Двухфакторная аутентификация
B
Двухфакторная аутентификация (англ. "two-factor authentication", сокр. "ДФА"/"TFA") – продвинутый принцип авторизации пользователя, который включает в себя не только ввод пары "логин-пароль", которую теоретически может узнать кто-то посторонний, но и проверку пользователя на обладание определённым устройством или даже физиологическим качеством.
Двухэтапная верификация является упрощённой моделью многофакторной аутентификации, когда для подтверждения доступа пользователю требуется предоставить системе ряд доказательств. Обычно подразумевается три типа доказательств: знание (например, "логин-пароль"), владение (например, токен, телефон или иное устройство) и свойство (например, биометрические данные).
Для некоторых пользователей двухфакторная аутентификация может показаться избыточной мерой предосторожности. Однако, современные реалии заставляют задуматься о ней как о дополнительном средстве защиты личной информации. Поэтому в статье ниже мы рассмотрим виды ДФА и особенности её применения в современном Интернете.
Безопасная авторизация на сайтах
![]() | |
Язык: | Русский |
Формат: | |
Обновлено: | 2018-05-27 |
Автор: |

Для защиты своих личных данных в современном мире Вам, возможно, придётся позаботиться о повышении уровня защиты своего цифрового пространства при помощи двухфакторной аутентификации.
В жизнь современного человека всё плотнее интегрируются различные онлайн-технологии. Большинство из нас уже не представляют себя без социальных сетей, смартфона и Интернета вообще. Мы ежедневно оставляем во Всемирной паутине целую кучу цифровых следов и личных данных. При этом большинство пользователей даже не задумывается над тем, что будет, если в один день они потеряют доступ к своему "цифровому миру", который окажется в руках злоумышленников...
Кто-то скажет, что их скромная персона вряд ли заинтересует хакеров. Однако, на "чёрном рынке" продаются даже аккаунты от самых захудалых соцсетей. Что уж говорить, скажем, о Вашей учётной записи Google, которая содержит всю почтовую переписку, данные с телефона и, возможно, привязку к банковским картам?
Самое печальное то, что многие полагаются на "авось" и используют довольно простые пароли доступа к любым серьёзным аккаунтам. А, между прочим, существуют целые специальные словари, содержащие тысячи популярных паролей, вроде "1234qwerty" и им подобных, которые позволяют взломать Вас в считанные минуты! Поэтому обычная парольная защита уже не является надёжной. Настало время для использования двухфакторной аутентификации!
Что такое двухфакторная аутентификация?
В различных фантастических фильмах Голливуда мы можем видеть как главный герой (или злодей) для доступа к секретным данным сначала вводит кучу паролей, потом прикладывает специальную идентификационную карту к считывающему устройству, а в довершение всего ещё и смотрит в глазок, где лазер считывает рисунок сетчатки его глаза. Но это уже давно не фантастика, а так называемая многофакторная аутентификация.
Традиционная модель многофакторной аутентификации подразумевает наличие трёх основных факторов (при этом каждый из них может дублироваться для повышения уровня защиты):
- Фактор знания. Подразумевает получение системой контроля доступа определённых данных, которые должен знать только конкретный пользователь. Например, это может быть традиционная пара "логин-пароль", пин-код, девичья фамилия матери или иная информация, которую, в идеале, можем знать только мы. Увы, многие пользователи не запоминают свои пароли, а хранят их на клочках бумажек прямо на рабочем месте. Поэтому гипотетическому злоумышленнику их не составит труда украсть...
- Фактор владения. Предусматривает наличие у пользователя определённой вещи, которой нет у других. К таким вещам можно отнести уникальный номер телефона, пластиковую карту с уникальным штрих-кодом или чипом с данными, USB-токен либо иное криптографическое устройство. Теоретически, украсть его тоже можно, но уже гораздо сложнее. А, учитывая, что фактор владения обычно подкреплён фактором знания (нужно предварительно ввести пароль), то шансы на успешное применение украденного девайса существенно снижаются.
- Фактор свойства. Использует для идентификации пользователя его определённые личные качества. К наиболее уникальным из них относятся отпечатки пальцев, лицо в общем, рисунок радужки глаза или даже проба ДНК! При должной степени чувствительности проверяющей аппаратуры обойти такую защиту просто невозможно. Однако, до подобного совершенства биометрической проверке ещё далеко, поэтому на современном этапе она обычно дополняется дополнительными факторами контроля доступа.
Фактически многофакторная аутентификация на самом деле является трёхфакторной. Соответственно, двухэтапная верификация пользователя подразумевает отбрасывание одного из факторов. Как правило, это фактор свойства, для подтверждения которого требуется специальное биометрическое оборудование. Двухфакторная же аутентификация не требует особых вложений, но позволяет существенно повысить уровень безопасности!
На сегодняшний день в Интернете наиболее распространённым видом двухфакторной аутентификации является привязка аккаунта к телефону пользователя. В общем случае мы традиционно вводим логин с паролем, после чего нам на телефон при помощи SMS или PUSH-сообщения приходит специальный одноразовый пин-код, который мы вводим в специальной форме для доступа к нужному нам сайту. Как вариант, вместо сообщения Вам может поступить звонок от робота, который попросит нажать ту или иную цифру на клавиатуре телефона.
Реже встречается авторизация с использованием USB-токенов (например, в современных бухгалтерских сервисах). Такой токен содержит в себе зашифрованный ключ, соответствующий паролю, который известен пользователю. При авторизации нужно подключить токен к USB-порту компьютера, а затем ввести в специальном поле пароль. Если он совпадёт с тем, который зашифрован на токене, произойдёт авторизация.
Однако, токены стоят денег и требуют периодического обновления ключей, которое тоже не всегда бесплатно. Поэтому наиболее общедоступным способом двухфакторной верификации всё же остаётся проверка по телефону. И вот о ней мы поговорим более подробно.
Двухфакторная аутентификация в Windows
Windows 10 является современной операционной системой, соответственно, она по определению должна содержать в себе и современные средства защиты. Одним из таковых является как раз механизм двухфакторной верификации пользователя. Данная функция в некоторых версиях системы то появлялась, то вновь исчезала, проходя ряд доработок, поэтому, если Вы хотите воспользоваться ею, обязательно убедитесь в том, что у Вас стоят все обновления (особенно патч KB3216755, который исправил работу аутентификации в Anniversary Update).
Также для работы двухэтапной верификации Вам потребуется иметь учётную запись зарегистрированную в Microsoft. То есть, с локальной "учёткой", увы, ничего не получится...
Теперь нужно подготовить к процедуре свой телефон. На него нужно установить специальное приложение, которое будет принимать сигналы верификации входа в учётную запись Windows и подтверждать их. Для смартфонов на базе Android можно выбрать официальную программу Microsoft Authenticator, а для девайсов на iOS подойдёт унифицированное решение Google Authenticator (оно же для Android).
После всех предварительных настроек нужно войти в свою учётную запись Microsoft и настроить её на двухфакторный вход. Проще всего это сделать, вызвав в оснастке "Параметры" раздел "Учётные записи". На первой вкладке "Электронная почта и учётные записи" нажмите ссылку "Управление учётной записью Microsoft", после чего Вас должно перенаправить на страницу входа в аккаунт Microsoft.
После авторизации Вы должны попасть в панель управления своей учётной записью. Здесь следует перейти в раздел "Безопасность" и нажать на ссылку "Дополнительные параметры безопасности" внизу:
Откроется страница с настройками, среди которых нужно найти группу "Двухшаговая проверка" и в ней нажать на ссылку "Настройка двухшаговой проверки":
Перед Вами появится пошаговый мастер настройки двухфакторной аутентификации, следуя подсказкам которого, Вы сможете активировать двухэтапную верификацию пользователя при входе в Windows:
Двухфакторная аутентификация в Google
После Windows на втором месте по популярности среди современных пользователей идёт Android. А большинство Андроид-устройств, как мы знаем, "привязаны" к аккаунту Google. Его тоже не помешает дополнительно защитить. Тем более, что функция двухфакторной аутентификации для его учётных записей работает уже довольно давно и успешно.
Чтобы получить доступ к настройкам двухэтапной верификации, Вам нужно войти в свой аккаунт Google, перейти на специальную страницу и нажать кнопку "Начать":
Вас могут попросить повторно ввести пароль от Вашей учётной записи для подтверждения входа в настройки. После этого откроется пошаговый мастер, который поможет Вам задать нужные параметры для двухэтапной верификации входа в аккаунт:
Всё, что Вам потребуется сделать – ввести номер своего телефона (он, скорее всего, уже "привязан" к Вашему аккаунту), получить на него SMS с одноразовым кодом проверки, после чего ввести код в специальное поле и активировать процедуру для всех последующих авторизаций.
Однако, вход с помощью телефона – не единственный метод двухфакторной аутентификации, который предлагает Google. Если у Вас есть токен стандарта FIDO Universal 2nd Factor (U2F), Вы также можете настроить вход в свой аккаунт с его помощью. Подробнее о том как это сделать написано здесь. Ну и, естественно, получать коды верификации Вы можете не только в виде SMS, но и PUSH-сообщений в уже упомянутом нами выше приложении Google Authenticator.
Двухфакторная аутентификация в соцсетях
Следуя всеобщим тенденциям, о двухфактороной аутентификации позаботились и разработчики некоторых крупных социальных сетей.
ДФА в Facebook
Facebook, будучи одной из самых популярных соцсетей на Западе, как и Google, уже давно предлагает своим пользователям функцию двухэтапной верификации входа в аккаунт. Причём коды доступа можно получать как через SMS, так и в универсальных приложениях авторизации. Из них поддерживается Google Authenticator и Duo Mobile.
Включить двухфакторную аутентификацию в Facebook можно, пройдя в раздел настроек "Безопасность и вход". Здесь ищем раздел "Использовать двухфакторную аутентификацию" и рядом с ней жмём кнопку "Редактировать":
Откроется пошаговый мастер, в котором мы сможем выбрать, как будут приходить коды авторизации (в виде SMS-сообщений или сообщений в универсальном приложении), а затем задать нужные настройки. исходя из предыдущего выбора.
ДФА в ВКонтакте
Если в зарубежном сегменте Интернета лидером среди соцсетей является Facebook, то у нас лидирует ВКонтакте. И, естественно, в нём тоже есть возможность активации двухфакторной аутентификации. Здесь она называется "Подтверждение входа".
Чтобы активировать подтверждение перейдите во вкладку "Настроек" – "Безопасность", нажмите кнопку "Подключить" и следуйте подсказкам:
ДФА в Mail.Ru
Двухфакторная аутентификация есть и в популярной почте от Mail.Ru. Доставляет она коды верификации либо через традиционные SMS-сообщения, либо через интерфейс специально разработанного для этого приложения Код Доступа Mail.Ru.
Включить двухэтапную авторизацию при входе в Mail.Ru можно в "Настройках почты" в разделе "Пароль и безопасность". Здесь найдите группу "Двухфакторная аутентификация" и нажмите кнопку "Включить":
Откроется пошаговый мастер, в котором Вы сможете выбрать способ получения кодов безопасности. Кроме того, Вам будет выдан специальный код, который можно будет использовать для входа в почту через программы-клиенты. Этот код нужно указать в настройках вместо пароля (с паролем почта работать больше не будет).
Выводы
Двухфакторная аутентификация, несмотря на то, что используют её немногие, уже давно стала довольно распространённым инструментом, повышающим безопасность пользователей в Сети. В качестве примера мы привели способы включения ДФА лишь для несколько популярных онлайн-сервисов, однако, практически все крупные "игроки" инфорынка поддерживают данную функцию.
Конечно, Вы можете и не использовать двухэтапную верификацию, но для большего спокойствия и сохранности Ваших личных данных я бы рекомендовал включить её хотя бы в нескольких, наиболее часто используемых Вами сервисах. Кто знает, возможно, потраченное на настройку защиты время однажды с лихвой окупится предотвращением взлома Вашего аккаунта...
P.S. Разрешается свободно копировать и цитировать данную статью при условии указания открытой активной ссылки на источник и сохранения авторства Руслана Тертышного.