Что такое двухэтапная аутентификация

Представить даже на минуту ситуацию, в которой кто-то посторонний получает доступ к вашей личной учётной записи на ПК крайне неприятно. Ведь в этом случае злоумышленник может:

• просматривать личную переписку;
• копировать фотографии, предназначенные только для узкого круга людей; 
• связываться с друзьями от вашего имени, чтобы выпрашивать у них деньги или рассылать им вредоносное ПО;
• сбрасывать пароли, чтобы завладеть вашими аккаунтами в соцсетях или проплаченных вами сервисах;
• наконец, получить доступ к банковским картам. 

В итоге он может не просто лишить вас средств, но и дискредитировать в глазах друзей или коллег. Чтобы этого не допустить, рекомендуется защищать свои аккаунты с помощью двухэтапной или двухфакторной аутентификации. Рассмотрим их виды и чем они отличаются.

Как работает двухэтапная аутентификация

Двухэтапная аутентификация — это усиленная защита учётных записей, состоящая из двух шагов или двух этапов: введения пароля и подтверждения входа с помощью дополнительных способов/устройств/приложений. 

Принцип работы двухэтапной аутентификации заключается в том, что после успешного ввода пароля система предлагает перейти к следующему шагу подтверждения. 

Примечание. Некоторые пользователи и даже разработчики между двухэтапной и двухфакторной аутентификацией ставят знак равенства. Однако между ними есть существенные различия. 

1. Этапы, шаги двухэтапной аутентификации могут включать в себя одинаковый фактор, например, ввод пароля. А в многофакторной аутентификации факторы отличаются. Подробнее о факторах читайте в статье «Двухфакторная аутентификация».
2. В отличие от двухфакторной аутентификации (2FA), двухэтапная (2SV) активирует следующий этап только в случае успешно пройденного первого. То есть двухэтапная аутентификация значительно слабее двухфакторной, где злоумышленник не может быть уверен в том, что один из этапов пройден успешно. Однако если правильно выбрать второй этап, то способ 2SV может оказаться вполне надёжным. Но для сверхусиленной защиты мы рекомендуем подключать 2FA на всех сервисах, где доступна поддержка со стороны используемых вами служб.

Какие бывают способы подтверждения второго этапа

Самые известные на сегодня методы двухэтапной аутентификации собраны в следующем списке: 

• SMS-пароль.
• Голосовой звонок на телефон.
• Подтверждение с помощью телефона.
• Мобильные приложения, генерирующие одноразовые коды.
• Токены или аппаратные ключи безопасности.

Рассмотрим, как они работают, их плюсы и минусы.

SMS-пароль

Принцип действия такой защиты прост: после введения логина и пароля служба предлагает ввести код из SMS, который приходит на зарегистрированный в учётной записи номер. Сегодня SMS является наименее эффективным способом подтверждения из-за развития социальной инженерии.

Что делать, если при подключении двухэтапной аутентификации не приходит СМС? Обычно это техническая проблема, решаемая следующими способами:

• убедитесь, что верно указали номер, не ошиблись в коде, цифре; может, нужно удалить пробелы между цифрами или, наоборот, их добавить (сверьте с форматом указания номера в инструкции);
• проверьте, не поставили ли вы свой айфон в режим полета;
• очистите память телефона, иногда SMS не приходят по причине ограничений по количеству сообщений;
• попробуйте перезагрузить устройство (помогает во многих случаях);
• проверьте работоспособность SIM-карты (иногда старые карты ещё принимают звонки, а СМС — уже нет), при необходимости замените её.

Звонок на телефон

Данный способ часто используют банковские службы для подтверждения транзакций. Действуют они по такому принципу: 

• Пользователь получает голосовое сообщение с инструкцией, например, указать несколько цифр из входящего номера.
• Или вам может быть предложено сделать подтверждение транзакции, нажав какую-то цифру во время звонка.

Надежность данного способа условна, по причине, указанной в предыдущем блоке.

Подтверждение с помощью телефона

В данном случае пользователю понадобится смартфон, поддерживающий последние версии Android (функцию всплывающих окон) или iPhone 5S (седьмого поколения), если вы хотите подключить двухэтапную аутентификацию на Apple. В отличие от кодов, уведомления в этом случае появляются во сплывающем окне, где нужно совершить действие, следуя подсказкам. Также вам понадобится включённый Bluetooth — он необходим службам для того, чтобы определить, насколько далеко телефон находится от вашего компьютера, где вы проходите авторизацию. Поэтому при запросе от соответствующей службы, включите его.

Мобильные приложения, генерирующие одноразовые коды

Каждый сервис, поддерживающий данный способ двухэтапной аутентификации, обычно предлагает пользователю список поддерживаемых приложений. Самыми популярными из них являются: 

• Google Authenticator;
• Microsoft Authenticator;
• Duo Mobile.

Также некоторые сервисы могут поддерживать собственные разработки.

Токены или аппаратные USB-ключи безопасности

Это одно из новейших и надежнейших на сегодня средств, подходящих как для двухэтапной, так и многофакторной аутентификации. По сути ключ является удостоверением личности, поэтому его можно использоваться как с паролем, так и вместо него. Использовать такой ключ очень просто: достаточно вставить его в USB-разъем или подключиться к устройству через NFC и коснуться ключа. Принцип действия аппаратных ключей заключается в том, что они генерируют закрытые шифры (или электронную подпись) непосредственно на устройстве и передают их открытую часть  службам, которые запрашивают пароль после авторизации пользователя. 

Расшифровать закрытый ключ чрезвычайно сложно, хакерам для этого потребуется сам физический ключ, время и дорогостоящее оборудование. Учитывая, что владелец при пропаже ключа успеет сбросить пароли и установить защиту заново, аппаратные ключи остаются на сегодня самым надежным способом защиты аккаунтов. 

Лучшими токенами считается продукция YubiKey, компании Yubico — они могут генерировать одноразовые пароли и поддерживают ассиметричное шифрование. Это выбор таких крупнейших компаний как Google и Facebook, которые с помощью ключей безопасности защищают аккаунты своих сотрудников. Кроме того, данные средства поддерживаются уже тысячами сервисов.

Узнать больше о ключах YubiKey.

Как подключить двухэтапную аутентификацию на различных сервисах

Рассмотрим подключение двухэтапной аутентификации на самых популярных сервисах. Если приложение, которым вы пользуетесь, не войдет в список, попробуйте найти путь подключения  двухэтапной аутентификации по аналогии с предложенными ниже инструкциями. Или обратитесь в поддержку вашей службы.

Двухэтапная аутентификация в сервисах Google

Google-сервисы являются наиболее популярными в мире, в частности поисковая система, переводчик, облачное хранилище (Google Drive) и YouTube. Менее популярной является почта Gmail, но без регистрации в ней доступ к некоторым сервисам ограничен. Кроме того, двухэтапная аутентификация на Gmail доступна, она подключается автоматически в настройках Гугл-аккаунта, поэтому пользователи могут быть уверены, что хакеры не получат доступа к другим их учётным записям через сброс пароля на почту.

Для защиты Гугл-аккаунта двухэтапная аутентификация настоятельно рекомендуется самим сервисом во время регистрации или авторизации на новых устройствах. В инструкции на сегодня предлагаются такие решения:

• одноразовый пароль в текстовом сообщении;
• пароль в голосовом уведомлении при звонке;
• подтверждение с помощью смартфона;
• генерируемый пароль в приложениях;
• USB-ключи безопасности Юбикей.

Чтобы подключить двухэтапную аутентификацию, либо следуйте предложенным подсказкам во время регистрации, либо, если вы приняли решение это сделать позже, авторизуйтесь и найдите в аккаунте вкладку «Безопасность» в панели слева. 

Далее в разделе «Вход в аккаунт Google» выберите раздел «Двухэтапная аутентификация» и нажмите «Начать». Теперь вы можете выбрать наиболее удобный для вас способ аутентификации и подключить его, следуя подсказкам на экране.

Относительно настроек двухэтапной аутентификации на Ютуб и в других популярных Google-приложениях — она осуществляется автоматически, когда вы подключаете двухэтапную аутентификацию в Гугл-аккаунте. 

Двухэтапная аутентификация в Телеграм

Телеграм считается одним из самых защищенных мессенджеров. После сбоя в соцсети Facebook к нему за короткое время присоединилось 70 млн. пользователей. Однако защита самих аккаунтов в Телеграм не очень надежна, поскольку осуществляется через подтверждение входа на новых устройствах SMS. Поэтому рекомендуется ставить дополнительную. Телеграм поддерживает в качестве второго этапа ещё один пароль. 

Путь подключения двухэтапной аутентификации в Телеграм следующий: «Конфиденциальность» — > «Двухэтапная аутентификация». Далее вам будет предложено ввести пароль и подтвердить его. Затем нужно добавить активную почту и, после получения на неё кода, подтвердить предыдущие действия. После этого вы увидите, что пароль успешно установлен. 

Мы рекомендуем время от времени менять этот пароль, а также защитить почту, на которую может быть восстановлен забытый пароль, с помощью ключей YubiKey. Если, конечно, вы используете в качестве почтового сервиса Gmail. Также на всякий случай скройте свой номер в Телеграм от просмотра. Чтобы злоумышленники не могли узнать, на какой номер открыт у вас аккаунт, перехватить SMS или подделать SIM-карту.

Двухэтапная аутентификация на Binance

Binance — ведущая мировая биржа торговли цифровыми активами. На данной площадке можно осуществлять сделки по покупке и продаже криптовалюты, заниматься инвестициями, благотворительностью и многое другое. Безусловно, аккаунты на этой площадке требуют надежной защиты, поэтому на Binance доступно несколько способов двухэтапной аутентификации.

• Собственное приложение, генерирующее одноразовые коды. 
• Подтверждение через телефон.
• Подтверждение на почту.
• Ключи безопасности YubiKey.

Способ подключения двухэтапной аутентификации здесь схож с предыдущими: необходимо после авторизации в профиле найти вкладку «Безопасность», после чего выбрать наиболее подходящий для себя вариант. 

Подведем итоги

• Двухэтапная аутентификация — это более надежная защита аккаунтов, чем пароли.
• Сервисы и службы предлагают разные способы защиты аккаунтов и найти их можно в настройках профиля, как правило, в разделе «Безопасность».
• Самым надежным способом защиты на сегодня являются аппаратные ключи YubiKey. 

Если вы хотите узнать больше о ключах YubiKey, перейдите на страницу с их описанием или свяжитесь с нашими менеджерами!