Согласно статистике Verizon, в 81% случаев причиной утечек данных становятся слабые пароли. Самый простой и надёжный способ защитить себя — использовать двухфакторную аутентификацию (2FA).
Пароль — это только один из факторов входа. Для защиты аккаунта нужен ещё один фактор, подтверждающий не просто знание пароля, но и, например, наличие проверенного устройства. Чаще всего используется SMS или специальное приложение, которое предоставляет временный пароль. Таким образом, пользователь вводит один пароль, который он придумал и помнит, и второй, временный, который он получил в приложении или SMS. Кроме того, SMS не гарантирует конфиденциальность. Многие приложения на вашем телефоне умеют читать текст приходящих вам сообщений, что делает второй фактор менее безопасным. Одноразовый пароль можно получать в приложении, например, Google Authenticator, которое отображает необходимый пароль несколько секунд.
Довольно популярными остаются решения, требующие аппаратного ключа или токена. Это небольшое устройство, как правило, напоминающее флешку. При этом используется шифрование и шанс взлома практически исключён. Неудобство в том, что маленькое устройство легко потерять (и невозможно забыть).
Есть ещё несколько видов второго фактора аутентификации, о которых стоит рассказать, хоть они и встречаются существенно реже. Самый простой способ, который часто используется в играх и в развлекательных приложениях – это подтверждение по e-mail. Оно может использоваться для сервисов, где нет чувствительной информации. Такой способ менее удобен, чем SMS, и мало влияет на безопасность входа, но пользователи довольно охотно делятся своей почтой, что упрощает регистрацию.
Есть и подтверждение по телефонному звонку: пользователю нужно указать при авторизации код, который сообщает робот, или последние цифры номера, с которого ему поступил вызов от приложения, либо пользователь звонит сам, подтверждая свой номер. Такой сценарий используется в основном для подключения к публичному Wi-Fi, но из-за низкой стоимости часто встречается в различных приложениях.
Несколько лет назад в России был запущен сервис Мобильный ID. Он отправляет интерактивные SMS на телефон, и для подтверждения необходимо нажать на соответствующую кнопку на экране. У этой технологии есть несколько значительных преимуществ: информацию нельзя перехватить и нельзя подделать, а подтверждение нажатием удобнее, чем переписывание кода из SMS, но при этом для площадки требуется больше действий, чтобы подключить такой сервис.
Ещё один простой способ защищённого входа — по картинке с помощью приложения Яндекс Ключ, компания представила эту возможность в октябре. Существуют и другие похожие примеры. Например, войти в онлайн-кинотеатр на телевизоре можно с помощью сканирования QR-кода. Здесь акцент сделан уже не на безопасность, а на удобство пользователя.
И это, конечно, не все возможные способы. Биометрия – тоже дополнительный фактор, но это уже совсем другая история.
У каждого вида второго фактора аутентификации есть свои преимущества и недостатки, при этом все они создают дополнительную защиту от киберпреступников. И это особенно важно для защиты ваших банковских сервисов, аккаунта на Госуслугах, соцсетей и мессенджеров.
