Stāsts par Google Authenticator un nepareiziem tokeniem

Google AuthenticatorDažas dienas iepriekš Twitterī sūdzējos par to, ka Google Authenticator programma telefonā pēkšņi sākusi dot nepareizus autorizācijas tokenus (kodus). Šis ir stāsts par domu ķēdīti un risinājumu.

Es šobrīd neesmu Latvijā, tapēc telefonā dzīvo vietējā priekšapmaksas SIM karte (vienīgais veids, kā tikt pie sakarīgas cenas mobilajam internetam). Kad nācās autorizēties vienā no servisiem, kuram esmu aktivizējis divu pakāpju autorizāciju, to nevarēju izdarīt. Pirmā doma bija – programma (es izmantoju Google Authenticator, bet ir vairākas citas alternatīvas) kaut kāda iemesla dēļ ir piefiksejusi SIM karti un tāpēc dod nepareizus kodus. Tā arī nevarēju autorizēties, jo, ja izņemtu SIM, nebūtu vairs interneta.

Pāris dienas vēlāk tiku pie vēl vienas SIM kartes. Tagad 1 datoram, 1 telefonam. No telefona izņēmu jauno SIM ārā, veco iekšā. Nu tik būs. Bet nekā. Nākamā doma – varbūt kaut kas ar laika zonām. Tomēr visur esmu ievadījis Rīgas laika zonu, bet telefonam cipars ir ar 2h nobīdi. Doma neslikta. Pārgriezu stundas tā, lai sakrīt ar Rīgu, bet nekā.

Nospriedu, ka nepielauzt un aizdevos uz pirmo servisu atslēgt divu pakāpju autorizāciju. Saņēmu SMS telefonā, ievadīju speciālo kodu un lieta darīta. Tad uz nākamo servisu … un te sākās problēmas. Lai pārbaudītu, ka esmu tas, par ko uzdodos, man prasīja uztaisīt foto kādam dokumentam un kartei, ar kuru veicu maksājumus (daļu ciparu, protams, aizklājot). Šo es tīri tehniski izdarīt nevarēju un īsti arī negribēju. Uzjautāju, vai viņiem varētu būt kāda ideja, kāpēc vairs netieku pie pareiziem kodiem. Viņiem bija. Ieteica pārbaudīt pulksteni.

Tā bija izcila ideja. Atvēru http://time.is/Tenerife – un skatos. Man telefonam ir teju 1 minūtes nobīde. Esot šeit, es parasti neizmantoju automātisko laika sinhronizēšanu, jo parasti aizmirstu, kura laika josla ir Tenerifei un pēc noklusējuma telefons izvēlas to, kas Madridei, bet tā nav pareiza. Pieregulēju pulksteni par 50 sekundēm, lai sasinhronizējas pareizās minūtes un atkal tieku pie pareiziem kodiem.

Tātad – nedz SIM maiņa, nedz laika joslu maiņa neietekmē to, vai Google Authenticator dod pareizus kodus. Skatieties, lai pulktenis rādītu pareizu laiku. Tas arī viss. Turklāt tas ir tik loģiski, ka tad, kad viss nostrādaja, biju vīlies, ka pats to neiedomājos.

Un vēl. Ja arī tu izmanto divu pakāpju autorizāciju, parūpējies par rezerves variantiem. Katrs serviss atļauj šo drošības līmeni atslēgt dažādo veidos. Cits ar SMS, cits ar rezerves kodiem, cits prasa fotogrāfijas dokumentiem. Pirms kāda laika Google Authenticator atjaunojums iOS ierīcēm pilnībā nobeidza kodu ģenerēšanu. Tad ar pulksteņa sasinhronizēšanu cauri netiktu. Un ko tad, ja telefons pazūd, to nozog, tas saplīst… Divu pakāpju autorizācija ir laba lieta un es to izmantoju teju visur, kur tāda tiek piedāvāta. Bet tā sevī ietver arī riskus. Neaizmirsti par tiem.

2 comments

  1. Un ko tad ja telefons pazūd, to nozog, tas saplīst…

    Ļoti vienkārši – http://www.howtogeek.com/130755/how-to-move-your-google-authenticator-credentials-to-a-new-android-phone-or-tablet/ Backupojam /data/data/com.google.android.apps.authenticator2/databases/databases failu. Un kad telefons pazūd vai to nozog, tad atjaunojam šo failu uz jauna telefona. Pieņemu, ka pat to var izdarīt uz Androīda emulatora, vai arī vienkārši Android-x86 virtualboxī.

Atbildēt

Jūsu e-pasta adrese netiks publicēta.

This site uses Akismet to reduce spam. Learn how your comment data is processed.