🔐

Двухфакторная аутентификация

Обновлено 20.09.2024
Обновлено 20.09.2024

Двухфакторная аутентификация (или «2FA») — метод повышения безопасности ваших онлайн-аккаунтов. Он требует ввода дополнительного подтверждения («фактора») вместе с основным паролем при входе в систему. Вторым фактором может служить:
  • что-то, что вы знаете (например, PIN-код);
  • что-то, что у вас есть (например, ключ безопасности или мобильный телефон);
  • что-то неотделимое от вас (ваши биометрические данные: отпечаток пальца, лицо).


Зачем нужна двухфакторная аутентификация?

2FA значительно повышает безопасность учетной записи. Даже если злоумышленник узнает ваш пароль, он не получит доступ к вашим аккаунтам без второго фактора. Учитывая частоту утечек данных, в том числе паролей пользователей, наличие дополнительного уровня защиты критически важно. Стоит подчеркнуть: 2FA — это не замена надежным и уникальным паролям, а необходимое дополнение к ним.

Как работает двухфакторная аутентификация?

Многие популярные онлайн-сервисы, такие как Telegram, Google, Facebook (включая Instagram и WhatsApp), Apple, X, Reddit и TikTok, предоставляют возможность подключения 2FA. После активации этой функции вам потребуется вводить не только пароль, но и дополнительный способ аутентификации при входе в систему.
Этим дополнительным способом может быть:
1️⃣
SMS-сообщение Вы привязываете номер телефона к учетной записи и одноразовый код (второй фактор) приходит к вам в sms-сообщении.
2️⃣
Одноразовый код в электронном письме Вы привязываете e-mail, куда приходит одноразовый код.
3️⃣
Меняющийся код, сгенерированный приложением аутентификации Приложение-аутентификатор генерирует чередующиеся шестизначные коды, специфичные для каждого веб-сайта, на котором вы зарегистрировались. Многие компании выпускают бесплатные мобильные приложения для аутентификации, такие как Google Authenticator, Aegis Authenticator или 2FAS.
Некоторые менеджеры паролей также работают как приложения для аутентификации. Приложения 2FA обычно используют одноразовые пароли на основе времени («Time-based One-time Password» или TOTP) — уникальные числовые пароли, генерируемые алгоритмом. Это означает, что они одноразовые и действительны только в течение очень короткого периода времени.
4️⃣
Push-уведомления Такой способ можно встретить, например, в учетной записи Google, Apple или Microsoft. Благодаря двухфакторной аутентификации на основе push, при попытке авторизации служба может отправить запрос на одно из ваших устройств. В этом уведомлении будет указано, что кто-то пытается войти в систему, а также предполагаемое место и время попытки входа. Вы можете одобрить или отклонить авторизацию.
5️⃣
Отдельное устройство (аппаратный ключ безопасности) Вторым фактором также может быть другое физическое устройство называемое ключом безопасности. Ключи безопасности подключаются к компьютеру или телефону через USB или подключаются к телефонам по беспроводной сети с помощью NFC. Ключи безопасности — надежная форма 2FA, но они не так широко поддерживаются различными сервисами.
Вот как такой ключ может выглядеть.
notion image
Подробнее об аппаратных ключах безопасности можно прочитать здесь.
Подробнее об аппаратных ключах безопасности можно прочитать здесь.
Есть еще Passkeys. Это не 2FA в классическом понимании, и чуть подробнее об этом способе мы рассказываем ниже.

Пара слов о Passkeys

Passkeys — это относительно новый способ входа в систему, обеспечивающий безопасность на уровне 2FA, но с меньшими хлопотами. Ключ доступа представляет собой 100–1400 байт случайных данных, генерируемых на вашем устройстве (телефоне, ноутбуке или ключе безопасности) для входа на конкретный веб-сайт. Второй ключ хранится на сервисе, аккаунт которого вы защищаете. Хотя Passkeys не являются ни паролем, ни 2FA в чистом виде, они могут функционально заменить их.
Каждый раз, когда вы используете ключ доступа для входа в систему, ваш браузер или операционная система может попросить вас повторно ввести PIN-код или предоставить биометрические данные для доступа к ключу на вашем устройстве.
Несмотря на большую устойчивость к фишингу, по сравнению с обычными паролями, этот способ имеет ряд недостатков:
  • Во-первых, технология пока не очень распространена. Ее можно использовать для учетных записей Apple, Google, TikTok, WhatsApp, X и некоторых других (на данный момент всего около 40 сервисов).
  • Во-вторых, и это более существенно, данная технология не гарантирует достаточной безопасности для людей в странах с репрессивным режимом. Она основана на предположении, что устройство с ключом доступа находится исключительно под вашим контролем. Однако в современных российских реалиях человек может столкнуться с обыском, конфискацией техники или её досмотром при пересечении границы.
Резюмируя: этот вариант может подойти тем, кто находится в безопасной юрисдикции, и в случае, когда риск потери физического контроля над устройством низкий. Для тех, кто в России или планирует пересекать ее границу, Passkeys — не самое оптимальное решение.
Подробнее о технологии Passkeys в этом материале «Теплицы социальных технологий».
Подробнее о технологии Passkeys в этом материале «Теплицы социальных технологий».

Недостатки различных способов 2FA

Каждый метод 2FA имеет свои преимущества и недостатки. При выборе способа важно учитывать не только эти особенности, но и контекст: ваше местоположение, тип защищаемой информации и потенциальные угрозы. Однако даже использование самого простого варианта 2FA значительно повысит уровень защиты по сравнению с его полным отсутствием.

1. SMS 2FA

📎
Удобно ⭐⭐⭐ Надежно ⭐
SMS 2FA лучше, чем ничего, но имеет потенциальные проблемы, поскольку обмен SMS-сообщениями небезопасен.
👍
В чем плюсы:
  • лучше, чем отсутствие 2FA
  • широкое распространение способа
  • включить и использовать очень просто
👎
В чем минусы:
  • риск перехвата SMS злоумышленниками, в том числе сотрудниками спецслужб
  • риск выпуска дубликата SIM-карты злоумышленниками
  • не позволяет сохранить анонимность при использовании сервиса, поскольку вы передаете ему номер телефона
  • в случае утраты телефона (потеря, кража, изъятие) не будет возможности авторизоваться в сервисе
  • в стране без роуминга, вы можете потерять доступ к своим учетным записям

2. Одноразовый код в электронном письме

📎
Удобно ⭐⭐ Надежно ⭐
Еще один случай, когда наличие 2FA лучше, чем ничего, но не обеспечивает достаточной защиты.
👍
В чем плюсы:
  • лучше, чем отсутствие 2FA
  • широкое распространение способа
  • включить и использовать очень просто
👎
В чем минусы:
  • взлом почты, к которой привязано получение кодов, ставит под угрозу остальные аккаунты
  • письма могут приходить с задержкой
  • требует отдельный надежный почтовый ящик, который не стоит использовать в других аккаунтах, чтобы снизить вероятность утечки

3. Приложение-аутентификатор

📎
Удобно ⭐⭐ Надежно ⭐ ⭐
Аутентификация через приложение Authenticator/TOTP очень распространена и обеспечивает средний уровень безопасности, который является достаточным в большинстве случаев. При этом крайне важно, чтобы телефон, на котором установлено Приложение-аутентификатор, не попал в руки злоумышленников.
👍
В чем плюсы:
  • обеспечивает хороший уровень защиты
  • зачастую есть дополнительные возможности для защиты кодов: например, вход в приложение по отдельному паролю или через биометрию
  • широкая поддержка различными сервисами
👎
В чем минусы:
  • копирование/вставка кодов между приложениями может раздражать
  • если утратить доступ к устройству, а вход в аутентификатор дополнительно не защищен, то создаются угрозы безопасности другим аккаунтам

4. Аутентификация на основе push-уведомлений

📎
Удобно ⭐⭐ Надежно ⭐
Простой в использовании, но не самый надежный способ, особенно если есть риск потери физического контроля над устройством.
👍
В чем плюсы:
  • простота использования
  • не нужно вводить одноразовый код
👎
В чем минусы:
  • если устройство попадет в чужие руки, злоумышленники получат возможность авторизоваться в ваших аккаунтах

5. Аппаратный ключ безопасности

📎
Удобно ⭐ Надежно ⭐⭐⭐
Это хороший способ, если сервис, который вы хотите защитить его поддерживает. В то же время сам ключ необходимо купить и затем бережно хранить его.
👍
В чем плюсы:
  • большая устойчивость к фишингу
  • обеспечивает высокий уровень защиты
  • не нужно копировать/вводить коды
👎
В чем минусы:
  • не все приложения и веб-сайты его поддерживают
  • это не бесплатный инструмент
  • легко потерять и, как следствие, утратить доступ к учетным записям

6. Passkeys

📎
Удобно ⭐⭐☆ Надежно ⭐☆
Как мы писали выше, это метод может быть хорошим решением, если вы находитесь в безопасной юрисдикции.
👍
В чем плюсы:
  • простота использования
  • большая устойчивость к фишингу
  • не нужно запоминать пароли
 
👎
В чем минусы:
  • важное условие безопасности использование — сохранение физического контроля над устройством
  • низкая распространенность применения

Проблема утраты доступа ко второму фактору и ее решение

Хотя двухфакторная аутентификация (2FA) обеспечивает более надёжную защиту, она также увеличивает риск потери доступа к вашей учётной записи. Если вы потеряете телефон, смените номер или окажетесь в стране без роуминга, вы можете лишиться доступа к своим аккаунтам. Это касается и аппаратных ключей безопасности, которые ещё проще потерять, чем телефон.
Многие службы предоставляют краткий список одноразовых кодов для «восстановления» доступа. Каждый код можно использовать только один раз для входа в вашу учетную запись, после чего он становится недействительным. Это может быть отличным решением, если вы опасаетесь потерять доступ к своему телефону или другому устройству аутентификации.
Не забудьте сохранить коды в безопасном месте (например, распечатать и удалить копии с устройств) и убедиться, что никто другой не увидит их и не получит к ним доступа. Использовав резервные коды, вы сможете создать новый список после входа в учетную запись.

Как включить двухфакторную аутентификацию?

Если вы еще не начали использовать уникальные пароли для каждого сайта и не настроили менеджер паролей, сделайте это в первую очередь.
🔑
Надежный пароль и менеджеры паролей
Включение 2FA отличается от платформы к платформе, как и используемая терминология.
Список сервисов, поддерживающих 2FA, доступен на сайте https://2fa.directory/
Список сервисов, поддерживающих 2FA, доступен на сайте https://2fa.directory/
У каждого плана безопасности свои потребности, и не каждый ресурс предложит вам несколько вариантов 2FA. Но если у вас есть возможность выбора, подумайте о каждом типе 2FA в следующем порядке и с учетом описанных выше недостатков:
  1. Приложение-аутентификатор
  1. Passkeys
  1. Аппаратный ключ безопасности
  1. Аутентификация на основе push-уведомлений
  1. SMS 2FA / Одноразовый код в электронном письме
После того, как вы покопаетесь в настройках учетной записи и найдете опцию включения 2FA, вам, скорее всего, придется сделать еще один шаг, чтобы завершить процесс. Как это работает — зависит от типа используемой вами 2FA и самого веб-сайта. Обычно это происходит следующим образом:
  • Если вы используете мобильное приложение для аутентификации, вам нужно будет отсканировать QR-код на экране вашего компьютера с помощью телефона. После этого ваш телефон начнет генерировать коды, и вам нужно будет ввести один из этих кодов, чтобы завершить настройку.
  • Если вы решите использовать ключ доступа (Passkeys), сайт создаст и сохранит ключ доступа на устройстве, на котором вы его создали (например, на телефоне или ноутбуке). Вам понадобится это конкретное устройство, чтобы войти в систему с этим ключом доступа.
  • Если вы выберете аппаратный ключ безопасности, вам нужно будет вставить ключ, подтвердить, что вы хотите создать учетные данные (это зависит от самого ключа, но обычно означает нажатие ключа или кнопки на нем), а затем следовать инструкции по завершению привязки его к вашей учетной записи.
  • Если вы используете SMS или e-mail, вы получите код, который вам затем нужно будет ввести, чтобы завершить процесс включения 2FA.
👉
Процесс включения 2FA на всех ресурсах может показаться сложной и утомительной задачей, поэтому мы рекомендуем вам разбить его на несколько подзадач:
  1. Начните с учетных записей электронной почты. Ее следует защитить в первую очередь, поскольку большинство служб позволяют сбрасывать пароль по электронной почте — любой, кто получит ваш адрес, может выполнить сброс пароля для доступа к другим службам.
  1. Затем защитите свои мессенджеры и социальные сети.
  1. Настройте 2FA для любых служб, которые создают резервные копии ваших файлов, например учетной записи Apple, Google или Microsoft.
  1. В завершение вы можете подключить 2FA на остальных сервисах из каталога, которыми вы пользуетесь.