Что такое двухфакторная аутентификация и зачем её устанавливать. Простыми словами
Проще говоря, минимальные, самые распространённые меры для обеспечения безопасности — использование логина и пароля или пин-кода. Это однофакторная аутентификация, то есть использование одного способа (фактора) подтверждения.
Безусловно, это лучше, чем ничего. Но главный недостаток такой системы — лёгкость взлома.
Логин можно просто узнать или подобрать: часто это номер телефона, адрес электронной почты, имя и/или фамилия. Пароли рядовые пользователи тоже обычно устанавливают несложные: всем известные qwerty, 12345, дата рождения или номер телефона.
Иногда используется один пароль для входа во все аккаунты. Если злоумышленники захотят воспользоваться вашими данными, это будет сделать относительно нетрудно.
Поэтому рекомендуется использовать несколько факторов защиты — хотя бы два.
Какие факторы аутентификации бывают
Факторы делят на несколько групп:
✔️ Фактор знания — то, что должен знать только пользователь
Это логин, пароль, пин-код, кодовое слово, ответ на секретный вопрос и т. п.
Эксперты советуют устанавливать пароли, которые включают минимум 12 знаков, содержат буквы разного регистра (большие и маленькие), цифры и спецсимволы. И регулярно их менять.
Другие рекомендации:
- Создавать сложные пароли с помощью строчек из песен или стихотворений. Можно убрать из фразы все гласные и добавить вместо них символы.
Например, +p0Z!tex<34evER= (пози-тех-любовь-навсегда).
- Использовать мнемонику, чтобы легко запомнить сложный пароль.
- Применять случайные пароли, в которых даже не содержится слов. Например: kl5S386Peq%b&M. Их можно не запоминать, а использовать парольные менеджеры — программы, которые сохраняют пароли в зашифрованной форме и заполняют их автоматически, когда это необходимо.
✔️ Фактор владения — то, что есть только у пользователя
Это сим-карта, электронная почта, электронная подпись, USB-токен, аппаратный ключ, генерирующие одноразовые пароли и прочее.
На номер телефона присылают СМС с одноразовым кодом доступа или поступает звонок-сброс — тогда вместо кода нужно будет ввести последние цифры номера. Также может позвонить робот и продиктовать код.
Часто задействована и электронная почта: на неё приходит одноразовый код или ссылка, по которой нужно перейти для подтверждения действия.
Одноразовый временный пароль могут генерировать специальные приложения, установленные на смартфоне, или парольные менеджеры в браузере.
Можно использовать и отдельные устройства: аппаратные ключи или USB-токены. Внешне они похожи на обычную флешку.
✔️ Фактор свойства — часть личности пользователя
Это биометрические данные: отпечатки пальцев, сетчатка глаза, лицо, голос и даже так называемый клавиатурный почерк — то, как человек набирает текст на клавиатуре, с какой скоростью, с какими паузами между нажатиями клавиш, как долго их зажимает.
✔️ Фактор местоположения и фактор времени
Доступ разрешается только в определённом месте или в определённое время. Местоположение определяется по GPS, по данным о локальных сетях Wi-Fi и т. п.
Например, вы установили запрет на покупки по своей карте за границей. Или работнику закрыт доступ к корпоративной системе в нерабочие часы или с устройств вне офиса.
Как работает двухфакторная аутентификация
Основной принцип двухфакторной аутентификации — использование двух факторов разных групп, то есть двух разноплановых способов подтверждения подлинности личности, не связанных между собой.
Например, связка логин — пароль (фактор знания) и биометрия (фактор свойства) или логин — пароль (фактор знания) и одноразовый пароль с аутентификатора (фактор владения).
А вот пароль и кодовое слово или ответ на секретный вопрос — это факторы одного типа — знания. Обычно они получены из одного источника — например, вы зафиксировали их в банковской системе, это ваша договорённость с банком.
Это двухэтапная аутентификация, двухшаговая, или двухэтапная проверка, но двухфакторной аутентификацией не является.
Где используется двухфакторная аутентификация
⭐ Финансы. Интернет-банкинг, электронные кошельки, электронная торговля и т. д.
⭐ Сервисы с личными данными и конфиденциальной информацией. Электронная почта, мессенджеры, социальные сети, госсервисы.
⭐Рабочее место и корпоративные сети.
Как подключить двухфакторную аутентификацию
Подключить двухфакторную аутентификацию, если она не включена по умолчанию, можно в личном аккаунте того сервиса, ресурса или системы, где вам это требуется.
Для этого нужно войти в меню настроек и во вкладке «Безопасность» или «Конфиденциальность» выбрать дополнительный метод аутентификации — помимо логина и пароля.
В зависимости от того, какой фактор доступен в данной системе, нужно будет его зарегистрировать соответствующим образом:
- привязать адрес электронной почты, на который будет приходить подтверждение;
- установить приложение, генерирующее одноразовые коды доступа;
- добавить и/или привязать биометрию и т. д.
Далее нужно подтвердить фактор — например, перейти по ссылке или ввести код из письма, полученного на электронную почту, и залогиниться с помощью обоих факторов.
Преимущества двухфакторной аутентификации
Двухфакторная аутентификация помогает защитить данные от взлома, фишинга, мошенничества с обычным паролем.
Условно говоря, взломать две двери сложнее и дольше, чем одну.
Даже если кто-то узнал или подобрал пароль от вашего аккаунта, не факт, что ему удастся преодолеть второй фактор. А вам поступит уведомление для подтверждения входа в аккаунт. И так как вы его не запрашивали, таким образом вы узнаете о попытке несанкционированного доступа и сможете принять меры (поменять пароль, заблокировать счёт).
Недостатки двухфакторной аутентификации
К недостаткам двухфакторной аутентификации относят то, что усложняется и растягивается во времени вход для самого пользователя.
Кроме этого, могут быть проблемы с доступом ко второму фактору: забыл пароль от электронного почтового ящика, куда приходят подтверждения, потерял USB-токен и т. п.
Сюда же можно отнести и зависимость от внешних обстоятельств. Например, находишься вне зоны действия сети мобильного оператора и не можешь принять звонок или СМС с кодом.
Также и сами факторы могут иметь уязвимости.
Например, смартфон, по сути, смешивает два фактора в один: подтверждения приходят на то же устройство, с которого осуществляется вход, и если им завладели злоумышленники, у них открывается доступ к множеству аккаунтов сразу.
Но даже и без физической кражи телефона могут просто угнать номер и перехватывать звонки и сообщения.
Имеют место схемы с подделкой электронной цифровой подписи. Мошенники в связке с сотрудниками организации, уполномоченной на выдачу подписи, оформляют её на нужное имя. Могут украсть подпись и хакеры.
В случае с доступом по биометрии есть вопросы к тому, насколько надёжно та или иная платформа хранит эти данные пользователей и обеспечивает конфиденциальность.
Ну и страшилка, что человеку могут отрезать палец, чтобы воспользоваться его смартфоном против его воли, уже не раз случалась в реальной жизни.
Но в целом двухфакторная аутентификация считается одним из самых надёжных способов обеспечения безопасности данных для обычных пользователей.
Для тех, кто имеет дело с информацией, требующей высокого уровня защиты, требуется многофакторная аутентификация с использованием трёх и более факторов.
Эта статья — одна из тысяч в «Энциклопедии "Секрета фирмы"». В этом проекте мы простыми словами рассказываем о сложных терминах и явлениях. Посмотрите другие статьи «Энциклопедии», чтобы лучше понимать мир, в котором мы живём.