Что такое двухфакторная аутентификация и её виды
Пароль — самый распространённый, но далеко не самый надёжный способ защиты аккаунта: пароли утекают при взломах сервисов, их используют повторно на разных сайтах, а фишинговые страницы научились выманивать их почти незаметно для пользователя. Двухфакторная аутентификация (2FA) добавляет второй независимый уровень защиты: даже если пароль скомпрометирован, злоумышленнику этого недостаточно для входа в аккаунт.
Что такое факторы аутентификации
В информационной безопасности выделяют три категории факторов подтверждения личности: то, что вы знаете (пароль, PIN-код), то, что у вас есть (телефон, аппаратный ключ), и то, чем вы являетесь (отпечаток пальца, лицо). Двухфакторная аутентификация — это использование двух факторов из разных категорий одновременно. Ввод пароля и секретного вопроса не считается 2FA, потому что оба фактора относятся к одной категории — «то, что вы знаете».
Одноразовые коды по SMS
Самый массовый способ 2FA — одноразовый код, который сервис присылает SMS-сообщением на привязанный номер телефона. Он удобен и не требует установки дополнительных приложений, поэтому именно с него многие сервисы, включая банки и брокеров, начинали внедрение двухфакторной аутентификации. Но у SMS-кодов есть слабое место: они уязвимы к перехвату через атаку подмены SIM-карты или уязвимости в протоколах сотовой связи, поэтому специалисты по безопасности всё чаще считают SMS наименее надёжным из распространённых методов 2FA — хотя он всё равно значительно безопаснее, чем отсутствие второго фактора вовсе.
Приложения-аутентификаторы
Приложения вроде Google Authenticator генерируют одноразовый код прямо на устройстве пользователя по алгоритму TOTP, без передачи данных через сотовую сеть. Это делает такой код устойчивее к перехвату, чем SMS: злоумышленнику нужен доступ непосредственно к разблокированному устройству или к секретному ключу, с которым синхронизировано приложение. Из минусов — если телефон потерян или сброшен без сохранённой резервной копии, восстановить доступ к аутентификатору бывает сложнее, чем просто заказать новую SIM-карту.
Сравнение способов двухфакторной аутентификации
У каждого метода 2FA свой баланс между удобством и устойчивостью к атакам:
| Способ | Устойчивость к перехвату | Удобство | Пример |
|---|---|---|---|
| SMS-код | Низкая | Высокое | Код от банка |
| TOTP-приложение | Средняя-высокая | Среднее | Google Authenticator |
| Аппаратный ключ | Высокая | Среднее | Ключ стандарта FIDO2 |
| Биометрия | Высокая для удалённых атак | Высокое | Отпечаток пальца на смартфоне |
Аппаратные ключи и биометрия
Аппаратные ключи безопасности, работающие по стандарту FIDO2/U2F, физически подключаются к устройству или взаимодействуют с ним по беспроводной связи и криптографически подтверждают, что запрос на вход пришёл именно с настоящего сайта сервиса. Это делает их устойчивыми даже к продвинутому фишингу: поддельный сайт просто не сможет корректно завершить проверку. Биометрия — отпечаток пальца или распознавание лица — удобна и широко используется на смартфонах, но обычно работает как локальный фактор разблокировки устройства, а не как секрет, передаваемый по сети, и её, в отличие от пароля, невозможно «сменить» в случае компрометации шаблона.
Как включить 2FA и не потерять доступ к аккаунту
Большинство сервисов — от почты и мессенджеров до банковских приложений и брокерских кабинетов — предлагают включить двухфакторную аутентификацию в разделе настроек безопасности. При включении важно сохранить резервные коды восстановления в надёжном офлайн-месте и, если сервис позволяет, привязать сразу два независимых метода, чтобы не остаться без доступа при потере телефона. В первую очередь имеет смысл защитить именно почтовый ящик — через него часто можно сбросить пароли от остальных сервисов, и распознать подобные попытки помогает понимание того, как работает фишинг.
Ограничения двухфакторной аутентификации
2FA снижает, но не устраняет риск полностью: продвинутые фишинговые прокси-сайты умеют в реальном времени перехватывать не только пароль, но и одноразовый код, ретранслируя его на настоящий сервис. Социальная инженерия, направленная на службу поддержки оператора связи, по-прежнему остаётся рабочим способом обхода SMS-кодов. Поэтому 2FA стоит рассматривать как одну из мер комплексной защиты — наряду с уникальными паролями для разных сервисов и осторожным использованием сети, например через VPN на общественном Wi-Fi.
Несколько практических правил для двухфакторной аутентификации:
- Никогда не сообщайте код 2FA никому, даже «службе поддержки»
- По возможности выбирайте приложение-аутентификатор или аппаратный ключ вместо SMS
- Сохраните резервные коды восстановления в надёжном месте отдельно от телефона
- Включите 2FA в первую очередь на почте и в финансовых сервисах
Двухфакторная аутентификация — один из самых доступных и эффективных способов защитить аккаунт при минимальных усилиях. Даже базовый вариант с SMS кардинально снижает риск по сравнению с одним паролем, а переход на приложение-аутентификатор или аппаратный ключ закрывает большинство оставшихся уязвимостей. Больше материалов о цифровой безопасности и других технологиях — в разделе Технологии.
Тикеры из статьи
Автор: Редакция Long/Short