Деякі біржі для зручності користувачів дозволяють скасувати складні дії в деяких платіжних сценаріях, скасувавши введення пароля Google Authenticator.

Слідуючи за GPT, чому всім обов'язково потрібно активувати Google Authenticator, чому обов'язково потрібно встановити Google Authenticator на окремий телефон, який не підключений до Інтернету, які його криптографічні принципи?

Чому "офлайн телефон + Google Authenticator" є найбезпечнішим?

Оскільки це по суті секретний ключ (Secret Key), який зберігається тільки на вашому телефоні і ніколи не завантажується, плюс математичний годинник.

Ти можеш уявити це як: у твоєму телефоні схований «генератор паролів сейфа», про який знаєш тільки ти, який автоматично змінює пароль кожні 30 секунд. Цей генератор може працювати без підключення до Інтернету, оскільки йому не потрібні жодні серверні дані.

Коли ви активуєте Google Authenticator, ви скануєте QR-код, який містить випадково згенерований ключ довжиною від 20 до 32 байтів (Secret). Цей ключ існує лише в двох місцях: у вашому Google Authenticator (на офлайн телефоні) та на сервері платформи (такій як біржа). Google не знає вашого ключа, і ніхто не може вкрасти його віддалено, оскільки він нічого не завантажує. Без ключа неможливо згенерувати ваш код підтвердження, що змінюється кожні 30 секунд.

Код підтвердження "вираховується", а не "передається". Google Authenticator кожні 30 секунд показує вам 6-значне число, яке насправді не отримується з сервера, а обчислюється за допомогою ключа + поточного часу за допомогою математичної формули. Навіть без мережі його можна обчислити, тому офлайн режим є безпечнішим.

Навіть якщо хакер знає ваш пароль, він не зможе обчислити ваш код підтвердження, адже хакер не має вашого Secret Key (ключа), а цей ключ ніколи не покине ваш телефон.

СМС/електронна пошта можуть бути перехоплені або вкрадені, але офлайн телефон не може. СМС можуть бути: хакерською соціальною інженерією, заміною картки оператором; перехопленням SMS-шлюзу; перехопленням протоколу SS7; читанням СМС через троянські програми. Електронна пошта також може: бути зламаною, атакою «людина посередині», фішингом, читанням сесії через троянський браузер. Але офлайн телефон, який не має SIM-карти, не підключений до Інтернету та не має соціальних мереж: хакери не мають жодного способу віддалено отримати доступ до нього. Це «фізична ізоляційна безпека».

Чому Google Authenticator може працювати офлайн?

Тому що він використовує набір криптографічних стандартів, званий TOTP, що означає: одноразовий пароль на основі часу. Його основна характеристика полягає в тому, що для його роботи потрібен лише спільний ключ + час, без необхідності в мережі або сервері, він повністю обчислюється локально.

Використовуючи найбільш наочний і простий метафоричний приклад для новачка:

Перший крок: ви ділитеся з сервером секретним ключем (Secret Key), як ви і платформа ділилися секретним насінням у спеціальному калькуляторі, обидві сторони зберігають цей ключ.

Другий крок: обидві сторони одночасно дивляться на "годинник, що єдине для всього світу", час є публічною інфраструктурою, глобальною єдністю: кожні 30 секунд - це часовий шматок (наприклад, 1234567890, 1234567920 …), як дві людини, які одночасно дивляться на один і той же "секундомір".

Третій крок: використовуйте єдиний математичний механізм для обчислення цифрового коду (HMAC-SHA1). Google Authenticator і сервер виконують: код перевірки = HMAC-SHA1( ключ + поточний час ) % 1,000,000, не звертайте уваги на те, що таке HMAC-SHA1, просто знайте: це математичний змішувач, який змішує "ключ + час" в незворотний спосіб. Зміна 1 біт призведе до повної зміни числа. Обидві сторони використовують один і той же ключ, один і той же час → отримують однаковий шестизначний код. Оскільки формула повністю відкрита, алгоритм може бути перевірений будь-ким, тому: немає бекдорів, не залежить від Google, будь-хто у світі може створити свій власний аутентифікатор.

Чому Google Authenticator може повністю працювати в офлайні? Тому що для генерації коду підтвердження потрібно лише: ключ (ви вже зберегли його локально), час (системний час телефону), математична функція (HMAC-SHA1, вбудована в програму). Отже, жоден з цих елементів не потребує підключення до Інтернету, поки телефон має заряд, він буде обчислювати.

Чому офлайн телефон безпечніший за онлайн телефон? Тому що онлайн телефони можуть піддаватися шкідливому програмному забезпеченню, витоку через хмарну синхронізацію, троянським програмам, віддаленому контролю хакерами, прослуховуванню браузера, зламу хмарних резервних копій. Офлайн телефони не підключаються до мережі, не входять до соціальних акаунтів, не встановлюють магазини додатків, не використовують SIM-картки, не вмикають WiFi. Повна фізична ізоляція = дуже високий рівень безпеки. Такі телефони в безпековій індустрії називають: Air-gapped device (пристрій з повітряною ізоляцією), це найвищий стандарт для армії, розвідувальних агентств, банків та криптографічних систем.

Наскільки безпечний офлайн Google Authenticator? Щоб зламати вашу 2FA, хакер повинен одночасно отримати: ваш пароль до акаунта, секретний ключ на вашому телефоні (невидимий), фізичний доступ до вашого офлайн телефону, скопіювати ключ до того, як ви помітите, правильно обчислити часовий інтервал, що насправді майже неможливо.