Найти в Дзене
IT - это просто
597 подписчиков

Что такое многофакторная аутентификация и зачем она нужна? Простыми словами

20
7 мин
Здравствуй, дорогой Читатель! Сегодня Автор предлагает поговорить о вещи, которую многие видели, но не до конца понимали. Вы наверняка сталкивались с ситуацией: вводите пароль на сайте, а сайт говорит: «А теперь введите код из СМС». Или телефон вдруг просит приложить палец к сканеру, хотя вы только что ввели графический ключ. Это называется многофакторная аутентификация. Звучит сложно и по-программистски, но на самом деле это просто еще одна дверь в вашу цифровую квартиру. Или даже дверь с цепочкой и глазком. Автор обещает, что к концу статьи вы будете объяснять принципы работы этой защиты даже младшим сестрам. А помогать нам сегодня, по доброй традиции, будут знакомые персонажи — Илья, Алиса и маленькая Арина. Статья выйдет длинной, но Автор гарантирует: будет понятно и наглядно. Поехали. Если говорить совсем просто, то многофакторная аутентификация — это когда компьютер (или сайт) не верит вам на слово и просит доказать, что вы — это вы, несколькими разными способами. Представьте под
Оглавление

Здравствуй, дорогой Читатель! Сегодня Автор предлагает поговорить о вещи, которую многие видели, но не до конца понимали. Вы наверняка сталкивались с ситуацией: вводите пароль на сайте, а сайт говорит: «А теперь введите код из СМС». Или телефон вдруг просит приложить палец к сканеру, хотя вы только что ввели графический ключ.

Илья пытается войти в аккаунт, Алиса — случайно подсмотреть, Арина — устроить техногенную катастрофу, а Почтальон принес СМС, которое никто не ждал.
Илья пытается войти в аккаунт, Алиса — случайно подсмотреть, Арина — устроить техногенную катастрофу, а Почтальон принес СМС, которое никто не ждал.

Это называется многофакторная аутентификация. Звучит сложно и по-программистски, но на самом деле это просто еще одна дверь в вашу цифровую квартиру. Или даже дверь с цепочкой и глазком.

Автор обещает, что к концу статьи вы будете объяснять принципы работы этой защиты даже младшим сестрам. А помогать нам сегодня, по доброй традиции, будут знакомые персонажи — Илья, Алиса и маленькая Арина.

Статья выйдет длинной, но Автор гарантирует: будет понятно и наглядно. Поехали.

Что это такое?

Если говорить совсем просто, то многофакторная аутентификация — это когда компьютер (или сайт) не верит вам на слово и просит доказать, что вы — это вы, несколькими разными способами.

Путь в квартиру: ключ, код в лифте и строгий Почтальон с лупой. Тот самый многофакторный доступ.
Путь в квартиру: ключ, код в лифте и строгий Почтальон с лупой. Тот самый многофакторный доступ.

Представьте подъезд. Раньше была просто дверь с замком. Есть ключ — заходишь (это однофакторная защита). Но современный мир стал сложнее. Теперь в подъезде может быть так:

  1. Вы открыли дверь магнитным ключом (первый фактор).
  2. Заходите в лифт, а он едет только если вы нажали код своей квартиры (второй фактор).
  3. Выходите на этаже, а там стоит охранник, который смотрит на ваше лицо и сверяет с фотографией в базе (третий фактор).

В цифровом мире всё то же самое. Только вместо ключей и охранников у нас пароли, телефоны и отпечатки пальцев.

Три типа факторов: Семейный разбор

Все способы доказать свою личность делятся на три большие группы. Чтобы было наглядно, Автор предлагает посмотреть на семью наших героев.

Фактор 1: То, что вы знаете (Знание)

Это самый старый и привычный способ. Пароль, PIN-код, девичья фамилия матери, кличка любимой собаки.

В семье Ильи и Алисы: Представьте, что Илья договорился с Алисой о секретном слове. Если он подходит к комнате и говорит «Синий слоник» — значит, это Илья, и Алиса открывает дверь. Удобно? Да. Но есть нюансы.

Секретное слово 'Синий слоник' под угрозой: Арина его жует, Почтальон подслушивает.
Секретное слово 'Синий слоник' под угрозой: Арина его жует, Почтальон подслушивает.

Проблема: Алисе всего 3–4 года. Она может забыть слово. Или случайно ляпнуть при Арине. Или злой разбойник подглядит, как Илья шевелит губами, и тоже скажет «Синий слоник». Пароли воруют, подглядывают, угадывают и выманивают. Поэтому полагаться только на них — рискованно.

Фактор 2: То, что у вас есть (Владение)

Это физический предмет. Телефон, куда приходит СМС, специальное приложение с кодами (тот самый Google Authenticator), USB-ключ, банковская карта с чипом.

В семье Ильи и Алисы: У папы есть волшебный кубик. На самом деле это не кубик, а маленький электронный брелок, но для примера сгодится. Каждую минуту на нем загорается новое шестизначное число. Такой же кубик есть у Ильи. Если Илья хочет доказать, что это он, он должен назвать не только секретное слово («Синий слоник» — фактор знания), но и то число, которое сейчас горит на его кубике (фактор владения).

Мало знать пароль, надо показать волшебный кубик. Почтальон не пройдет, а Арина уже стащила его сумку.
Мало знать пароль, надо показать волшебный кубик. Почтальон не пройдет, а Арина уже стащила его сумку.

Преимущество: Даже если разбойник узнал секретное слово, без кубика он в комнату не войдет.
Нюанс: Кубик можно потерять или украсть. Поэтому Илья прячет его подальше, потому что маленькая Арина везде сует свой любопытный нос и может случайно утащить «ключ» в песочницу.

Фактор 3: То, что есть часть вас (Наследие)

Это ваша биометрия: отпечатки пальцев, форма лица, рисунок радужки, голос. То, что всегда с вами и что очень сложно подделать (но можно попробовать).

В семье Ильи и Алисы: Папа узнает Илью по голосу. Когда Илья говорит: «Пап, я пришел!» — папа слышит тембр и понимает — свой. Но если Илья простудился и говорит хрипло, папа может не узнать. А если Алиса решит подражать голосу Ильи (а она это любит), папа может ошибиться.

Папа узнает по голосу, но Алиса кричит в рупор, а маленькая Арина ломает сканер отпечатков.
Папа узнает по голосу, но Алиса кричит в рупор, а маленькая Арина ломает сканер отпечатков.

Проблема Алисы и Арины: С малышами биометрия работает плохо. У Арины пальчики такие маленькие и быстро растут, что сканер отпечатка ее просто не узнает. А голос Алисы так легко меняется, когда она смеется или капризничает, что компьютерная программа может запутаться. Биометрия удобна (не надо ничего запоминать и носить с собой), но она не идеальна.

Зачем это всё нужно?

Автор часто слышит вопрос: «Зачем так сложно? У меня пароль надежный!».

Мир изменился. Раньше, чтобы украсть секретное слово, нужно было лезть под подушку или подглядывать. Сейчас базы паролей утекают тоннами, вирусы читают всё, что вы печатаете, а мошенники просто звонят и представляются службой безопасности.

Воры украли сейф с паролями, но до двери банка так и не добрались. Спасибо второму замку!
Воры украли сейф с паролями, но до двери банка так и не добрались. Спасибо второму замку!

Многофакторная аутентификация — это как страховка. Если один фактор (пароль) уплыл к мошенникам, второй (телефон или отпечаток) их остановит.

Где это встречается:

  • Банки: логин/пароль + СМС-код или пуш-уведомление.
  • Госуслуги: пароль + код из приложения.
  • Рабочие ноутбуки: пароль + отпечаток пальца.
  • Соцсети и почта: везде, где есть возможность привязать номер телефона или приложение-аутентификатор.

Даже Алиса, когда играет в планшете, иногда просит маму ввести пароль от родительского контроля. Это тоже простейший вид двухфакторки — мама знает код (фактор знания), и у мамы есть доступ к планшету (фактор владения, но пока она не выпускает его из рук).

Разберем мифы

В этой теме, как и в любой другой, полно заблуждений. Автор решил пройтись по самым популярным.

Миф 1: «Это жутко неудобно, каждый раз вводить эти коды!»

Современная двухфакторка: три секунды и полный покой. Почтальон засекает время.
Современная двухфакторка: три секунды и полный покой. Почтальон засекает время.

Реальность: Лет пять назад это было действительно больно. Сейчас всё стараются автоматизировать. Телефон сам ловит запрос, и вы просто тыкаете «Да» на экране блокировки. Или камера сканирует лицо за полсекунды. Да, есть сервисы, где всё еще нужно перепечатывать цифры из СМС, но это вопрос привычки. Три лишних секунды в день — небольшая цена за спокойствие, считает Автор.

Миф 2: «Если включил двухфакторку, я неуязвим»

Илья сам отдал код Почтальону, который 'звонил из банка'. Арина уже порвала пароль.
Илья сам отдал код Почтальону, который 'звонил из банка'. Арина уже порвала пароль.

Реальность: Увы, нет. Если вы сами подарили код мошеннику, который представился сотрудником банка — двухфакторка бессильна. Это называется социальная инженерия. Или если злоумышленник украл ваш телефон, и вы не поставили на него пароль — он зайдет в ваш мессенджер и прочитает все СМС. Защита — это комплекс мер, а не волшебная таблетка.

Миф 3: «СМС-коды — это самое надежное, что есть»

Злой Почтальон-двойник получает дубликат симки. СМС больше не секрет.
Злой Почтальон-двойник получает дубликат симки. СМС больше не секрет.

Реальность: Автор вынужден разочаровать. СМС — это лучше, чем ничего, но не панацея. Злоумышленники научились подменять сим-карты (это когда мошенник приходит к оператору с поддельной доверенностью и получает дубликат вашей симки). Или перехватывать СМС через уязвимости в сетях оператора. Гораздо безопаснее использовать специальные приложения (Google Authenticator, Yandex Key) или аппаратные ключи вроде YubiKey. Это как заменить пластилиновый замок на стальной.

Миф 4: «Это нужно только для банков, обычным людям — нет»

Почтальон охотится за аккаунтом в соцсетях. Алиса советует включить защиту. Арина машет флагом двухфакторки.
Почтальон охотится за аккаунтом в соцсетях. Алиса советует включить защиту. Арина машет флагом двухфакторки.

Реальность: Сегодня ваш аккаунт в соцсетях или почта — это ключ ко всей вашей цифровой жизни. Потеряли почту — потеряли доступ к форумам, магазинам, может быть, даже к рабочим документам. Мошенники могут написать вашим друзьям от вашего имени и попросить денег. Автор настоятельно рекомендует включать двухфакторную аутентификацию везде, где это возможно. Даже в детских играх. Когда Алиса подрастет и заведет свой первый аккаунт, Автор обязательно поможет ей его защитить.

Подведем итоги

Итак, друг, запомните простую мысль. Многофакторная аутентификация — это как поставить вторую дверь с хорошим замком. Или завести собаку, которая лает на чужих, даже если у них есть ключ.

Две двери и Почтальон-сторож. Алиса довольна, Арина машет, Илья в безопасности.
Две двери и Почтальон-сторож. Алиса довольна, Арина машет, Илья в безопасности.

Да, это лишнее движение. Да, иногда это напрягает. Но это защищает то, что действительно важно — ваши данные, ваши деньги и вашу репутацию.

Если вам понравилось разбираться в сложных вещах простым языком, подписывайтесь на канал Автора. Здесь всегда рады Илье, Алисе и Арине, и всем, кто хочет понимать технологии, а не бояться их. Впереди еще много интересного!

UPD

Как обычно, для тех, кто хочет копнуть чуть глубже, Автор расшифровывает термины, которые остались за кадром:

  • TOTP (Time-based One-Time Password) — это как раз те самые одноразовые пароли, которые живут 30–60 секунд в приложениях вроде Google Authenticator. Работают на основе времени.
  • FIDO2 / WebAuthn — современный международный стандарт для защиты без паролей. Это когда вы просто вставляете ключ в USB или подносите телефон, и система вас узнает. Очень круто и безопасно.
  • Социальная инженерия — метод взлома, где ломают не компьютер, а человека. Вам звонят, втираются в доверие и выуживают пароль или код из СМС. Никогда никому не сообщайте коды, даже если звонящий представляется директором банка!
  • SIM-своппинг (SIM swapping) — кража номера телефона путем выпуска дубликата сим-карты. Чтобы защититься, попросите оператора установить пароль на сим-карту или запретить любые операции без вашего личного присутствия.