Как устроена и зачем нужна двухфакторная аутентификация
Чем отличается авторизация от аутентификации
Как устроена и зачем нужна двухфакторная аутентификация

Недав­но мы рас­ска­за­ли, чем отли­ча­ет­ся аутен­ти­фи­ка­ция от авто­ри­за­ции. Сего­дня пой­дём даль­ше — выяс­ним, что такое двух­фак­тор­ная аутен­ти­фи­ка­ция и зачем она нужна.

👉 Основ­ные термины:

Аутен­ти­фи­ка­ция: под­твер­жде­ние того, что вы — это вы, а не кто-то дру­гой, кто пыта­ет­ся при­ки­нуть­ся вами.

Авто­ри­за­ция: что вам раз­ре­ше­но делать в систе­ме, на сай­те или в при­ло­же­нии после аутен­ти­фи­ка­ции. Про­ще гово­ря, авто­ри­за­ция — это когда систе­ма даёт вам какие-то пра­ва досту­па. Какие — зави­сит от авторизации.

Однофакторная аутентификация

Это самый про­стой и самый рас­про­стра­нён­ный тип аутен­ти­фи­ка­ции: вы вво­ди­те логин и пароль. Софт смот­рит, есть ли такие логи­ны и паро­ли в базе дан­ных. Если да — узна­ет вас. Даль­ше смот­рит, есть ли у вас какие-то права.

Систе­ме неваж­но, кто имен­но вво­дит логин и пароль. Глав­ное — что­бы они сов­па­ли с базой. Если зло­умыш­лен­ник под­смот­рит, как мы вво­дим логин и пароль от какого-нибудь фору­ма, потом он смо­жет зай­ти от наше­го име­ни тво­рить зло. 

✅ Если помни­те логин и пароль, вход будет отно­си­тель­но быстрым.

❌ Если кто-то дру­гой узна­ет ваш логин и пароль, он смо­жет залезть в софт под вашим именем. 

❌ Часто люди в каче­стве логи­на исполь­зу­ют адрес почты — это пуб­лич­ная инфор­ма­ция, её лег­ко вычислить.

❌ Люди неча­сто исполь­зу­ют мно­го раз­ных паро­лей для раз­ных сер­ви­сов. Если какой-то один сер­вис сольёт ваш пароль, зло­умыш­лен­ни­ки смо­гут вос­поль­зо­вать­ся им и в дру­гих сервисах.

❌ Очень часто пароль — это дата рож­де­ния, что тоже может быть пуб­лич­ной информацией. 

Двухфакторная аутентификация

При двух­фак­тор­ной аутен­ти­фи­ка­ции систе­ма исполь­зу­ет два не свя­зан­ных меж­ду собой спо­со­ба аутен­ти­фи­ка­ции. Пер­вый обыч­ный, а вто­рой — для допол­ни­тель­ной безопасности. 

Вто­рой спо­соб дол­жен быть неза­ви­си­мым: на дру­гом устрой­стве или прин­ци­пи­аль­но дру­гим мето­дом. Рас­чёт на то, что­бы суще­ствен­но услож­нить жизнь зло­умыш­лен­ни­кам, кото­рые могут захо­теть вос­поль­зо­вать­ся чужим логи­ном и паролем. 

❌ Вхо­дить в сер­вис намно­го дольше. 

✅ Надёж­ность выше: что­бы вой­ти от ваше­го име­ни, нуж­но полу­чить доступ к ваше­му теле­фо­ну или почте. Плюс нуж­но знать паро­ли от них. 

✅ Вой­ти слож­но, даже если у вас вез­де один и тот же пароль. 

Примеры второго фактора

СМС-код с под­твер­жде­ни­ем. Пред­по­ла­га­ет­ся, что чело­век не пере­да­ёт свой теле­фон дру­гим людям, поэто­му если отпра­вить ему СМС, то про­чи­та­ет его имен­но он. Так рабо­та­ют почти все интернет-банки. 

Так­же код могут отпра­вить на почту или в при­ло­же­ние. Смысл тот же. 

Ссыл­ка на элек­трон­ную почту. После логи­на и паро­ля систе­ма отправ­ля­ет спе­ци­аль­ную одно­ра­зо­вую ссыл­ку, после кли­ка на кото­рую систе­ма убеж­да­ет­ся, что вы — это вы. Не слиш­ком без­опас­но, пото­му что почту неслож­но взломать. 

Под­твер­жде­ние в при­ло­же­нии. Если у сер­ви­са есть при­ло­же­ние и вы его уста­но­ви­ли, сер­вис может свя­зать­ся с при­ло­же­ни­ем на вашем теле­фоне и задать вам там вопрос: «Это вы вхо­ди­те?». Вход в акка­унт Гуг­ла, напри­мер, рабо­та­ет имен­но так.

Как устроена и зачем нужна двухфакторная аутентификация

Приложение-аутентификатор с кодом. Для более злых сце­на­ри­ев есть спе­ци­аль­ные при­ло­же­ния — напри­мер, «Ключ» у Яндек­са. Сер­вер и ваше при­ло­же­ние дого­ва­ри­ва­ют­ся о каком-то прин­ци­пе крип­то­гра­фии. Когда нуж­но вве­сти вто­рой код, вы смот­ри­те его не в смс, а в приложении.

Таким мето­дом поль­зу­ют­ся для вхо­да в неко­то­рые поч­то­вые сер­ви­сы или в защи­щён­ные кон­ту­ры кор­по­ра­тив­ных сетей. Напри­мер, если у вас поч­та Яндек­са, мож­но настро­ить вход через «Яндекс-ключ».

Как устроена и зачем нужна двухфакторная аутентификация

Аутен­ти­фи­ка­ция по QR-коду. В при­ло­же­нии может быть функ­ция «Счи­тать QR-код»: под­но­си­те каме­ру к ком­пью­те­ру, и систе­ма убеж­да­ет­ся, что перед экра­ном сиди­те имен­но вы. 

Так рабо­та­ет аутен­ти­фи­ка­ция в веб-версию WhatsApp или в почту Яндек­са через при­ло­же­ние «Ключ».

Как устроена и зачем нужна двухфакторная аутентификация

Устройство-аутентификатор. Обыч­но их дела­ют в виде флеш­ки с кноп­кой и экран­чи­ком. Нажи­ма­е­те на кноп­ку — высве­чи­ва­ет­ся код. Поте­ря­ет­ся флеш­ка — нуж­но будет идти к тому, кто её выда­вал, без это­го систе­ма нику­да про­сто по логи­ну и паро­лю не пустит.

USB-токен. Тоже выгля­дит как флеш­ка, но внут­ри сто­ит спе­ци­аль­ная мик­ро­схе­ма и крип­то­софт. Этот софт без­опас­но соеди­ня­ет­ся с систе­мой и сам вво­дит нуж­ный код досту­па, кото­рый ему гене­ри­ру­ет мик­ро­схе­ма. Если поте­рять, то доступ тоже будет утерян.

Как устроена и зачем нужна двухфакторная аутентификация При­мер токе­на, кото­рый про­да­ёт­ся на сай­те secure-market.ru. Сам по себе он бес­по­ле­зен — его нуж­но при­вя­зы­вать к систе­ме аутен­ти­фи­ка­ции ваше­го соф­та, что­бы они зна­ли друг о дру­ге. Если про­сто купить этот токен, его коды ниче­го вам не откроют 

NFC-карта или кар­та с маг­нит­ной лен­той. Ино­гда у сотруд­ни­ков бан­ков к ком­пью­те­ру под­клю­чён спе­ци­аль­ный ридер для карт. Что­бы совер­шить важ­ную опе­ра­цию, сотруд­ник дол­жен под­твер­дить её сво­ей кар­той: мол, это точ­но я.

Био­мет­рия. Био­мет­рия — это всё, что каса­ет­ся ваше­го тела: рас­по­зна­ва­ние отпе­чат­ков, лица, голо­са, био­рит­мов, ауры и что там ещё при­ду­ма­ют. Как пра­ви­ло, при­ме­ня­ет­ся на круп­ных и важ­ных объ­ек­тах с повы­шен­ны­ми тре­бо­ва­ни­я­ми к безопасности. 

Правила безопасности для двухфакторной аутентификации

  1. Бере­ги­те мобилу.
  2. Если есть воз­мож­ность вклю­чить двух­фак­тор­ную аутен­ти­фи­ка­цию в систе­ме, сер­ви­се или в при­ло­же­нии — включите.
  3. Если есть воз­мож­ность исполь­зо­вать две сим­ки — исполь­зуй­те. СМС-коды отправ­ляй­те на вто­рую сим­ку, кото­рая не засве­ти­лась на сай­тах объ­яв­ле­ний, фору­мах и в чужих запис­ных книжках. 
  4. Луч­ше иметь запас­ной элек­трон­ный адрес, кото­рый вы нигде не све­ти­те, что­бы по нему вхо­дить в важ­ные сервисы. 
  5. Если у при­ло­же­ния есть пин-код — не ставь­те на него дату рож­де­ния кого-либо. 
  6. Не исполь­зуй­те один и тот же пароль вез­де. Как мини­мум добав­ляй­те в пароль назва­ние сер­ви­са, в кото­рый вы входите. 
  7. Ска­чи­вай­те при­ло­же­ния толь­ко из офи­ци­аль­но­го мага­зи­на при­ло­же­ний. В неофи­ци­аль­ных мож­но встре­тить вся­кую мер­зость, кото­рая смо­жет пере­хва­ты­вать ваши коды.

Текст:

Миха­ил Полянин

Редак­ту­ра:

Мак­сим Ильяхов

Худож­ник:

Даня Бер­ков­ский

Кор­рек­тор:

Ири­на Михеева

Вёрст­ка:

Мария Дро­но­ва

Соц­се­ти:

Олег Веш­кур­цев