Двофакторна автентифікація (або 2FA — Two-Factor Authentication) — це один з найліпших способів покращити безпеку облікових записів онлайн. На щастя, вона все частіше зустрічається в інтернеті. Зазвичай, усього кілька кліків в налаштуваннях забезпечують додатковий рівень безпеки для облікових записів, на додаток до стандартного пароля.
Веб-ресурс, що захищений за допомогою 2FA, окрім введення паролю до облікового запису також запитає у вас додатковий таємний код, який ви можете отримати на телефон або спеціальний ключ безпеки USB. Після паролю ви вводите код із текстового повідомлення чи мобільного додатка, або підключаєте ключ безпеки до входу в систему. Термін 2FA має декілька синонімів — Multi-Factor Authentication (MFA), двоступенева перевірка (2SV) або Login Approvals. Та незалежно від назви, головне завдання 2FA однакове: навіть якщо хтось сторонній дізнається ваш пароль, він не зможе отримати доступ до облікових записів без введення секретного коду з вашого телефону або спеціального ключа безпеки. Усього існує чотири основні типи 2FA, і корисно знати їх переваги та недоліки. Деякі сайти пропонують лише один варіант 2FA, але інколи є можливість обирати кілька різних варіантів.
Слід зазначити, що додатковий рівень захисту через 2FA не означає, що ви можете «розслабитися» та використовувати слабкий пароль. Завжди створюйте унікальні, надійні паролі для кожного з ваших облікових записів, а 2FA використовуйте в якості верхнього рівня захисту, який посилить безпеку.
Підтвердження через SMS
У випадку активації двофакторної ідентифікації через SMS вам потрібно вказати номер телефону. Наступного разу, під час авторизації на ваш телефон надійде SMS с коротким кодом доступу (від 4 до 8 цифр), який потрібно буде ввести на додаток до паролю. Це дуже популярна і універсальна технологія, оскільки більшість людей мають мобільні телефони, що підтримують SMS. Такий метод значно посилює безпеку облікового запису у порівнянні з введенням тільки логіну та паролю.
При використанні двофакторної автентифікації з підтвердженням через SMS ви маєте, окрім пароля, ввести код з SMS. Таким чином зловмисник, що дізнався ваш пароль, не зможе отримати доступ до вашого акаунту без мобільного телефону
Проте є і недоліки. Деякі люди не захочуть залишати свій номер телефону на сайтах або інших платформах. Ще гірше, коли сайти використають номер для розсилки реклами, відстеження переходів та скидання паролів. До речі, дозвіл на скидання паролю за допомогою мобільного телефону є серйозною проблемою, оскільки це означає, що зловмисники, які зможуть заволодіти вашим телефонним номером чи телефоном, отримають доступ і до облікового запису, навіть не знаючи ваш пароль.
Ще одне ускладнення – ви не зможете увійти в систему за допомогою SMS 2FA, якщо ваш телефон розрядився або нема мобільної мережі. Це особливо актуально під час перебування за кордоном.
Автентифікація за допомогою програмного додатку
Інший варіант двофакторної автентифікації на телефоні – це використання програми, яка генерує коди локально на смартфоні на основі секретного ключа. Наприклад, існує дуже популярний генератор кодів від Google, також варто відзначити безкоштовний FreeOTP. Цей метод двофакторної автентифікації називається Time-based One Time Password (TOTP) — одноразовий пароль на основі часу — і є частиною архітектури відкритої автентифікації (OATH). Важливо: OATH не слід плутати з OAuth, остання – це технологія типу «Увійти через Facebook» або «Увійти через Twitter».
Якщо сайт застосовує цей тип 2FA, він має згенерувати QR-код, що містить секретний ключ. В свою чергу, ви повинні відсканувати QR-код за допомогою мобільного додатку на смартфоні. Після сканування програма буде генерувати новий 6-значний код кожні 30 секунд. Подібно до SMS 2FA, вам доведеться ввести один із цих кодів, крім логіну та пароля, щоб увійти.
Сайт має згенерувати QR-код, що містить секретний ключ. Користувач повинен відсканувати цей QR-код за допомогою мобільного додатку на смартфоні
Цей тип 2FA краще, ніж SMS 2FA, адже ви можете використовувати її, навіть якщо телефон не підключено до мобільної мережі, а також тому, що секретний ключ зберігається фізично на вашому телефоні. Якщо хтось заволодіє вашим номером телефону, він все одно не зможе отримати коди 2FA. Але є серйозні недоліки: якщо сам апарат розрядився або вкрадений, і у вас немає роздрукованих кодів або збереженої копії оригінального QR-коду, ви можете втратити доступ до свого облікового запису. З цієї причини багато сайтів пропонують вам активувати SMS 2FA лише як резервний варіант. Крім того, якщо ви часто авторизуєтеся на різних комп’ютерах, не дуже зручно кожного разу розблоковувати телефон, запускати додаток і вводити код.
Push-автентифікація
Деякі технології, такі як Duo Push та метод Trusted Devices від Apple, надсилають запит на один з ваших пристроїв під час входу в систему. Запит покаже, що хтось (можливо, ви) намагається увійти в систему, а також визначить місце розташування такого користувача. Після цього ви можете схвалити або відхилити спробу входу.
Метод 2FA має дві переваги: підтвердження запиту зручніше, ніж введення коду, і стійкіше до фішингу. Адже при використанні SMS та програмного додатку автентифікації, фішинговий сайт може спитати про ваш код додатково до паролю і перенаправити цей код на легітимний сайт під час входу в систему. Оскільки 2FA з використанням методу Push зазвичай відображає приблизне місце розташування на основі IP-адреси, з якої було введено логін, а більшість фішингових зловмисників не працюють з тих самих діапазонів IP-адрес, що їх жертви, ви зможете виявити фішинг-атаку, якщо визначите, що прогнозоване місцеположення відрізняється від вашої фактичної локації. Однак це вимагає, щоб ви приділяли пильну увагу подібним індикаторам безпеки. І оскільки місце розташування оцінюється лише приблизно, то багато хто просто ігнорує будь-які аномалії. Таким чином, додатковий захист від фішингу, який тут надається, є обмеженим.
Алгоритм дії Duo Push наступний: вводите логін-пароль для входу в обліковий запис, сайт надсилає вам запит на смартфон: «Хтось намагається зайти у ваш обліковий запис. Це ви чи ні?». Ви маєте підтвердити, що це ви
Недоліки технології push: метод не стандартизований, тому у вас не буде великого вибору програмних додатків автентифікації. Крім того, ви не зможете досягнути консолідації всіх своїх основних даних в одному додатку. Також цей спосіб потребує надійного інтернет-з’єднання, тоді як програма типу Генератор кодів не вимагає жодного підключення, а SMS-повідомлення можуть працювати навіть на примітивних телефонах, які підтримують лише SMS.
FIDO U2F / Ключі безпеки
Універсальний другий фактор (Universal Second Factor, U2F) — відносно новий стиль 2FA, що зазвичай використовує невеликі пристрої USB, NFC або Bluetooth Low Energy (BTLE), які часто називаються «ключі безпеки». Щоб налаштувати його, ви реєструєте на сайті свій пристрій U2F. Далі сайт запропонує підключити ваш пристрій і торкнутися його, щоб дозволити авторизацію.
Подібно push-технології, це означає, що вам не потрібно вводити коди. Адже пристрій U2F розпізнає сайт, на якому ви перебуваєте, та відповідає кодом, який є специфічним саме для цього сайту. Це означає, що U2F-метод є фішинг-захищеним, оскільки браузер передає ім’я сайту під час комунікацій з пристроєм U2F, і пристрій U2F не відповідатиме на сайти, у яких він не був зареєстрований. U2F також добре розроблений з точки зору конфіденційності: ви можете використовувати один і той же U2F-пристрій для декількох сайтів, але у кожного з них пристрій записано під іншим ідентифікатором, тому неможливо використовувати єдину унікальну ідентифікацію пристрою для відстеження.
Серед недоліків U2F — слабка підтримка цієї технології браузерами, мобільними пристроями, також вона доволі дорога. Зараз тільки Chrome підтримує U2F, хоча Firefox також працює над реалізацією технології. Крім того, підтримка серед мобільних пристроїв недостатня, оскільки більшість пристроїв U2F використовують USB-порт.
U2F-пристрої зручні у використанні, стійкі до фішингу, але доволі дорогі: від $10 до $20
Є кілька пристроїв U2F, які працюють з мобільними телефонами через NFC та BTLE. До речі, NFC підтримується лише в Android. Розробники з Apple не дозволяють програмним додаткам у iOS взаємодіяти з апаратним забезпеченням NFC, що перешкоджає ефективному використанню NFC U2F.
Пристрій BTLE менш зручний, оскільки вимагає потужного акумулятора, а процес спарингу менш інтуїтивний, ніж торкання пристрою NFC. Однак недостатня мобільна підтримка не означає, що використання U2F не дозволяє увійти в систему на мобільних пристроях. Більшість сайтів, які підтримують U2F, також підтримують TOTP і резервні коди. Ви можете одночасно входити на свій мобільний пристрій за допомогою одного з цих варіантів, одночасно використовуючи свій стійкий до фішингу U2F-пристрій для входу в ПК. Це особливо ефективно для мобільних сайтів та додатків, які вимагають лише один раз увійти до системи, і залишатися на зв’язку.
Нарешті, якщо припустити, що ви вже маєте смартфон, то більшість інших методів 2FA є безкоштовними для вас. В той час, як пристрої U2F коштують від $10 до $20.
Бонус: бекап-коди
Деякі сервіси надають 10 кодів резервного копіювання, які можна роздрукувати на папері та застосувати, якщо телефон не працює або ви загубили свій ключ безпеки. Незалежно від того, який метод 2FA ви обрали, краще заховати ці резервні коди в захищеному місці, щоб ніхто не міг використати їх для входу до вашого акаунту.
Коди резервного копіювання можна надрукувати та застосувати якщо телефон не працює або ви загубили свій ключ безпеки
БІЛЬШЕ ЦІКАВОГО:
Джерело: Electronic Frontier Foundation