Двухфакторная аутентификация

Двухфакторная аутентификация (2FA)

Доступ к мировой паутине открывает для современного пользователя неограниченные возможности. Каждый день на просторах интернета появляются новые сайты, площадки и онлайн-сервисы. Но вместе с тем, к сожалению, развивается и киберпреступность. Многие предприниматели и частные лица давно понимают, что защита учётных записей на устройствах или на веб-узлах с помощью паролей не является ненадёжной:

• Простые пароли, до 6 символов, хакеры подбирают за считанные секунды. 
• Длинные и сложные пароли, как правило, никто не запоминает. Поэтому многие часто хранят их в браузерах, облачных хранилищах или на жёстком диске. В результате учётные данные могут быть украдены вирусами-шпионами или непосредственно злоумышленниками при получении физического доступа к устройству. 
• Чтобы сделать пароли легко запоминающимися, некоторые пользователи зашифровывают в них имя, фамилию, год рождения или мнемоническую фразу. Но они, как и короткие пароли, легко подбираются хакерами.
• Даже с виду надёжные пароли, состоящие из комбинации 16 (и более) символов, которые не хранятся в браузерах и на устройствах, могут быть в итоге скомпрометированы с помощью фишинга (поддельных сайтов). 

Поэтому помимо паролей рекомендуется использовать двухфакторную аутентификацию или 2ФА (2FA) — наиболее надёжный на сегодня метод защиты аккаунтов. Далее рассмотрим, что такое двухфакторная аутентификация, для чего она нужна и какие её виды бывают.

Что такое двухфакторная аутентификация или 2FA

Двухфакторная аутентификация — это один из методов многофакторной аутентификации, который основан на подтверждении личности пользователя, владеющего учетной записью. Подтвердить личность в цифровом формате можно несколькими способами:

• ввести информацию, известную только пользователю — кодовое слово, PIN-код, графический знак;
• применить личные устройства: смартфон, айфон, ПК, мастер-ключ, токен, аппаратный ключ;
• использовать биометрические датчики для считывания индивидуальных биологических характеристик: отпечатков пальцев, ладони, сетчатки глаза или голоса.

В зависимости от выбранного способа различают 3 фактора двухфакторной аутентификации:

• Фактор знания — уникальная информация.
• Фактор владения — физическое устройство.
• Фактор свойства — биометрия.

Рассмотрим их преимущества и недостатки.

Фактор знания

Плюсами данного способа являются его простота и отсутствие необходимости приобретать дополнительные устройства. Однако надёжным этот способ подтверждения назвать сложно по следующим причинам:

• кодовое слово, зашифрованное под элементарными вопросами «Где вы родились?» или «Девичья фамилия матери?» могут быть известны вашему кругу общения;
• PIN-код, если вы его где-то оставите записанным, так же легко может быть украден, как и пароли;
• графический ключ, если вы будете его использовать на переносном устройстве где-нибудь в общественном месте, просто могут подсмотреть.

Фактор владения

Этот фактор подразумевает наличие физического устройства. Рассмотрим виды подтверждения личности при помощи физических устройств.

• Двухфакторная аутентификация по телефону может включать в себя несколько  вариантов. Самые известные — одноразовый SMS-пароль или баннер с кнопкой «Да, это я». Данные способы двухфакторной аутентификации распространены в соцсетях, например, Телеграм и Instagram. 

Новые версии смартфонов могут иметь ещё один вариант подтверждения — работать с вашими отпечатками. Но его рассмотрим позже. 

Также на телефоне в качестве метода аутентификации можно использовать приложение типа Google Authenticator, генерирующее одноразовые пароли, которые меняются каждые 30 секунд. 

Перечисленные способы могут показаться вполне надёжными. Но, к сожалению, хакеры, используя социальную инженерию, могут получить доступ к SIM-карте, сделав её дубликат, и узнать ваши одноразовые пароли. Также никто не застрахован от утери устройства, в котором можно нажать кнопку подтверждения или узнать секретный пароль из приложения. Поэтому для решений, требующих высокой степени безопасности, данными способами пользоваться не рекомендуется. 

• Двухфакторная аутентификация по почте также подразумевает получение одноразового пароля. Недостаток такого способа состоит в том, что почта находится на облачных серверах, то есть может быть доступна на любых устройствах. Это значит, что взломать её технически легче, чем смартфон. Хотя, например, на Гугл-сервисах есть возможность решить этот вопрос, подключив двухфакторную аутентификацию к Gmail-почте.
• Подтверждение личности с помощью аппаратных USB-ключей безопасности является одним из наиболее надёжных методов аутентификации. Кроме того, их использование невероятно удобно. Эти устройства выполнены в виде небольшого брелока или миниатюрного модуля и подключаются к ПК или мобильным устройствам через USB или NFC (технология беспроводной передачи данных). Многие службы и приложения уже поддерживают такие физические аппаратные средства шифрования как USB-ключи. 

При использовании ключей безопасности в качестве второго фактора аутентификации устройство передаёт сайтам, поддерживающим  протокол FIDO 2 и FIDO U2F, зашифрованную информацию о пользователе в ответ на запрос об авторизации. И если сайт является фишинговым, ключ не получает запрос от соответствующей службы. Таким образом ключи безопасности дополнительно защищают аккаунты от взлома. 

Кроме того, есть типы ключей, которые имеют биометрический датчик, определяющий личность владельца.

Фактор свойства

Фактор свойства или биометрический фактор подразумевает использование устройства с биометрическим датчиком. В качестве удобных компактных переносных аппаратных средств для пользователей применяются смартфоны с датчиками голоса и отпечатков пальцев, смарт-карты и аппаратные ключи безопасности. Существуют также в проектах разработки для сканирования отпечатка ладони и сетчатки глаза, но на данный момент они являются слишком громоздким и дорогостоящим средством и пока не получили широкого распространения.

Самые безопасные и удобные средства для двухфакторной аутентификации

На сегодня наилучшими по удобству и безопасности способами аутентификации являются аппаратные ключи безопасности YubiKey производства Швеции и США. Их преимущества:

• компактность;
• невысокая стоимость;
• простота использования;
• устойчивость к механическим повреждениям;
• широкий выбор продукции, позволяющий подобрать устройства для любых целей.

Аппаратные ключи YubiKey уже давно используются ведущими IT-компаниями и государственными структурами для аутентификации сотрудников в целях повышения безопасности и предотвращения утечки данных. Теперь эту продукцию можно купить в Украине.

Ознакомиться с Ключами Безопасности YubiKey

Как включить двухфакторную аутентификацию

Большинство онлайн-сервисов, сайтов и популярных соцсетей на данный момент поддерживают двухфакторную аутентификацию. Ключи безопасности можно подключить на любых сервисах, поддерживающих протокол FIDO 2 и FIDO U2F. Этот способ аутентификации доступен на таких популярных площадках, как Google, Фейсбук, Binance.

Как правило, такие сервисы сами предлагают подключение двухфакторной аутентификации на этапе регистрации или авторизации на новом устройстве. Если этого не произошло, чаще всего, настроить второй фактор аутентификации можно в панели навигации в авторизированном аккаунте во вкладке «Безопасность», в которой уже далее можно выбрать наиболее удобный и доступный способ.

Также многое зависит от типа устройств, которые вы хотите задействовать для настройки второго фактора. Для некоторых из них может понадобиться приложение. В нем, как правило, должна быть инструкция по подключению того или иного сервиса. 

Большинство аппаратных ключей не требуют приложений, поскольку работают автономно. В любом случае при выборе устройства вы всегда можете запросить инструкцию по настройке ключей у наших менеджеров.

Берегите себя и свои данные!

Понравилась статья? Рекомендуем почитать другие публикации