Руководство по включению двухфакторной аутентификации

Двухфакторная аутентификация (или «2FA») – это способ идентификации пользователя на онлайновом сервисе путём использования комбинации двух различных методов аутентификации. Методы могут быть основаны на том, что пользователь знает (например, пароль или PIN-код), чем пользователь владеет (например, брелок или мобильный телефон) или что является его неотъемлемой частью (например, отпечатки пальцев).

Наверняка вы уже используете двухфакторную аутентификацию в других сферах вашей жизни.  Когда вы снимаете наличные деньги в банкомате, вы должны иметь при себе как саму банковскую карту (что-то, чем вы владеете), так и ваш PIN-код (что-то, что вы знаете).  Однако в настоящее время многие онлайновые сервисы по умолчанию используют лишь один фактор для идентификации своих пользователей – пароль.

Как двухфакторная аутентификация работает в сети? Anchor link

В течение последних лет несколько онлайновых сервисов (включая Facebook, Google и Twitter) начали предоставлять возможность двухфакторной аутентификации в качестве альтернативы аутентификации при помощи только пароля. После активации этой функции пользователям предлагается ввести и пароль, и код вторичного метода аутентификации. Как правило, он либо высылается по SMS, либо генерируется специальным мобильным приложением: Google Authenticator, Duo Mobile, Facebook app или Clef. В любом случае второй фактор – это мобильный телефон пользователя (что-то, чем он владеет). Некоторые веб-сайты (включая Google) также поддерживают списки кодов, которые можно скачать и распечатать в качестве резервных. После того, как пользователь активировал двухфакторную аутентификацию, для входа в учётную запись ему понадобится вводить свой пароль и одноразовый код, полученный при помощи телефона.

Зачем мне включать двухфакторную аутентификацию? Anchor link

Двухфакторная аутентификация обеспечивает более высокий уровень защиты, требуя для входа на сервис аутентификацию несколькими способами. Это означает, что даже если злоумышленник получит доступ к вашему основному паролю, он не сможет войти в учётную запись, если у него не будет вашего телефона или другого вторичного средства аутентификации.

Есть ли недостатки у использования двухфакторной аутентификации? Anchor link

Хотя двухфакторная аутентификация и предлагает более безопасный способ входа в учётные записи, повышается риск того, что пользователи не смогут войти в свои аккаунты, например в случае утери телефона, смены сим-карты или выезда в другую страну, не включив роуминг.

Многие поддерживающие двухфакторную аутентификацию сервисы позволяют создавать «резервные» списки кодов или коды «восстановления», при помощи которых вы всегда сможете разблокировать вашу учётную запись. Если вы обеспокоены возможностью потери доступа к своему телефону или другому устройству аутентификации, вам необходимо распечатать список кодов и всегда носить его с собой. Это по прежнему будет что-то, чем вы владеете, если, конечно, вы сделаете только одну копию и будете всегда иметь её под рукой. Помните, что хранить коды безопасности необходимо особенно бережно, не допуская доступа третьих лиц.

Другой проблемой, связанной с системами двухфакторной аутентификации, использующими SMS-сообщения, является то, что SMS-сообщения имеют низкий уровень защиты. Продвинутый злоумышленник (например, в составе спецслужб или организованных преступных групп), имеющий доступ к телефонным сетям, теоретически может перехватить и использовать коды, отправляемые по SMS. Были случаи, когда менее продвинутым злоумышленникам (частным лицам) удавалось перенаправлять на свой телефон звонки и SMS-сообщения, предназначенные другим абонентам, или получать доступ к сервисам мобильного оператора, которые отображают текстовые сообщения, отправляемые на определённый номер телефона.

Если вы обеспокоены атаками такого уровня, выключите аутентификацию по SMS и используйте специальные приложения, такие как Google Authenticator и Authy. К сожалению, это функция доступна не для всех сервисов, поддерживающих двухфакторную аутентификацию.

Более того, двухфакторная аутентификация требует от вас предоставления используемому сервису больше информации, чем вы, возможно, хотите. Допустим, на Twitter вы используете псевдоним. Даже если вы тщательно скрываете идентифицирующую вас информацию от сервиса Twitter и даже если вы подключаетесь только через Tor или VPN, при включении двухфакторной аутентификации по SMS номер вашего телефона станет известен сервису. Таким образом, если Twitter получит распоряжение суда, сервис сможет найти связь между вашей учётной записью и вами через номер вашего телефона. Возможно, для вас это не проблема, особенно если вы уже используете своё настоящее имя на данной платформе, но если для вас важно сохранять анонимность, вам надо подумать дважды прежде чем включать двухфакторную аутентификацию по SMS.

В заключение надо отметить, что по данным исследования, некоторые пользователи упрощают свои пароли после включения двухфакторной аутентификации, считая, что второй фактор обеспечивает их безопасность. Обязательно выбирайте надёжные пароли даже после включения двухфакторной аутентификации.

Как включить двухфакторную аутентификацию? Anchor link

Это зависит от используемой платформы, различается и терминология. В Facebook этот процесс называется “подтверждение входа,” в Twitter – “проверка входа,” а в Google – “двухэтапная аутентификация.” Чтобы включить двухфакторную аутентификацию на большинстве платформ, вам лишь понадобится мобильный телефон, способный получать SMS-сообщения.

Полный список сайтов, поддерживающих двухфакторную аутентификацию, доступен здесь: https://twofactorauth.org/. Если вы хотите обезопаситься от кражи паролей, есть смысл пройтись по этому списку и включить двухфакторную аутентификацию на всех важных веб-аккаунтах.

Последнее обновление: 
2016-09-02
Эта страница переведена с английского языка. Наиболее актуальной является английская версия.
JavaScript license information