Двухфакторная (авторизация) проверка подлинности (или 2FA — Two-Factor Authentication) — это один из лучших способов улучшить безопасность учетных записей онлайн, пишет Electronic Frontier Foundation.
К счастью, она все чаще встречается в интернете. Обычно, всего несколько кликов в настройках обеспечивают дополнительный уровень безопасности учетных записей, в дополнение к стандартному паролю.
Веб-ресурс, который защищен с помощью 2FA, кроме ввода пароля к учетной записи также запросит у вас дополнительный секретный код, который вы можете получить на телефон или специальный ключ безопасности USB. После пароля вы вводите код из текстового сообщения или мобильного приложения, или подключаете ключ безопасности до входа в систему. Срок 2FA имеет несколько синонимов — Multi-Factor Authentication (MFA), двухступенчатая проверка (2SV) или Login Approvals. И независимо от названия, главная задача 2FA одинакова: даже если кто-то посторонний узнает ваш пароль, он не сможет получить доступ к аккаунтам без ввода секретного кода с вашего телефона или специального ключа безопасности.
Всего существует четыре основных типа 2FA, и полезно знать их преимущества и недостатки. Некоторые сайты предлагают только один вариант 2FA, но иногда есть возможность выбирать несколько разных вариантов.
Следует отметить, что дополнительный уровень защиты через 2FA не означает, что вы можете «расслабиться» и использовать слабый пароль. Всегда создавайте уникальные, надежные пароли для каждой из ваших учетных записей, а 2FA используйте в качестве верхнего уровня защиты, который усилит безопасность.
Подтверждение через SMS
В случае активации двухфакторной идентификации через SMS вам нужно указать номер телефона. В следующий раз, во время авторизации на ваш телефон поступит SMS с коротким кодом доступа (от 4 до 8 цифр), который нужно будет ввести в дополнение к паролю. Это очень популярная и универсальная технология, поскольку большинство людей имеют мобильные телефоны, поддерживающие SMS. Такой метод значительно повышает безопасность аккаунта в сравнении с введением только логина и пароля.
Однако есть и недостатки. Некоторые люди не захотят оставлять свой номер телефона на сайтах или других платформах. Еще хуже, когда сайты используют номер для рассылки рекламы, отслеживание переходов и сброса паролей. Кстати, разрешение на сброс пароля с помощью мобильного телефона является серьезной проблемой, поскольку это означает, что злоумышленники, которые смогут завладеть вашим телефонным номером или телефоном, получат доступ и к вашей учетной записи, даже не зная ваш пароль.
Еще одно осложнение – вы не сможете войти в систему с помощью SMS 2FA, если ваш телефон разрядился или нет мобильной сети. Это особенно актуально во время пребывания за границей.
Проверка подлинности с помощью программного приложения
Другой вариант двухфакторной аутентификации на телефоне – это использование программы, которая генерирует коды локально на смартфоне на основе секретного ключа. Например, существует очень популярный генератор кодов от Google, также стоит отметить бесплатный FreeOTP. Этот метод двухфакторной аутентификации называется Time-based One Time Password (TOTP) — одноразовый пароль на основе времени — и является частью архитектуры открытой аутентификации (OATH). Важно: OATH не следует путать с OAuth, последняя – это технология типа «Войти через Facebook» или «Войти через Twitter».
Если сайт применяет этот тип 2FA, он должен сгенерировать QR-код, содержащий секретный ключ. В свою очередь, вы должны отсканировать QR-код при помощи мобильного приложения на смартфоне. После сканирования программа будет генерировать новый 6-значный код каждые 30 секунд. Подобно SMS 2FA, вам придется ввести один из этих кодов, кроме логина и пароля, чтобы войти.
Этот тип 2FA лучше, чем SMS 2FA, ведь вы можете использовать его, даже если телефон не подключен к мобильной сети, а также потому, что секретный ключ хранится физически на вашем телефоне. Если кто-то завладеет вашим номером телефона, он все равно не сможет получить коды 2FA. Но есть серьезные недостатки: если сам аппарат разрядился или украден, и у вас нет распечатанных кодов или сохраненной копии оригинального QR-кода, вы можете потерять доступ к своей учетной записи. По этой причине много сайтов предлагают вам активировать SMS 2FA только как резервный вариант. Кроме того, если вы часто авторизируетесь на разных компьютерах, не очень удобно каждый раз разблокировать телефон, запускать приложение и вводить код, хотя это спорный момент.
Push-аутентификация
Некоторые технологии, такие как Duo Push и метод Trusted Devices от Apple, присылают запрос на одно из ваших устройств во время входа в систему. Запрос покажет, что кто-то (возможно, вы) пытается войти в систему, а также определит местоположение пользователя. После этого вы можете одобрить или отклонить попытку входа.
Метод 2FA имеет два преимущества: подтверждение запроса удобнее, чем ввод кода, и устойчивее к фишингу. Ведь при использовании SMS и приложения проверки подлинности, фишинговый сайт может спросить про ваш код дополнительно к паролю и перенаправить этот код на легитимный сайт во время входа в систему. Поскольку 2FA с использованием метода Push обычно отображает приблизительное местоположение на основе IP-адреса, с которого был введен логин, а большинство фишинговых злоумышленников не работают с тех же диапазонов IP-адресов, что их жертвы, вы сможете обнаружить фишинг-атаку, если определите, что прогнозируемое местоположение отличается от вашей фактической локации. Однако это требует, чтобы вы уделяли пристальное внимание подобным индикаторам безопасности. И поскольку место расположения оценивается лишь приблизительно, то многие просто игнорирует любые аномалии. Таким образом, дополнительная защита от фишинга, которая здесь предоставляется, является ограниченной.
Недостатки технологии push: метод не стандартизирован, поэтому у вас не будет большого выбора программных приложений проверки подлинности. Кроме того, вы не сможете достичь консолидации всех своих основных данных в одном приложении. Также этот способ требует надежного интернет-соединения, тогда как программа типа Генератор кодов не требует никакого подключения, а SMS-сообщения могут работать даже на примитивных телефонах, которые поддерживают только SMS.
FIDO U2F / Ключи безопасности
Универсальный второй фактор (Universal Second Factor, U2F) — относительно новый стиль 2FA, что обычно использует небольшие устройства USB, NFC или Bluetooth Low Energy (BTLE), которые часто называются «ключи безопасности». Чтобы настроить его, вы регистрируете на сайте свой устройство U2F. Далее сайт предложит подключить устройство и "прощупать" его, чтобы разрешить авторизацию.
Подобно push-технологии, это означает, что вам не нужно вводить коды. Ведь устройство U2F распознает сайт, на котором вы находитесь, и соответствует коду, который является специфическим именно для этого сайта. Это означает, что U2F-метод является фишинг-защищенным, поскольку браузер передает имя сайта во время коммуникаций с устройством U2F, и устройство U2F не будет отвечать на сайты, в которых он не был зарегистрирован. U2F также хорошо разработан с точки зрения конфиденциальности: вы можете использовать одно и то же U2F-устройство для нескольких сайтов, но у каждого из них устройство записано под другим идентификатором, поэтому невозможно использовать единую уникальную идентификацию устройства для отслеживания.
Среди недостатков U2F — слабая поддержка этой технологии браузерами, мобильными устройствами, также она довольно дорогая. Сейчас только Chrome поддерживает U2F, хотя Firefox также работает над реализацией этой технологии. Кроме того, поддержка среди мобильных устройств недостаточна, поскольку большинство устройств U2F используют USB-порт.
Есть несколько устройств U2F, которые работают с мобильными телефонами NFC и BTLE. Кстати, NFC поддерживается только в Android. Разработчики от Apple не позволяют программным приложениям в iOS взаимодействовать с аппаратным обеспечением NFC, что препятствует эффективному использованию NFC U2F.
Устройства BTLE менее удобны, поскольку требуют мощного аккумулятора, а процесс спарринга менее интуитивный, чем касание устройства NFC. Однако недостаточная мобильная поддержка не означает, что использование U2F не позволяет войти в систему на мобильных устройствах. Большинство сайтов, которые поддерживают U2F, также поддерживают TOTP и резервные коды. Вы можете одновременно входить на свое мобильное устройство с помощью одного из этих способов, одновременно используя свое стойкое к фишингу U2F-устройство для входа в ПК. Это особенно эффективно для мобильных сайтов и приложений, которые требуют только один раз войти в систему и оставаться на связи.
Наконец, если предположить, что вы уже имеете смартфон, то большинство других методов 2FA являются бесплатными для вас. В то время, как U2F устройства стоят от $10 до $20.
Бонус: бэкап-коды
Некоторые сервисы предоставляют 10 кодов резервного копирования, которые можно распечатать на бумаге или сохранить и применить, если телефон не работает или вы потеряли свой ключ безопасности. Независимо от того, какой метод 2FA вы выбрали, лучше спрятать эти резервные коды в защищенном месте, чтобы никто не мог использовать их для входа в ваш аккаунт.