Часто задаваемые вопросы
OTP – это сокращение от One Time Password (одноразовый пароль) и представляет собой временный защищенный PIN-код, который отправляется вам посредством SMS-сообщения или электронной почты и действует только один сеанс. Smart-ID использует одноразовые пароли для подтверждения вашей контактной информации в процессе регистрации и обновления учетной записи.
Если вам не удается получить и подтвердить OTP-код, вы не сможете продолжить регистрацию учетной записи. Поэтому обязательно перепроверьте указываемую контактную информацию!
- Номер телефона: вводить номер телефона необходимо с правильным кодом страны.Обязательно проверьте его!
- Электронный адрес: проверьте наличие опечаток и всегда указывайте свою основную электронную почту, которой вы будете пользоваться и через несколько лет, даже после смены работы, страны проживания, фамилии и др.
Какая контактная информация будет использоваться для отправки OTP-кодов?
Это зависит от выбранного способа регистрации; просто следуйте указаниям на экране.
Возьмем для примера способ биометрической регистрации. Как вам уже может быть известно, биометрическая регистрация доступна только пользователям, у которых уже была активная учетная запись Smart-ID.
Если вы регистрируете новую учетную запись и выбираете биометрическую идентификацию, одноразовый пароль будет отправлен на контактные данные, которые уже занесены в нашу базу данных (при регистрации предыдущей учетной записи). Таким образом, вам потребуется доступ либо к электронному адресу, либо к номеру телефона, указанному при создании предыдущей активной учетной записи.
Приложение Smart-ID сообщит вам, когда мы отправим одноразовый пароль, а также предложит вам выбрать предпочтительный способ отправки. Если у вас больше нет доступа к какой-либо предшествующей контактной информации, вам следует использовать другой способ регистрации. Биометрическая регистрация не позволяет менять вашу контактную информацию, которая у нас уже есть!
В случае утечки или взлома Вашей личной информации (электронного адреса, паролей, национальных персональных кодов или других данных) просим немедленно сменить пароль от электронной почты и активировать функцию двухэтапной проверки почтового ящика.
Как скоро я получу OTP-код?
OTP-код отправляется практически сразу. Если прошло больше 2 минут, повторите попытку: возможно, причина во временных проблемах в сети или задержке в работе поставщика услуги.
Обратите внимание! Возникли проблемы с получением OTP-кода при нахождении за границей?
Попробуйте вручную выбрать другую мобильную сеть и повторите попытку регистрации. Если это не решает проблему, воспользуйтесь своим электронным адресом.
Если же получить OTP-код все еще не удается, обратитесь за помощью в нашу клиентскую службу.
Если вы находитесь в США, Канаде или Бельгии, вместо SMS-сообщения обязательно выберите подтверждение по электронной почте. В этих странах Вы не сможете получить OTP-коды (одноразовые пароли) в виде текстовых сообщений!
Уязвимости ритейлеров — три случая, когда OTP можно было получить в запросе
При входе в личные кабинеты различных сервисов, в целях безопасности, часто используется 2FA — помимо логина и пароля, нужно ввести одноразовый код.
Но, как оказалось, не всё так безопасно даже с двухфакторной аутентификацией — за последний год я нашёл три (!) сервиса, когда одноразовый код для входа, который отправляется клиенту в SMS, можно было посмотреть в самом запросе.
Далее кратко о том, чем это грозило, на конкретных примерах.
1. Популярная сеть АЗС, более 500 000 зарегистрированных клиентов.
Запрос при входе в веб-версию личного кабинета:
POST https://someazs.ua/ua/profile/auth/ Accept: application/json, text/javascript, */*; q=0.01 Accept-Encoding: gzip, deflate, br Accept-Language: ru,en-US;q=0.9,en;q=0.8,uk;q=0.7 Connection: keep-alive Content-Length: 408 Content-Type: application/x-www-form-urlencoded; charset=UTF-8 Cookie: PHPSESSID=6n3l2o90hfb020u9ag020u8ha1; usersomeazs_popupcoupons=1;. Host: someazs.ua Origin: https://someazs.ua Referer: https://someazs.ua/ua/login/ User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/71.0.3578.98 Safari/537.36 X-Compress: null X-Requested-With: XMLHttpRequest data[phone_mask]: 951234567 data[phone]: 0951234567
Код из SMS — 7038 — виден просто в ответе сервера.
То есть на сайте, при входе в личный кабинет, в ответе был одноразовый код для входа, который отправляется клиенту в SMS — можно было войти в чужую учётную запись, указав только номер телефона клиента — а OTP посмотреть в самом запросе.
В личном кабинете доступны: номер карты лояльности, ФИО, балансы (бонусный в гривне, литровый, кофейный), история транзакций, в настройках — дата рождения, e-mail клиента и др.
С помощью дальнейших действий нетехнического характера (например, прозвон клиентов) при должном везении можно было бы воспользоваться клиентскими деньгами/литрами/кофе. Почему я пишу «при должном везении»? Когда общался о проблеме, мне сообщили, что расчёты чужими бонусами не так просто выполнить, даже если иметь доступ к учётной записи, так как есть дополнительные проверки. Тем не менее…
Ошибку исправили быстро, поблагодарили.
2. Сеть социальных магазинов (похожа на Fix-Price), мобильное приложение (более 100 тысяч скачиваний)
Отслеживая запросы через Fiddler, я заметил следующее. При входе в мобильное приложение, после ввода номера телефона и карты лояльности, клиенту отправляется одноразовый код.
Проблема в том, что при этом выполняется GET-запрос вида:
https://bulk.somesmssender.com/?sending_method=sms&from=someretailes&user=onviber4821&txt=%D0%9A%D0%BE%D0%B4+%D0%BF%D0%BE%D0%B4%D1%82%D0%B2%D0%B5%D1%80%D0%B6%D0%B4%D0%B5%D0%BD%D0%B8%D1%8F%3A+1234&phone=380987654321&sign=42f66957a03090eb90556b0ef7fed2e1
Прямо в этом запросе виден и сам одноразовый код: текст отправляемой SMS — это
%D0%9A%D0%BE%D0%B4+%D0%BF%D0%BE%D0%B4%D1%82%D0%B2%D0%B5%D1%80%D0%B6%D0%B4%D0%B5%D0%BD%D0%B8%D1%8F%3A+1234&
Простое преобразование сообщает: Код+подтверждения:+1234
Т.е. в самом приложении можно посмотреть, какой код будет отправлен. Здесь также можно входить в чужие учётные записи, уже без второго фактора.
Клиенты данной сети по определённым причинам наименее защищены от мошенничества, поэтому я много раз пытался донести информацию в компанию. Я писал три раза в августе на адрес, который был указан на странице приложения в Play Market — ни одного ответа не получил, даже автоматического.
Позже я написал в компанию, чей сервис SMS рассылки они используют. Мне ответили, что необходимо обратиться к владельцу мобильного приложения, так как они не могут со своей стороны повлиять на разработку и передачу информации данной компании.
Это верно, но, я предполагал, что сервис рассылки сообщений может повлиять на них как на партнёра/клиента. К тому же, причина, по которой я написал в сервис рассылки, в том, что указанный мной GET-запрос — это именно их разработка, и эта же ситуация с большой долей вероятности может быть у других их клиентов. Я предложил, что сервису желательно исправить логику рассылки — не передавать в запросе одновременно номера телефонов клиентов и одноразовый код — на это мне не ответили.
Немного о том, как ещё я пытался донести проблему
Затем на сайте магазина я написал на контактный email, подождал — и снова ничего. Но так как я упрямый, нашёл на том же сайте все возможные контакты (и общие ящики почты, и личные адреса) и написал им — как вы понимаете, тоже никто не ответил.
Поэтому позже я обратился в чат и прямо в чате задал вопрос, получали ли они мои письма. Сначала ответили, что не видят, потом нашли и пообещали, что передадут.
Что интересно, помимо отсутствия реакции на email на основной адрес приложения, после общения в чате мне приходили письма. В одном из них я увидел, как они меня завели в систему: «Умник»
Так себе отношение к клиенту.
Когда я последний раз проверял, исправления со стороны Avrora не было.
Со стороны сервиса рассылки также не было исправлений, но тут ситуация более серьёзная, поэтому названия сервиса я прямо не указываю.
3. Мобильное приложение для хранения скидочных карт и выполнения мобильных платежей (более 130 тыс. клиентов)
При входе нужно ввести только email и код. При этом выполняется запрос:
POST http://api.somewallet.com/mobileclient.svc/getRegistrationCode HTTP/1.1 Content-Type: application/json; charset=UTF-8 Content-Length: 100 Host: api.somewallet.com Connection: Keep-Alive Accept-Encoding: gzip User-Agent: okhttp/3.12.3 >
,"Data":>>
Здесь в ответе также видно код, который нужно ввести (044912).
После входа я получил доступ к следующим функциям:
- просмотр карт лояльности и бонусов на них,
- купонов для определённых магазинов,
- контактной информации о клиенте (номера телефонов и email, дата рождения и ФИО),
- установка, изменение и удаление кода доступа из 4 цифр,
- просмотр платёжных карт,
- получение платёжного токена (похоже на токен из моей предыдущей статьи Как ездить на такси за чужой счёт).
На моё сообщение отреагировали, уязвимость исправили и финансово отблагодарили.
Можно сказать, что иногда в сервисах можно обойти двухфакторную аутентификацию просто просматривая запросы авторизации. И этому подвержены как веб-сайты, так и мобильные приложения. Так что в следующий раз, когда будете разрабатывать или тестировать сервисы, где есть личный кабинет, обращайте на это внимание.
- уязвимости
- двухфакторная аутентификация
- ритейл
- Информационная безопасность
- Платежные системы
- Тестирование веб-сервисов
- Тестирование мобильных приложений
Многофакторная аутентификация
Многофакторная аутентификация ( МФА ) — это механизм безопасности, который требует от вас дополнительных действий, помимо ввода логина (или электронной почты) и пароля. Самым распространенным методом являются временные коды, которые вы можете получить по СМС или в приложении.
Обычно, если хакеру (или злоумышленнику) удается узнать ваш пароль, то он получает доступ к учетной записи, которую этот пароль защищал. Учетная запись с МФА вынуждает хакера иметь как пароль (то, что вы знаете), так и устройство, которым вы владеете (то, что у вас есть), например, ваш телефон.
Методы MFA различаются по степени безопасности, но в их основе лежит принцип, что чем сложнее злоумышленнику получить доступ к вашему методу MFA, тем лучше. Примеры методов MFA (от самого слабого к самому сильному) включают СМС , коды по электронной почте, пуш-уведомления из приложений, TOTP , Yubico OTP и FIDO .
Сравнение методов МФА ¶
МФА по СМС или электронной почте¶
Получение OTP -кодов по СМС или электронной почте — один из самых слабых способов защиты учетных записей с помощью MFA. Получение кода по электронной почте или СМС невилирует принцип «что-то, что у вас есть«, поскольку существует множество способов, которыми хакер может завладеть вашим телефонным номером или получить доступ к вашей электронной почте, не имея физического доступа ни к одному из ваших устройств. Если злоумышленник получит доступ к вашей электронной почте, то он сможет использовать этот доступ как для сброса пароля, так и для получения кода аутентификации, что даст ему полный доступ к вашей учетной записи.
Пуш-уведомления¶
MFA через пуш-уведомление представляет собой сообщение, отправленное в приложении на вашем телефоне с просьбой подтвердить новый вход в учетную запись. Этот метод намного лучше, чем СМС или электронная почта, поскольку злоумышленник, как правило, не сможет получить эти пуш-уведомления, не имея уже зарегистрированного устройства. Это означает, что ему придется сначала скомпрометировать одно из ваших других устройств.
Мы все совершаем ошибки, поэтому существует риск, что вы можете случайно одобрить вход в систему. Авторизация входа с помощью пуш-уведомлений обычно отправляется на все ваши устройства одновременно, что расширяет доступность кодов МФА , если у вас много устройств.
Безопасность МФА с пуш-уведомлениями зависит как от качества приложения, серверного компонента, так и от доверия к разработчику, который его создает. Установка приложений также может потребовать от вас выдачу инвазивных разрешений, предоставляющих доступ к другим данным на вашем устройстве. Некоторые приложения также требуют наличие отдельного приложения для каждого сервиса, для открытия которого может не требоваться пароль, в отличие от хорошего приложения генератора TOTP .
Одноразовый пароль основанный на времени ( TOTP )¶
TOTP — одна из наиболее распространенных форм MFA. При установке TOTP обычно требуется отсканировать QR-код, который содержит «общий секрет» с сервисом, который вы собираетесь использовать. Общий секрет хранится внутри данных приложения аутентификатора и иногда защищен паролем.
Код, ограниченный по времени, вычисляется из общего секрета и текущего времени. Поскольку код действителен только в течение короткого времени, без доступа к общему секрету злоумышленник не может генерировать новые коды.
If you have a hardware security key with TOTP support (such as a YubiKey with Yubico Authenticator), we recommend that you store your «shared secrets» on the hardware. Такое оборудование, как YubiKey, было разработано с целью сделать «общий секрет» трудноизвлекаемым и копируемым. YubiKey также не подключен к интернету, в отличие от телефона с приложением TOTP .
В отличие от WebAuthn, TOTP не обеспечивает защиту от фишинга или повторных атак. Если злоумышленник получает от вас действующий код, он может использовать его сколько угодно раз, пока не истечет срок его действия (обычно 60 секунд).
Злоумышленник может создать сайт, имитирующий официальный сервис, чтобы обманом заставить вас сообщить свое имя пользователя, пароль и текущий код TOTP . Если злоумышленник затем использует эти записанные учетные данные, он сможет войти в реальный сервис и завладеть учетной записью.
Хотя TOTP не совершенен, он достаточно безопасен для большинства людей, и если аппаратные ключи безопасности не поддерживаются, то приложения-аутентификаторы все ещё являются хорошим вариантом.
Аппаратные ключи безопасности¶
YubiKey хранит данные на устойчивом к взлому твердотельном чипе, к которому, невозможно получить доступ, без криминалистической лаборатории и дорогостоящего процесса.
Как правило, такие ключи являются многофункциональными и предоставляют несколько способов аутентификации. Ниже приведены наиболее распространенные из них.
Yubico OTP ¶
Yubico OTP — это протокол аутентификации, обычно реализуемый в аппаратных ключах безопасности. Когда вы решите использовать Yubico OTP , ключ будет генерировать публичный ID, личный ID и секретный ключ, который затем загружается на сервер Yubico OTP .
При входе на сайт достаточно просто физически прикоснуться к ключу безопасности. Ключ безопасности будет эмулировать клавиатуру и печатать одноразовый пароль в поле пароля.
Затем служба передаст одноразовый пароль на сервер Yubico OTP для проверки. Счетчик увеличивается как на ключе, так и на сервере проверки Yubico. OTP можно использовать только один раз, когда происходит успешная аутентификация, счетчик увеличивается, что предотвращает повторное использование OTP . Yubico предоставляет подробную документацию о процессе.
Существуют некоторые преимущества и недостатки использования Yubico OTP по сравнению с TOTP .
Сервер проверки Yubico — это облачная служба, и вы доверяете компании Yubico в том, что она надежно хранит данные и не занимается их профилированием. Публичный идентификатор, связанный с Yubico OTP , используется повторно на каждом сайте и может стать еще одной возможностью для третьих лиц составить ваш профиль. Как и TOTP , Yubico OTP не обеспечивает защиту от фишинга.
Если ваша модель угроз требует наличия разных идентификаторов на разных сайтах, не используйте Yubico OTP с одним и тем же аппаратным ключом безопасности на этих сайтах, поскольку публичный идентификатор уникален для каждого ключа безопасности.
FIDO (Fast IDentity Online)¶
FIDO включает в себя ряд стандартов, сначала был U2F , а затем FIDO2, который включает в себя веб-стандарт WebAuthn.
U2F и FIDO2 относятся к Client to Authenticator Protocol, который представляет собой протокол между ключом безопасности и компьютером, например ноутбуком или телефоном. Он дополняет WebAuthn, который является компонентом, используемым для аутентификации на сайте («Relying Party»), на котором вы пытаетесь залогиниться.
WebAuthn — это наиболее безопасная и приватная форма двух-факторной аутентификации. Хотя процесс аутентификации похож на Yubico OTP , ключ не показывает одноразовый пароль и не проверяет его на стороннем сервере. Вместо этого он использует криптографию с открытым ключом для аутентификации.
Когда вы создаете учетную запись, открытый ключ отправляется в службу, затем, когда вы входите в систему, служба потребует от вас «подписать» некоторые данные вашим закрытым ключом. Преимуществом этого является то, что служба никогда не хранит данные пароля, поэтому злоумышленнику нечего украсть.
В презентации рассматривается история парольной аутентификации, подводные камни (такие, как повторное использование пароля), а также обсуждаются стандарты FIDO2 и WebAuthn.
FIDO2 и WebAuthn обладают превосходными свойствами безопасности и конфиденциальности по сравнению с любыми методами МФА .
Обычно для веб-сервисов он используется вместе с WebAuthn, который является частью рекомендаций W3C . Он использует аутентификацию с открытым ключом и является более безопасным, чем общие секреты, используемые в методах Yubico OTP и TOTP , поскольку включает имя происхождения (обычно доменное имя) при аутентификации. Аттестация предоставляется для защиты от фишинговых атак, так как помогает определить, что вы используете оригинальный сервис, а не поддельную копию.
В отличие от Yubico OTP , WebAuthn не использует публичный идентификатор, поэтому ключ не идентифицировать на разных сайтах. Он также не использует сторонние облачные серверы для аутентификации. Все коммуникации осуществляются между ключом и веб-сайтом, на который вы заходите. FIDO также использует счетчик, который увеличивается при использовании, чтобы предотвратить повторное использование сеанса и клонирование ключей.
Если сайт или сервис поддерживает WebAuthn для аутентификации, настоятельно рекомендуется использовать его вместо любой другой формы МФА .
Общие рекомендации¶
У нас есть следующие общие рекомендации:
Какой метод мне выбрать?¶
При настройке метода МФА следует помнить, что она настолько безопасна, насколько безопасен её самый слабый метод, который вы используете. Это означает, что важно использовать только лучший из доступных методов МФА . Например, если вы уже используете TOTP , вам следует отключить МФА по электронной почте и СМС . Если вы уже используете FIDO2/WebAuthn, вы не должны использовать Yubico OTP или TOTP на своем аккаунте.
Резервное копирование¶
Вы всегда должны иметь резервные копии для своего метода МФА . Аппаратные ключи безопасности могут потеряться, быть украдены или просто перестать работать со временем. Рекомендуется иметь пару аппаратных ключей безопасности, которые дублируют друг друга, вместо одного.
При использовании TOTP с приложением-аутентификатором обязательно создайте резервную копию ключей восстановления или самого приложения, или скопируйте «общие секреты» в другое приложения на другом телефоне или в зашифрованный контейнер (например, VeraCrypt).
Первоначальная настройка¶
При покупке ключа безопасности важно изменить учетные данные по умолчанию, установить защиту паролем для ключа и включить подтверждение касанием, если ключ поддерживает это. Такие продукты, как YubiKey, имеют несколько интерфейсов с отдельными учетными данными для каждого из них, поэтому вам следует изучить каждый интерфейс и настроить защиту.
Электронная почта и СМС ¶
Если вам приходится использовать электронную почту для МФА , убедитесь, что сама учетная запись электронной почты защищена с помощью надлежащего метода МФА .
Если вы используете СМС для МФА , используйте оператора связи, который не будет переключать ваш номер телефона на новую SIM -карту без доступа к учетной записи, или используйте выделенный VoIP -номер от провайдера с аналогичной безопасностью, чтобы избежать подмены SIM -карты.
Больше мест для установки МФА ¶
Многофакторная аутентификация может использоваться не только для защиты логинов на сайте, но и для защиты локальных логинов, ключей SSH и даже баз данных паролей.
Windows¶
Yubico has a dedicated Credential Provider that adds Challenge-Response authentication for the username + password login flow for local Windows accounts. If you have a YubiKey with Challenge-Response authentication support, take a look at the Yubico Login for Windows Configuration Guide, which will allow you to set up MFA on your Windows computer.
macOS¶
В macOS есть нативная поддержка аутентификации с помощью смарт-карт (PIV). Если у вас есть смарт-карта или аппаратный ключ безопасности, поддерживающий интерфейс PIV (например YubiKey), мы рекомендуем вам следовать документации производителя смарт-карты/аппаратного ключа безопасности и настроить двухфакторную аутентификацию на компьютере с macOS.
Yubico have a guide Using Your YubiKey as a Smart Card in macOS which can help you set up your YubiKey on macOS.
После того как смарт-карта/ключ безопасности настроены, рекомендуется выполнить следующую команду в командной строке:
sudo defaults write /Library/Preferences/com.apple.loginwindow DisableFDEAutoLogin -bool YES
Эта команда не позволит злоумышленнику обойти МФА при загрузке компьютера.
Linux¶
Если имя хоста вашей системы изменится (например, из-за DHCP), вы не сможете залогиниться. Очень важно, чтобы вы установили правильное имя хоста для своего компьютера, прежде чем следовать этому руководству.
Модуль pam_u2f в Linux может обеспечить двухфакторную аутентификацию для входа в систему в большинстве популярных дистрибутивов Linux. Если у вас есть аппаратный ключ безопасности, поддерживающий U2F , вы можете настроить МФА для входа в систему. Yubico has a guide Ubuntu Linux Login Guide — U2F which should work on any distribution. Команды менеджера пакетов — например, apt-get — и названия пакетов могут отличаться. Данное руководство не применимо к Qubes OS.
Qubes OS¶
В Qubes OS есть поддержка аутентификации Challenge-Response с помощью ключей YubiKey. If you have a YubiKey with Challenge-Response authentication support, take a look at the Qubes OS YubiKey documentation if you want to set up MFA on Qubes OS.
SSH ¶
Аппаратные ключи безопасности¶
МФА с SSH может быть настроена с использованием нескольких различных методов аутентификации, которые популярны при использовании аппаратных ключей безопасности. We recommend that you check out Yubico’s documentation on how to set this up.
TOTP ¶
МФА с SSH также можно настроить с помощью TOTP . DigitalOcean has provided a tutorial How To Set Up Multi-Factor Authentication for SSH on Ubuntu 20.04. Большинство вещей должны быть одинаковыми независимо от дистрибутива, однако команды менеджера пакетов — например, apt-get — и названия пакетов могут отличаться.
KeePass (и KeePassXC)¶
Базы данных KeePass и KeePassXC могут быть защищены с помощью Challenge-Response или HOTP в качестве второго фактора аутентификации. Yubico has provided a document for KeePass Using Your YubiKey with KeePass and there is also one on the KeePassXC website.
Copyright (c) 2024 Jonah Aragon Permission is hereby granted, free of charge, to any person obtaining a copy of this software and associated documentation files (the «Software»), to deal in the Software without restriction, including without limitation the rights to use, copy, modify, merge, publish, distribute, sublicense, and/or sell copies of the Software, and to permit persons to whom the Software is furnished to do so, subject to the following conditions: The above copyright notice and this permission notice shall be included in all copies or substantial portions of the Software. THE SOFTWARE IS PROVIDED «AS IS», WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND NON-INFRINGEMENT. IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE SOFTWARE. —>
You’re viewing the Русский copy of Privacy Guides, translated by our fantastic language team on Crowdin. If you notice an error, or see any untranslated sections on this page, please consider helping out! Visit Crowdin
You’re viewing the Russian copy of Privacy Guides, translated by our fantastic language team on Crowdin. If you notice an error, or see any untranslated sections on this page, please consider helping out!
Permission is hereby granted, free of charge, to any person obtaining a copy of this software and associated documentation files (the «Software»), to deal in the Software without restriction, including without limitation the rights to use, copy, modify, merge, publish, distribute, sublicense, and/or sell copies of the Software, and to permit persons to whom the Software is furnished to do so, subject to the following conditions: The above copyright notice and this permission notice shall be included in all copies or substantial portions of the Software. THE SOFTWARE IS PROVIDED «AS IS», WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND NON-INFRINGEMENT. IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE SOFTWARE. —>
Privacy Guides is a non-profit, socially motivated website that provides information for protecting your data security and privacy.
We do not make money from recommending certain products, and we do not use affiliate links.
2019-2024 Privacy Guides and contributors. Anonymous statistics preferences.
Wrong otp что это
Table of contents
Invalid OTP Code
Invalid OTP Code
Troubleshooting Google Authenticator invalid OTP codes
Updated over a week ago
Table of contents
Why is my OTP code invalid?
When signing in to your HackerOne account using two-factor authentication, your OTP code generated on Google Authenticator may be invalid. If you run into this issue, it may be because your device time differs from the HackerOne system time by more than 90 seconds, which will result in the generation of the wrong code.
The time discrepancy may occur because:
You set your phone time settings manually and it later switched to automatic (or vice versa)
Your device switched NTP servers (a server used to sync clocks in networks)
To fix the issue, set your clock settings to sync automatically:
Android Users
On your Google Authenticator app:
1. Go to Settings > Time correction for codes.
2. Click Sync now.
On your iPhone:
1. Go to Settings > General > Date & Time.
2. Enable Set Automatically.