В эпоху, когда утечки данных и кибератаки стали почти обыденностью, одного пароля для защиты аккаунта недостаточно. Если сравнить пароль с обычным дверным замком, то многофакторная аутентификация (MFA) превращает этот замок в надёжную сейфовую дверь. Разберёмся, как работает MFA, почему она необходима и какие способы её реализации существуют.
Что такое MFA и почему без неё уже не обойтись?
Многофакторная аутентификация — это система, при которой для входа требуется два или более независимых доказательства вашей личности. Все факторы MFA делятся на три категории:
1. Что вы знаете — пароль, PIN-код, секретный вопрос.
2. Что у вас есть — смартфон, USB-ключ, аппаратный токен или бесконтактная карта.
3. Кто вы есть — отпечаток пальца, сканирование лица или сетчатки, голос.
Важно отметить, что даже если злоумышленник узнает ваш пароль, без второго фактора он не сможет войти в вашу учётную запись. Согласно данным Microsoft, внедрение MFA блокирует до 99,9 % автоматических атак на аккаунты. Однако эффективность защиты зависит от выбранного метода – рассмотрим наиболее популярные варианты.
Популярные методы MFA: плюсы, минусы и подводные камни
1. SMS-коды
После ввода пароля вы получаете код подтверждения по SMS.
Плюсы:
• Простота использования – не требует установки приложений.
• Доступно даже на простых телефонах.
• Широко применяется и часто используется по умолчанию.
Минусы и риски:
- SIM-свопинг: мошенники могут перехватить ваш номер, убедив оператора выдать дубликат SIM-карты.
- Сети предыдущих поколений уязвимы для перехвата SMS.
- Самый подверженный фишингу тип второго фактора — мошенники в основном концентрируются на нём.
- Если телефон был утерян или украден, то придётся восстанавливать доступ к собственным учётным записям.
В целом, даже с учётом относительной простоты перехвата сообщений на уровне сети мобильного оператора, SMS — это один из самых безопасных способов среди вариантов, не требующих установки программ или покупки аппаратных ключей.
Единственное, о чем стоит помнить — не сообщайте никому коды из SMS! Это один из самых подверженных фишингу факторов, потому что код из SMS имеет достаточно долгий срок действия, в отличие от иных вариантов второго фактора.
При наличии такой возможности, рекомендуется комбинировать данный фактор с аппаратным ключом или приложением-аутентификатором на втором телефоне (чтобы не лишиться обоих факторов сразу при поломке, утере или краже смартфона) для обеспечения надёжной защиты от взлома.
2. Электронная почта
После ввода пароля вы получаете на почту письмо с кодом подтверждения.
Плюсы:
- Простота использования — не требует установки приложений.
- Доступность на любом устройстве с доступом к интернету — достаточно авторизоваться в почтовом ящике.
Минусы и риски:
- Если сам почтовый ящик не защищён MFA, то он становится самым слабым звеном в цепочке авторизаций — если злоумышленник получит доступ к почтовому аккаунту, то сможет сбросить пароли и авторизоваться в любом сервисе, а после этого даже устранить следы своего пребывания, удалив письма-уведомления о сбросе пароля и авторизации новых устройств.
Если планируете использовать электронную почту в качестве второго фактора для важных сервисов, то защитите сам почтовый ящик с помощью одного из других вариантов многофакторной аутентификации, например, приложения-аутентификатора.
3. Приложения-аутентификаторы (Яндекс.Ключ, Aladdin 2FA, Google Authenticator)
Приложение генерирует одноразовые коды на смартфоне, даже без интернета.
Плюсы:
- Не зависит от доступа сети — код генерируется локально на вашем смартфоне.
- Устойчивость к фишингу (код меняется каждые 30 секунд).
- Приложения такого типа обычно защищены от создания скриншотов и трансляции, так что даже если злоумышленник попытается получить доступ к картинке на экране смартфона, то не сможет прочитать код.
Минусы и риски:
- Если смартфон сломался, был украден или потерян, то восстановить доступ может быть достаточно сложно (если вы не сохранили резервные коды).
- Некоторые приложения не шифруют резервные копии.
Включите резервное копирование (если доступно в используемом приложении) и обязательно сохраните одноразовые коды для восстановления доступа в безопасном месте.
4. Аппаратные ключи (YubiKey, Рутокен MFA, JaCarta, Titan Security Key)
Физическое устройство подключается к компьютеру или телефону через USB, NFC или Bluetooth для подтверждения входа.
Плюсы:
- Максимальная защита от фишинга и перехвата данных.
- Работает без батареи и интернета.
Минусы и риски:
- Цена (от 3000 рублей за ключ, в зависимости от производителя и конкретной модели).
- Риск потери или кражи (рекомендуется иметь запасной ключ).
- Не все сайты и сервисы поддерживают возможность использования аппаратного ключа.
- Для первоначального добавления ключа, в зависимости от сервиса и используемого для доступа устройства, может потребоваться достаточно высокий уровень «компьютерной грамотности».
Аппаратные ключи оптимальны для защиты корпоративных и критически важных сервисов. Для личного пользования их преимущества не всегда перевешивают цену и сложности.
5. Биометрия (отпечатки пальцев, Face ID)
Используется сканирование уникальных физических характеристик.
Плюсы:
- Удобство — не нужно ничего запоминать или носить с собой.
- Высокая скорость аутентификации.
- Постепенное распространение биометрической аутентификации в пользовательских устройствах, например, датчики отпечатка пальца и сканеры лица в современных ноутбуках.
Минусы и риски:
- Некоторые устаревшие модели сканеров, до сих пор встречающиеся в бюджетном сегменте пользовательских устройств и используемые в коммерческой среде, могут быть «обмануты» копией отпечатка пальца, снятой с предмета или созданной по фотографии руки крупным планом.
- Пользовательские устройства могут быть подвержены ложным срабатываниям, в результате чего могут заблокироваться на какое-то время при превышении количества попыток входа.
- Биометрические данные нельзя «сменить», если они были каким-то образом скомпрометированы.
Хотя биометрия является одним из самых взломостойких факторов аутентификации, рекомендуется использовать её в сочетании с другим фактором, который позволит войти в систему в случае аппаратного сбоя или другой непредвиденной ситуации.
Экзотические методы MFA: будущее или курьёзы?
Пока одни методы становятся стандартом, другие остаются экспериментами. Вот несколько необычных примеров:
1. Аутентификация по сердечному ритму:
Устройства вроде Nymi Band анализируют уникальный рисунок сердечного ритма пользователя и используют его вместо более привычных паролей и кодов.
2. Геолокация как фактор:
Система проверяет, входите ли вы с «доверенного» места (например, из офиса). Но данный метод достаточно уязвим для GPS-спуфинга. А для устройств без встроенного модуля геолокации достаточно включить VPN с точкой выхода в «доверенном» месте.
3. Подкожные чипы:
Энтузиасты имплантируют RFID-чипы для разблокировки устройств и оплаты, но вопросы безопасности и этики таких решений всё ещё вызывают споры.
Заключение: MFA — это не сложно
Даже самый простой метод MFA (например, по почте или SMS) намного надёжнее одного только пароля. Использование более защищённых методов или нескольких факторов одновременно значительно увеличивает безопасность ваших данных.
Помните: безопасность ваших данных — это процесс, а не разовое действие. Начните с включения MFA на важных аккаунтах (почта, банк, соцсети), и вы значительно снизите риск оказаться жертвой хакеров.
Что можно сделать прямо сейчас
- Проверьте, включена ли MFA в ваших самых важных и часто используемых сервисах.
- Если есть возможность, замените или дополните SMS-аутентификацию использованием приложения-аутентификатора или аппаратным ключом.
- И один из самых частых, но вечно актуальных советов — никогда не используйте один и тот же пароль для разных аккаунтов.
Цифровой мир полон угроз, но с MFA вы окружаете свои данные многослойной защитой, которую сложно пробить. Не ждите утечки данных — действуйте!
Автор статьи: Аркадий Суржин, системный аналитик компании Secret Technologies.
Готовы повысить уровень информационной безопасности вашей компании? Обратитесь к нашим экспертам за консультацией или запросите демонстрацию подходящих решений на нашем сайте.