Двух-факторная аутентификация в TeamViewer при помощи Google Authenticator

tv_GA_r1Одна из самых популярных программ удаленного доступа TeamViewer не предлагает встроенной возможности двух-факторной аутентификации. При запуске TeamViewer генерирует короткий пароль и получает от сервера короткий Номер для полного доступа на текущий компьютер. Насколько это безопасно? Есть ли вероятность того, что кто-то подключится к корпоративному компьютеру еще раз когда никого не будет на месте?

Программа Rohos Logon Key предлагает защитить сессии TeamViewer  с помощью дополнительного одноразового пароля, реализуя таким образом двух-факторную аутентификацию — пароль TeamViewer а также одноразовый пароль Google Authenticator.

Преимущества защиты с помощью двух-факторной аутентификации:

  • Использование одноразовых паролей которые можно использовать только один раз
  • Неиспользованный одноразовый пароль становиться недействительным через 5 минут
  • Нет необходимости сообщать удаленной стороне пароль от учетной записи Windows
  • При создании новой сессии через TeamViewer программа Rohos Logon Key автоматически блокирует десктоп для запроса двух-факторной аутентификации (экспериментальный функционал бетта версии)
  • Двух-факторная авторизация может применяться только для TeamViewer сессий (экспериментально)

После установки TeamViewer ваш компьютер получает уникальный идентификатор и пароль, по которым удаленный специалист может подключиться и работать на вашем компьютере как на своем собственном. А что происходит потом, когда сеанс его работы заканчивается? Возможно ли, что потом он или кто-то другой снова сможет зайти на ваш компьютер используя те же данные, которые вы передали специалисту? Учтем, что удаленный специалист может сам стать жертвой хакерской атаки и его рабочие данные могут быть также похищены.

Многое зависит от режима работы вашего компьютера. Если вы регулярно выключаете его или делаете выход из текущего пользовательского профиля Windows, вы защищены в большей степени чем если вы оставляете компьютер включенным или погружаете его в спячку, просто закрывая крышку ноутбука. Дело в том, что идентификатор вашего компьютера в службе TeamViewer остается неизменным навсегда, а вот пароль меняется с каждым новым сеансом работы в Windows. Значит, если вы оставляете компьютер включенным, то человек, владеющий вашим идентификатором и паролем, может подключиться к вашему компьютеру в любое время.

Следовательно, первое правило безопасности при работе с TeamViewer — перезагрузите компьютер после завершения работы удаленного специалиста. Если реализовать это правило нет возможности, например, если компьютер выполняет роль сервера или на нем должны без перерыва работать какие-то программы, хотя бы заблокируйте компьютер. Для его разблокировки злоумышленнику нужно будет знать пароль Windows, а его вы никому не давали.

Отсюда вытекает второе правило: не стоит давать кому-либо пароль от вашей учетной записи Windows, даже удаленному специалисту, работающему через TeamViewer. Если он ему понадобится, специалист может попросить вас ввести его самостоятельно в диалоговых окнах Windows. Но будьте внимательны, смотрите, в какие окна вы вводите пароль.

Допустим, вы работаете в общем пространстве с другими людьми и должны ограничить доступ к компьютеру в свое отсутствие, не выключая его. Если вы видите, что удаленный специалист долго ничего не делает на компьютере и вы должны куда-то отойти, просто заблокируйте компьютер. Выполните комбинацию клавиш Win+L.

Заблокировать компьютер может и удаленный специалист по Teamveawer, например, если ему нужно сделать паузу в работе. Чтобы возобновить работу ему придется снова вам позвонить, чтобы вы разблоавтокировали компьютер. А если вас нет на месте? Можно ли придумать что-нибудь, чтобы дать возможность разблокировать компьютер, не находясь непосредственно возле него и не предоставляя пароля?

Для этой цели мы предлагаем использовать программу Rohos Logon Key с одноразовым паролем (OTP) вместо пароля Windows. Для разблокировки компьютера удаленный специалист позвонит вам и спросит OTP.

В чем преимущество одноразового пароля по сравнению с обычным?

  1. Одноразовый пароль (OTP) состоит из 6 цифр, который легко запомнить на короткое время и сообщить по телефону или SMS.
  2. ОТП меняется каждые 30 секунд. Для удобства наших пользователей мы продлили до 2 минут период, в течение которого его можно использовать на компьютере.
  3. OTP может быть использован только один раз, поэтому его нет смысла записывать или запоминать надолго. По этой же причине он не может быть украден и использован впоследствии для взлома вашего компьютера.
  4. Одноразовый пароль можно получить при помощи программы Google Authentificator, установленной на смартфоне Android или iPhone. Таким образом, генератор паролей всегда при вас.
  5. На компьютере, в программе Rohos Logon Key также существует генератор одноразовых паролей и он синхронизирован с вашим смартфоном по уникальному ключу. Для работы этих генераторов как на смартфоне так и на компьютере соединение с Internet не является обязательным.

Что это дает?

Удобство использования OTP очевидно. Вместо ввода длинного и сложного пароля вы можете открыть смартфон и прочитать 6-значный цифровой код, который ничем ни хуже длинного буквенного, поскольку он меняется каждые 30 секунд.

Для удаленного специалиста это тоже удобно. Вместо того чтобы помнить ваш длинный пароль, он вводит 6-значный код, который вы ему сообщаете по телефону. Создать новый код в программе Rohos Logon key он все равно не сможет, так как не знает вашего пароля Windows.

teamvOTP

 

В новой версии программы Rohos Logon Key появится возможность блокировать компьютер при подключении по TeamViewer. Тогда никто не сможет незаметно для Вас подключиться к вашему компьютеру. Разумеется, эта возможность будет опциональной, но мы рекомендуем пользоваться ею для большей безопасности.

Как настроить доступ по Одноразовым паролям в TeamViewer?

Установите программу Rohos Logon key и зайдите в ее опции. Укажите Google Authenticator OTP в первом списке.

RohosOTP

Нажмите OK и выполните команду Setup Authentication key. Укажите если надо нужного пользователя, впишите пароль и нажмите на ссылку Display QR code

setupOTP

Появится окно браузера с QR-кодом. Сканируйте его при помощи программы Google Authenticator установленной на смартфоне. После это в программе Google Authenticator появится 6-значный числовой код, который будет меняться каждые 30 секунд.

У вас будет 2 минуты чтобы ввести его в окно входа в Windows, после чего он станет уже недействительным.

otp

Google Authenticator для Android >>

Google Authenticator для iPhone >>

Программа Rohos Logon Key для Windows >>