Что делать, если Google authenticator всегда выдает неправильные коды
Доброго времени суток.
Я хотел бы рассказать вам о проблемах 2FA аутентификации на устройствах Android 4.4.2 KitKat и о решении, которое в нашем случае прекратило долгие поиски.
Некоторое время назад мы с коллегами решили добавить Двухэтапную аутентификацию (Two factor authentication или для краткости 2FA) для нашего маленького офисного сервера на базе Ubuntu Server.
2FA это дополнительный уровень безопасности и приятное дополнение к уже существующему механизму аутентификации. Кроме обычной пары логин + пароль от пользователя, выполняющего авторизацию, требуется цифровой ключ, который динамически изменяется каждые 30 секунд и генерируется устройством, находящимся во владении пользователя. Для генерации ключа мы использовали Приложение Google authenticator и мобильный телефон на платформе Android. После разовой настройки приложение генерирует коды, имеющие срок жизни в 30 секунд, точно такие же коды генерирует сервер. При аутентификации коды сравниваются.
Так как данные не передаются от сервера и хранятся только на устройстве — этот механизм является более безопасным, чем отправка кодов подтверждения (например, как 3D-secure SMS подтверждение в банковских системах).
Пошаговых инструкций о настройках сервера в сети оказалось неожиданно много. В них все очень просто и доходчиво. Я руководствовался этой статьей.
После настроек сервера установили на телефон Lenovo p780 приложение Google Authenticator, «прочитали» телефоном с монитора QR-code и получили заветные циферки для авторизации. Перед тем как перезагрузить SSH не забывайте сохранить резервные ключи для восстановления доступа.
И вот, все готово к использованию! Перезагружаем SSH, заходим на сервер, указываем пароль, после пароля нас просят предъявить Verification code, переписываем его с телефона и… снова просят указать пароль. Выглядит это так:
ssh user@server.ru
Password:
Verification code:
Password:
Verification code:
Password:
Verification code:
user@server.ru’s password:
Permission denied, please try again.
user@server.ru’s password:
Received disconnect from xx.xxx.xx.xx: 2: Too many authentication failures for user
Вначале думали, что ошибка допущена в настройках, но испробовав несколько мобильных устройств стало очевидно, что коды генерируемые на Android 4.4.2 KitKat приложением Google Authenticator всегда ошибочны.
«Решения», которые удалось найти и их результаты:
Финальное решение проблемы: FreeOTP
«You can used FreeOTP Authenticator(by Red Hat) instead of Google Authenticator until someone fix it.»
Долгое время мне казалось, что рекомендуется использовать другой механизм-аутентификатор, который нужно ставить на сервер вместо Google, поэтому я усердно искал другие решения. Хотелось заставить работать именно Google authenticator, но на самом же деле рекомендуют использовать другое приложение для Android, а серверная часть остается без изменений.
Приложение FreeOTP Authenticator от компании Red Hat. После настройки по тому же QR-коду все начало работать без необходимости что то корректировать.
К сожалению я не могу указать вам причину возникновения ошибки в приложении Google authenticator, но надеюсь, что мой печальный опыт поможет сэкономить чье-то время.
Буду рад вашим комментариям! Спасибо за внимание.
Обход 2FA на Binance и потеря 200000$
Когда речь заходит про безопасность обычный пользователь интуитивно доверяет самым популярным сервисам настолько, что мыслей о своей безопасности не возникает: даже если речь идёт про деньги и многие годы потраченного времени на их зарабатывание. Речь идёт о недавнем взломе известного в русском сегменте среди крипто-трейдеров блогере на самой популярной крипто бирже Binance. Первые реакция и мысли от жертвы можете увидеть здесь.
С применением социальной инженерии блогер был заражён вирусом REDLINE распакованный код которого можно скачать отсюда, а оригинальный файл которым осуществлялось заражение здесь. Подключение вирус вёл по данным IP: 80.85.139.166:40955 и 188.119.113.239:39889. Оба IP принадлежат хостинг-провайдеру и находятся в ДЦ Нидерланд.
16 августа ночью была осуществлена кража сессии авторизации на Binance из браузера с ноутбука жертвы и исходя из логов IP на бирже (отсутствуют сторонние IP) вероятней всего с помощью backconnect-proxy установленном на компьютер жертвы через loader первичного вируса успешный и незаметный вход на саму биржу.
Для многих кража логинов и паролей и даже активных сессий из браузера не кажется чем-то существенным благодаря присутствию на бирже 2FA-подтверждений через ввод SMS/E-Mail кодов. Ведь действительно: каждый раз для вывода средств или перевода их кому либо Вам потребуется данное подтверждение. Но, с недавних пор на бирже появился NFT-market где люди могут покупать и продавать цифровые товары (графика) и как выяснилось на многих хакерских форумах почти сразу начали появляться предложения о «выводе» денег с балансов через данную уязвимость. В Google просто введя фразу «обход 2FA Binance» можно встретить действительно огромный выбор исполнителей.
Сам взлом как и кража средств была проведена очень простым и ироничным способом: хакер разместил NFT по цене 193000$ и просто купил его с аккаунта жертвы у самого себя. Для этого на бирже нет абсолютно никаких ограничений, подтверждений и попросту механизмов защиты. Далее по словам BInance деньги были выведены с биржи, а сам аккаунт как они предполагают был «взломан». Сразу же возникает вопрос как хакер обходил на чужом аккаунте всё те-же двухфакторные авторизации. Может аккаунты оформлены на поддельные документы и биржа не желает признать что её «верификация» не более чем «пук в муку»?
Для NFT должен быть отдельный счет, перевод средств на который только через 2FA (и за отсутствие данного решения бирже и их специалистам по безопасности по моему мнению должно быть стыдно)
PIN для авторизации с новых IP на WEB-интерфейсе. Даже для активной сессии.
Моё мнение: Binance обязаны компенсировать все украденные деньги по простой причине: это не вина пользователя. И они в таких случаях обязались возвращать средства. Да, пользователь подхватил вирус, но, пользователь был уверен что вывод без 2FA не возможен. Это именно дыра в их безопасности. Потому Binance обязаны извинится за долгое отсутствие реакции, а так-же немедленно исправить данную уязвимость пересмотрев те дыры услуги по которым предоставляют все кому не лень. Для биржи с такими доходами не должно быть проблемой просто взять и «воспользоваться» услугами этих хакеров, обнаружить проблемы и исправить. Это говорит о многом.
Доверяйте, но проверяйте. Но если Вы далеки от этих дел и Вам не понятна суть проблемы:
Представьте свой банковский кабинет. За перевод средств с Вас спрашивают код. Вы защищёны ровно до того момента как не появится в банке магазин nft-картинок который Вы даже не открывали и не знаете что оно такое и как работает. В мобильных приложениях данного раздела попросту даже и нет, потому открыть и воспользоваться им можно только через веб интерфейс.
У Вас не спросили нужен ли Вам этот маркет, не попросили никакой подтверждающей активации данного раздела при первом посещении, не спросили подтверждения на перевод средств на этот маркет и не выявили подозрительным внезапную продажу всех активов на спотовом рынке за доллары и покупку картинки на впервые открытом разделе биржи. Это максимально наплевательское отношение и искусственно созданная дыра от плохой проработки аспекта безопасности нововведения. Разве пользователь обязан изучать биржу каждые 5 минут на предмет обновлений, быть специалистом по безопасности чтобы выявлять дыру в логике работы нововведений? Я считаю нет. Одно дело когда взламывают и сливают деньги со всей биржи. Другое, когда биржа без спроса пользователя создает возможность обойти двойную авторизацию на которую рассчитывает пользователь.
Поймать троян можно множеством способов: начиная от личной невнимательности, заканчивая тем, что сплоиты могут Вас заразить через браузер просто при пассивном посещении любого сайта. Вас могут протроянить склейкой с полезным файлом или используя уязвимости в системе и Вы попросту здесь не виноваты. Вы просто были подключены к интернету и не выполняли никаких действий. Ваши пароли могут украсть расширения из официального магазина браузера. Потому Вы рассчитываете на то, что главные действия с деньгами будут требовать подтверждения 2fa даже если Вас взломают. И биржа получает с Вас комиссионные за каждую сделку. Она работает не на «добром слове», а значит беря деньги, должна их защищать. Может я чего-то не понимаю о справедливости?
Руководство по двухфакторной аутентификации в Binance
Сегодня существует множество методов взлома и обхода паролей, поэтому использование двухфакторной аутентификации является более эффективным способом защиты аккаунта.
Что такое двухфакторная аутентификация?
Двухфакторная аутентификация обеспечивает дополнительную защиту аккаунта с помощью двухэтапной проверки данных пользователя, к которым относятся:
Чтобы обеспечить надежную защиту с помощью двухфакторной аутентификации, необходимо настроить как минимум два этапа проверки данных, запрашиваемых перед входом в аккаунт. Binance предлагает различные виды двухфакторной аутентификации:
Как настроить аутентификацию по SMS и Google Authenticator в Binance
SMS-аутентификация
Укажите номер своего мобильного телефона при регистрации аккаунта. Каждый раз при попытке входа в систему вы будете получать SMS с кодом подтверждения, срок действия которого истекает через определенное время. Вход в аккаунт будет возможен только после ввода кода подтверждения.
Возможность фальсификации номеров мобильных телефонов
Не требуется установка дополнительного приложения
Необходим сигнал сотовой связи
Настройка аутентификации по SMS
1. Перейдите на страницу своего аккаунта и активируйте функцию SMS-аутентификации.
2. Введите номер мобильного телефона и нажмите [Отправить SMS].
3. После получения SMS введите код подтверждения в соответствующем поле и нажмите [Подтвердить].
Google-аутентификация
После настройки Google-аутентификации вам будет присвоен резервный ключ (секретный ключ). Приложение будет регулярно генерировать одноразовые пароли, необходимые для входа в систему, на основе секретного ключа.
Потеря устройства приведет к потери доступа к вашему аккаунту (в случае отсутствия резервного ключа)
Не требуется сигнал сотовой связи или Wi-Fi
Необходима установка дополнительных приложений
Настройка аутентификации в Google
1. Перейдите на страницу своего аккаунта и нажмите [Активировать].
2. Далее вам будет доступно скачивание приложения Google Authenticator по ссылкам на экране. После установки приложения перейдите к следующему шагу.
3. Отсканируйте QR-код. Откройте приложение Google Authenticator на своем мобильном устройстве и нажмите «Сканировать штрихкод» или «Введите полученный ключ», если камера недоступна.
После сканирования QR-кода в приложении Google Authenticator перейдите к следующему шагу.
4. Резервный ключ. Запишите свой резервный ключ на листе бумаги и сохраните его. Он может быть использован в будущем для сброса настроек Google Authenticator в случае потери мобильного устройства.
5. Активируйте Google Authenticator. Подтвердите свой пароль и код в Google Authenticator и нажмите [Активировать аутентификацию в Google].
4 formas de arreglar Discord 2FA que no funcionan (11.05.21)
2FA or 2 Factor Authorization es un procedimiento importante que ayuda a garantizar que su cuenta permanezca segura en todo momento. Ya sea una cuenta para un juego o cualquier otra imagen, la autorización de 2 factores te protegerá de alguien que intente acceder a tu cuenta.
Lecciones populares de discordia
Hemos visto a muchos usuarios quejarse de que su 2FA no funciona en absoluto. Según ellos, cada vez que intentan poner el código, Discord dice que es un código inválido. Los usuarios que enfrentan este problema están bastante frustrados porque no pueden acceder a su cuenta a menos que solucionen este problema.
¿Cuál es el motivo de este error?
El error puede ser tan simple como no ingresar el código correcto. También puede ser un problema de conectividad complicado. En cualquier caso, tendrá que aplicar alguna solución de problemas si desea corregir el error.
Por eso hoy; Enumeraremos algunas formas en las que puede solucionar y solucionar este problema con éxito. Entonces, sin perder más tiempo, ¡comencemos!
Para que 2FA funcione correctamente, necesitará para que le envíen el código a su teléfono. Al mismo tiempo, debes asegurarte de haber configurado la fecha y la hora correctas en tu teléfono.
Lo que tendrás que hacer es sincronizar la hora de tu teléfono. Puede ser que la hora de su teléfono esté adelantada o atrasada unos segundos. Sincronizar la hora en su teléfono debería ayudarlo a solucionarlo. Si no tiene mucha idea de cómo sincronizar la hora, siempre puede usar aplicaciones de terceros como ClockSync, que se pueden descargar fácilmente desde la tienda de su teléfono.
Este paso solo funcionará si aún tiene su código de respaldo. Estos códigos de seguridad le ayudan a acceder a su cuenta y realizar cambios durante emergencias como esta. Los códigos de seguridad suelen tener 8 dígitos.
Tendrá que iniciar sesión en su cuenta e ir a la configuración de Discord. En la pestaña Configuración de usuario, debería ver una opción denominada «Eliminar 2FA». Haga clic en la opción para eliminar la autorización de 2 factores. También tendrá que insertar su código de respaldo antes de que finalmente pueda eliminar 2FA. Una vez que haya eliminado 2FA, podrá utilizar un nuevo dispositivo y configurar 2FA.
Antes de intentar este paso, tenemos que advertirle que restablecer su teléfono probablemente borrará su Autenticador de Google, así como sus códigos de respaldo.
Algunos usuarios han corregido errores de 2FA simplemente reiniciando sus teléfonos. Lo mismo podría ser tu caso también. Solo asegúrese de haber realizado las copias de seguridad que necesita antes de restablecer su teléfono.
Una vez que el equipo de Discord se comunique contigo, te informarán exactamente qué está mal y cómo puedes solucionarlo.
Conclusión
Con la ayuda de este artículo, hemos destacado 4 formas diferentes de cómo puedes arreglar que Discord 2FA no funcione. Si necesita desesperadamente una solución, le recomendamos encarecidamente que siga todas las instrucciones que hemos mencionado en este artículo.
Video de Youtube: 4 formas de arreglar Discord 2FA que no funcionan
2FA с Google Authenticator для вывод денег с Binance: как настроить
Популярный китайский сервис обмена криптовалют Binance, как известно, рекомендует своим пользователям защищать свои учетные записи методом двухфакторной аутентификации (2FA) в дополнение к обычному паролю.
Притом если логиниться в свой аккаунт на Binance, производить обмен валют и даже вносить средства на счет можно и просто по одному только паролю (по крайней мере, пока), то для вывода денег сервис уже требует 2FA.
Своим китайским клиентам Binance предоставляет возможность настроить двухфакторную аутентификацию на основе обычных СМС, иностранным же пользователям необходимо установить приложение Google Authenticator и настроить «Проверку от Google«.
Сделать это не сложно, но, как показывает практика, не у всех это получается сразу. Потому в этом посте — о том.
как настроить проверку Google в своем аккаунте на Binance
#1 — устанавливаем Google Authenticator на смартфон
Для этого нужно всего лишь скачать и установить фирменное мобильное приложение Google Authenticator (Версия для Android / Версия для iOS).
#2 — подключаем Google Authenticator к своем аккаунту на Binance
После установки приложения Google Authenticator на iPhone или Android-смартфон заходим в свою учетную запись на Binance. Прямо на главном экране (он же — «Центр пользователя«) в разделе «Вторичная проверка» находим опцию «Проверку Google» и жмем кнопку «Включить«, расположенную рядом:
Система автоматически запускает пошаговую процедуру активации 2FA (всего 4 шага, включая этап установки приложения), так что далее жмем кнопку «Next Step» (если приложение уже установлено).
Если на Binance вы зашли с ноутбука или компьютера (Mac-а или ПК), то вторым шагом ( ШАГ 2 ) с помощью камеры смартфона сканируем предоставленный QR-код с экрана монитора, и таким образом «привязываем» свой смартфон к аккаунту.
Затем снова жмем «Next Step«, и третьим шагом ( ШАГ 3 ) срисовываем на бумагу (что рекомендуется) 16-значный буквенно-цифровой ключ восстановления, который сохраняем в надежном месте, а еще лучше — записываем его сразу в нескольких экземплярах и сохраняем в нескольких надежных местах. Этот код понадобится в том случае, если ваш авторизированный Binance смартфон сломается, потеряется или его украдут.
Внимательно сверив корректность записанного кода, жмем кнопку «Next Step» и переходим к ШАГУ 4 «Включить проверку Google«, но прежде…
#3 — …добавляем аккаунт Binance в приложение Google Authenticator на смартфоне
Запускаем приложение Google Authenticator на смартфоне, жмем «Начать установку» (в iPhone) или «Начать» (в Android). Система предложит на выбор «Сканировать штрикод» или «Ввести ключ«, тапаем подходящий вариант и продолжаем.
Вариант со шрих-кодом удобнее, когда вы регистрируете аккаунт в Google Authenticator с компьютера. В таком случае достаточно просто снять предоставленный системой Binance QR-код с экрана компа (см. предыдущий пункт), после этого ваша учетная запись будет добавлена в мобильное приложение автоматом (главное, не забыть на этапе установки разрешить приложению доступ к камере смартфона).
Если вы выбрали «ручной» вариант, то далее нужно заполнить поле «Название аккаунта«, затем ввести имеющийся у вас секретный 16-значный ключ восстановления и выбрать один из двух вариантов генерации ключа. Вариант «По времени» означает, что новый код будет автоматически генерироваться каждые 30 секунд. Вариант «По счетчику» предусматривает, что код создается каждые 5 секунд при нажатии на экран смартфона. На самом же деле вариант «По времени» удобнее, поскольку за 30 секунд вы точно успеваете перейти из приложения Google Authenticator в приложение Binance и подтвердить вход в аккаунт или дежурную операцию вывода средств.
Закончив вводить данные и определившись с вариантом генерации кода, тапаем кнопку «Добавить» (в Android) или «Проверить» (в iPhone).
#4 — включаем Google Authenticator в своем аккаунте на Binance
В итоге должна получиться следующая «картина маслом», которая и означает, что «Проверка Google» в вашем аккаунте на Binance активирована и теперь работает должным образом:
#5 — как работает 2FA на Binance
С этим сложностей тоже никаких. Логинимся на Binance, уже на этапе входа в ваш «Центр пользователья» (после того, как вы введете имя, пароль и передвинете слайдер с пазликом в нужную позицию) система запросит проверочный 2FA-код. Потому запускаем приложение Google Authenticator на смартфоне, в списке аккаунтов указываем Binance и получаем 6-значный цифровой код. Его запоминаем, переходим в приложение Binance, вводим код в соответствующее поле:
В точности то же самое необходимо сделать, когда вы выводите средства со своего счета на Binance.
Если вы по какой-то причине удалили приложение Google Authenticator или ставите его на новый смартфон, то потребуется процедура повторной регистрации вашей учетной записи на Binance в приложении с использованием имеющегося у вас 16-значного ключа восстановления (см. ШАГ 2 выше). Пока так…