Google Аутентификатор

Google Аутентификатор
Разработчик(и)	Google
Первоначальный выпуск	20 сентября 2010 г .; 13 лет назад
Репозиторий	github .с /Google /google-аутентификатор
Написано в	Java (Android, Blackberry) ; Цель-C (iOS) ;
Операционная система	Android , iOS , BlackBerry OS , Wear OS
Платформа	мобильный
Лицензия	Проприетарное бесплатное ПО (некоторые версии действовали под лицензией Apache 2.0)

Google Authenticator — это программный аутентификатор от Google . Он реализует многофакторной аутентификации службы с использованием одноразового пароля на основе времени (TOTP; указано в RFC 6238) и одноразового пароля на основе HMAC (HOTP; указано в RFC 4226) для аутентификации пользователей программных приложений. ^[2]

При входе на сайт, поддерживающий Authenticator (включая службы Google), или с помощью сторонних приложений, поддерживающих Authenticator, таких как менеджеры паролей или службы хостинга файлов из шести-восьми цифр , Authenticator генерирует одноразовый пароль , который пользователи должны ввести в дополнение к свои обычные данные для входа.

Google предоставляет Android , ^[3] Носите ОС , ^[4] Блэкберри и iOS ^[5] версии Аутентификатора.

Официальный форк приложения Android с открытым исходным кодом доступен на GitHub . ^[6] Однако эта вилка была заархивирована 6 апреля 2021 г. и теперь доступна только для чтения. ^[7]

Текущие версии программного обеспечения являются проприетарными и бесплатными. ^[8]

Типичный вариант использования [ править ]

Приложение . сначала устанавливается на смартфон, чтобы использовать Authenticator Его необходимо настроить для каждого сайта, с которым он будет использоваться: сайт предоставляет общий секретный пользователю ключ по защищенному каналу, который будет храниться в приложении Authenticator. Этот секретный ключ будет использоваться для всех будущих входов на сайт.

Чтобы войти на сайт или службу, использующую двухфакторную аутентификацию и поддерживающую Authenticator, пользователь предоставляет имя пользователя и пароль для входа на сайт. Затем сайт вычисляет (но не отображает) требуемый шестизначный одноразовый пароль и просит пользователя ввести его. Пользователь запускает приложение Authenticator, которое самостоятельно вычисляет и отображает тот же пароль, который вводит пользователь, удостоверяя свою личность. ^{[ нужна ссылка ]}

При таком виде двухфакторной аутентификации простого знания имени пользователя и пароля недостаточно для взлома учетной записи пользователя — злоумышленнику также необходимо знание общего секретного ключа или физический доступ к устройству, на котором установлено приложение Authenticator. Альтернативным маршрутом атаки является атака «человек посередине» : если устройство, используемое для входа в систему, взломано вредоносным ПО , учетные данные и одноразовый пароль могут быть перехвачены вредоносным ПО, которое затем может инициировать сеанс входа в систему. на сайт или отслеживать и изменять связь между пользователем и сайтом. ^[9]

Техническое описание [ править ]

Во время установки поставщик услуг генерирует 80-битный секретный ключ для каждого пользователя (тогда как RFC 4226 §4 требует 128 бит и рекомендует 160 бит). ^[10] Он передается в приложение Authenticator в виде 16-, 26- или 32-значной строки Base32 или в виде QR-кода .

Впоследствии, когда пользователь открывает приложение Authenticator, оно вычисляет хеш-значение HMAC — SHA1, используя этот секретный ключ. Сообщение может быть:

Количество 30-секундных периодов с эпохи Unix ( TOTP ) в виде 64-битного целого числа с прямым порядком байтов; или
Счетчик, который увеличивается с каждым новым кодом ( HOTP ).

Часть HMAC извлекается и отображается пользователю в виде шестизначного кода; Последний полубайт (4 бита) результата используется как указатель на 32-битное целое число в массиве байтов результата и маскирует 31-й бит.

Лицензия [ править ]

Приложение Google Authenticator для Android изначально имело открытый исходный код, но позже стало проприетарным. ^[8] Google ранее разместил исходный код своего приложения Authenticator в своем GitHub репозитории ; на соответствующей странице разработки говорилось:

«Этот проект с открытым исходным кодом позволяет вам загрузить код, лежащий в основе версии 2.21 приложения. Последующие версии содержат рабочие процессы, специфичные для Google, которые не являются частью проекта». ^[11]

Последний релиз с открытым исходным кодом вышел в 2020 году. ^[6]

См. также [ править ]

Ссылки [ править ]

^ «Google делает вашу учетную запись значительно более безопасной с помощью двухэтапной аутентификации — TechCrunch» . ТехКранч . 20 сентября 2010 г. Проверено 12 марта 2016 г.
^ «GitHub — google/google-authenticator: версия Google Authenticator с открытым исходным кодом (кроме приложения Android)» . Гитхаб . 18 мая 2022 г. Эти реализации поддерживают алгоритм одноразового пароля на основе HMAC (HOTP), указанный в RFC 4226, и алгоритм одноразового пароля на основе времени (TOTP), указанный в RFC 6238.
^ «Google Authenticator – Приложения в Google Play» .
^ Фингас, Джон (19 июля 2019 г.). «Google Authenticator берет коды безопасности с ваших умных часов» . Engadget . Архивировано из оригинала 20 октября 2020 года . Проверено 6 ноября 2023 г.
^ «Google Аутентификатор» . Магазин приложений .
↑ Перейти обратно: Перейти обратно: ^а ^б «google/google-authenticator-android: ответвление с открытым исходным кодом приложения Google Authenticator для Android» . Гитхаб . 16 мая 2022 г.
^ «google-authenticator/mobile at master · google/google-authenticator» . Гитхаб .
↑ Перейти обратно: Перейти обратно: ^а ^б Уиллис, Натан (22 января 2014 г.). « Многофакторная аутентификация FreeOTP ». LWN.net . Проверено 10 августа 2015 г.
^
Умавинг, Джови (6 января 2022 г.). «Перехват 2FA: обнаружено более 1200 фишинговых инструментов типа «злоумышленник посередине»» . www.malwarebytes.com . Проверено 27 апреля 2023 г.
- Папес, Неко (25 апреля 2023 г.). «Искусство обхода MFA: как злоумышленники регулярно обходят двухфакторную аутентификацию» . menlosecurity.com . Проверено 27 апреля 2023 г.
^ м'Райхи, Д.; Белларе, М.; Хорнарт, Ф.; Наккеш, Д.; Ранен, О. (15 февраля 2005 г.). «RFC 4226 — HOTP: алгоритм одноразового пароля на основе HMAC» . Tools.ietf.org. дои : 10.17487/RFC4226 . Проверено 25 марта 2019 г. {{cite journal}}: Для цитирования журнала требуется |journal= ( помощь )
^ «google-authenticator — Двухэтапная проверка — Хостинг проектов Google» . 18 мая 2022 г.

Внешние ссылки [ править ]

Google Authenticator в Справке Google
Google Authenticator (Android) и Google Authenticator (другое) Устаревший исходный код на GitHub
Исходный код модуля PAM Google Authenticator на GitHub
Реализация Google Authenticator в Python при переполнении стека
Аутентификатор на F-Droid
Реализация Django-MFA с использованием Google Authenticator . Django-MFA — это простой пакет, позволяющий добавить дополнительный уровень безопасности в ваше веб-приложение Django. Это дает вашему веб-приложению случайно меняющийся пароль в качестве дополнительной защиты.
Исходный код версии 1.02 на GitHub

[1] «Google делает вашу учетную запись значительно более безопасной с помощью двухэтапной аутентификации — TechCrunch» . ТехКранч . 20 сентября 2010 г. Проверено 12 марта 2016 г.

[2] «GitHub — google/google-authenticator: версия Google Authenticator с открытым исходным кодом (кроме приложения Android)» . Гитхаб . 18 мая 2022 г. Эти реализации поддерживают алгоритм одноразового пароля на основе HMAC (HOTP), указанный в RFC 4226, и алгоритм одноразового пароля на основе времени (TOTP), указанный в RFC 6238.

[3] «Google Authenticator – Приложения в Google Play» .

[4] Фингас, Джон (19 июля 2019 г.). «Google Authenticator берет коды безопасности с ваших умных часов» . Engadget . Архивировано из оригинала 20 октября 2020 года . Проверено 6 ноября 2023 г.

[5] «Google Аутентификатор» . Магазин приложений .

[github-android-6] Перейти обратно: Перейти обратно: ^а ^б «google/google-authenticator-android: ответвление с открытым исходным кодом приложения Google Authenticator для Android» . Гитхаб . 16 мая 2022 г.

[7] «google-authenticator/mobile at master · google/google-authenticator» . Гитхаб .

[lwn-otp-8] Перейти обратно: Перейти обратно: ^а ^б Уиллис, Натан (22 января 2014 г.). « Многофакторная аутентификация FreeOTP ». LWN.net . Проверено 10 августа 2015 г.

[9] Умавинг, Джови (6 января 2022 г.). «Перехват 2FA: обнаружено более 1200 фишинговых инструментов типа «злоумышленник посередине»» . www.malwarebytes.com . Проверено 27 апреля 2023 г.
Папес, Неко (25 апреля 2023 г.). «Искусство обхода MFA: как злоумышленники регулярно обходят двухфакторную аутентификацию» . menlosecurity.com . Проверено 27 апреля 2023 г.

[10] Папес, Неко (25 апреля 2023 г.). «Искусство обхода MFA: как злоумышленники регулярно обходят двухфакторную аутентификацию» . menlosecurity.com . Проверено 27 апреля 2023 г.

[10] м'Райхи, Д.; Белларе, М.; Хорнарт, Ф.; Наккеш, Д.; Ранен, О. (15 февраля 2005 г.). «RFC 4226 — HOTP: алгоритм одноразового пароля на основе HMAC» . Tools.ietf.org. дои : 10.17487/RFC4226 . Проверено 25 марта 2019 г. {{cite journal}}: Для цитирования журнала требуется |journal= ( помощь )

[code.google.com-11] «google-authenticator — Двухэтапная проверка — Хостинг проектов Google» . 18 мая 2022 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]