Двух-факторная аутентификация в TeamViewer при помощи Google Authenticator
Одна из самых популярных программ удаленного доступа TeamViewer не предлагает встроенной возможности двух-факторной аутентификации. При запуске TeamViewer генерирует короткий пароль и получает от сервера короткий Номер для полного доступа на текущий компьютер. Насколько это безопасно? Есть ли вероятность того, что кто-то подключится к корпоративному компьютеру еще раз когда никого не будет на месте?
Программа Rohos Logon Key предлагает защитить сессии TeamViewer с помощью дополнительного одноразового пароля, реализуя таким образом двух-факторную аутентификацию — пароль TeamViewer а также одноразовый пароль Google Authenticator.
Преимущества защиты с помощью двух-факторной аутентификации:
- Использование одноразовых паролей которые можно использовать только один раз
- Неиспользованный одноразовый пароль становиться недействительным через 5 минут
- Нет необходимости сообщать удаленной стороне пароль от учетной записи Windows
- При создании новой сессии через TeamViewer программа Rohos Logon Key автоматически блокирует десктоп для запроса двух-факторной аутентификации (экспериментальный функционал бетта версии)
- Двух-факторная авторизация может применяться только для TeamViewer сессий (экспериментально)
После установки TeamViewer ваш компьютер получает уникальный идентификатор и пароль, по которым удаленный специалист может подключиться и работать на вашем компьютере как на своем собственном. А что происходит потом, когда сеанс его работы заканчивается? Возможно ли, что потом он или кто-то другой снова сможет зайти на ваш компьютер используя те же данные, которые вы передали специалисту? Учтем, что удаленный специалист может сам стать жертвой хакерской атаки и его рабочие данные могут быть также похищены.
Многое зависит от режима работы вашего компьютера. Если вы регулярно выключаете его или делаете выход из текущего пользовательского профиля Windows, вы защищены в большей степени чем если вы оставляете компьютер включенным или погружаете его в спячку, просто закрывая крышку ноутбука. Дело в том, что идентификатор вашего компьютера в службе TeamViewer остается неизменным навсегда, а вот пароль меняется с каждым новым сеансом работы в Windows. Значит, если вы оставляете компьютер включенным, то человек, владеющий вашим идентификатором и паролем, может подключиться к вашему компьютеру в любое время.
Следовательно, первое правило безопасности при работе с TeamViewer — перезагрузите компьютер после завершения работы удаленного специалиста. Если реализовать это правило нет возможности, например, если компьютер выполняет роль сервера или на нем должны без перерыва работать какие-то программы, хотя бы заблокируйте компьютер. Для его разблокировки злоумышленнику нужно будет знать пароль Windows, а его вы никому не давали.
Отсюда вытекает второе правило: не стоит давать кому-либо пароль от вашей учетной записи Windows, даже удаленному специалисту, работающему через TeamViewer. Если он ему понадобится, специалист может попросить вас ввести его самостоятельно в диалоговых окнах Windows. Но будьте внимательны, смотрите, в какие окна вы вводите пароль.
Допустим, вы работаете в общем пространстве с другими людьми и должны ограничить доступ к компьютеру в свое отсутствие, не выключая его. Если вы видите, что удаленный специалист долго ничего не делает на компьютере и вы должны куда-то отойти, просто заблокируйте компьютер. Выполните комбинацию клавиш Win+L.
Заблокировать компьютер может и удаленный специалист по Teamveawer, например, если ему нужно сделать паузу в работе. Чтобы возобновить работу ему придется снова вам позвонить, чтобы вы разблоавтокировали компьютер. А если вас нет на месте? Можно ли придумать что-нибудь, чтобы дать возможность разблокировать компьютер, не находясь непосредственно возле него и не предоставляя пароля?
Для этой цели мы предлагаем использовать программу Rohos Logon Key с одноразовым паролем (OTP) вместо пароля Windows. Для разблокировки компьютера удаленный специалист позвонит вам и спросит OTP.
В чем преимущество одноразового пароля по сравнению с обычным?
- Одноразовый пароль (OTP) состоит из 6 цифр, который легко запомнить на короткое время и сообщить по телефону или SMS.
- ОТП меняется каждые 30 секунд. Для удобства наших пользователей мы продлили до 2 минут период, в течение которого его можно использовать на компьютере.
- OTP может быть использован только один раз, поэтому его нет смысла записывать или запоминать надолго. По этой же причине он не может быть украден и использован впоследствии для взлома вашего компьютера.
- Одноразовый пароль можно получить при помощи программы Google Authentificator, установленной на смартфоне Android или iPhone. Таким образом, генератор паролей всегда при вас.
- На компьютере, в программе Rohos Logon Key также существует генератор одноразовых паролей и он синхронизирован с вашим смартфоном по уникальному ключу. Для работы этих генераторов как на смартфоне так и на компьютере соединение с Internet не является обязательным.
Что это дает?
Удобство использования OTP очевидно. Вместо ввода длинного и сложного пароля вы можете открыть смартфон и прочитать 6-значный цифровой код, который ничем ни хуже длинного буквенного, поскольку он меняется каждые 30 секунд.
Для удаленного специалиста это тоже удобно. Вместо того чтобы помнить ваш длинный пароль, он вводит 6-значный код, который вы ему сообщаете по телефону. Создать новый код в программе Rohos Logon key он все равно не сможет, так как не знает вашего пароля Windows.
В новой версии программы Rohos Logon Key появится возможность блокировать компьютер при подключении по TeamViewer. Тогда никто не сможет незаметно для Вас подключиться к вашему компьютеру. Разумеется, эта возможность будет опциональной, но мы рекомендуем пользоваться ею для большей безопасности.
Как настроить доступ по Одноразовым паролям в TeamViewer?
Установите программу Rohos Logon key и зайдите в ее опции. Укажите Google Authenticator OTP в первом списке.
Нажмите OK и выполните команду Setup Authentication key. Укажите если надо нужного пользователя, впишите пароль и нажмите на ссылку Display QR code
Появится окно браузера с QR-кодом. Сканируйте его при помощи программы Google Authenticator установленной на смартфоне. После это в программе Google Authenticator появится 6-значный числовой код, который будет меняться каждые 30 секунд.
У вас будет 2 минуты чтобы ввести его в окно входа в Windows, после чего он станет уже недействительным.
Google Authenticator для Android >>