auth и так далее. Для этих сервисов придется ставить именно эти приложения.
Также по этому странному пути пошла Adobe, разработавшая Adobe Authenticator, который работает только с аккаунтами AdobeID. Но при этом вы можете использовать для защиты AdobeID и другие аутентификаторы, так что вообще непонятно, ради чего было городить огород.
Поэтому просто выбирайте приложение-аутентификатор, которое вам больше нравится по набору дополнительных функций — оно будет работать с большинством сервисов, которые вообще поддерживают 2FA-приложения.
Лучшие приложения для двухфакторной аутентификации
Несмотря на то что базовая функция у всех этих приложений одна и та же — создание одноразовых кодов по одному и тому же алгоритму, некоторые аутентификаторы обладают дополнительными функциями или особенностями интерфейса, которые могут показаться вам удобными. Перечислим несколько самых интересных вариантов.
1. Google Authenticator
Поддерживаемые платформы: Android, iOS
Как отмечают буквально все публикации, Google Authenticator — это самое простое в использовании из всех существующих приложений для двухфакторной аутентификации. У него даже настроек нет. Все, что можно сделать, — это добавить новый токен (так называется генератор кодов для отдельного аккаунта) или удалить один из имеющихся. А чтобы скопировать код в буфер обмена, достаточно коснуться его пальцем на сенсорном экране смартфона или планшета. Все!
Однако у такой простоты есть и недостаток: если вам что-то не нравится в интерфейсе или хочется от аутентификатора чего-то большего — придется устанавливать другое приложение.
+ Очень просто использовать.
2. Duo Mobile
Поддерживаемые платформы: Android, iOS
Duo Mobile также крайне прост в использовании, минималистичен и лишен дополнительных настроек. По сравнению с Google Authenticator у него есть одно преимущество: по умолчанию Duo Mobile скрывает коды — чтобы увидеть код, надо нажать на конкретный токен. Если вы, как и я, испытываете дискомфорт каждый раз, когда открываете аутентификатор и показываете всем окружающим кучу кодов от всех своих аккаунтов сразу, то вам эта особенность Duo Mobile наверняка понравится.
+ По умолчанию скрывает коды.
3. Microsoft Authenticator
Поддерживаемые платформы: Android, iOS
В Microsoft тоже не стали усложнять и сделали свой аутентификатор на вид очень минималистичным. Но при этом Microsoft Authenticator заметно функциональнее, чем Google Authenticator. Во-первых, хоть по умолчанию все коды показываются, но каждый из токенов можно отдельно настроить так, чтобы при запуске приложения код был скрыт.
Во-вторых, Microsoft Authenticator упрощает вход в аккаунты Microsoft. В этом случае после ввода пароля достаточно будет нажать в приложении кнопку подтверждения входа — и все, можно даже не вводить одноразовый код.
+ Можно настроить, чтобы коды скрывались.
+ Дополнительные возможности для входа в аккаунты Microsoft.
4. FreeOTP
Поддерживаемые платформы: Android, iOS
Есть четыре причины, по которым вам может понравиться этот аутентификатор, разработанный Red Hat. Во-первых, это ваш выбор, если вы любите программное обеспечение с открытым кодом. Во-вторых, это самое маленькое приложение из всех рассматриваемых — версия для iOS занимает всего 750 Кбайт. Для сравнения: минималистичный Google Authenticator занимает почти 14 Мбайт, а приложение Authy, о котором мы поговорим ниже, — аж 44 Мбайта.
В-третьих, по умолчанию приложение скрывает коды и показывает их только после касания. Наконец, в-четвертых, FreeOTP позволяет максимально гибко конфигурировать токены вручную, если вам это зачем-нибудь нужно. Разумеется, обычный способ создания токена с помощью сканирования QR-кода тоже поддерживается.
+ По умолчанию скрывает коды.
+ Приложение занимает всего 700 Кбайт.
+ Открытый код.
+ Максимум настроек при создании токена вручную.
5. Authy
Поддерживаемые платформы: Android, iOS, Windows, macOS, Chrome
Самое навороченное из приложений для двухфакторной аутентификации, основным достоинством которого является то, что все токены хранятся в облаке. Это позволяет получить доступ к токенам с любого из ваших устройств. Заодно это упрощает переезд на новые устройства — не придется заново активировать 2FA в каждом сервисе, можно продолжить пользоваться существующими токенами.
В облаке токены зашифрованы ключом, который создается на основе заданного пользователем пароля, — то есть данные хранятся безопасно, и украсть их будет нелегко. Также можно установить ПИН-код на вход в приложение — или защитить его отпечатком пальца, если ваш смартфон оснащен соответствующим сканером.
Основной недостаток Authy состоит в том, что приложение с ходу требует завести аккаунт, привязанный к вашему телефонному номеру, — без этого просто не получится начать с ним работать.
− Требуется зарегистрироваться в Authy, используя номер телефона, — без этого приложение не работает.
Поддерживаемые платформы: Android, iOS
− При большом количестве токенов не очень удобно искать нужный.
Если приложение, генерирующее одноразовые коды, кажется вам слишком эфемерным способом защитить свои аккаунты, и хочется чего-то более постоянного, надежного и материального — буквально запереть аккаунт на ключ и положить его в карман, — то у меня есть для вас хорошая новость: такой вариант также существует. Это аппаратные токены стандарта U2F (Universal 2nd Factor), созданного FIDO Alliance.
Как работают токены FIDO U2F
Аппаратные U2F-токены очень полюбились специалистам по безопасности — в первую очередь потому, что с точки зрения пользователя они работают очень просто. Для начала работы достаточно подключить U2F-токен к вашему устройству и зарегистрировать его в совместимом сервисе, причем делается это буквально в пару кликов.
Вставьте ключ и нажмите кнопку — и это действительно все
Приватный ключ используется для того, чтобы зашифровать подтверждение входа, которое передается на сервер и может быть расшифровано с помощью публичного ключа. Если кто-то от вашего имени попытается передать подтверждение входа, зашифрованное неправильным приватным ключом, то при расшифровке с помощью известного сервису публичного ключа вместо подтверждения получится бессмыслица, и сервис не пустит его в аккаунт.
Какими бывают U2F-устройства
YubiKey — вероятно, самые популярные U2F-токены
Например, Google недавно представила свой комплект аппаратных аутентификаторов Google Titan Security Keys. На самом деле это ключи производства Feitian Technologies (второй по популярности производитель U2F-токенов после Yubico), для которых в Google написали собственную прошивку.
NFC — необходим для использования со смартфонами и планшетами на Android.
Bluetooth — понадобится на тех мобильных устройствах, в которых нет NFC. К примеру, аутентификатор с Bluetooth все еще нужен владельцам iPhone: несмотря на то, что в iOS уже разрешили приложениям использовать NFC (до 2018 года это было позволено только Apple Pay), разработчики большинства совместимых с U2F приложений еще не воспользовались этой возможностью. У Bluetooth-аутентификаторов есть пара минусов: во-первых, их нужно заряжать, а во-вторых, их подключение занимает гораздо больше времени.
В базовых моделях U2F-токенов обычно есть только поддержка собственно U2F — такой ключ обойдется в $10–20. Есть устройства подороже ($20–50), которые заодно умеют работать в качестве смарт-карты, генерировать одноразовые пароли (в том числе OATH TOTP и HOTP), генерировать и хранить ключи PGP-шифрования, могут использоваться для входа в Windows, macOS и Linux и так далее.
Что же выбрать: SMS, приложение или YubiKey?
Так или иначе, главный совет — по возможности избегать использования одноразовых паролей в SMS. Правда, получится это не всегда: например, финансовые сервисы в силу своей консервативности продолжают использовать SMS и крайне редко позволяют пользоваться чем-либо еще.
Microsoft Authenticator
версия: 6.2110.7183
Последнее обновление программы в шапке: 31.10.2021
Краткое описание:
Приложение для входа и доступа к рабочим ресурсам.
Ваш ИТ-администратор мог порекомендовать вам использовать приложение Microsoft Azure Authenticator для входа и доступа к рабочим ресурсам. Это приложение предоставляет следующие функции:
1. Многофакторная проверка подлинности: Позволяет защитить доступ к учетным записям с помощью двухэтапной проверки. При этом вы входите в систему при помощи известных вам данных (пароль) и чего-то, чем вы обладаете (мобильное устройство).
Приложение поддерживает Azure Multi-Factor Authentication и другие программные токены, например из учетных записей Майкрософт и Google.
При использовании совместно с учетной записью, защищенной с помощью Azure Multi-Factor Authentication, можно или получить push-уведомление, или использовать код проверки, отображаемый для этой учетной записи в приложении.
При использовании совместно с другими учетными записями необходимо использовать код проверки, отображаемый для этой учетной записи в приложении.
Приступая к работе:
Проще всего добавить учетную запись, сосканировав QR-код, который система покажет на странице регистрации для двухэтапной проверки. Вы также можете ввести код активации и URL-адрес для регистрации в Azure Multi-Factor Authentication, либо указать имя учетной записи и секретный ключ, полученные из других систем. Поддерживаются разные учетные записи и токены.
Рабочая учетная запись.
Позволяет превратить телефон или планшет Android в надежное устройство для использования единого входа (SSO) в приложениях на этом устройстве. Ваш ИТ-администратор может потребовать добавить рабочую учетную запись для доступа к ресурсам организации. Функция единого входа позволяет, единожды авторизовавшись, получить доступ ко всем приложениям организации.
Как удалить приложение?
Azure Authenticator установлен в качестве администратора устройства, и его необходимо отключить перед удалением приложения. Для этого перейдите в раздел "Параметры" > "Безопасность" > "Администраторы устройства" и снимите флажок "Azure Authenticator". После этого удаление можно выполнить как обычно.
Не можете найти приложение Multi-Factor Authentication?
Это приложение заменяет приложение Multi-Factor Authentication компании PhoneFactor.
Требуется Android: 4.0+
Русский интерфейс: Да
Что Нового
— Поддержка рабочих, учебных и личных учетных записей Майкрософт, а также сторонних учетных записей (Google, Facebook и др.).
— Утверждение входа непосредственно в уведомлениях для рабочих и личных учетных записей.
— Утверждение входа без запуска приложения, даже для учетных записей с поддержкой ПИН-кода.
— Совместимость с устройствами Android Wear.
— Интегрированный сканер QR-кодов.
— Обновления для присоединений к рабочей области.
— Условный доступ.
AzureAuthenticator_4.2.0.apk ( 5.44 МБ )
Azure Authenticator 4.4.0 (37)
Что Нового
— Поддержка рабочих, учебных и личных учетных записей Майкрософт, а также сторонних учетных записей (Google, Facebook и др.).
— Утверждение входа непосредственно в уведомлениях для рабочих и личных учетных записей.
— Утверждение входа без запуска приложения, даже для учетных записей с поддержкой ПИН-кода.
— Совместимость с устройствами Android Wear.
— Интегрированный сканер QR-кодов.
— Обновления для присоединений к рабочей области.
— Условный доступ.
AzureAuthenticator_4.4.0.apk ( 5.44 МБ )
Новая версия: 5.2.0 arm (47)
Приложение Azure Authenticator теперь называется Microsoft Authenticator. С помощью
одного приложения вы можете быстро и надежно проходить проверку в Интернете по
всем своим учетным записям.
AzureAuthenticator_5.2.0.apk ( 5.68 МБ )
Azure Authenticator 5.2.7 (54) ARM
Улыбнитесь! Мы добавили изображения профиля для ваших личных учетных записей Майкрософт.
azure.authenticator_v5.2.7.apk ( 6.55 МБ )
Azure Authenticator 6.0.2
Что Нового
Просто исправление пары ошибок.
AzureAuthenticator_6.0.2.apk ( 6.45 МБ )
О программе
Приложение Microsoft Authenticator для Android и iOS позволяет использовать телефон, а не пароль для входа в учетную запись MicrosoftЧто нового
Новое в версии 6.2110.7183 (Android)
- Мы постоянно работаем над новыми функциями, исправлениями ошибок и улучшениями производительности.
Новое в версии 6.5.84 (iOS) (06.10.2021)
- Мы постоянно работаем над созданием новых возможностей, устранением ошибок и повышением производительности. Рекомендуем всегда обновляться до последней версии, чтобы взаимодействие с системой проверки подлинности было оптимальным.
Новые возможности Microsoft Authenticator
Системные требования
- Требуемая версия Android: 6.0 и выше
- Требуется iOS 11.0 и watchOS 4.0 и новее. Совместимо с iPhone, iPad и iPod touch
Полезные ссылки
Подробное описание
Двухфакторная аутентификация (TFA) проста, удобна и безопасна при использовании Microsoft Authenticator.
Для входа в учетную запись Microsoft используйте телефон, а не пароль. Просто введите ваше имя пользователя, затем подтвердите отправленное на ваш телефон уведомление. Ваш отпечаток пальца, идентификатор лица или PIN-код обеспечивают второй уровень безопасности в этом двухэтапном процессе проверки. После входа с помощью двухфакторной аутентификации (TFA) у вас будет доступ ко всем продуктам и службам Microsoft, таким как Windows 10, Outlook, OneDrive, Office и другим.
Microsoft Authenticator также поддерживает многофакторную аутентификацию (MFA), даже если вы все еще используете пароль, обеспечивая второй уровень безопасности после ввода пароля. При входе с помощью двухфакторной аутентификации (TFA) вы вводите свой пароль, а затем вас попросят указать дополнительный способ проверки, что это действительно вы. Либо поlтвердите запрос, отправленный в Microsoft Authenticator, либо введите одноразовый пароль (OTP), сгенерированный приложением Одноразовые пароли (OTP-коды) имеют 30-секундный таймер обратного отсчета. Этот таймер позволяет вам никогда не использовать один и тот же одноразовый пароль (TOTP), и вам не нужно будет запоминать его. Одноразовый пароль (OTP) не требует подключения к сети и не разряжает батарею.
В приложение Microsoft Authenticator можно добавить несколько учетных записей, в том числе учетные записи других разработчиков, например LinkedIn, Github, Amazon, Dropbox, Google, Facebook. Поскольку приложение поддерживает промышленный стандарт одноразовых паролей (TOTP), вы можете защитить все свои учетные записи в Интернете. Просто включите двухфакторную аутентификацию (TFA) на всех ваших аккаунтах. После этого, войдя в систему, вы, как обычно, укажете свое имя пользователя и пароль. Наконец, вы введете одноразовый пароль (OTP), предоставленный приложением Microsoft Authenticator.
Microsoft Authenticator также поддерживает аутентификацию на основе сертификатов путем выдачи сертификата на устройстве. Это позволит вашей организации узнать, что запрос на вход поступает с доверенного устройства, и поможет вам легко и безопасно получить доступ к дополнительным приложениям и службам Microsoft без необходимости входить в каждый из них. Поскольку Microsoft Authenticator поддерживает единую регистрацию, после того, как вы еще раз подтвердите свою личность, вам больше не нужно будет входить в систему с другими приложениями Microsoft на вашем устройстве.
Одним из основных преимуществ использования приложения Microsoft Authenticator является то, что оно позволяет входить в личную учетную запись Microsoft без ввода пароля. Как таковой, он может быть использован для генерации кодов для безопасного входа в систему (личный, рабочий и учебный). Сегодня мы познакомимся с тем, как использовать и добавлять рабочие или школьные учетные записи в приложение Microsoft Authenticator.
Использование приложения Microsoft Authenticator с двухэтапной проверкой
Затем прокрутите вниз и выберите «Дополнительные параметры безопасности»> « Настройка двухэтапной проверки ».
Если будет предложено, добавьте информацию о своей безопасности. Как только вы закончите, вы можете начать.
Желательно включить уведомления для приложения, потому что, когда вы подпишетесь, Microsoft отправит на ваше устройство запрос, на который вам придется отвечать. Он не будет спамить вас ненужными уведомлениями.
Добавить рабочую или учебную учетную запись в приложение Microsoft Authenticator
Сначала перейдите на экран «Дополнительная проверка безопасности» на другом ПК или устройстве и установите флажок напротив приложения «Аутентификатор».
Затем нажмите кнопку Настроить , как показано на снимке экрана ниже.
На экране вашего ПК сразу же появится экран настройки мобильного приложения с QR-кодом . Вам нужно будет отсканировать этот код с помощью приложения для проверки подлинности.
Теперь откройте приложение Microsoft Authenticator и переключитесь на экран «Учетные записи».
Там выберите Добавить учетную запись > Рабочая или учебная учетная запись.
Теперь включите камеру вашего устройства для сканирования QR-кода, а затем выберите Готово, чтобы закрыть экран QR-кода. Если ваша камера работает неправильно, введите QR-код и URL-адрес вручную.
После этого на экране «Аккаунты» приложения будет смело отображаться ваш аккаунт с шестизначным кодом подтверждения под ним. Код подтверждения меняется каждые 30 секунд, поэтому вам нужно быть очень быстрым.
Обратите внимание, что организация, в которой вы работаете, может потребовать ПИН-код для подтверждения вашей личности. Если вы не хотите, чтобы идентификация по PIN-коду, настройте приложение Microsoft Authenticator на использование отпечатка пальца или распознавания лиц вашего устройства.
Вы можете включить это, когда вам будет предложено подтвердить свою учетную запись в первый раз с помощью приложения для проверки подлинности. Однако ваше устройство должно быть оснащено биометрическими возможностями.
Здесь важно отметить, что приложение Authenticator собирает информацию об учетной записи, которую вы предоставляете при добавлении учетной записи. Если у вас есть какие-либо опасения по этому поводу, вы можете удалить его, просто удалив свой аккаунт.
Приложение может использоваться для других систем, которые поддерживают двухэтапные коды подтверждения, таких как Google и Dropbox.
Читайте также: