Двухфакторная аутентификация (или «2FA») — это метод повышения безопасности ваших онлайн-аккаунтов. Он требует ввода дополнительного доказательства («фактора») вместе с основным паролем при входе в систему. Вторым фактором может быть:
что-то, что вы знаете (например, PIN-код)
что-то, что у вас есть (например, ключ безопасности или мобильный телефон)
что-то неотделимое от вас (ваши биометрические данные: отпечаток пальца, лицо)
2FA значительно повышает безопасность учетной записи. Даже если злоумышленник узнает ваш пароль, он не сможет получить доступ к вашим аккаунтам без второго фактора. Учитывая регулярность утечек данных, включая пароли пользователей, наличие дополнительного уровня защиты крайне важно. Важно подчеркнуть: 2FA — это не замена надежным и уникальным паролям, а их необходимое дополнение.
Как работает двухфакторная аутентификация?
Многие популярные онлайн-сервисы, такие как Telegram, Google, Facebook (включая Instagram и WhatsApp), Apple, X, Reddit и TikTok, предоставляют возможность подключения 2FA. После активации этой функции вам потребуется вводить не только пароль, но и дополнительный способ аутентификации при входе в систему.
Этим дополнительным способом может быть:
1️⃣
SMS-сообщение
Вы привязываете номер телефона к учетной записи и одноразовый код (второй фактор) приходит к вам в sms-сообщении.
2️⃣
Одноразовый код в электронном письме
Вы привязываете e-mail, куда приходит одноразовый код.
3️⃣
Меняющийся код, сгенерированный приложением аутентификации
Приложение-аутентификатор генерирует чередующиеся шестизначные коды, специфичные для каждого веб-сайта, на котором вы зарегистрировались. Многие компании выпускают бесплатные мобильные приложения для аутентификации, такие как Google Authenticator, Microsoft Authenticator или Authenticator Pro.
Некоторые менеджеры паролей также работают как приложения для аутентификации. Приложения 2FA обычно используют одноразовые пароли на основе времени («Time-based One-time Password» или TOTP) — уникальные числовые пароли, генерируемые алгоритмом. Это означает, что они одноразовые и действительны только в течение очень короткого периода времени.
4️⃣
Push-уведомления
Такой способ можно встретить в учетной записи Google, Apple или Microsoft. Благодаря двухфакторной аутентификации на основе push, при попытке авторизации служба может отправить запрос на одно из ваших устройств. В этом уведомлении будет указано, что кто-то пытается войти в систему, а также предполагаемое место и время попытки входа. Вы можете одобрить или отклонить авторизацию.
5️⃣
Отдельное устройство (аппаратный ключ безопасности)
Вторым фактором также может быть другое физическое устройство называемое ключом безопасности. Ключи безопасности подключаются к компьютеру или телефону через USB или подключаются к телефонам по беспроводной сети с помощью NFC. Ключи безопасности — надежная форма 2FA, но они не так широко поддерживаются различными сервисами.Вот как такой ключ может выглядеть.
Подробнее об аппаратных ключах безопасности можно прочитать здесь.
Есть еще Passkeys. Это не 2FA в классическом понимании, и чуть подробнее об этом способе мы рассказываем ниже.
Пара слов о Passkeys
Passkeys — это относительно новый способ входа в систему, обеспечивающий безопасность на уровне 2FA, но с меньшими хлопотами. Ключ доступа представляет собой 100–1400 байт случайных данных, генерируемых на вашем устройстве (телефоне, ноутбуке или ключе безопасности) для входа на конкретный веб-сайт. Второй ключ хранится на сервисе, аккаунт которого вы защищаете. Хотя Passkeys не являются ни паролем, ни 2FA в чистом виде, они могут функционально заменить их.
Каждый раз, когда вы используете ключ доступа для входа в систему, ваш браузер или операционная система может попросить вас повторно ввести PIN-код или предоставить биометрические данные для доступа к ключу на вашем устройстве.
Несмотря на большую устойчивость к фишингу, по сравнению с обычными паролями, этот способ имеет ряд недостатков:
Во-первых, технология пока не очень распространена. Ее можно использовать для учетных записей Apple, Google, TikTok, WhatsApp, X и некоторых других (всего около 40 сервисов).
Во-вторых, что более важно, эта технология не обеспечивает должную безопасность для людей, находящихся в странах с репрессивным режимом, поскольку исходит из предпосылки, что устройство, на котором сохранен ключ доступа, находится только под вашим контролем. В современных российских реалиях человек может столкнуться с обыcком, изъятием техники, досмотром техники при пересечении границы.
Резюмируя: этот вариант может подойти тем, кто находится в безопасной юрисдикции, и в случае, когда риск потери физического контроля над устройством низкий. Для тех, кто в России или планирует пересекать ее границу, Passkeys — не самое оптимальное решение.
Подробнее о технологии Passkeys в этом материале «Теплицы социальных технологий».
Недостатки различных способов 2FA
Каждый метод 2FA имеет свои преимущества и недостатки. При выборе способа важно учитывать не только эти особенности, но и контекст: ваше местоположение, тип защищаемой информации и потенциальные угрозы. Однако даже использование самого простого варианта 2FA значительно повысит уровень защиты по сравнению с его полным отсутствием.
1. SMS 2FA
📎
Удобно ⭐⭐⭐
Надежно ⭐
SMS 2FA лучше, чем ничего, но имеет потенциальные проблемы, поскольку обмен SMS-сообщениями небезопасен.
👍
В чем плюсы:
лучше, чем отсутствие 2FA
широкое распространение способа
включить и использовать очень просто
👎
В чем минусы:
риск перехвата SMS злоумышленниками, в том числе сотрудниками спецслужб
риск выпуска дубликата SIM-карты злоумышленниками
не позволяет сохранить анонимность при использовании сервиса, поскольку вы передаете ему номер телефона
в случае утраты телефона (потеря, кража, изъятие) не будет возможности авторизоваться в сервисе
в стране без роуминга, вы можете потерять доступ к своим учетным записям
2. Одноразовый код в электронном письме
📎
Удобно ⭐⭐
Надежно ⭐
Еще один случай, когда наличие 2FA лучше, чем ничего, но не обеспечивает достаточной защиты.
👍
В чем плюсы:
лучше, чем отсутствие 2FA
широкое распространение способа
включить и использовать очень просто
👎
В чем минусы:
взлом почты, к которой привязано получение кодов, ставит под угрозу остальные аккаунты
письма могут приходить с задержкой
требует отдельный надежный почтовый ящик, который не стоит использовать в других аккаунтах, чтобы снизить вероятность утечки
3. Приложение-аутентификатор
📎
Удобно ⭐⭐
Надежно ⭐ ⭐
Аутентификация через приложение Authenticator/TOTP очень распространена и обеспечивает средний уровень безопасности, который является достаточным в большинстве случаев. При этом крайне важно, чтобы телефон, на котором установлено Приложение-аутентификатор, не попал в руки злоумышленников.
👍
В чем плюсы:
обеспечивает хороший уровень защиты
зачастую есть дополнительные возможности для защиты кодов: например, вход в приложение по отдельному паролю или через биометрию
широкая поддержка различными сервисами
👎
В чем минусы:
копирование/вставка кодов между приложениями может раздражать
если утратить доступ к устройству, а вход в аутентификатор дополнительно не защищен, то создаются угрозы безопасности другим аккаунтам
4. Аутентификация на основе push-уведомлений
📎
Удобно ⭐⭐
Надежно ⭐
Простой в использовании, но не самый надежный способ, особенно если есть риск потери физического контроля над устройством.
если устройство попадет в чужие руки, злоумышленники получат возможность авторизоваться в ваших аккаунтах
5. Аппаратный ключ безопасности
📎
Удобно ⭐
Надежно ⭐⭐⭐
Это хороший способ, если сервис, который вы хотите защитить его поддерживает. В то же время сам ключ необходимо купить и затем бережно хранить его.
👍
В чем плюсы:
большая устойчивость к фишингу
обеспечивает высокий уровень защиты
не нужно копировать/вводить коды
👎
В чем минусы:
не все приложения и веб-сайты его поддерживают
это не бесплатный инструмент
легко потерять и, как следствие, утратить доступ к учетным записям
6. Passkeys
📎
Удобно ⭐⭐☆
Надежно ⭐☆
Как мы писали выше, это метод может быть хорошим решением, если вы находитесь в безопасной юрисдикции.
👍
В чем плюсы:
простота использования
большая устойчивость к фишингу
не нужно запоминать пароли
👎
В чем минусы:
важное условие безопасности использование — сохранение физического контроля над устройством
низкая распространенность применения
Проблема утраты доступа ко второму фактору и ее решение
Хотя 2FA предлагает более безопасные средства аутентификации, он повышает риск блокировки вашей учетной записи. Например, если вы потеряете телефон, поменяете номер или отправитесь в страну без включения роуминга, вы можете потерять доступ к учетным записям. То же самое относится и к ключам безопасности, которые потерять еще легче, чем телефон.
Многие службы 2FA предоставляют краткий списокодноразовых кодов «резервного копирования» или «восстановления». Каждый код работает только один раз для входа в вашу учетную запись и после этого больше не пригоден для использования. Если вы боитесь потерять доступ к своему телефону или другому устройству аутентификации, то это может быть хорошим решением.
Не забудьте сохранить коды в безопасном месте (например, распечатать и удалить копии с устройств) и убедиться, что никто другой не увидит их и не получит к ним доступа. Использовав резервные коды, вы сможете создать новый список после входа в учетную запись.
Как включить двухфакторную аутентификацию?
❗
Если вы еще не начали использовать уникальные пароли для каждого сайта и не настроили менеджер паролей, сделайте это в первую очередь.
Включение 2FA отличается от платформы к платформе, как и используемая терминология.
Список сервисов, поддерживающих 2FA, доступен на сайте https://2fa.directory/
У каждого плана безопасности свои потребности, и не каждый ресурс предложит вам несколько вариантов 2FA. Но если у вас есть возможность выбора, подумайте о каждом типе 2FA в следующем порядке и с учетом описанных выше недостатков:
Приложение-аутентификатор
Passkeys
Аппаратный ключ безопасности
Аутентификация на основе push-уведомлений
SMS 2FA / Одноразовый код в электронном письме
После того, как вы покопаетесь в настройках учетной записи и найдете опцию включения 2FA, вам, скорее всего, придется сделать еще один шаг, чтобы завершить процесс. Как это работает — зависит от типа используемой вами 2FA и самого веб-сайта. Обычно это происходит следующим образом:
Если вы используете мобильное приложение для аутентификации, вам нужно будет отсканировать QR-код на экране вашего компьютера с помощью телефона. После этого ваш телефон начнет генерировать коды, и вам нужно будет ввести один из этих кодов, чтобы завершить настройку.
Если вы решите использовать ключ доступа (Passkeys), сайт создаст и сохранит ключ доступа на устройстве, на котором вы его создали (например, на телефоне или ноутбуке). Вам понадобится это конкретное устройство, чтобы войти в систему с этим ключом доступа.
Если вы выберете аппаратный ключ безопасности, вам нужно будет вставить ключ, подтвердить, что вы хотите создать учетные данные (это зависит от самого ключа, но обычно означает нажатие ключа или кнопки на нем), а затем следовать инструкции по завершению привязки его к вашей учетной записи.
Если вы используете SMS или e-mail, вы получите код, который вам затем нужно будет ввести, чтобы завершить процесс включения 2FA.
👉
Процесс включения 2FA на всех ресурсах может показаться сложной и утомительной задачей, поэтому мы рекомендуем вам разбить его на несколько подзадач:
Начните с учетных записей электронной почты. Ее следует защитить в первую очередь, поскольку большинство служб позволяют сбрасывать пароль по электронной почте — любой, кто получит ваш адрес, может выполнить сброс пароля для доступа к другим службам.
Затем защитите свои мессенджеры и социальные сети.
Настройте 2FA для любых служб, которые создают резервные копии ваших файлов, например учетной записи Apple, Google или Microsoft.
В завершение вы можете подключить 2FA на остальных сервисах из каталога, которыми вы пользуетесь.
