Чем аутентификация отличается от авторизации и идентификации
Для начала разберемся в терминах. Чтобы пользователь смог попасть в свой аккаунт, система использует три различных процесса: идентификацию, аутентификацию и авторизацию.
Идентификация выполняется на стороне системы. Приложение определяет, существует ли в его базе пользователь с текущим идентификатором: почтой, номером аккаунта, телефоном и так далее.
Аутентификация происходит и на стороне системы, и на стороне клиента. Задача пользователя — доказать системе свою подлинность. Это можно сделать с помощью логина и пароля (обычная аутентификация) или с помощью введения дополнительно запрашиваемой информации (двухфакторная аутентификация).
Авторизация снова происходит на стороне системы. Когда пользователь заходит в личный кабинет, приложение определяет набор его прав: что можно делать, а что нет. В качестве примера можно привести форумы. Здесь обычные пользователи могут только писать сообщения и комментарии, а у модераторов помимо возможностей обычных пользователей есть права на удаление сообщений и бан других участников.
Ниже на схеме изображен упрощенный алгоритм работы этих процессов:
Что такое двухфакторная аутентификация и как она работает
Двухфакторная аутентификация (2FA или 2ФА) — это способ организации безопасности собственного аккаунта с использованием двухслойной защиты. Это значит, что проверка подлинности пользователя выполняется сразу на двух уровнях.
Процедура достаточно проста: пользователю при входе в личный кабинет нужно дважды подтвердить свою личность. Первый раз — с помощью логина и пароля, доступ к которым злоумышленник может получить достаточно легко. Второй раз — с помощью ключа, доступ к которому заполучить сложнее.
Где использовать двухфакторную аутентификацию
Двухфакторная аутентификация обязательна для сервисов, где есть важные данные. Например, на сайте Госуслуг хранятся электронные версии некоторых документов, и можно получить еще больше данных с помощью различных функций. Или в соцсетях можно получить доступ к вашему аккаунту и попросить ваших друзей перевести деньги на карту мошенника.
Множество различных сервисов позволяют включить 2ФА, но не всегда это нужно. Например, вряд ли вас беспокоит, что мошенники могут получить доступ к фейковому аккаунту в игре или хранилищу, где вы сохраняете мемы из интернета. В таких случаях, если в аккаунте нет важных данных, вы готовы легко расстаться с личным кабинетом или злоумышленник не сможет навредить вам в случае взлома — можете использовать обычные логин и пароль.
Типы двухфакторной аутентификации
Есть несколько разных типов или способов подтверждения своей личности при помощи двухфакторной аутентификации.
Код проверки из SMS или email
Это короткий (обычно от четырех до шести цифр) одноразовый код, который генерируется по запросу, приходит в SMS или на электронную почту. Имеет ограниченный срок действия в зависимости от настроек конкретной системы: от минуты до нескольких часов. Присылается и вводится в специальное поле после ввода и проверки логина и пароля.
Код из SMS или email — самый распространенный, но не самый безопасный вид 2ФА. Злоумышленник может перехватить сообщение или письмо и воспользоваться кодом в обход хозяина аккаунта или устройства.
Код из специального приложения
Способ похож на предыдущий, однако имеет свои особенности. После логина и пароля также необходимо ввести специальный код (пин-код). Он генерируется в приложении, которое называется аутентификатором.
Чтобы воспользоваться данным способом двухфакторной аутентификации, необходимо на мобильное устройство установить программу. Вариантов таких приложений много, например, Google Authenticator, Twilio Authy и другие. Затем скачанное приложение привязывается к аккаунту. Для этого надо отсканировать QR-код или ввести сложную буквенно-символьную строку вручную. Тогда для привязанного аккаунта будет генерироваться новый код, который и нужно вводить при входе.
Этот вариант надежнее предыдущего, потому что у кода более короткий срок «жизни». Пользователю аутентификатора нужно за считаные секунды ввести корректный набор букв или чисел — если не успеть, он обновится. Такая механика защищает от взломщиков, которые пытаются угадать комбинацию методом перебора. Однако есть и минус: для работы нужно отдельное приложение, из-за чего пропадает возможность доступа к аккаунту в случае сбоев или удаления приложения.
Резервные коды
Есть сервисы (например, VK или PlayStation), для которых еще одним видом 2ФА можно настроить так называемые резервные коды. По запросу пользователя система сама генерирует список резервных кодов, которые необходимо сохранить в надежном месте. Каждый из них можно использовать один раз. Когда коды закончатся, необходимо сгенерировать набор новых.
Способ не самый безопасный. Во-первых, злоумышленник может получить доступ к вашей записи с кодами. Во-вторых, можно забыть сгенерировать новый набор кодов или потерять уже имеющийся список. Тогда придется восстанавливать доступ к системе, если такая возможность системой предусмотрена, либо создавать новый аккаунт.
Биометрия
На данный момент не самый распространенный, но постепенно развивающийся способ подтверждения личности. Вместо кода проверяются биометрические данные: отпечаток пальца, голос, лицо и так далее.
Технологии для его взлома пока недостаточно развиты, поэтому способ более безопасен. Однако случаи мошенничества с использованием ложной биометрии все же есть.
Физический ключ
Физическое устройство, он же токен, может быть USB-флешкой, NFC-картой или сочетать в себе две эти технологии. Также в такое устройство могут встраивать модуль Bluetooth. Используются редко и в основном для защиты очень чувствительных или конфиденциальных данных.
Для копирования ключа нужен физический доступ к оригиналу или подделка документов для перевыпуска токена, поэтому этот способ — один из самых безопасных.
Как включить двухфакторную аутентификацию в различных сервисах
Многие компании выбирают и реализуют различные типы 2FA для защиты аккаунтов своих клиентов и пользователей. Разберем подробнее несколько примеров.
Selectel
Для аккаунтов в Selectel есть три типа двухфакторной аутентификации: SMS-код, приложение-аутентификатор и резервные коды. После регистрации в панели управления новый пользователь подтверждает номер телефона, после чего автоматически подключается отправка SMS-кода. Остальные два способа можно включить для большего удобства или на случай потери доступа к сим-карте или связи. Также можно комбинировать типы двухфакторной аутентификации попарно либо включить все три одновременно и при авторизации каждый раз выбирать наиболее удобный в данный момент способ.
Чтобы включить необходимый тип 2ФА в панели управления, перейдите в меню пользователя, которое находится в правом верхнем углу экрана, затем нажмите Профиль и настройки → Двухэтапная аутентификация.
Учетная запись Apple ID и iCloud
В качестве 2ФА для сервисов Apple (macOS Sonoma 14.3) доступно подключение физического ключа или кода проверки, который отправляется на телефон либо на электронную почту.
Чтобы включить двухфакторную аутентификацию на макбуке, зайдите в Системные настройки → Apple ID → Вход и безопасность → Двухфакторная аутентификация.
Аккаунт в Telegram
В качестве двухфакторной аутентификации для мессенджера Telegram доступны код проверки и постоянный пароль.
Настроить выбранный способ можно, кликнув на шестеренку и выбрав пункт Конфиденциальность.
При установке пароля можно придумать подсказку, чтобы его было легче вспомнить. Также полезно ввести электронную почту на случай, если пароль будет утерян безвозвратно.
У мессенджера нет никаких требований к тому, что вы вводите. Можно выбрать любое слово, фразу или набор символов. Главное — не забыть пароль при дальнейшем использовании приложения.
Страница ВКонтакте
В социальной сети ВКонтакте также есть возможность защитить свои данные и аккаунт и включить двухфакторную аутентификацию. Для этого в выпадающем меню в правом углу выберите пункт Настройки, далее — Безопасность. Затем на странице ВК ID найдите Двухфакторную аутентификацию.
Для ВКонтакте доступна дополнительная защита аккаунта при помощи пароля или приложения-аутентификатора.
Сервисы Mail.ru
Для сервисов Mail.ru в качестве типов двухфакторной аутентификации доступны только SMS-код и резервные коды.
Включить 2ФА можно, если найти в правом верхнем углу в выпадающем списке Пароль и безопасность и перейти в раздел Двухфакторная аутентификация.
Сервисы Google
Для сервисов Google доступно множество разных типов двухфакторной аутентификации. Можно выбрать любой наиболее удобный или подключить сразу несколько на случай, если каким-нибудь способом воспользоваться будет невозможно.
Чтобы подключить 2FA, перейдите в настройки аккаунта, выберите вкладку Безопасность и найдите на странице раздел Двухэтапная аутентификация.
Можно настроить два основных варианта двухфакторной аутентификации, а также создать резервные коды, подключить Google Authenticator или добавить электронный ключ.
Сервисы Яндекса
В Яндексе в качестве 2ФА доступны только SMS-код и пароль из приложения-аутентификатора Я.Ключ.
Яндекс, как и Google, работает только в связке со своим приложением.
Чтобы включить двухфакторную аутентификацию, откройте Яндекс ID и в разделе Безопасность выберите подходящий вам способ.
Как восстановить доступ к аккаунту
Если в приложении включена 2FA, но доступ ко второму фактору защиты утерян, можно попробовать восстановить доступ к аккаунту. Вероятность успеха зависит от того, как именно устроена система, в которой вы пытаетесь авторизоваться.
Например, в Selectel для восстановления доступа к аккаунту достаточно сбросить пароль. Для этого понадобится адрес вашей электронной почты.
Если вы потеряли доступ и к ней, можно вернуть свой аккаунт, связавшись с техподдержкой или персональным менеджером. Для этого понадобится подтвердить свою личность с помощью документов.
В Google или Яндексе в случае потери доступа к телефону, на котором установлено приложение-аутентификатор или на который приходят SMS, для восстановления аккаунта также придется обращаться в службу поддержки.
А вот в Telegram нужно обязательно помнить пароль или иметь доступ к электронной почте, которую вы указывали для восстановления аккаунта. Если вы забудете пароль и потеряете доступ к электронной почте, то зайти в свой аккаунт больше не выйдет.
В любом случае восстановление доступа сопряжено с некоторыми проблемами и потерей времени. В связи с чем желательно иметь несколько разных типов защиты аккаунта, чтобы можно было воспользоваться хотя бы одним, если другой недоступен.
Можно ли обойти 2FA
Теоретически — можно, но для несанкционированного доступа злоумышленнику необходимо приложить большое количество усилий, чтобы заполучить код или устройство, на котором этот код хранится. Например, чтобы обойти защиту с SMS-кодом, необходим доступ к номеру телефона. Его можно получить посредством фишинговой атаки или кражи смартфона.
Если код проверки приходит на email, то для доступа понадобится взломать почтовую систему или заполучить девайс, на котором установлен почтовый клиент. В почтовой системе также может быть включена двухфакторная аутентификация, что вдвойне усложнит взлом защищаемого вами аккаунта. А мобильное устройство может не иметь приложения или быть заблокированным, что, в свою очередь, увеличит время работы злоумышленника.
Также можно обойти 2ФА в некоторых системах с помощью восстановления аккаунта. Техподдержка может не запросить удостоверение личности у пользователя и просто сбросить пароль, из-за чего злоумышленники получат доступ к чужим данным. Однако этот способ требует большого количества времени и сработает далеко не всегда и не везде.
Заключение
Двухфакторная аутентификация не является непреодолимым препятствием для злоумышленников, однако значительно усложняет доступ к аккаунтам и важным данным. Не стоит пренебрегать дополнительной бесплатной мерой защиты, которую предоставляют компании, заботящиеся о безопасности своих клиентов и пользователей. Тем более видов двухфакторной аутентификации достаточно много, и можно выбрать, какой из них и для какого сервиса наиболее удобен.
