Некоторые биржи, чтобы улучшить пользовательский опыт, позволяют пользователям отменять сложные операции в некоторых платежных сценариях, отменяя ввод пароля Google Authenticator.

Учитесь с GPT, почему всем обязательно нужно включить Google Authenticator, обязательно использовать отдельный телефон, который не подключен к сети, для установки Google Authenticator, каковы его криптографические принципы?

Почему «офлайн телефон + Google Authenticator» наиболее безопасен?

Потому что по сути это секретный ключ (Secret Key), который хранится только на вашем телефоне и никогда не загружается, плюс математические часы.

Вы можете представить это так: в вашем телефоне скрыт «генератор паролей для сейфа», о котором знаете только вы, и который автоматически меняет пароль каждые 30 секунд. Этот генератор работает без подключения к интернету, потому что ему не нужны данные с серверов.

Когда вы включаете Google Authenticator, вы сканируете QR-код, который содержит случайно сгенерированный ключ длиной от 20 до 32 байт (секрет). Этот ключ будет существовать только в двух местах: на вашем Google Authenticator (в оффлайн-режиме на телефоне) и на сервере платформы (например, бирже). Google совершенно не знает ваш ключ, и никто не может украсть его удаленно, потому что ничего не загружается. Без ключа невозможно сгенерировать ваш код подтверждения, который обновляется каждые 30 секунд.

Код подтверждения "вычисляется", а не "передается". Google Authenticator каждые 30 секунд показывает вам 6-значный код, который на самом деле не получен с сервера, а вычисляется на основе ключа + текущего времени с использованием математической формулы. Даже без интернета его можно вычислить, поэтому оффлайн более безопасно.

Даже если хакеры знают ваш логин и пароль, они не смогут вычислить ваш код, потому что у хакеров нет вашего Secret Key (ключа), и этот ключ никогда не покинет ваш телефон.

СМС/электронная почта могут быть перехвачены или украдены, но оффлайн телефон не может. СМС могут быть: хакерским социальным инжинирингом, заменой SIM-карты оператором; перехватом SMS-шлюза; перехватом протокола SS7; чтением СМС вредоносным приложением. Электронная почта также может: быть атакована методом подбора паролей, атакой «человек посередине», фишингом, чтением сессии браузером с помощью вредоносного ПО. Но оффлайн телефон, который не вставлен в сеть, не подключен к интернету, без SIM-карты и социальной сети: у хакеров нет никакой возможности получить к нему удалённый доступ. Это называется "физическая изоляция безопасности".

Почему Google Authenticator может работать в офлайн-режиме?

Поскольку он использует стандарт криптографии под названием TOTP, что расшифровывается как: одноразовый пароль, основанный на времени. Его основная особенность заключается в том, что требуется всего лишь один общий ключ + время, не требуется сеть, не требуется сервер, все вычисления происходят локально.

Самый наглядный и прямолинейный пример для новичков:

Первый шаг: вы делитесь с сервером секретным ключом (Secret Key), как вы и платформа делите секретное семя в специальном калькуляторе, обе стороны сохраняют этот ключ.

Шаг второй: обе стороны одновременно смотрят на "единые мировые часы", время является общественной инфраструктурой, глобально едино: каждые 30 секунд временной интервал (например, 1234567890, 1234567920 …), как если бы два человека одновременно смотрели на один и тот же "секундомер".

Шаг 3: Используйте универсальную математическую машину для вычисления чисел (HMAC-SHA1). Как Google Authenticator, так и сервер выполняют: код подтверждения = HMAC-SHA1( ключ + текущее время ) % 1,000,000, не беспокойтесь о том, что такое HMAC-SHA1, просто знайте: это математическая мешалка, которая смешивает "ключ + время" в необратимую форму. Изменение 1 бита приведет к полному изменению числа. Обе стороны используют один и тот же ключ, одно и то же время → получают один и тот же шестизначный код. Поскольку формула полностью открыта, а алгоритм может быть проверен всеми, то: нет задних дверей, не зависит от Google, любой человек в мире может создать свой собственный аутентификатор.

Почему Google Authenticator может полностью работать в оффлайне? Потому что для генерации кода подтверждения требуется только: ключ (который вы уже сохранили локально), время (время системы телефона), математическая функция (HMAC-SHA1, встроенная в программу). Таким образом, ни один из этих элементов не требует подключения к интернету, достаточно, чтобы телефон был заряжен, и он будет вычислять.

Почему офлайн-телефоны безопаснее онлайн-телефонов? Потому что онлайн-телефоны могут подвергаться вредоносным программам, утечкам облачной синхронизации, троянским приложениям, удаленному контролю хакеров, подслушиванию браузера, взлому облачного резервного копирования. В то время как офлайн-телефоны не подключены к сети, не входят в социальные учетные записи, не устанавливают приложения из магазинов, не вставляют SIM-карты и не включают WiFi. Полная физическая изоляция = очень высокая безопасность. Такие телефоны в области безопасности называются: Air-gapped device (воздушно изолированное устройство), что является высшим стандартом для армии, разведывательных служб, банков и криптографических систем.

Насколько безопасен оффлайн Google аутентификатор? Чтобы взломать вашу 2FA, хакер должен одновременно получить: ваш пароль от аккаунта, секретный ключ (невидимый) на вашем телефоне, физический доступ к вашему оффлайн телефону, скопировать ключ до того, как вы это заметите, правильно рассчитать временной интервал, что на практике практически невозможно.