Двухфакторная аутентификация (2FA, two-factor authentication) - является наиболее часто применяемым видом многофакторной аутентификации (MFA), который требует дополнительный (второй) фактор аутентификации в дополнение к паролю (первый фактор).
Двухфакторная аутентификация обеспечивает дополнительный уровень защиты и используется для входа в различные онлайн-сервисы, такие как электронная почта, социальные сети, мессенджеры, онлайн-банкинг и другие. В настоящее время всё больше компаний внедряют поддержку 2FA на своих платформах.
Необходимость двухфакторной аутентификации.
Возникает вопрос: «Зачем необходима двухфакторная аутентификация, если у нас есть надёжный пароль?» Важно понимать, что двухфакторная аутентификация не заменяет пароль, а дополняет и усиливает его. Например, когда приложение для онлайн-банкинга требует ввести пароль и проверочный код, отправленный на телефон в виде SMS-сообщения, это означает использование 2FA.
Двухфакторная аутентификация создает дополнительную линию защиты для вашего аккаунта и персональных данных, которая обеспечивает более надежную и эффективную защиту информации по сравнению с традиционным использованием одного пароля. Если пароль может быть подобран или скомпрометирован в результате утечки, то для взлома второго фактора аутентификации требуется значительно больше усилий.
Дополнительным преимуществом 2FA является возможность предупреждать пользователя о попытках взлома аккаунта. Например, если на ваш телефон приходит сообщение с одноразовым кодом для входа в аккаунт, а вы никаких подобных попыток не предпринимали, это может означать, что ваш аккаунт пытаются взломать. Злоумышленнику потребуется ввести именно этот одноразовый код (OTP), чтобы завершить процесс взлома. В таком случае необходимо сменить пароль на более сложный и предусмотреть дополнительные меры по защите учетной записи.
Примечание: ни при каких обстоятельствах не следует передавать кому-либо одноразовый пароль, даже если человек представился сотрудником банка, правоохранительных органов или любой другой организации. Мошенники часто используют эту уловку для получения несанкционированного доступа к вашим аккаунтам.
Принцип работы двухфакторной аутентификации.
Сначала вы вводите свой логин и пароль от учетной записи – 1-й фактор (фактор знания). Затем вы получаете на мобильный телефон push-уведомление с одноразовым кодом. Ваше мобильное устройство – 2-й фактор (фактор владения) — доказывает факт владения им для завершения аутентификации.
Многофакторная аутентификация включает три категории факторов:
Знание – информация, которую вы знаете (пароль, ПИН-код, контрольное слово, ответ на контрольный вопрос и т.д.).
Владение – вещь, которой вы обладаете (смартфон, пластиковая карта, токен и т.д.).
Свойство – уникальные биометрические данные (отпечатки пальцев, радужная оболочка глаз, распознавание лица, характеристики голоса, последовательность ДНК).
Варианты комбинаций 2FA могут быть различными:
Пароль + sms/push-уведомление;
Пароль + сертификат;
Отпечаток пальца + одноразовый пароль (OTP);
PIN-код + лицевая биометрия.
Двухфакторная аутентификация по SMS - секретный одноразовый пароль приходит на мобильный пользователя в SMS-сообщении.
Преимущество:
Так как приходит SMS, каждый может воспользоваться этой опцией вне зависимости от наличия интернета.
Недостатки:
Сигнал сети – главный фактор, чтобы получить SMS с кодом.
Если вы потеряли SIM-карту или телефон, вы не сможете пройти аутентификацию.
Двухфакторная аутентификация по телефону - пользователи получают проверочный код по звонку после того, как они правильно ввели пароль и имя пользователя.
Преимущество:
Так как это звонок, каждый может воспользоваться этой опцией – вне зависимости от наличия интернета.
Недостатки:
Сигнал сети – главный фактор, чтобы вам дозвонились.
Если вы в роуминге, это будет дорого стоить.
Если вы потеряли SIM-карту или телефон, вы не сможете пройти аутентификацию.
Двухфакторная аутентификация по почте - пользователи получают проверочный код или уникальную ссылку на почту после того, как они правильно ввели пароль и имя пользователя.
Преимущество:
Доступно на компьютерах и телефонах.
Недостатки:
В отличие от SMS или звонка, для получения кода нужен интернет.
Письмо может попасть в спам или не дойти из-за проблемы с сервером.
Если хакеры взломали ваши почтовые учетные записи, они также могут получить доступ к коду.
Двухфакторная аутентификация через специальное программное обеспечение (ПО) - это более продвинутый метод, который набирает популярность.
Пользователям нужно установить приложение на компьютер или смартфон, чтобы получить код. Соответствующее ПО динамически генерирует коды для пользователя на короткий период времени. После успешного входа в учетную запись пользователю нужно открыть приложение и ввести код, который сгенерировало приложение.
Примеры ПО для двухфакторной аутентификации: Google Authenticator, Authy, Microsoft Authenticator.
Преимущества:
Легко использовать.
Код автоматически генерируется в приложении аутентификации.
Кроссплатформенная поддержка – программа работает и на компьютере, и на смартфоне. Даже если вы потеряли смартфон, вы все равно сможете сгенерировать код на компьютере.
Недостатки:
Любой с доступом к вашему телефону или компьютеру может взломать вашу учетную запись.
Двухфакторная аутентификация через аппаратное обеспечение – этот метод используется в основном в корпорациях, но его также можно использовать на персональных компьютерах. В этом случае код аутентификации генерируется с помощью оборудования – брелока или электронного ключа. На оборудовании есть экран, где каждые 30-60 секунд динамически генерируется код.
Преимущества:
Легко использовать.
Не нужно интернет-соединение.
Очень безопасный метод, потому что код генерируется с помощью стороннего оборудования.
Недостатки:
Дорого в установке и поддержке.
Устройство можно потерять.
Двухфакторная аутентификация по биометрическим данным – при биометрической проверке пользователь сам становится кодом. Ваши отпечатки, сетчатка, распознавание вашего голоса или лица может быть проверочным ключом при аутентификации.
Преимущества:
Безопасный метод, так как биометрические данные уникальны для каждого человека, что делает их сложными для подделки или кражи.
Легко использовать.
Не нужно интернет-соединение.
Недостатки:
В то же время хранить биометрические данные на сторонних серверах может быть небезопасным.
Нужны специальные устройства типа сканеров или камер.
Сканеры отпечатков пальцев, камеры для распознавания лица и другие биометрические устройства могут давать сбои или неправильно функционировать, что может затруднить доступ.
Следует отметить, что корректная двухфакторная аутентификация предполагает использование двух разных факторов (знание, владение, свойство). Например, комбинация «Пароль + PIN-код» не будет считаться 2FA, так как оба элемента относятся к одному фактору (фактор знания). Такая комбинация подпадает под определение 2SV – двухшаговой верификации (two-step verification).
Может ли 2FA заменить традиционные пароли?
С помощью беспарольной двухфакторной аутентификации можно отказаться от использования паролей, поскольку пароли имеют ряд недостатков: они могут быть забыты, утеряны или подобраны (взломаны). Также увеличивается количество паролей с ростом числа онлайн-сервисов. Многие организации внедряют аутентификацию без пароля, основанную на факторах владения, свойства и поведенческих факторов. Это снижает уязвимость к атакам, направленным на пароли, и решает проблемы, связанные с утечками данных. Например, для входа в личный кабинет можно использовать отпечаток пальца и магнитный ключ, что исключает необходимость пароля.
Включение двухфакторной аутентификации.
Для начала необходимо определить, на каком ресурсе требуется включить 2FA, и проверить наличие данной возможности. В зависимости от онлайн-сервиса процедура активации может различаться. Как правило, подробная информация об активации 2FA доступна в разделе «Помощь» или «Настройки». Разберем на примере Google:
«Управление аккаунтом Google» → «Безопасность» → «Двухэтапная аутентификация».
Гарантирует ли двухфакторная аутентификация стопроцентную защиту?
Несмотря на все перечисленные преимущества, двухфакторная аутентификация не может гарантировать стопроцентную защиту данных, из-за того что:
Одноразовый код доступа, направленный в виде SMS или push-уведомления, может быть перехвачен вредоносным приложением или подсмотрен злоумышленником. Важно соблюдать правила безопасности мобильного устройства.
Одноразовый код доступа, отправленный на электронную почту, может быть скомпрометирован в случае взлома почтового ящика. Необходимо надежно защищать электронную почту.
Мошенники могут с помощью социальной инженерии получить одноразовый код доступа от пользователя. Важно уметь противостоять телефонному мошенничеству и фишингу.
Утрата смартфона может предоставить мошенникам доступ к вашим данным. Важна надежная защита устройства как на программном, так и на физическом уровне.
В целом, двухфакторная аутентификация значительно усложняет задачу злоумышленникам. Вероятность того, что одновременно произойдет фишинг (раскрытие пароля) и утрата токена, весьма низкий.