Используйте двухфакторную аутентификацию

Обновлено28 March 2024

Содержание

...Загрузка оглавления...

Двухфакторная аутентификация (ее также иногда называют многофакторной) добавляет еще один фактор аутентификации ко входу в ваши аккаунты. Чтобы войти, вам понадобится что-то знать (пароль) и что-то иметь (устройство, или приложение с генератором одноразовых кодов или телефон, чтобы принимать SMS для подтверждения входа).

Включили двухфакторную аутентификацию? Теперь даже если злоумышленник как-то завладеет вашим паролем, он не сможет войти в аккаунт: ему понадобится второй фактор. А его-то как раз достать сложнее. Второй фактор одноразовый и либо создается на принадлежащем вам устройстве, либо вы его получаете ровно на момент входа.

Как включить двухфакторную аутентификацию

На сайте 2FA Directory website можно узнать, какие сервисы используют двухфакторную аутентификацию.
Очень важно включать двухфакторную аутентификацию для:
- банковских аккаунтов и любых финансовых приложений;
- почтовых сервисов, соцсетей, файловых хранилищ и прочих аккаунтов с важной или конфиденциальной информацией, а также аккаунтов, которые нужны для восстановления доступа к другим аккаунтам.

Используйте приложение-аутентификатор или устройство

Двухфакторная аутентификация может быть реализована по-разному.

Можно использовать специальное приложение или программу.
- Советуем приложение Aegis для Android, Raivo OTP для iOS/iPhone или FreeOTP для Android и iOS.
- Для двухфакторной аутентификации можно использовать также KeePassXC, KeePassDX или Strongbox.
- Если используете этот вариант, важно защищать от вредоносного кода устройство с приложением-аутентификатором.
Можно использовать аппаратное решение — часто его называют токеном, USB-ключом, ключом FIDO U2F (Fast IDentity Online Universal 2nd Factor). Такой токен надо вставить в USB-порт устройства или подключить по беспроводному интерфейсу, например, NFC (near-field communication).
- Примеры: Yubikey, Nitrokey, Google Titan Key, Thetis Key.
- Обратите внимание: некоторые аппаратные ключи могут не работать с мобильными устройствами. Перед тем, как покупать такой ключ, убедитесь, что его можно подключить к вашему телефону или компьютеру.

Выбирайте подходящий вам способ двухфакторной аутентификации

Одно и то же приложение-аутентификатор (или аппаратный токен) можно использовать для разных аккаунтов. Иногда в аккаунте можно выбрать разные варианты двухфакторной аутентификации для дополнительной защиты.
Приложения-аутентификаторы и аппаратные ключи не нуждаются в интернете. В других случаях понадобится мобильная связь (SMS) или интернет (email).
Расположим способы двухфакторной аутентификации по убыванию надежности: генератор кодов и аппаратный токен, затем email и, наконец, SMS. Имейте в виду, что SMS может не дойти до адресата, если тот находится вне зоны действия сети или даже просто в другой стране.
- Не советуем для двухфакторной аутентификации использовать SMS, потому что SMS не шифруются. Известны случаи, когда злоумышленники перехватывали SMS в процессе передачи.
Некоторые сервисы предлагают временно отключить двухфакторную аутентификацию для вашего удобства. Не надо. Подумайте, как плохо это может сказаться на вашей безопасности.

Почему мы советуем делать так

Для залогинивания в аккаунты безопаснее иметь несколько уровней защиты. Если злоумышленник преодолеет первый уровень, вы сможете положиться на второй и защитить свои цифровые ценности. Двухфакторная (или многофакторная) аутентификация обеспечивает такой дополнительный слой защиты. Текстовые SMS-сообщения — наименее безопасный способ двухфакторной аутентификации (хотя некоторым людям нравится простота этого способа).

Может показаться, что двухфакторная аутентификация усложняет процесс входа в аккаунт. Но помните: это легкое неудобство для вас резко снижает шансы других людей попасть в ваш аккаунт без разрешения. А вы в будущем не раз еще столкнетесь с кражей, взломом и мониторингом ваших аккаунтов злоумышленниками.

Храните резервные коды в отдельном безопасном месте

Когда вы включаете для сервиса двухфакторную аутентификацию, важно быть уверенным в ее надежности. Если вы потеряете устройство, у вас должен остаться какой-то еще способ войти в аккаунт.

Чаще всего резервный способ двухфакторной аутентификации — набор кодов, который можно скачать и сохранить в надежном месте. Если эти коды не создаются автоматически, поищите в настройках, как можно создать их вручную. Если и это не вышло, постарайтесь включить альтернативный способ двухфакторной аутентификации. Например, если вы ранее уже включили приложение-генератор кодов, привяжите к аккаунту устройство. Можно также сделать и сохранить скриншот QR-кода, который вы сканировали при настройке приложения-аутентификатора.

Если при настройке двухфакторной аутентификации были также сгенерированы резервные коды, сохраните их в парольном менеджере.
- См. подробнее о том, как добавлять данные и файлы в записи KeePassXC в руководстве по KeePassXC.
- О том, как добавлять вложения в KeePassDX, можно узнать в документации KeePassDX.
- О том, как добавить вложение в запись Strongbox, рассказано в документации Strongbox.
Идеально было бы хранить эти коды отдельно от других реквизитов входа в аккаунты. Для этого создайте отдельную базу в вашем парольном менеджере и сохраните ее на другом устройстве.

Почему мы советуем делать так

В большинстве онлайновых сервисов резервные коды генерируются автоматически при первом включении двухфакторной аутентификации. Эти коды помогут вернуть контроль над аккаунтом, если вы потеряли доступ к устройству, используемому для двухфакторной аутентификации. Резервные коды не имеют срока годности. Очень важно хранить их в надежном месте: если злоумышленник завладеет вашим паролем, ему останется только узнать любой из этих кодов для успешного входа в аккаунт.