Руководство по включению двухфакторной аутентификации

Двухфакторная аутентификация (2FA , 2ФА) – это способ идентификации пользователя в онлайн сервисах путём использования комбинации двух различных методов (факторов) аутентификации. Это может быть что-то, что пользователь знает (например, пароль или PIN-код), нечто, чем он владеет (например, аппаратный токен или смартфон) или нечто, неотделимое от пользователя (отпечаток пальца или лицо).

Наверняка вы уже используете 2ФА в некоторых сферах своей жизни. Когда вы снимаете наличные деньги в банкомате, вы используете физический объект - банковскую карту (что-то, чем вы владеете) и PIN-код (что-то, что вы знаете). В основе 2ФА для онлайн сервисов лежит такая же логика.

Как двухфакторная аутентификация работает в сети? anchor link

Многие онлайн сервисы, например Facebook (а также Instagram и WhatsApp), Apple, Google, X, Reddit, WeChat, Telegram и TikTok предлагают 2ФА в качестве альтернативы авторизации при помощи одного лишь пароля. При активации 2ФА вам предложат использовать как пароль, так и второй метод (фактор) аутентификации.

Вариантом второго фактора может быть постоянно меняющийся код, генерируемый специальным приложением для аутентификации, push-уведомление в смартфоне или USB-устройство (называемое аппаратным токеном или ключом безопасности).

Приложение-аутентификатор генерирует уникальный для каждого аккаунта постоянно меняющийся шестизначный цифровой код. Большинство компаний создают свое бесплатное приложение для аутентификации. Примерами таких приложений являются Google Authenticator и Authy. Некоторые менеджеры паролей также могут работать как приложение-аутентификатор, поэтому приобретать последние нет необходимости. Приложения для аутентификации обычно используют алгоритм TOTP (Time-based One-Time Password), создающий уникальные одноразовые пароли. За основу для генерации пароля берётся время, что позволяет использовать полученный пароль только непродолжительный период времени. Зачастую в приложении для аутентификации рядом с кодом появляется убывающий индикатор, указывающий на то, когда пароль изменится. Обычно этот период составляет 30 секунд. В этих случаях вторым фактором является ваш мобильный телефон – то есть то, чем вы (как правило) владеете.

Возможна 2ФА через push-уведомления. Этот способ используется в корпоративной среде и в таких сервисах, как Duo или Okta. Но, скорее всего, вы уже использовали его в аккаунтах Google, Apple или Microsoft. Push-уведомления также популярны в игровых сервисах, например Steam и Blizzard. При авторизации сервис отправляет запрос на одно из ваших устройств. В запросе указывается, что кто-то (возможно, вы) пытается войти в систему, а также предполагаемое место попытки входа. Вы можете одобрить или отклонить попытку.

Вторым фактором также может быть другое, приобретаемое отдельно, физическое устройство – ключ (токен) безопасности. Токен подключаются к компьютеру или телефону через USB-порт или соединяются с телефоном по беспроводной связи с помощью NFC. Как и в приложениях-аутентификаторах, вы регистрируете аппаратный токен на сайте, и без предоставления ключа авторизоваться на этом сайте невозможно. Ключи безопасности – это самая надежная форма 2ФА, но они не так широко поддерживаются на веб-сайтах, как другие варианты.

После перехода на использование 2ФА для входа в свою учетную запись вам нужно будет сначала ввести пароль, а затем второй фактор – сгенерированный приложением-аутентификатором или присланный по SMS код, либо ключ безопасности.

Почему нужно включить 2ФA? anchor link

2ФА обеспечивает более надежную защиту аккаунта. Даже если кто-то узнает ваш пароль, он не сможет получить доступ к аккаунту без вашего мобильного телефона или другого дополнительного средства аутентификации. Это особенно важно, поскольку утечки данных, в которых фигурируют пароли пользователей, является довольно частым явлением. Веб-сайты постоянно взламывают, после чего добытые пароли и имена пользователей нередко продают или публикуют. 2ФА не является альтернативой использованию надежных и уникальных паролей, но она может обеспечить небольшой дополнительный слой защиты на случай, если кто-то попробует использовать ваше имя пользователя и пароль на другом сайте.

Кроме того, аутентификация при помощи ключа безопасности и ключа доступа (passkey) эффективно защищает от фишинга, поскольку ключи не будут работать на сайте, на котором они не зарегистрированы. Это не относится к кодам из SMS-сообщений или из приложений-аутентификаторов. В последние годы фишинговые атаки стали изощреннее и начали запрашивать коды 2ФА. Это позволяет злоумышленникам заполучить доступ к аккаунту, если пользователь невнимателен при вводе кода из приложения-аутентификатора или SMS-кода.

Есть ли у использования двухфакторной аутентификации недостатки? anchor link

Хотя двухфакторная аутентификация и предлагает более безопасный способ входа в учётные записи, повышается риск того, что пользователи сами не смогут войти в свои аккаунты, например в случае утери телефона, смены сим-карты или выезда в другую страну (без активации роуминга). Это относится и к ключам безопасности, которые потерять легче, чем телефон.

Многие сервисы, поддерживающие двухфакторную аутентификацию, позволяют создавать «резервные» списки кодов или коды «восстановления». Это одноразовые коды, т. е. использовать каждый код для входа в свой аккаунт можно лишь единожды. Если вы обеспокоены тем, что потеряете доступ к своему телефону или другому устройству аутентификации, распечатайте список кодов и всегда носите его с собой. Это по-прежнему будет чем-то, чем вы владеете. Если, конечно, вы сделаете только одну копию и будете всегда иметь её под рукой. Помните, что хранить коды безопасности необходимо особенно бережно, не допуская доступа к ним третьих лиц. Если вы использовали эти коды или потеряли их, вы сможете сгенерировать новые, как только войдёте в свой аккаунт.

Некоторые мобильные приложения 2ФА позволяют избежать этой проблемы, предлагая возможность создать резервную копию информации, используемой для генерации одноразового кода. Таким образом, если вы потеряете телефон, то сможете восстановить резервную копию. Для большинства людей резервное копирование кодов аутентификации – отличное решение. Но если вы беспокоитесь о безопасности сервиса, в котором вы их создаете, и уверены, что не потеряете или не сломаете свой телефон, то можете не создавать резервные копии кодов аутентификации. Если вы всё же создадите их, проверьте документацию к приложению и убедитесь, что для резервных копий используется сквозное шифрование .

Второй фактор по SMS лучше, чем ничего, но сопряжен с потенциальными проблемами, поскольку обмен SMS не имеет защиты. Продвинутые злоумышленники, имеющие доступ к телефонной сети (например, спецслужбы или организованные преступные группы), могут перехватить и использовать отправляемые по SMS коды. Но есть случаи, когда злоумышленникам и с более простым техническим оснащением (обычным частным лицам) удавалось переадресовывать звонки или текстовые сообщения жертвы на свой телефон или получать доступ к сервисам мобильного оператора, которые отображают текстовые сообщения, отправляемые на номер телефона жертвы. Подмена SIM-карты (SIM swapping) также является потенциальной угрозой. Атака заключается в том, что злоумышленник обманывает оператора связи (или имеет там соучастника) и получает SIM-карту с вашим номером телефона для своего устройства. Как только злоумышленник совершит подмену, он получит доступ к любым SMS-кодам 2ФА или, что еще хуже, может сбросить пароль с помощью SMS. Федеральная торговая комиссия пыталась отговорить компании от использования SMS-кодов для 2ФА.

Вместо подтверждения по SMS по возможности используйте приложение-аутентификатор, аппаратный токен или ключи доступа (passkeys). Также рекомендуем уточнить у своего оператора мобильной связи, предлагает ли он какие-либо способы защиты от подмены SIM-карты. Это может быть PIN-код или устный пароль, который вы должны сообщить при обращении в службу поддержки клиентов для внесения изменений.

Более того, двухфакторная аутентификация требует от вас предоставления сервису больше информации, чем вы (возможно) хотите. Допустим, для аккаунта в TikTok вы используете псевдоним . Даже если вы тщательно скрываете от TikTok идентифицирующую вас информацию и подключаетесь только через Tor или VPN , при включении двухфакторной аутентификации по SMS номер вашего телефона станет известен сервису. Таким образом, если TikTok получит распоряжение суда, сервис без проблем найдет вашу учётную запись по номеру телефона. Возможно, для вас это не проблема, особенно если вы уже используете своё реальное имя на данной платформе. Но если для вас важно сохранять анонимность, стоит подумать дважды, прежде чем использовать двухфакторную аутентификацию по SMS.

Даже после включения 2ФА не забудьте использовать менеджер паролей для создания надёжных и уникальных паролей. Советы по созданию надёжных паролей смотрите в нашем руководстве.

Что насчет ключей доступа? anchor link

Ключи доступа (passkeys) – это новый способ авторизации, который имеет все преимущества 2ФА по обеспечению безопасности и значительно сокращает количество действий. Ключ доступа – это от 100 до 1400 байт случайных данных, которые генерируются на вашем устройстве (телефоне, ноутбуке или аппаратном токене) для входа на определённый веб-сайт. Они не являются ни паролем, ни вторым фактором, но функционально могут заменять их.

Не требуя ввода пароля и кода, ключи доступа сразу предусматривают второй фактор. Каждый раз, когда вы используете ключи доступа для авторизации, ваш браузер или операционная система могут попросить вас повторно ввести PIN-код для разблокировки устройства. Если для разблокировки своего устройства вы используете распознавание отпечатка пальца или лица, браузер может попросить вас повторно отсканировать палец или показать лицо, чтобы подтвердить, что авторизуетесь действительно вы. Этот способ использует сразу два фактора аутентификации: то, что у вас есть (устройство, на котором хранится ваш ключ доступа), а также то, что вы знаете (PIN-код), или то, что от вас неотделимо (отпечаток пальца или лицо).

Если на определенном сайте вы уже включили 2ФА, будет удобнее и, возможно, безопаснее использовать ключ доступа. Второй фактор из SMS или приложения-аутентификатора уязвим для фишинговых атак, поскольку поддельный сайт может запросить у вас одноразовый код и использовать его на реальном сайте вместе с «выуженным» паролем. Ключи доступа более надежны, чем SMS или приложение-аутентификатор, поскольку они не подвержены фишингу. Ваш браузер точно знает, каким сайтом используется тот или иной ключ, и поддельные веб-сайты его не обманут.

Как включить двухфакторную аутентификацию? anchor link

Внимание: если вы еще не настроили менеджер паролей и не начали использовать уникальные пароли для каждого сайта, в первую очередь займитесь этим. Использование уникальных паролей для каждого сайта само по себе является отличной мерой защиты.

Способ включения двухфакторной аутентификации и используемая терминология отличаются от платформы к платформе. Обширный список сайтов, поддерживающих двухфакторную аутентификацию, доступен на сайте https://2fa.directory/. У каждого человека свои нужды и модели угроз, при этом далеко не каждый веб-сайт предлагает 2ФА. Но если у вас есть выбор, рассмотрите следующие варианты (представлены по убыванию надежности):

• Ключи доступа (passkeys) безопасны и просты в использовании (когда они работают правильно), но всё ещё являются новой технологией, которая не всегда доступна и может вызвать трудно решаемые неполадки в процессе входа в систему (при неправильной реализации).
• Аппаратные токены очень надежны, но могут быть неудобны в использовании, поскольку их всегда нужно иметь при себе.
• Аутентификация через push-уведомления обеспечивает средний уровень безопасности и проста в использовании, но доступна только для небольшого числа веб-сервисов. Поскольку она не стандартизирована, то в итоге на вашем телефоне может оказаться много приложений для аутентификации в различных сервисах.
• Приложения-аутентификаторы (TOTP аутентификация) в наши дни очень распространены и позволяют обеспечить средний уровень безопасности, но копирование и вставка кодов между приложениями может быть неудобна, особенно на мобильных устройствах.
• Аутентификация через SMS обеспечивает самый низкий уровень безопасности, в некоторых случаях может быть неудобна (или вообще невозможна, если у вас нет мобильной связи); но если альтернатив нет, то лучше она, чем ничего.

После того как вы просмотрели настройки учетной записи и нашли, как включить 2ФА, зачастую для завершения процесса вам нужно будет сделать еще один шаг. Порядок действий зависит от выбранного способа и самого сайта, но обычно он выглядит следующим образом:

• Если вы решили использовать ключ доступа, сайт создаст и сохранит ключ на том устройстве, на котором вы его создаёте (например, на телефоне или ноутбуке). Чтобы войти в систему при помощи этого же ключа, вам потребуется иметь при себе именно это устройство (хотя некоторые менеджеры паролей синхронизируют ключи между разными устройствами). Многие сервисы по-прежнему требуют наличия имени пользователя и пароля. В таком случае, возможно, стоит использовать другую форму 2ФА.
• Если вы решили использовать ключ безопасности, нужно вставить токен и подтвердить, что вы хотите создать необходимые учётные данные (действие зависит от самого ключа, но обычно требуется прикоснуться к токену или нажать кнопку на нём), а затем следовать указаниям для завершения привязки к вашему аккаунту. Обратите внимание, что на некоторых сайтах (при использовании ключа безопасности) требуется альтернативный способ 2ФА в качестве резервного, поэтому, возможно, потребуется сначала настроить его.
• Если вы решили использовать приложение-аутентификатор. Нужно отсканировать QR-код на экране компьютера с помощью телефона. После этого ваш телефон начнет генерировать временные коды, чтобы подтвердить успешное завершение процесса, нужно будет ввести один из этих кодов.
• Если вы решили использовать аутентификацию по SMS, вы получите код. Введите его, чтобы подтвердить включение 2ФА.

Сразу после ознакомления процесс включения 2ФА может показаться сложным, но можно разбить его на несколько простых шагов и тем самым упростить себе задачу.

Рекомендуем начать с учётных записей электронной почты. Поскольку большинство сервисов позволяют сбрасывать пароль по электронной почте, любой, кто завладеет вашим ящиком, может выполнить сброс пароля для доступа к другим аккаунтам. Именно поэтому почтовым сервисам стоит присвоить высший приоритет. Затем настройте 2ФА для сервисов, хранящих резервные копии ваших файлов – учётных записей Apple, Google или Microsoft. После этого перейдите к аккаунтам в социальных сетях и приложениях для общения. Далее займитесь сервисами из каталога сайтов, поддерживающих двухфакторную аутентификацию (см. ссылку выше).