Двохфакторна автентифікація

Двохфакторна автентифікація (2FA)

Доступ до світового павутиння відкриває для сучасного користувача необмежені можливості. Щодня на просторах інтернету з’являються нові сайти, майданчики та онлайн-сервіси. Але водночас, на жаль, розвивається і кіберзлочинність. Багато підприємців та приватних осіб давно розуміють, що захист облікових записів на пристроях або на вебвузлах за допомогою паролів не є надійним:

• Прості паролі до 6 символів хакери підбирають за лічені секунди.
• Довгі та складні паролі переважно ніхто не запам’ятовує. Тому багато хто часто зберігає їх у браузерах, хмарних сховищах або на жорсткому диску. В результаті облікові дані можуть бути викрадені вірусами-шпигунами або безпосередньо зловмисниками при отриманні фізичного доступу до пристрою.
• Щоб зробити паролі такими, що легко запам’ятовуються, деякі користувачі зашифровують у них ім’я, прізвище, рік народження або мнемонічну фразу. Але вони, як і короткі паролі легко підбираються хакерами.
• Навіть на вигляд надійні паролі, що складаються з комбінації 16 (і більше) символів, які не зберігаються в браузерах і на пристроях, можуть бути в результаті скомпрометовані за допомогою фішингу (підроблених сайтів).

Тому крім паролів рекомендується використовувати двохфакторну автентифікацію або 2ФА (2FA) — найбільш надійний на сьогодні метод захисту акаунтів. Далі розглянемо, що таке двофакторна автентифікація, навіщо вона потрібна та які її види існують.

Що таке двохфакторна автентифікація або 2FA

Двохфакторна аутентифікація — це один із методів багатофакторної автентифікації, що заснований на підтвердженні особи користувача, який володіє обліковим записом. Підтвердити особу у цифровому форматі можна декількома способами:

• ввести інформацію, відому лише користувачеві — кодове слово, PIN-код, графічний знак;
• застосувати особисті пристрої: смартфон, айфон, ПК, майстер-ключ, токен, апаратний ключ;
• використати біометричні датчики для зчитування індивідуальних біологічних характеристик: відбитків пальців, долоні, сітківки ока або голосу.

Залежно від обраного способу розрізняють 3 фактори двофакторної аутентифікації:

• Чинник знання — унікальна інформація.
• Чинник володіння — фізичний пристрій.
• Чинник властивості — біометрія.

Розглянемо їх переваги та недоліки.

Чинник знання

Позитивними моментами цього способу є його простота і відсутність необхідності купувати додаткові пристрої. Однак надійним цей спосіб підтвердження назвати складно з таких причин:

• кодове слово, зашифроване під елементарними питаннями «Де ви народилися?» або «Дівоче прізвище матері?» можуть бути відомі вашому колу спілкування;
• PIN-код, якщо ви десь залишите його записаним, може бути вкрадений так само легко, як і паролі;
• графічний ключ, якщо ви будете використовувати його на переносному пристрої де-небудь в громадському місці, просто можуть підгледіти.

Чинник володіння

Цей чинник передбачає наявність фізичного пристрою. Розглянемо методи підтвердження особи за допомогою фізичних пристроїв.

Двофакторна автентифікація за телефоном може включати декілька варіантів. Найвідоміші — одноразовий SMS-пароль або банер із кнопкою «Так, це я». Дані способи двофакторної автентифікації поширені в соцмережах, наприклад, Телеграм та Instagram.

Нові версії смартфонів можуть мати ще один варіант підтвердження — працювати з вашими відбитками. Але його розглянемо згодом.

Також на телефоні як метод автентифікації можна використовувати додаток типу Google Authenticator, що генерує одноразові паролі, які змінюються кожні 30 секунд.

Перераховані методи можуть здатися цілком надійними. Але, на жаль, хакери, використовуючи соціальну інженерію, можуть отримати доступ до SIM-карти, зробивши її дублікат, і визначити ваші одноразові паролі. Також ніхто не застрахований від втрати пристрою, в якому можна натиснути кнопку підтвердження або з’ясувати секретний пароль із додатка. Тому для рішень, що вимагають високого ступеня безпеки, користуватися цими способами не рекомендується.

• Двохфакторна автентифікація поштою також передбачає отримання одноразового пароля. Недолік такого способу полягає в тому, що пошта знаходиться на хмарних серверах, тобто може бути доступна на будь-яких пристроях. Це означає, що зламати її технічно легше, ніж смартфон. Хоча, наприклад, на Google сервісах є можливість розв’язати це питання, увімкнувши двохфакторну автентифікацію до Gmail-пошти.
• Підтвердження особи за допомогою апаратних USB-ключів безпеки є одним із найбільш надійних методів автентифікації. Крім того, їх використання неймовірно зручне. Ці пристрої виконані у вигляді невеликого дармовиса або мініатюрного модуля та підключаються до ПК або мобільних пристроїв через USB або NFC (технологія бездротової передачі даних). Багато служб і додатків уже підтримують такі фізичні апаратні засоби шифрування як USB-ключі.

При використанні ключів безпеки як другий чинник автентифікації пристрій передає сайтам, що підтримують протокол FIDO 2 та FIDO U2F, зашифровану інформацію про користувача у відповідь на запит про авторизацію. І якщо сайт є фішинговим, ключ не отримує запиту від відповідної служби. Таким чином, ключі безпеки додатково захищають акаунти від зламу.

Крім того, є типи ключів, які мають біометричний датчик, що визначає особу власника.

Чинник властивості

Чинник властивості або біометричний чинник передбачає використання пристрою з біометричним датчиком. Як зручні компактні переносні апаратні засоби для користувачів застосовуються смартфони з датчиками голосу та відбитків пальців, смарткарти та апаратні ключі безпеки. Існують також у проєктах розробки для сканування відбитка долоні та сітківки ока, але зараз вони є надто громіздким і дорогим засобом і поки не набули широкого поширення.

Найбезпечніші та найзручніші засоби для двохфакторної автентифікації

Сьогодні найкращими за зручністю та безпекою способами автентифікації є апаратні ключі безпеки Yubikey виробництва Швеції та США. Їхні переваги:

• компактність;
• невисока вартість;
• простота використання;
• стійкість до механічних пошкоджень;
• широкий вибір продукції, що дозволяє підібрати пристрої для будь-яких цілей.

Апаратні ключі Yubikey вже давно використовуються провідними IT-компаніями та державними структурами для автентифікації співробітників з метою підвищення безпеки та запобігання витоку даних. Наразі цю продукцію можна купити в Україні.

Ознайомитись з Ключами Безпеки YubiKey

Як увімкнути двохфакторну автентифікацію

Більшість онлайн-сервісів, сайтів та популярних соцмереж зараз підтримують двохфакторну автентифікацію. Ключі безпеки можна під’єднати на будь-яких сервісах, які підтримують FIDO 2 і FIDO U2F. Цей спосіб автентифікації доступний на таких популярних майданчиках як Google, Фейсбук, Binance.

Зазвичай такі послуги самі пропонують підключення двохфакторної автентифікації на етапі реєстрації або авторизації на новому пристрої. Якщо цього не сталося, найчастіше, налаштувати другий фактор автентифікації можна на панелі навігації в авторизованому обліковому записі у вкладці «Безпека», в якій вже далі можна вибрати найзручніший і найдоступніший спосіб.

Також багато залежить від типу пристроїв, які ви хочете залучити для налаштування другого фактора. Для деяких з них може знадобитися додаток. У ньому зазвичай є інструкція щодо підключення того чи іншого сервісу.

Більшість апаратних ключів не потребують додатків, оскільки працюють автономно. У будь-якому разі при виборі пристрою ви завжди можете запросити інструкцію з налаштування ключів у наших менеджерів.

Бережіть себе та свої дані!