Вы когда-нибудь выполняли вход по коду из SMS? А с помощью приложения, генерирующего код? Сегодня я расскажу о том, в чем разница между этими способами, и почему важно защищать аккаунты Интернет-сервисов и мессенджеров двухфакторной или двухэтапной аутентификацией.

В день публикации статьи о Telegram прилетела интересная новость – у нескольких оппозиционеров взломали аккаунты этого мессенджера, отключив им ночью сервис SMS на несколько часов. За это время кто-то зашел с другого устройства, о чем Telegram прислал уведомление.

У кого ночью взломали телеграм, тот я. Интересно, как это возможно? СМС с помощью МТС перехватили? pic.twitter.com/K17uMQhIe6

— Георгий Албуров (@alburov) April 29, 2016

Если бы он использовал двухэтапную аутентификацию, новости бы не было.

Сегодня в программе

Зачем нужна дополнительная защита аккаунта

Когда речь заходит о безопасности Windows, тезисы о необходимости грамотной защиты нередко упираются в простое и незатейливое «а мне наплевать», подкрепленное убийственным аргументом «у меня нет ничего ценного». Его появление в сегодняшних комментариях не станет для меня неожиданностью 🙂

Тем не менее, если только вы не живете в абсолютном вакууме, ваш аккаунт электронной почты, социальной сети или мессенджера может представлять ценность для злоумышленников. Список ваших контактов вкупе с историей переписки может стать золотым дном социальной инженерии для мошенников, позволяя им развести на деньги ваших близких и знакомых (привет, Skype!).

Увеличить рисунок

Захват почтовой учетной записи также может открыть двери к другим сетевым сервисам, в которых вы зарегистрированы с ней (вы ведь используете одну почту для разных сервисов, не так ли?)

Пример со взломом Telegram интересен тем, что моментально породил в сети язвительные комментарии в стиле «ха-ха, вот вам и хваленая безопасность!» Однако важно понимать, что нужно обеспечивать рекомендуемый уровень защиты, а не лежать на печи, полагаясь на маркетинговые заявления.

Эта статья для тех, кто не ждет, пока грянет гром, а соблюдает правила сетевой гигиены и ответственно подходит к защите своей конфиденциальной информации. Поехали!

Терминология и аббревиатуры

Я сознательно упрощаю определения, потому что дальше мы будем подробно рассматривать эти понятия на практике.

• Аутентификация. Проверка уникальной информации, известной или доступной человеку, который пытается получить доступ к данным. Простейший пример – ввод пароля к учетной записи.
• Двухэтапная аутентификация (Two-Step Verification, 2SV). Вход выполняется в два этапа – например, сначала вы вводите пароль к учетной записи, а потом код из SMS.
• Двухфакторная аутентификация (Two Factor Authentication, 2FA). Вход тоже может выполняться в два этапа, но они должны отличаться факторами (ниже их разберем). Например, сначала вводится пароль, а потом одноразовый пароль, сгенерированный аппаратным токеном.
• Одноразовый пароль (One-Time Password, OTP). Цифровой или буквенный код из 6-8 символов. Это может быть код из SMS или приложения, генерирующего коды (Google Authenticator).

Факторы аутентификации

Двухэтапную аутентификацию часто называют двухфакторной, не делая особой разницы между понятиями. Я тоже не придавал ей особого значения, хотя и пользовался обоими способами. Но однажды глаз зацепился за новость о переходе Apple с двухэтапной на двухфакторную аутентификацию, которую твитнул специалист по информационной безопасности Алексей Комаров.

Я попросил эксперта объяснить разницу между 2SV и 2FA, и он уложился в один твит со ссылкой на свою статью.

@vsterkin факторы: 1 — то, что ты знаешь, 2 — то, что имеешь, 3 — кем являешься и 4 — где находишься http://t.co/T7xNuqDrMW

— Алексей Комаров (@zlonov) July 14, 2015

В ней мне очень понравились аналогии – простые и понятные. Позволю себе процитировать их целиком.

На этот раз воспользуемся образами из шпионских романов. Агенту Смиту необходимо встретиться со связным и передать ему секретную информацию. Друг друга они не знают и никогда раньше не встречались. Как Смит сможет удостовериться, что перед ним действительно связной, а не вражеский агент? Различают всего четыре фактора аутентификации. Рассмотрим их все.

«У Вас продается славянский шкаф?» — это пример первого фактора, когда субъект что-то знает. На практике это может быть пароль, логин, кодовая фраза – словом, любой секрет, известный обеим сторонам.

Связной может предъявить, например, половину разорванной фотографии или что- то еще, что есть только у него – это пример второго фактора аутентификации, основанного на том, что у субъекта что-то есть. В современных системах информационной безопасности для этих целей используются токены – персональные аппаратные средства аутентификации.

Для обеспечения безопасности встречи можно условиться, что она должна состояться на третьей скамейке справа от входа в Центральный парк. Третий фактор – субъект находится в определенном месте. В информационных системах могут определяться, например, IP-адрес компьютера субъекта или считываться данные радио-метки.

Ну и наконец, Смиту могли показать фотографию связного, чтобы он смог его узнать. Четвертый фактор (субъект обладает некой биологической особенностью) применяется только в случае, когда субъект аутентификации – человек, а не, например, сервер или процесс, не имеющие отпечатков пальцев, структур ДНК или радужной оболочки глаза.

Какая аутентификация является двухфакторной

Исходя из названия, аутентификация выполняется с помощью двух факторов, причем они обязательно должны быть разными! Продолжу рассказ своей аналогией – посмотрите внимательно на этот сейф.

Открыть его вы сможете, только если знаете секретную комбинацию, и у вас есть ключ от замка. Заметьте, что эти два фактора отличаются.

Злоумышленник может похитить ключ, но без кода он бесполезен. Равно как подсмотренный код не поможет без ключа. Другими словами, чтобы пробраться в сейф, преступнику нужно украсть две разные «вещи».

Давайте посмотрим, как это выглядит в контексте информационных технологий.

В чем разница между двухэтапной и двухфакторной аутентификацией

Двухфакторная аутентификация может быть двухэтапной, но обратное верно не всегда. Граница между этими понятиями очень тонкая, поэтому их часто и не различают. Например, Twitter в блоге нарекает свою двухэтапную аутентификацию двухфакторной, а Google в справке уравнивает эти способы (впрочем, компания предлагает оба).

Действительно, в сетевых учетных записях (Microsoft, Google, Яндекс и т.п.), соцсетях и мессенджерах реализация 2FA и 2SV очень похожа. Один этап всегда подразумевает ввод пароля или ПИН-кода, который вы знаете. Разница между способами аутентификации кроется во втором этапе – 2FA возможна только в том случае, если у вас что-то есть.

Типичным дополнением к известному вам паролю служит одноразовый код или пароль (OTP). Здесь-то и зарыта собака!

Двухфакторная аутентификация подразумевает создание одноразового пароля непосредственно на устройстве, которым вы обладаете (аппаратный токен или смартфон). Если OTP отправлен в SMS, аутентификация считается двухэтапной.

Казалось бы, SMS приходит на смартфон, который у вас есть. Как вы увидите ниже, это – ложная предпосылка.

Пример двухфакторной аутентификации

Для удаленного доступа к ресурсам моего работодателя необходимо пройти двухфакторную аутентификацию. Первый фактор – пароль учетной записи, который я знаю. Второй фактор – аппаратный токен для генерации OTP, который у меня есть.

Чтобы выполнить вход в систему от моего имени, злоумышленник должен украсть не только пароль, но и выданный мне токен, т.е. физически проникнуть в мою квартиру.

Для доступа к ресурсам клиента я тоже использую 2FA, но в этом случае роль аппаратного токена выполняет смартфон с приложением RSA SecureID.

Пример двухэтапной аутентификации

Когда вы впервые входите на новом устройстве в Telegram, вам приходит на телефон код подтверждения – это первый этап аутентификации. У многих пользователей мессенджера он единственный, но в настройках безопасности приложения можно включить второй этап — пароль, который известен только вам и вводится после кода из SMS.

Заметьте, что создатели Telegram корректно именуют свою аутентификацию двухэтапной.

Проблема одноразовых паролей в SMS

Давайте вернемся к случаю с получением неправомочного доступа к аккаунту Telegram, с которого я начал сегодняшний рассказ.

В процессе взлома оппозиционерам временно отключили сервис SMS. Они видят в этом руку технического отдела МТС, но и без его участия злоумышленники вполне могли перевыпустить SIM-карту или провести атаку MITM. Больше им ничто не мешало войти в Telegram на другом устройстве!

Будь на аккаунте пароль, известный только владельцу, осуществить взлом было бы на порядок сложнее.

Однако такая аутентификация остается двухэтапной, и взлом аккаунта хорошо демонстрирует, что при целевой атаке обладание смартфоном не играет никакой роли. Вы лишь знаете свой пароль и одноразовый код, который приходит в SMS, а это одинаковые факторы.

Снижает ли безопасность регистрация по номеру телефона

В комментариях к предыдущей записи несколько читателей выразили мнение, что типичное для ряда мессенджеров удобство регистрации по номеру телефона ослабляет защиту аккаунта по сравнению с традиционным паролем. Я так не считаю.

В отсутствие 2FA или 2SV аутентификация получается одноэтапной и однофакторной. Поэтому по большому счету нет разницы, выполняете вы вход с помощью известного вам пароля или неизвестного заранее кода, присылаемого в SMS.

Да, злоумышленники могут получить ваш SMS-код, но они могут перехватить и ваш пароль, пусть и каким-то другим способом (клавиатурный шпион, контроль публичной сети Wi-Fi).

Если вы хотите лучше защитить свою учетную запись, опирайтесь на 2FA или 2SV, а не на ложное ощущение превосходства пароля над номером телефона.

Реализация 2FA и 2SV у Google, Microsoft и Яндекс

Давайте посмотрим, какую защиту учетной записи предлагают некоторые крупные игроки с миллионами пользователей.

Google

Компания предлагает, пожалуй, самый широкий спектр средств дополнительной защиты учетной записи. Наряду с традиционными способами 2SV (отправкой кода в SMS или звонком) у Google реализована 2FA. Это приложение для генерации кодов и, что редкость, поддержка аппаратных токенов стандарта FIDO UTF.

После проверки пароля вам предлагается ввести код, способ получения которого зависит от настроек аутентификации для вашей учетной записи.

Обратите внимание, что по умолчанию компьютер переводится в разряд доверенных, т.е. при следующих входах на этом устройстве второй фактор не требуется. Список таких устройств можно очистить в параметрах 2SV.

У меня настроена генерация кодов приложением. В Google Authenticator реализована поддержка RFC 6238, что позволяет создавать OTP для любых сервисов, использующих эту спецификацию.

Кстати, в приложении я как-то наступил на грабли – коды перестали приниматься. В Twitter мне быстро подсказали синхронизировать коррекцию времени для кодов в настройках приложения, но я уже перешел в Яндекс.Ключ.

Также, у Google есть возможность распечатать одноразовые коды, что может быть полезно в путешествиях людям, не имеющим смартфона и пользующихся SIM-картой местного оператора.

Microsoft

У Microsoft все очень похоже на Google (см. настройки аккаунта) поэтому я сфокусируюсь на любопытных различиях. Компания не поддерживает аппаратные токены, но можно обеспечить 2FA, генерируя OTP фирменным приложением Authenticator.

Приложения для аутентификации

На мобильной Windows и iOS приложения Microsoft работают одинаково – просто генерируют коды. На Android ситуация интереснее, потому что у приложения Microsoft Account два режима работы – двухэтапный и двухфакторный.

После первоначальной настройки приложения включается режим, который отлично реализован с точки зрения удобства использования. Когда вы входите на сайт, вам предлагается подтвердить запрос в приложении. Одновременно приходит уведомление, которое одобряется одним нажатием, т.е. не надо вводить код вручную.

Строго говоря, это – 2SV, потому что пуш-уведомление передается через интернет, но можно переключиться на 2FA. Нажав «Не получается», вы увидите требование ввести код. Внизу мобильного приложения есть соответствующая возможность, открывающая список подключенных аккаунтов. Вернуться к режиму уведомлений можно аналогичным путем при следующем входе.

Кстати, в отличие от Google, Microsoft по умолчанию не переводит устройство в разряд доверенных (см. картинку выше), и я считаю это правильным.

Skype и 2SV

Upd. 01-Nov-2016. В Skype наконец-то появилась 2SV за счет полной интеграции аккаунта Skype в учетную запись Microsoft. Поэтому написанное в этом разделе актуально лишь для аккаунтов Skype, не прошедших процедуру обновления.

Skype заслуживает отдельного упоминания, причем в негативном контексте. Двухэтапной аутентификацией защищена учетная запись Microsoft, и вы можете входить с ней в Skype.

Однако, если у вас есть аккаунт Skype (регистрируется на сайте), то для него 2SV не реализована, даже если он связан с учетной записью Microsoft.

На практике это означает, что вы не можете обеспечить своему аккаунту Skype уровень защиты, который рекомендует Microsoft. На сайте поддержки Skype есть замечательная тема (наверное, не единственная), куда приходят владельцы взломанных аккаунтов и просят реализовать 2FA.

Обходной путь – отказ от использования такого аккаунта и создание нового путем входа с учетной записью Microsoft. Но те, кого еще не взломали, вряд ли захотят бросать учетную запись с массой контактов.

Яндекс

У Яндекса найдется все, в том числе и своя реализация 2FA. Компания подробно объяснила в блоге на Хабре, почему решила изобрести велосипед, поэтому я ограничусь лишь практикой использования этого решения.

Включение 2FA отменяет использование пароля для учетной записи, вход в которую далее будет выполняться с помощью смартфона или планшета. Как я понял, приложение Яндекс.Ключ доступно только для iOS и Android, поэтому владельцы смартфонов на Windows не смогут защитить свою учетную запись Яндекс двухфакторной аутентификацией.

Мобильное приложение поддерживает разные учетные записи, но только аккаунт Яндекс защищен обязательным ПИН-кодом – это первый фактор. Второй показан на картинке выше – это одноразовый пароль из восьми букв или сканирование QR-кода с веб-страницы, на которой вы осуществляете вход.

OTP истекает через 30 секунд. Сделав опечатку, я не успевал повторно ввести тот же код, и приходилось ждать нового (цифры все-таки проще вводить без ошибок). Поэтому рекомендуемый и более удобный способ – это сканирование QR-кода. Для случаев авторизации на том же устройстве предусмотрена кнопка, копирующая OTP в буфер обмена.

Вопросы и ответы

Комментарии высветили несколько вопросов, ответы на которые я решил добавить в статью.

Ура, теперь у меня везде 2SV/2FA! Что-то еще нужно сделать?

Представьте, что вы поехали на отдых, где у вас в первый же день украли смартфон. Теперь вы не попадаете ни в один аккаунт, пока не восстановите SIM-карту. Чтобы избежать такого сценария, зайдите в настройки ключевых аккаунтов, найдите там одноразовые или резервные коды для доступа к учетной записи и сохраните их на другом устройстве и/или запишите на бумаге.

У меня есть приложение, которое перестало работать после включения 2SV/2FA. Что делать?

Некоторые приложения несовместимы с двухэтапной аутентификацией в том смысле, что сервис ждет кода на втором этапе, а вводить его некуда. Примером может служить какой-нибудь «десктопный» почтовый клиент.

На этот случай в настройках 2SV вашего аккаунта предусмотрена возможность создавать пароли приложений (app passwords). Нужно создать пароль и ввести его в проблемном приложении вместо вашего пароля учетной записи. У Яндекс (например, в Яндекс.Браузер) достаточно просто ввести одноразовый пароль, сгенерированный приложением Яндекс.Ключ.

По каким параметрам сервис определяет, что устройство доверенное?

У каждого вендора своя реализация. Это может быть комбинацией SSL cookie, IP-адреса, браузера, еще чего-нибудь. Есть порог изменения параметров, по достижении которого нужно авторизоваться снова.

Какие мобильные приложения для генерации OTP лучше всего использовать?

Если вы не пользуетесь 2FA в Яндекс, то подойдет любое приложение (Google, Microsoft, Яндекс.Ключ). Если у вас включена 2FA в Яндекс, имеет смысл консолидировать все сервисы в Яндекс.Ключ. Причина в том, что реализация 2FA у Яндекс отличается от других сервисов, но Яндекс.Ключ поддерживает RFC 6238, что позволяет создавать OTP для прочих сервисов, внедривших эту спецификацию.

Почему в приложении для генерации кодов не получается настроить 2FA для ВКонтакте?

В настройках смартфона нужно установить автоматическое определение даты и часового пояса. Иначе приложение не зарегистрировать — созданный приложением код не принимается с ошибкой «Неверный код подтверждения». Доставка OTP по SMS при этом работает и никак не связана с проблемой.

Дискуссия и опрос

Изначально двухфакторная и двухэтапная аутентификация была уделом организаций, но постепенно она стала появляться и в сервисах, ориентированных на потребителей. Google была одной из первых крупных компаний, предложивших своим пользователям такую защиту в 2011 году, а позже подтянулись и другие игроки, в том числе популярные в Рунете Яндекс и mail.ru ввели эти меры в начале 2015 года.

Пока 2FA/2SV доступна далеко не для всех распространенных сервисов. Например, на момент публикации статьи ее нет в мессенджерах с многомиллионной аудиторией Viber и WhatsApp (появилась в феврале 2017 года). Но в целом к середине 2016 года технология получила очень широкое распространение.

Сам я начинал с Google, потом подключил соцсети, позже учетную запись Microsoft (там была возня с рядом приложений, не поддерживающих 2SV, и приходилось создавать одноразовые пароли). Сейчас 2FA/2SV у меня включена везде, и даже в этом блоге (только для администраторов).

В комментариях расскажите, как вы проголосовали и какие сервисы вы защищаете с помощью 2FA/2SV. Если никакие или не все, поясните, что вас удерживает от этого.

У вас включена 2FA/2SV? (2016)

Сегодня Google – компания №1 в мире мобильных телефонов и Андроид. Именно она разрабатывает и внедряет новые фишки и обеспечивает безопасность данных в наших смартфонах.

Чтобы использовать свой телефон на все 100%, нужно знать, какие новые функции от Гугл есть в вашем телефоне, как ими пользоваться. Рассмотрим, как создать аккаунт Гугл на телефоне, зачем он нужен, какую информацию он хранит и как защищает наши личные данные. Перейдите в Настройки > Google > Аккаунт Google.

Обязательно зарегистрируйте свой аккаунт Google на телефоне. Он отвечает за безопасность, персонализацию и личные данные на этом смартфоне. Без него вы не сможете использовать многие функции: устанавливать приложения из Play Маркет, использовать голосовой Ассистент, настраивать безопасность, архивировать, восстанавливать и синхронизировать свои данные с Google Drive и др.

На вкладке «Главная” в личном аккаунте собраны некоторые сервисы, отвечающие за безопасность ваших данных и статистика использования облачного хранилища. О них позже.

Личные данные

Разберем основные функции во вкладке «Личные данные”. Здесь ваш профиль: фотография, имя, дата рождения, пол, пароль и контактная информация. Все данные защищены Гугл, и злоумышленник не сможет получить доступ к ним. Никому не показывайте свои данные.

Данные и персонализация

На этой вкладке собраны настройки для сервисов Гугл, чтобы они «подстраивались” под ваши предпочтения и интересы. Т.е. Гугл просто собирает максимум информации о любом пользователе и использует ее в своих целях, в том числе рекламных.

Настройки конфиденциальности

Первое, на что стоит обратить внимание – проверить настройки конфиденциальности.

Система предложит вам:

1. Персонализировать работу с сервисами Google: история приложений и веб-поиска. Гугл следит за тем, какие приложения вы используете, какие сайты и сервисы посещаете в Интернете, запоминает все ваши поисковые запросы;
   • история местоположений. Гугл всегда знает, где вы находитесь, и ведет историю посещенных вами мест. Т.е. по сути создается карта ваших перемещений, которую можно посмотреть в Гугл Картах;
   • информация с устройств. Здесь вы разрешаете Гуглу сохранять все личные данные (контакты, календарь, заметки, музыку) в аккаунте Google;
   • история голосового управления. Когда вы даете голосовые команды Гугл или Ассистенту, ваш голос автоматически записывается. Компания использует эти сведения для улучшения сервиса по распознаванию речи;
   • история поиска YouTube. Сохраняется вся история просмотров и поисков по ключевым словам всех видеороликов. Благодаря этому Гугл рекомендует вам соответствующие видео к просмотру (исходя из ваших интересов).
2. Установите настройки доступа в YouTube: подписки и понравившееся видео. Выберите, кому доступны ваши видео и подписки, а также понравившиеся ролики и плейлисты;
   • фид действий на YouTube. Можно разрешить/запретить показывать свои действия на канале. Советую все отключить;
   • настройки конфиденциальности для видео. Когда вы загружаете видео на ютуб, можно сделать его личным, т.е. никто его не увидит – только вы.
3. Установите настройки Google фото:
   • удаляйте информацию о месте съемки фото, доступных по ссылке. Т.е. нужно ли удалять геотеги фотографий, доступных по ссылке.
4. Помогите связаться с вами:
   • укажите свой контактный номер телефона. В будущем он может пригодиться для восстановления доступа к аккаунту, если забыли пароль;
   • разрешите людям находить вас в сервисах Гугл по номеру телефона;
   • Разрешите другим просматривать ваши общедоступные данные (имя, фото и др.) Не включайте эту опцию.
5. Выберите, какая информация в профиле Google+ будет видна другим пользователям:
   • показывать или скрывать ваши записи в сообществах Гугл+;
   • не использовать личные опубликованные фотографии как фон других сервисах Гугл;
   • рекомендации друзей. Т.е. вы видите, что понравилось вашим друзьям/подписчикам.
6. Настройте рекламу:
   • настройте свои рекламные предпочтения. Т.е. реклама будет подстраиваться под ваши интересы, исходя из истории вашего поиска, посещенных мест в реальной жизни и др.

Отслеживание действий

Гугл будет следить за всеми вашими действиями для персонализации своих сервисов конкретно под вас.

Включите те опции, какие считаете нужными, чтобы Гугл сохранял их:

• История приложений и веб-поиска. Т.е. какие программы и игры вы ставите на смартфон, какие сайты посещаете + история всех поисковых запросов.
• История местоположений. Гугл записывает все места на карте, которые вы посещали за последнее время. Это может быть месяц, полгода, год и более.
• История голосового управления. Запись вашего голоса, голосовых команд Гугл Ассистенту и поисковой системе.
• Информация с устройств – информация о ваших контактах в телефоне.
• История поиска YouTube: какие видео просмотрели + какие ролики вам понравились из просмотренных.

Внимание! Всегда можно удалить всю историю в настройках аккаунта (нажмите на любую категорию и выберите «Управление историей”). Если хотите сохранить в тайне свои личные предпочтения и места, где вы бывали, сотрите прошлую историю вручную и выключите все опции.

Действия и хронология

Здесь можно отредактировать или удалить сохраненные действия (посещенные сайты, просмотренные видео в Интернете) и историю своих местоположений.

Откроется приложение Карты Гугл и раздел Хронология, где в хронологическом порядке можно просмотреть, где и во сколько вы были в определенном месте. Например, так можно отследить, где бывает ваш ребенок, супруг или девушка.

Ваши действия и данные

В личном кабинете Гугл можно посмотреть, какими сервисами вы пользуетесь, и какая информация об этом сохранена. Можно управлять историей поиска в интернете и на ютуб.

Персонализация рекламы

Здесь всё ясно. Вы либо разрешаете Гугл показывать рекламу по вашим интересам, либо нет – только на общих основаниях.

На основе всех собранных данных Гугл составляет ваш рекламный портрет. Нажмите «Настроить рекламу”, чтобы просмотреть, что думает о вас Гугл. К примеру, вот мой рекламный портрет: возраст, пол, популярные сайты и мои интересы.

Параметры можно подкорректировать, если они неверны.

Хранилище на диске

Здесь собрана статистика об использовании облачного хранилища Google Drive. По умолчанию доступно 15 Гб – этого хватит для резервной копии всех ваших данных в телефоне (кроме медиафайлов – их лучше сохранить на карту памяти или на компьютер).

Скачивание, удаление и планирование

Всегда можно скачать свои данные из облака, чтобы затем использовать их в другом аккаунте или сервисе.

Можно спланировать, что произойдет с контентом, когда вы перестанете пользоваться аккаунтом. Установите период бездействия и укажите, что нужно сделать, когда он истечет: удалить все данные или дать доступ доверенным лицам (надо указать номер телефона и email).

Если больше не хотите пользоваться каким-то сервисом (почта, облачный диск, ютуб, фото и др.) или аккаунтом Гугла, можете его удалить. Перед удалением рекомендую скачать свои данные или экспортировать их в другой сервис, чтобы не потерять.

Общие настройки веб-интерфейса

Они нужны для работы с поисковыми сервисами в интернете. Доступны следующие установки:

• Язык. Выбираем основной язык для пользования сервисами Гугл, в том числе и поисковиком в браузере. Можно добавить еще несколько языков, чтобы в поисковой выдачи стояли и иностранные сайты.
• Способы ввода текста – выбор удобного метода ввода текста: транслитерация, русская раскладка клавиатуры, рукописный ввод.
• Специальные возможности: чтение с экрана и высокая контрастность цветов.
• Настройки поиска – настройки персональных результатов и безопасного поиска.

Бронирования

Информация обо всех ваших бронированиях авиабилетов, гостиниц и отелей, билетов на концерт. Данные будут автоматически получены из Гугл Ассистента и вашей почты gmail.

У меня пока нет бронирований, так что показать управление бронированиями на примере не смогу.

Безопасность

В этой вкладке собраны настройки касательной вашей безопасности и сохранности личных данных. Система автоматически просканирует телефон, найдет проблемы в безопасности и предложит их решение.

Если обнаружены проблемы в безопасности, нажмите на «Защитить аккаунт”, чтобы посмотреть на решение проблемы. Например, у меня нет блокировки экрана на телефоне. Чтобы ее установить, используйте подсказки от Гугл.

Вход в аккаунт Google

Здесь можем изменить пароль, включить вход в аккаунт Google с помощью телефона, активировать двухэтапную авторизацию или получить защитный код.

Двухэтапная авторизация – это когда для входа в аккаунт нужно ввести пароль и код из смс (придет на телефон, бесплатно). Вместо кода смс можно использовать приложение Гугл Аутентификатор.

Для чего нужны одноразовые защитные коды? Они могут защитить ваши данные. Если вы забыли пароль или вошли в аккаунт с неизвестного устройства или с нового местоположения (используя VPN, например), Гугл может потребовать ввести защитный код. Коды перестают действовать через 15 минут после их получения или после того, как вы их введете.

Следите за тем, на каких страницах вводите пароль или защитный код. Адрес должен начинаться с https://accounts.google.com/. Не вводите пароли на сайтах с другими адресами – они хотят украсть доступ к вашему аккаунту.

Способы подтверждения личности

Если на вашем аккаунте замечена подозрительная активность (часто ввели неверный пароль, зашли с неизвестного устройства или с нового места через чужой wi-fi), нужно подтвердить свою личность. Для этого в настройках укажите контактный телефон и резервный адрес электронной почты (отличный от того, который привязан к аккаунту).

Если нет второй резервной почты, зарегистрируйте ее. Необязательно на gmail, можно на yandex или mail.

Недавние события

В этом разделе вы видим последние изменения в аккаунте за последние 28 дней. Если вы обнаружили необычную активность, например, вход с нового устройства из другой страны, сразу меняйте пароль в своем аккаунте.

К счастью, мой аккаунт надежно защищен – подозрительной активности нет.

Ваши устройства

Показывает, какие устройства привязаны к вашему аккаунту Google. У меня это 2 телефона Galaxy A5.

Здесь же можно найти потерянный или украденный телефон. Потребуется войти в свой аккаунт гугл. Подробнее .

Вы можете управлять подключенными устройствами. Можно закрыть доступ к аккаунту Гугл либо найти потерянный телефон.

Сторонние приложения с доступом к аккаунту

Показывает, каким сайтам, играм и программам вы дали доступ к некоторым данным вашего аккаунту Google. Среди этих данных могут оказаться конфиденциальные сведения. Закройте доступ приложениям, если не доверяете им.

Ненадежные приложения, у которых есть доступ к аккаунту

Приложениям и устройствам, использующим ненадежные технологии входа, доступ к аккаунту автоматически закрыт в целях безопасности. Не рекомендую включать доступ.

Вход на другие сайты через аккаунт Google

Здесь доступны 2 опции: вход через аккаунт Гугл и просмотр сохраненных паролей.

Вы можете использовать свой аккаунт Гугл для авторизации в некоторых играх и приложениях, на сайтах. Список таких программ и сайтов можно посмотреть здесь же.

Благодаря сохранению паролей в браузере Chrome и Андроид можно автоматически заходить на некоторые сайты в Интернете, где раньше вы уже входили по паролю. Нажмите на опцию «Сохраненные пароли” для настройки и редактирования паролей.

Доступна настройка «Предлагать сохранение паролей”. При вводе пароля в браузере Хром будет предложено сохранить этот пароль. Тут же перечислены все сохраненные пароли и сайты, для которых пароли не сохраняются.

Настройки доступа

Четвертая вкладка в Аккаунте Google выводит настройки контактов, передачи геоданных, доступа к личным данным и ваши рекомендации в объявлениях (о них уже писал выше в статье).

Контакты

Настройте список контактов, чтобы было проще общаться с другими пользователями в сервисах Google, например в почте gmail.

Вы можете вручную добавить контакты,а также включить автоматическое сохранение контактной информации пользователей, с которыми вы общаетесь через сервисы Гугл (gmail). Так будет проще найти нужного адресата.

Либо можно заблокировать пользователей, с которыми не хотите больше общаться. Никаких писем, уведомлений от них больше не увидите.

Передача геоданных

Эта функций позволяет вам делиться своим местоположением с выбранными людьми (на телефоне должна быть включена функция «История местоположений”). Часто родители активируют эту опцию, чтобы знать, где находится ребенок, куда он идет после школы.

Доступ к данным о вас

Настройте доступ, чтобы другие пользователи сервисов Гугл могли видеть ваши данные: имя, дата рождения, место проживания и др.

Дополнительно установите настройки Google+: получение оповещений, доступ к вашим публикациям. возможность писать вам сообщения и др.

Платежи и подписки

В этой последней вкладке можно установить и настроить способы оплаты товаров и услуг в интернете, следить за вашими покупками и платными подписками. А также управлять бронированиями – о них я уже писал.

Способы оплаты

Добавьте свою пластиковую карту в платежную систему Google Pay и делайте платежи в интернете и магазинах удобными и безопасными. Для оплаты в магазине в телефоне должен быть чип NFC – просто подносите телефон к терминалу оплаты на расстояние 1-2 см, и оплата произведена. Подобный способ оплаты можно использовать во всех общественных местах, где есть платежные терминалы – в торговых центрах, метро, общественном транспорте, кинотеатрах.

Покупки

Здесь сохраняется история всех ваших покупок, включая переводы и платежи в интернет-магазине. Данные поступают из Гугл Ассистента, Gmail или Google Pay.

Подписки

Информация о подписках на различные сервисы: музыкальные новостные, youtube premium и другие. В настройках можете продлить подписку, либо отказаться от нее.

Ну и о бронированиях я уже писал ранее в этой статье. В этом разделе собрана вся информация об авиабилетах, брони отелей, ресторанов, театров, если все эти бронирования вы делали через сервису Гугл или получили подтверждение брони на почту gmail.

Что такое «мобильный аутентификатор Steam Guard»?

Это одна из функций мобильного приложения Steam, позволяющая защитить аккаунт. Аутентификатор генерирует код, который нужно вводить при каждом входе в аккаунт Steam. Этот одноразовый код меняется каждые 30 секунд, и его невозможно угадать.

Такая система защиты, зачастую называемая «двухфакторной», эффективнее, чем использование только логина и пароля.

Кроме того, Valve настоятельно рекомендует прикрепить к аккаунту номер телефона, с помощью которого будет намного легче восстановить аккаунт при необходимости.

Для работы аутентификатора не нужен доступ к интернету, но на вашем телефоне должно быть установлено верное время.

Для чего необходимо добавить номер телефона на аккаунт Steam?

Прикрепив к аккаунту свой номер телефона, вы получите больше возможностей для восстановления аккаунта, если забудете пароль или если аккаунт украдут. Вы сможете сбросить пароль с помощью СМС-сообщения или перенести мобильный аутентификатор с одного телефона на другой.

Как добавить номер телефона?

Чтобы добавить или изменить номер телефона на вашем аккаунте, пожалуйста, сделайте следующее:

• Войдите в свой аккаунт Steam через клиент или браузер и нажмите на своё имя персоны в верхнем правом углу.
• Выберите «Об аккаунте» в выпадающем меню.
• В разделе «Контактная информация» нажмите «Привязать телефон». Если номер телефона уже был добавлен, вы увидите кнопку «Управление номером телефона».
• Введите номер телефона и нажмите «Далее». Вы получите СМС-сообщение с кодом подтверждения. Введите этот код, чтобы подтвердить, что вы ввели верный номер телефона.
• Готово!

Теперь вы сможете сбросить пароль или перенести мобильный аутентификатор Steam Guard с одного телефона на другой с помощью СМС-сообщений.

Пожалуйста, обратите внимание: к аккаунту Steam может быть привязан только один номер телефона.

Как включить мобильный аутентификатор?

Как войти в аккаунт, используя аутентификатор?

Если аутентификатор активирован, то после ввода логина и пароля вас попросят ввести сгенерированный код.

• Откройте мобильное приложение Steam. Если вы вошли в свой аккаунт, перейдите в раздел Steam Guard (самый первый раздел в меню) и введите код оттуда (если вы не вошли в свой аккаунт, то увидите текущий код на странице входа).
• Введите текущий код, когда его запросят. Не волнуйтесь, если код на экране телефона станет красным и поменяется — его действие не истекает мгновенно.

Код нельзя использовать больше одного раза, также нельзя использовать старые коды. Если вы только что использовали один код, дождитесь появления другого.

Никому не сообщайте код аутентификатора и не вводите его нигде, кроме официальных сайтов Valve. Служба поддержки Steam никогда не запросит ваши коды.

Где я могу посмотреть свой код аутентификатора?

Текущий код аутентификатора можно получить в мобильном приложении Steam.

• Откройте мобильное приложение Steam.
• Если вы не вошли в свой аккаунт, то увидите текущий код на странице входа.
• Если вы вошли в свой аккаунт, перейдите в раздел Steam Guard, где вы сможете найти код.

Можно ли использовать двухфакторную защиту, если у меня нет телефона?

Пока что нет. Поддержка независимых аутентификаторов может появиться в будущем, но в данный момент она отсутствует.

Как лучше всего воспользоваться двухфакторной защитой?

Прежде всего уясните, что улучшенная защита вашего аккаунта не делает его неуязвимым.

• Никому не сообщайте свой пароль или код мобильного аутентификатора.
• Не вводите свой логин, пароль или код аутентификатора нигде, кроме официальных сайтов Valve. Проверяйте каждую ссылку. Зачастую взломщики пытаются сделать вредоносные ссылки похожими на официальные. Если сомневаетесь — не переходите по ним.
• Никому не сообщайте свой пароль или код аутентификатора. Как служба поддержки Steam, так и сотрудники Valve никогда не будут запрашивать ваши коды.
• Не загружайте и не запускайте программы, которые вам предложили по электронной почте или в чате: в абсолютном большинстве случаев они являются вредоносными.
• Не загружайте и не запускайте программы, которые предлагают очистить или улучшить работу Steam: такие программы могут оказаться вредоносными.

Также советуем распечатать запасные коды восстановления, которыми можно воспользоваться в экстренном случае.

Как отключить мобильный аутентификатор Steam Guard?

Чтобы убрать двухфакторную защиту со своего аккаунта, откройте мобильное приложение Steam, перейдите в раздел Steam Guard и выберите «Удалить аутентификатор». Подтвердите удаление в появившемся окне подтверждения, вновь нажав «Удалить аутентификатор».

На каких устройствах работает мобильный аутентификатор Steam Guard?

Мобильный аутентификатор работает на всех устройствах с операционной системой iOS версии 6.1 и выше, Android версии 2.2 (Froyo) и выше, а также Windows версии 8.1 и выше.

Устранение неполадок

Если вы не можете войти в аккаунт с помощью мобильного аутентификатора Steam, восстановите доступ к нему на нашем сайте поддержки: help.steampowered.com

Почему мои предметы на удержании?

Если аккаунт не защищён мобильным аутентификатором Steam на протяжении предыдущих 7 дней, то все обмены и продажи предметов на Торговой площадке будут удержаны сроком на 15 дней. Удержания предметов не будет в случае, если ваш аккаунт защищён мобильным аутентификатором Steam более 7 дней. Добавление мобильного аутентификатора не снимет уже применённого удержания обменов или выставленных на продажу предметов.

У меня неожиданно пропал доступ к аккаунту в мобильном приложении, и я больше не вижу кодов аутентификации. Что мне делать?

Пожалуйста, убедитесь, что вы используете самую новую версию приложения, и попробуйте закрыть приложение и запустить его снова. Эта проблема встречается редко, и обычно она разрешается повторным запуском приложения. Не удаляйте и не устанавливайте приложение снова. Если вы удалите приложение с вашего устройства, вам нужно будет восстановить аутентификатор на сайте https://help.steampowered.com.

Помогите! У меня больше нет доступа к старому телефону, и я не могу войти в свой аккаунт! Что делать?

Если это возможно, свяжитесь со своим оператором мобильной связи и попросите новую SIM-карту с прежним номером. Steam сможет отправлять СМС-уведомления на него, и вы сможете восстановить аккаунт, следуя инструкциям ниже.

Если у вас нет доступа к телефону и вы не помните код восстановления, обратитесь в службу поддержки Steam. Нажмите на кнопку «Мне нужна помощь», располагающуюся на этой странице справа сверху, чтобы вам смогли помочь отключить аутентификатор. Если у вас нет доступа к адресу электронной почты, связанному с вашим аккаунтом Steam, в обращении предоставьте доказательство владения аккаунтом.

Мои коды аутентификатора не работают!

Если вы не можете войти в аккаунт с помощью кодов аутентификатора:

• Проверьте, верно ли отображается время на вашем телефоне. Коды аутентификатора генерируются на основе времени, установленного на телефоне, и если оно неверное, то и код будет неверным.
• Если аутентификатор используется на нескольких ваших аккаунтах, убедитесь, что вводите коды для нужного.

Аутентификатор можно открепить от аккаунта; подробнее об этом написано в соответствующем разделе.

Можно ли перенести аутентификатор на новый телефон?

Да, можно.

Вам потребуется доступ к номеру телефона, который привязан к вашему аккаунту (для подтверждения с помощью СМС-сообщения), или код восстановления, который вы записали при активации аутентификатора.

Войдите в свой аккаунт в мобильном приложении Steam на новом устройстве. Когда вас попросят ввести код аутентификатора, выберите «Помогите! У меня больше нет доступа к кодам аутентификатора». Следуйте пошаговой инструкции в приложении, чтобы перенести аутентификатор на новое устройство или отключить аутентификатор на старом.

После переноса аутентификатора любые обмены и лоты на торговой площадке будут удержаны на несколько дней в целях защиты ваших предметов в случае, если эти изменения были сделаны не вами. Дополнителную информацию можно найти в статье «Удержание предметов Steam».

Я собираюсь купить новый телефон. О чём нужно позаботиться?

Если вы сохраняете прежний номер телефона, заранее ничего делать не нужно. После приобретения нового телефона вы можете перенести на него аутентификатор, воспользовавшись инструкциями в ответе на предыдущий вопрос.

Если на старом телефоне, номером которого вы не сможете воспользоваться в будущем, включена двухфакторная аутентификация, необходимо:

• Открепить аутентификатор (перейдите в меню Steam Guard и выберите «Удалить аутентификатор»). Заметьте, что выполнив это действие, вы не сможете обмениваться и использовать Торговую площадку в течение 15 дней. Поэтому вместо этого рекомендуется перенести аутентификатор при первой возможности.
• Выйти из своего аккаунта (через меню «Выйти» на iOS или через меню «Настройки» — «Выйти» на Android).

Перед продажей или передачей телефона рекомендуется сбросить его до заводских настроек и удалить из него личную информацию.

Как удалить номер телефона со своего аккаунта?

Войдите в свой аккаунт через магазин Steam, затем:

• Перейдите на страницу «Об аккаунте» (в выпадающем меню под вашим именем персоны в самом верху страницы).
• Выберите «Управление номером телефона».
• Выберите «Удалить номер телефона».
• Чтобы удалить номер, нужно ввести код из аутентификатора или СМС. Выберите один из этих вариантов и следуйте дальнейшим указаниям.

Можно ли получить запасные коды на случай, если я потеряю свой телефон?

Да, можно сгенерировать запасные коды для экстренных случаев. Сделать это довольно просто:

• Войдите в свой аккаунт Steam.
• В выпадающем меню под вашим логином в правом верхнем углу страницы выберите «Об аккаунте».
• Выберите «Настройка Steam Guard».
• Выберите «Получить запасные коды».
• Введите текущий код аутентификатора (или полученный ранее код восстановления).
• Вы увидите страницу с кодами, которые можно использовать вместо кодов, генерирующихся телефоном. Кроме того, при каждом создании новых кодов и использовании одного из них вы получите уведомление по электронной почте.

Советуем распечатать эти коды, а не сохранять их на своём компьютере. Не делайте скриншот с ними.

Код восстановления не был сохранен. Как его найти?

Войдите в свой аккаунт в мобильном приложении Steam, и на странице Steam Guard вы увидите пункт «Код восстановления». В целях безопасности вы не увидите код восстановления, если не сможете войти в мобильное приложение.

Я не получаю СМС-уведомления!

Если вы не получаете СМС-уведомления от Steam, убедитесь, что ваш оператор мобильной связи позволяет получать их. Сообщения могут приходить с 6-значного номера, и вам необходимо удостовериться, что ваш оператор поддерживает получение сообщений с подобных номеров. Steam также не отправляет слишком много СМС за короткий промежуток времени, поэтому стоит подождать и повторить попытку в течение часа. Также убедитесь, что папка со входящими сообщениями не переполнена.

Почему мой номер телефона не подходит?

Для начала убедитесь, что вводите свой номер телефона в международном формате (начинается со знака + и кода страны).

Проверьте правильность кода страны (Steam автоматически выбирает страну вашего проживания, но ее можно сменить вручную в меню под полем ввода для телефона).

Valve не работает с некоторыми номерами — в частности, с номерами, использующими технологию VOIP, а также с номерами, на которые невозможно отправить СМС. Если ваш номер отклоняется, и вы считаете, что это происходит по ошибке, свяжитесь со службой поддержки Steam.

Общие вопросы

Почему нельзя добавлять номера, использующие технологию VOIP?

Valve не работает с номерами, использующими технологию VOIP, поскольку они не могут обеспечить должный уровень защиты. Если вы не можете добавить номер, потому что система определяет его как использующий технологию VOIP, вам необходимо воспользоваться другим мобильным номером. Некоторые операторы используют технологию VOIP для предоставления услуг мобильной связи, но у нас нет возможности поддерживать подобные номера. Вы получите уведомление, если введённый вами номер не может быть использован.

Можно ли использовать несколько телефонов одновременно для аутентификации?

Нет, для одного аккаунта можно использовать только один аутентификатор.

Можно ли использовать один номер телефона на нескольких аккаунтах одновременно?

Да. Вы можете использовать один номер телефона на нескольких аккаунтах. Для этого вам нужно войти в каждый аккаунт в мобильном приложении Steam и следовать инструкциям по активации мобильного аутентификатора. В мобильном приложении будут появляться коды для всех аккаунтов независимо от того, в какой аккаунт вы войдете. Аккаунты, привязанные к одному номеру телефона, могут рассматриваться как один в случае нарушения соглашения подписчика службы Steam, правил и ограничений Steam.

Нужно ли платить за СМС, которые мне приходят?

Может взиматься стандартная плата за СМС, уточнить это можно в информации о вашем тарифном плане.

Почему при входе в Steam после сохранения данных мне не предлагается ввести код?

Чтобы ускорить процесс входа в аккаунт, мы не запрашиваем код, если вы сохранили данные для входа в Steam. Если вы хотите, чтобы код запрашивался при каждом входе, не сохраняйте данные о входе: зайдите в настройки клиента Steam, выберите вкладку «Аккаунт» и поставьте галочку напротив опции «Не сохранять данные на этом компьютере».

Применяются ли VAC и игровые блокировки ко всем аккаунтам, привязанным к одному номеру телефона?

Если аккаунт, к которому привязан номер телефона, получит блокировку VAC или игровую блокировку, все аккаунты, использующие тот же номер телефона, также будут заблокированы. Даже если на других аккаунтах нет заблокированной игры, на них невозможно будет приобрести эту игру по причине блокировки.

Блокировка, связанная с номером телефона, не поддерживается во всех играх и применяется по усмотрению разработчиков.

Когда вы защитите свою учетную запись Google при помощи двухэтапной аутентификации, вам необходимо ввести код для завершения входа. Вы сможете получить этот код из текстового сообщения, голосового вызова, приложения Google Authenticator, а также ключа безопасности.

Бывают случаи, когда у вас нет телефона или ключа безопасности с вами. Для этих чрезвычайных ситуаций будьте готовы; распечатайте список кодов резервных копий Google и сохраните их в безопасном месте, о котором вы только знаете.

Печать или загрузка резервных кодов Google с помощью компьютера, iPhone или iPad

После того, как вы настроили свою учетную запись Google с двухэтапной аутентификацией, распечатайте или загрузите набор резервных кодов.

Чтобы получить резервные коды:

1. Войдите в свою учетную запись Google.

2. Перейдите на страницу 2-Step Verification. Вам нужно будет ввести свой пароль второй раз для доступа к этой странице.

3. Прокрутите вниз до раздела «Резервные коды» и выберите «Создать».

4. Выберите «Загрузить», чтобы сохранить текстовый файл, содержащий коды, на ваш компьютер, iPhone или iPad. Или выберите «Печать» для печати кодов.

5. Если ваши резервные коды потеряны или вы использовали все коды, выберите «Получить новые коды». У вас будет новый список кодов для работы, а старый набор резервных кодов станет неактивным.

Создание резервных кодов Google на Android

Шаги по созданию резервных кодов на телефоне или планшете Android несколько отличаются:

1. Откройте в телефоне «Настройки», затем откройте «Учетные записи» > «Google» > «Управление учетной записью Google».

2. Выберите Безопасность.

3. Выберите двухэтапную аутентификацию. Возможно, вам потребуется ввести свой пароль.

4. В разделе «Коды резервных копий» выберите «Показать коды».

5. Выберите «Загрузить», чтобы сохранить текстовый файл, содержащий коды, на телефон или планшет Android. Или выберите «Печать» для печати кодов.

Найдите коды Google на своем компьютере

Если после загрузки вы не сможете найти свои резервные коды Google, выполните поиск на вашем компьютере для текстового файла. Коды резервных копий находятся в файле под названием Backup-codes-username.txt, где имя пользователя — это ваше имя учетной записи Google.

Как использовать резервные коды Google Authenticator для входа в систему

Когда вам нужно использовать резервный код для входа в свою учетную запись Google, найдите свой список резервных кодов перед входом в систему.

Вот как войти в систему с резервным кодом:

1. Перейдите в Google, Gmail или другую службу Google и выберите «Войти».

2. Выберите свою учетную запись или введите адрес электронной почты Gmail.

3. Введите свой пароль и выберите «Далее».

4. Выберите Дополнительные параметры.

5. Выберите и введите один из 8 — значных резервных кодов.

6. Введите резервный код.

Внимание: когда вы используете код, его нельзя использовать снова. Не забудьте вычеркнуть его из своего списка.