Как устроена и зачем нужна двухфакторная аутентификация

Как устроена и зачем нужна двухфакторная аутентификация

Когда нужно ещё что-то кроме пароля.

Послушать аудиоверсию этой статьи (11 минут):

Недавно мы рассказали, чем отличается аутентификация от авторизации. Сегодня пойдём дальше — выясним, что такое двухфакторная аутентификация и зачем она нужна.

👉 Основные термины:

Аутентификация: подтверждение того, что вы — это вы, а не кто-то другой, кто пытается прикинуться вами.

Авторизация: что вам разрешено делать в системе, на сайте или в приложении после аутентификации. Проще говоря, авторизация — это когда система даёт вам какие-то права доступа. Какие — зависит от авторизации.

Однофакторная аутентификация

Это самый простой и самый распространённый тип аутентификации: вы вводите логин и пароль. Софт смотрит, есть ли такие логины и пароли в базе данных. Если да — узнает вас. Дальше смотрит, есть ли у вас какие-то права.

Системе неважно, кто именно вводит логин и пароль. Главное — чтобы они совпали с базой. Если злоумышленник подсмотрит, как мы вводим логин и пароль от какого-нибудь форума, потом он сможет зайти от нашего имени творить зло. 

✅ Если помните логин и пароль, вход будет относительно быстрым.

❌ Если кто-то другой узнает ваш логин и пароль, он сможет залезть в софт под вашим именем. 

❌ Часто люди в качестве логина используют адрес почты — это публичная информация, её легко вычислить.

❌ Люди нечасто используют много разных паролей для разных сервисов. Если какой-то один сервис сольёт ваш пароль, злоумышленники смогут воспользоваться им и в других сервисах.

❌ Очень часто пароль — это дата рождения, что тоже может быть публичной информацией. 

Двухфакторная аутентификация

При двухфакторной аутентификации система использует два не связанных между собой способа аутентификации. Первый обычный, а второй — для дополнительной безопасности. 

Второй способ должен быть независимым: на другом устройстве или принципиально другим методом. Расчёт на то, чтобы существенно усложнить жизнь злоумышленникам, которые могут захотеть воспользоваться чужим логином и паролем. 

❌ Входить в сервис намного дольше. 

✅ Надёжность выше: чтобы войти от вашего имени, нужно получить доступ к вашему телефону или почте. Плюс нужно знать пароли от них. 

✅ Войти сложно, даже если у вас везде один и тот же пароль. 

Примеры второго фактора

СМС-код с подтверждением. Предполагается, что человек не передаёт свой телефон другим людям, поэтому если отправить ему СМС, то прочитает его именно он. Так работают почти все интернет-банки. 

Также код могут отправить на почту или в приложение. Смысл тот же. 

Ссылка на электронную почту. После логина и пароля система отправляет специальную одноразовую ссылку, после клика на которую система убеждается, что вы — это вы. Не слишком безопасно, потому что почту несложно взломать. 

Подтверждение в приложении. Если у сервиса есть приложение и вы его установили, сервис может связаться с приложением на вашем телефоне и задать вам там вопрос: «Это вы входите?». Вход в аккаунт Гугла, например, работает именно так.

Как устроена и зачем нужна двухфакторная аутентификация

Приложение-аутентификатор с кодом. Для более злых сценариев есть специальные приложения — например, «Ключ» у Яндекса. Сервер и ваше приложение договариваются о каком-то принципе криптографии. Когда нужно ввести второй код, вы смотрите его не в смс, а в приложении.

Таким методом пользуются для входа в некоторые почтовые сервисы или в защищённые контуры корпоративных сетей. Например, если у вас почта Яндекса, можно настроить вход через «Яндекс-ключ».

Как устроена и зачем нужна двухфакторная аутентификация

Аутентификация по QR-коду. В приложении может быть функция «Считать QR-код»: подносите камеру к компьютеру, и система убеждается, что перед экраном сидите именно вы. 

Так работает аутентификация в веб-версию WhatsApp или в почту Яндекса через приложение «Ключ».

Как устроена и зачем нужна двухфакторная аутентификация

Устройство-аутентификатор. Обычно их делают в виде флешки с кнопкой и экранчиком. Нажимаете на кнопку — высвечивается код. Потеряется флешка — нужно будет идти к тому, кто её выдавал, без этого система никуда просто по логину и паролю не пустит.

USB-токен. Тоже выглядит как флешка, но внутри стоит специальная микросхема и криптософт. Этот софт безопасно соединяется с системой и сам вводит нужный код доступа, который ему генерирует микросхема. Если потерять, то доступ тоже будет утерян.

Как устроена и зачем нужна двухфакторная аутентификация
Пример токена, который продаётся на сайте secure-market.ru. Сам по себе он бесполезен — его нужно привязывать к системе аутентификации вашего софта, чтобы они знали друг о друге. Если просто купить этот токен, его коды ничего вам не откроют

NFC-карта или карта с магнитной лентой. Иногда у сотрудников банков к компьютеру подключён специальный ридер для карт. Чтобы совершить важную операцию, сотрудник должен подтвердить её своей картой: мол, это точно я.

Биометрия. Биометрия — это всё, что касается вашего тела: распознавание отпечатков, лица, голоса, биоритмов, ауры и что там ещё придумают. Как правило, применяется на крупных и важных объектах с повышенными требованиями к безопасности. 

Правила безопасности для двухфакторной аутентификации

  1. Берегите мобилу.
  2. Если есть возможность включить двухфакторную аутентификацию в системе, сервисе или в приложении — включите.
  3. Если есть возможность использовать две симки — используйте. СМС-коды отправляйте на вторую симку, которая не засветилась на сайтах объявлений, форумах и в чужих записных книжках. 
  4. Лучше иметь запасной электронный адрес, который вы нигде не светите, чтобы по нему входить в важные сервисы. 
  5. Если у приложения есть пин-код — не ставьте на него дату рождения кого-либо. 
  6. Не используйте один и тот же пароль везде. Как минимум добавляйте в пароль название сервиса, в который вы входите.  
  7. Скачивайте приложения только из официального магазина приложений. В неофициальных можно встретить всякую мерзость, которая сможет перехватывать ваши коды.

Текст:

Михаил Полянин

Редактура:

Максим Ильяхов

Художник:

Даня Берковский

Корректор:

Ирина Михеева

Вёрстка:

Мария Дронова

Соцсети:

Олег Вешкурцев

Получите ИТ-профессию
В «Яндекс Практикуме» можно стать разработчиком, тестировщиком, аналитиком и менеджером цифровых продуктов. Первая часть обучения всегда бесплатная, чтобы попробовать и найти то, что вам по душе. Дальше — программы трудоустройства.
Начать карьеру в ИТ
Получите ИТ-профессию Получите ИТ-профессию Получите ИТ-профессию Получите ИТ-профессию
Еще по теме
Зачем нужна командная строка в современных компьютерах

Разбираемся на Маках и Винде.

medium
Как стать руководителем ИТ-команды за 5 лет
Как стать руководителем ИТ-команды за 5 лет

Александр Штыков: путь от контент-менеджера до тимлида.

medium
Как начать программировать с нуля

Подборка материалов для начинающих.

easy
Как стать фронтенд-разработчиком
116 тысяч рублей в месяц — средняя зарплата для фронтенда. Как им стать

Простая инструкция для начинающих.

easy
«Я не успеваю писать код, но участвую во всех важных обсуждениях». Как работает руководитель разработки Яндекс.Практикума
«Я не успеваю писать код, но участвую во всех важных обсуждениях». Как работает руководитель разработки Яндекс.Практикума

От первого сайта за 300$ до руководителя в Яндексе.

easy
Что такое генераторы в программировании
Что такое генераторы в программировании

Они лениво раз за разом вычисляют новые значения, но не помнят, что было до этого.

medium
Facebook хранил наши пароли в виде текста. Что это значит?
Facebook хранил наши пароли в виде текста. Что это значит?

Тут такое!

easy
Как работает сортировка слиянием
Как работает сортировка слиянием

Одна из самых стабильных сортировок

medium
Собираем сайт-портфолио для фотографа

Используем CSS Grid.

easy
Зачем на компьютере нужны разные пользователи
Зачем на компьютере нужны разные пользователи

Делаем жизнь друг друга проще

easy
Как устроен Практикум

И зачем там столько тренажёров.

easy
Решение матричных уравнений
Решение матричных уравнений

Финальная глава саги.

medium
Как работает электронная подпись
Как работает электронная подпись

И зачем она нужна.

medium
easy