Двухфакторная аутентификация

Двухфакторная аутентификация

Комментарии Нет комментариев

Двухфакторная аутентификация — тема, которой мы так или иначе касаемся во многих наших постах. В прошлом году мы даже записали на эту тему целый подкаст. Однако ввиду возрастающего количества разных сервисов и все чаще случающихся атак на пользовательские аккаунты (как, например, перехваты контроля над учетными записями iCloud) мы решили посвятить этому виду аутентификации отдельную статью и рассказать о том, что это такое, как она работает и почему ее стоит использовать везде, где это возможно.

Что такое двухфакторная аутентификация?

Двухфакторная аутентификация — это метод идентификации пользователя в каком-либо сервисе (как правило, в Интернете) при помощи запроса аутентификационных данных двух разных типов, что обеспечивает двухслойную, а значит, более эффективную защиту аккаунта от несанкционированного проникновения. На практике это обычно выглядит так: первый рубеж — это логин и пароль, второй — специальный код, приходящий по SMS или электронной почте. Реже второй «слой» защиты запрашивает специальный USB-ключ или биометрические данные пользователя. В общем, суть подхода очень проста: чтобы куда-то попасть, нужно дважды подтвердить тот факт, что вы — это вы, причем при помощи двух «ключей», одним из которых вы владеете, а другой держите в памяти.

Двухфакторная аутентификация — это система доступа, основанная на двух «ключах»: одним вы владеете (телефон, на который приходит SMS с кодом), другой запоминаете (обычные логин и пароль).

Впрочем, двухфакторная защита не панацея от угона аккаунта, но достаточно надежный барьер, серьезно усложняющий злоумышленникам доступ к чужим данным и в какой-то степени нивелирующий недостатки классической парольной защиты. Ведь у паролей, на которых основано подавляющее большинство авторизационных механизмов в Интернете, есть неизбежные недостатки, которые фактически являются продолжением достоинств: короткие и простые пароли легко запомнить, но так же легко подобрать, а длинные и сложные трудно взломать, но и запомнить непросто. По этой причине многие люди используют довольно тривиальные пароли, причем сразу во многих местах. Второй фактор в подобных случаях оказывается крайне полезен, поскольку, даже если пароль был скомпрометирован, злоумышленнику придется или раздобыть мобильник жертвы, или угнать ее почтовый ящик.

Несмотря на многочисленные попытки современного человечества заменить пароли чем-то поинтереснее, полностью избавиться от этой привычной всем парадигмы оказалось не так просто, так что двухфакторную аутентификацию можно считать одним из самых надежных механизмов защиты на сегодняшний день. Кстати, этот метод удобен еще и тем, что способен предупреждать хозяина аккаунта о попытке взлома: если на ваш телефон или почту вдруг приходит сообщение с одноразовым кодом при том, что вы никаких попыток логина не предпринимали, значит, вас пытаются взломать — самое время менять оказавшийся ненадежным пароль!

Где можно включить двухфакторную аутентификацию?

Ответом на этот вопрос может служить простое правило: если используемый вами сервис содержит важные для вас данные и позволяет включить двухфакторную аутентификацию, активируйте ее не раздумывая! Вот, скажем, какой-нибудь Pinterest. Ну, не знаю… Если бы у меня был аккаунт в этом сервисе, я бы вряд ли захотел каждый раз проходить долгую процедуру двухслойной авторизации. А вот интернет-банкинг, аккаунты в соцсетях, учетка в iCloud, почтовые ящики и особенно ваши служебные учетные записи — все это однозначно стоит защитить двухфакторной аутентификацией. Сервисы Google, Apple и все основные социальные сети позволяют это сделать в настройках без особого труда.

Двухфакторная аутентификация — один из лучших методов защиты ваших аккаунтов #security

Tweet

К слову, если у вас есть свой сайт, скажем, на базе WordPress или другой подобной платформе, включить в настройках двухфакторную защиту тоже не будет лишним. В общем, повторюсь: если аккаунт и его содержимое вам дороги, не игнорируйте возможность усилить защиту.

Какие еще существуют виды двухфакторной аутентификации?

Выше я уже упомянул рассылку специального кода в виде SMS и email-сообщений и USB-ключи и смарт-карты, используемые преимущественно для доступа к некоторым видам интернет-ресурсов и VPN-сетям. Кроме того, существуют еще генераторы кодов (в виде брелока с кнопкой и небольшим экранчиком), технология SecureID и некоторые другие специфические методы, характерные в основном для корпоративного сектора. Есть и менее современные интерпретации: например, так называемые TAN-пароли (TAN, Transaction Authentication Number — аутентификационный номер транзакции). Возможно, вы даже сталкивались с ними, если были клиентом какого-нибудь не самого прогрессивного банка: при подключении интернет-банкинга клиенту выдавалась бумажка с заранее сформированным списком одноразовых паролей, которые вводятся один за другим при каждом входе в систему и/или совершении транзакции. Кстати, ваша банковская карта и PIN тоже формируют систему двухфакторной аутентификации: карточка — «ключ», которым вы владеете, а PIN-код к ней — «ключ», который вы запоминаете.

Как я уже упомянул выше, существует и биометрический способ идентификации пользователя, который часто выступает в роли вторичного фактора защиты: одни системы подразумевают сканирование отпечатка пальца, другие определяют человека по глазам, есть даже те, которые ориентируются по «рисунку» сердцебиения. Но пока это все довольно экзотические методы, хотя и куда более популярные, чем, скажем, электромагнитные татуировки, которые по примеру радиочипов могут служить вторичным фактором аутентификации пользователя. Я бы от такой не отказался 🙂

Двухфакторная аутентификация – способ усилить защиту доступа к данным. В дополнение к привычному паролю вам нужно сделать что-то еще. Это затруднит жизнь злоумышленнику, который пытается «взломать» чужой аккаунт.

Представьте сейф. С помощью специального колесика вы выбираете правильный код доступа, но еще нужно использовать ключ. Код доступа («что я знаю») и ключ («что я имею») – два разных фактора.

Или – поездка из Санкт-Петербурга в Хельсинки. Вы показываете финским пограничникам паспорт («что я имею») и прижимаете пальцы к специальному устройству, чтобы сканировать отпечатки («что я есть»). Это тоже двухфакторная аутентификация.

Если второй фактор – это еще один пароль (код), то говорят «двухэтапная аутентификация».

Самые распространенные виды второго фактора:

  • Файл-ключ. При создании защиты вы указываете какой-либо файл на диске (любой). В дальнейшем вам понадобится «предъявлять» этот файл для доступа к своему ресурсу. Потеря этого файла или его изменение, даже самое малое, будет означает невозможность доступа. Такая защита используется, в частности, менеджером паролей KeePassXC и программой для шифрования файлов и дисков Veracrypt.
  • SMS-код. Система просит ввести одноразовый код, который отправляет на ваш номер мобильного телефона. Это самый распространенный вариант, его часто предлагают по умолчанию.
  • Временные коды. Вы заранее генерируете одноразовые коды. Удобно, если, например, вы не можете воспользоваться своим телефоном.
  • Мобильное приложение. Одноразовый код генерируется приложением на мобильном устройстве (например, смартфоне). Подключение к интернету или SIM-карта не требуются. Важно, чтобы время на вашем устройстве было указано правильно. Этот способ мы обычно советуем по умолчанию.
  • Аппаратный токен. Устройство типа USB-флешки. По смыслу это ближе всего к ключу, которым вы отпираете дверь своей квартиры.

Подумайте о том, чтобы включить двухфакторную аутентификацию, если вы еще не сделали это. По возможности лучше избегать SMS. Помимо того, что сама технология довольно небезопасна, аутентификация фактически связана с SIM-картой. Известны случаи, когда операторы мобильной связи «с подачи» злоумышленников перевыпускали SIM-карты, не извещая текущих владельцев.

Допустим, пользователь уже имеет аккаунт Google. Посмотрим, как включить двухфакторную аутентификацию с мобильным приложением Google Authenticator.

1. Начнем с того, что установим на смартфон Google Authenticator. Это легко сделать из Google Play (Android) или Appstore (iPhone). Приложение не требует дополнительных настроек. Так выглядит значок Google Authenticator, не перепутайте:

2. Теперь на компьютере откройте браузер и войдите в свой аккаунт Google.

3. Нажмите круглую цветную кнопку с первой буквой своего имени в правом верхнем углу экрана. Появится меню.

4. Нажмите кнопку «Аккаунт Google». Откроется окно настроек. В левом столбце выберите пункт «Безопасность».

5. Прокрутите чуть вниз до раздела «Вход в аккаунт Google».

6. Нажмите на «Двухэтапная аутентификация». Откроется приветственное окно с базовой информацией о том, что нам предстоит сделать.

7. Нажмите кнопку «Начать». Придется еще раз ввести свой пароль к аккаунту Google. Это нормально. Когда дело касается настроек, Google время от времени просит ввести пароль (дальше мы не будем повторяться). Введите пароль и войдите в аккаунт.

По умолчанию Google предлагает подключить двухэтапную аутентификацию через «Уведомления от Google» (для этого на смартфоне тоже должен быть выполнен вход в аккаунт Google). В этом руководстве для включения двухэтапной аутентификации мы будем использовать SMS, способ по умолчанию для большинства сервисов. Нажмите «Выберите другой способ» – «SMS или телефонный звонок».

8. Укажите номер телефона.

Обратите внимание: номер телефона для двухэтапной аутентификации и номер телефона, привязанный к аккаунту (для восстановления забытого пароля) – не одно и то же.

Нажмите «Далее».

9. На ваш телефон придет SMS с шестизначным кодом. Введите его и нажмите «Далее».

10. Google поздравит вас с успехом и спросит, нужно ли включить двухэтапную аутентификацию. Нажмите «Включить». Теперь в настройках аккаунта Google вы можете видеть, что двухэтапная аутентификация включена.

Здесь же указаны подробности: способ по умолчанию – SMS-сообщения – и номер телефона.

11. Прокрутите немного ниже и найдите поле «Приложение Authenticator».

Нажмите «Создать».

12. Выберите операционную систему вашего телефона и нажмите «Далее».

13. При подключении Google Authenticator вы увидите окно с QR-кодом (код, издалека напоминающий квадратик, играет роль более распространенного штрих-кода с полосками, но способен содержать больше информации; сканируя такой код с помощью мобильного устройства, можно получить необходимые данные сразу, не вводя их вручную).

14. Откройте на смартфоне приложение Google Authenticator. Если это первый запуск Google Authenticator, то после вступительных экранов приложение предложит сканировать код. Если это не первый аккаунт, настроенный в Google Authenticator, нажмите кнопку (+) в правом нижнем углу

Появится меню.

Выберите «Сканировать штрихкод». Наведите камеру смартфона на QR-код на экране вашего компьютера. QR-код будет автоматически отсканирован, а запись о вашем аккаунте Google появится в Google Authenticator. Код (шесть цифр) будет сгенерирован немедленно. Обратите внимание: сгенерированный код действует очень небольшое время, ход которого можно видеть в кружке справа от кода.

Если по каким-то причинам сканировать QR-код не получается, можете воспользоваться альтернативным способом:

  • Нажмите ссылку «Не удается отсканировать код»
  • Откроется окно, в котором вы увидите ключ.
  • В Google Authenticator вместо «Сканировать штрихкод» выберите «Ввести ключ» и введите этот ключ, соблюдая рекомендации, которые дает Google.

15. Код, сгенерированный Google Authenticator, который нужно ввести на компьютере:

Нажмите «Подтвердить». К списку вторых факторов добавится Google Authenticator.

16. Необходимо добавить еще один способ аутентификации: резервные коды.

Одноразовые резервные коды нужны на случай, если с вашим смартфоном что-то случится: потеряется, разобьется, украдут, изымут. Вы сразу утратите доступ к Google Authenticator, привязанный к этому смартфону, а значит, к своему аккаунту Google. Чтобы такой беды не случилось, Google предлагает создать несколько резервных одноразовых кодов и сохранить их в надежном месте (точно не на смартфоне), таком как база KeePassXC.

Прокрутите страницу настроек двухфакторной аутентификации чуть ниже и найдите раздел «Резервные коды».

Нажмите «Создать». Вы увидите десять восьмизначных кодов. Сохраните их в надежном месте.

17. Завершим настройку двухфакторной аутентификации – удалим наименее надежный метод (SMS). Он выполнил свою роль, помог нам включить двухфакторную аутентификацию, и больше не нужен.

В списке способов двухфакторной аутентификации найдите «Голосовое сообщение или SMS».

Щелкните по значку карандашика справа. В открывшемся окошке нажмите «Удалить номер».

Настройка двухфакторной аутентификации завершена.

Как выглядит двухфакторная аутентификация для пользователя?

При входе в аккаунт Google вы, как обычно, введете пароль, а потом увидите вот такое окошко.

Здесь нужно ввести одноразовый код из Google Authenticator на вашем смартфоне. Если смартфон недоступен, выберите ссылку «Другой способ» и используйте один из десяти одноразовых резервных кодов.

Галочку в поле «Запомнить на этом компьютере» есть смысл ставить только на «доверенном» устройстве, где исключен несанкционированный доступ. Двухфакторная аутентификация на этом компьютере будет отключена на 30 дней.

При желании вы можете удалить ставшую ненужной аутентификацию по SMS. Для этого достаточно в настройках доступа к аккаунту нажать на значок карандаша («Редактировать») в поле «Голосовое сообщение или SMS».

Напоследок – о проблеме, которая иногда возникает у пользователей в связи с двухэтапной аутентификацией. Выглядит она так: вы вводите на компьютере код из Google Authenticator, а Google сообщает об ошибке. Если вы ввели код верно, проблема, скорее всего, в разных настройках времени на компьютере и на смартфоне. (Это бывает при смене часовых поясов и ручном изменении системного времени). Просто установите одинаковое время на обоих устройствах.

Версия для печати

Если вашу учетку защищает только пароль, это часто небезопасно. Мошенникам не сложно взломать его и получить доступ к конфиденциальным данными. Поэтому двухфакторная аутентификация стала одним из основных способов сделать онлайн-услуги безопасными. Сегодня почти каждый сайт с формой входа предлагает пользователям включить двухфакторную аутентификацию.

В статье расскажем, что значит двухфакторная аутентификация, какая она бывает и как ее использовать.

Что такое двухфакторная аутентификация

Двухфакторная аутентификация — это дополнительный уровень защиты учетной записи. Кроме ввода пароля, нужно также ввести одноразовый код, который приходит на почту или телефон, или отпечаток пальца. Этим вы подтверждаете свою личностья. Когда вы активируете эту опцию, кроме пароля хакеру нужно также ввести код, чтобы зайти в ваш аккаунт. Вы также получите уведомление, если кто-то попытается получить доступ в вашу учетку.

Одноразовый код действует только пару минут или часов, после чего он самоуничтожается. Таким образом, благодаря двухфакторной аутентификации ваши онлайн-аккаунты становятся неуязвимыми для киберпреступников.

Виды двухфакторной аутентификации

В двухфакторной аутентификации пользователи должны ввести такие данные:

Шаг 1:

  • То, что вы уже знаете: имя пользователя и пароль;

Шаг 2:

  • Сгенерированный код из телефона, почты или другого ПО; или
  • Биометрические данные — отпечаток пальца, скан сетчатки или голосовая проверка.

Двухфакторная аутентификация с помощью смартфона или ПО — самый распространенный метод.

Двухфакторная аутентификация по SMS

Секретный одноразовый пароль приходит на мобильный пользователя в SMS-сообщении.

Преимущества:

  • Так как приходит SMS, каждый может воспользоваться этой опцией — вне зависимости от наличия интернета.

Недостатки:

  • Сигнал сети — главный фактор, чтобы получить SMS с кодом.
  • Если вы потеряли SIM-карту или телефон, вы не сможете пройти аутентификацию.

Двухфакторная аутентификация по телефону

Пользователи получают проверочный код по звонку после того, как они правильно ввели пароль и имя пользователя.

Преимущества:

  • Так как это звонок, каждый может воспользоваться этой опцией — вне зависимости от наличия интернета.

Недостатки:

  • Сигнал сети — главный фактор, чтобы вам дозвонились.
  • Если вы в роуминге, это будет дорого стоить.
  • Если вы потеряли SIM-карту или телефон, вы не сможете пройти аутентификацию.

Двухфакторная аутентификация по почте

Пользователи получают проверочный код или уникальную ссылку на почту после того, как они правильно ввели пароль и имя пользователя.

Преимущества:

  • Доступно на компьютерах и телефонах.

Недостатки:

  • В отличие от SMS или звонка, для получения кода нужен интернет.
  • Письмо может попасть в спам или не дойти из-за проблемы с сервером.
  • Если хакеры взломали ваши почтовые учетные записи, они также могут получить доступ к коду.

Двухфакторная аутентификация через ПО

Это более продвинутый метод, который набирает популярность.

Пользователям нужно установить приложение на компьютер или смартфон, чтобы получить код. ПО динамически генерирует коды для пользователя на короткий период времени. После успешного входа в учетную запись пользователю нужно открыть приложение и ввести код, который сгенерировало приложение.

Примеры ПО для двухфакторной аутентификации — Google Authenticator, Authy, Microsoft Authenticator.

Преимущества:

  • Легко использовать.
  • Код автоматически генерируется в приложении аутентификации.
  • Кроссплатформенная поддержка — программа работает и на компьютере, и на смартфоне. Даже если вы потеряли смартфон, вы все равно сможете сгенерировать код на компьютере.

Недостатки:

  • Любой с доступом к вашему телефону или компьютеру может взломать вашу учетку.

Двухфакторная аутентификация через аппаратное обеспечение

Этот метод используется в основном в корпорациях, но его также можно использовать на персональных компьютерах. В этом случае код аутентификации генерируется с помощью оборудования — брелока или электронного ключа. На оборудовании есть экран, где каждые 30-60 секунд динамически генерируется код.

Преимущества:

  • Легко использовать.
  • Не нужно интернет-соединение.
  • Очень безопасный метод, потому что код генерируется с помощью стороннего оборудования.

Недостатки:

  • Дорого в установке и поддержке.
  • Устройство можно потерять.

Двухфакторная аутентификация по биометрическим данным

При биометрической проверке пользователь сам становится кодом. Ваши отпечатки, сетчатка, распознавание вашего голоса или лица может быть проверочным ключом при аутентификации.

Преимущества:

  • Безопасный метод, потому что никто не сможет скопировать ваши отпечатки, голос или лицо.
  • Легко использовать.
  • Не нужно интернет-соединение.

Недостатки:

  • В то же время хранить биометрические данные на сторонних серверах может быть небезопасным.
  • Нужны специальные устройства типа сканеров или камер.

Вам решать, какой метод аутентификации использовать. Но советуем не избегать аутентификации совсем и использовать хотя бы самую простую ее вариацию — по почте или телефону.

Читайте также:

  • Аутентификация Google

    Иногда Uber требует пройти двухэтапную аутентификацию, даже если вы не включили ее в настройках. Это…

  • Google docs презентация

    Google Docs или Гугл документы — онлайн-инструмент работы с текстовыми документами, таблицами и презентациями.В общем…

  • Google звонилка 4pda

    Google имеет собственное приложение для звонков, которое изначально было доступно только на телефонах собственной марки…

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *