2FA. Многофакторная аутентификация

Часть 1. Виды доказательств.

Мы в своё время разбирали, как правильно создавать пароли и как их надёжно хранить. Но представьте, что всё же случилось страшное — пароль украли 😱 Значит ли это, что можно попрощаться с учётной записью? Не всегда. Сегодня поговорим о том, что такое многофакторная аутентификация, и как она может спасти нас в случае, если пароль оказался скомпрометирован.

Напомню, аутентификация — это процесс проверки подлинности пользователя. Мы ввели свой логин и с помощью пароля доказываем, что это действительно мы. Это пример однофакторной аутентификации. Так говорят, потому что для подтверждения подлинности мы предъявляем одно доказательство (один фактор) — пароль.

Но что, если для подтверждения нашей подлинности система будет требовать дополнительные доказательства? Тогда одного лишь знания нашего пароля будет недостаточно для входа в учётную запись, и его кража не будет фатальной! Что это могут быть за доказательства?

Доказательства (факторы аутентификации) бывают трёх типов:

1. Фактор знания
   Это информация, которую знаем только мы. Пароль, пин-код, контрольное слово и.т.п
2. Фактор владения
   Это материальный предмет, который есть только у нас. Флешка, электронный ключ и т.п.
3. Фактор свойства
   Это свойство, которым обладаем только мы. Лицо, отпечаток пальца, радужная оболочка глаза и другая биометрия.

Когда используются несколько доказательств подлинности, говорят о многофакторной аутентификации. Это существенно повышает уровень защищённости нашей учётной записи, т.к. для несанкционированного доступа злодею требуется завладеть сразу несколькими сущностям. Например, взломать пароль и украсть электронный ключ. Или украсть флешку и.. ну, про глаз говорить не хочется 👁

На практике чаще всего используется двухфакторная аутентификация — 2FA (англ. Two-Factor Authentication), а первым фактором почти всегда является пароль.

Какие бывают примеры второго фактора, расскажу в другой раз, но нужно иметь в виду, что сама возможность использования 2FA зависит от конкретного сервиса. Если сервис не поддерживает 2FA (или не поддерживает желаемый нами тип второго фактора), мы с этим ничего сделать не можем.

Но большинство крупных сервисов в настоящее время тот или иной вид второго фактора поддерживают (отдаём предпочтение таким сервисам при прочих равных!). Причём, где-то использование 2FA обязательно (банки), а где-то — по желанию пользователя.

📌 Добрый совет: если сервис поддерживает 2FA, второй фактор нужно использовать всегда!

================
Полная версия блога "Цифровой чай" – в Telegram. Подписывайтесь.