Использовать для входа в систему только имя пользователя и пароль опасно. Есть тысячи причин — от фишинга до вредоносных программ, по которым юзернейм и пароль могут оказаться в руках злоумышленников. Вместе с именем пользователя и паролем третье лицо получает доступ к вашим данным, например, к переписке в соцсетях или к счёту в швейцарском банке.
Эту проблему частично решает двухфакторная аутентификация. По данным Google, она эффективно защищает пользователей от разных видов атак. Степень эффективности зависит от вида угрозы. Например, двухфакторная аутентификация защищает от автоматических атак и фишинга практически в 100 % случаев. Эффективность двухфакторной аутентификации при целевых атаках составляет 66 %.
Что такое двухфакторная аутентификация
Двухфакторная аутентификация — использование двух факторов проверки подлинности пользователя.
Слово «аутентификация» переводится с греческого как процедура проверки подлинности. Иногда используется сокращение 2FA (2-Factor Authentication). Также можно встретить синоним «мультифакторная аутентификация».
Фактором в данном контексте называют способ аутентификации. Например, юзернейм и пароль, который вы используете для входа на сайт — это один фактор проверки. Чтобы аутентификация была двухфакторной, для входа в систему нужно использовать два фактора проверки.
Факторы аутентификации принято делить на два типа. К первому типу относится что-либо, что пользователь знает. Обычно это юзернейм и пароль. Ко второму типу относится что-либо, что у пользователя есть, в чём заключается его уникальность или где он находится.
Что-то, что есть у пользователя
Это может быть sms-код, сгенерированный с помощью специального приложения или устройства одноразовый пароль, аппаратный ключ и так далее.
Простой пример — снятие наличных в банкомате. Чтобы получить деньги, вы используете банковскую карту (что-то, что у вас есть) и ПИН-код (что-то, что вы знаете).
Что-то, в чём заключается уникальность пользователя
Речь идёт о биометрических факторах, например, отпечатках пальцев, тембре голоса, рисунке сетчатки глаз. Биометрические факторы практически невозможно подделать, поэтому их использование для аутентификации отлично защищает пользователей.
Что-то, что подтверждает местонахождение пользователя
Обычно для подтверждения местонахождения используется IP-адрес. Например, система безопасности может блокировать попытки входа с любых IP, кроме разрешённых, или с IP, которые находятся за пределами какой-то географической зоны.
Промежуточный итог: двухфакторной называют аутентификацию с использованием двух факторов или шагов проверки. На первом шаге система безопасности проверяет что-то, что пользователь знает, например, юзернейм и пароль. На втором шаге система проверяет что-то, что у пользователя есть, например, одноразовый код, сгенерированный с помощью специального приложения.
Что нужно знать о двухфакторной аутентификации: важные нюансы и практические рекомендации
Эффективность двухфакторной аутентификации частично зависит от пользователей. Описанные ниже факты и рекомендации помогут пользоваться 2FA корректно.
Информацию для второго шага аутентификации можно получать с внешнего сервера или с помощью вашего девайса
В первом случае код или одноразовый пароль генерируется удалённо, а вы получаете его в sms, электронном письме, с помощью звонка и так далее.
Во втором случае пароль генерирует ваш девайс, например, смартфон с помощью специального приложения или аппаратный токен.
Рекомендация: предпочитайте второй способ аутентификации. Он меньше подвержен угрозе фишинга.
Интересный факт: Национальный институт стандартов и технологий США, который входит в структуру Министерства торговли США, несколько лет назад назвал использование sms для 2FA устаревшим подходом из-за уязвимости для фишинга, но затем смягчил формулировку и допустил использование sms для аутентификации пользователей.
2FA не отменяет необходимости использовать надёжные уникальные пароли
Второй фактор аутентификации — это только дополнительная защита. Если он будет скомпрометирован, например, злоумышленники получат доступ к вашим sms или электронным письмам, надёжный пароль поможет сохранить данные.
Использование одинаковых юзернеймов и паролей для разных сайтов создаёт дополнительные угрозы. Если злоумышленник получит комбинацию «юзернейм-пароль» от вашего аккаунта в социальной сети, с её помощью он может попытаться войти в ваши учётные записи в других соцсетях, платёжных сервисах, интернет-магазинах.
Рекомендации: используйте уникальный пароль для каждого сервиса. Генерируйте надёжные пароли с помощью специальных сервисов, например, с помощью генератора 1Password. Используйте менеджеры паролей, например, 1Password или Dashline.
Из-за двухфакторной аутентификации можно потерять доступ к данным
Простой пример: вы не сможете пройти проверку и войти в систему, если потеряете аппаратный токен или смартфон с приложением для аутентификации.
Рекомендации: убедитесь, что у вас есть резервный способ аутентификации. В зависимости от функциональности системы, это могут быть резервные коды доступа, альтернативный номер телефона и так далее. Регулярно проверяйте актуальность резервного способа аутентификации.
Двухфакторную аутентификацию можно отключить случайно
Например, это можно сделать, если вы отметите девайс как безопасный при авторизации в системе. При входе на соответствующий сайт система не будет требовать ввести код безопасности. Если кто-то получит доступ к вашему компьютеру или мобильному девайсу, ему будет проще получить завладеть вашими данными.
Рекомендация: регулярно проверяйте статус 2FA — она должна быть включена.
Что важно запомнить
- Двухфакторной называют аутентификацию с использованием двух факторов проверки
- Обычно один из факторов — то, что вы знаете, например, ПИН-код, а второй — то, что у вас есть, например, банковская карта
- 2FA повышает безопасность данных, но не гарантирует полной защиты
- Использование в качестве второго фактора аутентификации sms считается устаревшим подходом из-за его уязвимости
- Чтобы не потерять доступ к данным, нужно иметь доступ к резервным способам аутентификации
А вы используете 2FA? Расскажите в комментариях, какой способ применяете в качестве второго фактора.