Войти
 | |
| Разработчик (и) | |
|---|---|
| Первый выпуск | 20 сентября 2010 г.; 10 лет назад (20.09.2010) |
| Репозиторий | github.com / google / google-authentication |
| Операционная система | Android, iOS, BlackBerry OS |
| Платформа | Мобильная |
| Лицензия | Собственная бесплатное ПО (предыдущие версии находились под лицензией Apache 2.0) |
| Веб-сайт | play.google.com / store / apps / details? Id = com.google.android.apps.authenticator2 |
Google Authenticator - это программный аутентификатор от Google, который реализует службы двухэтапной проверки. с использованием алгоритма одноразового пароля на основе времени (TOTP; указано в RFC 6238 ) и алгоритма одноразового пароля на основе HMAC (HOTP; указано в RFC 4226 ) для аутентификации пользователей программных приложений.
При входе на сайт, поддерживающем Authenticator (включая службы Google), или при использовании сторонних приложений, поддерживающих Authenticator, таких как пароль менеджеры или сервер файлового хостинга ices, Authenticator генерирует одноразовый пароль , состоящий из шести-восьми цифр,, который пользователи должны вводить в дополнение к своим обычным данным для входа.
Предыдущие версии программного обеспечения были с открытым исходным кодом, но с 2013 года выпуски проприетарные.
Чтобы использовать Authenticator, приложение сначала устанавливается на смартфон. Его необходимо настроить для каждого сайта, с которым он будет использоваться: сайт предоставляет пользователю общий секретный ключ по защищенному каналу, который будет храниться в приложении Authenticator. Этот секретный ключ будет использоваться для всех будущих входов на сайт.
Для входа на сайт или службу, которые используют двухфакторную аутентификацию и поддерживают Authenticator, пользователь предоставляет имя пользователя и пароль для сайт, который вычисляет (но не отображает) требуемый шестизначный одноразовый пароль и просит пользователя ввести его. Пользователь запускает приложение Authenticator, которое независимо вычисляет и отображает тот же пароль, который вводит пользователь, подтверждая свою личность.
При таком виде двухфакторной аутентификации простого знания имени пользователя и пароля недостаточно. взломать аккаунт пользователя; злоумышленнику также необходимо знать общий секретный ключ или физический доступ к устройству, на котором запущено приложение Authenticator. Альтернативный путь атаки - это атака «человек посередине» : если компьютер, используемый для входа в систему, взломан трояном, то имя пользователя, пароль и одноразовый пароль может быть захвачен трояном, который затем может инициировать свой собственный сеанс входа на сайт или отслеживать и изменять обмен данными между пользователем и сайтом.
Во время установки поставщик услуг генерирует 80-битный секретный ключ для каждого пользователя (тогда как RFC 4226 §4 требует 128 бит и рекомендует 160 бит). Он передается в приложение Authenticator в виде строки base32 из 16, 26 или 32 символов или в виде QR-кода.
. Впоследствии, когда пользователь открывает приложение Authenticator, он вычисляет HMAC - SHA1 хеш-значение с использованием этого секретного ключа. Сообщение, которое редактируется HMAC, может быть:
Часть HMAC извлекается и отображается пользователю в виде шестизначного кода.
Google Authenticator использует параметры по умолчанию, которые слабее, чем предложенные в RFC 6238. Такие значения по умолчанию могут быть разумно использованы, как показано в механизме взлома TOTP Hashcat. По этой причине операторы, использующие Google Authenticator, должны позаботиться об используемых секретах.
Приложение Google Authenticator для Android изначально было с открытым исходным кодом, но позже стал проприетарным. Google сделал более ранний исходный код своего приложения Authenticator доступным в своем репозитории GitHub ; на соответствующей странице разработки говорится:
«Этот проект с открытым исходным кодом позволяет вам загрузить код, который поддерживает версию 2.21 приложение. Последующие версии содержат специфические для Google рабочие процессы, которые не являются частью проекта ".
Согласно Google A uthenticator перестал быть открытым исходным кодом, был создан клон бесплатного программного обеспечения под названием FreeOTP, преимущественно заново переписанный, но включающий некоторый код из оригинала.
Google предоставляет версии Authenticator для Android, BlackBerry и iOS.
Доступно несколько других версий программного обеспечения для аутентификации. Те, кто использует TOTP и HMAC в дополнение к другой двухфакторной аутентификации, могут аутентифицироваться на тех же сайтах и процессах, что и Google Authenticator. Некоторые из перечисленных программ доступны в версиях для нескольких платформ.
