Многофакторная (двухфакторная) аутентификация. Вход с двухфакторной аутентификацией

Редкий пост в блоге Яндекса, а особенно касающийся безопасности, обходился без упоминания двухфакторной аутентификации. Мы долго думали, как правильно усилить защиту пользовательских аккаунтов, да еще так, чтобы этим мог пользоваться без всех тех неудобств, которые включают в себя самые распространённые ныне реализации. А они, увы, неудобны. По некоторым данным, на многих крупных сайтах доля пользователей, включивших дополнительные средства аутентификации, не превышает 0,1%.

Кажется, это потому, что распространенная схема двухфакторной аутентификации слишком сложна и неудобна. Мы постарались придумать способ, который был бы удобнее без потери уровня защиты, и сегодня представляем его бета-версию.

Надеемся, он получит более широкое распространение. Мы со своей стороны готовы работать над его улучшением и последующей стандартизацией.

После включения двухфакторной аутентификации в Паспорте вам надо будет установить приложение Яндекс.Ключ в App Store или Google Play . В форме авторизации на главной странице Яндекса, в Почте и Паспорте появились QR-коды. Для входа в учётную запись необходимо считать QR-код через приложение - и всё. Если считать QR-код не получается, например не работает камера смартфона или нет доступа к интернету, приложение создаст одноразовый пароль, который будет действовать всего 30 секунд.

Расскажу о том, почему мы решили не использовать такие «стандартные» механизмы, как RFC 6238 или RFC 4226 . Как работают распространенные схемы двухфакторной аутентификации? Они двухэтапные. Первый этап ─ обычная аутентификация логином и паролем. Если он прошел успешно, сайт проверяет, «нравится» ему эта пользовательская сессия или нет. И, если «не нравится», просит пользователя «доаутентифицироваться». Распространенных методов «доаутентификации» два: отсылка SMS на привязанный к аккаунту номер телефона и генерация второго пароля на смартфоне. В основном для генерации второго пароля используется TOTP по RFC 6238. Если пользователь ввел второй пароль верно, сессия считается полностью аутентифицированной, а если нет, то сессия теряет и «предварительную» аутентификацию.

Оба способа ─ отправка SMS и генерация пароля ─ доказательства обладания телефоном и потому являются фактором наличия. Пароль, вводимый на первом этапе, ─ фактор знания. Поэтому такая схема аутентификации ─ не только двухэтапная, но и двухфакторная.

Что показалось нам проблемным в этой схеме?

Начнем с того, что компьютер среднестатистического пользователя не всегда можно назвать образцом защищенности: тут и выключение обновлений Windows, и пиратская копия антивируса без современных сигнатур, и ПО сомнительного происхождения ─ все это не повышает уровень защиты. По нашей оценке, компрометация компьютера пользователя ─ самый массовый способ «угона» учетных записей (и недавно тому было еще одно подтверждение), от нее в первую очередь и хочется защититься. В случае двухэтапной аутентификации, если считать, что компьютер пользователя скомпрометирован, ввод пароля на нем компрометирует сам пароль, являющийся первым фактором. Значит, злоумышленнику необходимо лишь подобрать второй фактор. В случае распространенных реализаций RFC 6238 второй фактор ─ это 6 десятичных цифр (а максимум, предусмотренный спецификацией, ─ 8 цифр). Согласно калькулятору bruteforce для OTP , за три дня атакующий в состоянии подобрать второй фактор, если ему каким-либо образом стал известен первый. Нет ясности, что сервис может противопоставить этой атаке, не нарушая нормальную работу пользователя. Единственный возможный proof of work ─ капча, что, на наш взгляд, является последним средством.

Вторая проблема ─ непрозрачность суждения сервиса о качестве пользовательской сессии и принятия решения о необходимости «доаутентификации». Хуже того, сервис не заинтересован в том, что бы сделать этот процесс прозрачным, ─ ведь тут фактически работает security by obscurity. Если злоумышленник знает, на основании чего сервис принимает решение о легитимности сессии, он может попытаться подделать эти данные. Из общих соображений можно заключить, что суждение делается на основе истории аутентификаций пользователя с учетом IP-адреса (и производных от него номера автономной системы, идентифицирующей провайдера, и местоположения на основе геобазы) и данных браузера, например заголовка User Agent и набора cookies, flash lso и html local storage. Это означает, что если злоумышленник контролирует компьютер пользователя, то он имеет возможность не только украсть все необходимые данные, но и воспользоваться IP-адресом жертвы. Более того, если решение принимается на основе ASN, то любая аутентификация из публичного Wi-Fi в кофейне может привести к «отравлению» с точки зрения безопасности (и обелению с точки зрения сервиса) провайдера этой кофейни и, например, обелению всех кофеен в городе. Мы рассказывали о работе системы обнаружения аномалий , и ее можно было бы применить, но времени между первым и вторым этапом аутентификации может оказаться недостаточно для уверенного суждения об аномалии. Кроме того, этот же аргумент разрушает идею «доверенных» компьютеров: злоумышленник может украсть любую информацию, влияющую на суждение о доверенности.

Наконец, двухэтапная аутентификация попросту неудобна: наши usability-исследования показывают, что ничто так не раздражает пользователей, как промежуточный экран, дополнительные нажатия на кнопки и прочие «неважные», с его точки зрения, действия.
Исходя из этого, мы решили, что аутентификация должна быть одноэтапной и пространство паролей должно быть намного больше, чем возможно сделать в рамках «чистого» RFC 6238.
При этом нам хотелось по возможности сохранить двухфакторность аутентификации.

Многофакторность в аутентификации определяется отнесением элементов аутентификации (собственно, они и называются факторами) к одной из трех категорий:

  1. Факторы знания (это традиционные пароли, пин-коды и все, что на них похоже);
  2. Факторы владения (в используемых OTP-схемах, как правило, это смартфон, но может быть и аппаратный токен);
  3. Биометрические факторы (отпечаток пальца ─ самый распространенный сейчас, хотя кто-то вспомнит эпизод с героем Уэсли Снайпса в фильме Demolition Man).

Разработка нашей системы

Когда мы начали заниматься проблемой двухфакторной аутентификации (первые страницы корпоративной вики по этому вопросу относятся к 2012 году, но кулуарно он обсуждался и раньше), первой идеей было взять стандартные способы аутентификации и применить их у нас. Мы понимали, что нельзя рассчитывать на то, что миллионы наших пользователей купят аппаратный токен, поэтому этот вариант отложили на какие-то экзотичные случаи (хотя полностью мы от него не отказываемся, возможно, нам удастся придумать что-то интересное). Способ с SMS тоже не мог быть массовым: это очень ненадежный способ доставки (в самый ответственный момент SMS может задержаться или не дойти вовсе), а рассылка SMS стоит денег (и операторы начали увеличивать их цену). Мы решили, что использование SMS ─ удел банков и прочих нетехнологичных компаний, а нашим пользователям хочется предложить что-то более удобное. В общем, выбор был невелик: использовать смартфон и программу в нем в качестве второго фактора.

Широко распространена такая форма одноэтапной аутентификации: пользователь помнит пин-код (первый фактор), имеет на руках аппаратный или программный (в смартфоне) токен, генерирующий OTP (второй фактор). В поле ввода пароля он вводит пин-код и текущее значение OTP.

На наш взгляд, главный недостаток этой схемы такой же, как и у двухэтапной аутентификации: если считать, что десктоп пользователя скомпрометирован, то однократный ввод пин-кода приводит к его раскрытию и злоумышленнику остается только подобрать второй фактор.

Мы решили пойти другим путем: пароль целиком генерируется из секрета, но в смартфоне сохраняется только часть секрета, а часть вводится пользователем при каждой генерации пароля. Таким образом смартфон сам по себе является фактором владения, а пароль остается в голове пользователя и является фактором знания.

В качестве Nonce может выступать либо счетчик, либо текущее время. Мы решили выбрать текущее время, это позволяет не бояться рассинхронизации в случае, если кто-то сгенерирует слишком много паролей и увеличит счетчик.

Итак, у нас есть программа для смартфона, куда пользователь вводит свою часть секрета, та смешивается с хранимой частью, результат используется в качестве ключа HMAC , которым подписывается текущее время, округленное до 30 секунд. Выход HMAC приводится к читаемому виду, и вуаля ─ вот и одноразовый пароль!

Как уже было сказано, RFC 4226 предполагает усечение результата работы HMAC до максимум 8 десятичных цифр. Мы решили, что пароль такого размера непригоден для одноэтапной аутентификации и должен быть увеличен. При этом нам хотелось сохранить простоту использования (ведь, напомним, хочется сделать такую систему, которой будут пользоваться обычные люди, а не только security-гики), так что в качестве компромисса в текущей версии системы мы выбрали усечение до 8 символов латинского алфавита. Кажется, что 26^8 паролей, действующих в течение 30 секунд, вполне приемлемо, но если security margin нас не будет устраивать (или на Хабре появятся ценные советы, как улучшить эту схему), расширим, например, до 10 символов.

Подробнее о стойкости таких паролей

В самом деле, для латинских букв без учета регистра число вариантов на один знак равно 26, для больших и малых латинских букв плюс цифры, число вариантов равно 26+26+10=62. Тогда log 62 (26 10) ≈ 7,9 то есть пароль из 10 случайных малых латинских букв почти такой же стойкий, как пароль из 8 случайных больших и малых латинских букв или цифр. Этого точно хватит на 30 секунд. Если говорить о 8-символьном пароле из латинских букв, то его стойкость log 62 (26 8) ≈ 6,3 , то есть немного больше 6-символьного пароля из больших, малых букв и цифр. Мы считаем, что это все еще приемлемо для окна в 30 секунд.

Магия, беспарольность, приложения и дальнейшие шаги

В общем-то, на этом можно было и остановиться, но нам захотелось сделать систему еще более удобной. Когда у человека есть смартфон в руке, так не хочется вводить пароль с клавиатуры!

Поэтому мы начали работы над «магическим логином». С таким способом аутентификации пользователь запускает приложение на смартфоне, вводит в него свой пин-код и сканирует QR-код на экране своего компьютера. Если пин-код введен правильно, страница в браузере перезагружается и пользователь оказывается аутентифицирован. Магия!

Как это устроено?

В QR-коде зашит номер сессии, и, когда приложение сканирует его, этот номер передается на сервер вместе с выработанным обычным способом паролем и именем пользователя. Это несложно, ведь смартфон почти всегда находится онлайн. В верстке странички, показывающей QR-код, работает JavaScript, ожидающий со стороны сервера ответа на проверку пароля с данной сессией. Если сервер отвечает, что пароль верен, вместе с ответом устанавливаются сессионные куки, и пользователь считается аутентифицированным.

Стало лучше, но и тут мы решили не останавливаться. Начиная с iPhone 5S в телефонах и планшетах Apple появился сканер отпечатков пальцев TouchID, а в iOS версии 8 работа с ним доступна и сторонним приложениям. На деле приложение не получает доступ к отпечатку пальца, но если отпечаток верен, то приложению становится доступен дополнительный раздел Keychain. Этим мы и воспользовались. В защищенную TouchID запись Keychain помещается вторая часть секрета, та, которую в предыдущем сценарии пользователь вводил с клавиатуры. При разблокировке Keychain две части секрета смешиваются, и дальше процесс работает так, как описано выше.

Зато пользователю стало невероятно удобно: он открывает приложение, прикладывает палец, сканирует QR-код на экране и оказывается аутентифицированным в браузере на компьютере! Так мы заменили фактор знания на биометрический и, с точки зрения пользователя, совсем отказались от паролей. Мы уверены, что обычным людям такая схема покажется куда более удобной, чем ручной ввод двух паролей.

Можно подискутировать, насколько формально двухфакторной является такая аутентификация, но на деле для успешного ее прохождения все еще необходимо иметь телефон и обладать правильным отпечатком пальца, так что мы считаем, что нам вполне удалось отказаться от фактора знания, заменив его биометрией. Мы понимаем, что полагаемся на безопасность ARM TrustZone , лежащей в основе iOS Secure Enclave , и считаем, что на настоящий момент эту подсистему можно считать доверенной в рамках нашей модели угроз. Разумеется, нам известны проблемы биометрической аутентификации: отпечаток пальца ─ не пароль и заменить его в случае компрометации нельзя. Но, с другой стороны, всем известно, что безопасность обратно пропорциональна удобству, и пользователь сам вправе выбрать приемлемое для него соотношение одного и другого.

Напомню, что пока это бета. Сейчас при включении двухфакторной аутентификации мы временно выключаем синхронизацию паролей в Яндекс.Браузере. Связано это с тем, как устроено шифрование базы паролей. Мы уже придумываем удобный способ аутентификации Браузера в случае 2FA. Вся остальная функциональность Яндекса работает в прежнем режиме.

Вот что у нас получилось. Кажется, вышло неплохо, но судить вам. Мы будем рады услышать отзывы и рекомендации, а сами продолжим работу над улучшением безопасности наших сервисов: теперь вместе с CSP , шифрованием транспорта почты и всего остального у нас появилась и двухфакторная аутентификация . Не забывайте, что сервисы аутентификации и приложения генерации OTP относятся к критичным и поэтому за обнаруженные в них ошибки в рамках программы Bug Bounty выплачивается двойная премия.

Теги: Добавить метки

В основе двухфакторной аутентификации лежит использование не только традиционной связки «логин-пароль», но и дополнительного уровня защиты - так называемого второго фактора, обладание которым нужно подтвердить для получения доступа к учётной записи или другим данным.

Простейший пример двухфакторной аутентификации, с которым постоянно сталкивается каждый из нас, - это снятие наличных через банкомат. Чтобы получить деньги, нужна карта, которая есть только у вас, и PIN-код, который знаете только вы. Заполучив вашу карту, злоумышленник не сможет снять наличность не зная PIN-кода и точно так же не сможет получить деньги зная его, но не имея карты.

По такому же принципу двухфакторной аутентификации осуществляется доступ к вашим аккаунтам в соцсетях, к почте и другим сервисам. Первым фактором является комбинация логина и пароля, а в роли второго могут выступать следующие 5 вещей.

SMS-коды

Ken Banks/flickr.com

Подтверждение с помощью SMS-кодов работает очень просто. Вы, как обычно, вводите свой логин и пароль, после чего на ваш номер телефона приходит SMS с кодом, который нужно ввести для входа в аккаунт. Это всё. При следующем входе отправляется уже другой SMS-код, действительный лишь для текущей сессии.

Преимущества

  • Генерация новых кодов при каждом входе. Если злоумышленники перехватят ваш логин и пароль, они ничего не смогут сделать без кода.
  • Привязка к телефонному номеру. Без вашего телефона вход невозможен.

Недостатки

  • При отсутствии сигнала сотовой сети вы не сможете залогиниться.
  • Существует теоретическая вероятность подмены номера через услугу оператора или работников салонов связи.
  • Если вы авторизуетесь и получаете коды на одном и том же устройстве (например, смартфоне), то защита перестаёт быть двухфакторной.

Приложения-аутентификаторы


authy.com

Этот вариант во многом похож на предыдущий, с тем лишь отличием, что, вместо получения кодов по SMS, они генерируются на устройстве с помощью специального приложения (Google Authenticator , Authy). Во время настройки вы получаете первичный ключ (чаще всего - в виде QR-кода), на основе которого с помощью криптографических алгоритмов генерируются одноразовые пароли со сроком действия от 30 до 60 секунд. Даже если предположить, что злоумышленники смогут перехватить 10, 100 или даже 1 000 паролей, предугадать с их помощью, каким будет следующий пароль, просто невозможно.

Преимущества

  • Для аутентификатора не нужен сигнал сотовой сети, достаточно подключения к интернету при первичной настройке.
  • Поддержка нескольких аккаунтов в одном аутентификаторе.

Недостатки

  • Если злоумышленники получат доступ к первичному ключу на вашем устройстве или путём взлома сервера, они смогут генерировать будущие пароли.
  • При использовании аутентификатора на том же устройстве, с которого осуществляется вход, теряется двухфакторность.

Проверка входа с помощью мобильных приложений

Данный тип аутентификации можно назвать сборной солянкой из всех предыдущих. В этом случае, вместо запроса кодов или одноразовых паролей, вы должны подтвердить вход с вашего мобильного устройства с установленным приложением сервиса. На устройстве хранится приватный ключ, который проверяется при каждом входе. Это работает в Twitter, Snapchat и различных онлайн-играх. Например, при входе в ваш Twitter-аккаунт в веб-версии вы вводите логин и пароль, потом на смартфон приходит уведомление с запросом о входе, после подтверждения которого в браузере открывается ваша лента.

Преимущества

  • Не нужно ничего вводить при входе.
  • Независимость от сотовой сети.
  • Поддержка нескольких аккаунтов в одном приложении.

Недостатки

  • Если злоумышленники перехватят приватный ключ, они смогут выдавать себя за вас.
  • Смысл двухфакторной аутентификации теряется при использовании одного и того же устройства для входа.

Аппаратные токены


yubico.com

Физические (или аппаратные) токены являются самым надёжным способом двухфакторной аутентификации. Будучи отдельными устройствами, аппаратные токены, в отличие от всех перечисленных выше способов, ни при каком раскладе не утратят своей двухфакторной составляющей. Чаще всего они представлены в виде USB-брелоков с собственным процессором, генерирующим криптографические ключи, которые автоматически вводятся при подключении к компьютеру. Выбор ключа зависит от конкретного сервиса. Google, например, рекомендует использовать токены стандарта FIDO U2F, цены на которые начинаются от 6 долларов без учёта доставки.

Преимущества

  • Никаких SMS и приложений.
  • Нет необходимости в мобильном устройстве.
  • Является полностью независимым девайсом.

Недостатки

  • Нужно покупать отдельно.
  • Поддерживается не во всех сервисах.
  • При использовании нескольких аккаунтов придётся носить целую связку токенов.

Резервные ключи

По сути, это не отдельный способ, а запасной вариант на случай утери или кражи смартфона, на который приходят одноразовые пароли или коды подтверждения. При настройке двухфакторной аутентификации в каждом сервисе вам дают несколько резервных ключей для использования в экстренных ситуациях. С их помощью можно войти в ваш аккаунт, отвязать настроенные устройства и добавить новые. Эти ключи стоит хранить в надёжном месте, а не в виде скриншота на смартфоне или текстового файла на компьютере.

Как видите, в использовании двухфакторной аутентификации есть некоторые нюансы, но сложными они кажутся лишь на первый взгляд. Каким должно быть идеальное соотношение защиты и удобства, каждый решает для себя сам. Но в любом случае все заморочки оправдываются с лихвой, когда дело заходит о безопасности платёжных данных или личной информации, не предназначенной для чужих глаз.

Где можно и нужно включить двухфакторную аутентификацию, а также о том, какие сервисы её поддерживают, можно прочесть .

При мысли о том, как обезопасить свои аккаунты на сайтах и сервисах в Интернете, в первую очередь вспоминается двухфакторная аутентификация (2FA). С одной стороны, она уменьшает вероятность взлома наших аккаунтов, с другой — раздражает усложнением входа в них нами самими.

Ниже будут рассмотрены разные имеющиеся варианты двухфакторной аутентификации и развеяны некоторые мифы относительно неё.

Наиболее распространённые альтернативы 2FA

Подтверждение по СМС

Среди приложений и сервисов распространено предлагать добавить двухфакторную аутентификацию хотя бы посредством сообщений СМС, например, при входе в аккаунт. Можно использовать 2FA при каждом входе в аккаунт или только с нового устройства. Вторым этапом аутентификации при этом становится смартфон или сотовый телефон.

СМС-сообщение состоит из одноразового кода, который нужно ввести в сервис или на сайт. Хакеру, который захочет взломать аккаунт, потребуется доступ к телефону его обладателя, чтобы получить этот код. Проблемой может быть сотовая связь. Что, если вы оказались в месте без связи, или в путешествии без доступа к своему оператору? Тогда вы сами не сможете зайти в свой аккаунт, не получив код доступа.

В большинстве случаев этот метод удобен, поскольку телефоны есть почти у всех и всегда рядом. Некоторые сервисы обладают автоматическими системами, которые произносят код вслух, позволяя получать его даже через проводной телефон.

Google Authenticator / генерируемые приложениями коды

Потенциально лучшая альтернатива СМС, поскольку не полагается на оператора связи. Есть вероятность, что вы уже пользовались хотя бы одним приложением генерации кодов. Google Authenticator для Android и iPhone является самым популярным в этой категории программ предложением.

После настройки определённого сервиса на использование Authenticator появится окно с предложением ввести код авторизации наряду с логином и паролем. Выдаст этот код приложение Google Authenticator на смартфоне. Срок жизни кода исчисляется минутами, так что нужно ввести его вовремя или придётся получать другой. Хотя в названии и есть слово Google, можно добавлять сюда многочисленные сервисы помимо Gmail, в том числе Dropbox, LastPass, Amazon Web Services, Evernote и прочие.

Если вы не доверяете Google, есть ряд альтернатив, из которых лучшей считается Authy. Authy предлагает зашифрованные резервные копии генерируемых кодов, поддержку множества платформ и работу в режиме офлайн. LastPass недавно также запустил собственный аутентификатор.

Эти приложения генерируют годы с доступом в Интернет и без него. Единственным минусом можно назвать сложный процесс установки приложений.

Физические средства аутентификации

Если использование кодов, приложений и текстовых сообщений звучит слишком сложно, есть другой вариант: физические ключи аутентификации. Это небольшое USB-устройство, которое можно носить вместе с ключами (вроде указанного на изображении FIDO U2F Security Key.) При входе в аккаунт на новом компьютере вставьте ключ USB и нажмите на кнопку.

Ряд компаний работают над созданием стандарта под названием U2F. Учётные записи Google, Dropbox и GitHub уже совместимы с метками U2F. В будущем ключи физической аутентификации будут работать со стандартами беспроводной связи NFC и Bluetooth для общения с устройствами без портов USB.

Аутентификация на основе приложений и электронной почты

Некоторые мобильные приложения не пользуются вышеописанными опциями и выполняют подтверждение внутри самого приложения. Например, активация «Подтверждения логина» в Твиттере при входе с нового устройства заставит подтверждать этот логин со смартфона. Это покажет, что входит владелец аккаунта, если только его смартфон не украли. Сходным образом Apple использует мобильную систему iOS для подтверждения входа в новые устройства. Одноразовый код присылается на уже имеющееся устройство.

Системы на основе электронной почты используют её адрес как второй этап входа в аккаунт. Одноразовый код отправляется на почту.

Вопросы и ответы о двухфакторной аутентификации

** Здесь двухфакторная аутентификация особенно важна, так как эти сервисы обычно служат вратами ко всей остальной активности пользователя в Интернете.

Чтобы узнать, поддерживает ли определённый сайт или сервис 2FA, воспользуйтесь сайтом twofactorauth.org.

Если сервис был взломан, активируйте двухфакторную аутентификацию как можно скорее.

Проблема заключается в том, что 2FA нельзя активировать одним переключателем. Запуск 2FA означает необходимость выпуска меток или криптографических ключей, встроенных в другие устройства. Поскольку 2FA полагается на участие пользователя, скорость в данном случае не будет быстрой.

Включать двухфакторную аутентификацию или нет?

Да, особенно на важных сервисах с персональной и финансовой информацией.

Двухфакторная аутентификация неуязвима?

Нет. 2FA зависит от технологий и от людей, и проблемы могут иметься с обеих сторон. 2FA с СМС полагается на надёжность оператора связи. Вредоносные программы на смартфоне могут перехватить и отправить СМС злоумышленникам. Пользователь также может не глядя одобрить запрос авторизации, который пришёл из-за попытки злоумышленника получить доступ к аккаунту.

Все двухфакторные решения по существу одинаковые?

Когда-то это могло быть правдой, но в последнее время в 2FA появляется немало инноваций. Есть решения с применением СМС и электронной почты. Есть решения с мобильными приложениями с криптографическими секретами или хранением информации в браузере пользователя.

Двухфакторная аутентификация затрудняет доступ в свои аккаунты и не несёт никакой пользы?

Такое отношение помогает хакерам добиваться своих целей. У некоторых организаций и сервисов использование 2FA является обязательным требованием. Для пользователя это может быть раздражающим решением, но если компания использует его, то может сократить вероятность мошенничества.

Конец современных методов 2FA близок?

Возможно. Всё написанное выше относится к двухфакторной аутентификации сегодняшнего дня, а не завтрашнего. Со временем она может стать удобнее и надёжнее.

В данное время, одной из самый обсуждаемых и педалируемых тем в области обеспечения максимальной защиты, является двухфакторная защита . В связи с растущим количеством сервисов и атак на пользовательские аккаунты, мы должны более подробно рассмотреть что собой являет, как работает, и почему стоит воспользоваться данным типом защиты.

Что собой являет двухфакторная защита?

Двухфакторная защиты - метод идентификации в каком-либо сервисе, при запросе двух разных типов аутентификации. Такая двухслойная защита обеспечит более безопасный вход в систему и затруднит перехват ваших данных третьими лицами. На практике это выглядит следующим образом: первый шаг, это логин и пароль; второй этап - специальный код, который приходит на Ваш мобильный или почту (реже используются специальные USB ключи или биометрические данные). Простыми словами: чтобы куда-то попасть, Вам нужно подтвердить факт того, что Вы совершаете санкционированный вход в систему. Знаете, как работает банк хранилище с индивидуальными сейфами, где один ключ у Вас, а другой в сотрудника банка? Так и здесь, один ключ у Вас в памяти, второй приходит на телефон или почту.

Впрочем, двухфакторная защита не есть панацея от взлома, но очень сильно усложнит задание злоумышленникам, которые хотят получить доступ к Вашему аккаунту; а так же перечеркнет недостатки классической системы защиты. Метод входа при помощи логина и пароля вызывает вот такой парадокс: чем длиннее, сложнее пароль, тем сложнее его подобрать, но в то же время сложнее запомнить; а чем проще, тривиальнее пароль, тем легче его взломать, к тому же подавляющее число пользователей устанавливает одни и те же пароли для аутентификации в различных сервисах. Используя двухфакторную защиту , даже если злоумышленник подберет, узнает, украдет Ваш пароль, ему придется так же украсть ваш сотовый или получить доступ к почтовому ящику (который, кстати, тоже может быть защищен двухфакторным методом аутентификации).

Хоть современный человек, в попытках заменить укоренившуюся систему аутентификации с помощью пароля на что-то более интересное и надежное, из-за ее простоты не смог полностью избавиться от привычной всем парадигмы. И разбирая разные варианты мы должны согласится, что в наше время двухфакторная защита обеспечивает самый большой уровень защиты. Еще одним из плюсов является тот факт, что при попытке несанкционированного входа в систему, Вам придет оповещение, и если в тот момент Вы не собирались зайти в свой аккаунт, значит самое время задуматься над надежностью своего старого пароля и наличия вредоносных ПО на персональном компьютере.

Где и в каких случая следует включить двухэтапную защиту?

Сколько логинов и паролей к различным аккаунтам и почтовым ящикам в открытом доступе? А сколько откровенных, личных фотографий известных личностей попали на общее обозрение? Даже такой простой пример показывает как ненадежен метод одного, постоянного пароля.

Если сервис, которым Вы пользуетесь, содержит важные, личные данные, и предлагает установить вам двухслойную степень защиты , то сделайте это не задумываясь. Впрочем, если это какой-то файлообменник или форум, то я вряд ли бы стал все усложнять. А вот на счет социальных сетей, интернет-банкинга, почтовых ящиков или служебных сервисов, то однозначно да. Может Вы замечали, что ведущие банки используют даже трехфакторную степень защиты? А именно: постоянный пароль, временный пароль (на сотовый), а так же звонок для подтверждения. Ведь такие учреждения больше всех несут убытки от незаконного проникновения в сервис.

К слову, если у вас есть собственный сайт и возможность ввести двухфакторную степень защиты , то постарайтесь ею воспользоваться. Ведь, как говорилось раньше: если Вам дорого аккаунт и его содержание, то усилить защиту будет выгодным для всех решением.

Какие виды двухэтапной защиты существуют?

Как говорилось раньше, уважающие себя интернет-ресурсы и VPN-сети используют такие методы усиленной защиты, как код с помощью смс/звонок на мобильный, письма на почту, USB-ключи, смарт-карты, звонок. Но кроме них существуют еще и такие методы, как генератор кодов (брелок с кнопками и маленьким экраном), технология SecurID и другие специфические методы, которые используют преимущественно корпоративные секторы. Актуальны и более старые методы защиты, такие как TAN-пароли (Transaction Authentication Number — аутентификационный номер транзакции). Скорее всего вы имели дело с таким методом, когда пользуясь интернет-банкингом Вам выдали бумажку с заранее сформированными паролями (одноразовыми). К слову говоря, даже не самые прогрессивные банки используют двухфакторную защиту . Ведь для входа в сервис вы пользуетесь карточкой (первый ключ), и паролем, который у вас в голове (второй ключ).

Разберем еще более непривычные для нас способы аутентификации. Сканирование отпечатков пальцев, радужной оболочки глаз, есть даже такие, что ориентируются по "рисунку" сердцебиения. Хотя в обыденной жизни мы не сталкиваемся с такими методами, но все же они актуальны и необходимы в весьма серьезных учреждениях. Испытываются даже электромагнитные татуировки, которые по примеру радиочипов могут служить элементом двухфакторной защиты . Надеемся, что от идеи к воплощению пройдет не большой промежуток времени. Лично я бы не отказался от такого.

Похожие публикации