Что такое двухфакторная аутентификация и почему вам следует ее использовать?

Одна из ужасных мыслей в наше время, когда данные стали новой нефтью, — это беспокойство о том, что ваши онлайн-аккаунты могут быть скомпрометированы или вы можете потерять к ним доступ. Хотя несколько факторов могут быть отнесены к этой проблеме, самым значительным из них является отсутствие адекватной безопасности, которое можно разбить на небрежность и плохие практики безопасности, которые большинство пользователей сознательно или бессознательно продолжают следовать.

Одним из способов выхода из этой ситуации является включение 2FA (двухфакторной аутентификации) на всех ваших аккаунтах для повышения их безопасности. Таким образом, даже если ваш пароль будет скомпрометирован или взломан, ваш аккаунт все равно не будет доступен, пока не будет подтвержден вторым фактором (токеном проверки 2FA).

Но, как оказывается, многие люди не используют 2FA или не знают о его существовании. Поэтому, чтобы упростить ситуацию, вот руководство по двухфакторной аутентификации с ответами на некоторые из самых распространенных вопросов о 2FA.

Что такое двухфакторная аутентификация (2FA)?

Двухфакторная аутентификация или 2FA — это тип механизма многофакторной аутентификации (MFA), который добавляет дополнительный уровень безопасности к вашему аккаунту — второй фактор, в случае 2FA — для аутентификации ваших входов.

Идеально, когда вы входите в аккаунт, используя ваше имя пользователя и пароль, пароль служит вашим первым фактором аутентификации. И только после того, как служба проверит введенный пароль как правильный, она позволяет вам получить доступ к вашему аккаунту.

Одна из проблем с этим подходом заключается в том, что он не является самым безопасным: если кто-то получит ваш пароль от аккаунта, он сможет легко войти и использовать ваш аккаунт. Именно здесь возникает необходимость во втором факторе.

Второй фактор, который можно настроить несколькими способами, добавляет дополнительный уровень аутентификации к вашему аккаунту в момент входа. С его включением, когда вы вводите правильный пароль для вашего аккаунта, вам необходимо ввести код проверки, действительный в течение ограниченного времени, чтобы подтвердить вашу личность. После успешной проверки вам предоставляется доступ к аккаунту.

В зависимости от службы, реализующей механизм, 2FA иногда также может называться двухступенчатой проверкой (2SV), как в случае с Google. Однако, помимо разницы в названии, принцип работы обоих остается тем же.

Также на TechPP

Как включить двухфакторную аутентификацию на Facebook, Instagram и TwitterЧитать далее

Как работает двухфакторная аутентификация (2FA)?

Как упоминалось в предыдущем разделе, двухфакторная аутентификация включает использование второго фактора (в дополнение к первому фактору: паролю) для завершения проверки личности в момент входа.

Для этого приложения и службы, реализующие 2FA, требуют, чтобы как минимум два из следующих факторов (или доказательств) были проверены конечным пользователем перед тем, как они смогут войти и начать использовать службу:

i. Знание – что-то, что вы знаете
ii. Наличие – что-то, что у вас есть
iii. Присущность – что-то, чем вы являетесь

Чтобы дать вам лучшее представление о том, что составляют эти разные факторы, в большинстве сценариев фактор Знание может быть, скажем, вашим паролем или PIN-кодом, в то время как фактор Наличие может включать что-то вроде USB-ключа безопасности или ключа аутентификатора, а фактор Присущность может быть вашими биометрическими данными: отпечаток пальца, сетчатка и т.д.

Как только у вас настроена и работает 2FA на любом из ваших аккаунтов, вам необходимо ввести один из двух факторов проверки, между Наличием и Присущностью, в дополнение к фактору Знание, чтобы подтвердить вашу личность на службе в момент входа.

Затем, в зависимости от того, что вы хотите защитить и какую службу вы используете, у вас есть два варианта выбрать предпочитаемый механизм второй аутентификации. Вы можете использовать Наличие: любой физический ключ безопасности или приложение-генератор кода на вашем смартфоне, которое предоставляет вам одноразовый токен, который вы можете использовать для проверки вашей личности. Или вы можете полагаться на Присущность: лицевую проверку и подобное, как это предоставляется некоторыми службами в наши дни, в качестве второго фактора проверки безопасности для вашего аккаунта.

Также на TechPP

Как включить двухфакторную аутентификацию на вашем аккаунте GoogleЧитать далее

Является ли двухфакторная аутентификация надежной? Есть ли какие-либо недостатки в использовании 2FA?

Теперь, когда вы понимаете, что такое двухфакторная аутентификация и как она работает, давайте более подробно рассмотрим ее реализацию и недостатки (если таковые имеются) использования ее на вашем аккаунте.

Для начала, хотя консенсус среди большинства экспертов по использованию двухфакторной аутентификации в целом положительный и побуждает людей включать 2FA на своих аккаунтах, существуют определенные недостатки в реализации механизма, которые не позволяют ему быть надежным решением.

Эти недостатки (или скорее уязвимости) в основном являются результатом плохой реализации 2FA службами, использующими их, которые могут, в свою очередь, быть ошибочными на различных уровнях.

Чтобы дать вам представление о слабой (читай, неэффективной) реализации 2FA, рассмотрим сценарий, когда у вас включена 2FA на вашем аккаунте с использованием вашего мобильного номера. В этой настройке служба отправляет вам одноразовый пароль (OTP) по SMS, который вы должны использовать для проверки вашей личности. Однако, поскольку второй фактор отправляется через оператора в этой ситуации, он подвержен различным видам атак и, следовательно, не является безопасным сам по себе. В результате такая реализация не может быть такой эффективной, как должна быть, для защиты вашего аккаунта.

Помимо вышеупомянутого сценария, есть несколько других ситуаций, в которых 2FA может быть уязвима для всевозможных атак. Некоторые из этих ситуаций включают случаи, когда веб-сайт/приложение, внедряющее механизм: имеет искаженную реализацию проверки токенов; не имеет ограничения скорости, что может позволить кому-то взломать аккаунт; позволяет отправлять один и тот же OTP снова и снова; полагается на неправильный контроль доступа для резервных кодов и т.д. Все это может привести к уязвимостям, которые могут позволить кому-то — с правильными знаниями и навыками — обойти плохо реализованный механизм 2FA и получить доступ к целевому аккаунту.

Аналогично, еще один сценарий, когда 2FA может быть проблематичной, — это когда вы используете ее небрежно. Например, если у вас включена двухфакторная аутентификация на аккаунте с использованием приложения-генератора кодов и вы решите перейти на новое устройство, но забудете перенести приложение аутентификатора на новый телефон, вы можете полностью заблокировать доступ к вашему аккаунту. И, в свою очередь, вы можете оказаться в ситуации, когда будет трудно восстановить доступ к таким аккаунтам.

Еще одна ситуация, когда 2FA иногда может навредить вам, — это когда вы используете SMS для получения вашего токена 2FA. В этом случае, если вы путешествуете и попадаете в место с плохой связью, вы можете не получить одноразовый токен по SMS, что может временно сделать ваш аккаунт недоступным. Не говоря уже о том, что вы меняете оператора и все еще имеете старый мобильный номер, связанный с различными аккаунтами для 2FA.

Также на TechPP

Используйте свой смартфон на Android в качестве ключа безопасности для двухфакторной аутентификации [Руководство]Читать далее

Тем не менее, с учетом всего вышесказанного, есть один важный фактор, который здесь играет роль, а именно то, что, поскольку большинство из нас являются обычными пользователями интернета и не используют наши аккаунты для сомнительных случаев, маловероятно, что хакер будет нацеливаться на наши аккаунты как на потенциальные объекты атак. Одна из очевидных причин этого заключается в том, что аккаунт обычного пользователя не является достаточно привлекательным и не предлагает много выгоды для того, чтобы кто-то тратил свое время и силы на осуществление атаки.

В такой ситуации вы получаете максимальную выгоду от безопасности 2FA, а не сталкиваетесь с некоторыми из ее крайних недостатков, как было сказано ранее. Короче говоря, преимущества 2FA перевешивают недостатки для большинства пользователей — при условии, что вы используете его осторожно.

Почему вам следует использовать двухфакторную аутентификацию (2FA)?

Поскольку мы подписываемся на все больше и больше услуг онлайн, мы, в некотором смысле, увеличиваем шансы на компрометацию наших аккаунтов. Если, конечно, не предусмотрены меры безопасности, чтобы обеспечить безопасность этих аккаунтов и держать угрозы на расстоянии.

За последние несколько лет утечки данных некоторых популярных услуг (с огромной пользовательской базой) привели к утечке тонн учетных данных пользователей (адресов электронной почты и паролей) в интернете, что поставило безопасность миллионов пользователей по всему миру под угрозу, позволяя хакеру (или любому человеку, обладающему знаниями) использовать утеченные учетные данные для доступа к этим аккаунтам.

Хотя это само по себе является большой проблемой, ситуация ухудшается, когда у этих аккаунтов нет двухфакторной аутентификации, так как это делает весь процесс простым и несложным для хакера. Таким образом, позволяя легкий захват.

Тем не менее, если вы используете двухфакторную аутентификацию на своем аккаунте, вы получаете дополнительный уровень безопасности, который трудно обойти, так как он использует фактор Наличие (что-то, что есть только у вас) — одноразовый пароль или токен, сгенерированный приложением/фобом — для проверки вашей личности.

На самом деле, аккаунты, которые требуют дополнительного шага для входа, обычно не находятся в поле зрения атакующих (особенно в крупных атаках) и, следовательно, сравнительно более безопасны, чем те, которые не используют 2FA. Тем не менее, нельзя отрицать тот факт, что двухфакторная аутентификация действительно добавляет дополнительный шаг в момент входа. Однако безопасность и спокойствие, которые вы получаете в ответ, безусловно, стоят этого беспокойства.

Также на TechPP

6 технологических привычек, которые вам стоит попробовать в этом году

Упомянутый выше сценарий — это всего лишь один из многих различных случаев, когда наличие 2FA на вашем аккаунте может оказаться полезным. Но, сказав это, стоит еще раз упомянуть, что, хотя 2FA повышает безопасность вашего аккаунта, это не является надежным решением, и, следовательно, должно быть правильно реализовано службой; не говоря уже о правильной настройке с вашей стороны, которая должна быть выполнена осторожно (сделав резервную копию всех кодов восстановления), чтобы служба работала на вашу пользу.

Как реализовать двухфакторную аутентификацию (2FA)?

В зависимости от аккаунта, который вы хотите защитить с помощью двухфакторной аутентификации, вам нужно следовать набору шагов, чтобы включить 2FA на вашем аккаунте. Будь то некоторые из популярных социальных сетей, таких как Twitter, Facebook и Instagram; мессенджеры, такие как WhatsApp; или даже ваш почтовый аккаунт; эти службы предлагают возможность включить 2FA для повышения безопасности вашего аккаунта.

На наш взгляд, хотя использование сильных и уникальных паролей для всех ваших различных аккаунтов является основополагающим, вы не должны игнорировать двухфакторную аутентификацию, а скорее воспользоваться ею, если служба предоставляет эту функциональность — особенно для вашего аккаунта Google, который связан с большинством ваших других аккаунтов как опция восстановления.

Говоря о лучшем методе включения двухфакторной аутентификации, одним из самых безопасных способов является использование аппаратного ключа, который генерирует код через фиксированные интервалы. Однако для обычного пользователя приложения-генераторы кодов от таких компаний, как Google, LastPass и Authy, также должны работать вполне нормально. Более того, в наши дни вы получаете определенные менеджеры паролей, которые предлагают как хранилище, так и генератор токенов, что делает это еще более удобным для некоторых.

Хотя большинство служб требуют аналогичный набор шагов для включения двухфакторной аутентификации, вы можете ознакомиться с нашим руководством о том, как включить 2FA на вашем аккаунте Google и других социальных сетях, чтобы узнать, как правильно настроить безопасность двухфакторной аутентификации на вашем аккаунте. И пока вы это делаете, убедитесь, что у вас есть копия всех резервных кодов, чтобы вы не оказались заблокированными в своем аккаунте в случае, если вы не получите токены или потеряете доступ к генератору токенов.