Сегодня очень многие онлайн сервисы, в особенности которые связаны с финансами и заработком в интернете, предлагают установить дополнительную защиту аккаунта пользователя. Даже если злоумышленники украдут ваши данные для входа (логин и пароль) с помощью такой защиты они все равно не получат доступ к вашему аккаунту и данным.
В большинстве случаев для создания такой дополнительной защиты аккаунта используется двухфакторная аутентификация (2FA). Многие пользователи просто игнорируют ее, поскольку даже не хотят разбираться в ее особенностях и функциях. Поэтому я и решил написать эту стать, чтобы простыми словами объяснить, что такое двухфакторная аутентификация, как она устроена, где применяется и как осуществить ее настройку разными способами. Информация очень важная и будет полезна каждому активному интернет пользователю.
Двухфакторная аутентификация — что это такое и зачем она нужна
Двухфакторная аутентификация (TwoFactor Authentication или 2FA) – это самый распространенный вид многофакторной аутентификации, которая используется для защиты аккаунтов от несанкционированного доступа или подтверждения онлайн операций. Соответственно, чтобы войти в свой аккаунт или подтвердить определенное действие, необходимо пройти 2 этапа идентификации личности:
- первый этап – ввести логин и пароль от аккаунта;
- второй этап – дополнительным способом подтвердить, что в аккаунте находится именно его владелец. Делается это одним из видов двухфакторной аутентификации, более детально о которых я расскажу чуть ниже.
Одна из важнейших особенностей двухэтапной аутентификации в том, что код для подтверждения входа или операции постоянно изменяется. Поэтому каждый раз вы будете получать новые данные, которые будут известны только вам.
Зачем нужна двухфакторная аутентификация
Главная задача двухэтапной верификации личности – сохранить ваши личные данные в безопасности, не позволить злоумышленникам получить доступ и полный контроль над вашими аккаунтами в различных сервисах.
Представьте, что другой человек получит доступ к вашим социальным сетям или электронной почте, что позволит ему увидеть ваши личные переписки и файлы. Или куда хуже – завладеет данными вашего электронного кошелька или банковской карты. Это может привести к серьезным необратимым последствиям.
Однако, настроив двухэтапную аутентификацию, даже зная ваш логин и пароль, злоумышленник не сможет войти в ваш аккаунт. Подобрать дополнительные код, который постоянно изменяется, практически невозможно, поэтому ваши данные будут находиться под надежной защитой.
Как работает двухфакторная аутентификация
Аутентификация в два этапа работает намного проще, чем это может показаться на первый взгляд, и отнимает не более 30 секунд. Давайте я наглядно покажу, как осуществляется этот процесс:
Принцип работы двухфакторной аутентификации
- Вы предварительно подключаете и настраиваете двухфакторную аутентификацию к своему аккаунту. Ниже в статье я подробно расскажу, как выполняется данная задача.
- Каждый раз, заходя в свой аккаунт или выполняя определенное действие (например, перевод денежных средств), вы вначале проходите первый этап – вводите свой постоянный пароль.
- Для завершения второго этапа нужно предоставить специальный код двухфакторной аутентификации, который будет отправлен выбранным вами методом.
- Происходит автоматическая синхронизация и проверка данных и, если код был введен правильно, вы получаете доступ к своему аккаунту или происходит выполнение операции.
Как я уже отметил, есть несколько видов многофакторной аутентификации, и вы самостоятельно выбираете для себя самый подходящий и удобный для применения. Давайте же приступим к их рассмотрению.
Приложения Authenticator для 2FA
Двухфакторка с помощью приложений — это один из популярных и безопасных методов на данный момент. Работают приложения для двухфакторной аутентификации очень просто. Для их подключения вам понадобится:
- установить на телефон программу.
- синхронизировать приложение с сайтом воспользовавшись QR-кодом, который можно отсканировать телефоном. Или ввести специальный код, который предоставит интернет ресурс.
После запуска программы, она будет генерировать новые пароли каждые 30 секунд. Коды создаются на основе ключа, который известен только вам и серверу. Поскольку обе составляющие одинаковы и у вас, и у сервиса, коды генерируются синхронно. Этот алгоритм называется OATH TOTP (Time-based One-time Password), и в подавляющем большинстве случаев используется именно он.
Совместимость 2FA программ
Практически все приложения для аутентификации работает по одному алгоритму. Поэтому использовать вы можете то, какое вам больше нравится. Но есть и исключения. Например, приложения Blizzard Authenticator. Он сделан под Blizzard и использовать его для других сервисов не получиться.
Adobe тоже выпустил своё приложение под названием Adobe Authenticator. Но этот сервис позволяет использовать и сторонние аутентификаторы. Не понятно для чего нужно было изобретать велосипед.
Как показывает практика, большинство ИТ ресурсов позволяют использовать любое 2FA-приложение. И даже если по каким-то соображениям им хочется контролировать этот процесс и создать свое приложение, то чаще всего они позволяют защищать с его помощью не только «свои» аккаунты, но и учетные записи сторонних сервисов.
Поэтому вы можете выбрать любое приложение-аутентификатор, которое вам больше нравится, и оно будет работать с большинством сервисов, которые поддерживают 2FA-приложения.
Популярные приложения для двухфакторной аутентификации
Если вы начнете искать приложения 2FA в Google Play или Apple App Store, то вы увидите большой выбор этих программ. И не смотря на одинаковый алгоритм работы, предпочтение стоит уделить тем, которые имеют дополнительные функции и удобный интерфейс. Ниже мы рассмотрим самые популярные варианты.
Google Authenticator. Это самое простое в использовании из всех существующих приложений для двухфакторной аутентификации. У него даже настроек нет. Более подробно о том, как работать с этим приложении мы поговорим в отдельном разделе.
Скачать можно здесь: для Android, для iOS
Microsoft Authenticator. В Microsoft тоже не стали усложнять и сделали свой аутентификатор на вид очень минималистичным. Но при этом Microsoft Authenticator заметно функциональнее, чем Google Authenticator. Во-первых, хоть по умолчанию все коды показываются, но каждый из токенов можно отдельно настроить так, чтобы при запуске приложения код был скрыт.
Скачать можно здесь: для Android, для iOS
Яндекс.Ключ. Это самое удачное из существующих приложений для двухфакторной аутентификации. С одной стороны, оно не требует с ходу регистрироваться — можно начать им пользоваться с той же легкостью, как и Google Authenticator. С другой стороны, в нем есть несколько дополнительных возможностей, которые открываются тем, кто не поленится зайти в настройки.
Для входа в программу можно поставить PIN-код или отпечаток пальца. Создать в облаке «Яндекса» резервную копию токенов, защищенную паролем (а вот здесь нужно указать номер телефона), и восстановить ее на любом из используемых вами устройств. Точно так же можно будет перенести токены на новое устройство, когда понадобится переезжать.
Скачать можно здесь: для Android, для iOS
Duo Mobile. Простой в использовании и лишен дополнительных настроек. По сравнению с Google Authenticator у него есть одно преимущество: по умолчанию Duo Mobile скрывает коды — чтобы увидеть код, надо нажать на конкретный токен. Если вы испытываете дискомфорт каждый раз, когда открываете аутентификатор и показываете всем окружающим кучу кодов от всех своих аккаунтов, то вам эта особенность Duo Mobile наверняка понравится.
Скачать можно здесь: для Android, для iOS
FreeOTP. Есть четыре причины, по которым вам может понравиться этот аутентификатор, разработанный Red Hat. Во-первых, это ваш выбор, если вы любите программное обеспечение с открытым кодом. Во-вторых, это самое маленькое приложение из всех рассматриваемых — версия для iOS занимает всего 750 Кбайт. Для сравнения: минималистичный Google Authenticator занимает почти 14 Мбайт, а приложение Authy, о котором мы поговорим ниже, — аж 44 Мбайта.
В-третьих, по умолчанию приложение скрывает коды и показывает их только после касания. Наконец, в-четвертых, FreeOTP позволяет максимально гибко конфигурировать токены вручную, если вам это зачем-нибудь нужно. Разумеется, обычный способ создания токена с помощью сканирования QR-кода тоже поддерживается.
Скачать можно здесь: для Android, для iOS
Authy. Самое навороченное из приложений для двухфакторной аутентификации, основным достоинством которого является то, что все токены хранятся в облаке. Это позволяет получить доступ к токенам с любого из ваших устройств. Заодно это упрощает переезд на новые устройства — не придется заново активировать 2FA в каждом сервисе, можно продолжить пользоваться существующими токенами.
Основной недостаток Authy состоит в том, что приложение с ходу требует завести аккаунт, привязанный к вашему телефонному номеру, — без этого просто не получится начать с ним работать.
Скачать можно здесь: для Android, для iOS, для Windows, для macOS, для Chrome
Какие существуют виды двухфакторной аутентификации
На сегодняшний день широкое распространение получили следующие виды двухфакторной идентификации:
- аутентификация через приложение – один из надежнейших способов 2FA, для которого на свое мобильное устройство необходимо установить специальное приложение. Например, отлично подойдет Google Authenticator. Такие приложения генерируют одноразовые пароли, которые действуют только 60 секунд, после чего сменяются на новый;
- через e—mail – пожалуй, самый распространенный способ двухэтапной верификации. Для подтверждения приходит сообщение с кодом на указанную вами электронную почту;
- через смс сообщение – секретный одноразовый код приходит на мобильное устройство, на заранее указанный (привязанный к аккаунту или банковскому счету) номер;
- с помощью мессенджера – как правило, используется Telegram и секретные коды отправляются на ваш прикрепленный аккаунт (контакт);
- дополнительный пароль, секретный вопрос, кодовое слово – довольно редко используемый способ двухфакторной аутентификации. Для него нужно заранее придумать еще один пароль, который будет использоваться только в определенных ситуациях;
- ключ на физическом носителе – как правило, это USB флешка с ключом доступа;
- биометрические данные – отпечаток пальца, распознавание по лицу и т.д.
Важно: большинство перечисленных способов аутентификации являются совершенно бесплатными. Однако за некоторые из них, например, отправку смс-сообщения, могут взиматься небольшие денежные суммы.
Зачастую после регистрации на том или ином сайте вам будет предложено несколько способов защитить свой аккаунт путем включения двухэтапной верификации (2-Step Verification). Как правило, этот процесс осуществляется в настройках «Безопасности».
На большинстве сайтов не редко можно встретить несколько вариантов подключения 2FA, среди которых чаще всего используется двухфакторная аутентификация, реализуемая через приложение Google Authenticator или посредством отправления SMS-кодов на мобильный телефон, а также ввода пароля из E-mail, и всегда присутствует возможность самостоятельно выбрать наиболее удобный для себя вариант.
На одних проектах это делать вовсе не обязательно (по своему желанию), а на некоторых сайтах включение двухфакторной аутентификации является обязательным процессом. Давайте рассмотрим конкретные примеры применения данной функции.
Одноразовые коды в файле или на бумажке
Наиболее простая замена одноразовым паролям, присылаемым в SMS, — это те же самые одноразовые пароли, но заготовленные заранее. Это не самый плохой вариант, особенно для тех сервисов, в которых вам надо авторизовываться сравнительно редко. Собственно, даже для того же «Фейсбука» этот метод вполне может подойти, особенно в качестве резервного способа входа.
Работает это очень просто: по запросу сервис генерирует и показывает на экране десяток одноразовых кодов, которые в дальнейшем могут быть использованы для подтверждения входа в него. Дальше вы просто распечатываете или переписываете эти коды на бумагу и кладете в сейф. Или, что еще проще, сохраняете в зашифрованных записях в менеджере паролей.
В общем, не так важно, будете ли вы хранить эти коды на теплой ламповой бумаге или в бездушном цифровом виде — важно сохранить их так, чтобы они а) не потерялись и б) не могли быть украдены.
Где применяется двухфакторная аутентификация (2FA)
Сервисов и сайтов, где работает двухэтапная аутентификация огромное множество. Многими из этих проектов вы даже пользуетесь ежедневно и можете не подозревать о наличии этой полезной функции. А именно:
- электронные платежные системы (кошельки);
- социальные сети и мессенджеры;
- сервисы электронной почты;
- сайты по заработку в интернете;
- финансовые структуры;
- биржи, в том числе и криптовалютные;
- игровые сервисы;
- и многие другие проекты.
Другими словами, практически в каждой сфере и структуре, где хранятся ваши личные данные или денежные средства, можно установить дополнительную защиту. А как именно включить двухфакторную аутентификацию, я и расскажу далее.
Как включить 2FA?
Подробная инструкция по активации google authenticator, как работает схема защиты, и что необходимо для ее функционирования. В качестве наглядного примера выберем самую крупную и популярную криптобиржу Binance.
В первую очередь зарегистрируйтесь на сайте https://www.binance.com. В принципе на любой серьезной криптобирже есть инструкция по настройке двухфакторной аутентификации с помощью google authenticator, мы просто изложим ее в общих чертах, чтобы начинающие трейдеры были заранее подготовленными.
Для подключения и настройки 2fa code понадобится смартфон или планшет с установленным приложением и доступ к учетной записи.
Преимущества и недостатки двухэтапной аутентификации
У Two Factor Authentication есть свои достоинства и нюансы, о которых важно знать перед использованием. Давайте начнем с положительных особенностей:
- подключив один из видов 2FA, вы значительно повышаете безопасность своего аккаунта и находящихся на нем данных;
- двухфакторная аутентификация легко подключается в несколько кликов и также просто используется в дальнейшем;
- в большинстве случаев за дополнительную защиту аккаунта не нужно платить деньги;
- новые пароли для входа и подтверждения каждый раз уникальные, поэтому их практически невозможно угадать или подобрать;
- подключив 2FA на все аккаунты, вы можете использовать одинаковый легко запоминающийся пароль (но, несмотря на это, я бы все равно рекомендовал вам на каждом сервисе всегда использовать разные пароли).
Но и недостатки у двухэтапной аутентификации тоже имеются:
- если вы часто в течение дня совершаете одно и то же действие (заходите в свои аккаунты, переводите деньги и т.д.), каждый раз потребуется вводить секретный код;
- находясь вне зоны действия сотового оператора, вам не придет смс с кодом. Но как вариант заранее можно позаботиться о создании резервных одноразовых кодов, однако не на всех сервисах может предлагаться такой способ двухэтапной верификации.
- потеряв доступ к 2FA, вам будет очень сложно восстановить доступ к самому аккаунту – потребуется обращаться в службу поддержки и доказывать права владения;
- двухэтапная аутентификация защищает не на все 100% — опытные злоумышленники могут перехватывать сообщения, клонировать СИМ-карты и т.д.
Но по большей части недостатки являются притянутыми за уши. Поэтому если возможность подключения аутентификации в два этапа имеется, ею нужно обязательно воспользоваться.
«Железные» аутентификаторы FIDO U2F: YubiKey и все-все-все
Если приложение, генерирующее одноразовые коды, кажется вам слишком эфемерным способом защитить свои аккаунты, и хочется чего-то более постоянного, надежного и материального — буквально запереть аккаунт на ключ и положить его в карман, — то у меня есть для вас хорошая новость: такой вариант также существует. Это аппаратные токены стандарта U2F (Universal 2nd Factor), созданного FIDO Alliance.
Как работают токены FIDO U2F
Аппаратные U2F-токены очень полюбились специалистам по безопасности — в первую очередь потому, что с точки зрения пользователя они работают очень просто. Для начала работы достаточно подключить U2F-токен к вашему устройству и зарегистрировать его в совместимом сервисе, причем делается это буквально в пару кликов.
Впоследствии при необходимости подтвердить вход в этот сервис нужно будет подключить U2F-токен к тому устройству, с которого вы входите, и нажать на токене кнопку (в некоторых устройствах — ввести PIN или приложить палец к сканеру). Все — никаких сложных настроек, ввода длинных последовательностей случайных символов и прочих танцев с бубном, которые обычно все себе представляют при упоминании слова «криптография».
Вставьте ключ и нажмите кнопку — и это действительно все
При этом «под капотом» все устроено очень умно и криптографически надежно: при регистрации токена на сервисе создается пара криптографических ключей — приватный и публичный. Публичный сохраняется на сервере, а приватный хранится в защищенном хранилище Secure Element, которое является сердцем U2F-токена, — и этот ключ никогда не покидает устройство.
Приватный ключ используется для того, чтобы зашифровать подтверждение входа, которое передается на сервер и может быть расшифровано с помощью публичного ключа. Если кто-то от вашего имени попытается передать подтверждение входа, зашифрованное неправильным приватным ключом, то при расшифровке с помощью известного сервису публичного ключа вместо подтверждения получится бессмыслица, и сервис не пустит его в аккаунт.
Какими бывают U2F-устройства
Наиболее известный и распространенный пример U2F — это «ключи» YubiKey, которые производит компания Yubico. Собственно, она и стояла у истоков этого стандарта, но предпочла сделать его открытым, для чего и был создан FIDO Alliance. А поскольку стандарт открытый, вы не ограничены в выборе: U2F-совместимые устройства производят и продают разные компании — в онлайн-магазинах можно найти множество разнообразных моделей.
YubiKey — вероятно, самые популярные U2F-токены
Например, Google недавно представила свой комплект аппаратных аутентификаторов Google Titan Security Keys. На самом деле это ключи производства Feitian Technologies (второй по популярности производитель U2F-токенов после Yubico), для которых в Google написали собственную прошивку.
Разумеется, все аппаратные аутентификаторы, совместимые со стандартом U2F, будут с одинаковым успехом работать со всеми сервисами, которые также с этим стандартом совместимы. Однако у разных моделей есть несколько важных различий, и самое важное из них — это интерфейсы, которыми оборудован «ключ». От этого напрямую зависит, с какими устройствами он сможет работать:
USB
— для подключения к компьютерам (
Windows, Mac или Linux
— неважно, «ключи» работают без установки каких-либо драйверов). Помимо обычного USB-A бывают «ключи» с USB-C.
NFC
— необходим для использования со смартфонами и планшетами на
Android
.
Bluetooth
— понадобится на тех мобильных устройствах, в которых нет NFC. К примеру, аутентификатор с Bluetooth все еще нужен владельцам iPhone: несмотря на то, что в iOS уже разрешили приложениям использовать NFC (до 2022 года это было позволено только Apple Pay), разработчики большинства совместимых с U2F приложений еще не воспользовались этой возможностью. У Bluetooth-аутентификаторов есть пара минусов: во-первых, их нужно заряжать, а во-вторых, их подключение занимает гораздо больше времени.
В базовых моделях U2F-токенов обычно есть только поддержка собственно U2F — такой ключ обойдется в $10–20. Есть устройства подороже ($20–50), которые заодно умеют работать в качестве смарт-карты, генерировать одноразовые пароли (в том числе OATH TOTP и HOTP), генерировать и хранить ключи PGP-шифрования, могут использоваться для входа в Windows, macOS и Linux и так далее.
Как обойти двухэтапную верификацию?
Стоит понимать, что два фактора — это хорошая мера защиты, однако не панацея и существует целый ряд методов позволяющих все обойти:
- с помощью фишингового сайта по типу тайпсквоттинга;
- путем хищения мобильного устройства или другого фактора для доступа;
- посредством дублирования SIM-карты;
- с помощью вредоносных программных средств, которые будут перехватывать запросы и СМС-сообщения пользователя.
Пошаговая инструкция по установке и настройке Google Authenticator
Скачать и установить Google Authenticator можно по официальным ссылкам:
- Google Authenticator для iOS (iPhone, iPad) — https://apps.apple.com/
- Google Authenticator для Android (андроид) — https://play.google.com/
Если у вас девайс на базе Android откройте Google Play Market и найдите там google authenticator, ну а счастливому владельцу продукции компании Apple нужно совершить аналогичное действие в App Store. Можно загрузить файл apk (for Android) с другого источника, но это не самый надежный вариант.
Сервис выведет QR-код и резервный ключ. Откройте Google Authenticator и нажмите символ фотоаппарата, чтобы программа отсканировала штрих-код.
Если по каким-то причинам произошел сбой, например, у вас не работает камера, введите 16-значный ключ 2FA в интерфейсе приложения на смартфоне и нажмите кнопку «Добавить». Неважно добавили вы аккаунт автоматически или вручную, ни в коем случае не забудьте сохранить в надежном месте (желательно на бумаге) код подключения.