Как настроить аутентификацию для двухфакторной аутентификации (и синхронизировать коды между устройствами)

Как настроить аутентификацию для двухфакторной аутентификации (и синхронизировать коды между устройствами)

Надежных паролей уже недостаточно: мы рекомендуем использовать двухфакторная аутентификация при любой возможности. В идеале это означает использование приложения, которое генерирует коды аутентификации на вашем телефоне или физический аппаратный токен . Мы предпочитаем Authy Когда дело доходит до приложений для аутентификации, оно совместимо со всеми сайтами, использующими Google Authenticator, но является более мощным и удобным.

Требования к установке

• Необходимо, чтобы на каждом из устройств, соединенных со StickyAccount, была установлена самая последняя доступная версия Sticky Password. Устройства, на которых установлена более ранняя версия программы, не смогут разблокировать БД с помощью 2ШИ.
• Первоначальная активация должна произвестись на Вашем компьютере (Windows или Mac). После этого при первой синхронизации 2ШИ будет автоматически включена на каждом из устройств, разрешенных Sticky Password (Windows, Mac, iOS и Android).
• Для включения 2ШИ на Ваше мобильное устройство необходимо установить Google Authenticator (GA). GA – это приложение, которое будет генерировать коды безопасности. Эти коды являются вторым шагом для идентификации Sticky Password. Установите GA для Android и iOS.

Внимание: Для входа в БД при включенной функции 2ШИ Вам всегда нужно будет подключение к сети интернет.

2. Restart iPhone

Restarting your phone could also help fix whatever issue that caused Authenticator to stop working. In addition to eliminating some software-related glitches, restarting your iPhone will also help to update and install new time zone definitions.

Tap and hold the power button and either of the volume button to power off your iPhone. Alternatively, navigate to Settings > General > Shut Down > Slide to power off.

Hold the power button for about 5 seconds to restart your device. Your device should be refreshed when it boots and new time zones should be installed. Now, launch the Google Authenticator app and inspect if that worked.

Включение двухфакторной аутентификации на нескольких устройствах одновременно

В идеальном мире 2FA позволяет вам подтверждать свои учетные данные с помощью мобильного телефона или другого устройства, которое вы всегда носите с собой и к которому имеете доступ только вы. Из-за этого хакерам очень сложно подделать систему, потому что (в отличие от получения кодов по SMS, что не особенно безопасно) для злоумышленников нет простого способа получить вторичную авторизацию, предоставляемую через локальное приложение, которое существует. только в кармане.

Вот что происходит за кулисами. Когда вы добавляете новый сайт или службу в Google Authenticator, он использует секретный ключ для генерации QR-кода. Это, в свою очередь, сообщает вашему приложению Google Authenticator, как сгенерировать неограниченное количество одноразовых паролей на основе времени. После сканирования QR-кода и закрытия окна браузера этот конкретный QR-код не может быть восстановлен, а секретный ключ хранится локально на вашем телефоне.

Если бы Google Authenticator мог синхронизироваться на нескольких устройствах, то секретный ключ или его результирующие коды аутентификации должны были бы находиться где-то в облаке, что сделало бы его уязвимым для взлома. Вот почему Google не позволяет синхронизировать коды между устройствами. Однако есть два способа поддерживать коды аутентификации одновременно на нескольких устройствах.

Во-первых, когда вы добавляете сайт или услугу в Google Authenticator, вы можете сканировать QR-код сразу на несколько устройств. Веб-сайт, который генерирует QR-код, не знает (или не заботится) о том, что вы его сканировали. Вы можете сканировать его на любое количество дополнительных мобильных устройств, и каждая копия Google Authenticator, которую вы сканируете с одного и того же штрих-кода, будет генерировать один и тот же шестизначный код.

Однако мы не рекомендуем делать это таким образом. Прежде всего, вы распространяете свои коды аутентификации на несколько устройств, которые могут быть потеряны или украдены. Но, что более важно, поскольку они на самом деле не синхронизированы, вы рискуете рассинхронизировать различные устройства друг с другом. Если вам нужно, например, отключить 2FA для определенной службы, а затем снова включить ее только на одном устройстве, вы больше не можете знать, какое устройство имеет самые актуальные и правильные коды аутентификации. Катастрофа ждет своего часа.

Используйте Authy, чтобы сделать это проще

Возможно синхронизировать ваши коды аутентификации между устройствами — вы просто не можете сделать это с помощью Google Authenticator. Если вы хотите использовать все коды 2FA на нескольких устройствах, мы рекомендуем использовать Authy . Он работает со всеми сайтами и службами, использующими Google Authenticator, шифрует коды с помощью предоставленного вами пароля и сохраняет их в облаке. Это значительно упрощает перенос нескольких устройств, а зашифрованная облачная синхронизация обеспечивает баланс безопасности и удобства.

Благодаря Authy вам не нужно настраивать двухфакторную аутентификацию для всех ваших устройств при каждом переходе на новый телефон. Мы рекомендуем перейти с Google Authenticator на Authy, чтобы облегчить процесс перехода на новый телефон в будущем.

How do I set up Google Authentication or other TOTP apps for Kite 2FA?

Watch this video walkthrough on setting up TOTP or check out the process below.

For added security, you can also set up Time based OTP (TOTP) in place of Kite PIN. You can use apps like Bitwarden, Google® Authenticator, Microsoft® Authenticator, or Authy on your mobile phone or PC to generate 6-digit TOTPs for every login.

You will be able to set up TOTP by using Kite web and the TOTP app on your phone. You may use 2 devices — one to generate the QR code as shown in the below steps and a phone which has the TOTP to scan the code.

TOTP set up using only one smartphone

If you’re using only your smartphone, you can generate the TOTP by going to kite.zerodha.com on your browser and copy the code key to link your authenticator app. To know the process click here.

TOTP on the desktop without mobile

You can also set up TOTP on your desktop without the need for a smartphone device. Install Authy or Bitwarden on your desktop in case you don’t want to use your smartphone for the TOTP login.

Follow the below steps to set up TOTP

Log into Kite web, and click on your client ID on the top right-hand corner of the page and select ‘My Profile’ from the drop-down

Click on ‘Password & Security’

Once you do, click on ‘Enable 2-step OTP’

Enter the OTP received on your registered email ID.

Install Google® Authenticator (or Microsoft® Authenticator or Authy) on your phone. You can find this on the Play Store or iOs App Store.

Select ‘Scan a barcode’ under the add account option and click on ‘Begin’.

Allow access to your phone camera, and scan the bar code shown on the profile page on Kite. Once you scan it, the account will be added on your authenticator app. Alternatively, you can also copy the key (available below the QR code) and use it to add your account to the authenticator app. Enter the OTP shown on the app on Kite along with your password and click on ‘Enable’.

Once you click on ‘Enable’ you’ll get a notification confirming the TOTP set up.

You will have to enter the time-based OTP shown on your authenticator app instead of PIN from the next login onward.

Note:

1. TOTP authentication may fail if the clock on your device is out of sync. You can correct the clock time by selecting the ‘use network-provided time’ option in your device settings.

2. If you disable and then enable TOTP, you will have to re-do the above steps to scan the QR code on your TOTP app.

Two-Factor Authentication Setup for BeyondTrust Remote Support Using a Time-Based, One-Time Password (TOTP)

BeyondTrust offers you a higher level of security with two-factor authentication, using a time-based, one-time password (TOTP). Besides entering their username and password to log in to the administrative interface and the BeyondTrust representative console , users who have this option enabled can use an authenticator app of their choice to receive a one-time code that allows them to securely log in.

TOTP Requirements

Users must have access to a device capable of generating one-time passwords. This is most often done through a smartphone authenticator app. Users are free to choose a compatible option, unless otherwise directed by their administrator. Examples of compatible authenticators include:

• Google Authenticator (Android, iOS)
• Authy (Android, iOS, WIndows, Linux, Mac)
• YubioAth Desktop (Windows, Linux, Mac)
• GAuth Authenticator (Windows Phone)
• Authentication Codes (Windows 8, Windows 10)
• OATHTool (command line)
• 1Password (Android, iOS, Mac, Windows)

Time-Based Considerations

With TOTP, an authenticator app generates a new password approximately every 30 seconds. Because of this, both the authenticator service and the device must be roughly in sync. BeyondTrust allows the clock on the user’s device to be one minute off either way of the B Series Appliance ‘s clock. If a wider time gap is experienced, the B Series Appliance may fail to recognize the codes generated by the user’s device.

Activate Two-Factor Authentication

Depending on your company’s security settings, users may have the option to activate two-factor authentication on their own. Alternatively, activation may be pushed by the administrator, in which case users would be asked to do so when logging in. While the activation process described below is similar either way, the differences are also covered.

Before you begin, make sure to have a compatible authenticator app on your smartphone.

1. Go to /login > My Account. Under Two Factor Authentication, click Activate Two Factor Authentication.

1. The window changes to display the QR code and your next steps. If you have not already done so, download and install an authenticator app for your device.
2. Follow your app’s procedure to scan the code. Alternatively, you can type in the alphanumeric code that appears under the QR code. This can be useful if the QR code is not displaying properly or if your device is having issues capturing the image. Scanning the code is the preferred method.
3. Once the app successfully captures the QR code, it generates a 6 digit token.
4. Enter your password and the token, and then click Activate.

1. Once the screen refreshes, it displays a confirmation that two-factor authentication is now enabled for your account. The next time you login to /login or the representative console , you are required to use two-factor authentication.

Activate and Require Two-Factor Authentication

Administrators can require that users enable two-factor authentication on their accounts. To do this, go to Users & Security > Users, select a user to edit and under Account Settings > Two Factor Authentication, and check the Required button.

The next time this user tries to login to either the administrative interface or the representative console , a screen displays requiring the activation of two-factor authentication. The setup process is the same as outlined in the previous section.

Require Two-Factor Authentication in Group Policies

Two-factor authentication can also be defined when creating or editing group policies. Go to Users & Policies > Group Policies > Account Settings > Two Factor Authentication and select Required or Optional, depending on how you want to enforce its use.

Like other account settings in group policies, the administrator can decide if two-factor authentication is defined for a specific policy, and if it can be overridden.

BeyondTrust is the worldwide leader in Privileged Access Management (PAM), empowering companies to secure and manage their entire universe of privileges. The BeyondTrust Universal Privilege Management approach secures and protects privileges across passwords, endpoints, and access, giving organizations the visibility and control they need to reduce risk, achieve compliance, and boost operational performance.

©2003-2021 BeyondTrust Corporation . All Rights Reserved. Other trademarks identified on this page are owned by their respective owners. BeyondTrust is not a chartered bank or trust company, or depository institution. It is not authorized to accept deposits or trust accounts and is not licensed or regulated by any state or federal banking authority. 9/28/2021