Вверх ↑
Защита аккаунта2016-01-30 13:00:17gen
В цифровую эпоху проблема кражи аккаунта становится всё более актуальной как для тех, кто начинает своё знакомство со всемирной паутиной, так и для тех, кто знаком с ней несколько дольше. Методы подбора пароля совершенствуются, словари брутфорсеров пополняются, и казавшийся вчера надежным и безопасным пароль "Mi23_@poRq^34", сегодня подбирается за несколько часов на не самом современном компьютере.

Как же обеспечить защиту аккаунта от кражи.

Настройки безопасности
Для обеспечения максимальной защиты аккаунта необходимо использовать всего две настройки:
1. привязка к железу
2. двухфакторная авторизация

В случае, если ваши пароли для игры и форума были скомпрометированы(похищены), эти настройки не дадут злоумышленникам попасть в игру или на форум.

Привязка к IP является дополнительным способом защиты, но практически теряет свою актуальность при наличии двухфакторной авторизации.

Двухфакторная авторизация
Если с привязкой к железу и IP всё должно быть понятно, то о двухфакторной авторизации поговорим чуть подробнее.

Двухфакторная авторизация - это метод защиты аккаунта с дополнительным подтверждением владельца. Другими словами, для авторизации необходимо ввести не только свои логин и пароль, но и дополнительный цифровой код (одноразовый пароль).

И так, первым делом устанавливаем приложение на мобильный телефон. Мы выбрали Google Authenticator, который доступен для большинства современных платформ - Android, iOS, JavaME, BlackBerry OS. При желании можно найти аналогичные приложения и для Windows Phone. Затем переходим в раздел безопасности в профиле, вкладка "Двухфакторная авторизация". На этой странице можно ознакомиться с основными рекомендациями по использованию двухфаккторной авторизации и включить её, что мы и делаем.
Включение двухфакторной авторизации

На следующем шаге система генерирует слуйчайный секретный ключ. Этот ключ уникален для вашего аккаунта, никогда и никому его не показывайте и не передавайте. Именно его и необходимо занести в установленное приложение. Сделать это можно двумя способами: либо отсканировав QR код, либо руками добавив в настройках.
Сгенерированный секретный ключ и его QR представление

С первым вариантом должно быть всё ясно, нажимаем "настроить аккаунт", далее "сканировать штрихкод", всё, ключ готов к использованию. При ручном добавлении необходимо ввести ключ самостоятельно с соблюдением регистра букв, а в поле 2d (см. скрин ниже) выбрать "по времени" ("time based" на скрине)
Ручная настройка аккаунта

Т.к. генерация одноразового пароля основана в том числе и на текущем времени, необходимо, чтобы разница во времени на вашем устройстве и наших серверах была не более 10-15 секунд без учета часового пояса, в противном случае двухфакторной авторизацией пользоваться будет затруднительно, если вообще возможно. Для соблюдения этого нужно убедиться в точности времени на устройстве, либо, что лучше, выставить автоматическую синхронизацию времени. Помните: одноразовые пароли действительны только 30 секунд и срабатывают только один раз (оправдывая свое название).

Чтобы убедиться, что вы сделали всё верно, последним шагом надо ввести однаразовый пароль для подтверждения включения двухфакторной авторизации. Если всё прошло успешно, то на этом настройка заканчивается. Если одноразовый пароль не подходит, убедитесь, что время на устройстве достаточно точное, вы успеваете ввести одноразовый пароль до истечения его времени действия (оставшееся время показывает соответствующий индикатор справа), если вы вводили ключ вручную, проверьте правильность ввода.
Добавленный аккаунт со временем действия текущего пароля

О мерах безопасности и надежности
Центральным звеном, как понятно из статьи, является секретный ключ. В целях безопасности он отображается только один раз во время включения двухфакторной авторизации. После этого в профиле, как и в программе для генерации одноразовых паролей, посмотреть его больше нельзя.
Поэтому относительно секретного ключа есть два варианта:
1. Рекомендуемый для всех - нигде его не сохранять ни в каком виде. Если он нигде больше не сохранен, его не могут получить третьи лица, ваш аккаунт в полной безопасности. В случае утери настроек для приложения (не важно по каким причинам), отключать двухфакторную авторизации на странице авторизации и снова включать через настройки.
2. Для тех, кто пользуется программами типа KeePass и аналогичными (все данные в которых шифруются по вашему паролю). Ключ можно сохранять в них и восстанавливать при необходимости в приложениях. Т.е. этот вариант для тех, кто точно уверен, что может обеспечить отсутствие свободного доступа к ключу. Оптимальным вариантом является использование таких программ на мобильных телефонах с бэкапами в каком-либо облаке.

Перехватывать же одноразовые пароли бессмысленно, как уже говорилось выше, они срабатывают один раз и то в течение определённого времени. Но это не значит, что можно сообщать их кому-либо ещё: если вы сами не воспользовались текущим паролем и отправили его третьему лицу, есть вероятность, что он успеет ввести этот пароль до истечения времени действия.

В виду всех этих обстоятельств, получить доступ можно только имея физически в руках ваш телефон, что практически невозможно ("практически" оставим лучшим друзьям, которые "что-то делали, когда я выходил в соседнюю комнату на пять минут").

Но все эти рекомендации не означают, что нужно пренебрегать защитой паролей.
Помните: чем меньше злоумышленник знает о вашем аккаунте, тем сложнее ему получить к нему доступ. Двухфакторная авторизация только усложняет доступ к аккаунту, но не является 100% гарантией защиты. Всегда остается небольшой шанс хищения секретного ключ, особенно, если вы его где-либо сохранили. Да и методы социальной инженерии никто не отменял.

Поэтому никогда и никому не давайте свой пароль, не отключайте двухфакторную авторизацию по чьей-либо просьбе, не передавайте секретный ключ и не сообщайте одноразовые пароли. Для друзей и знакомых существует временный доступ.
Комментарии (59)
Gamer_PK, комментарий удален модератором
zeko_20252015-06-02 15:34:30
not bad, а не подскажите программу для windows phone?
gen2015-06-08 19:46:54
Поищите Google Authenticator в маркете для Windows Phone
LoneRay2016-01-31 07:15:10
Это приложение ?
wp_ss
gen2016-01-31 11:35:02
Подойдет любое с реализацией алгоритма TOTP. Обращайте только внимание на разработчика.
LoneRay2016-01-31 11:39:15
Хорошо, спасибо за помощь.
SkyVoker12016-01-30 23:48:07
найс
Gallant2016-01-30 23:49:20
Введите на телефон саму игру, побаше будет
Lockdown2016-01-30 23:49:23
Вопрос не по теме, ожидать ли дракона в этом году?
Embr0n2016-01-30 23:53:32
Ого, так мало комментариев за столько времени.
gen2016-01-31 11:07:23
Статья не светилась в новых потому что.
01sasha012016-01-30 23:54:13
Обнова класс.
Ne002016-01-30 23:56:09
И че за обнова?
Thomas2016-01-30 23:57:01
Прочитать не судьба?
Thomas2016-01-30 23:56:45
Никто ещё не видел.
Notron2016-01-31 00:02:40
Видимо тортик и липрикон оставили слишком большой шум)
Lingraonc2016-01-31 00:14:08
Я бы так не сказал. Они не взламывали аккаунты, они их выставляли на аукцион и покупали, после уже легально на них заходили. И если уж фиксить их способ добычи аккаунта, то только запретом на выставление аккаунта на аукцион твинком, который добавлен менее чем 14 дней назад.
А по теме, весьма занимательная литература.
admin2016-01-31 03:33:44
Слишком большой шум оставляют те, у кого даже после второй кражи аккаунта не доходят руки до настроек безопасности, но при этом виноватой оказывается поддержка, которая не может вернуть потерянные ресурсы, зоны, gold и т.д.
K.R.A.K.E.N.2016-01-31 10:48:20
Боюсь у таких людей не хватит мозгов настроить эту защиту.
DGreen2k2016-01-31 00:17:55
Как то не очень
TR0L122016-01-31 00:23:15
норм
-MarodeR-2016-01-31 00:33:54
А я думлал что то нормальное...А тут всего лишь защита.
sukamen2016-01-31 00:34:02
Спасибо за инфу брат.
snot152016-01-31 02:49:25
Нормально,да что то комментов вообще нету
Kaon2016-01-31 02:58:49
Супер, лишняя информация не помешает никому.
shuzzz12016-01-31 03:03:36
nice
ghost90602016-01-31 05:46:17
Тем у кого windows phone поищете программу authenticator от wicrosoft
Kadafich2016-01-31 06:57:22
Полезности подъехали, спасибо
LoneRay2016-01-31 07:16:39
Хорошо, что я программу написал которая хранит пароль. )))
Bro_DyaGa2016-01-31 07:45:47
Админ, как скоро ожидать игровое обновление? И почему перестали делать рассылки на почту?
ferzrrn22016-01-31 08:18:31
Двух-этапная авторизация это конечно здорово, но отправка смс для изменения любых разделов работает через одно место.
LoneRay2016-01-31 10:08:08
Мне очень интересно, а почему комментарии первые 2015-06-02 ?
gen2016-01-31 11:03:58
Потому что статья была опубликована в 2014 году.
Nyan.Cat2016-01-31 10:48:41
На самом деле, гугл аунтификатор не так защищает игровые аккаунты, как вы думаете. С ним очень много проблем, сталкивался не раз. Мое мнение - оно не защищает. Как взламывали аккаунты, так и будут.
gen2016-01-31 11:06:18
Гугл аунтификатор вообще не занимается защитой чего-либо, вы не внимательно читали видимо.
vania_2012016-01-31 11:38:01
Эх,я думал будет что-нибудь интересное.
vania_2012016-01-31 11:15:10
На сегодня самая актуальная защита это потверждение через телефон/почту для входа куда-либо,но не факт что это письмо не перехватят.Просто ставить пароль надо например Gh_23Jd]sw|dwwn0)9kd./DR и не кто вас не взломает.
gen2016-01-31 11:37:35
На сегодня самая актуальная защита - это никому и никогда не сообщать паролей от своих аккаунтов.
vania_2012016-01-31 11:40:09
Самая актуальная защита,выключить Интеренет и всё .
+ не кто за вами не следит
+ нет возможности подхватить вирус
+ свободное время, ну и т.д.
gen2016-01-31 11:44:02
Не надо утрировать.
90-95% так называемых взломов аккаунтов - это добровольная передача владельцами своих паролей злоумышленникам.
vania_2012016-01-31 11:52:03
Как видишь виноваты сами владельцы аккаунтов,вот и весь ответ.
LoneRay2016-01-31 11:41:38
И хранить всё в голове.
Lacky20132016-01-31 13:06:49
Очень хорошая защит спасибо, вам )
Jack_Russell2016-01-31 13:07:14
В Steam все также
Colorful2016-01-31 13:11:40
Надеюсь это обновление поможет в борьбе с хакерами.
pTawka2016-01-31 13:48:01
Для новеньких, это конечно познавательно, но хотелось бы увидеть и игровую обнову.
D1zg2016-01-31 15:29:11
Опробовал на деле при заходе с другого ip. Оказалось удобнее чем "Отправка смс". Если данная функция есть во всех моментах безопасности, то это замечательно!
ThunDeRbrinGeR2016-01-31 18:34:15
gen писал(а):
Чтобы убедиться, что вы сделали всё верно, последним шагом надо ввести однАразовый

Исправь.
LoneRay2016-02-01 05:06:46
Если что, то он написал правильно.
hip-hop2132016-01-31 18:37:46
Всё бы ничего, но у каждой системы есть своя брешь!
OCTOPUS2016-02-01 00:23:52
А почему бы не сделать смс подтверждение как у сбербанка онлайн к примеру, ну или у киви? Или это дорого?
K.R.A.K.E.N.2016-02-01 03:41:29
А если смс не придет, как это часто бывает?
OCTOPUS2016-02-01 09:00:39
Я не думаю что банки пользовались бы этой системой, если было бы всё так плохо. В любом случае электронная почта для восстановления пароля есть. Интернет на телефоне не у всех точно есть, а я так понял для этой системы нужен телефон с доступом в интернет.
K.R.A.K.E.N.2016-02-01 11:00:59
Да причем тут банки, когда у нас на проекте постоянные жалобы и темы, что смс не приходит.
Lockdown2016-02-01 15:05:17
А ещё если заблокирована сим-карта и при этом не приходят смс.
gen2016-02-01 22:07:55
Это и есть альтернатива смс.
Feras2016-02-01 12:46:52
это уже давно было введино
зачем это кидать в раздел "новости" если это не новость
pTawka2016-02-01 13:22:37
К нам на проект, пришло большое количество новеньких игроков, и большинство из них ничего не знают о защите своего акк.
Feras2016-02-01 22:52:50
но это не новое