Что такое приложения-аутентификаторы

Приложения-аутентификаторы - это средства безопасности, которые генерируют временные коды для двухфакторной проверки личности пользователя, при котором вместе с вводимым паролем также используются дополнительные одноразовые пароли.

Приложения-аутентификаторы могут быть как отдельными, так и быть встроенными в менеджеры-паролей.

Если кратко работу приложений-аутентификаторов можно описать так.

1. Установите приложение-аутентификатор. Например, можно выбрать Google Authenticator, Яндекс Ключ, andOTP, Duo Mobile, Twilio Authy, Kaspersky Password Manager и множество других.
        Обратите внимание, что не все сайты и приложение-аутентификаторы "дружат" между собой. То есть перед использование надо уточнять какие именно приложения-аутентификаторы можно совместно использовать с этим сайтом. Да и в разные операционные системы может быть придётся ставить разные приложения.
2. На нужном вам сайте (например, банковском или  на госуслугах) создаётся секретный код-ключ и даётся разрешения для двухфакторного входа. Для этого в настройках безопасности сайте выберите "Одноразовый код (TOTP)", "Включить 2FA", "Приложение аутентификации" и тому подобное.
3. Это ключ однократно вводится в приложение-аутентификатор вручную или, что сейчас делают чаще, с помощью отсканирования встроенной камерой смартфона QR-кода (дальше они просто "помнят" эти коды-ключи и вводить их ещё раз не надо).
4. В дальнейшем если вам нужно зайти в аккаунт на нужный сайт, то на основе этого ключа, а также текущего времени, по одинаковому алгоритму одновременно генерируются одноразовые 6-8 символьные коды (из цифр или, реже, букв) и в приложении и на сайте, которые совпадают между собой. И остаётся лишь ввести этот код. Который, если введён правильно, подтвердит что это вы хотите войти на сайт и разрешит вход.

Существуют 2 алгоритма в работе приложения-аутентификатора

• TOTP (Time‑Based One‑Time Password) - создаёт одноразовый код на основе времени. На данный момент это самый распространённый вариант, так как он удобнее и безопаснее чем HOTP (хоть и был основан на его основе). Полученный с помощью TOTP код обычно действует обычно 30 секунд.
• HOTP (HMAC-Based One-Time Password) - код генерируется на основе счётчика (не времени). Каждое создание кода увеличивает счётчик на 1.
       Но значения счетчиков очень легко рассинхронизируются. Например, если вы создали код, но не стали его использовать или были проблемы с связью. В результате генерируемые коды перестанут совпадать.
       И ещё важно замечание: код остается действительным до тех пор, пока не изменится значение счётчика, что потенциально дает злоумышленнику достаточно много времени на использование перехваченного кода, если ему удастся каким-то образом отвлечь жертву.

Достоинства приложений-аутентификаторов

• Высокий уровень безопасности, так как коды одноразовые и создаются так что их невозможно предугадать. Особенно это относится при использовании TOTP, где код действует непродолжительное время... Впрочем их вполне можно перехватить.
• Коды генерируются на устройстве, то есть они работают без доступа в мобильную сеть и без интернета.
• Многие приложения позволяют делать резервные копии (бэкап) в облаке, а некоторые - в виде файла. Это позволяет в случае если устройство с приложением выйдет из строя восстановить информацию и пользоваться приложением-аутентификатором дальше.
• Коды из приложений-аутентификаторов нельзя перехватить, что теоретически может быть сделано с СМС-кодами (правда, как по мне, это маловероятно).
• Большинство приложений бесплатны.
• Некоторые приложения позволяют сохранять резервные коды для экстренного доступа (их задача - восстановить доступ к аккаунту, если потеряно основное устройство с приложением-аутентификатором).

Недостатки приложений-аутентификаторов

• Потеря или поломка смартфона ведёт к утрате доступа к аккаунтам, если не настроены резервные методы восстановления. Это же относится и к проблемам с работой компьютера.
       Думаю что тут будет совсем не лишним установить прилоежние-аутентификатор на двух разных устройствах (например, на смартфоне и компьютере). А может быть, еще и использовать параллельно несколько разных приложений.
• Если смартфон разрядится то, естественно, приложением нельзя воспользоваться, в результате чего не получится зайти на нужный сайт.
• Риск рассинхронизации, в результате чего вы не сможете войте. И если TOTP в большинстве случаев достаточно обновить время (или отключить ВПН). А вот с HOTP могут быть проблемы: надо как то сделать ресинхронизацию или переустанавливать программу.
• Перенос аккаунтов требует дополнительных действий: сканирование QR‑кодов или ввод секретных ключей вручную. А иногда каждый аккаунт нужно настраивать заново.
• Если смартфон заражён вредоносным ПО, злоумышленник может получить доступ к генерируемым кодам.
• Из-за проблем с интернетом срок действия кода из TOTP может закончиться раньше, чем вы сможете зайти на сайт.
• Некоторые сайты работают только с конкретными приложениями-аутентификаторами.
• Некоторые версии аутентификаторов платные (частично или полностью).
• Не все приложения-аутентификаторов имеют защищённый вход (пин-код, отпечаток пальца, Face ID) в само приложение (то если его нет и смартфон не заблокирован то любой может посмотреть код).