Двухфакторная аутентификация

Обновлено28 March 2024

Содержание

...Загрузка оглавления...

Two-factor authentication (2FA), also called multi-factor authentication (MFA), adds a second factor of authentication to your login system, so that if you want to log in to an account you need something that you know (the password or passphrase) and something that you own (for example a hardware device, an app generating one-time codes or a phone to receive SMS messages or confirm your log-in).

Включили двухфакторную аутентификацию? Теперь даже если злоумышленник как-то завладеет вашим паролем, он не сможет войти в аккаунт: ему понадобится второй фактор. А его-то как раз достать сложнее. Второй фактор одноразовый и либо создается на принадлежащем вам устройстве, либо вы его получаете ровно на момент входа.

Как включить двухфакторную аутентификацию

На сайте 2FA Directory website можно узнать, какие сервисы используют двухфакторную аутентификацию.
Очень важно включать двухфакторную аутентификацию для:
- банковских аккаунтов и любых финансовых приложений;
- accounts like your email, social media, file storage, any accounts with sensitive or private information and accounts you would need in order to recover access to any other account.

Используйте приложение-аутентификатор или устройство

Двухфакторная аутентификация может быть реализована по-разному.

Можно использовать специальное приложение или программу.
- Советуем приложение Aegis для Android, Raivo OTP для iOS/iPhone или FreeOTP для Android и iOS.
- Для двухфакторной аутентификации можно использовать также KeePassXC, KeePassDX или Strongbox.
- Если используете этот вариант, важно защищать от вредоносного кода устройство с приложением-аутентификатором.
Можно использовать аппаратное решение — часто его называют токеном, USB-ключом, ключом FIDO U2F (Fast IDentity Online Universal 2nd Factor). Такой токен надо вставить в USB-порт устройства или подключить по беспроводному интерфейсу, например, NFC (near-field communication).
- Примеры: Yubikey, Nitrokey, Google Titan Key, Thetis Key, Solokeys.
- Обратите внимание: некоторые аппаратные ключи могут не работать с мобильными устройствами. Перед тем, как покупать такой ключ, убедитесь, что его можно подключить к вашему телефону или компьютеру.

Выбирайте подходящий вам способ двухфакторной аутентификации

Одно и то же приложение-аутентификатор (или аппаратный токен) можно использовать для разных аккаунтов. Иногда в аккаунте можно выбрать разные варианты двухфакторной аутентификации для дополнительной защиты.
Приложения-аутентификаторы и аппаратные ключи не нуждаются в интернете. В других случаях понадобится мобильная связь (SMS) или интернет (email).
Расположим способы двухфакторной аутентификации по убыванию надежности: генератор кодов и аппаратный токен, затем email и, наконец, SMS. Имейте в виду, что SMS может не дойти до адресата, если тот находится вне зоны действия сети или даже просто в другой стране.
- Не советуем для двухфакторной аутентификации использовать SMS, потому что SMS не шифруются. Известны случаи, когда злоумышленники перехватывали SMS в процессе передачи.
Некоторые сервисы предлагают временно отключить двухфакторную аутентификацию для вашего удобства. Не надо. Подумайте, как плохо это может сказаться на вашей безопасности.

Почему мы советуем делать так

Для залогинивания в аккаунты безопаснее иметь несколько уровней защиты. Если злоумышленник преодолеет первый уровень, вы сможете положиться на второй и защитить свои цифровые ценности. Двухфакторная (или многофакторная) аутентификация обеспечивает такой дополнительный слой защиты. Текстовые SMS-сообщения — наименее безопасный способ двухфакторной аутентификации (хотя некоторым людям нравится простота этого способа).

Может показаться, что двухфакторная аутентификация усложняет процесс входа в аккаунт. Но помните: это легкое неудобство для вас резко снижает шансы других людей попасть в ваш аккаунт без разрешения. А вы в будущем не раз еще столкнетесь с кражей, взломом и мониторингом ваших аккаунтов злоумышленниками.

Храните резервные коды в отдельном безопасном месте

When you activate 2FA for a service, it is very important to make sure that you can rely on a backup 2FA method so that if you lose the device you are using for 2FA you can still log in to your account with another method.

Чаще всего резервный способ двухфакторной аутентификации — набор кодов, который можно скачать и сохранить в надежном месте. Если эти коды не создаются автоматически, поищите в настройках, как можно создать их вручную. Если и это не вышло, постарайтесь включить альтернативный способ двухфакторной аутентификации. Например, если вы ранее уже включили приложение-генератор кодов, привяжите к аккаунту устройство. Можно также сделать и сохранить скриншот QR-кода, который вы сканировали при настройке приложения-аутентификатора.

Если при настройке двухфакторной аутентификации были также сгенерированы резервные коды, сохраните их в парольном менеджере в виде приложения к соответствующей записи. О том, как это сделать в разных парольных менеджерах, можно узнать ниже.
Идеально было бы хранить эти коды отдельно от других реквизитов входа в аккаунты. Для этого создайте отдельную базу в вашем парольном менеджере и сохраните ее на другом устройстве.

Почему мы советуем делать так

Most online services will give you a list of backup codes when you first enable two-factor authentication for your account. These codes are your way back into your account if you lose access to the device you are using for 2FA. The codes never expire. It is important to keep the backup codes safe, as anyone who has access to these codes can use them to log in to your account.