пользовательский ключ на телефоне что это такое
Защитный ключ Fido на телефоне андроид: что это такое
06.06.2020 9,444 Просмотры
Мы живем в такое время, когда необходимо всегда заботиться о персональной безопасности. Но, а так как мы живем во время цифровых технологий, то прежде всего нужно позаботиться о безопасности наших данных в сети, на нашем смартфоне, онлайн-банкинге, электронной почте и так далее. И в сегодняшней статье речь пойдёт о защитном ключе Fido, а также двухфакторной аутентификации, как более безопасный способ защиты ваших данных.
Что же такое FIDO, двухфакторная аутентификация, как это работает на устройствах
Учитывая тот факт, насколько технологии прошли вперёд, что теперь практически у каждого есть возможность носить у себя в кармане смартфон, который сопоставим с мощными компьютерами и носителями важной информации. Сейчас можно любой смартфон сделать своим ключом для двухфакторной аутентификации. И если вы хотите максимально защититься, тогда используете её абсолютно для всех своих личных аккаунтов в сети.
Самыми популярными, а также самыми уязвимыми мишенями становятся сервисы Google, которые неоднократно подвергаются хакерским атакам. Но, чтобы защитить своих клиентов, разработчики сделали специальные способы защиты в виде ключей в несколько шагов. И если пользователь захочет войти в свои аккаунты, тогда он обязательно должны пройти все эти шаги.
Для кого доступны эти возможности
Как правило, все эти мери безопасности были придуманы для более уязвимых людей, а именно для:
Но, сейчас все эти функции доступны для каждого, поэтому никогда не будет лишним сделать свой аккаунт неприступной крепостью.
Как настроить
Если вы решились проделать все эти действия, тогда вам следует перейти в настройки своего телефона, к безопасности, аккаунт Google, а потом к двухфакторной аутентификации. Затем просто добавьте электронный ключ и дело в шляпе.
Как использовать смартфон Android в качестве электронного ключа безопасности для аккаунта Google
Двухфакторная аутентификация (или двухшаговая аутентификация) – это функция безопасности, которую нужно использовать в аккаунтах всех сервисов, которые мы хотим защитить.
Аккаунты Google являются очень привлекательной мишенью для хакеров, которые хотят завладеть пользовательскими данными. Технологический гигант разработал несколько методов для защиты ваших данных, включая несколько способов для предотвращения попыток взлома аккаунта.
Как известно, лучшим и менее подверженным компрометации способом для защиты аккаунта является использование физического ключа безопасности.
Однако, приобретение и постоянное использование физического ключа создает дополнительные неудобства для пользователей. Поэтому Google применила альтернативный подход и теперь позволяет превратить свои смартфоны в электронные ключи безопасности.
Смартфон Android в роли электронного ключа безопасности
Другими словами, смартфон Android или iPhone выступает в роли ключа безопасности и позволяет пользователям разрешать или отклонять попытки авторизации в свои аккаунты.
Google рекомендует использовать данную опцию в рамках программы «Дополнительная защита», которая будет полезна «журналистам, правозащитникам, бизнесменам, политикам и тем пользователям, которые чаще других подвергаются целенаправленным атакам».
Тем не менее, данную возможность может использовать любой владелец персонального аккаунта Google или рабочего аккаунта Google Cloud.
Чтобы использовать смартфон Android в качестве электронного ключа безопасности, мобильное устройство и ПК должны отвечать следующим требованиям:
Конечно, существуют и другие способы для защиты аккаунтов Google, например двухфакторная аутентификация с помощью кодов проверки, которые отправляются на мобильный телефон. Однако, в случае компрометации мобильного устройства хакеры могут перехватить проверочный код.
Ключи безопасности используют шифрование с открытым ключом для проверки вашей личности и URL-адрес страницы входа, чтобы злоумышленник не получил доступ к вашему аккаунту, даже если ему известны логин и пароль. В отличие от методов двухфакторной аутентификации (2FA), которые пытаются выполнить дополнительную проверку авторизации, ключи безопасности соответствуют стандартам FIDO для обеспечения надежной защиты против автоматизированных ботов, массовых фишинг-атак и целенаправленных мошеннических атак.
Как настроить электронный ключ безопасности для Android смартфона
Смартфоны Android уже имеет встроенный ключ безопасности, поэтому нужно только настроить использование аккаунта Google со смартфоном для двухфакторной аутентификации.
Во-первых убедитесь, что ваш смартфон добавлен в аккаунт Google, который вы хотите защитить, и в нем включена двухэтапная аутентификация.
Затем на ПК или мобильном устройстве нужно войти в аккаунт Google. Выберите опцию «Добавить электронный ключ» на странице управления аккаунтом по следующему пути:
Затем вам нужно выбрать устройство, которые вы хотите использовать в качестве ключа безопасности. Вот почему смартфон должен быть привязан к аккаунту Google, в противном случае вы просто не увидите его в списке телефонов, которые можно настроить как электронный ключ.
После завершения настройки, вы получите следующее сообщение:
Готово! Электронный ключ добавлен
Электронные ключи устройства [имя устройства] добавлены в аккаунт.
Теперь для входа в аккаунт с помощью двухэтапной аутентификации вам понадобится пароль и устройство [имя устройства].
Убедитесь, что включены Bluetooth и определение местоположения
В следующий раз при попытке входа в аккаунт Google, вы должны будете подтвердить это действие на своем мобильном телефоне.
После подтверждения входа, вы получите доступ к своему аккаунту.
Руководствуясь данной инструкцией, всегда можете изменить данные параметры, удалять устройства и добавлять новые устройства в качестве электронных ключей. Не забывайте, что ваш компьютер должен иметь Bluetooth-модуль, иначе данные о попытке авторизации не будут отправлены на ваш смартфон. Кроме того, вы должны включить службы геолокации на своем смартфоне.
Как включить встроенный электронный ключ в Android
Для многих такие понятия, как конфиденциальность и приватность, являются слишком возвышенными даже эфемерными. Ведь если мне правда нечего скрывать, то какой вообще смысл заморачиваться с обеспечением защиты своих данных? Так, во всяком случае, рассуждают очень и очень многие, почему-то не задумываясь о том, что они могут представлять интерес не только для правоохранительных органов, но и для самых обычных хакеров и мошенников, которые получают доступ к почте пользователей, а потом захватывают контроль над банковскими счетами и много чем ещё.
Встроенный электронный ключ защитит вашу учётную запись Google
Как защитить аккаунт Google
Существует много способов защитить свою учётную запись от взлома. Зачастую эффективным оказывается даже создание надёжного пароля. Главное, чтобы он, во-первых, состоял из большого количества символов и включал в себя не только буквы, но и цифры, знаки препинания и другие элементы, а, во-вторых, не использовалсяся больше нигде. Ведь если вы засветите защитную комбинацию от одного аккаунта, которая используется на нескольких, взлом остальных будет лишь вопросом времени. Впрочем, существует ещё двухфакторная аутентификация, которая способна нивелировать риски даже простецких паролей. Она предполагает обязательное подтверждение входа вводом одноразового кода авторизации, который отправляется на телефонный номер пользователя и долгое время считался эталоном защиты. Однако Google пошла дальше и придумала метод так называемой «Дополнительной защиты».
Читайте также: Google вернёт в Android 11 функцию, удалённую из Android 10
Дополнительная защита очень напоминает двухфакторную аутентификацию, поскольку тоже задействует телефон пользователя. Однако она использует не код из приложения или SMS-сообщения, а встроенный электронный ключ, который доступен на Android 7 и iOS 10 и новее. Он работает по Bluetooth (реже по NFC), что исключает возможность перехвата кода, а также предполагает обязательное нахождение обоих устройств (смартфона и компьютера или планшета, с которого производится вход в учётную запись) в непосредственной близи друг от друга. В противном случае установить соединение между устройствами не удастся и вход не произойдёт.
Как включить дополнительную защиту аккаунта Google
Встроенный электронный ключ работает по Bluetooth
Электронный ключ безопасности — не то же самое, что двухфакторная утентификация
После включения Дополнительной защиты каждый вход в аккаунт будет требовать подтверждения со смартфона. Несмотря на то что в условиях использования функции сказано, что верификацию осуществляется по Bluetooth, очень важно, чтобы службы геолокации в этот момент тоже были включены. Это является требованием безопасности, поскольку необходимо, чтобы смартфон находился в непосредственной близи к компьютеру. А если в работе Bluetooth произойдёт сбой, что вполне вероятно, соединения может не произойти, а значит, и авторизация тоже подтвердить не удастся. В целом ничего страшного, но без весомых недостатков тоже не обошлось.
Недостатки дополнительной защиты
Поскольку электронный ключ является встроенным в смартфон, то его утеря будет означать фактически утерю аккаунта, ведь пройти авторизацию без него у вас уже не получится. Конечно, можно заранее озаботиться добавлением запасного физического Bluetooth-ключа вроде тех, что выпускает Google, но обычно этим пользуются только супер-продвинутые или корпоративные пользователи. Однако давайте будем откровенны: потерять смартфон сегодня довольно сложно, учитывая, что все мы тщательно следим за его сохранностью, учитывая колоссальный массив данных, который он хранит, а значит, и переживать, скорее всего, не о чем.
Новости, статьи и анонсы публикаций
Свободное общение и обсуждение материалов
Мероприятие Google I/O, наверное, является главным событием в мире Android. Конференция проводится ежегодно и каждый раз приносит с собой новую версию операционной системы, а иногда и многие другие вещи. В прошлом году она перешла в онлайн формат и в этом году из-за того, что ситуация с пандемией не стала проще, сохранила его. Несмотря на это нам показали много всего интересного. Что-то мы ждали, о чем-то догадывались, а некоторые вещи и вовсе стали сюрпризом. Но самое главное, нам показали сильно измененный Android. А что еще мы увидели в первый день конференции? А вот давайте сейчас и разберемся.
А как войти с компьютера, в котором нет Bluetooth?
И кто сказал, что потерять смартфон довольно сложно? Его могут элементарно вытащить в метро или другом транспорте.
Так что очень неудобная защита.
Защитный ключ Fido на телефоне андроид: что это
Мы живем в эпоху, когда необходимо постоянно заботиться о личной безопасности. Но, а также потому, что мы живем в век цифровых технологий, в первую очередь, мы должны позаботиться о безопасности наших онлайн-данных, на нашем смартфоне, онлайн-банкинге, электронной почте и так далее. А в сегодняшней статье мы поговорим о ключе безопасности Fido, а также о двухфакторной аутентификации как более безопасном способе защиты ваших данных.
Что же такое FIDO, двухфакторная аутентификация, как это работает на устройствах
Учитывая, насколько далеко продвинулась технология, что почти каждый теперь имеет возможность носить смартфон в кармане, что сравнимо с мощными компьютерами и важными носителями данных. Теперь вы можете сделать любой смартфон своим ключом к двухфакторной аутентификации. А если вы хотите максимально обезопасить себя, то используйте его для всех своих личных онлайн аккаунтов.
Наиболее популярными и уязвимыми целями являются службы Google, которые неоднократно подвергались хакерским атакам. Но для защиты своих клиентов разработчики сделали специальные способы защиты в виде ключей за несколько шагов. И если пользователь хочет получить доступ к своим учетным записям, то ему определенно нужно пройти все эти этапы.
Конечно, вы можете использовать физический ключ, но на самом деле это приносит дополнительные неудобства. Поэтому лучшее решение — это сделать свой смартфон ключом. То есть ваш iPhone или Android будет своего рода верификатором всех попыток доступа к вашим устройствам. И вы сами подтвердите эти попытки или отвергнете их. Самым популярным ключом безопасности является FIDO. Это новый стандарт U2F Open аутентификации, разработанный специально для Android-устройств.
Для кого доступны эти возможности
Как правило, все эти меры безопасности были придуманы для наиболее уязвимых людей, а именно:
Но, все эти функции теперь доступны для всех, так что это никогда не повредит сделать ваш счет неприступной крепости.
Конечно, для того, чтобы установить все эти меры безопасности на свой смартфон — необходимо, чтобы на вашем устройстве была установлена современная операционная система, как для Android, так и для iPhone.
Как настроить
Если вы достаточно смелы, чтобы выполнить все эти шаги, то вам следует зайти в настройки телефона под защитой, в аккаунт Google, а затем в двухфакторную аутентификацию. Тогда просто добавь ключ-карту и ты можешь идти.
Ключи, учетные данные и хранилище на Android
Russian (Pусский) translation by Ellen Nelson (you can also view the original English article)
В предыдущем материале о безопасности пользовательских данных Android мы рассмотрели шифрование данных с помощью предоставленного пользователем кода. В этом уроке перейдём к хранению учётных данных и ключей. Я начну с ознакомления с учётными данными и закончу примером защиты данных с помощью хранилища ключей KeyStore.
Часто, при работе со сторонней службой, требуется какая-то форма авторизации. Она может быть настолько простой, как /login на стороне пользователя, которая принимает имя пользователя и пароль.
Сначала может показаться, что простое решение — это собрать UI, который будет предлагать пользователю войти в систему, а затем записать и сохранить их данные для входа. Однако, это не лучший метод, так как нашему приложению не нужно знать данные для входа в сторонний аккаунт. Вместо этого, мы можем использовать Диспетчер учётных записей (Account Manager), который уполномочен отрабатывать эту конфиденциальную информацию для нас.
Диспетчер учётных записей
Диспетчер учётных записей (Account Manager) — это централизованный помощник для работы с учётными данными пользователя, поэтому вашему приложению, иметь дело с паролями напрямую не нужно. Часто он предоставляет токен вместо реального имени пользователя и пароля, который можно использовать для выполнения аутентифицированных запросов к службе. Например, при запросе токена OAuth2.
Иногда, вся необходимая информация уже хранится на устройстве, а иногда Account Manager придётся обращаться к серверу за новым токеном. Вы, наверное, видели раздел Учётные записи в Настройках вашего устройства для разных приложений. И вот как, мы можем получить список доступных учётных записей:
Так как, у каждой службы будет свой способ проверки подлинности и хранения личных учётных данных, Диспетчер учётных записей предоставляет модули проверки подлинности для реализации сторонней службой. Хотя Android может выполнять вход на многие популярные сервисы, для вашего приложения, вы можете написать свой собственный обработчик авторизации учётной записи и хранилища учётных данных. Это позволит убедиться, что учётные данные зашифрованы. Имейте также в виду, что учётные данные в Диспетчере учётных записей, которые используются другими службами, могут храниться в виде открытого текста, что делает их видимыми для любого, кто имеет рут-права на своё устройство.
Временами вам нужно будет иметь дело с ключами или сертификатами для отдельного лица или сущности, вместо просто данных для входа. Например, когда стороннее приложение отправляет вам файл сертификата, который вам нужно сохранить. Самый распространённый сценарий — это когда приложению нужно авторизироваться на сервере частной организации.
В следующем уроке, мы рассмотрим использование сертификатов для аутентификации и безопасной связи, ну а пока, я всё же хочу рассмотреть, как хранить эти элементы. Изначально Keychain API был создан для очень конкретного использования — установка закрытого ключа или пары сертификатов из файла PKCS#12.
Keychain — связка ключей
Представленный в Android 4.0 (API Level 14), Keychain API управлял ключами. В частности, это работает с объектами PrivateKey и X509Certificate и обеспечивает более безопасный контейнер, чем использование хранилища данных вашего приложения. Связано это с тем, что разрешения закрытых ключей открывают доступ к ключам только вашему приложению и только после авторизации пользователя. Это означает, что, прежде чем, вы сможете использовать хранилище учётных данных, на устройстве должен быть настроен экран блокировки. Кроме того, объекты в связке ключей можно объединить с защитой от оборудования, если доступно.
Код установки сертификата выглядит следующим образом:
Пользователю будет предложено ввести пароль для доступа к закрытому ключу и указать имя сертификата. Для получения ключа, в следующем коде представлен пользовательский интерфейс, который позволяет пользователю выбирать ключ из списка установленных ключей.
Вооружившись этими знаниями, теперь давайте посмотрим, как мы можем использовать хранилище учётных данных для сохранения конфиденциальных данных.
KeyStore
В предыдущем уроке, мы рассмотрели защиту данных с помощью предоставляемого пользователем пароля. Такой вариант хорош, но требования к приложениям часто уводят от того, чтобы пользователи каждый раз входили в систему и запоминали дополнительный пароль.
Вот где можно использовать KeyStore API. Начиная с API 1, KeyStore используется системой для хранения учётных данных WiFi и VPN. Начиная с 4.3 (API 18), вы можете работать с асимметричными ключами конкретного приложения, а в Android M (API 23) можно хранить симметричный ключ AES. Таким образом, хотя API не позволяет хранить конфиденциальные строки напрямую, эти ключи можно сохранить, а затем использовать для шифрования строк.
Преимущество хранения ключа в хранилище ключей заключается в том, что он позволяет работать с ключами без раскрытия секретного содержимого этого ключа; данным ключа не место в приложении. Помните, что ключи защищаются разрешениями, так что только ваше приложение может получить к ним доступ, и они могут быть дополнительно защищены аппаратным обеспечением, если устройство поддерживает это. Создаётся контейнер, который усложняет извлечение ключей с устройства.
Генерирование нового случайного ключа
Поскольку хранение незащищённого ключа вместе с зашифрованными данными, это как прятать ключ от дома под половик, эти параметры пытаются защитить ключ в состоянии покоя в случае взлома устройства. Примером может служить автономный дамп данных устройства. Если пароль устройства не известен, эти данные, по сути, бесполезны.
Шифрование данных
Расшифровка в массив байтов
Смотрим на примере
Теперь мы можем посмотреть на пример!
Использование асимметричных ключей RSA для старых устройств
Это хорошее решение для хранения данных в версии M и выше, но что, если ваше приложение поддерживает более ранние версии? Хотя симметричные ключи AES не поддерживаются в M, поддерживаются асимметричные ключи RSA. Это означает, что для достижения того же результата, мы можем использовать RSA ключи и шифрование.
Чтобы получить ключ, сделайте вот так:
Довольно много кода! Для простоты примеров, я пропустил обработку исключений. Но помните, что для итогового кода не рекомендуется просто перехватывать все случаи Throwable в одном операторе catch.
Заключение
На этом урок по работе с учётными данными и ключами завершён. Большая часть неразберихи вокруг ключей и хранилища связана с эволюцией ОС Android, но вы можете выбрать, какое решение использовать, учитывая уровень API, поддерживаемый вашим приложением.
Теперь, когда мы рассмотрели лучшие примеры защиты данных в состоянии покоя, следующий урок будет сосредоточен на защите данных при передаче.