Послушать аудиоверсию этой статьи (11 минут):
Недавно мы рассказали, чем отличается аутентификация от авторизации. Сегодня пойдём дальше — выясним, что такое двухфакторная аутентификация и зачем она нужна.
👉 Основные термины:
Аутентификация: подтверждение того, что вы — это вы, а не кто-то другой, кто пытается прикинуться вами.
Авторизация: что вам разрешено делать в системе, на сайте или в приложении после аутентификации. Проще говоря, авторизация — это когда система даёт вам какие-то права доступа. Какие — зависит от авторизации.
Однофакторная аутентификация
Это самый простой и самый распространённый тип аутентификации: вы вводите логин и пароль. Софт смотрит, есть ли такие логины и пароли в базе данных. Если да — узнает вас. Дальше смотрит, есть ли у вас какие-то права.
Системе неважно, кто именно вводит логин и пароль. Главное — чтобы они совпали с базой. Если злоумышленник подсмотрит, как мы вводим логин и пароль от какого-нибудь форума, потом он сможет зайти от нашего имени творить зло.
✅ Если помните логин и пароль, вход будет относительно быстрым.
❌ Если кто-то другой узнает ваш логин и пароль, он сможет залезть в софт под вашим именем.
❌ Часто люди в качестве логина используют адрес почты — это публичная информация, её легко вычислить.
❌ Люди нечасто используют много разных паролей для разных сервисов. Если какой-то один сервис сольёт ваш пароль, злоумышленники смогут воспользоваться им и в других сервисах.
❌ Очень часто пароль — это дата рождения, что тоже может быть публичной информацией.
Двухфакторная аутентификация
При двухфакторной аутентификации система использует два не связанных между собой способа аутентификации. Первый обычный, а второй — для дополнительной безопасности.
Второй способ должен быть независимым: на другом устройстве или принципиально другим методом. Расчёт на то, чтобы существенно усложнить жизнь злоумышленникам, которые могут захотеть воспользоваться чужим логином и паролем.
❌ Входить в сервис намного дольше.
✅ Надёжность выше: чтобы войти от вашего имени, нужно получить доступ к вашему телефону или почте. Плюс нужно знать пароли от них.
✅ Войти сложно, даже если у вас везде один и тот же пароль.
Примеры второго фактора
СМС-код с подтверждением. Предполагается, что человек не передаёт свой телефон другим людям, поэтому если отправить ему СМС, то прочитает его именно он. Так работают почти все интернет-банки.
Также код могут отправить на почту или в приложение. Смысл тот же.
Ссылка на электронную почту. После логина и пароля система отправляет специальную одноразовую ссылку, после клика на которую система убеждается, что вы — это вы. Не слишком безопасно, потому что почту несложно взломать.
Подтверждение в приложении. Если у сервиса есть приложение и вы его установили, сервис может связаться с приложением на вашем телефоне и задать вам там вопрос: «Это вы входите?». Вход в аккаунт Гугла, например, работает именно так.
Приложение-аутентификатор с кодом. Для более злых сценариев есть специальные приложения — например, «Ключ» у Яндекса. Сервер и ваше приложение договариваются о каком-то принципе криптографии. Когда нужно ввести второй код, вы смотрите его не в смс, а в приложении.
Таким методом пользуются для входа в некоторые почтовые сервисы или в защищённые контуры корпоративных сетей. Например, если у вас почта Яндекса, можно настроить вход через «Яндекс-ключ».
Аутентификация по QR-коду. В приложении может быть функция «Считать QR-код»: подносите камеру к компьютеру, и система убеждается, что перед экраном сидите именно вы.
Так работает аутентификация в веб-версию WhatsApp или в почту Яндекса через приложение «Ключ».
Устройство-аутентификатор. Обычно их делают в виде флешки с кнопкой и экранчиком. Нажимаете на кнопку — высвечивается код. Потеряется флешка — нужно будет идти к тому, кто её выдавал, без этого система никуда просто по логину и паролю не пустит.
USB-токен. Тоже выглядит как флешка, но внутри стоит специальная микросхема и криптософт. Этот софт безопасно соединяется с системой и сам вводит нужный код доступа, который ему генерирует микросхема. Если потерять, то доступ тоже будет утерян.
NFC-карта или карта с магнитной лентой. Иногда у сотрудников банков к компьютеру подключён специальный ридер для карт. Чтобы совершить важную операцию, сотрудник должен подтвердить её своей картой: мол, это точно я.
Биометрия. Биометрия — это всё, что касается вашего тела: распознавание отпечатков, лица, голоса, биоритмов, ауры и что там ещё придумают. Как правило, применяется на крупных и важных объектах с повышенными требованиями к безопасности.
Правила безопасности для двухфакторной аутентификации
- Берегите мобилу.
- Если есть возможность включить двухфакторную аутентификацию в системе, сервисе или в приложении — включите.
- Если есть возможность использовать две симки — используйте. СМС-коды отправляйте на вторую симку, которая не засветилась на сайтах объявлений, форумах и в чужих записных книжках.
- Лучше иметь запасной электронный адрес, который вы нигде не светите, чтобы по нему входить в важные сервисы.
- Если у приложения есть пин-код — не ставьте на него дату рождения кого-либо.
- Не используйте один и тот же пароль везде. Как минимум добавляйте в пароль название сервиса, в который вы входите.
- Скачивайте приложения только из официального магазина приложений. В неофициальных можно встретить всякую мерзость, которая сможет перехватывать ваши коды.
