Просто о сложном

Двухфакторная система аутентификации: защищаем себя сами

В наши дни интернет может быть опаснее любого злачного места, темного подземного перехода и пригородной электрички вместе взятых. Мошенники, воры и проходимцы (а также просто хакеры, что звучит более благородно) поджидают вас в каждой соцсети, в каждом интернет-магазине и даже в собственном почтовом ящике. И все они хотят чаще всего одного – захватить власть над вашими аккаунтами, а следовательно – над всей вашей персональной информацией. Но, к счастью, от всех этих преступников есть защита, и имя ей – двухфакторная аутентификация.

«Это что-то наподобие антивируса?»

Технически – нет, но в каком-то отдаленном метафорическом смысле – да. Двухфакторная система аутентификации (или авторизации, что, на самом деле, одно и то же) – это такой метод идентификации пользователя на каком-либо сервисе в интернете (сайт, соцсеть, мессенджер, электронная почта) в два этапа. Говоря проще, авторизация нужна, чтобы интернет-ресурс понял, что вы – это именно вы. Обычно это самая распространенная схема в виде «логин и пароль», но именно двухфакторная аутентификация предусматривает еще и второй шаг на пути доказательства подлинности вашей личности (о самих «вторых» способах чуть позже). Все это необходимо, потому что история существования интернета и киберпреступлений доказывает – одного только пароля (привет приверженцам ключевых комбинаций «1234» и «qwerty») недостаточно.

Еще с древних времен, чтобы попасть в какое-то важное/тайное место или доказать свою личность, нужно было знать пароль или тайный шифр. В сказке «Али-Баба и 40 разбойников» в пещеру, полную сокровищ, можно было попасть только после ключевой фразы «Сим-Сим, откройся»; в серии фильмов и книг о юном волшебнике Гарри Поттер открывал Тайную комнату определенным словом на змеином языке; а сколько подобных способов идентификации в разнообразных шпионских боевиках – просто не счесть. Считайте аутентификацию в интернете тем же самым, даже если вы совсем не волшебник и даже не секретный агент.

«А для чего такие повышенные меры безопасности?»

На сегодня двухфакторная аутентификация считается самым эффективным способом защиты персональных данных в интернете. И если вы хотите сказать, мол, «да кому нужны мои имя и фамилия, все их и так знают», то запомните, что персональная информация в интернете – это не только ФИО, дата рождения и адрес (хотя и эти данные не должны попадать в руки чужим людям), это еще и все ваши логины и пароли от всех ресурсов, в том числе и банковских. Имея ваш логин и пароль, к примеру, от электронной почты, злоумышленник может прочитать все, что вы высказали о вашем директоре в переписке с коллегой. Имея данные вашего аккаунта в онлайн-банкинге или же сразу данные карт, преступники не оставят вам денег даже на утешительный кофе, уж поверьте.

Более того, даже если вы каждый раз прилежно выходите и заходите вновь во все свои аккаунты, то короткого пароля недостаточно. Конечно, его просто запомнить, и вы точно не потеряете доступ к своим данным, но его так же легко и подобрать.

Вы должны знать, что в мире существует множество видов интернет-мошенничества. Самый распространенный хакерский способ получить ваши пароли в интернете – это так называемый фишинг. Этот метод состоит в подмене и подделке сайтов, адресов и текстов. Например, вы можете получить на электронную почту письмо от якобы вашего банка с просьбой немедленно зайти в свой аккаунт по любезно предложенной в теле письма ссылке. Вот только вы совершенно не заметили, что email «вашего банка» как-то совсем не похож на официальный, и вообще, половина букв написана латиницей вместо кириллицы. Таким образом, вы на автомате проходите по ссылке, и вот теперь самое интересное – если ваша система входа в банковский аккаунт завязана только на логине и пароле, то уже на данном этапе вы можете попрощаться со своими финансами. А если вы умны и предусмотрительны и настроили двухфакторную систему аутентификации, то даже если вы все-таки зашли на сайт мошенников, ваши деньги останутся нетронутыми, ведь сайт-подделка не сможет, к примеру, отправить смс с кодом на телефон – ваш номер знает только родной и настоящий банк.

А помните случаи взломов аккаунтов знаменитостей и крупных компаний в социальных сетях? К примеру, «Дмитрий Медведев» объявил в Twitter о своей отставке:

А Fox News «убил» Барака Обаму:

Наверняка они и еще сотни известных людей и организаций использовали только пароль для входа в свой аккаунт. И, будьте уверены, подобных способов украсть ваши данные просто видимо-невидимо, а с каждым днем их количество только растет. Вы действительно готовы каждый день рисковать?

«Хорошо, а как это работает?»

Как уже было сказано выше, двухфакторная аутентификация – это вход в интернет-сервис в два шага. Первый, разумеется, это логин и пароль. Помните, что к созданию пароля тоже нужно подходить со всей серьезностью, он должен:

  • Состоять как минимум из 8 символов (а некоторые эксперты уже говорят о 12)
  • Включать буквы разного регистра
  • Включать цифры или другие символы, отличные от букв

Создали надежный пароль? Точно надежный? А теперь переходим ко второму этапу, который в двухфакторной аутентификации может выглядеть по-разному:

  1. Код по смс, код через push-уведомление и код по звонку. Сервис, в который вы пытаетесь войти, уже знает ваш номер телефона, и при каждой новой авторизации после ввода логина и пароля присылает вам одноразовый SMS-код, push-уведомление или диктует код по роботизированному звонку, уникальный для каждой попытки. Плюсы: генерация новых кодов и привязка только к вашему номеру. Минусы: при отсутствии сигнала связи невозможно залогиниться; есть потенциальная возможность перехвата СМС клонированием сим-карты
  2. Электронная почта. После ввода логина и пароля пользователь получает письмо на email, который был указан при регистрации в том или ином интернет-ресурсе, в котором содержится проверочный код или ссылка-авторизации. Плюсы: этот способ доступен как на смартфонах, так и на мобильных устройствах. Минусы: необходимость подключения к интернету; возможность перехвата мошенниками всех писем авторизации в том случае, если они уже захватили почтовые логины-пароли.
  3. Специальное приложение. Более продвинутый и современный второй фактор аутентификации. Нужно установить на компьютер или смартфон одно из приложений (например, Google Authenticator, Authy, Microsoft Authenticator) и после ввода логина и пароля надо зайти в приложение, которое тут же сгенерирует случайный код, и затем ввести его в специальное поле. Плюсы: легко использовать; повышенная степень безопасности. Минусы: любой человек с доступом к вашему телефону получит также доступ к приложению и вашим учетным записям. Поэтому позаботьтесь об автоматической блокировке экрана телефона пин-кодом.
  4. Аппаратное обеспечение. В данном случае код будет генерироваться при помощи специального USB-брелока, то есть электронного ключа (а еще их называют аппаратными токенами), который подключается к компьютеру. Плюсы: повышенная безопасность и удобство. Минусы: очень просто потерять.
  5. Биометрические данные. Очень популярный способ защиты смартфонов как таковых (да-да, это про Face-ID и отпечатки пальцев). Но, помимо телефонов, этот способ может использоваться и в различных интернет-сервисах. Кроме распознавания лица и отпечатков, можно задействовать еще сетчатку глаза и голос. Плюсы: высокая безопасность, ведь никто не скопирует ваши физические данные (если только это не грабитель с угрозами); не требуется подключение к интернету. Минусы:  технологии пока сыроваты, и есть возможность подмены настоящего лица фотографией или отпечатком пальца на 3D принтере

Как видите, способов защиты предостаточно. Но все же второй фактор – не обязателен, а опционален. Но мы настоятельно рекомендуем вам этой опцией пользоваться.

«Окей, а как все это подключить?»

Как уже было сказано выше, первый фактор – это логин и пароль. В качестве второго не нужно использовать все 5 способов, достаточно одного, пусть даже самого банального речь о пункте №1, например). У каждого сервиса будет свой второй фактор, но на самых крупных есть функция выбора.

Сразу скажем, что подключать двухфакторную аутентификацию нужно практически везде, но особенно в следующих сервисах:

  • Платформы Google, Яндекс, iCloud и прочие сервисы, в которых, как говорится, «Вся ваша интернет-жизнь».
  • Все социальные сети и мессенджеры
  • Все почтовые аккаунты
  • Банкинг
  • Облачные хранилища

Включается двухфакторная аутентификация очень просто. Скорее всего, добрая половина всех ваших сервисов и гаджетов сами предлагали вам ее включить, а у некоторых (особенно банковских приложений) эта функция включена по умолчанию. Если тот или иной сервис всячески прячет от вас пресловутую галочку включения, то мы бы советовали задуматься о добросовестности этого сервиса, но не об этом речь.

И да, двухфакторная аутентификация – это обычно галочка, которая находится в настройках нужного вам сервиса. А если настроек очень много и они разделены на группы, то искомой группой будет «Безопасность». После проставления галочки система предложит вам проверить оба способа авторизации здесь и сейчас, например, предложив ввести тестовый код из СМС.

Давайте, например, включим двухэтапную аутентификацию в Google, внутри которого у вас точно спрятана тонна всяких нужностей, вроде почты, Youtube, истории поиска, документов и чего-нибудь еще.

Открываем пустую вкладку браузера Chrome и устремляем взор в правый верхний угол:

Жмем туда и входим в свой личный гугл-кабинет. Внутри него нас, как уже было сказано, интересует вкладка «Безопасность».

Нажав ее, ищем пункт, похожий на двухэтапную или двухфакторную аутентификацию, и с остервенением давим на кнопку:

Нас категорически приветствуют. Никакой другой кнопки, кроме «Начать» нам не предлагается.

А вот и первая из двух проверок! Вдруг это не вы инициировали эти изменения? Вдруг вы завладели чьим-то аккаунтом и решили через эти функции закрыть доступ настоящему хозяину? Вводим пароль.

А теперь выбираем один из привязанных к аккаунту гаджетов. В нашем случае, это вездесущий, исцарапанный офисный iPhone 5S, на который и приходит push-уведомление о том, что некто хочет внедрить двухфакторную аутентификацию. Вводим нужные коды.

Вуаля! Двухфакторная аутентификация торжественно настроена. Шалость удалась. В остальных сервисах, гаджетах и прочих мессенджерах эта процедура выглядит практически идентично.

«Все? Теперь у меня 100% защиты?»

К сожалению, нет. Так или иначе, телефон могут украсть, в экран компьютера – подглядеть, звонок – перехватить, сим-карту – клонировать, и даже голос – подделать.

Не доверяйте подозрительным письмам, сайтам, звонкам и просьбам – мошенники всюду: и в интернете, и в реальности. И даже если двухфакторная аутентификация не дает вам гарантии стопроцентной защиты, все же гораздо разумнее будет не пренебрегать ею. Кроме того, именно эта система будет предупреждать вас даже о малейших попытках взломать ваш аккаунт, что очень полезно в деле защиты и безопасности.

Помните, что спасение учетной записи пользователя – дело самого пользователя. Удачи!