Що таке OTP-авторизація.
В наш час для захисту даних звичайного пароля вже недостатньо. Хтось може піддивитися або зламати пароль і завдати шкоди користувачеві — наприклад, вкрасти гроші з рахунку користувача.
Виходом з цієї ситуації може бути лише механізм одноразових паролів, які після свого використання втрачають актуальність. Навіть якщо цей пароль дізнається зловмисник, він все одно нічого не зможе вдіяти.
Першим механізмом отримання одноразових паролів була їх відправка через SMS. Це був технологічний прорив. Метод є дуже зручним. Вам просто потрібно мати мобільний телефон. Під час здійснення якоїсь важливої операції ви отримуєте код через SMS, і потім вводите його на сайті для підтвердження. Але цей метод має певні недоліки. Іноді отримання SMS затримується, ви можете перебувати поза зоною прийому вашого мобільного оператора (погане покриття, інша країни без можливості роумінгу) або просто з країни розташування сервісу складно надіслати SMS до країни вашого перебування. І дуже небезпечним може бути те, що зловмисник може отримати дубль вашої SIM-карти. Останнє цілком реально, але це тема окремої статті.
Для того, щоби зазначені вище проблеми вас не турбували, була розроблена технологія OTP — One Time Password.
Ця технологія заснована на тому, що сервіс, на якому потрібно вводити одноразові паролі, передає через QR-код на ваш мобільний телефон секретну фразу, на основі якої створюються паролі (первісне налаштування).
Для кожного клієнта сервісу фраза своя й ніде не публікується. Коли ви захочете підтвердити операцію, ви просто дивитеся на своєму телефоні або планшеті код. Цей код створюється без підключення до інтернету або інших мереж. Термін дій — лише одна хвилина. За хвилину матимете інший код. Ще за хвилину — третій, і так далі. Щойно код зникає з екрана телефону, він стає недійсним. І навіть якщо хтось його підгледів, це ніяк не допоможе його використати.
Важлива деталь: на вашому мобільному пристрої час має бути налаштований точно, інакше коди будуть створюватися з запізненням або випередженням і не будуть працювати. Але смартфони вміють синхронізувати час зі стільниковою мережею, і проблеми виставити точний час не є.
Тобто ви одноразово відсканували на сайті QR-код камерою свого смартфона, і далі просто використовуєте ті коди, які відображаються для вас. Не потрібно чекати на SMS, не потрібно непокоїтися щодо наявності стільникової мережі, і немає жодного значення, в якій країні ви знаходитеся в цей момент. Ці коди працюють стабільно..
Як увімкнути додаткову авторизацію
Завантажте додаток FreeOTP
- Google Play: https://play.google.com/store/apps/details?id=org.fedorahosted.freeotp&hl=ru&gl=US
- App Store: https://apps.apple.com/us/app/freeotp-authenticator/id872559395
Або додаток Google Authenticator
- Google Play: https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2&hl=ru&gl=US
- App Store https://apps.apple.com/ru/app/google-authenticator/id388497605
(Google Play для Андроїд / AppStore для iPhone)
На нашому сайті оберіть метод «Двофакторна автентифікація» та натисніть кнопку Ввімкнути.
Як вимкнути додаткову автентифікацію
На нашому сайті оберіть метод «Двофакторна автентифікація» та натисніть кнопку Вимкнути.
Як додати пристрій входу
На нашому сайті оберіть метод «Двофакторна автентифікація» та натисніть кнопку Додати пристрій входу.
Важливо: Переконайтеся, що час на комп’ютері і смартфоні збігається. Краще за все обрати на своєму смартфоні дату та час мережі.
Сканувати код потрібно лише один раз! Надалі для зміни особистих даних або реквізитів на оплату Вам потрібно буде просто запускати програму на смартфоні й вносити код в поле на сайті.
А якщо не включити додаткову авторизацію?
З цього приводу у наших клієнтів є сумні історії.
Історія перша: Вкрали пароль до поштової скриньки
У клієнта з рахунку зникла певна сума грошей. Клієнт попросив розібратися. Як виявилося, зловмисник отримав доступ до поштової скриньки і запросив відновлення пароля й листи з поштової скриньки видалив. Клієнт не зміг увійти в систему, і запросив відновлення пароля. Пароль був висланий йому в пошту. Клієнт зміг увійти в систему. Але і зловмисник теж побачив цей пароль і теж отримав можливість входити в особистий кабінет клієнта в Seller-Online. Час від часу зловмисник робив перекази дрібних сум в іншій акаунт, з якого потім виводив гроші на різні гаманці Webmoney. Якби в клієнта була ввімкнена додаткова авторизація, то переказ коштів в інший обліковий запис шахрай не зміг би здійснити.
Історія друга: Колишній працівник
Клієнт попросив розібратися з виведенням коштів, яке був здійснене кілька днів тому в нашій системі, але кошти він не отримав. Коли ми почали розбиратися в цій ситуації, ми з’ясували, що кошти були виведені на реквізити невідомої людини. Ми були дуже стурбовані. Але потім ми підняли журнали й дали розшифровку щодо виведення, і виявилося, що одержувачем був колишній співробітник нашого користувача, в якого залишився доступ до аккаунту. Наш клієнт після звільнення співробітника не змінив паролі. Колишній співробітник скористався цим і змінив реквізити для виведення. Наш клієнт справив виведення коштів як зазвичай, вважаючи, що вказані його реквізити, навіть не перевіряючи їх перед підтвердженням операції, і самостійно відправив гроші шахраєві. Якби в клієнта була ввімкнена додаткова авторизація, колишній працівник не зміг би змінити реквізити для виведення коштів, і ніколи б не зміг отримати чужі гроші.