Что такое аутентификация и двухфакторная аутентификация простыми словами

Коротко о главном

Если проверка пройдена, доступ сразу открывается. Раньше для защиты аккаунтов хватало сложного и запутанного пароля, но с недавних пор злоумышленники научились обходить проверку и добираться до конфиденциальной информации. Поэтому появилась альтернатива классическому способу.

Двухфакторная аутентификация, или двухэтапная, сокращенно — 2FA, кроме логина и пароля, задействует дополнительную систему подтверждения входа. Какую — зависит от инструментов под рукой: многие настраивают SMS-коды, прикрепляют к профилю адрес электронной почты или рассчитывают на помощь специальных сервисов. Важен не способ реализации, а наличие дополнительной проверки, усложняющей жизнь злоумышленникам.

Преимущества и недостатки каждого из способов защиты:

• Аутентификация. Потребуется логин и пароль от зарегистрированного на сайте (в социальных сетях, мессенджерах или игровых клиентах) аккаунта. После входа конфиденциальная информация сверяется с базой данных и, если текстовые поля заполнены корректно, результатом проверки становится доступ к личному кабинету. Преимущество — экономия времени. Ключевой недостаток — низкий уровень безопасности
• Двухфакторная аутентификация. Кроме логина и пароля, запрашивает дополнительные данные. Например, одноразовый код, отправленный в SMS или в письме на e-mail. Ключевое преимущество — максимальный уровень безопасности. Кроме пароля, злоумышленникам нужно перехватить SMS с код-паролем или дополнительную информацию из e-mail. Двухфакторная аутентификация предупреждает о попытках взлома: социальные сети сигнализируют о том, с какого IP-адреса и устройства совершается вход

Недостатков у 2FA несколько: требуется больше времени на прохождение авторизации, дополнительные средства проверки должны быть под рукой.

Виды двухфакторной аутентификации

Различают коллекцию методов идентификации пользователей, способных дополнить классический сценарий заполнения текстовых полей Login и Password:

• SMS с одноразовым код-паролем. Распространенный вариант проверки доступа. Применяется банковскими сервисами на этапе авторизации и при подтверждении транзакций. Доступен для настройки на сторонних сайтах, в социальных сетях и мессенджерах
• Письмо на адрес электронной почты. Альтернатива классическим SMS. Выдает код-пароль в письме, высылаемом на e-mail, или специальную ссылку для прохождения авторизации. Вариант не слишком совершенный: к почте злоумышленники способны подобрать пароль методом брута — через связки логинов и паролей, найденных в специальных базах данных
• Подтверждение через специальные сервисы. Одноразовые коды-пароли или проверочные вопросы выдаются не через SMS, а с помощью специальных аутентификаторов (Google и Microsoft Authenticator). Вопрос — часто числовой — необходимо перенести в «аутентификатор», а тот выдаст ответ для прохождения авторизации
• Аутентификация через QR-код. Доступна в некоторых мессенджерах, дополнительно проверяет версию программного обеспечения и IP-адрес
• Биометрия. Биометрическая проверка основана на взаимодействии с некоторыми конкретными пользовательскими данными, распознаваемыми с помощью специальных инструментов: голосом, сетчаткой глаза, лицом, отпечатком пальца. Подделать такую информацию практически невозможно
• Альтернативные решения — NFC-карты, USB-токены, электронные ключи. Вне зависимости от конструкции и назначения дополнительных проверок суть не меняется — аутентификация проходит с помощью двух факторов, то есть в несколько этапов

Встречается и аутентификация посредством GPS: идентификация пользователей происходит на основе текущего географического положения с точностью до пяти метров. Определяется местоположение несколькими способами, но в основном с помощью беспроводных точек связи, передающих координаты искомому сайту (мессенджеру, социальной сети) по запросу. Если заданное в настройках аккаунта местоположение не сходится с передаваемыми координатами, авторизация закончится ошибкой.

Примеры настройки двухфакторной аутентификации

Многоэтапная идентификация пользователей встречается повсеместно: в социальных сетях, в мессенджерах, в банковских сервисах. Настраивается усложненная аутентификация разными способами.

Разработчики социальной сети «ВКонтакте» рекомендуют открыть «Настройки» и перейти в раздел «Безопасность», включающий целую категорию параметров, связанных с «Подтверждением входа».

Туда добавляются номера мобильных телефонов (классический вариант с передачей разового код-пароля через SMS), резервные цифровые комбинации, сервисы для генерации кодов (включая Google или Microsoft Authentication). Перед настройкой предстоит ввести пароль от аккаунта VK и подтвердить вход. Следующая авторизация закончится отображением дополнительного текстового поля для ввода переданного кода.

Доступна двухфакторная аутентификация в мессенджерах. Браузерная версия WhatsApp идентифицирует пользователей с помощью QR-кода (без пройденной проверки не разблокируется доступ ни к перепискам, ни чату для добавления сообщений), считываемого с мобильной техники. Так мессенджер проверяет местоположение владельца аккаунта: если тот находится слишком далеко от компьютера, выданный доступ мгновенно блокируется до тех пор, пока не пройдена новая проверка.

Telegram придерживается альтернативной стратегии — разрешает в разделе «Конфиденциальность» активировать двухэтапную аутентификацию с помощью заранее подготовленного пароля.

После добавления конфиденциальной информации мессенджер начнет запрашивать еще и пароль для прохождения авторизации.

Дополнительно разработчики рекомендуют прикрепить еще и адрес электронной почты — на случай, если с прохождением проверки возникнут сложности.

Проверка в Instagram* привязана к адресу электронной почты. Если система обнаружит подозрительную авторизацию, в интерфейсе появится соответствующее предупреждение и кнопка «Отправить код безопасности». Высылается конфиденциальная информация на прикрепленный к странице e-mail. Если почтовый ящик не привязан, высылается SMS на номер мобильного телефона.

Предусмотрена проверка и в игровых клиентах. Steam после ввода логина и пароля на неизвестном оборудовании запрашивает код, генерируемые каждые 30 секунд в мобильном сервисе Steam Mobile, доступном для iOS и Android.

Надежна ли двухфакторная аутентификация

Специалисты периодически расходятся во мнении: и присваивают технологии как почти «непроницаемый» статус (киберпреступникам предстоит буквально совершить подвиг — перехватить SMS, взломать почту или выкрасть доступ к сгенерированным код-паролям через систему выдачи токенов), так и репутацию временного лекарства от всех болезней.

Дело в том, что многие игнорируют дополнительные настройки безопасности: не привязывают номера телефонов, не активируют системы подтверждения входа, не используют сложные комбинации-пароли.

Зато дальновидных веб-мастеров становится с каждым годом все больше: многие владельцы сайтов интегрируют технологию 2FA даже на форумах и информационных сайтах с помощью того же E-Num. Услуга доступна каждому желающему и интегрируется в код сайта за считанные минуты.

После пройденной настройки привычная авторизация начнет разворачиваться по иному сценарию (принцип действия, представленный ниже, подготовлен в качестве наглядного примера).

Выбор способа идентификации — через логин и пароль (менее безопасный вариант) и с помощью E-Num, когда, кроме базовой конфиденциальной информации, нужно вводить код, сгенерируемый в одноименном мобильном сервисе (доступны версии для iOS и Android).

Второй вариант исключает заполнение поля «пароль» и предлагает добавить лишь логин (номер мобильного телефона, e-mail).

После система отобразит QR-код или цифровой запрос, на который и подберет подходящий ответ E-Num.

Описанная выше процедура значительно повышает безопасность профиля. Особенно если и сервис E-Num на iOS и Android защищен с помощью систем проверки биометрических данных (отпечаток пальца, сетчатка глаза, вроде технологий Touch ID и Face ID).

Заключение

Двухфакторная аутентификация — не панацея. Злоумышленники научились обходить дополнительную проверку с помощью фишинговых атак или через формы для восстановления аккаунтов (сайты высылают ссылки для смены пароля на почту, доступ к которой часто открывается методом подбора конфиденциальной информации без дополнительных инструментов защиты, вроде одноразовых SMS-кодов).

На такой взлом потребуется много времени, а потому ради доступа к перепискам случайных пользователей из VK и Telegram киберпреступники не станут заморачиваться. Значит, беспокоиться не о чем, и все профили в социальных сетях находятся под полной защитой, если заранее разобраться с настройками.

Более глобальный анализ двухфакторной аутентификации показывает, что у злоумышленников возникают проблемы с биометрией: сканеры отпечатка пальца и технологии, связанные с распознаванием лица, до сих пор никому не подвластны. И не случайно разработчики мобильной техники и ноутбуков движутся в сторону развития перечисленных технологий.